CloudTrail 이벤트 이벤트 기록 추적 조직 추적 CloudTrail Lake 및 이벤트 데이터 스토어 CloudTrail 인사이트 Tags AWS Security Token Service 및 CloudTrail 글로벌 서비스 이벤트

CloudTrail 개념

이 섹션에서는 와 관련된 기본 개념을 요약합니다 CloudTrail.

개념:

CloudTrail 이벤트
이벤트 기록
추적
조직 추적
CloudTrail Lake 및 이벤트 데이터 스토어
CloudTrail 인사이트
Tags
AWS Security Token Service 및 CloudTrail
글로벌 서비스 이벤트

CloudTrail 이벤트

의 이벤트 CloudTrail 는 AWS 계정의 활동 레코드입니다. 이 활동은 자격 IAM 증명 또는 에서 모니터링할 수 있는 서비스에서 수행하는 작업일 수 CloudTrail있습니다. CloudTrail 이벤트는 AWS Management Console, AWS SDKs, 명령줄 도구 및 기타 AWS 서비스를 통해 수행된 API 및 비API계정 활동의 기록을 제공합니다.

CloudTrail 로그 파일은 퍼블릭 API 호출의 순서가 지정된 스택 추적이 아니므로 이벤트가 특정 순서로 표시되지 않습니다.

CloudTrail 는 네 가지 유형의 이벤트를 기록합니다.

관리 이벤트
데이터 이벤트
네트워크 활동 이벤트

참고
네트워크 활동 이벤트는 에 대한 미리 보기 릴리스 중 CloudTrail 이며 변경될 수 있습니다.
인사이트 이벤트

모든 이벤트 유형은 로그 형식을 사용합니다 CloudTrail JSON.

기본적으로 추적 및 이벤트 데이터 스토어는 관리 이벤트를 로그하지만 데이터 또는 Insights 이벤트는 로그하지 않습니다.

와 AWS 서비스 의 통합 방법에 대한 자세한 내용은 섹션을 CloudTrail참조하세요AWS 에 대한 서비스 주제 CloudTrail.

관리 이벤트

관리 이벤트는 AWS 계정의 리소스에서 수행되는 관리 작업에 대한 정보를 제공합니다. 이를 제어 영역 작업이라고도 합니다.

예제 관리 이벤트에는 다음이 포함됩니다.

보안 구성(예 AWS Identity and Access Management AttachRolePolicy: API 작업).
디바이스 등록(예: Amazon EC2 CreateDefaultVpc API 작업).
데이터 라우팅 규칙 구성(예: Amazon EC2 CreateSubnet API 작업).
로깅 설정(예 AWS CloudTrail CreateTrail: API 작업).

관리 이벤트에는 계정에서 발생하는 비API 이벤트도 포함될 수 있습니다. 예를 들어 사용자가 계정에 로그인하면 가 ConsoleLogin 이벤트를 CloudTrail 기록합니다. 자세한 내용은 에서 캡처한 비 API 이벤트 CloudTrail 단원을 참조하십시오.

기본적으로 CloudTrail 트레이 및 CloudTrail Lake 이벤트 데이터는 로그 관리 이벤트를 저장합니다. 관리 이벤트 로깅에 대한 자세한 내용은 섹션을 참조하세요관리 이벤트 로깅.

데이터 이벤트

데이터 이벤트는 리소스 상에서, 또는 리소스 내에서 수행되는 리소스 작업에 대한 정보를 제공합니다. 이를 데이터 영역 작업이라고도 합니다. 데이터 이벤트가 대량 활동인 경우도 있습니다.

예제 데이터 이벤트에는 다음이 포함됩니다.

S3 버킷의 객체에 대한 Amazon S3 객체 수준 API 활동(예: GetObjectDeleteObject, 및 PutObject API 작업). S3
AWS Lambda 함수 실행 활동(InvokeAPI).
CloudTrail PutAuditEvents 외부에서 이벤트를 로깅하는 데 사용되는 CloudTrail Lake 채널의 활동입니다 AWS.
주제에 대한 Amazon SNS Publish 및 PublishBatch API 작업.

다음 표는 추적 및 이벤트 데이터 스토어에 사용할 수 있는 데이터 이벤트 유형을 보여 줍니다. Data event type(데이터 이벤트 유형)(콘솔) 열에는 콘솔의 적절한 선택 항목이 표시됩니다. resources.type 값 열에는 AWS CLI 또는 를 사용하여 추적 또는 이벤트 데이터 스토어에 해당 유형의 데이터 이벤트를 포함하도록 지정할 resources.type 값이 표시됩니다 CloudTrail APIs.

추적의 경우 기본 또는 고급 이벤트 선택기를 사용하여 범용 버킷, Lambda 함수 및 DynamoDB 테이블(테이블의 처음 세 행에 표시됨)의 Amazon S3 객체에 대한 데이터 이벤트를 로깅할 수 있습니다. 나머지 행에 표시된 데이터 이벤트 유형은 고급 이벤트 선택기만을 사용하여 로그할 수 있습니다.

이벤트 데이터 스토어는 데이터 이벤트를 포함하려면 고급 이벤트 선택기만을 사용해야 합니다.

AWS 서비스	설명	데이터 이벤트 유형(콘솔)	resources.type 값
Amazon DynamoDB	테이블의 Amazon DynamoDB 항목 수준 API 활동(예: , `PutItem` `DeleteItem`및 `UpdateItem` API 작업). 참고 스트림이 활성화된 테이블의 경우 데이터 이벤트의 `resources` 필드에 `AWS::DynamoDB::Stream`과 `AWS::DynamoDB::Table`이 모두 포함됩니다. `resources.type`으로 `AWS::DynamoDB::Table`을 지정하는 경우 기본적으로 DynamoDB 테이블과 DynamoDB 스트림 이벤트가 모두 로깅됩니다. 스트림 이벤트 를 제외하려면 `eventName` 필드에 필터를 추가합니다.	DynamoDB	`AWS::DynamoDB::Table`
AWS Lambda	AWS Lambda 함수 실행 활동(`Invoke`API).	Lambda	`AWS::Lambda::Function`
Amazon S3	범용 버킷의 객체에 대한 Amazon S3 객체 수준 API 활동(예: `GetObjectDeleteObject`, 및 `PutObject` API 작업).	S3	`AWS::S3::Object`
AWS AppConfig	`StartConfigurationSession` 및 에 대한 호출과 같은 구성 작업에 대한AWS AppConfig API 활동입니다`GetLatestConfiguration`.	AWS AppConfig	`AWS::AppConfig::Configuration`
AWS B2B 데이터 교환	`GetTransformerJob` 및 에 대한 호출과 같은 트랜스포머 작업에 대한 B2B 데이터 교환 API 활동입니다`StartTransformerJob`.	B2B Data Interchange	`AWS::B2BI::Transformer`
Amazon Bedrock	에이전트 별칭에 대한 Amazon Bedrock API 활동.	Bedrock 에이전트 별칭	`AWS::Bedrock::AgentAlias`
Amazon Bedrock	흐름 별칭에 대한 Amazon Bedrock API 활동.	Bedrock 흐름 별칭	`AWS::Bedrock::FlowAlias`
Amazon Bedrock	가드레일에 대한 Amazon Bedrock API 활동.	Bedrock 가드레일	`AWS::Bedrock::Guardrail`
Amazon Bedrock	지식 기반에서의 Amazon Bedrock API 활동.	Bedrock 지식 기반	`AWS::Bedrock::KnowledgeBase`
Amazon Bedrock	모델에 대한 Amazon Bedrock API 활동.	Bedrock 모델	`AWS::Bedrock::Model`
Amazon CloudFront	CloudFront API 의 활동 KeyValueStore.	CloudFront KeyValueStore	`AWS::CloudFront::KeyValueStore`
AWS Cloud Map	네임스페이스 의AWS Cloud Map API 활동.	AWS Cloud Map 네임스페이스	`AWS::ServiceDiscovery::Namespace`
AWS Cloud Map	서비스 에서의AWS Cloud Map API 활동.	AWS Cloud Map service	`AWS::ServiceDiscovery::Service`
AWS CloudTrail	CloudTrail `PutAuditEvents` 외부에서 이벤트를 로깅하는 데 사용되는 CloudTrail Lake 채널의 활동입니다 AWS.	CloudTrail 채널	`AWS::CloudTrail::Channel`
Amazon CloudWatch	지표에 대한 Amazon CloudWatch API 활동.	CloudWatch 지표	`AWS::CloudWatch::Metric`
Amazon CloudWatch RUM	앱 모니터에서의 Amazon CloudWatch RUM API 활동.	RUM 앱 모니터	`AWS::RUM::AppMonitor`
Amazon CodeWhisperer	사용자 지정에 대한 Amazon CodeWhisperer API 활동.	CodeWhisperer 사용자 지정	`AWS::CodeWhisperer::Customization`
Amazon CodeWhisperer	프로필의 Amazon CodeWhisperer API 활동.	CodeWhisperer	`AWS::CodeWhisperer::Profile`
Amazon Cognito	Amazon Cognito 자격 증명 풀에 대한 Amazon Cognito API 활동. https://docs.aws.amazon.com/cognito/latest/developerguide/amazon-cognito-info-in-cloudtrail.html#identity-pools-cloudtrail-events	Cognito 자격 증명 풀	`AWS::Cognito::IdentityPool`
AWS Data Exchange	AWS Data Exchange API 자산에 대한 활동.	Data Exchange 자산	`AWS::DataExchange::Asset`
AWS Deadline Cloud	Deadline Cloud API 플릿에 대한 활동.	Deadline Cloud 플릿	`AWS::Deadline::Fleet`
AWS Deadline Cloud	Deadline Cloud API 작업에 대한 활동.	Deadline Cloud 작업	`AWS::Deadline::Job`
AWS Deadline Cloud	Deadline Cloud API 대기열의 활동.	Deadline Cloud 대기열	`AWS::Deadline::Queue`
AWS Deadline Cloud	Deadline Cloud API 작업자에 대한 활동.	Deadline Cloud 작업자	`AWS::Deadline::Worker`
Amazon DynamoDB	스트림에 대한 Amazon DynamoDB API 활동.	DynamoDB Streams	`AWS::DynamoDB::Stream`
AWS 최종 사용자 메시징 소셜	전화번호 에 대한 AWS 최종 사용자 메시징 소셜 API 활동IDs.	소셜 메시지 전화번호 ID	`AWS::SocialMessaging::PhoneNumberId`
Amazon Elastic Block Store	Amazon 스냅샷의 Amazon Elastic Block Store(EBS) 다이렉트 APIs, `GetSnapshotBlock`, `PutSnapshotBlock`등. `ListChangedBlocks` EBS	Amazon EBS 다이렉트 APIs	`AWS::EC2::Snapshot`
Amazon EMR	미리 쓰기 로그 워크스페이스에서의 Amazon EMR API 활동.	EMR 미리 쓰기 로그 워크스페이스	`AWS::EMRWAL::Workspace`
Amazon FinSpace	Amazon FinSpace API 환경에서의 활동.	FinSpace	`AWS::FinSpace::Environment`
AWS Glue	AWS Glue API Lake Formation에서 생성한 테이블의 활동입니다.	Lake Formation	`AWS::Glue::Table`
Amazon GuardDuty	탐지기 에 대한 Amazon GuardDuty API 활동입니다.	GuardDuty 감지기	`AWS::GuardDuty::Detector`
AWS HealthImaging	AWS HealthImaging API 데이터 스토어에서의 활동.	MedicalImaging 데이터 스토어	`AWS::MedicalImaging::Datastore`
AWS IoT	인증서 에 대한AWS IoT API 활동입니다. https://docs.aws.amazon.com/iot/latest/developerguide/x509-client-certs.html	IoT 인증서	`AWS::IoT::Certificate`
AWS IoT	사물에 대한AWS IoT API 활동 https://docs.aws.amazon.com/iot/latest/developerguide/thing-registry.html.	IoT 사물	`AWS::IoT::Thing`
AWS IoT Greengrass Version 2	구성 요소 버전의 Greengrass 코어 디바이스에서 Greengrass API 활동. 참고 Greengrass는 액세스 거부 이벤트를 로깅하지 않습니다.	IoT Greengrass 구성 요소 버전	`AWS::GreengrassV2::ComponentVersion`
AWS IoT Greengrass Version 2	배포 시 Greengrass 코어 디바이스의 Greengrass API 활동입니다. 참고 Greengrass는 액세스 거부 이벤트를 로깅하지 않습니다.	IoT Greengrass 배포	`AWS::GreengrassV2::Deployment`
AWS IoT SiteWise	자산 에 대한 IoT SiteWise API 활동. https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_CreateAsset.html	IoT SiteWise 자산	`AWS::IoTSiteWise::Asset`
AWS IoT SiteWise	시계열 의 IoT SiteWise API 활동.	IoT SiteWise 시계열	`AWS::IoTSiteWise::TimeSeries`
AWS IoT TwinMaker	엔터티 에 대한 IoT TwinMaker API 활동입니다.	IoT TwinMaker 엔터티	`AWS::IoTTwinMaker::Entity`
AWS IoT TwinMaker	워크스페이스 의 IoT TwinMaker API 활동.	IoT TwinMaker 워크스페이스	`AWS::IoTTwinMaker::Workspace`
Amazon Kendra Intelligent Ranking	rescore 실행 계획에 대한 Amazon Kendra Intelligent Ranking API 활동.	Kendra Ranking	`AWS::KendraRanking::ExecutionPlan`
Amazon Keyspaces(Apache Cassandra용)	테이블의 Amazon Keyspaces API 활동.	Cassandra 테이블	`AWS::Cassandra::Table`
Amazon Kinesis Data Streams	스트림 에 대한 Kinesis Data Streams API 활동. https://docs.aws.amazon.com/streams/latest/dev/working-with-streams.html	Kinesis 스트림	`AWS::Kinesis::Stream`
Amazon Kinesis Data Streams	스트림 소비자 에 대한 Kinesis Data Streams API 활동. https://docs.aws.amazon.com/streams/latest/dev/building-consumers.html	Kinesis 스트림 소비자	`AWS::Kinesis::StreamConsumer`
Amazon Kinesis Video Streams	Kinesis Video Streams는 `GetMedia` 및 에 대한 호출과 같은 비디오 스트림에 대한 API 활동을 스트리밍합니다`PutMedia`.	Kinesis 비디오 스트림	`AWS::KinesisVideo::Stream`
Amazon Machine Learning	ML 모델에 대한 Machine Learning API 활동.	기계 학습 MlModel	`AWS::MachineLearning::MlModel`
Amazon Managed Blockchain	네트워크에서 Amazon Managed Blockchain API 활동.	Managed Blockchain 네트워크	`AWS::ManagedBlockchain::Network`
Amazon Managed Blockchain	Amazon Managed Blockchain JSON-RPC `eth_getBalance` 또는 와 같은 이더리움 노드에서 호출합니다`eth_getBlockByNumber`.	Managed Blockchain	`AWS::ManagedBlockchain::Node`
Amazon Neptune Graph	Neptune 그래프에서 쿼리, 알고리즘 또는 벡터 검색과 같은 데이터 API 활동.	Neptune Graph	`AWS::NeptuneGraph::Graph`
Amazon One Enterprise	의 Amazon One Enterprise API 활동UKey.	Amazon One UKey	`AWS::One::UKey`
Amazon One Enterprise	사용자에 대한 Amazon One Enterprise API 활동.	Amazon One 사용자	`AWS::One::User`
AWS Payment Cryptography	AWS Payment Cryptography API 별칭에 대한 활동.	결제 암호화 별칭	`AWS::PaymentCryptography::Alias`
AWS Payment Cryptography	AWS Payment Cryptography API 키에 대한 활동.	결제 암호화 키	`AWS::PaymentCryptography::Key`
AWS Private CA	AWS Private CA Active Directory API 활동을 위한 커넥터입니다.	AWS Private CA Active Directory용 커넥터	`AWS::PCAConnectorAD::Connector`
AWS Private CA	AWS Private CA SCEP API 활동을 위한 커넥터입니다.	AWS Private CA 용 커넥터 SCEP	`AWS::PCAConnectorSCEP::Connector`
Amazon Q 앱	Amazon Q Apps 의 데이터 API 활동.	Amazon Q 앱	`AWS::QApps:QApp`
Amazon Q Business	애플리케이션의 Amazon Q Business API 활동입니다.	Amazon Q Business 애플리케이션	`AWS::QBusiness::Application`
Amazon Q Business	데이터 소스에 대한 Amazon Q Business API 활동입니다.	Amazon Q Business 데이터 소스	`AWS::QBusiness::DataSource`
Amazon Q Business	인덱스에 대한 Amazon Q Business API 활동.	Amazon Q Business 인덱스	`AWS::QBusiness::Index`
Amazon Q Business	웹 환경에서 Amazon Q Business API 활동.	Amazon Q Business 웹 경험	`AWS::QBusiness::WebExperience`
Amazon RDS	DB 클러스터의 Amazon RDS API 활동.	RDS 데이터 API - DB 클러스터	`AWS::RDS::DBCluster`
Amazon S3	액세스 포인트에 대한 Amazon S3 API 활동.	S3 액세스 포인트	`AWS::S3::AccessPoint`
Amazon S3	디렉터리 버킷의 객체에 대한 Amazon S3 객체 수준 API 활동(예: `GetObjectDeleteObject`, 및 `PutObject` API 작업).	S3 Express	`AWS::S3Express::Object`
Amazon S3	`CompleteMultipartUpload` 및 에 대한 호출과 같은 Amazon S3 객체 Lambda 액세스 포인트 API 활동`GetObject`.	S3 객체 Lambda	`AWS::S3ObjectLambda::AccessPoint`
Outposts에서의 Amazon S3	Amazon S3 on Outposts 객체 수준 API 활동 .	S3 Outposts	`AWS::S3Outposts::Object`
Amazon SageMaker	엔드포인트에 대한 Amazon SageMaker `InvokeEndpointWithResponseStream` 활동.	SageMaker 엔드포인트	`AWS::SageMaker::Endpoint`
Amazon SageMaker	기능 스토어에서의 Amazon SageMaker API 활동.	SageMaker 기능 스토어	`AWS::SageMaker::FeatureGroup`
Amazon SageMaker	실험 시험 구성 요소에 대한 Amazon SageMaker API 활동. https://docs.aws.amazon.com/sagemaker/latest/dg/experiments-monitoring.html	SageMaker 지표 실험 평가판 구성 요소	`AWS::SageMaker::ExperimentTrialComponent`
Amazon SNS	플랫폼 엔드포인트에 대한 Amazon SNS `Publish` API 작업.	SNS 플랫폼 엔드포인트	`AWS::SNS::PlatformEndpoint`
Amazon SNS	주제에 대한 Amazon SNS `Publish` 및 `PublishBatch` API 작업.	SNS 주제	`AWS::SNS::Topic`
Amazon SQS	메시지에 대한 Amazon SQS API 활동.	SQS	`AWS::SQS::Queue`
AWS Step Functions	상태 시스템에서 Step Functions API 활동입니다.	Step Functions 상태 시스템	`AWS::StepFunctions::StateMachine`
AWS Supply Chain	AWS Supply Chain API 인스턴스의 활동입니다.	공급망	`AWS::SCN::Instance`
Amazon SWF	도메인 에 대한 Amazon SWF API 활동.	SWF 도메인	`AWS::SWF::Domain`
AWS Systems Manager	제어 채널에 대한 Systems Manager API 활동입니다.	Systems Manager	`AWS::SSMMessages::ControlChannel`
AWS Systems Manager	관리형 노드에서의 Systems Manager API 활동.	Systems Manager 관리형 노드	`AWS::SSM::ManagedNode`
Amazon Timestream	데이터베이스의 Amazon Timestream `Query` API 활동.	Timestream 데이터베이스	`AWS::Timestream::Database`
Amazon Timestream	테이블의 Amazon Timestream `Query` API 활동.	Timestream 테이블	`AWS::Timestream::Table`
Amazon Verified Permissions	정책 스토어의 Amazon Verified Permissions API 활동.	Amazon Verified Permissions	`AWS::VerifiedPermissions::PolicyStore`
Amazon WorkSpaces 씬 클라이언트	WorkSpaces 디바이스의 씬 클라이언트 API 활동.	씬 클라이언트 디바이스	`AWS::ThinClient::Device`
Amazon WorkSpaces 씬 클라이언트	WorkSpaces 환경에서의 씬 클라이언트 API 활동.	씬 클라이언트 환경	`AWS::ThinClient::Environment`
AWS X-Ray	트레이스 에 대한 X-Ray API 활동.	X-Ray 추적	`AWS::XRay::Trace`

추적 또는 이벤트 데이터 스토어를 생성하면 데이터 이벤트는 기본적으로 로깅되지 않습니다. CloudTrail 데이터 이벤트를 기록하려면 활동을 수집할 각 리소스 유형을 명시적으로 추가해야 합니다. 데이터 이벤트 로깅에 대한 자세한 내용은 데이터 이벤트 로깅 섹션을 참조하세요.

데이터 이벤트 로깅에는 추가 요금이 부과됩니다. CloudTrail 요금은 AWS CloudTrail 요금 섹션을 참조하세요.

네트워크 활동 이벤트

참고

네트워크 활동 이벤트는 에 대한 미리 보기 릴리스 중 CloudTrail 이며 변경될 수 있습니다.

CloudTrail 네트워크 활동 이벤트를 사용하면 VPC 엔드포인트 소유자가 프라이빗에서 로 VPC 엔드포인트를 사용하여 수행된 호출을 기록할 AWS API VPC 수 있습니다 AWS 서비스. 네트워크 활동 이벤트는 내에서 수행된 리소스 작업에 대한 가시성을 제공합니다VPC.

다음 서비스에 대한 네트워크 활동 이벤트를 로깅할 수 있습니다.

AWS CloudTrail
Amazon EC2
AWS KMS
AWS Secrets Manager

추적 또는 이벤트 데이터 스토어를 생성할 때 네트워크 활동 이벤트는 기본적으로 기록되지 않습니다. CloudTrail 네트워크 활동 이벤트를 기록하려면 활동을 수집할 이벤트 소스를 명시적으로 설정해야 합니다. 자세한 내용은 네트워크 활동 이벤트 로깅 단원을 참조하십시오.

네트워크 활동 이벤트 로깅에는 추가 요금이 부과됩니다. CloudTrail 요금은 AWS CloudTrail 요금 섹션을 참조하세요.

인사이트 이벤트

CloudTrail Insights 이벤트는 CloudTrail 관리 활동을 분석하여 계정의 비정상적인 API 통화율 또는 오류율 활동을 캡처합니다 AWS . Insights 이벤트는 관련 , 오류 코드API, 인시던트 시간 및 통계와 같은 관련 정보를 제공하여 비정상적인 활동을 이해하고 이에 대한 조치를 취하는 데 도움이 됩니다. CloudTrail 추적 또는 이벤트 데이터 스토어에서 캡처된 다른 유형의 이벤트와 달리 Insights 이벤트는 가 계정의 일반적인 API 사용 패턴과 크게 다른 계정 사용량 또는 오류율 로깅의 변경을 CloudTrail 감지하는 경우에만 로깅됩니다.

Insights 이벤트를 생성할 수 있는 활동의 예는 다음과 같습니다.

계정은 일반적으로 분당 20개 이하의 Amazon S3 deleteBucket API 호출을 기록하지만 계정은 분당 평균 100개의 deleteBucket API 호출을 기록하기 시작합니다. 인사이트 이벤트는 비정상적인 활동이 시작될 때 로깅되고, 다른 인사이트 이벤트는 비정상적인 활동의 종료를 표시하기 위해 로깅됩니다.
일반적으로 계정은 분당 20개의 호출을 Amazon EC2 AuthorizeSecurityGroupIngress 에 로그API하지만 계정은 에 0개의 호출을 로그하기 시작합니다AuthorizeSecurityGroupIngress. 인사이트 이벤트는 비정상적인 활동이 시작될 때 로깅되고, 10분 후 비정상적인 활동이 종료될 때 비정상적 활동의 종료를 표시하기 위해 다른 인사이트 이벤트가 로깅됩니다.
계정은 일반적으로 AWS Identity and Access Management API, 에 7일 동안 1개 미만의 AccessDeniedException 오류를 기록합니다DeleteInstanceProfile. 계정은 DeleteInstanceProfile API 통화 시 분당 평균 12개의 AccessDeniedException 오류를 로깅하기 시작합니다. 인사이트 이벤트는 비정상적인 오류율 활동이 시작될 때 로그되고, 다른 인사이트 이벤트는 비정상적인 활동의 종료를 표시하기 위해 로그됩니다.

이러한 예제는 설명용으로만 제공됩니다. 사용 사례에 따라 결과가 달라질 수 있습니다.

CloudTrail Insights 이벤트를 로깅하려면 신규 또는 기존 추적 또는 이벤트 데이터 스토어에서 Insights 이벤트를 명시적으로 활성화해야 합니다. 추적 생성에 대한 자세한 내용은 CloudTrail 콘솔을 사용하여 추적 생성을 참조하세요. 이벤트 데이터 스토어 생성에 대한 자세한 내용은 콘솔을 사용하여 Insights 이벤트에 대한 이벤트 데이터 스토어 생성 섹션을 참조하세요.

Insights 이벤트 적용에는 추가 요금이 부과됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. 자세한 내용은 AWS CloudTrail 요금을 참조하세요.

이벤트 기록

CloudTrail 이벤트 기록은 에서 지난 90일 동안의 CloudTrail 관리 이벤트에 대한 보기 가능하고, 검색 가능하고, 다운로드 가능하고, 변경할 수 없는 레코드를 제공합니다 AWS 리전. 이 기록을 사용하여 AWS Management Console, , AWS SDKs명령줄 도구 및 기타 AWS 서비스의 AWS 계정에서 수행된 작업을 확인할 수 있습니다. 표시되는 열을 선택하여 CloudTrail 콘솔에서 이벤트 기록 보기를 사용자 지정할 수 있습니다. 자세한 내용은 CloudTrail 이벤트 기록 작업 단원을 참조하십시오.

추적

추적은 S3 버킷으로 CloudTrail 이벤트를 전송할 수 있도록 하는 구성으로, CloudWatch Logs 및 Amazon EventBridge로 선택적으로 전송할 수 있습니다. 추적을 사용하여 전송하려는 CloudTrail 이벤트를 선택하고, AWS KMS 키로 CloudTrail 이벤트 로그 파일을 암호화하고, 로그 파일 전송을 위한 Amazon SNS 알림을 설정할 수 있습니다. 추적 생성 및 관리에 대한 자세한 내용은 나만의 트레일 만들기 AWS 계정 단원을 참조하십시오.

다중 리전 및 단일 리전 추적

에 대한 다중 리전 및 단일 리전 추적을 모두 생성할 수 있습니다 AWS 계정.

다중 리전 추적: 다중 리전 추적을 생성할 때 는 작업 중인 AWS 리전 AWS 파티션의 모든 에 이벤트를 CloudTrail 기록하고 지정한 S3 버킷에 CloudTrail 이벤트 로그 파일을 전달합니다. 다중 리전 추적을 생성한 후 AWS 리전 이 추가되면 해당 새 리전이 자동으로 포함되고 해당 리전의 이벤트가 로깅됩니다. 계정의 모든 리전에서 활동을 캡처하므로, 다중 리전 추적 생성이 권장하는 모범 사례입니다. CloudTrail 콘솔을 사용하여 생성하는 모든 추적은 다중 리전입니다. 를 사용하여 단일 리전 추적을 다중 리전 추적으로 변환할 수 있습니다 AWS CLI. 자세한 내용은 콘솔에서 추적 생성 및 한 리전에 적용되는 추적을 모든 리전에 적용되는 추적으로 변환 단원을 참조하세요.
단일 리전 추적: 단일 리전 추적을 생성할 때 는 해당 리전의 이벤트만 CloudTrail 기록합니다. 그런 다음 지정한 Amazon S3 버킷에 CloudTrail 이벤트 로그 파일을 전송합니다. AWS CLI를 사용하면 단일 리전 추적만 생성할 수 있습니다. 추가 단일 추적을 생성하는 경우 해당 추적이 동일한 S3 버킷 또는 별도의 버킷으로 CloudTrail 이벤트 로그 파일을 전송하도록 할 수 있습니다. 또는 를 사용하여 AWS CLI 추적을 생성할 때 기본 옵션입니다 CloudTrail API. 자세한 내용은 를 사용하여 추적 생성, 업데이트 및 관리 AWS CLI 단원을 참조하십시오.

참고

두 유형의 추적 모두에 대해 모든 리전에서 Amazon S3 버킷을 지정할 수 있습니다.

다중 리전 추적에는 다음과 같은 이점이 있습니다.

추적의 구성 설정은 모든 에 일관되게 적용됩니다 AWS 리전.
AWS 리전 단일 Amazon S3 버킷의 모든 에서, 그리고 선택적으로 CloudWatch 로그 로그 그룹에서 CloudTrail 이벤트를 수신합니다.
AWS 리전 한 위치에서 모든 에 대한 추적 구성을 관리합니다.

모든 AWS 리전에 추적을 적용하면 는 특정 리전에서 생성한 추적을 CloudTrail 사용하여 작업 중인 AWS 파티션의 다른 모든 리전에서 동일한 구성으로 추적을 생성합니다.

이렇게 하면 다음과 같은 효과가 발생합니다.

CloudTrail 는 모든 AWS 리전의 계정 활동에 대한 로그 파일을 지정한 단일 Amazon S3 버킷으로, 그리고 선택적으로 CloudWatch 로그 로그 로그 그룹으로 전송합니다.
추적에 Amazon SNS 주제를 구성한 경우 모든 AWS 리전의 로그 파일 전송에 대한 SNS 알림이 해당 단일 SNS 주제로 전송됩니다.

추적이 다중 리전인지 단일 리전인지에 관계없이 Amazon으로 전송되는 이벤트는 단일 이벤트 버스가 아닌 각 리전의 이벤트 버스 에서 수신 EventBridge 됩니다.

리전별 다중 추적

개발자, 보안 직원 및 IT 감사자 등 서로 다르지만 관련된 사용자 그룹이 있는 경우 리전별로 여러 추적을 생성할 수 있습니다. 이렇게 하면 각 그룹이 고유한 로그 파일 사본을 수신할 수 있습니다.

CloudTrail 는 리전당 5개의 추적을 지원합니다. 다중 리전 추적은 리전당 하나의 추적으로 계산됩니다.

다음은 5개의 추적이 있는 리전의 예입니다.

미국 서부(캘리포니아 북부) 리전에 이 리전에만 적용되는 추적 2개를 생성합니다.
미국 서부(캘리포니아 북부) 리전에 다중 리전 추적을 두 개 더 생성합니다.
아시아 태평양(시드니) 리전에서 다른 다중 리전 추적을 생성합니다. 이 추적은 미국 서부(캘리포니아 북부) 리전에도 추적으로 존재합니다.

CloudTrail 콘솔의 추적 페이지에서 AWS 리전 추적 목록을 볼 수 있습니다. 자세한 내용은 CloudTrail 콘솔로 추적 업데이트 단원을 참조하십시오. CloudTrail 요금은 AWS CloudTrail 요금 섹션을 참조하세요.

조직 추적

조직 추적은 AWS Organizations 조직의 관리 계정 및 모든 멤버 계정의 CloudTrail 이벤트를 동일한 Amazon S3 버킷, CloudWatch 로그 및 Amazon 로 전달할 수 있는 구성입니다 EventBridge. 조직 추적을 생성하면 조직에 대한 균일한 이벤트 로깅 전략을 정의하는 데 도움이 됩니다.

콘솔을 사용하여 생성된 모든 조직 추적은 조직의 각 멤버 계정에서 활성화된 AWS 리전 의 이벤트를 로깅하는 다중 리전 조직 추적입니다. 조직의 모든 AWS 파티션에 이벤트를 로깅하려면 각 파티션에 다중 리전 조직 추적을 생성합니다. 를 사용하여 단일 리전 또는 다중 리전 조직 추적을 생성할 수 있습니다 AWS CLI. 단일 리전 추적을 생성하는 경우 추적의 AWS 리전 (홈 리전이라고도 함)에서만 활동을 기록합니다.

대부분의 AWS 리전 는 기본적으로 에 활성화되어 있지만 특정 리전(옵트인 리전이라고도 함)을 수동으로 활성화 AWS 계정해야 합니다. 기본적으로 활성화되는 리전에 대한 자세한 내용은 AWS Account Management 참조 가이드의 리전을 활성화 및 비활성화하기 전에 고려 사항을 참조하세요. 리전 지원 목록은 섹션을 참조하세요 CloudTrailCloudTrail 지원되는 지역.

조직 추적을 생성하면 조직에 속한 멤버 계정에 이름이 지정된 추적 사본이 생성됩니다.

조직 추적이 단일 리전용이고 추적의 홈 리전이 옵트 리전이 아닌 경우, 추적의 사본이 각 멤버 계정의 조직 추적의 홈 리전에 생성됩니다.
조직 추적이 단일 리전에 대한 것이고 추적의 홈 리전이 옵트 리전인 경우, 해당 리전을 활성화한 멤버 계정의 조직 추적의 홈 리전에 추적 사본이 생성됩니다.
조직 추적이 다중 리전이고 추적의 홈 리전이 옵트인 리전이 아닌 경우 각 멤버 계정에서 활성화된 각 AWS 리전 에 추적 사본이 생성됩니다. 멤버 계정이 옵트인 리전을 활성화하면 해당 리전의 활성화가 완료된 후 멤버 계정에 대해 새로 선택한 리전에 다중 리전 추적의 사본이 생성됩니다.
조직 추적이 다중 리전이고 홈 리전이 옵트인 리전인 경우, 멤버 계정은 다중 리전 추적이 생성된 AWS 리전 를 옵트인하지 않는 한 조직 추적으로 활동을 보내지 않습니다. 예를 들어, 다중 리전 추적을 생성하고 유럽(스페인) 리전을 추적의 홈 리전으로 선택하면 해당 계정에 대해 유럽(스페인) 리전을 활성화한 멤버 계정만 자신의 계정 활동을 조직 추적으로 전송합니다.

참고

CloudTrail 는 리소스 검증에 실패하더라도 멤버 계정에 조직 추적을 생성합니다. 검증 실패의 예는 다음과 같습니다.

잘못된 Amazon S3 버킷 정책
잘못된 Amazon SNS 주제 정책
CloudWatch Logs 로그 그룹에 전달할 수 없음
KMS 키를 사용하여 암호화할 권한이 충분하지 않음

CloudTrail 권한이 있는 멤버 계정은 CloudTrail 콘솔에서 추적의 세부 정보 페이지를 보거나 AWS CLI get-trail-status 명령.

멤버 계정에 CloudTrail 권한이 있는 사용자는 계정에서 AWS CloudTrail AWS 콘솔에 로그인할 때 또는 describe-trails (구성원 계정은 를 사용할 때 이름이 아닌 조직 추적ARN에 를 사용해야 하지만ARN)와 같은 AWS CLI 명령을 실행할 때 조직 추적(추적 포함)을 볼 수 있습니다 AWS CLI. 그러나 멤버 계정의 사용자는 조직 추적을 삭제하거나, 로깅을 켜거나 끄거나, 어떤 유형의 이벤트가 로깅되는지 변경하거나, 어떤 식으로든 조직 추적을 변경할 수 있는 충분한 권한이 없습니다. AWS Organizations에 대한 자세한 내용은 Organizations 용어 및 개념 단원을 참조하세요. 조직 추적을 생성하고 사용하는 방법에 대한 자세한 내용은 조직에 대한 추적 생성을 참조하십시오.

CloudTrail Lake 및 이벤트 데이터 스토어

CloudTrail Lake를 사용하면 이벤트에 대해 세분화된 SQL기반 쿼리를 실행하고 자체 애플리케이션을 AWS포함한 외부 소스와 와 통합된 파트너의 이벤트를 로깅할 수 있습니다 CloudTrail. CloudTrail Lake를 사용하기 위해 계정에 추적을 구성할 필요가 없습니다.

이벤트는 이벤트 데이터 스토어로 집계되며, 이벤트 데이터 스토어는 고급 이벤트 선택기를 적용하여 선택한 기준을 기반으로 하는 변경 불가능한 이벤트 컬렉션입니다. 1년 연장 가능 보존 요금 옵션을 선택하는 경우 최대 3,653일(약 10년), 7년 보존 요금 옵션을 선택하는 경우 최대 2,557일(약 7년) 동안 이벤트 데이터를 이벤트 데이터 스토어에 보관할 수 있습니다. 나중에 사용할 수 있도록 Lake 쿼리를 저장하고 최대 7일 동안 쿼리 결과를 볼 수 있습니다. 쿼리 결과를 S3 버킷에 저장할 수도 있습니다. CloudTrail Lake는 이벤트 데이터 스토어 AWS Organizations 의 에 조직의 이벤트 또는 여러 리전 및 계정의 이벤트를 저장할 수도 있습니다. CloudTrail Lake는 보안 조사 및 문제 해결을 수행하는 데 도움이 되는 감사 솔루션의 일부입니다. 자세한 내용은 AWS CloudTrail Lake 작업 및 CloudTrail Lake 개념 및 용어 단원을 참조하세요.

CloudTrail 인사이트

CloudTrail Insights는 AWS 사용자가 CloudTrail 관리 이벤트를 지속적으로 분석하여 비정상적인 볼륨의 API 호출 또는 API 호출에 기록된 오류를 식별하고 대응하는 데 도움이 됩니다. Insights 이벤트는 비정상적인 수준의 write 관리 API 활동 또는 관리 API 활동에서 반환되는 비정상적인 수준의 오류에 대한 기록입니다. 기본적으로 추적 및 이벤트 데이터 스토어는 CloudTrail Insights 이벤트를 로깅하지 않습니다. 콘솔에서 추적 또는 이벤트 데이터 스토어를 생성하거나 업데이트할 때 Insights 이벤트를 로그하도록 선택할 수 있습니다. 를 사용하는 경우 CloudTrail API를 사용하여 기존 추적 또는 이벤트 데이터 스토어의 설정을 편집하여 Insights 이벤트를 로깅할 수 있습니다PutInsightSelectorsAPI. CloudTrail Insights 이벤트 로깅에는 추가 요금이 부과됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. 자세한 내용은 Insights 이벤트 로깅 및 AWS CloudTrail 요금을 참조하세요.

AWS Security Token Service 및 CloudTrail

AWS Security Token Service (AWS STS)는 글로벌 엔드포인트가 있고 리전별 엔드포인트도 지원하는 서비스입니다. 엔드포인트는 웹 서비스 요청의 진입점URL인 입니다. 예를 들어 https://cloudtrail.us-west-2.amazonaws.com는 AWS CloudTrail 서비스의 미국 서부(오레곤) 리전 진입점입니다. 리전 종단점은 애플리케이션의 지연 시간을 줄이는 데 유용합니다.

AWS STS 리전별 엔드포인트를 사용하면 해당 리전의 추적은 해당 리전에서 발생하는 AWS STS 이벤트만 전달합니다. 예를 들어, 엔드포인트 sts.us-west-2.amazonaws.com을 사용하면 us-west-2의 추적은 us-west-2에서 비롯된 AWS STS 이벤트만 전송합니다. AWS STS 리전 엔드포인트에 대한 자세한 내용은 IAM 사용 설명서의 AWS 리전 AWS STS 에서 활성화 및 비활성화를 참조하세요.

AWS 리전 엔드포인트의 전체 목록은 의 AWS 리전 및 엔드포인트를 참조하세요AWS 일반 참조. 전역적 AWS STS 엔드포인트의 이벤트에 대한 자세한 내용은 글로벌 서비스 이벤트 단원을 참조하세요.

글로벌 서비스 이벤트

중요

2021년 11월 22일부터 는 추적이 글로벌 서비스 이벤트를 캡처하는 방법을 AWS CloudTrail 변경했습니다. 이제 Amazon 에서 생성한 이벤트 CloudFront AWS Identity and Access Management와 이 이벤트가 생성된 리전, 미국 동부(버지니아 북부) 리전, us-east-1에 기록 AWS STS 됩니다. 이렇게 하면 가 이러한 서비스를 다른 AWS 글로벌 서비스의 서비스와 일관되게 CloudTrail 처리합니다. 미국 동부(버지니아 북부) 이외의 지역에서 글로벌 서비스 이벤트를 계속 수신하려면 반드시 미국 동부(버지니아 북부) 이외의 글로벌 서비스 이벤트를 사용하는 단일 리전 추적을 다중 리전 추적으로 변환해야 합니다. 글로벌 서비스 이벤트 캡처에 대한 자세한 내용은 이 단원의 후반부에서 글로벌 서비스 이벤트 로깅 활성화 및 비활성화을(를) 참조하세요.

반대로 CloudTrail 콘솔의 이벤트 기록과 aws cloudtrail lookup-events 명령은 이러한 이벤트가 발생한 AWS 리전 에 이러한 이벤트를 표시합니다.

대부분의 서비스에서 이벤트는 작업이 발생한 리전에 기록됩니다. AWS Identity and Access Management (IAM) AWS STS및 Amazon 과 같은 글로벌 서비스의 경우 CloudFront이벤트는 글로벌 서비스가 포함된 모든 추적으로 전달됩니다.

대부분의 글로벌 서비스의 경우 이벤트는 미국 동부(버지니아 북부) 리전에서 발생한 것으로 로그되지만, 일부 글로벌 서비스 이벤트는 미국 동부(오하이오) 리전 또는 미국 서부(오레곤) 리전과 같은 다른 리전에서 발생한 것으로 로그됩니다.

중복 전역적 서비스 이벤트를 수신하지 않으려면 다음을 알아두십시오.

글로벌 서비스 이벤트는 기본적으로 CloudTrail 콘솔을 사용하여 생성된 추적으로 전달됩니다. 이벤트는 추적에 대한 버킷으로 전송됩니다.
단일 리전 추적이 여러 개 있는 경우 글로벌 서비스 이벤트가 추적 중 하나에만 전송되도록 추적을 구성하는 것이 좋습니다. 자세한 내용은 글로벌 서비스 이벤트 로깅 활성화 및 비활성화 단원을 참조하세요.
모든 리전 로깅에서 단일 리전 로깅으로 추적 구성을 변경하면 글로벌 서비스 이벤트 로깅은 해당 추적에 대해 자동으로 꺼집니다. 마찬가지로, 단일 리전 로깅에서 모든 리전 로깅으로 추적 구성을 변경하면 글로벌 서비스 이벤트 로깅은 해당 추적에 대해 자동으로 켜집니다.

추적에 대해 글로벌 서비스 이벤트 로깅을 변경하는 방법에 대한 자세한 내용은 글로벌 서비스 이벤트 로깅 활성화 및 비활성화 단원을 참조하십시오.

예:

CloudTrail 콘솔에서 추적을 생성합니다. 기본적으로 이 추적은 전역적 서비스 이벤트를 로깅합니다.
단일 리전 추적이 여러 개 있습니다.
단일 리전 추적에 대한 전역적 서비스를 포함할 필요가 없습니다. 전역적 서비스 이벤트는 첫 번째 추적에 전달됩니다. 자세한 내용은 를 사용하여 추적 생성, 업데이트 및 관리 AWS CLI 단원을 참조하십시오.

참고

AWS CLI AWS SDKs, 또는 로 추적을 생성하거나 업데이트할 때 추적에 대한 글로벌 서비스 이벤트를 포함할지 아니면 제외할지 지정할 CloudTrail API수 있습니다. CloudTrail 콘솔에서는 글로벌 서비스 이벤트 로깅을 구성할 수 없습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

CloudTrail 작동 방식

지원되는 리전