기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS CloudTrail 자습서 시작하기
<a name="cloudtrail-tutorial"></a>

를 처음 사용하는 경우 AWS CloudTrail이 자습서를 통해 기능을 사용하는 방법을 배울 수 있습니다. CloudTrail 기능을 사용하려면 적절한 권한이 있어야 합니다. 이 페이지에서는 CloudTrail에서 사용할 수 있는 관리형 정책을 설명하고 권한을 부여하는 방법에 대한 정보를 제공합니다.

**Topics**
+ [CloudTrail을 사용하기 위한 권한 부여](#tutorial-grant-permissions)
+ [이벤트 기록 보기](tutorial-event-history.md)
+ [관리 이벤트를 로깅하기 위해 추적 생성](tutorial-trail.md)
+ [S3 데이터 이벤트에 대한 이벤트 데이터 저장소 생성](tutorial-lake-S3.md)

## CloudTrail을 사용하기 위한 권한 부여
<a name="tutorial-grant-permissions"></a>

추적, 이벤트 데이터 저장소 및 채널과 같은 CloudTrail 리소스를 생성, 업데이트 및 관리하려면 CloudTrail을 사용할 수 있는 권한을 부여해야 합니다. 이 섹션에서는 CloudTrail에서 사용할 수 있는 관리형 정책에 대한 정보를 제공합니다.

**참고**  
CloudTrail 관리 작업을 수행할 수 있도록 사용자에게 부여하는 권한은 로그 파일을 Amazon S3 버킷에 전달하거나 알림을 Amazon SNS 주제에 전송하기 위해 CloudTrail에서 필요한 권한과 같지 않습니다. 이러한 권한에 대한 자세한 내용은 [CloudTrail에 대한 Amazon S3 버킷 정책](create-s3-bucket-policy-for-cloudtrail.md)를 참조하십시오.  
Amazon CloudWatch Logs와의 통합을 구성하는 경우 CloudTrail에는 Amazon CloudWatch Logs 로그 그룹에 이벤트를 전달하기 위해 수임할 수 있는 역할도 필요합니다. CloudTrail이 사용하는 역할을 생성해야 합니다. 자세한 내용은 [CloudTrail 콘솔에서 Amazon CloudWatch Logs 정보를 확인하고 구성할 수 있는 권한 부여](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users) 및 [CloudWatch Logs에 이벤트 전송](send-cloudtrail-events-to-cloudwatch-logs.md) 섹션을 참조하세요.

CloudTrail에 사용할 수 있는 AWS 관리형 정책은 다음과 같습니다.
+  [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html) – 이 정책은 추적, 이벤트 데이터 스토어, 채널과 같은 CloudTrail 리소스에서의 CloudTrail 작업에 대한 전체 액세스를 제공합니다. 이 정책은 CloudTrail 추적, 이벤트 데이터 스토어 및 채널을 생성, 업데이트 및 삭제하는 데 필요한 권한을 제공합니다.

   또한 Amazon S3 버킷, CloudWatch Logs의 로그 그룹 및 추적에 대한 Amazon SNS 주제를 관리할 수 있는 권한도 제공합니다. 하지만 `AWSCloudTrail_FullAccess` 관리형 정책에서는 Amazon S3 버킷, CloudWatch Logs의 로그 그룹 또는 Amazon SNS 주제를 삭제할 수 있는 권한은 제공하지 않습니다. 다른 AWS 서비스의 관리형 정책에 대한 자세한 내용은 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html) 참조하세요.
**참고**  
이 **AWSCloudTrail\_FullAccess** 정책은 사용자 간에 광범위하게 공유하기 위한 것이 아닙니다 AWS 계정. 이 역할이 있는 사용자는 자신의 AWS 계정에서 가장 민감하고 중요한 감사 기능을 사용 중지하거나 재구성할 수 있습니다. 이러한 이유로 이 정책은 계정 관리자에게만 적용해야 합니다. 이 정책의 사용을 면밀히 관리하고 모니터링해야 합니다.
+  [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html) – 이 정책은 최근 이벤트 및 이벤트 기록을 포함하여 CloudTrail 콘솔을 확인할 수 있는 권한을 부여합니다. 또한 이 정책을 통해 기존 추적, 이벤트 데이터 스토어 및 채널을 확인할 수도 있습니다. 이 정책을 사용하는 역할 및 사용자는 [이벤트 기록을 다운로드](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#downloading-events)할 수 있지만, 추적, 이벤트 데이터 스토어 또는 채널을 만들거나 업데이트할 수는 없습니다.

액세스 권한을 제공하려면 사용자, 그룹 또는 역할에 권한을 추가하세요.
+ 의 사용자 및 그룹 AWS IAM Identity Center:

  권한 세트를 생성합니다. *AWS IAM Identity Center 사용자 안내서*에서 [권한 세트 생성](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html)의 지침을 따릅니다.
+ ID 제공업체를 통해 IAM에서 관리되는 사용자:

  ID 페더레이션을 위한 역할을 생성합니다. *IAM 사용자 설명서*의 [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html)의 지침을 따릅니다.
+ IAM 사용자:
  + 사용자가 맡을 수 있는 역할을 생성합니다. *IAM 사용자 설명서*에서 [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html)의 지침을 따릅니다.
  + (권장되지 않음) 정책을 사용자에게 직접 연결하거나 사용자를 사용자 그룹에 추가합니다. *IAM 사용 설명서*에서 [사용자(콘솔)에 권한 추가](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)의 지침을 따릅니다.