AWS CloudTrail은 계정에 대한 AWS API 호출을 기록하고 로그 파일을 사용자에게 전달하는 웹 서비스입니다. API 호출자 ID, API 호출 시간, API 호출자의 소스 IP 주소, 요청 파라미터 및 AWS 서비스가 반환한 응답 요소와 같은 정보가 기록됩니다.

CloudTrail을 사용하여 AWS Management Console, AWS SDK, 명령줄 도구, 상위 수준 AWS 서비스(예: AWS CloudFormation)를 통해 이루어진 API 호출을 비롯하여 계정에 대한 AWS API 호출 내역을 확인할 수 있습니다. CloudTrail에서 작성되는 AWS API 호출 내역을 통해 보안 분석, 리소스 변경 사항 추적 및 규정 준수 감사를 수행할 수 있습니다.

무료로 AWS 시작하기

무료 계정 생성
또는 콘솔에 로그인

Amazon Web Services에 가입하면 AWS 프리 티어에 12개월 동안 액세스할 수 있습니다. 연중무휴 24시간 고객 서비스, 지원 포럼 등을 비롯한 AWS Basic Support 기능을 사용해 보십시오.




CloudTrail은 AWS API 호출을 기록하여 사용자 활동을 더욱 더 잘 파악할 수 있도록 합니다. 특정 사용자가 특정 기간에 수행한 작업은 무엇인지, 특정 리소스에 대해 특정 기간 작업을 수행한 사용자는 누구인지, 특정 활동의 소스 IP 주소는 무엇인지, 부적절한 권한으로 인해 실패한 활동은 무엇인지 등을 파악할 수 있습니다.

CloudTrail은 로그 파일 보관 및 전송에 Amazon S3를 사용하므로 로그 파일을 오랜 기간 저렴한 비용으로 저장할 수 있습니다. Amazon S3 수명 주기 구성 규칙을 사용해 보관 비용을 더욱 절감할 수 있습니다. 예를 들어 오래된 로그 파일을 자동으로 삭제하거나 Amazon Glacier에 보관하는 규칙을 정의하여 추가 절감이 가능합니다.

전송된 각 로그 파일에 대한 알림을 게시하도록 CloudTrail을 구성할 수 있습니다. 이를 통해 사용자는 로그 파일이 전송되었을 때 자동으로 조치를 취할 수 있습니다. CloudTrail은 알림에 Amazon Simple Notification Service(SNS)를 사용합니다.

CloudTrail에서는 S3 객체에 대한 Get, Put, Delete, ACL 변경 사항 등 모든 S3 객체 수준 API 호출에 대한 가시성을 제공합니다. API 호출을 수행한 IAM 사용자가 누구인지, 언제 호출했는지, 영향을 받은 리소스는 무엇인지 등 각 API 호출에 대한 세부 정보를 받을 수 있습니다.

사용자가 지정한 CloudWatch Logs 로그 그룹으로 API 활동을 전달하도록 CloudTrail을 구성할 수 있습니다. 그런 다음 CloudWatch Alarms를 생성하여 특정 API 활동이 발생할 경우 SNS 알림을 수신할 수 있습니다. 자세한 내용은 FAQ와 CloudTrail 설명서의 사용 설명서를 참조하십시오.

 

여러 계정 및 리전 전체의 로그 파일을 집계하고 로그 파일은 단일 버킷으로 전송하도록 CloudTrail을 구성할 수 있습니다. 자세한 지침은 사용 설명서의 단일 Amazon S3 버킷으로 CloudTrail 로그 파일 집계하기 섹션을 참조하십시오.

기본적으로 CloudTrail은 지정된 Amazon S3 버킷으로 전송된 모든 로그 파일을 Amazon S3 서버측 암호화(SSE)를 사용하여 암호화합니다. 원하는 경우 AWS Key Management Service(KMS) 키를 사용해 로그 파일을 암호화함으로써 CloudTrail 로그 파일에 대한 보안 계층을 추가할 수 있습니다. 사용자에게 복호화 권한이 있는 경우 Amazon S3에서 로그 파일을 자동으로 복호화합니다. 자세한 내용은 KMS 키를 사용하여 로그 파일 암호화하기를 참조하십시오.


AWS 계정에서 기록된 API 활동을 조회하면 운영 문제를 해결하거나 보안 분석을 수행할 수 있습니다. AWS CloudTrail 콘솔, AWS CLI 또는 AWS SDK를 사용하여 지난 7일간의 API 활동과 관련된 질문에 대한 답변을 빠르고 쉽게 찾아 즉각적인 조치를 취할 수 있습니다. 자세한 내용은 API 활동 조회에 대해 설명하는 CloudTrail 설명서의 이 섹션을 참조하십시오.

 

Amazon S3 버킷에 저장된 CloudTrail 로그 파일의 무결성을 검증하고, CloudTrail에서 로그 파일을 Amazon S3 버킷으로 전송한 이후로 로그 파일이 그대로 유지되거나, 수정되거나, 삭제되었는지 탐지할 수 있습니다. IT 보안 및 감사 프로세스를 지원하도록 로그 파일 무결성 검증 기능을 사용할 수 있습니다.


CloudTrail에서 작성되는 AWS API 호출 내역을 로그 관리 및 분석 솔루션에 입력하여 보안 분석을 수행하고 사용자 행동 패턴을 감지할 수 있습니다.

 

CloudTrail에서 작성되는 AWS API 호출 내역을 사용하여 Amazon EC2 인스턴스, Amazon VPC 보안 그룹, Amazon EBS 볼륨을 비롯한 AWS 리소스의 생성, 수정, 삭제와 같은 변경 사항을 추적할 수 있습니다.

CloudTrail은 AWS API 호출 내역을 제공하여 내부 정책 및 규제 표준을 쉽게 준수하도록 해줍니다. 자세한 내용은 AWS 준수 백서 "Security at Scale: Logging in AWS"를 참조하십시오.

CloudTrail에서 작성되는 AWS API 호출 내역을 사용하여 운영 관련 문제를 해결할 수 있습니다. 예를 들어 사용자 환경의 리소스에서 가장 최근에 이루어진 변경 사항을 빠르게 식별할 수 있습니다.


CloudTrail은 AWS 서비스 대부분의 API 활동과 서비스 이벤트를 기록합니다. 현재 지원되는 서비스 목록은 CloudTrail User Guide를 참조하십시오.


CloudTrail은 모든 AWS 리전에서 지원됩니다. 지원되는 리전 및 엔드포인트의 전체 목록은 CloudTrail User Guide를 참조하십시오.