

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS CloudTrail Lake 작업
<a name="cloudtrail-lake"></a>

**참고**  
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.

AWS CloudTrail Lake를 사용하면 이벤트에 대해 SQL 기반 쿼리를 실행할 수 있습니다. CloudTrail Lake는 행 기반 JSON 형식의 기존 이벤트를 [ Apache ORC](https://orc.apache.org/) 형식으로 변환합니다. ORC는 빠른 데이터 검색에 최적화된 열 기반 스토리지 형식입니다. 이벤트는 이벤트 데이터 스토어로 집계되며, 이벤트 데이터 스토어는 [고급 이벤트 선택기](cloudtrail-lake-concepts.md#adv-event-selectors)를 적용하여 선택한 기준을 기반으로 하는 변경 불가능한 이벤트 컬렉션입니다. **1년 연장 가능 보존 요금** 옵션을 선택하는 경우 최대 3,653일(약 10년), **7년 보존 요금** 옵션을 선택하는 경우 최대 2,557일(약 7년) 동안 이벤트 데이터를 이벤트 데이터 스토어에 보관할 수 있습니다. 이벤트 데이터 스토어에 적용하는 선택기는 어떤 이벤트가 지속되고 쿼리에 사용 가능한지를 제어합니다. CloudTrail Lake는 규정 준수 스택을 보완하고 실시간에 가까운 문제 해결을 지원하는 감사 솔루션입니다.

## CloudTrail Lake 이벤트 데이터 스토어
<a name="cloudtrail-lake-eds"></a>

이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 포함할 이벤트의 유형을 선택합니다. 이벤트 데이터 스토어를 생성하여 [CloudTrail 이벤트](query-event-data-store-cloudtrail.md)(관리 이벤트, 데이터 이벤트, 네트워크 활동 이벤트), [CloudTrail Insights 이벤트](query-event-data-store-insights.md), [AWS Config 구성 항목](query-event-data-store-config.md), [AWS Audit Manager 증거](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder) 또는 [외부의 이벤트를 포함할 수 있습니다 AWS](event-data-store-integration-events.md). 이벤트 [스키마](query-supported-event-schemas.md)는 이벤트 범주에 고유하기 때문에 각 이벤트 데이터 스토어에는 특정 이벤트 범주(예: AWS Config 구성 항목)만 포함될 수 있습니다. 여러 리전 및 계정의 이벤트를 포함하여 조직의 이벤트를 [조직 이벤트 데이터 스토어](cloudtrail-lake-organizations.md) AWS Organizations 에 저장할 수 있습니다. 지원되는 SQL JOIN 키워드를 사용하여 여러 이벤트 데이터 스토어에서 SQL 쿼리를 실행할 수도 있습니다. 여러 이벤트 데이터 스토어에서 쿼리 실행에 대한 자세한 내용은 [고급 다중 테이블 쿼리 지원](query-limitations.md#query-advanced-multi-table)을 참조하세요.

추적 이벤트를 새 이벤트 데이터 스토어 또는 기존 이벤트 데이터 스토어에 복사하여 추적에 로깅된 이벤트의 특정 시점 스냅샷을 생성할 수 있습니다. 자세한 내용은 [추적 이벤트를 이벤트 데이터 스토어에 복사](cloudtrail-copy-trail-to-lake-eds.md) 단원을 참조하십시오.

이벤트 데이터 스토어를 페더레이션하여 AWS Glue [데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)의 이벤트 데이터 스토어와 연결된 메타데이터를 확인하고 Amazon Athena를 사용하여 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고 읽고 처리하는 방법을 알 수 있습니다. 자세한 내용은 [이벤트 데이터 스토어 페더레이션](query-federation.md) 단원을 참조하십시오.

이벤트 데이터 스토어에 리소스 기반 정책을 연결하여 선택한 위탁자에 대한 교차 계정 액세스를 제공할 수 있습니다. CloudTrail 콘솔에서 이벤트 데이터 스토어를 생성하거나 업데이트할 때 또는 명령을 실행하여 리소스 기반 정책을 추가할 수 있습니다 AWS CLI `put-resource-policy`. 자세한 내용은 [이벤트 데이터 스토어의 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds) 단원을 참조하십시오.

기본적으로 이벤트 데이터 스토어의 모든 이벤트는 CloudTrail에 의해 암호화됩니다. 이벤트 데이터 스토어를 구성할 때 자체 AWS Key Management Service 키를 사용하도록 선택할 수 있습니다. 자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.

태그 기반 권한 부여를 사용하여 이벤트 데이터 스토어에서의 작업에 대한 액세스를 제어할 수 있습니다. 자세한 내용과 예제는 이 설명서의 [예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags) 단원을 참조하세요.

CloudTrail Lake 이벤트 데이터 스토어에는 요금이 발생합니다. 이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 사용할 [요금 옵션](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. CloudTrail 요금 Lake 비용 관리에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md)를 참조하세요.

CloudTrail Lake는 모은 데이터와 스토리지 바이트에 대한 정보를 제공하는 Amazon CloudWatch 지표를 지원합니다. CloudWatch 지표에 대한 자세한 내용은 [지원되는 CloudWatch 지표](cloudtrail-lake-cloudwatch-metrics.md) 섹션을 참조하세요.

**참고**  
CloudTrail은 일반적으로 API 호출 후 평균 5분 이내에 이벤트를 전달합니다. 이 시간은 보장되지 않습니다.

## CloudTrail Lake 쿼리
<a name="cloudtrail-lake-queries"></a>

CloudTrail Lake 쿼리는 **Event history(이벤트 기록)** 또는 `LookupEvents` 실행 시 단순히 키와 값을 조회하는 것보다 더 깊고 사용자 정의가 가능한 이벤트 뷰를 제공합니다. **이벤트 기록** 검색은 단일 로 제한되고 AWS 계정, 단일의 이벤트만 반환하며 AWS 리전, 여러 속성을 쿼리할 수 없습니다. 이와 반대로 CloudTrail Lake 사용자는 여러 이벤트 필드에 걸쳐서 복잡한 SQL 쿼리를 실행할 수 있습니다. CloudTrail Lake는 모든 유효한 Trino `SELECT` 문 및 함수를 지원합니다. 지원되는 Trino 함수와 연산자에 대한 자세한 내용은 Presto 설명서 웹 사이트의 [Functions and Operators](https://trino.io/docs/current/functions.html)를 참조하세요.

CloudTrail Lake **편집기** 탭에서 쿼리를 처음부터 SQL로 작성하거나, 저장된 쿼리 또는 샘플 쿼리를 열고 편집하거나, 쿼리 생성기를 사용하여 영어 프롬프트로 쿼리를 생성함으로써 쿼리를 구축할 수 있습니다. 자세한 내용은 [CloudTrail 콘솔을 사용하여 쿼리 생성 또는 편집](query-create-edit-query.md) 및 [자연어 프롬프트로 CloudTrail Lake 쿼리 생성](lake-query-generator.md) 섹션을 참조하세요.

나중에 사용할 수 있도록 CloudTrail Lake 쿼리를 저장하고 최대 7일 동안 쿼리 결과를 볼 수 있습니다. 쿼리를 실행할 때 쿼리 결과를 Amazon S3 버킷에 저장할 수 있습니다.

CloudTrail 콘솔은 쿼리 작성을 시작하는 데 도움이 되는 여러 샘플 쿼리를 제공합니다. 자세한 내용은 [CloudTrail 콘솔을 사용하여 샘플 쿼리 보기](lake-console-queries.md) 단원을 참조하십시오.

CloudTrail Lake 쿼리에는 요금이 부과됩니다. Lake에서 쿼리를 실행하면, 비용은 검사한 데이터의 양을 기준으로 지불합니다. CloudTrail 요금 Lake 비용 관리에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md)를 참조하세요.

## CloudTrail Lake 대시보드
<a name="cloudtrail-lake-dashboards"></a>

CloudTrail Lake 대시보드를 사용하여 계정의 이벤트 데이터 스토어에 대한 이벤트 추세를 볼 수 있습니다. CloudTrail Lake는 다음과 같은 유형의 대시보드를 제공합니다.
+ **관리형 대시보드** – 관리형 대시보드를 통해 관리 이벤트, 데이터 이벤트 또는 Insights 이벤트를 수집하는 이벤트 데이터 스토어의 이벤트 추세를 볼 수 있습니다. 이러한 대시보드는 자동으로 제공되며 CloudTrail Lake에서 관리합니다. CloudTrail은 선택할 수 있는 14개의 관리형 대시보드를 제공합니다. 관리형 대시보드를 수동으로 새로 고칠 수 있습니다. 이러한 대시보드의 위젯을 수정, 추가 또는 제거할 수는 없지만 위젯을 수정하거나 새로 고침 일정을 설정하려는 경우 관리형 대시보드를 사용자 지정 대시보드로 저장할 수 있습니다.
+ **사용자 지정 대시보드** – 사용자 지정 대시보드를 사용하면 모든 이벤트 데이터 스토어 유형에서 이벤트를 쿼리할 수 있습니다. 사용자 지정 대시보드에 최대 10개의 위젯을 추가할 수 있습니다. 사용자 지정 대시보드를 수동으로 새로 고치거나 새로 고침 일정을 설정할 수 있습니다.
+ **Highlights 대시보드** – Highlights 대시보드를 사용하면 계정의 이벤트 데이터 스토어에서 수집한 AWS 활동의 개요를 한눈에 볼 수 있습니다. Highlights 대시보드는 CloudTrail에서 관리하며 계정과 관련된 위젯을 포함합니다. Highlights 대시보드에 표시되는 위젯은 계정마다 고유합니다. 이러한 위젯은 탐지된 비정상적인 활동이나 이상 현상에 대해 알려 줄 수 있습니다. 예를 들어 Highlights 대시보드에는 비정상적인 교차 계정 활동이 증가했는지 보여 주는 **전체 교차 계정 액세스 위젯**이 포함될 수 있습니다. CloudTrail은 6시간마다 Highlights 대시보드를 업데이트합니다. 대시보드에는 마지막 업데이트 이후 지난 24시간 동안의 데이터가 표시됩니다.

각 대시보드는 하나 이상의 위젯으로 구성되며 각 위젯은 SQL 쿼리를 나타냅니다.

자세한 내용은 [CloudTrail Lake 대시보드](lake-dashboard.md) 단원을 참조하십시오.

## CloudTrail Lake 통합
<a name="cloudtrail-lake-integrations"></a>

CloudTrail Lake *통합을* 사용하여 온프레미스 또는 클라우드, 가상 머신 또는 컨테이너에서 호스팅되는 사내 또는 SaaS 애플리케이션과 같은 하이브리드 환경의 모든 소스 AWS에서 외부의 사용자 활동 데이터를 로깅하고 저장할 수 있습니다. CloudTrail Lake에서 이벤트 데이터 스토어를 생성하고 활동 이벤트를 로깅하는 채널을 생성한 후에는 `PutAuditEvents` API를 호출하여 애플리케이션 활동을 CloudTrail로 수집합니다. 이후 CloudTrail Lake를 사용하여 애플리케이션에서 로깅된 데이터를 검색, 쿼리 및 분석할 수 있습니다.

또한 통합을 통해 수십 개의 CloudTrail 파트너가 제공하는 이벤트를 이벤트 데이터 스토어에 로깅할 수 있습니다. 파트너 통합에서는 대상 이벤트 데이터 스토어, 채널 및 리소스 정책을 생성합니다. 통합을 생성한 후에는 파트너에게 채널 ARN을 제공합니다. 통합에는 직접과 솔루션, 두 가지 유형이 있습니다. 직접 통합을 통해 파트너는 `PutAuditEvents` API를 호출하여 AWS 이벤트를 계정의 이벤트 데이터 스토어로 전송합니다. 솔루션 통합을 사용하면 애플리케이션이 AWS 계정에서 실행되고 애플리케이션은 `PutAuditEvents` API를 호출하여 AWS 계정의 이벤트 데이터 스토어로 이벤트를 전송합니다.

통합에 대한 자세한 내용은 [외부의 이벤트 소스와 통합 생성을 AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-integration.html) 참조하세요.

## 추가 리소스
<a name="lake-learning-resources"></a>

다음 리소스를 통해 CloudTrail Lake가 무엇이고 어떻게 사용할 수 있는지 더 잘 이해할 수 있습니다.
+ [Modernize Your Audit Log Management Using CloudTrail Lake](https://www.youtube.com/watch?v=aLkecCsHhxw)(YouTube video)
+ [AWS CloudTrail Lake의 비AWS 소스에서 활동 이벤트 로깅](https://www.youtube.com/watch?v=gF0FLdegQKM)(YouTube 비디오)
+ [AWS CloudTrail Lake 및 Amazon Athena를 사용하여 활동 로그 분석](https://www.youtube.com/watch?v=cOeZaJt_k-w)(YouTube 비디오)
+ [작업 인력 및 고객 자격 증명의 활동 로그에 대한 가시성 확보](https://aws.amazon.com/blogs/mt/get-visibility-into-the-activity-logs-for-your-workforce-and-customer-identities/)(AWS 블로그)
+ [AWS CloudTrail Lake를 사용하여 AWS 서비스 엔드포인트에 대한 이전 TLS 연결 식별](https://aws.amazon.com/blogs/mt/using-aws-cloudtrail-lake-to-identify-older-tls-connections-to-aws-service-endpoints/)(AWS 블로그)
+ [Arctic Wolf가 AWS CloudTrail Lake를 사용하여 보안 및 운영을 간소화하는 방법](https://aws.amazon.com/blogs/mt/how-arctic-wolf-uses-aws-cloudtrail-lake-to-simplify-security-and-operations/)(AWS 블로그)
+ [CloudTrail Lake FAQ](https://aws.amazon.com/cloudtrail/faqs/#CloudTrail_Lake)
+ [AWS CloudTrail API Reference](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/Welcome.html)
+ [AWS CloudTrail 데이터 API 참조](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/Welcome.html)
+ [AWS CloudTrail 파트너 온보딩 가이드](https://docs.aws.amazon.com/awscloudtrail/latest/partner-onboarding/cloudtrail-lake-partner-onboarding.html)