[AWS]Cloud Trail로 계정 활동을 추적하자

1. AWS Cloud Trail이란?

AWS 계정에 대한 거버넌스, 규정 준수, 운영 및 위험 감사를 활성화하는 데 도움이 되는 AWS 서비스입니다.

계정 활동을 추적하여 혹시모를 위험에 대비하는 서비스이다. 그렇다면 어떤 것을 추적하나?

CloudTrail을 사용하여 AWS 인프라 전반에서 계정 활동을 확인, 검색, 다운로드, 보관 및 응답할 수 있습니다. 누가 또는 무엇이 어떤 작업을 수행했는지, 어떤 리소스에 대해 조치가 취해졌는지, 언제 이벤트가 발생했는지, AWS 계정에서 활동 분석 및 응답에 도움이 되는 기타 세부 정보를 식별할 수 있습니다.

특정 계정이 인프라 전반에서 리소스에 대해 어떤 작업을 했는지, 모두 다 추적한다. 그렇다면 대응도 하나?

AWS CloudTrail Insights를 활성화하여 비정상적인 활동을 식별하고 이에 대응할 수 있습니다.

2. 실습하기

• 실습용으로 IAM 사용자를 생성하고 AWSCloudTrail_FullAccess권한을 부여한다.
• 해당 IAM 계정에 로그인하고 이것저것 클릭해본다.

• 다시 root 계정으로 돌아와 Event History 를 확인해 본다. 뭐했는지 다 보인다.

• 공식문서를 참고하여 추적을 생성한다. 다음과 같다.

해당 추적은 로그파일을 생성된 s3에 저장한다. 나는 그것을 확인할 수 있으며 보안 취약성을 초래할 수 있는 이벤트가 탐지될 때 실행되는 워크플로를 정의할 수도 있다.

s3를 확인해 봤더니 다음과 같이 로그파일이 날짜별, 시간별로 잘 정리되어 있었다.

json 파일로 설정되어 있는데 경우에 따라 csv 파일도 가능하다.

3. 유의사항

• AWS CloudTrail은 이제 모든 고객에 대해 기본적으로 활성화되고 추적을 구성할 필요 없이 지난 7일간의 계정 활동에 대한 가시성을 제공한다. 그게 Event History 이다.
• EC2의 오류로그 같은건 캡쳐하지 않는다.
• 첫 번째 관리 추적에 대해 비용을 청구하지 않고 첫 번째 관리 추적 이후에 생성한 추가 관리 추적에 대해서만 청구한다.