💡CloudTrail
누가, 언제, 어디서, 무엇을 했는지 기록하는 서비스이다.
계정의 모든 활동과 API 호출을 기록한다.
특정 리소스에 대한 추적이 가능하다.
CloudTrail의 모든 로그들을 CloudWatch Logs나 Amazon S3에 저장할 수 있다.
글로벌 서비스이다.
CloudTrail Event 종류
1. Management Events
AWS 계정 내에서 리소스와 관련하여 수행된 작업을 기록한다.
별도로 설정하지 않아도 기본적으로 모든 Management events는 로깅된다.
리소스를 변경하지 않는 read events와 리소스를 변경하는 write events로 구분된다.
ex) IAM AttachRolePolicy, CreateSubnet, CreateTrail
2. Data Events
Management Events는 리소스 단위의 작업을 기록했다면, Data Events는 데이터 단위의, 보다 세부적인 단위의 작업이다.
GetObject(Read), DeleteObject(Write), PutObject(Write) 등 Amazon S3에서 객체 수준의 작업이 포함된다.
람다 함수의 실행을 확인할 수 있다.(Invoke API call)
3. CloudTrail Insights Events
많은 수의 Event들이 일어난다면, 어떤 이벤트가 정상이고 어떤 이벤트가 비정상인지 구별하기 어려워 질 수 있다.
CloudTrail insights events를 사용한다면, 이벤트를 분석하여 비정상적인 활동을 탐지할 수 있다.
ex) 부정확한 리소스 프로비저닝, 서비스 한도 도달, IAM 액션 폭증, 주기적 유지보수 활동 누락
CloudTrail Event 보관
기본적으로 CloudTrail Events는 90일간 보관된다.
만약 그보다 더 긴 기간의 Event들을 보관해두었다가 확인하고싶다면, S3 버킷에 이벤트를 로깅한다.
S3에 보관되어 있는 이벤트들을 분석해야 한다면, Amazon Athena를 사용하여 필요한 이벤트를 쿼리한다.
💡CloudWatch
AWS의 모든 서비스에 대한 지표(사용량, 성능 등)를 제공하는 모니터링 서비스이다.
CPU, 네트워크 등의 성능 모니터링, 대시보드 생성 기능을 제공한다.
특정 이벤트에 대한 알림을 받을 수 있다.
로그 집계 및 분석이 가능하다.
CloudWatch 관련하여 추후 자세하게 글 작성 예정
💡Config
AWS 리소스를 감사하고 규정 준수 여부를 기록하는 서비스이다.
구성 변경을 기록한다.
컴플라이언스 규칙에 따라 리소스를 평가한다.
구성 변경과 규정 준수에 대한 타임라인 UI를 제공한다.
Config는 규정 준수 여부를 체크하고 알리는 것이지, 특정한 액션을 미리 예방, 차단할 수는 없다.
리전 별 서비스이다. 리전마다 생성해주어야 하며, 필요시 중앙화를 위해 통합할 수도 있다.
💡예시 : Elastic Load Balancer를 사용하는 경우
CloudTrail
- API 호출을 통해 Load Balancer에 변경사항이 발생한 경우, 어떤 사용자가 어떤 API를 언제 호출했는지 기록한다.
CloudWatch
- 들어오는 연결 수를 모니터링한다.
- 오류 코드 수를 시간의 흐름에 따라 % 단위로 시각화한다.
- Load Balancer의 성능을 확인할 수 있는 대시보드를 생성한다.
Config
- Load Balancer의 보안 그룹 규칙을 추적, 관찰한다.
- Load Balancer에 대한 구성 변경을 추적, 관찰한다.
- SSL 인증서가 항상 Load Balancer에 할당되어 있어야 한다는 규칙을 적용하여 암호화되지 않은 트래픽이 Load Balancer에 접근하는지 감시한다.
💡요약
CloudTrail - Management console, cli, sdk 등을 통해 생성된 이벤트를 언제, 어디서, 누가 수행했는지 기록(Service Usage)
CloudWatch - 사용량과 성능을 모니터링, 리소스의 비정상적인 상황 감지 시 알림 전송 기능(Performance Monitoring)
Config - AWS 리소스의 구성 변경 감지, 규정 준수 여부 체크(Resource Configuration, Compliance)
참고 자료
이미지 및 내용 출처
https://medium.com/trendfingers/distinguishing-aws-cloudtrail-cloudwatch-and-config-ae8e1277e55c
Distinguishing AWS CloudTrail, CloudWatch, and Config
A Solution Architect’s Perspective
medium.com
유데미 SAA 강의
'AWS' 카테고리의 다른 글
| [AWS]EC2 인스턴스 모니터링 설정하기(수동 모니터링, CloudWatch 경보 설정하기) (0) | 2024.05.01 |
|---|---|
| [AWS]EC2에서 Apache 웹 서버 실행해보기 (0) | 2024.04.30 |
| [AWS]스토리지 서비스 - EBS(개념과 실습) (0) | 2024.04.09 |
| [AWS]EC2 인스턴스 생성 후 SSH 접속하기 (0) | 2024.04.04 |
| [AWS]스토리지 서비스 - 스토리지 종류와 AWS 스토리지 서비스 (0) | 2024.03.06 |
