조직 추적 문제 해결 - AWS CloudTrail
CloudTrail에서 이벤트를 전송하지 않음CloudTrail이 조직의 멤버 계정에 대한 Amazon SNS 알림을 전송하지 않음

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

조직 추적 문제 해결

이 섹션에서는 조직 추적 문제를 해결하는 방법에 대한 정보를 제공합니다.

CloudTrail에서 이벤트를 전송하지 않음

CloudTrail이 CloudTrail 로그 파일을 Amazon S3 버킷에 전송하지 않는 경우

S3 버킷에 문제가 있는지 확인합니다.

  • CloudTrail 콘솔에서 추적의 세부 정보 페이지를 확인합니다. S3 버킷에 문제가 있는 경우 세부 정보 페이지는 S3 버킷으로의 전송이 실패했다는 경고를 포함합니다.

  • 에서 get-trail-status 명령을 AWS CLI실행합니다. 실패한 경우 명령 출력에 LatestDeliveryError 필드가 포함되며, 여기에 로그 파일을 지정된 버킷으로 전달하려고 할 때 CloudTrail에서 발생한 모든 Amazon S3 오류가 표시됩니다. 이 오류는 대상 S3 버킷에 문제가 있는 경우에만 발생하며 제한 시간이 초과된 요청에 대해서는 발생하지 않습니다. 문제를 해결하려면 CloudTrail이 버킷에 쓸 수 있도록 버킷 정책을 수정하거나 새 버킷을 생성한 다음 update-trail을 직접 호출하여 새 버킷을 지정합니다. 조직 버킷 정책에 대한 자세한 내용은 조직 추적에 대한 로그 파일을 저장하는 데 사용할 Amazon S3 버킷 생성 또는 업데이트를 참조하세요.

참고

추적을 잘못 구성한 경우(예: S3 버킷에 연결할 수 없음) CloudTrail은 30일 동안 S3 버킷에 로그 파일을 다시 전송하려고 시도하며 이러한 전송 시도 이벤트에는 표준 CloudTrail 요금이 부과됩니다. 잘못 구성된 추적에 대한 요금이 부과되지 않도록 하려면 추적을 삭제해야 합니다.

CloudTrail이 CloudWatch Logs에 로그를 전송하지 않는 경우

CloudWatch Logs 역할 정책의 구성에 문제가 있는지 확인합니다.

  • CloudTrail 콘솔에서 추적의 세부 정보 페이지를 확인합니다. CloudWatch Logs에 문제가 있는 경우 세부 정보 페이지에 CloudWatch Logs 전송 실패를 나타내는 경고가 포함됩니다.

  • 에서 get-trail-status 명령을 AWS CLI실행합니다. 실패한 경우 명령 출력에 LatestCloudWatchLogsDeliveryError 필드가 포함되며, 여기에 로그를 CloudWatch Logs로 전달하려고 할 때 CloudTrail에서 발생한 모든 CloudWatch Logs 오류가 표시됩니다. 문제를 해결하려면 CloudWatch Logs 역할 정책을 수정합니다. CloudWatch Logs 역할 정책에 대한 자세한 내용은 모니터링을 위해 CloudWatch Logs를 사용하는 CloudTrail의 역할 정책 문서 섹션을 참조하세요.

조직 추적에서 멤버 계정에 대한 활동이 보이지 않는 경우

조직 추적에서 멤버 계정에 대한 활동이 보이지 않는 경우 다음을 확인합니다.

  • 홈 리전에서 추적이 있는지 확인하여 홈 리전이 옵트인 리전인지 확인

    대부분의 AWS 리전 가 기본적으로 활성화되어 있지만 특정 리전(옵트인 리전이라고도 함)을 수동으로 활성화 AWS 계정해야 합니다. 기본적으로 활성화되는 리전에 대한 자세한 내용은 AWS Account Management 참조 가이드리전을 활성화 및 비활성화하기 전 고려 사항을 참조하세요. CloudTrail에서 지원하는 리전 목록은 CloudTrail 지원 리전 섹션을 참조하세요.

    조직 추적이 다중 리전이고 홈 리전이 옵트인 리전인 경우 멤버 계정은 다중 리전 추적이 생성된 AWS 리전 를 옵트인하지 않는 한 조직 추적으로 활동을 보내지 않습니다. 예를 들어, 다중 리전 추적을 생성하고 유럽(스페인) 리전을 추적의 홈 리전으로 선택하면 해당 계정에 대해 유럽(스페인) 리전을 활성화한 멤버 계정만 자신의 계정 활동을 조직 추적으로 전송합니다. 문제를 해결하려면 조직의 각 멤버 계정에서 옵트인 리전을 활성화합니다. 옵트인 리전 활성화에 대한 자세한 내용은 AWS Account Management 참조 가이드Enable or disable a Region in your organization을 참조하세요.

  • 조직 리소스 기반 정책이 CloudTrail 서비스 연결 역할 정책과 충돌하는지 확인

    CloudTrail은 AWSServiceRoleForCloudTrail이라는 서비스 연결 역할을 사용하여 조직 추적을 지원합니다. 이 서비스 연결 역할을 사용하면 CloudTrail이 조직 리소스에 대한 작업(예: organizations:DescribeOrganization)을 수행할 수 있습니다. 조직의 리소스 기반 정책이 서비스 연결 역할 정책에서 허용되는 작업을 거부하는 경우 CloudTrail은 서비스 연결 역할 정책에서 허용되는 경우에도 작업을 수행할 수 없습니다. 문제를 해결하려면 서비스 연결 역할 정책에서 허용되는 작업을 거부하지 않도록 조직의 리소스 기반 정책을 수정합니다.

CloudTrail이 조직의 멤버 계정에 대한 Amazon SNS 알림을 전송하지 않음

AWS Organizations 조직 추적이 있는 멤버 계정이 Amazon SNS 알림을 전송하지 않는 경우 SNS 주제 정책의 구성에 문제가 있을 수 있습니다. CloudTrail은 리소스 검증에 실패하더라도(예를 들어 조직 추적의 SNS 주제에 모든 멤버 계정 ID가 포함되지 않음) 멤버 계정에 조직 추적을 생성합니다. SNS 주제 정책이 올바르지 않으면 권한 부여 실패가 발생합니다.

추적의 SNS 주제 정책에 권한 부여 실패가 있는지 확인하려면 다음을 수행합니다.

  • CloudTrail 콘솔에서 추적의 세부 정보 페이지를 확인합니다. 권한 부여에 실패하면 세부 정보 페이지는 SNS authorization failed 경고를 포함하고 SNS 주제 정책을 수정함을 나타냅니다.

  • 에서 get-trail-status 명령을 AWS CLI실행합니다. 권한 부여에 실패하면 명령 출력은 값이 AuthorizationErrorLastNotificationError 필드를 포함합니다. 문제를 해결하려면 Amazon SNS 주제 정책을 수정합니다. Amazon SNS 주제 정책에 대한 자세한 내용은 CloudTrail에 대한 Amazon SNS 주제 정책 섹션을 참조하세요.

SNS 주제 및 구독에 대한 자세한 내용은 Amazon Simple Notification Service 개발자 안내서Getting started with Amazon SNS를 참조하세요.