조직 이벤트 데이터 저장소 이해 - AWS CloudTrail
조직 이벤트 데이터 저장소 업데이트조직에 계정 수준 이벤트 데이터 저장소 적용위임된 관리자를 위한 기본 리소스 정책추가 리소스

조직 이벤트 데이터 저장소 이해

AWS Organizations에서 조직을 생성한 경우, 해당 조직의 모든 AWS 계정에 대한 모든 이벤트를 로깅하는 조직 이벤트 데이터 스토어를 생성할 수 있습니다. 조직 이벤트 데이터 스토어는 모든 AWS 리전 또는 현재 리전에 적용할 수 있습니다. 조직 이벤트 데이터 스토어를 사용하여 AWS 외부에서 이벤트를 수집할 수 없습니다.

관리 계정 또는 위임된 관리자 계정을 사용하여 조직 이벤트 데이터 저장소를 생성할 수 있습니다. 위임된 관리자가 조직 이벤트 데이터 스토어를 생성하면 조직의 관리 계정에 조직 이벤트 데이터 스토어가 존재하게 됩니다. 이 접근 방식은 관리 계정이 모든 조직 리소스의 소유권을 유지하기 때문입니다.

조직의 관리 계정은 계정 수준 이벤트 데이터 저장소를 업데이트하여 조직에 적용할 수 있습니다.

조직 이벤트 데이터 스토어를 조직에 적용하도록 지정하면 해당 조직의 모든 멤버 계정에 자동으로 적용됩니다. 멤버 계정은 조직 이벤트 데이터 스토어를 볼 수 없으며, 수정하거나 삭제할 수도 없습니다. 기본적으로 멤버 계정은 조직 이벤트 데이터 스토어에 액세스할 수 있는 권한이 없으며, 조직 이벤트 데이터 스토어에서 쿼리를 실행할 수도 없습니다.

다음 표는 관리 계정과 AWS Organizations 조직 내의 위임된 관리자 계정의 기능을 보여줍니다.

기능 관리 계정 위임된 관리자 계정

위임된 관리자 계정 등록 또는 제거

아니요

AWS CloudTrail 이벤트 또는 AWS Config 구성 항목에 대한 조직 이벤트 데이터 스토어 생성

조직 이벤트 데이터 스토어에서 Insights 사용

아니요

조직 이벤트 데이터 스토어 업데이트

1

기관 이벤트 데이터 스토어에서 이벤트 수집 시작 및 중단

조직 이벤트 데이터 스토어에서 Lake 쿼리 페더레이션 활성화2

조직 이벤트 데이터 스토어에서 Lake 쿼리 페더레이션 비활성화

조직 이벤트 데이터 스토어 삭제

이벤트 데이터 스토어에 추적 이벤트 복사

아니요

조직 이벤트 데이터 스토어에서 쿼리 실행

조직 이벤트 데이터 스토어의 관리형 대시보드 보기

아니요

조직 이벤트 데이터 스토어에 대한 하이라이트 대시보드를 활성화합니다.

아니요

조직 이벤트 데이터 스토어를 쿼리하는 사용자 지정 대시보드에 대한 위젯을 생성합니다.

아니요

1오직 관리 계정만 조직 이벤트 데이터 저장소를 계정 수준 이벤트 데이터 저장소로 변환하거나, 계정 수준 이벤트 데이터 저장소를 조직 이벤트 데이터 저장소로 변환할 수 있습니다. 조직 이벤트 데이터 스토어는 관리 계정에만 존재하므로 위임된 관리자는 이러한 작업을 수행할 수 없습니다. 조직 이벤트 데이터 저장소를 계정 수준 이벤트 데이터 저장소로 변환하면, 관리 계정만 이벤트 데이터 저장소에 액세스할 수 있습니다. 마찬가지로 관리 계정의 계정 수준 이벤트 데이터 저장소만 조직 이벤트 데이터 저장소로 변환할 수 있습니다.

2위임된 단일 관리자 계정 또는 관리 계정만 조직 이벤트 데이터 스토어에서 페더레이션을 활성화할 수 있습니다. 위임된 다른 관리자 계정은 Lake Formation 데이터 공유 기능을 사용하여 정보를 쿼리하고 공유할 수 있습니다. 위임된 관리자 계정과 조직의 관리 계정은 페더레이션을 비활성화할 수 있습니다.

조직 이벤트 데이터 저장소 업데이트

조직의 관리 계정 또는 위임된 관리자 계정은 조직 이벤트 데이터 저장소를 생성하여 CloudTrail 이벤트(관리 이벤트, 데이터 이벤트) 또는 AWS Config 구성 항목을 수집할 수 있습니다.

참고

조직의 관리 계정만 추적 이벤트를 이벤트 데이터 저장소로 복사할 수 있습니다.

CloudTrail console
콘솔을 사용하여 조직 이벤트 데이터 저장소를 생성하는 방법

  1. CloudTrail 이벤트에 대한 이벤트 데이터 저장소 생성 절차의 단계를 수행하여 CloudTrail 관리 또는 데이터 이벤트에 대한 조직 이벤트 데이터 저장소를 생성합니다.

    —또는

    AWS Config 구성 항목에 대한 이벤트 데이터 저장소 생성 절차의 단계를 수행하여 AWS Config 구성 항목에 대한 조직 이벤트 데이터 저장소를 생성합니다.

  2. 이벤트 선택 페이지에서 내 조직의 모든 계정에 대해 활성화를 선택합니다.

AWS CLI

조직 이벤트 데이터 저장소를 생성하려면 create-event-data-store 명령을 실행하고 --organization-enabled 옵션을 포함합니다.

다음 예제 AWS CLI create-event-data-store 명령은 모든 관리 이벤트를 수집하는 조직 이벤트 데이터 저장소를 생성합니다. CloudTrail은 기본적으로 관리 이벤트를 로깅하므로 이벤트 데이터 저장소가 모든 관리 이벤트를 로깅하고 데이터 이벤트를 수집하지 않는 경우 고급 이벤트 선택기를 지정할 필요가 없습니다.

aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled

다음은 응답의 예입니다.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

다음 AWS CLI create-event-data-store 명령 예제는 AWS Config 구성 항목을 수집하는 config-items-org-eds라는 조직 이벤트 데이터 저장소를 생성합니다. 구성 항목을 수집하려면 고급 이벤트 선택기에서 eventCategory 필드 같음 ConfigurationItem을 지정합니다.

aws cloudtrail create-event-data-store --name config-items-org-eds \
--organization-enabled \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

조직에 계정 수준 이벤트 데이터 저장소 적용

조직의 관리 계정은 계정 수준 이벤트 데이터 저장소를 변환하여 조직에 적용할 수 있습니다.

CloudTrail console
콘솔을 사용하여 계정 수준 이벤트 데이터 저장소를 업데이트하는 방법

  1. AWS Management 콘솔에 로그인하여 https://console.aws.amazon.com/cloudtrail/에서 CloudTrail 콘솔을 엽니다.

  2. 탐색 창의 Lake에서 이벤트 데이터 스토어(Event data stores)를 선택합니다.

  3. 업데이트할 이벤트 데이터 스토어를 선택합니다. 그러면 이벤트 데이터 스토어의 세부 정보 페이지가 열립니다.

  4. [일반 세부 정보(General details)]에서 [편집(Edit)]을 선택합니다.

  5. 내 조직의 모든 계정에 대해 활성화를 선택합니다.

  6. 변경 사항 저장을 선택합니다.

이벤트 데이터 저장소 업데이트에 대한 자세한 내용은 콘솔을 사요하여 이벤트 데이터 저장소 업데이트 섹션을 참조하세요.

AWS CLI

계정 수준 이벤트 데이터 저장소를 업데이트하여 조직에 적용하려면 update-event-data-store 명령을 실행하고 --organization-enabled 옵션을 포함합니다.

aws cloudtrail update-event-data-store --region us-east-1 \
--organization-enabled \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

위임된 관리자를 위한 기본 리소스 정책

CloudTrail은 위임된 관리자 계정이 조직 이벤트 데이터 스토어에서 수행할 수 있는 작업을 나열하는 조직 이벤트 데이터 스토어에 대한 DelegatedAdminResourcePolicy 리소스 정책을 자동으로 생성합니다. DelegatedAdminResourcePolicy의 권한은 AWS Organizations의 위임된 관리자 권한에서 파생됩니다.

DelegatedAdminResourcePolicy의 목적은 위임된 관리자 계정이 조직을 대신하여 조직 이벤트 데이터 스토어를 관리할 수 있고 리소스 기반 정책이 위탁자가 조직 이벤트 데이터 스토어에서 작업을 수행하도록 허용하거나 거부하는 조직 이벤트 데이터 스토어에 연결될 때 조직 이벤트 데이터 스토어에 대한 액세스를 의도하지 않게 거부하지 않도록 하는 것입니다.

CloudTrail은 조직 이벤트 데이터 스토어에 제공된 리소스 기반 정책과 함께 DelegatedAdminResourcePolicy를 평가합니다. 위임된 관리자 계정은 제공된 리소스 기반 정책에 위임된 관리자 계정이 위임된 관리자 계정이 수행할 수 있는 조직 이벤트 데이터 스토어에서 작업을 수행하지 못하도록 명시적으로 거부한 문이 포함된 경우에만 액세스가 거부됩니다.

DelegatedAdminResourcePolicy 정책은 다음과 같은 경우에 자동으로 업데이트됩니다.

  • 관리 계정은 조직 이벤트 데이터 스토어를 계정 수준 이벤트 데이터 스토어로 변환하거나, 계정 수준 이벤트 데이터 스토어를 조직 이벤트 데이터 스토어로 변환할 수 있습니다.

  • 조직 변경 사항이 있습니다. 예를 들어 관리 계정은 CloudTrail 위임 관리자 계정을 등록하거나 제거합니다.

CloudTrail 콘솔의 위임된 관리자 리소스 정책 섹션에서 또는 AWS CLI get-resource-policy 명령을 실행하고 조직 이벤트 데이터 스토어의 ARN을 전달하여 최신 정책을 볼 수 있습니다.

다음 예제에서는 조직 이벤트 데이터 스토어에서 get-resource-policy 명령을 실행합니다.

aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207

이 명령의 출력에는 리소스 기반 정책과 위임된 관리자 계정에 대해 생성된 DelegatedAdminResourcePolicy 정책이 표시됩니다.

추가 리소스