기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 를 사용하여 AWS Secrets Manager 이벤트 로깅 AWS CloudTrail
<a name="monitoring-cloudtrail"></a>

AWS CloudTrail 는 Secrets Manager 콘솔의 호출을 포함하여 Secrets Manager에 대한 모든 API 호출과 교체 및 보안 암호 버전 삭제를 위한 기타 여러 이벤트를 이벤트로 기록합니다. 로그 항목 Secrets Manager 기록의 목록은 [CloudTrail 항목](cloudtrail_log_entries.md)을 참조하세요.

CloudTrail 콘솔을 사용하여 지난 90일 동안 기록된 이벤트를 볼 수 있습니다. Secrets Manager에 대한 이벤트를 포함하여 AWS 계정에 이벤트를 지속적으로 기록하려면 CloudTrail이 Amazon S3 버킷에 로그 파일을 전송하도록 추적을 생성합니다. [AWS 계정에 대한 추적 생성을 참조하세요](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html). 또한 [여러 AWS 계정](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html) 및 [AWS 리전](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html)에서 CloudTrail 로그 파일을 수신하도록 CloudTrail을 구성할 수도 있습니다.

CloudTrail 로그에서 수집된 데이터를 추가로 분석하고 조치를 취하도록 다른 AWS 서비스를 구성할 수 있습니다. [CloudTrail 로그와의AWS 서비스 통합](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)을 참조하세요. CloudTrail이 Amazon S3 버킷에 새 로그 파일을 게시할 때도 이에 대한 알림을 받을 수 있습니다. [CloudTrail에 대한 Amazon SNS 알림 구성](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html) 섹션을 참조하세요.

**CloudTrail 로그에서 Secrets Manager 이벤트를 검색하려면(콘솔)**

1. [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)에서 CloudTrail 콘솔을 엽니다.

1. 콘솔에서 이벤트가 발생한 리전을 가리키고 있는지 확인합니다. 콘솔에는 선택한 리전에서 발생한 이벤트만 표시됩니다. 오른쪽 상단 모서리에 있는 드롭다운 목록에서 리전을 선택합니다.

1. 왼쪽 탐색 창에서 **Event history(이벤트 기록)**을 선택합니다.

1. **필터** 기준 및/또는 **시간 범위**를 선택하면 원하는 이벤트를 찾는 데 도움이 됩니다. 예제:

   1. 예를 들어, 모든 Secrets Manager 이벤트를 보려면 **속성 조회**에서 **이벤트 소스**를 선택합니다. 그런 다음 **이벤트 소스 입력**에서 **secretsmanager.amazonaws.com**을 선택합니다.

   1. 보안 암호의 모든 이벤트를 보려면 **조회 속성**에서 **리소스 이름**을 선택합니다. 그런 다음, **리소스 이름 입력**에 보안 암호의 이름을 입력합니다.

1. 자세한 정보를 보려면 이벤트 옆에 있는 확장 화살표를 선택합니다. 사용 가능한 모든 정보를 보려면 **이벤트 보기**를 선택합니다.

## AWS CLI
<a name="monitoring-cloudtrail_cli"></a>

**Example CloudTrail 로그에서 Secrets Manager 이벤트 검색**  
다음 [https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html](https://docs.aws.amazon.com//cli/latest/reference/cloudtrail/lookup-events.html) 예에서는 Secrets Manager 이벤트를 검색합니다.  

```
aws cloudtrail lookup-events \
    --region us-east-1 \
    --lookup-attributes AttributeKey=EventSource,AttributeValue=secretsmanager.amazonaws.com
```

# AWS CloudTrail Secrets Manager에 대한 항목
<a name="cloudtrail_log_entries"></a>

AWS Secrets Manager 는 모든 Secrets Manager 작업 및 교체 및 삭제와 관련된 기타 이벤트에 대한 항목을 AWS CloudTrail 로그에 기록합니다. 이러한 이벤트를 설정하는 방법에 대한 자세한 내용은 [EventBridge를 사용하여 Secrets Manager 이벤트 매칭](monitoring-eventbridge.md) 섹션을 참조하세요.

**Topics**
+ [Secrets Manager 작업에 대한 로그 항목](#cloudtrail_log_entries_operations)
+ [삭제할 로그 항목](#cloudtrail_log_entries_deletion)
+ [복제를 위한 로그 항목](#cloudtrail_log_entries_replication)
+ [교체에 대한 로그 항목](#cloudtrail_log_entries_rotation)

## Secrets Manager 작업에 대한 로그 항목
<a name="cloudtrail_log_entries_operations"></a>

Secrets Manager 작업을 호출하여 생성되는 이벤트에는 `"detail-type": ["AWS API Call via CloudTrail"]`이(가) 있습니다.

**참고**  
2024년 2월 이전에 일부 Secrets Manager 작업에서 보안 암호 ARN에 대하여 ‘arn’ 대신 ‘aRN’이 포함된 이벤트가 보고되었습니다. 자세한 내용은 [AWS  re:Post](https://repost.aws/knowledge-center/secrets-manager-arn)를 참조하세요.

사용자 또는 서비스가 API나 SDK, CLI를 통해 Secrets Manager 작업을 호출할 때 생성되는 CloudTrail 항목은 다음과 같습니다.

**BatchGetSecretValue**  
[BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html) 작업에 의해 생성됩니다. 보안 암호 검색에 대한 정보는 [에서 보안 암호 가져오기 AWS Secrets Manager](retrieving-secrets.md)를 참조하세요.

**CancelRotateSecret**  
[CancelRotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CancelRotateSecret.html) 작업에 의해 생성됩니다. 교체에 대한 정보는 [AWS Secrets Manager 보안 암호 교체](rotating-secrets.md)를 참조하세요.

**CreateSecret**  
[CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html) 작업에 의해 생성됩니다. 보안 암호 생성에 대한 정보는 [를 사용하여 보안 암호 관리 AWS Secrets Manager](managing-secrets.md)를 참조하세요.

**DeleteResourcePolicy**  
[DeleteResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteResourcePolicy.html) 작업에 의해 생성됩니다. 권한에 대한 정보는 [에 대한 인증 및 액세스 제어 AWS Secrets Manager](auth-and-access.md)를 참조하세요.

**DeleteSecret**  
[DeleteSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DeleteSecret.html) 작업에 의해 생성됩니다. 보안 암호 삭제에 대한 정보는 [AWS Secrets Manager 보안 암호 삭제](manage_delete-secret.md)를 참조하세요.

**DescribeSecret**  
[DescribeSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html) 작업에 의해 생성됩니다.

**GetRandomPassword**  
[GetRandomPassword](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetRandomPassword.html) 작업에 의해 생성됩니다.

**GetResourcePolicy**  
[GetResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetResourcePolicy.html) 작업에 의해 생성됩니다. 권한에 대한 정보는 [에 대한 인증 및 액세스 제어 AWS Secrets Manager](auth-and-access.md)를 참조하세요.

**GetSecretValue**  
[GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html) 및 [BatchGetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_BatchGetSecretValue.html) 작업에 의해 생성됩니다. 보안 암호 검색에 대한 정보는 [에서 보안 암호 가져오기 AWS Secrets Manager](retrieving-secrets.md)를 참조하세요.

**ListSecrets**  
[ListSecrets](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecrets.html) 작업에 의해 생성됩니다. 보안 암호 목록에 대한 정보는 [에서 보안 암호 찾기 AWS Secrets Manager](manage_search-secret.md)를 참조하세요.

**ListSecretVersionIds**  
[ListSecretVersionIds](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ListSecretVersionIds.html) 작업에 의해 생성됩니다.

**PutResourcePolicy**  
[PutResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html) 작업에 의해 생성됩니다. 권한에 대한 정보는 [에 대한 인증 및 액세스 제어 AWS Secrets Manager](auth-and-access.md)를 참조하세요.

**PutSecretValue**  
[PutSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutSecretValue.html) 작업에 의해 생성됩니다. 보안 암호 업데이트에 대한 정보는 [AWS Secrets Manager 보안 암호 수정](manage_update-secret.md)을 참조하세요.

**RemoveRegionsFromReplication**  
[RemoveRegionsFromReplication](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RemoveRegionsFromReplication.html) 작업에 의해 생성됩니다. 보안 암호 복제에 대한 정보는 [리전 간 AWS Secrets Manager 보안 암호 복제](replicate-secrets.md)를 참조하세요.

**ReplicateSecretToRegions**  
[ReplicateSecretToRegions](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html) 작업에 의해 생성됩니다. 보안 암호 복제에 대한 정보는 [리전 간 AWS Secrets Manager 보안 암호 복제](replicate-secrets.md)를 참조하세요.

**RestoreSecret**  
[RestoreSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RestoreSecret.html) 작업에 의해 생성됩니다. 삭제된 보안 암호 복원에 대한 정보는 [AWS Secrets Manager 보안 암호 복원](manage_restore-secret.md)을 참조하세요.

**RotateSecret**  
[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html) 작업에 의해 생성됩니다. 교체에 대한 정보는 [AWS Secrets Manager 보안 암호 교체](rotating-secrets.md)를 참조하세요.

**StopReplicationToReplica**  
[StopReplicationToReplica](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html) 작업에 의해 생성됩니다. 보안 암호 복제에 대한 정보는 [리전 간 AWS Secrets Manager 보안 암호 복제](replicate-secrets.md)를 참조하세요.

**TagResource**  
[TagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_TagResource.html) 작업에 의해 생성됩니다. 보안 암호 태그 지정에 대한 정보는 [에서 보안 암호 태그 지정 AWS Secrets Manager](managing-secrets_tagging.md)을 참조하세요.

**UntagResource**  
[UntagResource](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UntagResource.html) 작업에 의해 생성됩니다. 보안 암호 태그 해제에 대한 정보는 [에서 보안 암호 태그 지정 AWS Secrets Manager](managing-secrets_tagging.md)을 참조하세요.

**UpdateSecret**  
[UpdateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecret.html) 작업에 의해 생성됩니다. 보안 암호 업데이트에 대한 정보는 [AWS Secrets Manager 보안 암호 수정](manage_update-secret.md)을 참조하세요.

**UpdateSecretVersionStage**  
[UpdateSecretVersionStage](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecretVersionStage.html) 작업에 의해 생성됩니다. 버전 단계에 대한 정보는 [보안 암호 버전](whats-in-a-secret.md#term_version)을 참조하세요.

**ValidateResourcePolicy**  
[ValidateResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ValidateResourcePolicy.html) 작업에 의해 생성됩니다. 권한에 대한 정보는 [에 대한 인증 및 액세스 제어 AWS Secrets Manager](auth-and-access.md)를 참조하세요.

## 삭제할 로그 항목
<a name="cloudtrail_log_entries_deletion"></a>

Secrets Manager는 Secrets Manager 작업을 위한 이벤트 외에도 삭제와 관련된 다음과 같은 이벤트를 생성합니다. 이러한 이벤트에는 `"detail-type": ["AWS Service Event via CloudTrail"]`이(가) 포함되어 있습니다.

**CancelSecretVersionDelete**  
Secrets Manager 서비스에서 생성됩니다. 버전이 있는 암호에 대해 `DeleteSecret`을 호출한 다음 나중에 `RestoreSecret`을 호출하면 Secrets Manager는 복원된 각 보안 암호 버전에 대해 이 이벤트를 로그합니다. 삭제된 보안 암호 복원에 대한 정보는 [AWS Secrets Manager 보안 암호 복원](manage_restore-secret.md)을 참조하세요.

**EndSecretVersionDelete**  
암호 버전이 삭제되면 Secrets Manager 서비스에서 생성됩니다. 자세한 내용은 [AWS Secrets Manager 보안 암호 삭제](manage_delete-secret.md) 단원을 참조하십시오.

**StartSecretVersionDelete**  
Secrets Manager가 암호 버전 삭제를 시작하면 Secrets Manager 서비스에서 생성됩니다. 보안 암호 삭제에 대한 정보는 [AWS Secrets Manager 보안 암호 삭제](manage_delete-secret.md)를 참조하세요.

**보안 암호 버전 삭제**  
Secrets Manager가 더 이상 사용되지 않는 보안 암호 버전 삭제를 시작하면 Secrets Manager 서비스에서 생성됩니다. 자세한 내용은 [보안 암호 버전](whats-in-a-secret.md#term_version)을 참조하세요.

## 복제를 위한 로그 항목
<a name="cloudtrail_log_entries_replication"></a>

Secrets Manager는 Secrets Manager 작업을 위한 이벤트 외에도 복제와 관련된 다음과 같은 이벤트를 생성합니다. 이러한 이벤트에는 `"detail-type": ["AWS Service Event via CloudTrail"]`이(가) 포함되어 있습니다.

**ReplicationFailed**  
복제가 실패하면 Secrets Manager 서비스에서 생성됩니다. 보안 암호 복제에 대한 정보는 [리전 간 AWS Secrets Manager 보안 암호 복제](replicate-secrets.md)를 참조하세요.

**ReplicationStarted**  
Secrets Manager가 보안 암호 복제를 시작하면 Secrets Manager 서비스에서 생성됩니다. 보안 암호 복제에 대한 정보는 [리전 간 AWS Secrets Manager 보안 암호 복제](replicate-secrets.md)를 참조하세요.

**ReplicationSucceeded**  
보안 암호가 성공적으로 복제되면 Secrets Manager 서비스에서 생성됩니다. 보안 암호 복제에 대한 정보는 [리전 간 AWS Secrets Manager 보안 암호 복제](replicate-secrets.md)를 참조하세요.

## 교체에 대한 로그 항목
<a name="cloudtrail_log_entries_rotation"></a>

Secrets Manager는 Secrets Manager 작업을 위한 이벤트 외에도 교체와 관련된 다음과 같은 이벤트를 생성합니다. 이러한 이벤트에는 `"detail-type": ["AWS Service Event via CloudTrail"]`이(가) 포함되어 있습니다.

**RotationStarted**  
Secrets Manager가 암호 교체를 시작하면 Secrets Manager 서비스에서 생성됩니다. 교체에 대한 정보는 [AWS Secrets Manager 보안 암호 교체](rotating-secrets.md)를 참조하세요.

**RotationAbandoned**  
Secrets Manager가 교체 시도를 중단하고 기존 보안 암호 버전에서 `AWSPENDING` 라벨을 제거하면 Secrets Manager 서비스에서 생성됩니다. Secrets Manager는 교체 중에 보안 암호의 새 버전을 생성하면 교체를 중단합니다. 교체에 대한 정보는 [AWS Secrets Manager 보안 암호 교체](rotating-secrets.md)를 참조하세요.

**RotationFailed**  
교체가 실패하면 Secrets Manager 서비스에서 생성됩니다. 교체에 대한 정보는 [AWS Secrets Manager 교체 문제 해결](troubleshoot_rotation.md)를 참조하세요.

**RotationSucceeded**  
암호가 성공적으로 교체되면 Secrets Manager 서비스에서 생성됩니다. 교체에 대한 정보는 [AWS Secrets Manager 보안 암호 교체](rotating-secrets.md)를 참조하세요.

**TestRotationStarted**  
Secrets Manager에서 즉시 교체가 예약되지 않은 보안 암호에 대한 교체 테스트를 시작하면 Secrets Manager 서비스에서 생성됩니다. 교체에 대한 정보는 [AWS Secrets Manager 보안 암호 교체](rotating-secrets.md)를 참조하세요.

**TestRotationSucceeded**  
Secrets Manager에서 즉시 교체가 예약되지 않은 보안 암호에 대한 교체 테스트를 성공적으로 마치면 Secrets Manager 서비스에서 생성됩니다. 교체에 대한 정보는 [AWS Secrets Manager 보안 암호 교체](rotating-secrets.md)를 참조하세요.

**TestRotationFailed**  
Secrets Manager에서 즉시 교체가 예약되지 않은 보안 암호에 대한 교체 테스트한 후 교체에 실패하면 Secrets Manager 서비스에서 생성됩니다. 교체에 대한 정보는 [AWS Secrets Manager 교체 문제 해결](troubleshoot_rotation.md)를 참조하세요.