131.CloudTrail 이용하기

<1> 목적

시스템 로그를 저장한다.

저장한 로그를 모니터링한다.

저장한 로그를 문제의 원인을 찾는다.

<2> CloudTrail 로 확인 가능한것

1. 모든 API 작업 로그로 기록 확인

2. 시스템 사용 이력을 확인

3. 로그를 S3에 저장하여 추후 감사

<3> 실습

CloudTrail 만들면서, 로그저장용 S3를 만들어 저장한다.

참고 : CloudTrail은 디폴트로 enable된다.

순서

1. CloudTrail 생성

2. S3 생성 : test6-bucket-kr

3. CloudTrail Event history 확인

4. S3에서 CloudTrail log 확인

1. CloudTrail 생성 : test7-trail-kr

1) Create trail

Storage location : Create New S3 bucket > Yes > test7-s3-kr > create

CloudTral에서 New s3 Bucket을 생성하면 기본적으로 다음과 같은 Bucket Policy가 들어간다.

S3 > test7-s3-kr > Permissions > Bucket Policy

{

"Version": "2012-10-17",

"Statement": [

{

"Sid": "AWSCloudTrailAclCheck20150319",

"Effect": "Allow",

"Principal": {

"Service": "cloudtrail.amazonaws.com"

},

"Action": "s3:GetBucketAcl",

"Resource": "arn:aws:s3:::test7-s3-kr"

},

{

"Sid": "AWSCloudTrailWrite20150319",

"Effect": "Allow",

"Principal": {

"Service": "cloudtrail.amazonaws.com"

},

"Action": "s3:PutObject",

"Resource": "arn:aws:s3:::test7-s3-kr/AWSLogs/605701001576/*",

"Condition": {

"StringEquals": {

"s3:x-amz-acl": "bucket-owner-full-control"

}

}

}

]

}

3. CloudTrail Event history 확인

각종 이벤트 확인이 가능하다.

4. S3에서 Cloud Trail log 확인

S3에서 필터링을 하지 않은 경우 모든 지역의 로그가 남는다.

필터링이 필요하다.

5. S3에 모든 지역의 로그가 남는다. 필터링이 필요하다.

- aws:RequestedRegion 로 제한이 가능하다.

https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html

https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys

{

"Version": "2012-10-17",

"Statement": [

{

"Sid": "AWSCloudTrailAclCheck20150319",

"Effect": "Allow",

"Principal": {

"Service": "cloudtrail.amazonaws.com"

},

"Action": "s3:GetBucketAcl",

"Resource": "arn:aws:s3:::test7-s3-kr",

"Condition": {

"StringEquals": {

"aws:RequestedRegion": "ap-northeast-1"

}

}

},

{

"Sid": "AWSCloudTrailWrite20150319",

"Effect": "Allow",

"Principal": {

"Service": "cloudtrail.amazonaws.com"

},

"Action": "s3:PutObject",

"Resource": "arn:aws:s3:::test7-s3-kr/AWSLogs/605701001576/*",

"Condition": {

"StringEquals": {

"s3:x-amz-acl": "bucket-owner-full-control"

}

}

}

]

}

6. 테스트 완료후 CloudTrail 삭제

CloudTrail > Trails > 해당 CloudTrail 선택

오른쪽 위 휴지통이 삭제이다.

감사합니다.