13. CloudTrail

Overview

 

개요 및 배경

• AWS 계정의 거버넌스, 규정 준수 및 감사(Audit)를 위한 서비스로 계정 생성 시 기본적으로 활성화되어 있음
• AWS Management Console, SDK, CLI 및 기타 AWS 서비스에서 수행된 모든 API 호출 및 이벤트 기록을 제공함
• "누가, 언제, 무엇을 했는지" 추적하여 리소스 변경(예: EC2 인스턴스 종료)의 원인 및 주체를 명확히 파악할 수 있음
• 단일 리전 또는 모든 리전(All regions)에 적용되는 추적(Trail)을 생성하여 로그 데이터를 중앙 집중화할 수 있음

주요 리소스 및 기능

1. 관리 이벤트 (Management Events)
   • AWS 리소스에 수행되는 제어 영역 작업이며 기본적으로 로깅됨 (예: 보안 그룹 구성, 서브넷 생성 등)
   • 리소스를 수정하지 않는 읽기(Read) 이벤트(예: 인스턴스 목록 조회)와 인프라에 영향을 미치는 쓰기(Write) 이벤트(예: DynamoDB 테이블 삭제)로 세분화하여 필터링 가능함
2. 데이터 이벤트 (Data Events)
   • 대규모 및 고빈도로 발생하는 데이터 영역 작업으로, 비용 및 볼륨 문제로 인해 기본적으로 로깅되지 않음 (별도 활성화 필요)
   • 주요 대상: S3 객체 수준 활동(GetObject, PutObject, DeleteObject 등) 및 Lambda 함수 실행 활동(Invoke API 호출)
3. CloudTrail Insights
   • 정상적인 관리 이벤트 패턴의 기준선(Baseline)을 학습한 후, 계정 내 비정상적인 활동(Anomalies)을 자동으로 탐지함 (예: 리소스 프로비저닝 급증, IAM 작업 폭증 등)
   • 탐지된 인사이트 이벤트는 콘솔에 표시되며, 지정된 S3 버킷이나 EventBridge로 전송되어 즉각적인 알림 및 자동화 조치를 트리거할 수 있음

헷갈리는 포인트 (Tips)

• CloudTrail 콘솔에서 기본적으로 제공하는 이벤트 보존 기간은 90일임
• 90일 이상의 장기 보관 및 규정 준수가 필요한 경우, 이벤트를 반드시 Amazon S3 버킷으로 내보내도록 설정해야 함
• S3 버킷에 장기 저장된 대량의 CloudTrail 로그 데이터를 검색하고 분석할 때는 서버리스 대화형 쿼리 서비스인 Amazon Athena를 연동하여 사용하는 것이 권장 아키텍처임