AWS KMS 키 (SSE-KMS) 를 사용하여 CloudTrail 로그 파일 암호화 - AWS CloudTrail
로그 파일 암호화 사용

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS KMS 키 (SSE-KMS) 를 사용하여 CloudTrail 로그 파일 암호화

기본적으로 버킷으로 전송되는 로그 파일은 KMS키 (SSE-KMS) 를 사용한 서버 측 암호화를 사용하여 암호화됩니다. CloudTrail SSE- KMS 암호화를 활성화하지 않으면 SSE-S3 암호화를 사용하여 로그가 암호화됩니다.

참고

서버 측 암호화를 활성화하면 로그 파일은 암호화되지만 -를 사용하여 다이제스트 파일은 암호화되지 않습니다. SSE KMS 다이제스트 파일은 Amazon S3에서 관리하는 암호화 키 (SSE-S3) 로 암호화됩니다.

S3 버킷 키와 함께 기존 S3 버킷을 사용하는 경우, 키 정책에서 작업 및 을 사용할 수 있는 권한이 CloudTrail 허용되어야 합니다. AWS KMS GenerateDataKey DescribeKey 키 정책에서 이러한 권한이 cloudtrail.amazonaws.com에 부여되지 않은 경우 추적을 생성하거나 업데이트할 수 없습니다.

SSEKMS CloudTrail-를 사용하려면 a라고도 하는 KMS 키를 생성하고 관리합니다 AWS KMS key. 키를 사용하여 로그 파일을 암호화하고 CloudTrail 해독할 수 있는 사용자를 결정하는 정책을 키에 연결합니다. S3를 통해 원활하게 암호를 해제합니다. 키의 인증된 사용자가 CloudTrail 로그 파일을 읽으면 S3가 암호 해독을 관리하고 승인된 사용자는 암호화되지 않은 형식의 로그 파일을 읽을 수 있습니다.

이 접근 방식에는 다음과 같은 장점이 있습니다.

  • KMS키 암호화 키를 직접 생성하고 관리할 수 있습니다.

  • 단일 KMS 키를 사용하여 모든 지역의 여러 계정에 대한 로그 파일을 암호화하고 해독할 수 있습니다.

  • 로그 파일을 암호화하고 해독하는 데 키를 사용할 수 있는 사람을 제어할 수 있습니다. CloudTrail 요구 사항에 따라 조직에서 키에 대한 권한을 사용자에게 할당할 수 있습니다.

  • 보안을 강화했습니다. 이 기능을 사용할 경우 로그 파일을 읽으려면 다음 권한이 필요합니다.

    • 사용자는 로그 파일이 포함된 버킷에 대한 S3 읽기 권한이 있어야 합니다.

    • 또한 사용자는 키 정책에 따른 암호 해독 권한을 허용하는 정책 또는 역할을 적용해야 합니다. KMS

  • S3는 KMS 키 사용 권한이 있는 사용자의 요청에 대해 로그 파일을 자동으로 해독하므로 로그 파일 KMS 암호화는 CloudTrail 로그 데이터를 읽는 애플리케이션과 이전 버전과 호환됩니다. SSE CloudTrail

참고

선택한 KMS 키는 로그 파일을 수신하는 Amazon S3 버킷과 동일한 AWS 지역에 생성되어야 합니다. 예를 들어, 로그 파일을 미국 동부 (오하이오) 지역의 버킷에 저장하려는 경우 해당 지역에서 생성된 KMS 키를 생성하거나 선택해야 합니다. Amazon S3 버킷의 리전을 확인하려면 Amazon S3 콘솔에서 해당 속성을 검사하세요.

로그 파일 암호화 사용

참고

CloudTrail 콘솔에서 KMS 키를 생성하는 경우 필수 KMS 키 정책 섹션이 자동으로 CloudTrail 추가됩니다. IAM콘솔에서 키를 생성했거나 AWS CLI 필수 정책 섹션을 수동으로 추가해야 하는 경우 다음 절차를 따르십시오.

SSE- CloudTrail 로그 파일 KMS 암호화를 활성화하려면 다음과 같은 상위 단계를 수행하십시오.

  1. KMS키 생성.

    • 를 사용하여 KMS 키를 만드는 방법에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서의 키 만들기를 참조하십시오. AWS Management Console

    • 를 사용하여 KMS 키를 만드는 방법에 대한 자세한 내용은 create-key를 참조하십시오. AWS CLI

    참고

    선택한 KMS 키는 로그 파일을 수신하는 S3 버킷과 동일한 지역에 있어야 합니다. S3 버킷에 대한 리전을 확인하려면 S3 콘솔에서 버킷 속성을 조사하세요.

  2. 로그 파일을 암호화하고 사용자가 CloudTrail 해독할 수 있도록 하는 정책 섹션을 키에 추가합니다.

    • 정책에 포함할 사항에 대한 자세한 내용은 에 대한 AWS KMS 주요 정책 구성 CloudTrail을 참조하세요.

      주의

      로그 파일을 읽어야 하는 모든 사용자를 위해 정책에 암호화 해제 권한을 포함해야 합니다. 키를 추적 구성에 추가하기 전에 이 단계를 수행하지 않으면 암호화 해제 권한이 없는 사용자는 해당 권한이 부여될 때까지 암호화된 파일을 읽을 수 없습니다.

    • IAM콘솔에서 정책을 편집하는 방법에 대한 자세한 내용은 개발자 안내서의 키 정책 편집을 참조하십시오.AWS Key Management Service

    • 를 사용하여 KMS 키에 정책을 연결하는 방법에 대한 자세한 내용은 을 AWS CLI참조하십시오 put-key-policy.

  3. 정책을 수정한 대상 KMS CloudTrail 키를 사용하도록 트레일을 업데이트하십시오.

CloudTrail AWS KMS 다중 지역 키도 지원합니다. 다중 리전 키에 대한 자세한 내용은 AWS Key Management Service 개발자 가이드다중 리전 키 사용 단원을 참조하세요.

다음 섹션에서는 KMS 키 정책을 함께 CloudTrail 사용하는 데 필요한 정책 섹션에 대해 설명합니다.