50. (Aws/Amazon) [Amazon CloudTrail] Aws CloudTrail 개념 및 설정 정리 - AWS 서비스 수행 작업 이벤트 기록

---

[개발 환경 설정]

​

개발 환경 : Aws / Amazon Web Services

​

 

---

[설명 정리]

​

// --------------------------------------------------------------------------------------
[개발 및 환경]
// --------------------------------------------------------------------------------------

- 인프라 : Aws / Amazon Web Services

- 기술 구분 : Aws / CloudTrail / 이벤트 기록 / 로그 / 모니터링

// --------------------------------------------------------------------------------------






// --------------------------------------------------------------------------------------
[설 명]
// --------------------------------------------------------------------------------------

1. Aws CloudTrail 는 AWS 서비스 전반에 걸친 작업들 (AWS Management Console, AWS CLI, AWS SDK, API 등) 이벤트 기록을 수행하는 Event History 관리 서비스입니다


2. Aws CloudTrail 이벤트 로깅 네가지 유형 : 

  >> 관리 이벤트 : AWS 계정의 리소스에서 수행되는 관리 작업에 대한 정보를 제공합니다 (제어 영역 작업)

    - 보안 구성 (예: AWS Identity and Access Management AttachRolePolicy: API 작업)

    - 디바이스 등록 (예: Amazon EC2 CreateDefaultVpc API 작업)

    - 데이터 라우팅 규칙 구성 (예: Amazon EC2 CreateSubnet API 작업)

    - 로깅 설정 (예 AWS CloudTrail CreateTrail: API 작업)

  >> 데이터 이벤트 : 리소스 상에서, 또는 리소스 내에서 수행되는 리소스 작업에 대한 정보를 제공합니다 (데이터 영역 작업)

    - S3 버킷의 객체에서 Amazon S3 객체 수준 API 활동 (예: GetObject, DeleteObject, PutObject API 작업)

    - AWS Lambda 함수 실행 활동 (InvokeAPI)

    - AWS외부에서 이벤트를 로깅하는 데 사용되는 CloudTrail Lake 채널에서의 CloudTrail PutAuditEvents 활동

    - 주제에 따른 Amazon SNS Publish 및 PublishBatch API 운영입니다

  >> 네트워크 활동 이벤트 : CloudTrail 네트워크 활동 이벤트를 사용하면 VPC 엔드포인트 소유자가 프라이빗 VPC에서 로 VPC 엔드포인트를 사용하여 수행된 AWS API 호출을 기록할 수 있습니다

    - 이벤트 로깅 종류 : AWS CloudTrail , Amazon EC2 , AWS IoT FleetWise , AWS KMS , Amazon S3 , AWS Secrets Manager , Amazon Transcribe

  >> Insights 이벤트 : CloudTrail 관리 활동을 분석하여 사용자의 AWS 계정에서 비정상적인 API 호출률 또는 오류 활동을 캡처합니다

    - 계정이 일반적으로 분당 20건 이하의 Amazon S3 deleteBucket API 호출을 로그하는데, 계정에서 분당 평균 100건의 deleteBucket API 호출을 로그하기 시작합니다

    - 계정이 일반적으로 분당 20건의 Amazon EC2 AuthorizeSecurityGroupIngress API 호출을 로그하는데, 계정에서 0건의 AuthorizeSecurityGroupIngress 호출을 로그하기 시작합니다

    - 계정은 일반적으로 AWS Identity and Access Management API, DeleteInstanceProfile에서 7일 동안 1개 미만의 AccessDeniedException 오류를 로그합니다


3. Aws CloudTrail 이벤트 기록 설명 : 

  >> CloudTrail 이벤트 기록은 지난 90일간 AWS 리전의 CloudTrail 관리 이벤트에 대해 보기, 검색 및 다운로드가 가능하고, 수정이 불가능한 레코드를 제공합니다

  >> CloudTrail 에 기록된 이벤트 기록은 AWS SDKs , AWS Management Console , 명령줄 도구 및 기타 AWS 서비스에서 AWS 계정에서 수행한 작업을 확인할 수 있습니다


4. Aws CloudTrail 추적 설명 : 

  >> 추적은 CloudTrail 이벤트를 S3 버킷으로 전달할 수 있는 구성입니다

  >> 추적을 사용하여 전송하려는 CloudTrail 이벤트를 선택하고, AWS KMS 키를 사용하여 CloudTrail 이벤트 로그 파일을 암호화하고, 로그 파일 전송을 위한 Amazon SNS 알림을 설정할 수 있습니다


5. Aws CloudTrail 액세스 방법 : 

  >> CloudTrail 콘솔 : AWS Management Console 로그인 후 서비스를 사용할 수 있습니다. ( https://console.aws.amazon.com/cloudtrail/ )

  >> AWS CLI : AWS Command Line Interface 는 명령줄에서 CloudTrail과 상호 작용하는 데 사용할 수 있는 통합 도구입니다

  >> CloudTrail API : 콘솔 및 CLI 외에도 CloudTrail RESTful API를 사용하여 CloudTrail을 직접 프로그래밍할 수 있습니다.

  >> AWS SDKs :  AWS SDKs. 각 SDK 를 사용하면 편리하게 CloudTrail에 프로그래밍 방식으로 액세스 할 수 있습니다.

// --------------------------------------------------------------------------------------






// --------------------------------------------------------------------------------------
[참고 사이트]
// --------------------------------------------------------------------------------------

[Aws 사이트 : AWS CloudTrail 란 무엇입니까?]

https://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/cloudtrail-user-guide.html


[Aws 사이트 : CloudTrail 개념]

https://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/cloudtrail-concepts.html


[Aws 사이트 : AWS CloudTrail 자습서 시작하기]

https://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/cloudtrail-tutorial.html

// --------------------------------------------------------------------------------------

 

---

[참고 사이트]

​

https://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/cloudtrail-user-guide.html

란 무엇입니까 AWS CloudTrail? - AWS CloudTrail

---