조직 트레일 관련 문제 해결 - AWS CloudTrail
CloudTrail 이벤트를 전달하지 않습니다.CloudTrail 조직의 구성원 계정에 대해 Amazon SNS 알림을 전송하지 않음

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

조직 트레일 관련 문제 해결

이 섹션에서는 조직 트레일과 관련된 문제를 해결하는 방법에 대한 정보를 제공합니다.

CloudTrail 이벤트를 전달하지 않습니다.

Amazon S3 버킷으로 CloudTrail 로그 파일을 전송하지 않는 경우 CloudTrail

S3 버킷에 문제가 있는지 확인하십시오.

  • CloudTrail 콘솔에서 트레일의 세부 정보 페이지를 확인하십시오. S3 버킷에 문제가 있는 경우 세부 정보 페이지에 S3 버킷으로의 전송이 실패했다는 경고가 표시됩니다.

  • AWS CLI에서 get-trail-status명령을 실행합니다. 오류가 발생하는 경우 명령 출력에는 지정된 버킷으로 로그 파일을 전송하려고 시도할 때 CloudTrail 발생한 Amazon S3 오류가 표시된 LatestDeliveryError 필드가 포함됩니다. 이 오류는 대상 S3 버킷에 문제가 있는 경우에만 발생하며 요청 시간이 초과된 경우에는 발생하지 않습니다. 문제를 해결하려면 버킷에 쓸 CloudTrail 수 있도록 버킷 정책을 수정하거나 새 버킷을 만든 다음 update-trail 호출하여 새 버킷을 지정하십시오. 조직 버킷 정책에 대한 자세한 내용은 조직 트레일의 로그 파일을 저장하는 데 사용할 Amazon S3 버킷 생성 또는 업데이트를 참조하십시오.

CloudTrail 로그에 CloudWatch 로그를 전달하지 않는 경우

CloudWatch 로그 역할 정책 구성에 문제가 있는지 확인하십시오.

  • CloudTrail 콘솔에서 트레일의 세부 정보 페이지를 확인하세요. 로그에 문제가 있는 경우 세부 정보 페이지에 CloudWatch CloudWatch 로그 전송 실패를 나타내는 경고가 표시됩니다.

  • AWS CLI에서 get-trail-status명령을 실행합니다. 오류가 발생하는 경우 명령 출력에는 CloudWatch 로그를 Logs로 전송하려고 시도할 때 CloudTrail 발생한 모든 로그 오류를 표시하는 LatestCloudWatchLogsDeliveryError 필드가 포함됩니다. CloudWatch 문제를 해결하려면 CloudWatch 로그 역할 정책을 수정하세요. CloudWatch 로그 역할 정책에 대한 자세한 내용은 을 참조하십시오모니터링에 CloudWatch 로그를 CloudTrail 사용하기 위한 역할 정책 문서.

조직 트레일에서 구성원 계정의 활동이 보이지 않는 경우

조직 트레일에서 멤버 계정의 활동이 보이지 않는 경우 다음을 확인하세요.

  • 트레일의 홈 지역을 확인하여 옵트인 지역인지 확인하세요.

    AWS 리전 대부분은 기본적으로 활성화되어 있지만 특정 지역 (옵트인 지역이라고도 함) 은 수동으로 활성화해야 합니다. AWS 계정기본적으로 활성화되는 지역에 대한 자세한 내용은 참조 안내서의 지역 활성화 및 비활성화 전 고려 사항을 참조하십시오.AWS Account Management 지역 CloudTrail 지원 목록은 을 참조하십시오CloudTrail 지원되는 지역.

    조직 트레일이 멀티 리전이고 홈 지역이 옵트인 지역인 경우, 멤버 계정은 멀티 리전 트레일이 생성된 AWS 리전 곳에서 옵트인하지 않는 한 조직 트레일로 활동을 전송하지 않습니다. 예를 들어 다중 지역 트레일을 생성하고 유럽 (스페인) 지역을 트레일의 홈 지역으로 선택하면 해당 계정에 유럽 (스페인) 지역을 활성화한 멤버 계정만 해당 계정 활동을 조직 트레일로 전송합니다. 문제를 해결하려면 조직의 각 구성원 계정에서 옵트인 지역을 활성화하세요. 옵트인 지역을 활성화하는 방법에 대한 자세한 내용은 참조 안내서의 AWS Account Management 조직 내 지역 활성화 또는 비활성화를 참조하십시오.

  • 조직 리소스 기반 정책이 서비스 연결 역할 정책과 충돌하는지 확인하세요. CloudTrail

    CloudTrail 이름이 지정된 서비스 연결 역할을 사용하여 조직 트레일을 지원합니다. AWSServiceRoleForCloudTrail 이 서비스 연결 역할을 통해 조직 CloudTrail 리소스에 대한 작업 (예:) 을 수행할 수 있습니다. organizations:DescribeOrganization 조직의 리소스 기반 정책이 서비스 연결 역할 정책에서 허용되는 작업을 거부하는 경우, CloudTrail 서비스 연결 역할 정책에서 허용되더라도 해당 작업을 수행할 수 없습니다. 문제를 해결하려면 서비스 연결 역할 정책에서 허용되는 작업을 거부하지 않도록 조직의 리소스 기반 정책을 수정해야 합니다.

CloudTrail 조직의 구성원 계정에 대해 Amazon SNS 알림을 전송하지 않음

AWS Organizations 조직 내역이 있는 회원 계정이 Amazon SNS 알림을 전송하지 않는 경우, SNS 주제 정책 구성에 문제가 있을 수 있습니다. CloudTrail 리소스 검증이 실패하더라도 멤버 계정에 조직 트레일을 생성합니다. 예를 들어 조직 트레일의 SNS 주제에 모든 멤버 계정 ID가 포함되어 있지는 않습니다. SNS 주제 정책이 올바르지 않으면 권한 부여가 실패합니다.

트레일의 SNS 주제 정책에 권한 부여 실패가 있는지 확인하려면:

  • CloudTrail 콘솔에서 트레일의 세부 정보 페이지를 확인하세요. 권한 부여에 실패한 경우 세부 정보 페이지에 경고 메시지가 SNS authorization failed 표시되고 SNS 주제 정책을 수정하라는 메시지가 표시됩니다.

  • AWS CLI에서 get-trail-status명령을 실행합니다. 권한 부여에 실패한 경우 명령 출력에는 값이 인 LastNotificationError 필드가 포함됩니다AuthorizationError. 문제를 해결하려면 Amazon SNS 주제 정책을 수정하십시오. Amazon SNS 주제 정책에 대한 자세한 내용은 을 참조하십시오에 대한 Amazon SNS 주제 정책 CloudTrail.

SNS 주제 및 구독에 대한 자세한 내용은 Amazon 단순 알림 서비스 개발자 안내서의 Amazon SNS 시작하기를 참조하십시오.