기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS CloudTrail 자습서 시작하기
<a name="cloudtrail-tutorial"></a>

를 처음 사용하는 경우 AWS CloudTrail이 자습서를 통해 기능을 사용하는 방법을 배울 수 있습니다. CloudTrail 기능을 사용하려면 적절한 권한이 있어야 합니다. 이 페이지에서는 CloudTrail에서 사용할 수 있는 관리형 정책을 설명하고 권한을 부여하는 방법에 대한 정보를 제공합니다.

**Topics**
+ [CloudTrail을 사용하기 위한 권한 부여](#tutorial-grant-permissions)
+ [이벤트 기록 보기](tutorial-event-history.md)
+ [관리 이벤트를 로깅하기 위해 추적 생성](tutorial-trail.md)
+ [S3 데이터 이벤트에 대한 이벤트 데이터 저장소 생성](tutorial-lake-S3.md)

## CloudTrail을 사용하기 위한 권한 부여
<a name="tutorial-grant-permissions"></a>

추적, 이벤트 데이터 저장소 및 채널과 같은 CloudTrail 리소스를 생성, 업데이트 및 관리하려면 CloudTrail을 사용할 수 있는 권한을 부여해야 합니다. 이 섹션에서는 CloudTrail에서 사용할 수 있는 관리형 정책에 대한 정보를 제공합니다.

**참고**  
CloudTrail 관리 작업을 수행할 수 있도록 사용자에게 부여하는 권한은 로그 파일을 Amazon S3 버킷에 전달하거나 알림을 Amazon SNS 주제에 전송하기 위해 CloudTrail에서 필요한 권한과 같지 않습니다. 이러한 권한에 대한 자세한 내용은 [CloudTrail에 대한 Amazon S3 버킷 정책](create-s3-bucket-policy-for-cloudtrail.md)를 참조하십시오.  
Amazon CloudWatch Logs와의 통합을 구성하는 경우 CloudTrail에는 Amazon CloudWatch Logs 로그 그룹에 이벤트를 전달하기 위해 수임할 수 있는 역할도 필요합니다. CloudTrail이 사용하는 역할을 생성해야 합니다. 자세한 내용은 [CloudTrail 콘솔에서 Amazon CloudWatch Logs 정보를 확인하고 구성할 수 있는 권한 부여](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users) 및 [CloudWatch Logs에 이벤트 전송](send-cloudtrail-events-to-cloudwatch-logs.md) 섹션을 참조하세요.

CloudTrail에 사용할 수 있는 AWS 관리형 정책은 다음과 같습니다.
+  [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html) – 이 정책은 추적, 이벤트 데이터 스토어, 채널과 같은 CloudTrail 리소스에서의 CloudTrail 작업에 대한 전체 액세스를 제공합니다. 이 정책은 CloudTrail 추적, 이벤트 데이터 스토어 및 채널을 생성, 업데이트 및 삭제하는 데 필요한 권한을 제공합니다.

   또한 Amazon S3 버킷, CloudWatch Logs의 로그 그룹 및 추적에 대한 Amazon SNS 주제를 관리할 수 있는 권한도 제공합니다. 하지만 `AWSCloudTrail_FullAccess` 관리형 정책에서는 Amazon S3 버킷, CloudWatch Logs의 로그 그룹 또는 Amazon SNS 주제를 삭제할 수 있는 권한은 제공하지 않습니다. 다른 AWS 서비스의 관리형 정책에 대한 자세한 내용은 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html) 참조하세요.
**참고**  
이 **AWSCloudTrail\$1FullAccess** 정책은 사용자 간에 광범위하게 공유하기 위한 것이 아닙니다 AWS 계정. 이 역할이 있는 사용자는 자신의 AWS 계정에서 가장 민감하고 중요한 감사 기능을 사용 중지하거나 재구성할 수 있습니다. 이러한 이유로 이 정책은 계정 관리자에게만 적용해야 합니다. 이 정책의 사용을 면밀히 관리하고 모니터링해야 합니다.
+  [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html) – 이 정책은 최근 이벤트 및 이벤트 기록을 포함하여 CloudTrail 콘솔을 확인할 수 있는 권한을 부여합니다. 또한 이 정책을 통해 기존 추적, 이벤트 데이터 스토어 및 채널을 확인할 수도 있습니다. 이 정책을 사용하는 역할 및 사용자는 [이벤트 기록을 다운로드](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#downloading-events)할 수 있지만, 추적, 이벤트 데이터 스토어 또는 채널을 만들거나 업데이트할 수는 없습니다.

액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요.
+ 의 사용자 및 그룹 AWS IAM Identity Center:

  권한 세트를 생성합니다. *AWS IAM Identity Center 사용자 안내서*에서 [권한 세트 생성](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)의 지침을 따릅니다.
+ ID 제공업체를 통해 IAM에서 관리되는 사용자:

  ID 페더레이션을 위한 역할을 생성합니다. *IAM 사용자 설명서*의 [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)의 지침을 따릅니다.
+ IAM 사용자:
  + 사용자가 맡을 수 있는 역할을 생성합니다. *IAM 사용자 설명서*에서 [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)의 지침을 따릅니다.
  + (권장되지 않음) 정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. *IAM 사용 설명서*에서 [사용자(콘솔)에 권한 추가](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)의 지침을 따릅니다.

# 이벤트 기록 보기
<a name="tutorial-event-history"></a>

이 섹션에서는 CloudTrail 콘솔의 CloudTrail **이벤트 기록** 페이지를 사용하여 AWS 계정 현재에 대한의 지난 90일 관리 이벤트를 보는 방법을 설명합니다 AWS 리전.

****이벤트 기록**을 보는 방법**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1. 탐색 창에서 **Event history(이벤트 기록)**를 선택합니다. 가장 최근 이벤트가 먼저 표시되는 필터링된 이벤트 목록일 보입니다. 이벤트의 기본 필터는 **읽기 전용**이며, **false**로 설정됩니다. 필터 오른쪽에 있는 **X**를 선택하여 해당 필터를 지울 수 있습니다. 단일 속성에서 이벤트를 필터링하여 **Event history(이벤트 기록)**에서 이벤트를 검색할 수 있습니다.  
![\[[읽기 전용(Read-only)] 필터가 강조 표시된 CloudTrail [이벤트 기록(Event history)] 페이지\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/cloudtrail-event-history.png)

1. 필터링할 속성을 선택하고 속성의 전체 값을 입력합니다. CloudTrail은 부분 값으로 필터링할 수 없습니다. 예를 들어 모든 콘솔 로그인 이벤트를 보려면 **이벤트 이름** 필터를 선택하고 속성 값으로 **ConsoleLogin**을 지정할 수 있습니다.  
![\[ConsoleLogin 이벤트로 필터링된 CloudTrail 이벤트 기록 페이지.\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/cloudtrail-event-history-filters.png)

   또는 최근 CloudTrail 관리 이벤트를 보려면 **이벤트 소스**를 선택하고 `cloudtrail.amazonaws.com`을 지정합니다. 서비스가 CloudTrail에 로깅하는 이벤트에 대한 자세한 내용은 서비스의 API 참조를 참조하세요.  
![\[특정 이벤트 소스에서 필터링된 CloudTrail 이벤트 기록 페이지\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/event-history-event-source.png)

1. 특정 관리 이벤트를 보려면 이벤트 이름을 선택합니다. 이벤트 세부 정보 페이지에서 이벤트에 대한 세부 정보, 참조된 리소스, 이벤트 기록을 확인할 수 있습니다.

1. 이벤트를 비교하려면 **Event history(이벤트 기록)** 테이블의 왼쪽 여백에 있는 확인란을 선택하여 최대 5개의 이벤트를 선택합니다. **이벤트 세부 정보 비교** 테이블에서, 선택한 이벤트의 세부 정보를 나란히 살펴볼 수 있습니다.

1. CSV 또는 JSON 형식의 파일로 다운로드하여 이벤트 기록을 저장할 수 있습니다. 이벤트 기록을 다운로드하는 데 몇 분 정도 걸릴 수 있습니다.  
![\[다운로드 옵션이 표시된 CloudTrail [이벤트 기록(Event history)] 페이지\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/cloudtrail-event-history-download.png)

자세한 내용은 [CloudTrail 이벤트 기록 작업](view-cloudtrail-events.md) 단원을 참조하십시오.

# 관리 이벤트를 로깅하기 위해 추적 생성
<a name="tutorial-trail"></a>

첫 번째 추적의 경우 모든 [관리 이벤트](cloudtrail-concepts.md#cloudtrail-concepts-management-events)를 로깅하고 [데이터 이벤트](cloudtrail-concepts.md#cloudtrail-concepts-data-events) 또는 Insight 이벤트는 로깅하지 않는 추적을 생성하는 것이 좋습니다. 관리 이벤트의 예에는 IAM `CreateUser` 및 `AttachRolePolicy` 이벤트와 같은 보안 이벤트, `RunInstances` 및 `CreateBucket`과 같은 리소스 이벤트 등이 포함됩니다. CloudTrail 콘솔에서 추적 생성의 일부로 추적에 대한 로그 파일을 저장하는 Amazon S3 버킷을 생성합니다.

**참고**  
AWS Control Tower 는 랜딩 존을 설정할 때 새 CloudTrail 추적 로깅 관리 이벤트를 설정합니다. 이는 조직 수준 추적으로, 관리 계정의 모든 관리 이벤트와 조직의 모든 멤버 계정을 로깅합니다. 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [AWS Control Tower에서 로깅 정보](https://docs.aws.amazon.com/controltower/latest/userguide/about-logging.html)를 참조하세요.  
이 자습서에서는 첫 번째 추적을 생성하고 있다고 가정합니다. AWS 계정에 있는 추적 수와 추적 구성 방식에 따라 다음 절차에 따라 비용이 발생할 수도 있고 발생하지 않을 수도 있습니다. CloudTrail은 Amazon S3 버킷에 로그 파일을 저장하므로 비용이 발생합니다. 요금에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [Amazon S3 요금](https://aws.amazon.com/s3/pricing/)을 참조하세요.

**추적을 생성하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1. **리전** 선택기에서 추적을 생성할 AWS 리전을 선택합니다. 이 리전은 추적에 대한 홈 리전입니다.
**참고**  
홈 리전은 생성된 후 추적을 업데이트할 수 AWS 리전 있는 유일한 위치입니다.

1. CloudTrail 서비스 홈 페이지의 [**추적(Trails)**] 페이지 또는 [**대시보드(Dashboard)**] 페이지의 [**추적(Trails)**] 단원에서 [**추적 생성(Create trail)**]을 선택합니다.

1. **추적 이름**에서 추적에 이름을 지정합니다(예: *management-events*). 모범 사례로 추적 목적을 빠르게 식별할 수 있는 이름을 사용합니다. 이 경우에는 관리 이벤트를 로깅하는 추적을 생성합니다.

1. **Enable for all accounts in my organization(내 조직의 모든 계정 활성화)**의 기본 설정을 그대로 선택합니다. Organizations 계정이 구성되어 있어야 이 옵션을 변경할 수 있습니다.

1. [**스토리지 위치(Storage location)**]에서 [**새 S3 버킷 생성(Create new S3 bucket)**]을 선택하여 버킷을 생성합니다. 버킷을 생성하면 CloudTrail은 필요한 버킷 정책을 생성하고 적용합니다. 새 S3 버킷을 생성하려는 경우 버킷에 대해 기본적으로 서버 측 암호화가 활성화되어 있기 때문에 IAM 정책은 `s3:PutEncryptionConfiguration` 작업에 대한 권한을 포함해야 합니다. 버킷에 쉽게 식별할 수 있는 이름을 지정합니다.

   로그를 더 쉽게 찾을 수 있도록 기존 버킷에 새 폴더(또는 **‘접두사’)를 생성하여 CloudTrail 로그를 저장할 수 있습니다.
**참고**  
Amazon S3 버킷의 이름은 전역적으로 고유해야 합니다. 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [버킷 이름 지정 규칙](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html)을 참조하세요.

1. 확인란의 선택을 취소하여 [**로그 파일 SSE-KMS 암호화(Log file SSE-KMS encryption)**]를 비활성화합니다. 기본적으로 로그 파일은 SSE-S3 암호화를 통해 암호화됩니다. 자세한 내용은 [Amazon S3 관리형 키(SSE-S3)를 사용한 서버 측 암호화 사용](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)을 참조하세요.

1. [**추가 설정(Additional settings)**]의 기본 설정을 그대로 둡니다.

1. **CloudWatch Logs**의 기본 설정을 그대로 둡니다. 지금은 Amazon CloudWatch Logs로 로그를 전송하지 마세요.

1. (선택 사항) **태그**의 경우 추적에 대한 액세스를 식별, 정렬 및 제어하는 데 도움이 되도록 최대 50개의 태그 키 페어를 추가할 수 있습니다. 태그를 사용하면 CloudTrail 로그 파일이 포함된 Amazon S3 버킷과 같이 CloudTrail 추적 및 다른 리소스를 식별할 수 있습니다. 예를 들어 **Compliance** 이름과 **Auditing** 값을 사용하여 태그를 연결할 수 있습니다.
**참고**  
CloudTrail 콘솔에서 태그를 생성할 때 추적에 태그를 추가할 수 있고 CloudTrail 콘솔에서 로그 파일을 저장할 Amazon S3 버킷을 생성할 수 있지만 CloudTrail 콘솔에서 Amazon S3 버킷에 태그를 추가할 수는 없습니다. 버킷에 태그를 추가하는 등 Amazon S3 버킷의 속성을 보고 변경하는 방법에 대한 자세한 내용은 [https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html)를 참조하세요.

   작업을 마쳤으면 [**다음(Next)**]을 선택합니다.

1. [**로그 이벤트 선택(Choose log events)**] 페이지에서 로그할 이벤트 유형을 선택합니다. 이 추적의 경우 기본값인 [**관리 이벤트(Management events)**]를 그대로 둡니다. [**관리 이벤트(Management events)**] 영역에서, 아직 선택하지 않은 경우 [**읽기(Read)**] 및 [**쓰기(Write)**] 이벤트를 모두 로그하도록 선택합니다. 모든 관리 ** AWS KMS 이벤트를 로깅하려면 이벤트 제외** 및 **Amazon RDS 데이터 API 이벤트 제외** 확인란을 비워 둡니다.  
![\[[추적 생성(Create trail)] 페이지, [이벤트 유형(Event type)] 설정\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-event-type.png)

1. **데이터 이벤트**, **Insights 이벤트** 및 **네트워크 활동 이벤트**에 대한 기본 설정은 그대로 유지합니다. 이 추적은 데이터 이벤트, Insights 이벤트 또는 네트워크 활동 이벤트를 로깅하지 않습니다. **다음**을 선택합니다.

1. [**검토 및 생성(Review and create)**] 페이지에서 추적에 대해 선택한 설정을 검토합니다. 뒤로 돌아가서 변경하려면 단원에 대해 [**편집(Edit)**]을 선택합니다. 추적을 생성할 준비가 되면 [**추적 생성(Create trail)**]을 선택합니다.

1. 이 [**추적(Trails)**] 페이지에서 새 추적을 테이블로 표시합니다. 추적은 기본적으로 [**다중 리전 추적(Multi-region trail)**]으로 설정되며 로깅이 추적에 대해 기본적으로 활성화됩니다.  
![\[[추적 생성(Create trail)] 페이지, [이벤트 유형(Event type)] 설정\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-done.png)

추적에 대한 자세한 내용은 [CloudTrail 추적 작업](cloudtrail-trails.md) 섹션을 참조하세요.

# 로그 파일 보기
<a name="tutorial-trail-logs"></a>

첫 번째 추적을 생성한 후 5분 이내에 CloudTrail은 추적을 위한 Amazon S3 버킷에 첫 번째 로그 파일 집합을 제공합니다. 이러한 파일을 살펴보고 포함된 정보에 대해 알아볼 수 있습니다.

**참고**  
CloudTrail은 일반적으로 API 호출 후 평균 5분 이내에 로그를 전달합니다. 이 시간은 보장되지 않습니다. 자세한 내용은 [AWS CloudTrail 서비스 수준 계약](https://aws.amazon.com/cloudtrail/sla)에서 검토하세요.  
추적을 잘못 구성한 경우(예: S3 버킷에 연결할 수 없음) CloudTrail은 30일 동안 S3 버킷에 로그 파일을 다시 전송하려고 시도하며 이러한 전송 시도 이벤트에는 표준 CloudTrail 요금이 부과됩니다. 잘못 구성된 추적에 대한 요금이 부과되지 않도록 하려면 추적을 삭제해야 합니다.

**로그 파일 보기**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1. 탐색 창에서 [**Trails**]를 선택합니다. **추적** 페이지에서 방금 생성한 추적의 이름을 찾습니다(예제에서, *management-events*).

1. 추적 행에서 S3 버킷의 값을 선택합니다.

1. Amazon S3 콘솔이 열리고 버킷에 대한 두 개의 폴더(`CloudTrail-Digest` 및 `CloudTrail`)가 표시됩니다. 로그 파일을 보려면 **CloudTrail** 폴더를 선택합니다.

1. 다중 리전 추적을 생성한 경우 각각에 대한 폴더가 있습니다 AWS 리전. 로그 파일을 검토할 AWS 리전 의 폴더를 선택합니다. 예를 들어, 미국 동부(오하이오) 리전에 대한 로그 파일을 검토하려는 경우 **us-east-2**를 선택합니다.  
![\[AWS 리전의 로그 파일 구조가 표시된 추적용 Amazon S3 버킷\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/cloudtrail-trail-bucket-1.png)

1. 해당 리전에서 활동 로그를 검토하려는 연도, 월 및 일로 버킷 폴더 구조를 탐색합니다. 해당 요일에는 수많은 파일이 있습니다. 파일 이름은 AWS 계정 ID로 시작하고 확장명 로 끝납니다`.gz`. 예를 들어 계정 ID가 *123456789012*인 경우 *123456789012*\$1CloudTrail\$1*us-east-2*\$1*20240512T0000Z\$1EXAMPLE*.json.gz와 유사한 이름의 파일이 표시됩니다.

   이러한 파일을 보려면 파일을 다운로드하고 압축을 푼 다음 일반 텍스트 편집기 또는 JSON 파일 뷰어에서 파일을 볼 수 있습니다. 일부 브라우저도 .gz 및 JSON 파일 직접 보기를 지원합니다. JSON 뷰어를 사용하는 것이 좋습니다. 이 뷰어를 사용하면 CloudTrail 로그 파일의 정보를 쉽게 구문 분석할 수 있습니다.

# S3 데이터 이벤트에 대한 이벤트 데이터 저장소 생성
<a name="tutorial-lake-S3"></a>

이벤트 데이터 스토어를 생성하여 CloudTrail 이벤트(관리 이벤트, 데이터 이벤트), [CloudTrail Insights 이벤트](query-event-data-store-insights.md), [AWS Audit Manager 증거](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder), [AWS Config 구성 항목](query-event-data-store-config.md) 또는 [비AWS 이벤트](event-data-store-integration-events.md)를 로깅할 수 있습니다.

데이터 이벤트에 대한 이벤트 데이터 스토어를 생성할 때 데이터 이벤트를 로깅할 AWS 서비스 및 리소스 유형을 선택합니다. AWS 서비스 해당 로그 데이터 이벤트에 대한 자세한 내용은 섹션을 참조하세요[데이터 이벤트](logging-data-events-with-cloudtrail.md#logging-data-events).

이 연습에서는 Amazon S3 데이터 이벤트에 대한 이벤트 데이터 저장소를 생성하는 방법을 보여 줍니다. 이 자습서에서는 모든 Amazon S3 데이터 이벤트를 기록하는 대신, 객체가 특정 S3 버킷에서 삭제된 경우에만 이벤트를 기록하는 사용자 지정 로그 선택기 템플릿을 선택합니다.

**S3 데이터 이벤트에 대한 이벤트 데이터 스토어 생성**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1.  탐색 창의 **Lake**에서 **Event data stores**(이벤트 데이터 스토어)를 선택합니다.

1. **이벤트 데이터 스토어 생성**을 선택합니다.

1. **이벤트 데이터 스토어 구성(Configure event data store)** 페이지의 **일반 세부 정보(General details)**에서 이벤트 데이터 스토어 이름을 지정합니다(예: *s3-data-events-eds*). 모범 사례로 이벤트 데이터 스토어의 목적을 빠르게 식별할 수 있는 이름을 사용합니다. CloudTrail 이름 지정 요구 사항에 대한 자세한 내용은 [CloudTrail 리소스, S3 버킷 및 KMS 키에 대한 이름 지정 요구 사항](cloudtrail-trail-naming-requirements.md) 섹션을 참조하세요.

1. 이벤트 데이터 스토어에 사용할 **요금 옵션**을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md) 섹션을 참조하세요.

   다음과 같은 옵션을 사용할 수 있습니다.
   + **1년 연장 가능 보존 요금** - 매월 25TB 미만의 이벤트 데이터를 모을 것으로 예상되고 최대 10년의 유연한 보존 기간을 원하는 경우 일반적으로 권장됩니다. 처음 366일(기본 보존 기간) 동안은 추가 요금 없이 모으기 요금에 스토리지가 포함됩니다. 366일 후에는 사용량에 따른 요금으로 연장 보존이 가능합니다. 이는 기본 옵션입니다.
     + **기본 보존 기간:** 366일
     + **최대 보존 기간:** 3,653일
   + **7년 보존 요금** - 매월 25TB 이상의 이벤트 데이터를 모을 것으로 예상되고 최대 7년의 보존 기간이 필요한 경우 권장됩니다. 추가 비용 없이 모으기 요금에 보존이 포함됩니다.
     + **기본 보존 기간:** 2,557일
     + **최대 보존 기간:** 2,557일

1. 이벤트 데이터 스토어의 보존 기간을 지정합니다. 보존 기간은 **1년 연장 가능 보존 요금** 옵션의 경우 7일\$13,653일(약 10년), **7년 보존 요금** 옵션의 경우 7일\$12,557일(약 7년)일 수 있습니다.

    CloudTrail Lake는 이벤트의 `eventTime`가 지정된 보존 기간 내에 있는지 확인하여 이벤트 보존 여부를 결정합니다. 예를 들어 보존 기간을 90일로 지정했을 때, CloudTrail은 `eventTime`이 90일이 넘으면 이벤트를 제거합니다.

1. (선택 사항) **암호화(Encryption)**에서 자체 KMS 키를 사용하여 이벤트 데이터 스토어를 암호화할지 선택합니다. 기본적으로 이벤트 데이터 스토어의 모든 이벤트는가 AWS 소유하고 관리하는 KMS 키를 사용하여 CloudTrail에 의해 암호화됩니다.

   자체 KMS 키를 사용하여 암호화를 활성화하려면, **내 AWS KMS key키 사용**을 선택합니다. **새로 만들기**를 선택하여를 자동으로 AWS KMS key 생성하거나 **기존**를 선택하여 기존 KMS 키를 사용합니다. **Enter KMS alias**(KMS 별칭 입력)에 `alias/`*MyAliasName* 형식으로 별칭을 지정합니다. 자체 KMS 키를 사용하려면 CloudTrail 로그를 암호화하고 복호화할 수 있도록 KMS 키 정책을 편집해야 합니다. 자세한 내용은 [CloudTrail에 대한 AWS KMS 키 정책 구성](create-kms-key-policy-for-cloudtrail.md) 단원을 참조하십시오. CloudTrail은 AWS KMS 다중 리전 키도 지원합니다. 다중 리전 키에 대한 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [다중 리전 키 사용](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) 단원을 참조하세요.

   자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.
**참고**  
조직 이벤트 데이터 스토어에 대한 AWS Key Management Service 암호화를 활성화하려면 관리 계정에 기존 KMS 키를 사용해야 합니다.

1. (선택 사항) Amazon Athena를 사용하여 이벤트 데이터에 대해 쿼리하려면 **Lake 쿼리 페더레이션**에서 **활성화**를 선택합니다. 페더레이션을 통해 AWS Glue [데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)의 이벤트 데이터 스토어와 연결된 메타데이터를 확인하고 Athena에서 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고 읽고 처리하는 방법을 알 수 있습니다. 자세한 내용은 [이벤트 데이터 스토어 페더레이션](query-federation.md) 단원을 참조하십시오.

   Lake 쿼리 페더레이션을 활성화하려면 **활성화**를 선택하고 다음을 수행합니다.

   1. 새 역할을 생성할지 아니면 기존 IAM 역할을 사용할지 선택합니다. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html)은 이 역할을 사용하여 페더레이션 이벤트 데이터 스토어에 대한 권한을 관리합니다. CloudTrail 콘솔을 사용하여 새 역할을 생성하면 CloudTrail은 필요한 권한이 있는 역할을 자동으로 생성합니다. 기존 역할을 선택하는 경우 해당 역할에 대한 정책이 [필요한 최소 권한](query-federation.md#query-federation-permissions-role)을 제공하는지 확인합니다.

   1. 새 역할을 생성하는 경우 역할을 식별할 수 있는 이름을 입력합니다.

   1. 기존 역할을 사용하는 경우 사용하려는 역할을 선택합니다. 계정에 역할이 있어야 합니다.

1. (선택 사항) **리소스 정책 활성화**를 선택하여 이 이벤트 데이터 스토어에 리소스 기반 정책을 추가합니다. 리소스 기반 정책을 사용하면 이벤트 데이터 스토어에서 작업을 수행할 수 있는 위탁자를 제어할 수 있습니다. 예를 들어 다른 계정의 루트 사용자가 이 이벤트 데이터 스토어를 쿼리하고 쿼리 결과를 볼 수 있도록 하는 리소스 기반 정책을 추가할 수 있습니다. 예시 정책은 [이벤트 데이터 스토어의 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds) 섹션을 참조하세요.

   리소스 기반 정책에는 하나 이상의 문이 포함됩니다. 정책의 각 스테이트먼트는 이벤트 데이터 스토어에 대한 액세스가 허용되거나 거부된 [위탁자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)와 위탁자가 이벤트 데이터 스토어 리소스에서 수행할 수 있는 작업을 정의합니다.

   이벤트 데이터 스토어의 리소스 기반 정책에서 지원되는 작업은 다음과 같습니다.
   +  `cloudtrail:StartQuery` 
   +  `cloudtrail:CancelQuery` 
   +  `cloudtrail:ListQueries` 
   +  `cloudtrail:DescribeQuery` 
   +  `cloudtrail:GetQueryResults` 
   +  `cloudtrail:GenerateQuery` 
   +  `cloudtrail:GenerateQueryResultsSummary` 
   +  `cloudtrail:GetEventDataStore` 

   [조직 이벤트 데이터 스토어](cloudtrail-lake-organizations.md)의 경우 CloudTrail은 위임된 관리자 계정이 조직 이벤트 데이터 스토어에서 수행할 수 있는 작업을 나열하는 [기본 리소스 기반 정책](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)을 생성합니다. 이 정책의 권한은 AWS Organizations의 위임된 관리자 권한에서 파생됩니다. 이 정책은 조직의 이벤트 데이터 스토어 또는 조직이 변경되면(예: CloudTrail의 위임된 관리자 계정이 등록 또는 제거됨) 자동으로 업데이트됩니다.

1. (선택 사항)**Tags(태그)**에서 이벤트 데이터 스토어에 하나 이상의 사용자 정의 태그(키-값 쌍)를 추가합니다. 태그를 사용하면 CloudTrail 이벤트 데이터 스토어를 식별하는 데 도움을 받을 수 있습니다. 예를 들어 **stage** 이름과 **prod** 값을 사용하여 태그를 연결할 수 있습니다. 태그를 사용하여 이벤트 데이터 스토어에 대한 액세스를 제한할 수도 있습니다. 또한 태그를 사용하여 이벤트 데이터 스토어의 쿼리 및 수집 비용을 추적할 수도 있습니다.

   비용을 추적하는 태그 사용 방법에 대한 자세한 내용은 [CloudTrail Lake 이벤트 데이터 스토어에 대한 사용자 정의 비용 할당 태그 생성](cloudtrail-budgets-tools.md#cloudtrail-lake-manage-costs-tags) 섹션을 참조하세요. IAM 정책을 사용하여 태그를 기반으로 이벤트 데이터 스토어에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 [예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)를 참조하세요. 에서 태그를 사용하는 방법에 대한 자세한 내용은 리소스 태그 지정 *사용 설명서의 AWS 리소스 태그 지정*을 AWS참조하세요. [AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) 

1.  **Next(다음)**를 선택하여 이벤트 데이터 스토어를 구성합니다.

1.  **Choose events**(이벤트 선택) 페이지에서 **Event type**(이벤트 유형)에 대한 기본 선택 항목을 그대로 선택합니다.  
![\[이벤트 데이터 스토어의 이벤트 유형 선택\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/lake-event-type.png)

1. **CloudTrail events(CloudTrail 이벤트)**는 **Data events(데이터 이벤트)**를 선택하고, **관리 이벤트(Management events)**는 선택 해제합니다. 데이터 이벤트에 대한 자세한 내용은 [데이터 이벤트 로깅](logging-data-events-with-cloudtrail.md) 섹션을 참조하세요.  
![\[이벤트 데이터 스토어의 CloudTrail 데이터 선택\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/cloudtrail-events-data.png)

1. **Copy trail events(추적 이벤트 복사)**의 기본 설정을 그대로 선택합니다. 이 옵션을 사용하면 이벤트 데이터 스토어에 기존 추적 이벤트를 복사할 수 있습니다. 자세한 내용은 [추적 이벤트를 이벤트 데이터 스토어에 복사](cloudtrail-copy-trail-to-lake-eds.md) 단원을 참조하십시오.

1. 스토어인 경우, 조직 이벤트 데이터 **Enable for all accounts in my organization**(내 조직의 모든 계정에 대해 활성화)을 선택합니다. AWS Organizations에 계정이 구성되어 있어야 이 옵션을 변경할 수 있습니다.

1.  **Additional settings(추가 설정)**의 기본 선택 항목을 기본 설정을 그대로 선택합니다. 기본적으로 이벤트 데이터 스토어는 모든에 대한 이벤트를 수집하고 이벤트가 생성될 때 이벤트 수집을 AWS 리전 시작합니다.

1. **Data events(데이터 이벤트)**는 다음과 같이 선택합니다.

   1. **리소스 유형**에서 **S3**를 선택합니다. 리소스 유형은 데이터 이벤트가 로깅되는 AWS 서비스 및 리소스를 식별합니다.

   1. **Log selector template(로그 선택기 템플릿)**에서 **Custom(사용자 지정)**을 선택합니다. **Custom(사용자 지정)**을 선택하면 `eventName`, `resources.ARN`, 및 `readOnly` 필드를 기준으로 필터링할 사용자 지정 이벤트 선택기를 정의할 수 있습니다. 이러한 필드에 대한 자세한 내용은 *AWS CloudTrail API 참조*의 [AdvancedFieldSelector](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html) 섹션을 참조하세요.

   1. (선택 사항) **Selector name(선택자 이름)**에 선택자를 식별할 이름을 입력합니다. 선택기 이름은 "특정 S3 버킷에 대한 DeleteObject API 호출 로그"와 같이 고급 이벤트 선택기를 설명하는 이름입니다. 선택기 이름은 고급 이벤트 선택기에서의 `Name`으로 나열되며, **JSON view(JSON 뷰)**를 확장하여 볼 수 있습니다.  
![\[고급 이벤트 선택기를 보여주는 확장된 JSON 뷰\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/json-view-selector-name.png)

   1. **고급 이벤트 선택기**에서 `eventName` 및 `resources.ARN` 필드를 기준으로 필터링하는 사용자 지정 이벤트 선택기를 빌드합니다. 이벤트 데이터 스토어의 고급 이벤트 선택기는 추적에 적용하는 고급 이벤트 선택기와 동일하게 작동합니다. 고급 이벤트 선택기를 빌드하는 방법에 대한 자세한 내용은 [고급 이벤트 선택기를 사용하여 데이터 이벤트 로깅](logging-data-events-with-cloudtrail.md#creating-data-event-selectors-advanced) 단원을 참조하십시오.

      1. **Field(필드)**에서 **eventName**을 선택합니다. **Operator(연산자)**에서 **equals(같음)**을 선택합니다. **Value(값)**에 **DeleteObject**를 입력합니다. **\$1필드**를 선택하여 다른 필드를 기준으로 필터링합니다.

      1. **Field(필드)**는 **resources.ARN**을 선택합니다. **Operator(연산자)**는 **StartsWith**를 선택합니다. **값**에는 버킷의 ARN(예: arn:aws:s3:::*amzn-s3-demo-bucket*)을 입력합니다. ARN을 획득하는 방법에 대한 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [Amazon S3 리소스](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html) 섹션을 참조하세요.  
![\[S3 데이터 이벤트 구성\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/eds-data-events.png)

1. **Next**(다음)를 선택하여 선택 사항을 검토합니다.

1. **검토 및 생성(Review and create)** 페이지에서 선택 사항을 검토합니다. **편집(Edit)**을 선택하여 단원을 변경합니다. 이벤트 데이터 스토어를 생성할 준비가 되었으면 **이벤트 데이터 스토어 생성(Create event data store)**을 선택합니다.

1. 새 이벤트 데이터 스토어는 **이벤트 데이터 스토어(Event data stores)** 페이지의 **이벤트 데이터 스토어(Event data stores)** 테이블에서 볼 수 있습니다.

   이 시점부터 이벤트 데이터 스토어는 고급 이벤트 선택기와 일치하는 이벤트를 캡처합니다. 기존 트레일 이벤트를 복사하기로 선택하지 않은 한 이벤트 데이터 스토어를 만들기 전에 발생한 이벤트는 이벤트 데이터 스토어에 존재하지 않습니다.

이제 이벤트 데이터 스토어에 대한 쿼리를 실행할 수 있습니다. 샘플 쿼리를 보고 실행하는 방법에 대한 자세한 내용은 [CloudTrail 콘솔을 사용하여 샘플 쿼리 보기](lake-console-queries.md) 섹션을 참조하세요.

CloudTrail Lake에 대한 자세한 내용은 [AWS CloudTrail Lake 작업](cloudtrail-lake.md)를 참조하세요.