조직에 대한 추적 생성

AWS Organizations에서 조직을 생성한 경우, 해당 조직의 모든 AWS 계정에 대한 모든 이벤트를 로깅하는 추적을 생성할 수 있습니다. 이를 조직 추적이라고 부르기도 합니다.

조직의 관리 계정은 위임된 관리자를 지정하여 새로운 조직 추적을 생성하거나 기존의 조직의 추적을 관리할 수 있습니다. 위임된 관리자 추가에 대한 자세한 내용은 CloudTrail 위임된 관리자 추가 섹션을 참조하세요.

조직의 관리 계정은 계정에서 기존 추적을 편집하고, 이를 조직에 적용하여 조직 추적으로 만들 수 있습니다. 조직 추적은 조직의 관리 계정과 모든 멤버 계정의 이벤트를 로그합니다. AWS Organizations에 대한 자세한 내용은 Organizations 용어 및 개념 단원을 참조하세요.

콘솔을 사용하여 생성된 모든 조직 추적은 조직의 각 멤버 계정에서 활성화된 AWS 리전의 이벤트를 로깅하는 다중 리전 조직 추적입니다. 조직 내 모든 AWS 파티션에서 이벤트를 로깅하려면 각 파티션에서 다중 리전 조직 추적을 생성합니다. AWS CLI를 사용하여 단일 리전 또는 다중 리전 조직 추적을 생성할 수 있습니다. 단일 리전 추적을 생성하는 경우 추적의 AWS 리전(홈 리전이라고도 함)에서만 활동을 로깅합니다.

대부분의 AWS 리전은 기본적으로 AWS 계정에 대해 활성화되어 있지만 특정 리전(옵트인 리전이라고도 함)은 수동으로 활성화해야 합니다. 기본적으로 활성화되는 리전에 대한 자세한 내용은 AWS Account Management 참조 가이드의 리전을 활성화 및 비활성화하기 전 고려 사항을 참조하세요. CloudTrail에서 지원하는 리전 목록은 CloudTrail 지원 리전 섹션을 참조하세요.

조직 추적을 생성하면 사용자가 지정한 이름의 추적이 조직에 속한 모든 멤버 계정에서 생성됩니다.

멤버 계정에서 CloudTrail 권한이 있는 사용자는 자신의 AWS 계정에서 콘솔에 로그인하거나 describe-trails와 같은 AWS CLI 명령을 실행할 때 조직 추적을 볼 수 있습니다. 그러나 멤버 계정의 사용자는 조직 추적을 삭제하거나, 로깅을 켜고 끄거나, 로깅되는 이벤트 유형을 변경하는 등 조직 추적을 변경할 수 있는 충분한 권한이 없습니다.

콘솔에서 조직 추적을 생성하면, CloudTrail은 조직의 멤버 계정에서 로깅 작업을 수행할 수 있는 서비스 연결 역할이 생성됩니다. 이 역할은 AWSServiceRoleForCloudTrail이라고 하며, CloudTrail에서 조직의 이벤트를 로그하는 데 필요합니다. 조직에 AWS 계정을 추가하면 조직 추적과 서비스 연결 역할이 해당 AWS 계정에 추가되고 조직 추적에서 해당 계정에 대한 로깅이 자동으로 시작됩니다. 조직에서 AWS 계정을 제거하면 더 이상 조직에 속하지 않는 이 AWS 계정에서 조직 추적과 서비스 연결 역할이 삭제됩니다. 그러나 제거된 계정에 대해 계정이 제거되기 전에 생성된 로그 파일은 추적에 대한 로그 파일이 저장되는 Amazon S3 버킷에 남아 있습니다.

AWS Organizations 조직의 관리 계정이 조직 트레일을 생성한 후 조직의 관리 계정에서 제거되는 경우 해당 계정을 사용하여 만든 조직 트레일은 비조직 트레일이 됩니다.

다음 예에서는 조직의 관리 계정 111111111111에서 o-exampleorgid 조직에 대해 MyOrganizationTrail이라는 추적을 생성합니다. 이 추적은 조직에 있는 모든 계정의 활동을 동일한 Amazon S3 버킷에 로그합니다. 조직의 모든 계정은 추적 목록에서 MyOrganizationTrail을 볼 수 있지만, 멤버 계정은 조직 추적을 제거하거나 수정할 수 없습니다. 관리 계정이나 위임된 관리자 계정만 조직에 대한 추적을 변경하거나 삭제할 수 있습니다. 오직 관리 계정만 조직에서 멤버 계정을 제거할 수 있습니다. 마찬가지로 관리 계정만 기본적으로 추적에 대한 Amazon S3 버킷 및 그 안에 포함된 로그에 액세스할 수 있습니다. 로그 파일의 상위 수준 버킷 구조에는 조직 ID로 이름이 지정된 폴더와 조직 내 각 계정의 계정 ID로 이름이 지정된 하위 폴더가 포함됩니다. 각 멤버 계정의 이벤트는 멤버 계정 ID에 해당하는 폴더에 로깅됩니다. 멤버 계정 444444444444가 조직에서 제거되면 MyOrganizationTrail 및 서비스 연결 역할이 더 이상 AWS 계정 444444444444에 표시되지 않으며, 조직 추적에서 해당 계정에 대한 이벤트를 더 이상 로그하지 않습니다. 그러나 444444444444 폴더는 조직에서 계정이 제거되기 전에 생성된 모든 로그와 함께 Amazon S3 버킷에 남아 있습니다.

이 예에서 관리 계정에 생성된 추적의 ARN은 aws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail입니다. 이 ARN은 또한 모든 멤버 계정의 추적의 ARN입니다.

조직 추적은 여러 가지 면에서 정기적 추적과 비슷합니다. 조직에 대해 여러 추적을 생성할 수 있으며, 다른 추적과 마찬가지로 다중 리전 또는 단일 리전 조직 추적 생성 여부와 조직 추적에 로깅할 이벤트 종류를 선택할 수 있습니다. 그러나 일부 차이점이 있습니다. 예를 들어 콘솔에서 추적을 생성하고 Amazon S3 버킷 또는 AWS Lambda 함수에 대한 데이터 이벤트를 로그할지 여부를 선택할 때 CloudTrail 콘솔에 나열되는 유일한 리소스는 관리 계정의 리소스이지만, 멤버 계정의 리소스 ARN을 추가할 수 있습니다. 지정된 멤버 계정 리소스에 대한 데이터 이벤트는 해당 리소스에 대한 교차 계정 액세스를 수동으로 구성하지 않아도 로그됩니다. 관리 이벤트, Insights 이벤트 및 데이터 이벤트 로깅에 대한 자세한 내용은 관리 이벤트 로깅, 데이터 이벤트 로깅, CloudTrail Insights를 사용한 작업 섹션을 참조하세요.

AWS Organizations의 조직에 대한 이벤트 기록(Event history)에서 이벤트를 볼 때 로그인에 사용한 AWS 계정에 대한 이벤트만 볼 수 있습니다. 예를 들어 조직 관리 계정으로 로그인한 경우 [이벤트 기록(Event history)]에는 관리 계정에 대한 최근 90일간의 관리 이벤트가 표시됩니다. 조직 멤버 계정 이벤트는 관리 계정의 [이벤트 기록(Event history)]에 표시되지 않습니다. [이벤트 기록(Event history)]에서 멤버 계정 이벤트를 보려면 멤버 계정으로 로그인해야 합니다.

다른 AWS 서비스를 구성하여 다른 모든 추적에서와 동일한 방식으로 조직 추적의 CloudTrail 로그에 수집된 이벤트 데이터를 추가로 분석 및 처리할 수 있습니다. 예를 들어 Amazon Athena를 사용하여 조직 추적의 데이터를 분석할 수 있습니다. 자세한 내용은 CloudTrail 로그와의 AWS 서비스 통합 섹션을 참조하세요.