Amazon WorkSpaces Secure Browser용 세션 로거 설정 - Amazon WorkSpaces Secure Browser
KMS 암호화를 사용하는 S3 버킷

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon WorkSpaces Secure Browser용 세션 로거 설정

주의

세션 로거를 활성화하면 다음 Chrome 기능이 비활성화됩니다.

  • Incognito 모드

  • 개발자 도구

  • Chrome 프로파일 전환

WorkSpaces Secure Browser 포털에 대한 세션 로거를 활성화하려면 먼저 세션 이벤트가 수집될 Amazon S3 버킷을 식별해야 합니다. 유사한 로그를 이미 저장한 기존 버킷을 사용하거나이 목적을 위해 특별히 새 버킷을 생성할 수 있습니다.

Amazon S3 버킷에는 로그를 쓸 수 있는 권한을 WorkSpaces Secure Browser에 부여하는 버킷 정책이 있어야 합니다. Amazon S3 버킷을 WorkSpaces Secure Browser 포털과 동일한 AWS 계정 및 리전에 배치하는 것이 좋습니다.

Amazon S3 버킷에는 이름 지정 요구 사항이 없습니다. 새 버킷을 생성하려면 아래 단계를 따르거나 Amazon Simple Storage Service 사용 설명서범용 버킷 생성을 참조하세요. 권한 구성에 대한 지침은 Amazon Simple Storage Service 사용 설명서의 Amazon S3에 대한 버킷 정책을 참조하세요.

다음은 Amazon S3 버킷에 대한 정책의 예입니다. 정책을 Amazon S3 버킷 이름으로 업데이트해야 합니다. 보안 주체는 "workspaces-web.amazonaws.com"입니다.


  {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSessionLogger",
            "Effect": "Allow",
            "Principal": {
                "Service": "workspaces-web.amazonaws.com"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
 }

WorkSpaces Secure Browser 포털에서 세션 로거를 활성화하면 Amazon S3에서 요금이 발생할 수 있습니다. 자세한 내용은 Amazon S3 요금을 참조하세요.

세션 로거가 캡처하는 세션 관련 이벤트에 대한 자세한 내용은 섹션을 참조하세요Amazon WorkSpaces Secure Browser용 세션 로거의 세션 이벤트.

KMS 암호화를 사용하는 S3 버킷(선택 사항)

WorkSpaces Secure Browser 세션 로거는 AWS KMS 암호화가 활성화된 Amazon S3 버킷을 완전히 지원합니다. 암호화된 Amazon S3 버킷으로 적절한 로깅 기능을 보장하려면 Session Logger에 AWS KMS 키를 사용하는 데 필요한 권한을 부여해야 합니다.

AWS KMS 키 구성에 다음 정책을 추가합니다.


{
  "Sid": "Session Logger",
  "Effect": "Allow",
  "Principal": {
    "Service": "workspaces-web.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt",
    "kms:GenerateDataKey*"
  ],
  "Resource": "*"
},

AWS 콘솔에서 이벤트를 수집할 WorkSpaces Secure Browser 포털을 선택하고 세션 로거 탭과 편집을 선택합니다.

다음 정보를 입력하여 포털에 대한 Session Logger를 구성합니다.

  • S3 위치(필수): 이벤트가 전달될 Amazon S3 버킷의 이름입니다.

  • 키 접두사(선택 사항): 이벤트가 전달되는 폴더입니다. 폴더가 없으면 폴더가 생성됩니다. 필드를 비워 두면 Session Logger는 Amazon S3 버킷의 루트에 이벤트를 작성합니다.

고급에서 다음 필드를 구성할 수 있습니다.

  • 이벤트 필터: 세션 로거에서 모니터링하는 이벤트 목록입니다.

    • 모두:이 옵션을 선택하면 모든 현재 및 미래 이벤트가 모니터링됩니다.

    • 포함: 모니터링할 특정 이벤트를 수동으로 선택할 수 있습니다. 명시적으로 선택한 이벤트만 로깅됩니다. 향후 업데이트에 도입된 새 이벤트는 선택 항목에 수동으로 추가되지 않는 한 모니터링되지 않습니다.

  • 파일 형식

    • JSON(기본값): 각 로그 파일이 이벤트 배열로 표시되는 파일 형식입니다. 대부분의 사용 사례에이 형식을 사용하는 것이 좋습니다.

    • JSONLines: Amazon Athena에 최적화된 파일 형식입니다.

  • 폴더 구조: 로그 파일이 저장되는 방식을 결정합니다.

    • 플랫(기본값): 모든 로그 파일은 단일 폴더에 있습니다.

    • 중첩 기준 날짜: 로그 파일은 날짜 및 시간별로 폴더로 구성됩니다. Amazon Athena용으로 분할되고 Amazon Athena 쿼리에 최적화되었습니다.

세션 로거 설정을 테스트하고 세션 로거가 올바르게 작동하는지 확인할 수 있습니다. 구성이 완료되면 시스템은 지정된 Amazon S3 버킷 및 폴더에 _workspaces_secure_browser.tmp 라는 테스트 파일을 쓰려고 시도합니다. 이는 로깅 기능과 권한 설정 모두에 대한 검증 역할을 합니다.

포털에서 Secure Browser 세션을 시작하고 평소와 같이 브라우저를 사용하여 테스트 세션을 실행할 수도 있습니다. 세션 로거는 활성 세션 중에 15분마다 또는 세션이 종료될 때 구성된 Amazon S3 버킷에 로그 파일을 씁니다.

세션을 종료하거나 다음 로깅 간격을 기다린 후 Amazon S3 버킷을 확인하여 세션에 대한 로그 파일이 예상대로 생성되고 저장되었는지 확인합니다.