[AWS][Cloudtrail] 여러 계정의 로그 파일을 한 개의 계정에 수신
[AWS] 여러 계정의 cloudtrail 로그 파일을 한 개의 계정에 수신
문의 사항
안녕하세요.
조직내 Cloudtrail 중앙집중화 하여 설정을 하려고 합니다.
저희 관리계정에 Cloudtrail에 대한 권한을 주실 수 있는지 문의 드립니다.
아울러 Organizations 환경에서 Cloudtrail을 중앙집중화 하게 설정 할 수 있는 가이드나 문서가 있으시다면 공유 부탁 드립니다.
감사합니다.
답변
안녕하세요.
CloudTrail 중앙 집중화 문의를 주신 것을 보아 여러 계정의 cloudtrail 로그 파일을 한 개의 계정에 수신할 수 있는 방법에 대해서 문의 주신 것으로 판단됩니다.
여러 계정의 로그 파일을 하나의 S3 버킷으로 수신하도록 설정할 수 있습니다.
다음의 내용을 참조하셔서 설정하시기 바랍니다.
1. 대상 버킷이 속할 계정에서 CloudTrail 을 켭니다 (이 예에서는 111111111111). 아직 다른 계정에서는 CloudTrail 을 켜지 마십시오.
지침은 추적 생성을 참조하십시오.
2. CloudTrail에 상호 계정 권한을 허용하기 위해 대상 버킷에서 버킷 정책을 업데이트합니다.
지침은 여러 계정에 대한 버킷 정책 설정을 참조하십시오.
3. 원하는 다른 계정 (이 예에서는 2222222222, 3333333333 및 4444444444444444444444) 에서 CloudTrail 켭니다. 이러한 계정에서 CloudTrail 을 구성하여 1단계 (이 예에서는 11111111) 에서 지정한 계정에 속하는 동일한 버킷을 사용합니다.
지침은 추가 계정에서 CloudTrail 활성화을 참조하십시오.
참조 링크 [1] - 여러 계정에서 CloudTrail 로그 파일 수신 : https://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html
참조 링크 [2] - 여러 계정에 대한 버킷 정책 설정 : https://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/cloudtrail-set-bucket-policy-for-multiple-accounts.html
문의 사항[2]
알려주신 방법과 "조직에 대한 추적 생성" 방법에는 어떠한 차이점이 있을까요?https://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/creating-trail-organization.html
대략적으로 문서를 읽어보니 "조직에 대한 추적 생성"은 조직내 모든 AWS 계정에 Cloudtrail을 자동생성해주는것 같은데요.
보통 Organizations 환경에서는 말씀해주신 방법으로 구축을 하게 되나요?
Organizations 환경에서 Cloudtrail을 어떻게 운영하는게 효율적일지 궁금합니다.
답변[2]
먼저 "AWS 계정에 대한 추적 생성"과 "조직에 대한 추적 생성"에 대한 차이점에 대해 이야기하면,
"AWS 계정에 대한 추적 생성"의 경우 "특정 AWS 계정 내"에서의 활동을 추적하기 위해 생성하는 추적이고,
"조직에 대한 추적 생성"의 경우 "AWS Organization 서비스를 사용하여 관리되는 여러 계정"에서 발생하는 활동을 추적하는데 사용합니다.
따라서 단일 계정 내에서의 활동을 추적하는데에는 "AWS 계정에 대한 추적 생성"을 생성하고,
"조직에 대한 추적 생성"은 여러 AWS 계정을 관리하는 AWS Organization에서의 활동을 추적하는 데 사용한다고 생각하시면 될 것 같습니다.
다음으로 Organizations 환경에서 Cloudtrail을 어떻게 운영하는게 효율적인지에 대해 이야기드리겠습니다.
AWS Cloudtrail의 Best Practice는 다음과 같습니다.
- 모든 AWS 계정 및 리전에서 CloudTrail을 구성할 것
- 별도의 보안 경계에 있는 S3 버킷에 전달되도록 CloudTrail 로그를 구성할 것
- 로그파일을 저장하는 S3 버킷의 MFA 삭제 및 버전 관리를 활성화할 것
등의 내용 외에도 참고하실 내용은 참조 링크를 확인 부탁드립니다.
추가적으로 요청하신 내용에 대해 답변드리겠습니다.
문의사항 1) "조직에 대한 추적 생성" 후 특정 계정에서 CloudTrail 추적을 예외로 할 수 있는지
답변) 조직에 대한 추적을 생성 후 Trails에서 특정 계정만 예외로 하는 기능은 따로 없습니다.
하지만 권장사항은 아니지만 SCP 기능을 통해 계정에 대한 CloudTrail 서비스에 대한 권한을 거부하는 규칙을 추가하여 추적을 제외할 수 있을 것으로 보여집니다.
문의사항 2) 조직에 대한 추적 생성 후 Cloudwatch Log Insights를 사용할 수 있는지
답변) Cloudwatch Log를 활성화 한 후 동일하게 사용할 수 있습니다. 하지만 다른 계정이 속한 Cloudwatch Log 로그 그룹을 사용할 수 없습니다. 자세한 내용은 참조 링크 확인 부탁드립니다.
감사합니다.
참조 링크[1] - Security best practices in AWS CloudTrail : https://docs.aws.amazon.com/awscloudtrail/latest/userguide/best-practices-security.html
참조 링크[2] - AWS CloudTrail Best Practices : https://aws.amazon.com/ko/blogs/mt/aws-cloudtrail-best-practices/
참조 링크[3] - CloudWatch Logs에 이벤트 전송 : https://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/creating-an-organizational-trail-prepare.html