CloudTrail "누가"

  • AWS 계정 내의 모든 이벤트 및 API 호출기록 표시
  • AWS 계정의 거버넌스, 감사 및 규정 준수 제공
  • CloudTrail 로그를 Cloud Watch Logs 나 Amazon S3로 이동 가능
  • 이벤트 (기본 90일 저장)
    • 관리 이벤트 : AWS 계정의 리소스에 수행되는 작업으로 읽기 이벤트(리소스 수정 절대 안됨)와 쓰기 이벤트 (리소스 수정함) 구분되어 있음
    • 데이터이벤트 : 고용량 작업으로 GetObject. DeleteObject, PutObject 같은 S3 객체 수준 작업은 S3 버킷에서 빈번하므로 기본값으로써 로깅되지 않음
    • CloudTrail Insight 이벤트: 이벤트를 분석하여 계정 내 비정상적인 패턴 탐지

Config "무엇을"

  • Config: AWS 내 리소스 감사와 규정 준수 여부를 설정된 규칙에 기반해 구성과 시간에 따른 변화를 기록하여 변화가 생길 때마다 SNS 알림
  • 관리형 Config 규칙 (75종)
  • 커스텀 Config 규칙 : AWS Lambda 이용하여 규칙 정의(각 EBS 디스크가 gp2 유형인지 평가, 개발 계정의 EC2 인스턴스가 t2 유형인지 등)
  • 생성된 규칙들은 구성이 변화할 때마다 평가되거나 트리거 됨
  • SSM 자동화 문서를 이용하여 규정 준수하지 않는 리소스 수정 가능
  • 알림 : Event Bridge를 사용해 리소스 규정 미준수마다 알림을 보냄

'AWS SAA' 카테고리의 다른 글

KMS  (0) 2024.10.06
Oragnization & IAM  (0) 2024.10.06
CloudWatch & Eventbridge  (1) 2024.10.06
Quicksight & Lake Formation  (1) 2024.10.06
Opensearch & EMR & Glue  (3) 2024.10.06

+ Recent posts