리소스 태그 키와 IAM 글로벌 조건 키를 추가하여 CloudTrail 이벤트 보강 - AWS CloudTrail
AWS 서비스 지원 리소스 태그IAM 전역 조건 키 지원 AWS 서비스이벤트 예제

리소스 태그 키와 IAM 글로벌 조건 키를 추가하여 CloudTrail 이벤트 보강

이벤트 데이터 스토어를 생성하거나 업데이트할 때 리소스 태그 키, 위탁자 태그 키 및 IAM 전역 조건 키를 추가하여 CloudTrail 관리 이벤트 및 데이터 이벤트를 보강할 수 있습니다. 이를 통해 비용 할당 및 재무 관리, 운영 및 데이터 보안 요구 사항과 같은 비즈니스 컨텍스트를 기반으로 CloudTrail 이벤트를 분류, 검색 및 분석할 수 있습니다. CloudTrail Lake에서 쿼리를 실행하여 이벤트를 분석할 수 있습니다. 이벤트 데이터 스토어를 페더레이션하고 Amazon Athena에서 쿼리를 실행하도록 선택할 수도 있습니다. CloudTrail 콘솔, AWS CLI 및 SDK를 사용하여 이벤트 데이터 스토어에 리소스 태그 키와 IAM 전역 조건 키를 추가할 수 있습니다.

참고

리소스 생성 또는 업데이트 후 추가하는 리소스 태그는 CloudTrail 이벤트에 반영되기 전에 지연이 발생할 수 있습니다. 리소스 삭제에 대한 CloudTrail 이벤트에는 태그 정보가 포함되지 않을 수 있습니다.

IAM 전역 조건 키는 쿼리의 출력에 항상 표시되지만 리소스 소유자에게는 표시되지 않을 수 있습니다.

리소스 태그 키를 강화된 이벤트에 추가하면, CloudTrail은 API 직접 호출에 관련된 리소스와 연결된 선택한 태그 키를 포함합니다.

IAM 글로벌 조건 키를 추가하면 권한 부여 프로세스 중에 평가된 선택한 조건 키에 대한 정보(위탁자, 세션, 요청 자체에 대한 추가 세부 정보 등)가 CloudTrail에 포함됩니다.

참고

조건 키 또는 위탁자 태그를 포함하도록 CloudTrail을 구성한다고 해서 이 조건 키 또는 위탁자 태그가 모든 이벤트에 존재한다는 의미는 아닙니다. 예를 들어 특정 전역 조건 키를 포함하도록 CloudTrail을 설정했지만 특정 이벤트에서 표시되지 않는 경우 이는 키가 해당 작업에 대한 IAM 정책 평가와 관련이 없음을 나타냅니다.

리소스 태그 키 또는 IAM 조건 키를 추가하면 CloudTrail은 API 작업에 대해 선택한 컨텍스트 정보를 제공하는 CloudTrail 이벤트에 eventContext 필드를 포함합니다.

이벤트에 eventContext 필드가 포함되지 않는 몇 가지 예외는 다음과 같습니다.

  • 삭제된 리소스와 관련된 API 이벤트에는 리소스 태그가 있을 수도 있고 없을 수도 있습니다.

  • eventContext 필드에는 지연된 이벤트에 대한 데이터가 없으며 API 직접 호출 후 업데이트된 이벤트에는 표시되지 않습니다. 예를 들어 Amazon EventBridge에 지연 또는 중단이 있는 경우 이벤트 태그는 중단이 해결된 후 일정 시간 동안 오래된 상태로 유지될 수 있습니다. 일부 AWS 서비스는 지연 시간이 더 길어집니다. 자세한 내용은 보강된 이벤트에 대한 CloudTrail의 리소스 태그 업데이트 섹션을 참조하세요.

  • 보강된 이벤트에 사용되는 AWSServiceRoleForCloudTrailEventContext 서비스 연결 역할을 수정하거나 삭제하면 CloudTrail은 리소스 태그를 eventContext에 채우지 않습니다.

참고

eventContext 필드는 리소스 태그 키, 위탁자 태그 키 및 IAM 전역 조건 키를 포함하도록 구성된 이벤트 데이터 스토어의 이벤트에만 존재합니다. 이벤트 기록, Amazon EventBridge로 전달되는 이벤트, AWS CLI lookup-events 명령으로 확인할 수 있는 이벤트, 추적으로 전달되는 이벤트에는 eventContext 필드가 포함되지 않습니다.

AWS 서비스 지원 리소스 태그

모든 AWS 서비스은 리소스 태그를 지원합니다. 자세한 내용은 Services that support the AWS Resource Groups Tagging API를 참조하세요.

보강된 이벤트에 대한 CloudTrail의 리소스 태그 업데이트

이렇게 구성하면 CloudTrail은 리소스 태그에 대한 정보를 캡처하고 이를 사용하여 보강된 이벤트에 정보를 제공합니다. 리소스 태그로 작업할 때 시스템 이벤트 요청 시 리소스 태그가 정확하게 반영되지 않을 수 있는 특정 조건이 있습니다. 표준 작업 중에는 리소스 생성 시 적용된 태그가 항상 존재하며 지연이 최소화되거나 발생하지 않습니다. 그러나 다음 서비스는 CloudTrail 이벤트에 리소스 태그 변경 사항이 지연될 것으로 예상됩니다.

  • Amazon Chime Voice Connector

  • AWS CloudTrail

  • AWS CodeConnections

  • Amazon DynamoDB

  • Amazon ElastiCache

  • Amazon Keyspaces(Apache Cassandra용)

  • Amazon Kinesis

  • Amazon Lex

  • Amazon MemoryDB

  • Amazon S3

  • Amazon Security Lake

  • AWS Direct Connect

  • AWS IAM Identity Center

  • AWS Key Management Service

  • AWS Lambda

  • AWS Marketplace Vendor Insights

  • AWS Organizations

  • AWS Payment Cryptography

  • Amazon Simple Queue Service

서비스 중단으로 인해 리소스 태그 정보 업데이트가 지연될 수도 있습니다. 서비스 중단 지연이 발생하는 경우 후속 CloudTrail 이벤트에는 리소스 태그 변경에 대한 정보가 포함된 addendum 필드가 포함됩니다. 이 추가 정보는 지정된 대로 보강된 CloudTrailevents 제공하는 데 사용됩니다.

IAM 전역 조건 키 지원 AWS 서비스

다음 AWS 서비스는 보강된 이벤트에 대한 IAM 전역 조건 키를 지원합니다.

  • AWS Certificate Manager

  • AWS CloudTrail

  • Amazon CloudWatch

  • Amazon CloudWatch Logs

  • AWS CodeBuild

  • AWS CodeCommit

  • AWS CodeDeploy

  • Amazon Cognito Sync

  • Amazon Comprehend

  • Amazon Comprehend Medical

  • Amazon Connect Voice ID

  • AWS Control Tower

  • Amazon Data Firehose

  • Amazon Elastic Block Store

  • Elastic Load Balancing

  • AWS End User Messaging 소셜

  • Amazon EventBridge

  • Amazon EventBridge Scheduler

  • Amazon Data Firehose

  • Amazon FSx

  • AWS HealthImaging

  • AWS IoT Events

  • AWS IoT FleetWise

  • AWS IoT SiteWise

  • AWS IoT TwinMaker

  • AWS IoT 무선

  • Amazon Kendra

  • AWS KMS

  • AWS Lambda

  • AWS License Manager

  • Amazon Lookout for Equipment

  • Amazon Lookout for Vision

  • AWS Network Firewall

  • AWS Payment Cryptography

  • Amazon Personalize

  • AWS Proton

  • Amazon Rekognition

  • Amazon SageMaker AI

  • AWS Secrets Manager

  • Amazon Simple Email Service(Amazon SES)

  • Amazon Simple Notification Service(Amazon SNS)

  • Amazon SQS

  • AWS Step Functions

  • AWS Storage Gateway

  • Amazon SWF

  • AWS Supply Chain

  • Amazon Timestream

  • Amazon Timestream for InfluxDB

  • Amazon Transcribe

  • AWS Transfer Family

  • AWS Trusted Advisor

  • Amazon WorkSpaces

  • AWS X-Ray

보강된 이벤트에 지원되는 IAM 전역 조건 키

다음 표에는 CloudTrail 보강 이벤트에 대해 지원되는 IAM 전역 조건 키와 예제 값이 나열되어 있습니다.

전역 조건 키 및 샘플 값
예시 값
aws:FederatedProvider "IdP"
aws:TokenIssueTime "123456789"
aws:MultiFactorAuthAge "99"
aws:MultiFactorAuthPresent '`true`'
aws:SourceIdentity UserName:
aws:PrincipalAccount "111122223333"
aws:PrincipalArn "arn:aws:iam::555555555555:role/myRole"
aws:PrincipalIsAWSService '`false`'
aws:PrincipalOrgID "o-rganization"
aws:PrincipalOrgPaths ["o-rganization/path-of-org"]
aws:PrincipalServiceName "cloudtrail.amazonaws.com"
aws:PrincipalServiceNamesList ["cloudtrail.amazonaws.com","s3.amazonaws.com"]
aws:PrincipalType "AssumedRole"
aws:userid "userid"
aws:username username
aws:RequestedRegion us-east-2
aws:SecureTransport '`true`'
aws:ViaAWSService '`false`'
aws:CurrentTime "2025-04-30 15:30:00"
aws:EpochTime "1746049800"
aws:SourceAccount "111111111111"
aws:SourceOrgID "o-rganization"

이벤트 예제

다음 예제에서 eventContext 필드에는 값이 aws:ViaAWSService인 IAM 전역 조건 키 false가 포함되며, 이는 AWS 서비스에서 API 직접 호출을 수행하지 않았음을 나타냅니다.

{
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "ASIAIOSFODNN7EXAMPLE",
        "arn": "arn:aws:sts::123456789012:assumed-role/admin",
        "accountId": "123456789012",
        "accessKeyId": "ASIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "ASIAIOSFODNN7EXAMPLE",
                "arn": "arn:aws:iam::123456789012:role/admin",
                "accountId": "123456789012",
                "userName": "admin"
            },
            "attributes": {
                "creationDate": "2025-01-22T22:05:56Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2025-01-22T22:06:16Z",
    "eventSource": "cloudtrail.amazonaws.com",
    "eventName": "GetTrailStatus",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "192.168.0.0",
    "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:133.0) Gecko/20100101 Firefox/133.0",
    "requestParameters": {
        "name": "arn:aws:cloudtrail:us-east-1:123456789012:trail/myTrail"
    },
    "responseElements": null,
    "requestID": "d09c4dd2-5698-412b-be7a-example1a23",
    "eventID": "9cb5f426-7806-46e5-9729-exampled135d",
    "readOnly": true,
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_128_GCM_SHA256",
        "clientProvidedHostHeader": "cloudtrail.us-east-1.amazonaws.com"
    },
    "sessionCredentialFromConsole": "true",
    "eventContext": {
        "requestContext": {
            "aws:ViaAWSService": "false"
        },
        "tagContext": {}
    }
}