AWS CloudTrail 서비스 전체 AWS 고객 기본 제공 시작
AWS 서비스 API 호출에 대한 정보를 기록하는 AWS CloudTrail 이 모든 AWS 고객에게 기본적으로 활성화되되고, 별도 설정 없이 지난 7 일간의 계정 활동에 대한 가시성을 제공합니다. ‘상시 가동’ 기능은 CloudTrail 이벤트 기록을 통해 계정 활동을 검색 및 다운로드하는 기능을 통해 보안성을 높일 수 있습니다.
아직 AWS CloudTrail을 이용하지 않은 분들의 경우, 이제 모든 AWS 계정에 기본적으로 적용되기 때문에 운영 문제 해결 및 검토, 표준 규정 준수, 감사 및 보안을 위한 필수 서비스를 제공하게 됩니다.
AWS CloudTrail은 AWS 계정에서 지원되는 서비스에 대한 계정 활동 및 이벤트를 수집하고, 이벤트 로그 파일을 Amazon Simple Storage Service (S3), CloudWatch Logs, CloudWatch Events로 보냅니다. CloudTrail을 사용하면 일반적으로 계정 활동 및 이벤트 로깅을 가능하게 하는 구성을 생성합니다. AWS 계정에서 발생하는 API 활동에 대한 가시성을 제공하여 운영 및 보안 문제를 신속하게 분석합니다. 또한, 멀티 리전 구성을 지원하며 CloudWatch와 통합하여 모니터링을 원하는 이벤트에 대한 트리거를 만들거나 구독 기능을 AWS Lambda 함수와 연동할 수 있습니다. CloudTrail 서비스를 이용하면 AWS 명령 줄 인터페이스 (CLI), AWS 관리 콘솔 및 AWS SDK를 통해 다른 AWS 서비스의 모든 API 호출을 검색 할 수 있습니다.
AWS CloudTrail의 주요 기능은 다음과 같습니다.
- 항상 실행: 별도 설정 없이 모든 AWS 계정에서 계정 활동을 기록
- 이벤트 내역 : 최근 AWS 계정 활동보기, 검색 및 다운로드
- 자원 관리 수준 이벤트 : EC2 인스턴스 또는 S3 버킷의 생성, 삭제 및 수정과 같은 세부 관리 작업 가능
- 데이터 관리 수준 이벤트 : Amazon S3 객체에 모든 API 동작을 기록하고 API 동작에 대한 정보 수신 가능
- 로그 파일 무결성 검증 : S3 버킷에 저장된 로그 파일의 무결성 검증
- 로그 파일 암호화 : S3 서버 측 암호화 (SSE)를 사용하여 S3 버킷에 전달되는 모든 로그 파일을 암호화 가능. (AWS 키 관리 서비스 (AWS KMS)로 로그 파일을 암호화 설정 가능)
- 멀티 리전 설정 : 여러 리전에서 로그 파일을 전송하도록 서비스 설정
AWS CloudTrail 기능에 대한 더 자새한 것은 서비스 페이지를 참고하시기 바랍니다.
제 동료 인 랜달 헌트(Randall Hunt)는 고객의 문제를 해결할 때 CloudTrail이 반드시 필요하다고 이야기했습니다. “Enable CloudTrail” 로 인해 고객 계정에서 어떤 일이 일어났는지, 스스로 알아 볼 수 있고 세부 사항을 검토 할 수 있습니다.
앞에서 말씀 드린 대로 이제 모든 AWS 고객이 CloudTrail에 로그인하고 Event History을 검토 할 수 있습니다. 아래 보기에서 지난 7 일간의 데이터 뿐만 아니라 더 많은 정보를 볼 수도 있습니다.
물론, 사내 규정 감사를 위해 CloudTrail 로그 파일에 직접 접근하거나 로그를 보관하려는 경우에도 로그 파일을 만들 S3 버킷을 지정할 수 있습니다. Cloudtrails 서비스로 CloudWatch Logs 및 CloudWatch Events에 이벤트를 전달할 수 있습니다.
CloudTrail 콘솔에 로그인 한 후 Create a trail 버튼을 클릭하기 만하면됩니다.
그런 다음 Trail name 텍스트 상자에 이름을 입력하고 모든 리전 혹은 현재 리전에만 적용하는 옵션에 대한 라디오 버튼을 선택합니다. 아래 화면에서는 TEW-USEast-Region-Trail라는 이름을 정하고 Apply trail to all regions 라디오 버튼에서 No를 선택합니다. 즉, 현재 리전인 미국-동부 (버지니아 북동부) 이벤트만 추적합니다. (참고 : 글로벌 리전을 사용하는 경우, AWS 계정과 관련된 모든 이벤트를 캡처하려면 전체 리전에 대해 추적하는게 좋습니다.)
Management events에서 CloudTrail이 추적하도록 하려는 작업에 대한 Read/Write events 라디오 단추 옵션을 선택합니다. 이 경우 All 옵션을 선택합니다.
다음 단계는 S3 객체 변경 작업을 추적하고자 하는 버킷을 선택합니다. 이것은 선택적 단계이지만, 기본적으로 AWS Cloudtrail은 데이터 이벤트를 기록하지 않습니다. 따라서, S3 객체 이벤트 활동을 추적하려는 경우, 데이터 이벤트 섹션에서 지정한 버킷의 오브젝트에 대한 데이터 이벤트를 추적하도록 추적을 구성 할 수 있습니다. aws-blog-tew-posts S3 버킷을 선택하고 기본 옵션을 유지하여 all Read/Write을 추적할 수 있습니다.
마지막 단계는 Storage Location 섹션에서 CloudTrail 로그를 저장할 S3 버킷을 선택하는 것입니다. CloudTrail을 대신하여 새 버킷을 만들거나, 계정에서 기존 버킷을 선택할 수 있습니다. CloudTrail에서 새 버킷을 만들어서 텍스트 상자에 고유 한 버킷 이름 인 tew-cloudtrail-logbucket을 입력하도록 선택합니다. 로그를 쉽게 찾을 수 있도록 저장소 위치의 고급 섹션을 확장하고 접두어를 추가합니다. 이 기능은 버킷에 저장된 로그에 검색 기준을 추가하려는 경우에 가장 유용합니다. 접두어로 tew-2017를 설정하고, Encrypt log files, Enable log file validation 및 Send SNS notification for every log file delivery 등 Advanced 옵션에 대한 기본 값을 유지합니다.
이제 설정을 마치고, Create 버튼을 클릭하면 CloudTrail의 트레일을 성공적으로 만들었습니다.
지금 시작하기
AWS CloudTrail 에 대한 자세한 내용은 서비스 제품 페이지, CloudTrail 설명서 또는 AWS CloudTrail FAQ를 참조하십시오. 이제 모든 AWS 고객을위한 CloudTrail 기본 제공을 잘 활용하여 얻을 수 있는 모든 장점을 즐기십시오!
– Tara
이 글은 New – Amazon Web Services Extends CloudTrail to All AWS Customers의 한국어 번역입니다.
Leave a Reply