151.서비스account의 CloudTrail 모으기
<1> 목적
account 계정들의 CloudTrail 로그를 S3에 모으자
모은 로그를 점검하자
<2> 작업 요약
1. 관리 account 에 s3 bucket 생성
2. 서비스 Account에서 S3 접근 Policy 적용
3. 서비스 account의 cloudtrail log 생성
4. S3에서 로그 확인
<3> 작업
1. 관리 account
s3 bucket 생성
버킷명 : logs11-kr
2. 서비스 Account에서 S3 접근 Policy 적용
서비스 Account -> 관리 Account S3로 데이터 보내려는 권한 허용
60xxxxxxx 는 CloudTail log 보내는 쪽 account 이다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20131101",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com",
"ssm.amazonaws.com"
]
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::logs11-kr",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "ap-northeast-2"
}
}
},
{
"Sid": "AWSCloudTrailWrite20131101",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com",
"ssm.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::logs11-kr/AWSLogs/60xxxxx/*",
"arn:aws:s3:::logs11-kr/AWSLogs/44xxxx/*"
],
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
3. 서비스 account
cloudtrail log 생성
1) Create trail
Trail name : serverchk-ct11-kr
Apply trail to all regions > No 로 변경
Storage loation
Create a new S3 bucket > No
S3 bucket : logs11-kr
관리 Account에 S3가 생성되어 있지 않으면, CloudTrail log가 만들어 지지 않는다.
4. S3에서 로그 확인
필터링 해서 ap-northeast-2 1개만 보여진다.
감사합니다.
