151.서비스account의 CloudTrail 모으기

<1> 목적

account 계정들의   CloudTrail 로그를  S3에  모으자

모은 로그를 점검하자

<2>  작업 요약

1. 관리 account 에 s3 bucket  생성

2. 서비스 Account에서  S3 접근 Policy 적용

3. 서비스 account의 cloudtrail log 생성

4. S3에서 로그 확인

<3>  작업  

1. 관리 account  

s3 bucket 생성

버킷명 : logs11-kr

2. 서비스 Account에서  S3 접근 Policy 적용

서비스 Account   ->  관리 Account S3로 데이터 보내려는 권한 허용

60xxxxxxx 는  CloudTail log 보내는 쪽 account  이다.

{

    "Version": "2012-10-17",

    "Statement": [

        {

            "Sid": "AWSCloudTrailAclCheck20131101",

            "Effect": "Allow",

            "Principal": {

                "Service": [

                    "cloudtrail.amazonaws.com",

                    "ssm.amazonaws.com"

                ]

            },

            "Action": "s3:GetBucketAcl",

            "Resource": "arn:aws:s3:::logs11-kr",

            "Condition": {

                "StringEquals": {

                    "aws:RequestedRegion": "ap-northeast-2"

                }

            }

        },

        {

            "Sid": "AWSCloudTrailWrite20131101",

            "Effect": "Allow",

            "Principal": {

                "Service": [

                    "cloudtrail.amazonaws.com",

                    "ssm.amazonaws.com"

                ]

            },

            "Action": "s3:PutObject",

            "Resource": [

                "arn:aws:s3:::logs11-kr/AWSLogs/60xxxxx/*",

                "arn:aws:s3:::logs11-kr/AWSLogs/44xxxx/*"

            ],

            "Condition": {

                "StringEquals": {

                    "s3:x-amz-acl": "bucket-owner-full-control"

                }

            }

        }

    ]

}

3. 서비스 account

cloudtrail log 생성

1) Create trail

Trail name :  serverchk-ct11-kr

Apply trail to all regions  >  No 로 변경

Storage loation 

Create a new S3 bucket > No 

S3 bucket :  logs11-kr

관리 Account에 S3가 생성되어 있지 않으면, CloudTrail log가 만들어 지지 않는다.

4. S3에서 로그 확인

필터링 해서 ap-northeast-2  1개만 보여진다.

감사합니다.