151.서비스account의 CloudTrail 모으기

<1> 목적

account 계정들의 CloudTrail 로그를 S3에 모으자

모은 로그를 점검하자

<2> 작업 요약

1. 관리 account 에 s3 bucket 생성

2. 서비스 Account에서 S3 접근 Policy 적용

3. 서비스 account의 cloudtrail log 생성

4. S3에서 로그 확인

<3> 작업

1. 관리 account

s3 bucket 생성

버킷명 : logs11-kr

2. 서비스 Account에서 S3 접근 Policy 적용

서비스 Account -> 관리 Account S3로 데이터 보내려는 권한 허용

60xxxxxxx 는 CloudTail log 보내는 쪽 account 이다.

{

"Version": "2012-10-17",

"Statement": [

{

"Sid": "AWSCloudTrailAclCheck20131101",

"Effect": "Allow",

"Principal": {

"Service": [

"cloudtrail.amazonaws.com",

"ssm.amazonaws.com"

]

},

"Action": "s3:GetBucketAcl",

"Resource": "arn:aws:s3:::logs11-kr",

"Condition": {

"StringEquals": {

"aws:RequestedRegion": "ap-northeast-2"

}

}

},

{

"Sid": "AWSCloudTrailWrite20131101",

"Effect": "Allow",

"Principal": {

"Service": [

"cloudtrail.amazonaws.com",

"ssm.amazonaws.com"

]

},

"Action": "s3:PutObject",

"Resource": [

"arn:aws:s3:::logs11-kr/AWSLogs/60xxxxx/*",

"arn:aws:s3:::logs11-kr/AWSLogs/44xxxx/*"

],

"Condition": {

"StringEquals": {

"s3:x-amz-acl": "bucket-owner-full-control"

}

}

}

]

}

3. 서비스 account

cloudtrail log 생성

1) Create trail

Trail name : serverchk-ct11-kr

Apply trail to all regions > No 로 변경

Storage loation

Create a new S3 bucket > No

S3 bucket : logs11-kr

관리 Account에 S3가 생성되어 있지 않으면, CloudTrail log가 만들어 지지 않는다.

4. S3에서 로그 확인

필터링 해서 ap-northeast-2 1개만 보여진다.

감사합니다.