Pdev37
2024. 10. 6. 19:21
2024. 10. 6. 19:21
CloudTrail "누가"
- AWS 계정 내의 모든 이벤트 및 API 호출기록 표시
- AWS 계정의 거버넌스, 감사 및 규정 준수 제공
- CloudTrail 로그를 Cloud Watch Logs 나 Amazon S3로 이동 가능
- 이벤트 (기본 90일 저장)
- 관리 이벤트 : AWS 계정의 리소스에 수행되는 작업으로 읽기 이벤트(리소스 수정 절대 안됨)와 쓰기 이벤트 (리소스 수정함) 구분되어 있음
- 데이터이벤트 : 고용량 작업으로 GetObject. DeleteObject, PutObject 같은 S3 객체 수준 작업은 S3 버킷에서 빈번하므로 기본값으로써 로깅되지 않음
- CloudTrail Insight 이벤트: 이벤트를 분석하여 계정 내 비정상적인 패턴 탐지
Config "무엇을"
- Config: AWS 내 리소스 감사와 규정 준수 여부를 설정된 규칙에 기반해 구성과 시간에 따른 변화를 기록하여 변화가 생길 때마다 SNS 알림
- 관리형 Config 규칙 (75종)
- 커스텀 Config 규칙 : AWS Lambda 이용하여 규칙 정의(각 EBS 디스크가 gp2 유형인지 평가, 개발 계정의 EC2 인스턴스가 t2 유형인지 등)
- 생성된 규칙들은 구성이 변화할 때마다 평가되거나 트리거 됨
- SSM 자동화 문서를 이용하여 규정 준수하지 않는 리소스 수정 가능
- 알림 : Event Bridge를 사용해 리소스 규정 미준수마다 알림을 보냄