기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
보유자 토큰 인증 설정
HTTP 수집 엔드포인트에서 보유자 토큰 인증을 사용하여 로그를 전송하려면 먼저 다음을 수행해야 합니다.
CloudWatch Logs 권한이 있는 IAM 사용자 생성
서비스별 자격 증명 생성(베어러 토큰)
로그 그룹 및 로그 스트림 생성
로그 그룹에서 보유자 토큰 인증 활성화
중요
가능한 경우 모든 워크로드에 대해 단기 자격 증명과 함께 SigV4 인증을 사용하는 것이 좋습니다. SigV4는 가장 강력한 보안 태세를 제공합니다. API 키(베어러 토큰) 사용을 단기 자격 증명 기반 인증이 불가능한 시나리오로 제한합니다. 보안 요구 사항이 더 큰 애플리케이션에 CloudWatch Logs를 통합할 준비가 되면 단기 자격 증명으로 전환해야 합니다. 자세한 내용은 IAM 사용 설명서의 장기 액세스 키의 대안을 참조하세요.
옵션 1: AWS 콘솔을 사용하여 빠른 시작
AWS Management Console은 HTTP 엔드포인트 액세스를 위한 API 키를 생성하는 간소화된 워크플로를 제공합니다.
콘솔을 사용하여 HTTP 엔드포인트 액세스를 설정하려면
AWS Management Console에 로그인합니다.
CloudWatch > 설정 > 로그로 이동합니다.
-
API 키 섹션에서 API 키 생성을 선택합니다.
-
API 키 만료가 된 경우 다음 중 하나를 수행하세요..
1, 5, 30, 90 또는 365일의 API 키 만료 기간을 선택합니다.
사용자 지정 기간을 선택하여 사용자 지정 API 키 만료 날짜를 지정합니다.
만료되지 않음을 선택합니다(권장되지 않음).
-
API 키 생성을 선택합니다.
콘솔은 자동으로 다음을 수행합니다.
적절한 권한을 가진 새 IAM 사용자를 생성합니다.
CloudWatchLogsAPIKeyAccess 관리형 정책(
logs:PutLogEvents및logs:CallWithBearerToken권한 포함)을 연결합니다.서비스별 자격 증명(API 키)을 생성합니다.
-
표시된 자격 증명을 복사하고 안전하게 저장합니다.
API 키 ID(서비스별 자격 증명 ID)
API 키 보안 암호(베어러 토큰)
중요
API 키 보안 암호를 즉시 저장합니다. 나중에는 조회할 수 없습니다. 분실한 경우 새 API 키를 생성해야 합니다.
-
로그가 저장될 로그 그룹 및 로그 스트림을 생성합니다.
# Create the log group aws logs create-log-group \ --log-group-name /aws/hlc-logs/my-application \ --region us-east-1 # Create the log stream aws logs create-log-stream \ --log-group-name /aws/hlc-logs/my-application \ --log-stream-name application-stream-001 \ --region us-east-1 -
로그 그룹에서 보유자 토큰 인증을 활성화합니다.
aws logs put-bearer-token-authentication \ --log-group-identifier /aws/hlc-logs/my-application \ --bearer-token-authentication-enabled \ --region us-east-1구성을 확인합니다.
aws logs describe-log-groups \ --log-group-name-prefix /aws/hlc-logs/my-application \ --region us-east-1
포함된 권한: 자동으로 생성된 IAM 사용자에게는 다음과 같은 권한이 있습니다.
logs:PutLogEvents- CloudWatch Logs로 로그 이벤트 전송logs:CallWithBearerToken- 보유자 토큰을 사용하여 인증kms:Describe*,kms:GenerateDataKey*,kms:Decrypt- KMS로 암호화된 로그 그룹에 액세스(로그 서비스로 제한되는 조건 사용)
옵션 2: 수동 설정
IAM 구성에 대한 더 많은 제어를 원하거나 권한을 사용자 지정해야 하는 경우 HTTP 엔드포인트 액세스를 수동으로 설정할 수 있습니다.
1단계: IAM 사용자 생성
로그 수집에 사용할 IAM 사용자를 생성합니다.
AWS Management Console에 로그인하고 IAM으로 이동합니다.
왼쪽 탐색 창에서 사용자를 선택합니다.
사용자 생성을 선택합니다.
사용자 이름(예:
cloudwatch-logs-hlc-user)을 입력합니다.다음을 선택합니다.
-
다음 IAM 정책 중 하나를 연결합니다.
옵션 A: 관리형 정책 사용(권장)
CloudWatchLogsAPIKeyAccess 관리형 정책을 연결합니다.
옵션 B: 사용자 지정 정책 생성
다음 IAM 정책을 생성하고 연결합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LogsAPIs", "Effect": "Allow", "Action": [ "logs:CallWithBearerToken", "logs:PutLogEvents" ], "Resource": "*" }, { "Sid": "KMSAPIs", "Effect": "Allow", "Action": [ "kms:Describe*", "kms:GenerateDataKey*", "kms:Decrypt" ], "Condition": { "StringEquals": { "kms:ViaService": [ "logs.*.amazonaws.com" ] } }, "Resource": "arn:aws:kms:*:*:key/*" } ] } 다음을 선택한 후 사용자 생성을 선택합니다.
참고
KMS 암호화 로그 그룹에 로그를 보내려는 경우 KMS 권한이 필요합니다. 이 조건은 KMS 액세스를 CloudWatch Logs 서비스를 통해 사용되는 키로만 제한합니다.
2단계: 서비스별 자격 증명 생성(API 키)
CreateServiceSpecificCredential API를 사용하여 CloudWatch Logs API 키를 생성합니다. create-service-specific-credential
만료 기간이 30일인 API 키를 생성하려면:
aws iam create-service-specific-credential \ --user-name cloudwatch-logs-hlc-user \ --service-name logs.amazonaws.com \ --credential-age-days 30
응답은 ServiceSpecificCredential 객체입니다. ServiceCredentialSecret 값은 CloudWatch Logs API 키(베어러 토큰)입니다.
중요
나중에 검색할 수 없으므로 ServiceCredentialSecret 값을 안전하게 저장하세요. 분실한 경우 새 API 키를 생성해야 합니다.
3단계: 로그 그룹 및 로그 스트림 생성
로그가 저장될 로그 그룹 및 로그 스트림을 생성합니다.
# Create the log group aws logs create-log-group \ --log-group-name /aws/hlc-logs/my-application \ --region us-east-1 # Create the log stream aws logs create-log-stream \ --log-group-name /aws/hlc-logs/my-application \ --log-stream-name application-stream-001 \ --region us-east-1
4단계: 보유자 토큰 인증 활성화
로그 그룹에서 보유자 토큰 인증을 활성화합니다.
aws logs put-bearer-token-authentication \ --log-group-identifier /aws/hlc-logs/my-application \ --bearer-token-authentication-enabled \ --region us-east-1
구성을 확인합니다.
aws logs describe-log-groups \ --log-group-name-prefix /aws/hlc-logs/my-application \ --region us-east-1
CloudWatch Logs API 키 생성 및 사용에 대한 권한 제어
CloudWatch Logs API 키의 생성 및 사용은 CloudWatch Logs 및 IAM 서비스 모두에서 작업 및 조건 키로 제어됩니다.
CloudWatch Logs API 키 생성 제어
iam:CreateServiceSpecificCredential 작업은 서비스별 키(예: CloudWatch Logs API 키)의 생성을 제어합니다. 이 작업의 범위를 리소스인 IAM 사용자로 지정하여 키를 생성할 수 있는 사용자를 제한할 수 있습니다.
다음 조건 키를 사용하여 iam:CreateServiceSpecificCredential 작업에 대한 권한에 조건을 적용할 수 있습니다.
iam:ServiceSpecificCredentialAgeDays - 조건에서 키의 만료 시간을 일 단위로 지정할 수 있습니다. 예를 들어, 이 조건 키를 사용하여 90일 이내에 만료되는 API 키의 생성만 허용할 수 있습니다.
iam:ServiceSpecificCredentialServiceName - 조건에서 서비스 이름을 지정할 수 있습니다. 예를 들어이 조건 키를 사용하여 다른 서비스가 아닌 CloudWatch Logs에 대한 API 키 생성만 허용할 수 있습니다.
CloudWatch Logs API 키 사용 제어
logs:CallWithBearerToken 작업은 CloudWatch Logs API 키의 사용을 제어합니다. 자격 증명이 CloudWatch Logs API 키를 사용하지 못하도록 하려면 키와 연결된 IAM 사용자에게 logs:CallWithBearerToken 작업을 거부하는 정책을 연결합니다.
정책 예제
자격 증명이 CloudWatch Logs API 키를 생성하고 사용하지 못하도록 방지
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyCWLAPIKeys", "Effect": "Deny", "Action": [ "iam:CreateServiceSpecificCredential", "logs:CallWithBearerToken" ], "Resource": "*" } ] }
주의
이 정책은 AWS 서비스별 자격 증명 생성을 지원하는 모든 서비스에 대한 자격 증명 생성을 방지합니다. 자세한 내용은 IAM 사용자를 위한 서비스별 자격 증명을 참조하세요.
자격 증명이 CloudWatch Logs API 키를 사용하지 못하도록 방지
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "logs:CallWithBearerToken", "Resource": "*" } ] }
90일 이내에 만료되는 경우에만 CloudWatch Logs 키 생성 허용
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceSpecificCredential", "Resource": "arn:aws:iam::123456789012:user/username", "Condition": { "StringEquals": { "iam:ServiceSpecificCredentialServiceName": "logs.amazonaws.com" }, "NumericLessThanEquals": { "iam:ServiceSpecificCredentialAgeDays": "90" } } } ] }
API 키 교체
API 키를 정기적으로 교체하면 무단 액세스 위험이 줄어듭니다. 조직의 보안 정책에 맞는 교체 일정을 설정하는 것이 좋습니다.
교체 프로세스
로그 전송을 중단하지 않고 API 키를 교체하려면 다음 절차를 따르세요.
-
IAM 사용자를 위한 새 (보조) 자격 증명을 생성합니다.
aws iam create-service-specific-credential \ --user-name cloudwatch-logs-hlc-user \ --service-name logs.amazonaws.com \ --credential-age-days 90 (선택 사항) 보안 검색 및 자동 교체를 AWS Secrets Manager 위해에 새 자격 증명을 저장합니다.
새 자격 증명을 공급업체의 포털로 가져오거나 새 API 키를 사용하도록 애플리케이션 구성을 업데이트합니다.
-
원래 자격 증명을 비활성으로 설정합니다.
aws iam update-service-specific-credential \ --user-name cloudwatch-logs-hlc-user \ --service-specific-credential-id ACCA1234EXAMPLE1234 \ --status Inactive CloudWatch에서 로그 그룹의
IncomingBytes지표를 모니터링하여 로그 전송이 영향을 받지 않는지 확인합니다. 자세한 내용은 CloudWatch 지표를 사용한 모니터링을 참조하세요.-
새 키로 전송 성공 여부를 확인한 후 이전 자격 증명을 삭제합니다.
aws iam delete-service-specific-credential \ --service-specific-credential-id ACCA1234EXAMPLE1234
키 만료 모니터링
기존 API 키의 생성 날짜 및 상태를 확인하려면 list-service-specific-credentials
aws iam list-service-specific-credentials \ --user-name cloudwatch-logs-hlc-user \ --service-name logs.amazonaws.com
응답에는 각 자격 증명Status에 대한 CreateDate 및가 포함됩니다. 이 정보를 사용하여 만료에 가까워지거나 교체 정책에서 허용하는 것보다 오래 활성화된 키를 식별할 수 있습니다.
손상된 API 키에 대한 응답
API 키가 손상되었다고 의심되는 경우 즉시 다음 단계를 수행합니다.
-
추가 무단 사용을 방지하려면 키를 즉시 비활성화합니다.
aws iam update-service-specific-credential \ --user-name cloudwatch-logs-hlc-user \ --service-specific-credential-id ACCA1234EXAMPLE1234 \ --status Inactive CloudTrail 로그를 검토하여 무단 액세스 범위를 결정합니다. API 키 사용에 CloudTrail을 사용하여 API 키 사용량 로깅 대한 감사를 활성화하는 방법은 섹션을 참조하세요.
에 설명된 교체 프로세스에 따라 대체 키를 생성합니다교체 프로세스.
-
교체가 적용된 후 손상된 키를 삭제합니다.
aws iam delete-service-specific-credential \ --service-specific-credential-id ACCA1234EXAMPLE1234 조사하는 동안 IAM 사용자의 모든 보유자 토큰 액세스를 즉시 차단해야 하는 경우 거부 정책을 연결합니다.
{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "logs:CallWithBearerToken", "Resource": "*" } }
참고
API를 통해 이러한 작업을 수행하려면 CloudWatch Logs API 키가 아닌 AWS 자격 증명으로 인증해야 합니다.
다음 IAM API 작업을 사용하여 손상된 키를 관리할 수도 있습니다.
ResetServiceSpecificCredential - 자격 증명을 삭제하지 않고 새 암호를 생성하려면 키를 재설정합니다. 키가 만료되지 않았어야 합니다.
API 키에 대한 보안 모범 사례
CloudWatch Logs API 키를 보호하려면 다음 모범 사례를 따르세요.
소스 코드에 API 키를 포함시키지 마십시오. 애플리케이션 코드에서 API 키를 하드 코딩하거나 버전 제어 시스템에 커밋하지 마십시오. 키가 실수로 퍼블릭 리포지토리에 커밋된 경우 AWS 자동 스캔에서 해당 키에 플래그가 지정될 수 있으므로 키를 즉시 교체해야 합니다.
보안 암호 관리자를 사용합니다. API 키를 AWS Secrets Manager 또는 이에 상응하는 보안 암호 관리 솔루션에 저장합니다. 이를 통해 중앙 집중식 액세스 제어, 감사 로깅 및 자동 교체가 가능합니다.
모든 키에 만료를 설정합니다. API 키를 생성할 때는 항상
--credential-age-days값을 지정합니다. 조직 전체에 최대 키 수명을 적용하려면iam:ServiceSpecificCredentialAgeDaysIAM 조건 키를 사용합니다. 예제는 90일 이내에 만료되는 경우에만 CloudWatch Logs 키 생성 허용 섹션을 참조하세요.최소 권한 권한을 적용합니다. IAM 사용자의 권한 범위를 필요한 로그 그룹 및 작업으로만 지정합니다. 관리형 CloudWatchLogsAPIKeyAccess 정책을 시작점으로 사용하고 필요에 따라 추가로 제한합니다.
CloudTrail 로깅을 활성화합니다. 에 대한 CloudTrail 데이터 이벤트를 활성화하여 API 키 사용을 감사합니다
AWS::Logs::LogGroupAuthorization. CloudTrail을 사용하여 API 키 사용량 로깅을(를) 참조하세요.IAM Access Analyzer로 모니터링합니다. IAM Access Analyzer를 사용하여 API 키 IAM 사용자와 연결된 미사용 자격 증명 및 지나치게 허용적인 정책을 식별합니다.
키를 정기적으로 교체합니다. 교체 일정을 설정하고에 설명된 프로세스를 따릅니다API 키 교체.
CloudTrail을 사용하여 API 키 사용량 로깅
AWS CloudTrail 를 사용하여 CloudWatch Logs API 키 사용에 대한 데이터 이벤트를 로깅할 수 있습니다. CloudWatch Logs는 CallWithBearerToken 호출에 대한 AWS::Logs::LogGroupAuthorization 데이터 이벤트를 내보내므로 API 키를 사용하여 로그를 전송하는 시기와 방법을 감사할 수 있습니다.
CloudWatch Logs API 키 사용에 대해 CloudTrail 로깅을 활성화하려면: CloudWatch
참고
추적에 지정하는 S3 버킷에는 CloudTrail이 로그 파일을 쓸 수 있도록 허용하는 버킷 정책이 있어야 합니다. 자세한 내용은 CloudTrail에 대한 Amazon S3 버킷 정책을 참조하세요.
-
추적 생성:
aws cloudtrail create-trail \ --name cloudwatch-logs-api-key-audit \ --s3-bucket-name my-cloudtrail-bucket \ --region us-east-1 -
CloudWatch Logs 로그 그룹 권한 부여 이벤트를 캡처하도록 고급 이벤트 선택기를 구성합니다.
aws cloudtrail put-event-selectors \ --region us-east-1 \ --trail-name cloudwatch-logs-api-key-audit \ --advanced-event-selectors '[{ "Name": "CloudWatch Logs API key authorization events", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Logs::LogGroupAuthorization"] } ] }]' -
추적 로깅 시작:
aws cloudtrail start-logging \ --name cloudwatch-logs-api-key-audit \ --region us-east-1
