기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 콘솔을 사용하여 Amazon S3로 로그 데이터 내보내기
다음 예제에서는 Amazon CloudWatch 콘솔을 사용하여 이름이 `amzn-s3-demo-bucket`인 Amazon S3 버킷으로 이름이 `my-log-group`인 Amazon CloudWatch Logs 로그 그룹의 모든 데이터를 내보냅니다.
SSE-KMS로 암호화된 S3 버킷으로 로그 데이터 내보내기가 지원됩니다. DSSE-KMS로 암호화된 버킷으로의 내보내기는 지원되지 않습니다.
내보내기 설정 방법에 대한 세부 정보는 내보내려는 Amazon S3 버킷이 내보내는 로그와 동일한 계정에 있는지, 또는 다른 계정에 있는지에 따라 다릅니다.
**Topics**
+ [동일 계정 내보내기(콘솔)](#ExportSingleAccount)
+ [교차 계정 내보내기(콘솔)](#ExportCrossAccount)
## 동일 계정 내보내기(콘솔)
Amazon S3 버킷이 내보내는 로그와 동일한 계정에 있는 경우 이 섹션의 지침을 사용합니다.
**Topics**
+ [Amazon S3 버킷 생성(콘솔)](#CreateS3BucketConsole)
+ [액세스 권한 설정(콘솔)](#CreateIAMUser-With-S3-Access)
+ [Amazon S3 버킷에 대한 권한 설정(콘솔)](#S3PermissionsConsole)
+ [(선택 사항) SSE-KMS로 암호화된 대상 Amazon S3 버킷으로 내보내기(콘솔)](#S3-Export-KMSEncrypted)
+ [내보내기 작업 생성(콘솔)](#CreateExportTaskConsole)
### Amazon S3 버킷 생성(콘솔)
CloudWatch Logs를 위해 특별히 생성한 버킷을 사용하는 것이 좋습니다. 그러나 기존 버킷을 사용하고 싶으면 2단계로 건너뛸 수 있습니다.
**참고**
Amazon S3 버킷은 내보내려는 로그 데이터와 동일한 리전에 있어야 합니다. CloudWatch Logs는 다른 리전에 있는 Amazon S3 버킷으로 데이터 내보내기를 지원하지 않습니다.
**Amazon S3 버킷을 생성하려면**
1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 S3 콘솔을 엽니다.
1. 필요한 경우 리전을 변경합니다. 탐색 모음에서 CloudWatch Logs가 상주하는 리전을 선택합니다.
1. **버킷 생성**을 선택합니다.
1. **버킷 이름**에 버킷의 이름을 입력합니다.
1. **리전**에서 CloudWatch Logs 데이터가 상주하는 리전을 선택합니다.
1. **Create(생성)**를 선택합니다.
### 액세스 권한 설정(콘솔)
내보내기 작업을 생성하려면 `AmazonS3ReadOnlyAccess` IAM 역할 및 다음 권한으로 로그인해야 합니다.
+ `logs:CreateExportTask`
+ `logs:CancelExportTask`
+ `logs:DescribeExportTasks`
+ `logs:DescribeLogStreams`
+ `logs:DescribeLogGroups`
액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요.
+ 의 사용자 및 그룹 AWS IAM Identity Center:
권한 세트를 생성합니다. *AWS IAM Identity Center 사용자 안내서*에서 [권한 세트 생성](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)의 지침을 따릅니다.
+ ID 제공업체를 통해 IAM에서 관리되는 사용자:
ID 페더레이션을 위한 역할을 생성합니다. *IAM 사용자 설명서*의 [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)의 지침을 따릅니다.
+ IAM 사용자:
+ 사용자가 맡을 수 있는 역할을 생성합니다. *IAM 사용자 설명서*에서 [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)의 지침을 따릅니다.
+ (권장되지 않음) 정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. *IAM 사용 설명서*에서 [사용자(콘솔)에 권한 추가](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)의 지침을 따릅니다.
### Amazon S3 버킷에 대한 권한 설정(콘솔)
기본적으로 모든 Amazon S3 버킷 및 객체는 프라이빗입니다. 버킷을 AWS 계정 생성한 리소스 소유자만 버킷과 버킷에 포함된 모든 객체에 액세스할 수 있습니다. 그러나 리소스 소유자는 액세스 정책을 작성하여 다른 리소스 및 사용자에게 액세스 권한을 부여할 수 있습니다.
정책을 설정할 때 의도한 로그 스트림만 버킷으로 내보내도록 임의로 생성되는 문자열을 버킷의 접두사로 포함할 것을 권장합니다.
**중요**
Amazon S3 버킷으로 더 안전하게 내보내려면 로그 데이터를 S3 버킷으로 내보낼 수 있는 소스 계정 목록을 지정해야 합니다.
다음 예제에서 `aws:SourceAccount` 키의 계정 ID 목록은 사용자가 로그 데이터를 Amazon S3 버킷으로 내보낼 수 있는 계정입니다. `aws:SourceArn` 키는 작업이 수행되는 리소스가 됩니다. 이를 특정 로그 그룹으로 제한하거나 이 예와 같이 와일드카드를 사용할 수 있습니다.
동일한 계정 내에서 내보내기를 허용하려면 S3 버킷이 생성된 계정의 계정 ID도 포함하는 것이 좋습니다.
**Amazon S3 버킷에 대한 권한을 설정하려면**
1. Amazon S3 콘솔에서 생성한 버킷을 선택합니다.
1. **권한**, **버킷 정책**을 선택합니다.
1. **버킷 정책 편집기**에 다음 정책을 추가합니다. `amzn-s3-demo-bucket`을 S3 버킷의 이름으로 변경합니다. **보안 주체**에 올바른 리전 엔드포인트(예: `us-west-1`)를 지정해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCloudWatchLogsGetBucketAcl",
"Action": "s3:GetBucketAcl",
"Effect": "Allow",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}",
"Principal": { "Service": "logs.{{us-east-1}}.amazonaws.com" },
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"{{123456789012}}",
"{{111122223333}}"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:{{us-east-1}}:{{123456789012}}:log-group:*",
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:*"
]
}
}
},
{
"Sid": "AllowCloudWatchLogsPutObject",
"Action": "s3:PutObject",
"Effect": "Allow",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/*",
"Principal": { "Service": "logs.{{us-east-1}}.amazonaws.com" },
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"{{123456789012}}",
"{{111122223333}}"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:{{us-east-1}}:{{123456789012}}:log-group:*",
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:*"
]
}
}
}
]
}
```
------
1. **저장**을 선택하여 버킷에서 액세스 정책으로 방금 추가한 정책을 설정합니다. 이 정책은 CloudWatch Logs가 Amazon S3 버킷으로 로그 데이터를 내보낼 수 있도록 합니다. 버킷 소유자는 내보낸 모든 개체에 대해 모든 권한을 가집니다.
**주의**
기존 버킷에 이미 하나 이상의 정책이 연결된 경우 CloudWatch Logs 액세스용 명령문을 해당 정책이나 정책들에 추가합니다. 발생한 권한 집합이 버킷에 액세스하는 사용자에게 적절한지를 여부를 평가하는 것이 좋습니다.
### (선택 사항) SSE-KMS로 암호화된 대상 Amazon S3 버킷으로 내보내기(콘솔)
이 단계는 서버 측 암호화를 사용하는 Amazon S3 버킷으로 내보내는 경우에만 필요합니다 AWS KMS keys. 이 암호화를 SSE-KMS라고 합니다.
**SSE-KMS로 암호화된 버킷으로 내보내려면**
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) AWS KMS 콘솔을 엽니다.
1. 를 변경하려면 페이지 오른쪽 상단의 리전 선택기를 AWS 리전사용합니다.
1. 탐색 창에서 **고객 관리형 키**를 선택합니다.
**키 생성**을 선택합니다.
1. **키 유형**에 **대칭**을 선택합니다.
1. **키 사용**에서 **암호화 및 해독**을 선택한 다음, **다음**을 선택합니다.
1. **Add labels**(레이블 추가)에서 키의 별칭을 입력하고 필요에 따라 설명이나 태그를 추가합니다. 그런 다음 **다음**을 선택합니다.
1. **키 관리자**에서 이 키를 관리할 수 있는 사용자를 선택한 후 **다음**을 선택합니다.
1. **키 사용 권한 정의**에서 변경하지 않고 **다음**을 선택합니다.
1. 설정을 검토한 다음, **완료**를 선택합니다.
1. **고객 관리형 키** 페이지로 돌아가서 방금 생성한 키의 이름을 선택합니다.
1. **키 정책** 탭에서 **정책 보기로 전환**을 선택합니다.
1. **키 정책** 섹션에서 **편집**을 선택합니다.
1. 키 정책 문 목록에 다음 문을 추가합니다. 그런 다음 {{리전}}을 로그의 리전으로 바꾸고 {{account-ARN}}을 KMS 키를 소유한 계정의 ARN으로 바꿉니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CWL Service Principal usage",
"Effect": "Allow",
"Principal": {
"Service": "logs.{{Region}}.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "{{account-ARN}}"
},
"Action": [
"kms:GetKeyPolicy*",
"kms:PutKeyPolicy*",
"kms:DescribeKey*",
"kms:CreateAlias*",
"kms:ScheduleKeyDeletion*",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
1. **변경 사항 저장**을 선택합니다.
1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 S3 콘솔을 엽니다.
1. [S3 버킷 생성(CLI)](S3ExportTasks.md#CreateS3Bucket)에서 생성한 버킷을 찾아 버킷 이름을 선택합니다.
1. **속성** 탭을 선택합니다. **기본 암호화**에서 **편집**을 선택합니다.
1. **서버 측 암호화**에서 **활성화**를 선택합니다.
1. **암호화 유형**에서 **AWS Key Management Service 키(SSE-KMS)**를 선택합니다.
1. ** AWS KMS 키에서 선택을** 선택하고 생성한 키를 찾습니다.
1. **버킷 키**에서 **활성화**를 선택합니다.
1. **변경 사항 저장**을 선택합니다.
### 내보내기 작업 생성(콘솔)
이 절차에서는 로그 그룹에서 로그를 내보내기 위한 내보내기 작업을 생성합니다.
**CloudWatch 콘솔을 사용하여 Amazon S3 로 데이터를 내보내려면**
1. [액세스 권한 설정(콘솔)](#CreateIAMUser-With-S3-Access)에 설명된 대로 충분한 권한으로 로그인합니다.
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)에서 CloudWatch 콘솔을 엽니다.
1. 탐색 창에서 **로그 그룹**을 선택합니다.
1. **로그 그룹** 화면에서 로그 그룹의 이름을 선택합니다.
1. **작업**에서 **Amazon S3로 데이터 내보내기**를 선택합니다.
1. **Amazon S3로 데이터 내보내기** 화면의 **데이터 내보내기 정의**에서 **시작** 및 **끝**을 사용하여 내보낼 데이터에 대한 시간 범위를 설정합니다.
1. 로그 그룹에 여러 개의 로그 스트림이 있는 경우에는 로그 스트림 접두사를 제공하여 로그 그룹 데이터를 특정 스트림으로 제한할 수 있습니다. **고급**을 선택하고 **스트림 접두사**에 로그 스트림 접두사를 입력합니다.
1. **S3 버킷 선택**에서 S3 버킷과 연관된 계정을 선택합니다.
1. **S3 버킷 이름**에서 S3 버킷을 선택합니다.
1. **S3 버킷 접두사**에 버킷 정책에서 지정한 임의로 생성된 문자열을 입력합니다.
1. **내보내기**를 선택하여 Amazon S3로 로그 데이터를 내보냅니다.
1. Amazon S3로 내보낸 로그 데이터의 상태를 확인하려면 **작업**을 선택한 다음, **Amazon S3에 대한 모든 내보내기 보기**를 선택합니다.
## 교차 계정 내보내기(콘솔)
Amazon S3 버킷이 내보내는 로그와 다른 계정에 있는 경우 이 섹션의 지침을 사용합니다.
**Topics**
+ [교차 계정 내보내기를 위한 Amazon S3 버킷 생성(콘솔)](#CreateS3BucketConsole-crossaccount)
+ [교차 계정 내보내기에 대한 액세스 권한 설정(콘솔)](#CreateIAMUser-With-S3-Access-crossaccount)
+ [교차 계정 내보내기를 위한 S3 버킷에 대한 권한 설정(콘솔)](#S3PermissionsConsole-crossaccount)
+ [(선택 사항) 교차 계정 내보내기를 위해 SSE-KMS로 암호화된 대상 Amazon S3 버킷으로 내보내기(콘솔)](#S3-Export-KMSEncrypted-crossaccount)
+ [교차 계정 내보내기를 위한 내보내기 작업 생성(콘솔)](#CreateExportTaskConsole-crossaccount)
### 교차 계정 내보내기를 위한 Amazon S3 버킷 생성(콘솔)
CloudWatch Logs를 위해 특별히 생성한 버킷을 사용하는 것이 좋습니다. 그러나 기존 버킷을 사용하려면이 절차를 건너뛸 수 있습니다.
**참고**
Amazon S3 버킷은 내보내려는 로그 데이터와 동일한 리전에 있어야 합니다. CloudWatch Logs는 다른 리전에 있는 Amazon S3 버킷으로 데이터 내보내기를 지원하지 않습니다.
**Amazon S3 버킷을 생성하려면**
1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 S3 콘솔을 엽니다.
1. 필요한 경우 리전을 변경합니다. 탐색 모음에서 CloudWatch Logs가 상주하는 리전을 선택합니다.
1. **버킷 생성**을 선택합니다.
1. **버킷 이름**에 버킷의 이름을 입력합니다.
1. **리전**에서 CloudWatch Logs 데이터가 상주하는 리전을 선택합니다.
1. **Create(생성)**를 선택합니다.
### 교차 계정 내보내기에 대한 액세스 권한 설정(콘솔)
먼저 CloudWatch Logs가 대상 계정에서 대상 Amazon S3 버킷에 대한 `s3:PutObject` 작업을 수행할 수 있도록 하려면 새 IAM 정책을 생성해야 합니다.
`s3:PutObject` 작업과 함께 정책에 포함된 추가 작업은 대상 버킷이 AWS KMS 암호화를 사용하는지 아니면 [S3 객체 소유권](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) 설정을 사용하여 ACLs 활성화되어 있는지에 따라 달라집니다.
+ KMS 암호화를 사용하는 경우 키 리소스에 대한 `kms:GenerateDataKey` 및 `kms:Decrypt` 작업을 추가합니다.
+ 버킷에서 ACL 활성화된 경우 버킷 리소스에 대한 `s3:PutObjectAcl` 작업을 추가합니다.
다음 정책에서 대상 S3 버킷의 이름으로 `amzn-s3-demo-bucket`를 변경합니다.
**Amazon S3 버킷으로 로그를 내보내는 IAM 정책 생성:**
1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.
1. 왼쪽의 탐색 창에서 **정책**을 선택합니다.
1. **정책 생성**을 선택합니다.
1. **정책 편집기** 섹션에서 **JSON**을 선택합니다.
1. 대상 버킷이 AWS KMS 암호화를 사용하지 않는 경우 다음 정책을 편집기에 붙여 넣습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/*"
}
]
}
```
------
대상 버킷이 AWS KMS 암호화를 사용하는 경우 다음 정책을 편집기에 붙여 넣습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/*"
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}}"
}
]
}
```
------
대상 버킷에서 ACLs 활성화된 경우 위의 정책에서 s3:PutObjectAcl을 s3:PutObject 작업 블록에 추가합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/*"
}
]
}
```
------
1. **다음**을 선택합니다.
1. 정책 이름을 입력합니다. 이 이름을 사용하여 정책을 IAM 역할에 연결합니다.
1. **정책 생성**을 선택하여 새 정책을 저장합니다.
내보내기 작업을 생성하려면 `AmazonS3ReadOnlyAccess` 관리형 정책이 연결된 IAM 역할, 위에서 생성한 IAM 정책 및 다음 권한으로 로그인해야 합니다.
+ `logs:CreateExportTask`
+ `logs:CancelExportTask`
+ `logs:DescribeExportTasks`
+ `logs:DescribeLogStreams`
+ `logs:DescribeLogGroups`
액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요.
+ 의 사용자 및 그룹 AWS IAM Identity Center:
권한 세트를 생성합니다. *AWS IAM Identity Center 사용자 안내서*에서 [권한 세트 생성](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)의 지침을 따릅니다.
+ ID 제공업체를 통해 IAM에서 관리되는 사용자:
ID 페더레이션을 위한 역할을 생성합니다. *IAM 사용자 설명서*의 [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)의 지침을 따릅니다.
+ IAM 사용자:
+ 사용자가 맡을 수 있는 역할을 생성합니다. *IAM 사용자 설명서*에서 [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)의 지침을 따릅니다.
+ (권장되지 않음) 정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. *IAM 사용 설명서*에서 [사용자(콘솔)에 권한 추가](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)의 지침을 따릅니다.
### 교차 계정 내보내기를 위한 S3 버킷에 대한 권한 설정(콘솔)
기본적으로 모든 S3 버킷 및 객체는 비공개입니다. 버킷을 AWS 계정 생성한 리소스 소유자만 버킷과 버킷에 포함된 모든 객체에 액세스할 수 있습니다. 그러나 리소스 소유자는 액세스 정책을 작성하여 다른 리소스 및 사용자에게 액세스 권한을 부여할 수 있습니다.
정책을 설정할 때 의도한 로그 스트림만 버킷으로 내보내도록 임의로 생성되는 문자열을 버킷의 접두사로 포함할 것을 권장합니다.
**중요**
S3 버킷을 더 안전하게 내보내려면 이제 로그 데이터를 S3 버킷으로 내보낼 수 있는 소스 계정 목록을 지정해야 합니다.
다음 예제에서 `aws:SourceAccount` 키의 계정 ID 목록은 사용자가 로그 데이터를 S3 버킷으로 내보낼 수 있는 계정입니다. `aws:SourceArn` 키는 작업이 수행되는 리소스가 됩니다. 이를 특정 로그 그룹으로 제한하거나 이 예와 같이 와일드카드를 사용할 수 있습니다.
동일한 계정 내에서 내보내기를 허용하려면 S3 버킷이 생성된 계정의 계정 ID도 포함하는 것이 좋습니다.
**Amazon S3 버킷에 대한 권한을 설정하려면**
1. Amazon S3 콘솔에서 생성한 버킷을 선택합니다.
1. **권한**, **버킷 정책**을 선택합니다.
1. **버킷 정책 편집기**에 다음 정책을 추가합니다. `amzn-s3-demo-bucket`을 S3 버킷의 이름으로 변경합니다. **보안 주체**에 올바른 리전 엔드포인트(예: `us-east-1`)를 지정해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "s3:GetBucketAcl",
"Effect": "Allow",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}",
"Principal": { "Service": "logs.{{us-east-1}}.amazonaws.com" },
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"{{123456789012}}",
"{{111122223333}}"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:{{us-east-1}}:{{123456789012}}:log-group:*",
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:*"
]
}
}
},
{
"Action": "s3:PutObject",
"Effect": "Allow",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/*",
"Principal": { "Service": "logs.{{us-east-1}}.amazonaws.com" },
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"{{123456789012}}",
"{{111122223333}}"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:{{us-east-1}}:{{123456789012}}:log-group:*",
"arn:aws:logs:{{us-east-1}}:{{111122223333}}:log-group:*"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:role/{{role_name}}"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
1. **저장**을 선택하여 버킷에서 액세스 정책으로 방금 추가한 정책을 설정합니다. 이 정책은 CloudWatch Logs가 S3 버킷으로 로그 데이터를 내보낼 수 있도록 합니다. 버킷 소유자는 내보낸 모든 개체에 대해 모든 권한을 가집니다.
**주의**
기존 버킷에 이미 하나 이상의 정책이 연결된 경우 CloudWatch Logs 액세스용 명령문을 해당 정책이나 정책들에 추가합니다. 발생한 권한 집합이 버킷에 액세스하는 사용자에게 적절한지를 여부를 평가하는 것이 좋습니다.
### (선택 사항) 교차 계정 내보내기를 위해 SSE-KMS로 암호화된 대상 Amazon S3 버킷으로 내보내기(콘솔)
이 절차는 서버 측 암호화를 사용하는 S3 버킷으로 내보내는 경우에만 필요합니다 AWS KMS keys. 이 암호화를 SSE-KMS라고 합니다.
**SSE-KMS로 암호화된 버킷으로 내보내려면**
1. [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) AWS KMS 콘솔을 엽니다.
1. 를 변경하려면 페이지 오른쪽 상단의 리전 선택기를 AWS 리전사용합니다.
1. 탐색 창에서 **고객 관리형 키**를 선택합니다.
**키 생성**을 선택합니다.
1. **키 유형**에 **대칭**을 선택합니다.
1. **키 사용**에서 **암호화 및 해독**을 선택한 다음, **다음**을 선택합니다.
1. **Add labels**(레이블 추가)에서 키의 별칭을 입력하고 필요에 따라 설명이나 태그를 추가합니다. 그런 다음 **다음**을 선택합니다.
1. **키 관리자**에서 이 키를 관리할 수 있는 사용자를 선택한 후 **다음**을 선택합니다.
1. **키 사용 권한 정의**에서 변경하지 않고 **다음**을 선택합니다.
1. 설정을 검토한 다음, **완료**를 선택합니다.
1. **고객 관리형 키** 페이지로 돌아가서 방금 생성한 키의 이름을 선택합니다.
1. **키 정책** 탭에서 **정책 보기로 전환**을 선택합니다.
1. **키 정책** 섹션에서 **편집**을 선택합니다.
1. 키 정책 문 목록에 다음 문을 추가합니다. 이 경우 {{us-east-1}}을 로그의 리전으로, {{account-ARN}}을 KMS 키를 소유한 계정의 ARN으로, {{123456789012}}을 KMS 키를 소유한 계정 번호로,{{key\_id}}를 kms-key Id로, {{role\_name}}을 내보내기 작업을 생성하는 데 사용되는 역할로 바꿉니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CWL Service Principal usage",
"Effect": "Allow",
"Principal": {
"Service": "logs.{{us-east-1}}.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "{{account-ARN}}"
},
"Action": [
"kms:GetKeyPolicy*",
"kms:PutKeyPolicy*",
"kms:DescribeKey*",
"kms:CreateAlias*",
"kms:ScheduleKeyDeletion*",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM Role Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:role/{{role_name}}"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:{{us-east-1}}:{{123456789012}}:key/{{key-id}}"
}
]
}
```
------
1. **변경 사항 저장**을 선택합니다.
1. [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)에서 S3 콘솔을 엽니다.
1. [S3 버킷 생성(CLI)](S3ExportTasks.md#CreateS3Bucket)에서 생성한 버킷을 찾아 버킷 이름을 선택합니다.
1. **속성** 탭을 선택합니다. **기본 암호화**에서 **편집**을 선택합니다.
1. **서버 측 암호화**에서 **활성화**를 선택합니다.
1. **암호화 유형**에서 **AWS Key Management Service 키(SSE-KMS)**를 선택합니다.
1. ** AWS KMS 키에서 선택을** 선택하고 생성한 키를 찾습니다.
1. **버킷 키**에서 **활성화**를 선택합니다.
1. **변경 사항 저장**을 선택합니다.
### 교차 계정 내보내기를 위한 내보내기 작업 생성(콘솔)
이 절차에서는 로그 그룹에서 로그를 내보내기 위한 내보내기 작업을 생성합니다.
**CloudWatch 콘솔을 사용하여 Amazon S3 로 데이터를 내보내려면**
1. [액세스 권한 설정(콘솔)](#CreateIAMUser-With-S3-Access)에 설명된 대로 충분한 권한으로 로그인합니다.
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)에서 CloudWatch 콘솔을 엽니다.
1. 탐색 창에서 **로그 그룹**을 선택합니다.
1. **로그 그룹** 화면에서 로그 그룹의 이름을 선택합니다.
1. **작업**에서 **Amazon S3로 데이터 내보내기**를 선택합니다.
1. **Amazon S3로 데이터 내보내기** 화면의 **데이터 내보내기 정의**에서 **시작** 및 **끝**을 사용하여 내보낼 데이터에 대한 시간 범위를 설정합니다.
1. 로그 그룹에 여러 개의 로그 스트림이 있는 경우에는 로그 스트림 접두사를 제공하여 로그 그룹 데이터를 특정 스트림으로 제한할 수 있습니다. **고급**을 선택하고 **스트림 접두사**에 로그 스트림 접두사를 입력합니다.
1. **Choose S3 bucket**(S3 버킷 선택)에서 S3 버킷과 연관된 계정을 선택합니다.
1. **S3 버킷 이름**에서 S3 버킷을 선택합니다.
1. **S3 버킷 접두사**에 버킷 정책에서 지정한 임의로 생성된 문자열을 입력합니다.
1. **내보내기**를 선택하여 Amazon S3로 로그 데이터를 내보냅니다.
1. Amazon S3로 내보낸 로그 데이터의 상태를 확인하려면 **작업**을 선택한 다음, **Amazon S3에 대한 모든 내보내기 보기**를 선택합니다.