AWS CloudTrail은 AWS 계정에서 계정 활동과 관련된 작업이나 Management Console, SDK, AWS 서비스 등의 이벤트 활동들을 로그로 저장하는 서비스이다. 이 로그로 문제점 및 보안 분석, 리소스 트래킹, 문제 해결 방법 등을 발견할 수 있도록 할 수 있다. 로그는 행기반 JSON 형식으로 저장이 되며, CloudTrail Lake를 사용할 경우 열기반 Apache ORC 형식으로 변환이 된다.
CloudTrail Lake
CloudTrail Lake는 감사 및 보안 목적으로 AWS 사용자의 API 활동의 캡처 및 저장, 접근, 분석을 하기 위한 관리형 데이터 레이크 형태이다. 위에서 말했듯이, 행기반 JSON 형식을 빠른 검색을 위한 최적화로 열기반 Apache ORC 형식으로 바꾼다.
위의 사진은 CloudTrail Lake의 유료티어 요금인데, 1년 연장 가능한 보존 요금과 7년 보존 요금 2가지 방법이 있다.
CloudTrail 권한
CloudTrail 콘솔을 사용하려면 IAM 계정에 대한 권한 정책 중 AWSCloudTrail_FullAccess 또는 AWSCloudTrail_ReadOnlyAccess를 부여를 해야 사용할 수 있다.
아래는 IAM 계정 생성 중 권한 정책 부여하는 화면이다.
AWSCloudTrail_FullAccess
AWSCloudTrail_FullAccess의 경우에는 CloudTrail 리소스에서의 작업에 대한 전체 액세스를 제공한다. 즉, CloudTrail 추적과 데이터 스토어 생성, 업데이트, 삭제 등의 권한도 제공한다. 그렇기 때문에 AWSCloudTrail_FullAccess 권한을 남발해서는 안된다. 이 권한은 로그도 삭제할 수 있는 권한이 있으니 말이다.
AWSCloudTrail_ReadOnlyAccess
대체적으로 권한을 주려면 AWSCloudTrail_FullAccess 이 권한보다 AWSCloudTrail_ReadOnlyAccess 이 권한을 주는게 맞다. 오직 읽기만 가능하다. 물론, 로그 다운로드도 가능하다.즉, 위의 권한과 다르게 데이터 스토어 생성, 업데이트, 삭제가 불가능한 권한이다.
CloudTrail 서비스 설정하기
1. 서비스 검색에서 CloudTrail을 검색한다.
2. 우측에 추적 생성을 눌러 추적을 생성하면 된다.
3. 추적을 위한 내용을 입력 후, S3에 저장을 한다.
위와 같이 설정 후, S3 경로를 보게 되면 아래와 같이 로그가 json 형태로 저장이 된다.
'IT > AWS' 카테고리의 다른 글
| [AWS] AWS 글로벌 인프라 구조 - 가용 영역(AZ, Availability Zone) (2) | 2024.03.14 |
|---|---|
| [AWS] AWS 글로벌 인프라 구조 - Region (0) | 2024.03.14 |
| [AWS] an error occurred AccessDeniedException when calling the GetCommit operation 에러 문제 해결 방법 (0) | 2024.03.07 |
| [AWS] AWS Default VPC 삭제 방법 (0) | 2024.03.04 |
| [AWS] AWS IAM 계정 비밀번호 초기화하는 방법 (0) | 2024.02.01 |
| [AWS] AWS Organizations란?(GetCostAndUsage에 대한 권한이 없습니다.) (0) | 2024.02.01 |
| [AWS] AWS IAM 유저 생성 방법 (1) | 2024.01.30 |
| [AWS] AWS Athena 서비스 구축 및 예제 (0) | 2023.11.08 |
최근댓글