기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS CloudTrail Lake 작업
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
AWS CloudTrail Lake를 사용하면 이벤트에 대해 SQL 기반 쿼리를 실행할 수 있습니다. CloudTrail Lake는 행 기반 JSON 형식의 기존 이벤트를 [ Apache ORC](https://orc.apache.org/) 형식으로 변환합니다. ORC는 빠른 데이터 검색에 최적화된 열 기반 스토리지 형식입니다. 이벤트는 이벤트 데이터 스토어로 집계되며, 이벤트 데이터 스토어는 [고급 이벤트 선택기](cloudtrail-lake-concepts.md#adv-event-selectors)를 적용하여 선택한 기준을 기반으로 하는 변경 불가능한 이벤트 컬렉션입니다. **1년 연장 가능 보존 요금** 옵션을 선택하는 경우 최대 3,653일(약 10년), **7년 보존 요금** 옵션을 선택하는 경우 최대 2,557일(약 7년) 동안 이벤트 데이터를 이벤트 데이터 스토어에 보관할 수 있습니다. 이벤트 데이터 스토어에 적용하는 선택기는 어떤 이벤트가 지속되고 쿼리에 사용 가능한지를 제어합니다. CloudTrail Lake는 규정 준수 스택을 보완하고 실시간에 가까운 문제 해결을 지원하는 감사 솔루션입니다.
# CloudTrail Lake 가용성 변경
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake와 유사한 기능을 보려면 CloudWatch를 살펴보세요.
신중한 고려 끝에 2026년 5월 31일부터 신규 고객에게 AWS CloudTrail Lake를 해지하기로 결정했습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다.
AWS CloudTrail Lake는 AWS 및 비AWS 소스에서 감사 로그를 캡처, 저장 및 분석하기 위한 관리형 솔루션을 제공합니다. 기존 고객이 AWS CloudTrail 계속 사용할 수 있지만 CloudTrail Lake는 중요한 버그 수정 및 보안 업데이트만 수신합니다.
이 가이드에서는 AWS CloudTrail Lake 고객을 위한 마이그레이션 옵션에 대한 정보를 제공합니다.
**참고**
AWS CloudTrail 는 계속 완벽하게 지원됩니다. AWS CloudTrail Lake만 더 이상 신규 고객에게 공개되지 않습니다. AWS CloudTrail 추적, 인사이트 및 집계 이벤트는 영향을 받지 않습니다.
## 기존 이벤트 데이터 스토어에 대한 지속적인 지원
AWS CloudTrail Lake는 조직 이벤트 데이터 스토어와 계정 이벤트 데이터 스토어라는 두 가지 유형의 이벤트 데이터 스토어(EDS)를 지원합니다. 지속적인 지원 수준은 구성한 유형에 따라 다릅니다.
+ **조직 이벤트 데이터 스토어** - AWS 조직에 조직 수준의 EDS가 있는 경우 AWS CloudTrail Lake는 예상대로 계속 작동합니다. 여기에는 조직에 추가된 새 멤버 계정에 대한 지원과 추가 로 확장이 포함됩니다 AWS 리전. 조직 이벤트 데이터 스토어를 생성하는 방법은 섹션을 참조하세요[조직 이벤트 데이터 저장소 업데이트](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-create-eds).
+ **계정 이벤트 데이터 스토어** - AWS 조직에 계정 수준 이벤트 데이터 스토어만 있는 경우 AWS CloudTrail Lake는 새 로 확장하는 등 기존 계정을 계속 지원합니다 AWS 리전. 그러나 AWS CloudTrail Lake는 조직에 추가된 새 계정에 대한 수집을 지원하지 않습니다. 조직의 새 계정에 대한 AWS CloudTrail Lake 데이터를 캡처하려면 조직 이벤트 데이터 스토어를 생성하거나 Amazon CloudWatch로 마이그레이션해야 합니다.
**참고**
AWS 조직에 새 멤버 계정을 추가할 것으로 예상되고 AWS CloudTrail Lake가 해당 계정을 자동으로 충당하도록 하려면 조직 이벤트 데이터 스토어를 구성해야 합니다. 계정 이벤트 데이터 스토어는 새로 추가된 조직 멤버 계정으로 적용 범위를 확장하지 않습니다.
## 마이그레이션 옵션
AWS CloudTrail Lake 로그 데이터를 Amazon CloudWatch로 마이그레이션하는 것이 좋습니다.
Amazon CloudWatch
+ Amazon CloudWatch는 보안, 운영 및 규정 준수 데이터를 하나의 솔루션으로 통합하고 유연한 분석과 원활한 통합 기능을 제공합니다. 고객은 자동으로 데이터를 정규화하고 처리하여 오픈 사이버 보안 스키마 프레임워크(OCSF) 및 오픈 텔레메트리(OTel) 형식에 대한 기본 지원을 통해 소스 간 일관성을 제공할 수 있으므로 분석 및 인사이트에 집중할 수 있습니다.
+ Amazon CloudWatch는 비슷한 가격으로 CloudTrail Lake의 현재 기능을 제공하며 CloudTrail Lake 고객의 최상위 요청인 추가 기능을 제공합니다. 여기에는 OpenSearch 기반 네이티브 분석, 인기 있는 타사 소스를 위한 사전 구축된 커넥터, Apache Iceberg APIs를 통한 오픈 액세스가 포함됩니다.
+ Amazon CloudWatch를 시작하려면 Amazon [CloudWatch 사용 설명서의 CloudWatch 파이프라인](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Pipelines.html)을 참조하세요. *Amazon CloudWatch * 요금에 대한 자세한 내용은 [CloudWatch 요금을](https://aws.amazon.com/cloudwatch/pricing/) 참조하세요.
## 아키텍처 비교
현재 AWS CloudTrail Lake 아키텍처는 이벤트 데이터 스토어 및 쿼리를 통해 감사 로그를 캡처, 저장 및 분석하기 위한 관리형 솔루션을 제공합니다. 이 시스템은 내에서 기능으로 작동합니다 AWS CloudTrail. 권장되는 대안인 Amazon CloudWatch는 CloudTrail 로그를 캡처, 저장 및 분석하는 핵심 기능을 유지합니다. 보안, 운영 및 규정 준수 데이터를 하나의 솔루션으로 통합합니다. Amazon CloudWatch는 OpenSearch 기반 네이티브 분석, 인기 있는 타사 소스를 위한 사전 구축된 커넥터, Apache Iceberg APIs 통한 오픈 액세스, Open Cybersecurity Schema Framework(OCSF) 및 Open Telemetry(OTel) 형식에 대한 기본 지원과 같은 추가 기능을 제공합니다.
| 기능 | CloudTrail Lake | CloudWatch | 세부 정보 |
| --- | --- | --- | --- |
| 데이터 원본 | 3 AWS, 16 타사 | 60\$1 AWS, 12 타사 | CloudWatch는 VPC 흐름, Lambda, EKS, ALB, NLB 및 CloudTrail(네트워크 및 인사이트 이벤트 제외)을 포함하는 30개 이상의 AWS 소스를 지원합니다. |
| 교차 계정/교차 리전 활성화 | 예 | 부분적 | CloudWatch Ingestion은 계정 간 활성화를 지원하지만 각 리전에서 별도의 활성화가 필요합니다. |
| 교차 계정/교차 리전 중앙 집중화 | 예 | 예 | 단일 계정 및 리전의 계정 및 리전 간에 로그 집계를 활성화합니다. |
| CloudTrail 안전 기능 - 지연 이벤트 수집, 종료 방지 및 불변성 | 예 | 예 | CloudWatch는 CW Ingestion을 통한 CloudTrail 이벤트/데이터만 지원합니다(추적은 아님). |
| 데이터 변환 및 보강 | 제한 사항 | 예 | CloudWatch는 주요 소스에 대한 관리형 OCSF 변환 및 나머지 소스에 대한 사용자 지정 변환을 지원합니다. |
| 네이티브 분석 | 예 | 예 | CloudTrail Lake는 Athena에서 SQL 인플레이스 쿼리를 지원합니다. CloudWatch는 OpenSearch를 사용하여 Logs QL, SQL 및 PPL 인플레이스 쿼리를 지원합니다. |
| 중첩 SQL | 예 | 아니요 | CloudTrail Lake는 복잡한 중첩 SQL 쿼리를 지원합니다. |
| 3P 분석 | 예 | 예 | CloudWatch는 Amazon S3 Tables 및 SageMaker AI Unified Studio를 통해 선택한 3P 도구를 사용하여 현재 위치 쿼리를 지원합니다. SageMaker |
| 다른 AWS 대상 또는 3P 도구로 데이터 내보내기 | 예 | 예 | CloudWatch 구독 필터 및 S3 테이블 커넥터를 통해 데이터를 전송할 수 있습니다. |
| 추가 분석 | 아니요 | 예 | CloudWatch는 관찰성 및 보안 사용 사례에 대한 알림 및 지표를 지원합니다. |
| CloudTrail용 이벤트 선택기 | 예 | 제한 사항 | CloudWatch는 CloudTrail 데이터 이벤트에 대한 고급 선택기를 지원합니다. |
## 마이그레이션 절차
AWS 는 최근 과거 CloudTrail Lake 이벤트 데이터 스토어(EDS)를 Amazon CloudWatch로 직접 가져올 수 있도록 하여 운영 및 보안 데이터를 통합하는 간소화된 방법을 도입했습니다. 이 통합은 CloudWatch의 새로운 통합 데이터 관리 아키텍처를 활용하여 로그에 대한 단일 창을 제공합니다.
### 모범 사례: 파일럿 접근 방식
과거 데이터의 전체 규모 마이그레이션을 수행하기 전에 작은 데이터 하위 집합을 사용하여 파일럿 마이그레이션을 수행하는 것이 좋습니다. 다음 작업을 수행할 수 있습니다.
+ 가져온 로그가 CloudWatch에 올바르게 표시되는지 확인합니다.
+ 쿼리와 대시보드가 예상대로 작동하는지 확인합니다.
+ IAM 권한 및 역할이 제대로 구성되어 있는지 확인합니다.
결과에 만족하면 확신을 가지고 전체 기록 데이터 세트를 마이그레이션할 수 있습니다.
+ **스키마 확인:** CloudWatch Logs에서 로그 형식이 예상대로 표시되는지 확인합니다.
+ **비용 관리:** 24시간 샘플의 볼륨을 관찰하여 수집 비용을 추정합니다.
+ **쿼리 검증:** 샘플 데이터에 대해 CloudWatch Logs Insights 쿼리를 테스트하여 모니터링 로직이 손상되지 않았는지 확인합니다.
기록 데이터 세트를 성공적으로 마이그레이션한 후에는 CloudWatch CloudTrail 로그의 실시간 수집을 활성화하여 로그를 계속 캡처할 수 있습니다.
**참고**
2023년 이전의 데이터는 CloudTrail Lake에서 Amazon CloudWatch로 마이그레이션되지 않습니다. 2023년 이전 이벤트에 액세스해야 하는 경우 CloudTrail Lake 내에서 직접 쿼리하거나 Amazon S3 버킷으로 이동해야 합니다.
### 사전 조건
+ **IAM 권한:** IAM 자격 증명에 CloudTrail Lake(`cloudtrail:GetEventDataStore`, `cloudtrail:ListEventDataStore`) 및 CloudWatch Logs()와 IAM 권한(`iam:ListRoles`, `iam:CreateRole`, `logs:CreateImportTask`) 모두에 액세스할 수 있는 권한이 있는지 확인합니다`iam:PassRole`.
+ **서비스 연결 역할:** 사용자를 대신하여 내보내기를 수행하려면 CloudTrail에 IAM 역할이 필요합니다. 콘솔에서 설정 프로세스 중에 이를 생성할 수 있습니다.
### 방법 1: CloudTrail 콘솔 사용(권장)
이는 기존 Lake Event Data Store에서 데이터를 푸시하는 가장 직접적인 방법입니다.
1. CloudTrail 콘솔을 엽니다.
1. 왼쪽 탐색 창의 **Lake**에서 **이벤트 데이터 스토어**를 선택합니다.
1. 마이그레이션하려는 데이터가 포함된 이벤트 데이터 스토어를 선택합니다.
1. 오른쪽 상단의 **작업** 버튼을 선택하고 ** CloudWatch로 내보내기**를 선택합니다.
1. 내보내기 설정 구성:
+ **시간 범위:** (파일럿에 권장) 전체 기록을 선택하는 대신 좁은 창(예: 지난 24시간)을 선택하여 통합을 확인합니다. 확인되면 나머지 기록 데이터에 대해 프로세스를 반복합니다.
+ **대상:** 기존 CloudWatch 로그 그룹을 지정하거나 새 CloudWatch 로그 그룹을 생성합니다.
1. **IAM 역할:** 기존 IAM 역할을 선택하거나 **새 IAM 역할 생성을** 선택하여 CloudTrail이 CloudWatch에 로그를 전송하도록 허용합니다.
1. 구성을 검토하고 **내보내기**를 선택합니다.
### 방법 2: 사용 AWS CLI (create-import-task)
이 방법을 사용하면 과거 이벤트 데이터의 수집을 프로그래밍 방식으로 트리거할 수 있습니다.
**1단계: 소스 ARN 식별**
CloudTrail Lake 이벤트 데이터 스토어의 Amazon 리소스 이름(ARN)이 필요합니다. CloudTrail 콘솔에서 또는를 실행하여 찾을 수 있습니다`aws cloudtrail list-event-data-stores`.
**2단계: 가져오기 작업 생성**
`logs` 서비스를 사용하여 작업을 생성합니다. 이벤트 데이터 스토어의 소스 ARN을 지정해야 합니다.
```
aws logs create-import-task \
--import-source-arn "arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id" \
--import-role-arn "arn:aws:iam::account-id:role/role-name" \
--import-filter '{"startEventTime": START_TIME, "endEventTime": END_TIME}'
```
파라미터:
+ `--import-source-arn`: 기록 로그가 포함된 CloudTrail Lake 이벤트 데이터 스토어의 ARN입니다.
+ `--import-role-arn`: 올바른 권한이 있는 IAM 역할의 ARN입니다.
+ `--import-filter`: 가져오려는 이벤트의 시작 및 종료 시간을 지정하는 선택적 객체입니다.
**3단계: 작업 상태 모니터링**
가져오기는 비동기식이므로 `describe-import-tasks` 명령을 사용하여 마이그레이션 진행 상황을 확인할 수 있습니다.
```
aws logs describe-import-tasks \
--import-id "import-id"
```
## 추가 리소스
+ [AWS CloudTrail API Reference](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/Welcome.html)
+ [AWS CloudTrail 사용 설명서](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)
+ [Amazon CloudWatch 사용 설명서](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Welcome.html)
+ [CloudWatch 원격 측정 활성화 규칙 작업](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/telemetry-config-rules.html)
+ [CloudWatch 교차 계정 교차 리전 로그 중앙 집중화](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs_Centralization.html)
## CloudTrail Lake 이벤트 데이터 스토어
이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 포함할 이벤트의 유형을 선택합니다. 이벤트 데이터 스토어를 생성하여 [CloudTrail 이벤트](query-event-data-store-cloudtrail.md)(관리 이벤트, 데이터 이벤트, 네트워크 활동 이벤트), [CloudTrail Insights 이벤트](query-event-data-store-insights.md), [AWS Config 구성 항목](query-event-data-store-config.md), [AWS Audit Manager 증거](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder) 또는 [외부의 이벤트를 포함할 수 있습니다 AWS](event-data-store-integration-events.md). 이벤트 [스키마](query-supported-event-schemas.md)는 이벤트 범주에 고유하기 때문에 각 이벤트 데이터 스토어에는 특정 이벤트 범주(예: AWS Config 구성 항목)만 포함될 수 있습니다. 여러 리전 및 계정의 이벤트를 포함하여 조직의 이벤트를 [조직 이벤트 데이터 스토어](cloudtrail-lake-organizations.md) AWS Organizations 에 저장할 수 있습니다. 지원되는 SQL JOIN 키워드를 사용하여 여러 이벤트 데이터 스토어에서 SQL 쿼리를 실행할 수도 있습니다. 여러 이벤트 데이터 스토어에서 쿼리 실행에 대한 자세한 내용은 [고급 다중 테이블 쿼리 지원](query-limitations.md#query-advanced-multi-table)을 참조하세요.
추적 이벤트를 새 이벤트 데이터 스토어 또는 기존 이벤트 데이터 스토어에 복사하여 추적에 로깅된 이벤트의 특정 시점 스냅샷을 생성할 수 있습니다. 자세한 내용은 [추적 이벤트를 이벤트 데이터 스토어에 복사](cloudtrail-copy-trail-to-lake-eds.md) 단원을 참조하십시오.
이벤트 데이터 스토어를 페더레이션하여 AWS Glue [데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)의 이벤트 데이터 스토어와 연결된 메타데이터를 확인하고 Amazon Athena를 사용하여 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고 읽고 처리하는 방법을 알 수 있습니다. 자세한 내용은 [이벤트 데이터 스토어 페더레이션](query-federation.md) 단원을 참조하십시오.
이벤트 데이터 스토어에 리소스 기반 정책을 연결하여 선택한 위탁자에 대한 교차 계정 액세스를 제공할 수 있습니다. CloudTrail 콘솔에서 이벤트 데이터 스토어를 생성하거나 업데이트할 때 또는 명령을 실행하여 리소스 기반 정책을 추가할 수 있습니다 AWS CLI `put-resource-policy`. 자세한 내용은 [이벤트 데이터 스토어의 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds) 단원을 참조하십시오.
기본적으로 이벤트 데이터 스토어의 모든 이벤트는 CloudTrail에 의해 암호화됩니다. 이벤트 데이터 스토어를 구성할 때 자체 AWS Key Management Service 키를 사용하도록 선택할 수 있습니다. 자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.
태그 기반 권한 부여를 사용하여 이벤트 데이터 스토어에서의 작업에 대한 액세스를 제어할 수 있습니다. 자세한 내용과 예제는 이 설명서의 [예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags) 단원을 참조하세요.
CloudTrail Lake 이벤트 데이터 스토어에는 요금이 발생합니다. 이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 사용할 [요금 옵션](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. CloudTrail 요금 Lake 비용 관리에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md)를 참조하세요.
CloudTrail Lake는 모은 데이터와 스토리지 바이트에 대한 정보를 제공하는 Amazon CloudWatch 지표를 지원합니다. CloudWatch 지표에 대한 자세한 내용은 [지원되는 CloudWatch 지표](cloudtrail-lake-cloudwatch-metrics.md) 섹션을 참조하세요.
**참고**
CloudTrail은 일반적으로 API 호출 후 평균 5분 이내에 이벤트를 전달합니다. 이 시간은 보장되지 않습니다.
## CloudTrail Lake 쿼리
CloudTrail Lake 쿼리는 **Event history(이벤트 기록)** 또는 `LookupEvents` 실행 시 단순히 키와 값을 조회하는 것보다 더 깊고 사용자 정의가 가능한 이벤트 뷰를 제공합니다. **이벤트 기록** 검색은 단일 로 제한되고 AWS 계정, 단일의 이벤트만 반환하며 AWS 리전, 여러 속성을 쿼리할 수 없습니다. 이와 반대로 CloudTrail Lake 사용자는 여러 이벤트 필드에 걸쳐서 복잡한 SQL 쿼리를 실행할 수 있습니다. CloudTrail Lake는 모든 유효한 Trino `SELECT` 문 및 함수를 지원합니다. 지원되는 Trino 함수와 연산자에 대한 자세한 내용은 Presto 설명서 웹 사이트의 [Functions and Operators](https://trino.io/docs/current/functions.html)를 참조하세요.
CloudTrail Lake **편집기** 탭에서 쿼리를 처음부터 SQL로 작성하거나, 저장된 쿼리 또는 샘플 쿼리를 열고 편집하거나, 쿼리 생성기를 사용하여 영어 프롬프트로 쿼리를 생성함으로써 쿼리를 구축할 수 있습니다. 자세한 내용은 [CloudTrail 콘솔을 사용하여 쿼리 생성 또는 편집](query-create-edit-query.md) 및 [자연어 프롬프트로 CloudTrail Lake 쿼리 생성](lake-query-generator.md) 섹션을 참조하세요.
나중에 사용할 수 있도록 CloudTrail Lake 쿼리를 저장하고 최대 7일 동안 쿼리 결과를 볼 수 있습니다. 쿼리를 실행할 때 쿼리 결과를 Amazon S3 버킷에 저장할 수 있습니다.
CloudTrail 콘솔은 쿼리 작성을 시작하는 데 도움이 되는 여러 샘플 쿼리를 제공합니다. 자세한 내용은 [CloudTrail 콘솔을 사용하여 샘플 쿼리 보기](lake-console-queries.md) 단원을 참조하십시오.
CloudTrail Lake 쿼리에는 요금이 부과됩니다. Lake에서 쿼리를 실행하면, 비용은 검사한 데이터의 양을 기준으로 지불합니다. CloudTrail 요금 Lake 비용 관리에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md)를 참조하세요.
## CloudTrail Lake 대시보드
CloudTrail Lake 대시보드를 사용하여 계정의 이벤트 데이터 스토어에 대한 이벤트 추세를 볼 수 있습니다. CloudTrail Lake는 다음과 같은 유형의 대시보드를 제공합니다.
+ **관리형 대시보드** – 관리형 대시보드를 통해 관리 이벤트, 데이터 이벤트 또는 Insights 이벤트를 수집하는 이벤트 데이터 스토어의 이벤트 추세를 볼 수 있습니다. 이러한 대시보드는 자동으로 제공되며 CloudTrail Lake에서 관리합니다. CloudTrail은 선택할 수 있는 14개의 관리형 대시보드를 제공합니다. 관리형 대시보드를 수동으로 새로 고칠 수 있습니다. 이러한 대시보드의 위젯을 수정, 추가 또는 제거할 수는 없지만 위젯을 수정하거나 새로 고침 일정을 설정하려는 경우 관리형 대시보드를 사용자 지정 대시보드로 저장할 수 있습니다.
+ **사용자 지정 대시보드** – 사용자 지정 대시보드를 사용하면 모든 이벤트 데이터 스토어 유형에서 이벤트를 쿼리할 수 있습니다. 사용자 지정 대시보드에 최대 10개의 위젯을 추가할 수 있습니다. 사용자 지정 대시보드를 수동으로 새로 고치거나 새로 고침 일정을 설정할 수 있습니다.
+ **Highlights 대시보드** – Highlights 대시보드를 사용하면 계정의 이벤트 데이터 스토어에서 수집한 AWS 활동의 개요를 한눈에 볼 수 있습니다. Highlights 대시보드는 CloudTrail에서 관리하며 계정과 관련된 위젯을 포함합니다. Highlights 대시보드에 표시되는 위젯은 계정마다 고유합니다. 이러한 위젯은 탐지된 비정상적인 활동이나 이상 현상에 대해 알려 줄 수 있습니다. 예를 들어 Highlights 대시보드에는 비정상적인 교차 계정 활동이 증가했는지 보여 주는 **전체 교차 계정 액세스 위젯**이 포함될 수 있습니다. CloudTrail은 6시간마다 Highlights 대시보드를 업데이트합니다. 대시보드에는 마지막 업데이트 이후 지난 24시간 동안의 데이터가 표시됩니다.
각 대시보드는 하나 이상의 위젯으로 구성되며 각 위젯은 SQL 쿼리를 나타냅니다.
자세한 내용은 [CloudTrail Lake 대시보드](lake-dashboard.md) 단원을 참조하십시오.
## CloudTrail Lake 통합
CloudTrail Lake *통합을* 사용하여 온프레미스 또는 클라우드, 가상 머신 또는 컨테이너에서 호스팅되는 사내 또는 SaaS 애플리케이션과 같은 하이브리드 환경의 모든 소스 AWS에서 외부의 사용자 활동 데이터를 로깅하고 저장할 수 있습니다. CloudTrail Lake에서 이벤트 데이터 스토어를 생성하고 활동 이벤트를 로깅하는 채널을 생성한 후에는 `PutAuditEvents` API를 호출하여 애플리케이션 활동을 CloudTrail로 수집합니다. 이후 CloudTrail Lake를 사용하여 애플리케이션에서 로깅된 데이터를 검색, 쿼리 및 분석할 수 있습니다.
또한 통합을 통해 수십 개의 CloudTrail 파트너가 제공하는 이벤트를 이벤트 데이터 스토어에 로깅할 수 있습니다. 파트너 통합에서는 대상 이벤트 데이터 스토어, 채널 및 리소스 정책을 생성합니다. 통합을 생성한 후에는 파트너에게 채널 ARN을 제공합니다. 통합에는 직접과 솔루션, 두 가지 유형이 있습니다. 직접 통합을 통해 파트너는 `PutAuditEvents` API를 호출하여 AWS 이벤트를 계정의 이벤트 데이터 스토어로 전송합니다. 솔루션 통합을 사용하면 애플리케이션이 AWS 계정에서 실행되고 애플리케이션은 `PutAuditEvents` API를 호출하여 AWS 계정의 이벤트 데이터 스토어로 이벤트를 전송합니다.
통합에 대한 자세한 내용은 [외부의 이벤트 소스와 통합 생성을 AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-integration.html) 참조하세요.
## 추가 리소스
다음 리소스를 통해 CloudTrail Lake가 무엇이고 어떻게 사용할 수 있는지 더 잘 이해할 수 있습니다.
+ [Modernize Your Audit Log Management Using CloudTrail Lake](https://www.youtube.com/watch?v=aLkecCsHhxw)(YouTube video)
+ [AWS CloudTrail Lake의 비AWS 소스에서 활동 이벤트 로깅](https://www.youtube.com/watch?v=gF0FLdegQKM)(YouTube 비디오)
+ [AWS CloudTrail Lake 및 Amazon Athena를 사용하여 활동 로그 분석](https://www.youtube.com/watch?v=cOeZaJt_k-w)(YouTube 비디오)
+ [작업 인력 및 고객 자격 증명의 활동 로그에 대한 가시성 확보](https://aws.amazon.com/blogs/mt/get-visibility-into-the-activity-logs-for-your-workforce-and-customer-identities/)(AWS 블로그)
+ [AWS CloudTrail Lake를 사용하여 AWS 서비스 엔드포인트에 대한 이전 TLS 연결 식별](https://aws.amazon.com/blogs/mt/using-aws-cloudtrail-lake-to-identify-older-tls-connections-to-aws-service-endpoints/)(AWS 블로그)
+ [Arctic Wolf가 AWS CloudTrail Lake를 사용하여 보안 및 운영을 간소화하는 방법](https://aws.amazon.com/blogs/mt/how-arctic-wolf-uses-aws-cloudtrail-lake-to-simplify-security-and-operations/)(AWS 블로그)
+ [CloudTrail Lake FAQ](https://aws.amazon.com/cloudtrail/faqs/#CloudTrail_Lake)
+ [AWS CloudTrail API Reference](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/Welcome.html)
+ [AWS CloudTrail 데이터 API 참조](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/Welcome.html)
+ [AWS CloudTrail 파트너 온보딩 가이드](https://docs.aws.amazon.com/awscloudtrail/latest/partner-onboarding/cloudtrail-lake-partner-onboarding.html)
# CloudTrail Lake 지원 리전
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
현재 CloudTrail Lake는 AWS 리전다음에서 지원됩니다.
****
| 리전 이름 | 리전 |
| --- | --- |
| 미국 동부(버지니아 북부) | us-east-1 |
| 미국 동부(오하이오) | us-east-2 |
| 미국 서부(캘리포니아 북부) | us-west-1 |
| 미국 서부(오리건) | us-west-2 |
| 아프리카(케이프타운) | af-south-1 |
| 아시아 태평양(홍콩) | ap-east-1 |
| 아시아 태평양(하이데라바드) | ap-south-2 |
| 아시아 태평양(자카르타) | ap-southeast-3 |
| 아시아 태평양(멜버른) | ap-southeast-4 |
| 아시아 태평양(뭄바이) | ap-south-1 |
| 아시아 태평양(오사카) | ap-northeast-3 |
| 아시아 태평양(서울) | ap-northeast-2 |
| 아시아 태평양(싱가포르) | ap-southeast-1 |
| 아시아 태평양(시드니) | ap-southeast-2 |
| 아시아 태평양(도쿄) | ap-northeast-1 |
| 캐나다(중부) | ca-central-1 |
| 유럽(프랑크푸르트) | eu-central-1 |
| 유럽(아일랜드) | eu-west-1 |
| 유럽(런던) | eu-west-2 |
| 유럽(밀라노) | eu-south-1 |
| 유럽(파리) | eu-west-3 |
| 유럽(스페인) | eu-south-2 |
| 유럽(스톡홀름) | eu-north-1 |
| 유럽(취리히) | eu-central-2 |
| 이스라엘(텔아비브) | il-central-1 |
| 중동(바레인) | me-south-1 |
| 중동(UAE) | me-central-1 |
| 남아메리카(상파울루) | sa-east-1 |
| AWS GovCloud(미국 동부) | us-gov-east-1 |
| AWS GovCloud(미국 서부) | us-gov-west-1 |
CloudTrail 서비스 엔드포인트에 대한 자세한 내용은 [AWS CloudTrail 엔드포인트 및 할당량](https://docs.aws.amazon.com/general/latest/gr/ct.html) 섹션을 참조하세요.
에서 CloudTrail을 사용하는 방법에 대한 자세한 내용은 *AWS GovCloud (US) 사용 설명서*의 서비스 엔드포인트를 AWS GovCloud (US) Regions참조하세요. [https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-endpoints.html](https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-endpoints.html)
# CloudTrail Lake 개념 및 용어
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
이 섹션에서는 AWS CloudTrail Lake를 사용하는 데 도움이 되는 주요 개념과 용어를 설명합니다.
**Topics**
+ [
## 이벤트 데이터 스토어
](#cloudtrail-lake-concepts-eds)
+ [
## 통합
](#cloudtrail-lake-concepts-integrations)
+ [
## 쿼리
](#cloudtrail-lake-concepts-queries)
+ [
## 대시보드
](#cloudtrail-lake-concepts-dashboard)
## 이벤트 데이터 스토어
이벤트는 이벤트 데이터 스토어로 집계되며, 이벤트 데이터 스토어는 *고급 이벤트 선택기*를 적용하여 선택한 기준을 기반으로 하는 변경 불가능한 이벤트 컬렉션입니다.
이벤트 데이터 스토어를 생성하여 [CloudTrail 이벤트](query-event-data-store-cloudtrail.md)(관리 이벤트, 데이터 이벤트, 네트워크 활동 이벤트), [CloudTrail Insights 이벤트](query-event-data-store-insights.md), [AWS Audit Manager 증거](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder), [AWS Config 구성 항목](query-event-data-store-config.md) 또는 [외부 이벤트를 로깅할 수 있습니다 AWS](event-data-store-integration-events.md).
**고급 이벤트 선택기**
*고급 이벤트 선택기*는 이벤트 데이터 스토어에 포함할 이벤트를 결정합니다. 고급 이벤트 선택기는 사용자에게 중요한 이벤트만 로깅하여 비용을 관리하는 데 도움이 됩니다.
관리 이벤트, 데이터 이벤트 및 네트워크 활동 이벤트의 경우 고급 이벤트 선택기를 사용하여 이벤트를 필터링할 수 있습니다. 예를 들어 관리 이벤트를 수집하기 위해 이벤트 데이터 스토어를 생성하는 경우, AWS Key Management Service (AWS KMS) 또는 Amazon Relational Database Service(RDS) 데이터 API 이벤트를 필터링할 수 있습니다. 일반적으로 , `Encrypt` `Decrypt`및와 같은 AWS KMS 작업은 이벤트의 99% 이상을 `GenerateDataKey` 생성합니다.
AWS Config 구성 항목, Audit Manager 증거 또는 외부 이벤트의 경우 AWS고급 이벤트 선택기는 이벤트 데이터 스토어에 해당 유형의 이벤트를 포함하는 데만 사용됩니다.
**연동**
*페더레이션*을 사용하면 AWS Glue [데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)의 이벤트 데이터 스토어와 연결된 메타데이터를 확인하고 Amazon Athena를 사용하여 이벤트 데이터에 대한 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고 읽고 처리하는 방법을 알 수 있습니다.
Lake 쿼리 페더레이션을 활성화하면 CloudTrail은 사용자를 대신하여 페더레이션 리소스를 생성하고 해당 리소스를 [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html)에 등록합니다. Lake 페더레이션이 활성화되면 추가 단계를 수행할 필요 없이 Athena에서 이벤트 데이터를 직접 쿼리할 수 있습니다. 자세한 내용은 [이벤트 데이터 스토어 페더레이션](query-federation.md) 단원을 참조하십시오.
**요금 옵션**
이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 사용할 요금 옵션을 선택합니다.** 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. 요금에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md) 섹션을 참조하세요.
**보관 기간**
이벤트 데이터 스토어의 보존 기간에 따라 이벤트 데이터가 이벤트 데이터 스토어에 보관되는 기간이 결정됩니다.** CloudTrail Lake는 이벤트의 `eventTime`가 지정된 보존 기간 내에 있는지 확인하여 이벤트 보존 여부를 결정합니다. 예를 들어 보존 기간을 90일로 지정했을 때, CloudTrail은 `eventTime`이 90일이 넘으면 이벤트를 제거합니다.
**기본 보존 기간**
이벤트 데이터 스토어의 기본 보존 기간은 이벤트 데이터가 이벤트 데이터 스토어에 보관되는 기본 일수입니다.** 이벤트 데이터 스토어의 기본 보존 기간 동안에는 스토리지가 추가 비용 없이 모으기 요금에 포함됩니다. 기본 보존 기간 후 스토리지 요금은 사용한 만큼만 지불합니다.
**최대 보존 기간**
이벤트 데이터 스토어의 최대 보존 기간은 이벤트 데이터 스토어에 데이터를 보관할 수 있는 최대 일수를 나타냅니다.**
**종료 방지**
기본적으로 이벤트 데이터 스토어는 이벤트 데이터 스토어가 실수로 삭제되는 것을 방지하는 종료 방지 기능을 활성화합니다.** 종료 방지 기능을 활성화한 상태에서 이벤트 데이터 스토어를 삭제하려면 이벤트 데이터 스토어의 세부 정보 페이지에 있는 **작업** 메뉴에서 **종료 방지 기능 변경**을 선택합니다. 그런 다음, 이벤트 데이터 스토어 삭제를 진행할 수 있습니다. 자세한 내용은 [콘솔을 사용한 변경 종료 보호CloudTrail 콘솔을 사용한 변경 종료 보호](query-eds-termination-protection.md) 단원을 참조하십시오.
## 통합
CloudTrail Lake** 통합을 사용하여 다음 소스의 사용자 활동 데이터를 로깅하고 저장할 수 있습니다.
+ 외부 AWS
+ 온프레미스 또는 클라우드에서 호스팅되는 사내 또는 서비스형 소프트웨어(SaaS) 애플리케이션, 가상 머신 또는 컨테이너와 같은 하이브리드 환경의 모든 소스
통합에는 이벤트를 전달하는 채널과 이벤트를 수신하는 이벤트 데이터 스토어가 필요합니다. 통합을 설정한 후 [PutAuditEvents](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html) API 작업을 직접적으로 호출하여 애플리케이션 활동을 CloudTrail로 모읍니다. 그런 다음, CloudTrail Lake를 사용하여 애플리케이션에서 로깅된 데이터를 검색, 쿼리 및 분석할 수 있습니다. 자세한 내용은 [외부의 이벤트 소스와 통합 생성 AWS](query-event-data-store-integration.md) 단원을 참조하십시오.
**통합 유형**
통합에는 **직접과 **솔루션, 두 가지 유형이 있습니다. 직접 통합을 통해 파트너는 `PutAuditEvents` API 작업을 직접적으로 호출하여 AWS 계정의 이벤트 데이터 스토어에 이벤트를 전달합니다. 솔루션 통합을 통해 애플리케이션은에서 실행 AWS 계정 되고 애플리케이션은 `PutAuditEvents` API 작업을 호출하여의 이벤트 데이터 스토어에 이벤트를 전달합니다 AWS 계정.
**채널**
*채널을* 사용하여 CloudTrail로 작업하는 외부 파트너 또는 자체 소스에서 CloudTrail Lake로 이벤트를 가져오는 AWS 작업 외부 소스의 활동 이벤트입니다. 채널을 생성할 때 채널 소스에서 도착하는 이벤트를 저장할 이벤트 데이터 스토어를 하나 이상 선택합니다. 대상 이벤트 데이터 스토어가 `eventCategory="ActivityAuditLog"` 이벤트를 로깅하도록 설정된 경우 필요에 따라 채널의 대상 이벤트 데이터 스토어를 변경할 수 있습니다. 외부 파트너의 이벤트에 대한 채널을 생성할 때는 파트너 또는 소스 애플리케이션에 채널 Amazon 리소스 이름(ARN)을 제공합니다.
**리소스 기반 정책**
**리소스 기반 정책은 리소스에 연결하는 JSON 정책 설명서입니다. 채널에 연결된 리소스 기반 정책을 사용하면 소스가 채널을 통해 이벤트를 전송할 수 있습니다. 채널에 리소스 정책이 없는 경우 채널 소유자만 채널에서 `PutAuditEvents` API 작업을 직접적으로 호출할 수 있습니다. 자세한 내용은 [AWS CloudTrail 리소스 기반 정책 예제](security_iam_resource-based-policy-examples.md) 단원을 참조하십시오.
## 쿼리
CloudTrail Lake의 **쿼리는 SQL로 작성됩니다. CloudTrail Lake **편집기** 탭에서 쿼리를 처음부터 SQL로 작성하거나, 저장된 쿼리 또는 샘플 쿼리를 열고 편집하거나, 쿼리 생성기를 사용하여 영어 프롬프트로 쿼리를 생성함으로써 쿼리를 구축할 수 있습니다. 자세한 내용은 [CloudTrail 콘솔을 사용하여 쿼리 생성 또는 편집](query-create-edit-query.md) 및 [자연어 프롬프트로 CloudTrail Lake 쿼리 생성](lake-query-generator.md) 섹션을 참조하세요.
CloudTrail Lake는 모든 유효한 Trino `SELECT` 문 및 함수를 지원합니다. 지원되는 SQL 함수와 연산자에 대한 자세한 내용은 Trino 설명서 웹 사이트의 [Functions and Operators](https://trino.io/docs/current/functions.html)를 참조하세요.
## 대시보드
CloudTrail Lake *대시보드를* 사용하면 이벤트 데이터 스토어의 이벤트를 시각화하고 상위, AWS 서비스사용자 및 오류와 같은 이벤트 추세를 볼 수 있습니다. 자세한 내용은 [CloudTrail Lake 대시보드](lake-dashboard.md) 단원을 참조하십시오.
**대시보드 유형**
CloudTrail Lake는 다음과 같은 유형의 대시보드를 제공합니다.
+ **관리형 대시보드** – 관리형 대시보드를 통해 관리 이벤트, 데이터 이벤트 또는 Insights 이벤트를 수집하는 이벤트 데이터 스토어의 이벤트 추세를 볼 수 있습니다. 이러한 대시보드는 자동으로 제공되며 CloudTrail Lake에서 관리합니다. CloudTrail은 선택할 수 있는 14개의 관리형 대시보드를 제공합니다. 관리형 대시보드를 수동으로 새로 고칠 수 있습니다. 이러한 대시보드의 위젯을 수정, 추가 또는 제거할 수는 없지만 위젯을 수정하거나 새로 고침 일정을 설정하려는 경우 관리형 대시보드를 사용자 지정 대시보드로 저장할 수 있습니다.
+ **사용자 지정 대시보드** – 사용자 지정 대시보드를 사용하면 모든 이벤트 데이터 스토어 유형에서 이벤트를 쿼리할 수 있습니다. 사용자 지정 대시보드에 최대 10개의 위젯을 추가할 수 있습니다. 사용자 지정 대시보드를 수동으로 새로 고치거나 새로 고침 일정을 설정할 수 있습니다.
+ **Highlights 대시보드** – Highlights 대시보드를 사용하면 계정의 이벤트 데이터 스토어에서 수집한 AWS 활동의 개요를 한눈에 볼 수 있습니다. Highlights 대시보드는 CloudTrail에서 관리하며 계정과 관련된 위젯을 포함합니다. Highlights 대시보드에 표시되는 위젯은 계정마다 고유합니다. 이러한 위젯은 탐지된 비정상적인 활동이나 이상 현상에 대해 알려 줄 수 있습니다. 예를 들어 Highlights 대시보드에는 비정상적인 교차 계정 활동이 증가했는지 보여 주는 **전체 교차 계정 액세스 위젯**이 포함될 수 있습니다. CloudTrail은 6시간마다 Highlights 대시보드를 업데이트합니다. 대시보드에는 마지막 업데이트 이후 지난 24시간 동안의 데이터가 표시됩니다.
**위젯**
*위젯*은 대시보드를 구성하고 선 차트 또는 막대 차트와 같은 시각화를 제공하는 구성 요소입니다. 각 위젯은 SQL 쿼리에 해당합니다. 대시보드를 새로 고치면 CloudTrail은 대시보드의 각 위젯에 대한 쿼리를 실행하여 위젯의 데이터를 채웁니다.
# CloudTrail Lake 이벤트 데이터 스토어
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
CloudTrail Lake에서 이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 포함할 이벤트의 유형을 선택합니다. CloudTrail 이벤트(관리 이벤트, 데이터 이벤트 또는 네트워크 활동 이벤트), CloudTrail Insights 이벤트, AWS Config 구성 항목 또는 외부 이벤트를 포함하는 이벤트 데이터 스토어를 생성할 수 있습니다 AWS. 이벤트 스키마는 이벤트 범주에 고유하기 때문에 각 이벤트 데이터 스토어 유형에는 특정 이벤트 범주(예: AWS Config 구성 항목)만 포함될 수 있습니다. 지원되는 SQL JOIN 키워드를 사용하여 여러 이벤트 데이터 스토어에서 SQL 쿼리를 실행할 수 있습니다. 여러 이벤트 데이터 스토어에서 쿼리 실행에 대한 자세한 내용은 [고급 다중 테이블 쿼리 지원](query-limitations.md#query-advanced-multi-table)을 참조하세요.
다음 표에는 각 이벤트 데이터 스토어 유형에 대해 지원되는 이벤트 카테고리가 나와 있습니다. **EventCategory** 열은 해당 유형의 이벤트를 수집하기 위해 고급 이벤트 선택기에서 지정하는 값을 보여 줍니다.
****
| 이벤트 유형(콘솔) | eventCategory(API) | 설명 |
| --- | --- | --- |
| CloudTrail 이벤트 | `Management` `Data` `NetworkActivity` | 이 이벤트 데이터 저장소 유형은 CloudTrail 관리 이벤트, 데이터 이벤트 및 네트워크 활동 이벤트를 수집할 수 있습니다. 자세한 내용은 [CloudTrail 이벤트에 대한 이벤트 데이터 스토어 생성](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-cloudtrail.html) 섹션을 참조하세요. |
| CloudTrail Insights 이벤트 | `Insight` | 이 이벤트 데이터 스토어 유형은 CloudTrail Insights 이벤트를 수집할 수 있습니다. Insights 이벤트를 수신하려면, CloudTrail 관리 이벤트를 로그하고 Insights를 활성화하는 [소스 이벤트 데이터 스토어](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-insights.html#query-event-data-store-cloudtrail-insights)가 필요합니다. 소스 및 대상 이벤트 데이터 스토어를 생성하는 방법에 대한 자세한 내용은 [CloudTrail Insights 이벤트에 대한 이벤트 데이터 스토어 생성](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-insights.html) 섹션을 참조하세요. |
| 구성 항목 | `ConfigurationItem` | 이 이벤트 데이터 스토어 유형은 AWS Config 구성 항목을 수집할 수 있습니다. 자세한 내용은 [AWS Config 구성 항목에 대한 이벤트 데이터 스토어 생성을](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-config.html) 참조하세요. |
| 통합의 이벤트 | `ActivityAuditLog` | 이 이벤트 데이터 스토어 유형은 통합에서 비AWS 이벤트를 수집할 수 있습니다. 자세한 내용은 [외부 이벤트에 대한 이벤트 데이터 스토어 생성을 참조하세요 AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/event-data-store-integration-events.html). |
Audit Manager 콘솔을 사용하여 AWS Audit Manager 증거에 대한 이벤트 데이터 스토어를 생성할 수도 있습니다. Audit Manager를 사용하는 CloudTrail Lake에서 증거 집계에 대한 자세한 내용은 *AWS Audit Manager 사용 설명서*의 [CloudTrail Lake에서 증거 찾기 작동 방식 이해](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder)를 참조하세요.
CloudTrail Lake 이벤트 데이터 스토어에는 요금이 발생합니다. 이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 사용할 [요금 옵션](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. CloudTrail 요금 Lake 비용 관리에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md)를 참조하세요.
다음 섹션에서는 이벤트 데이터 저장소를 생성, 업데이트 및 관리하는 방법을 설명합니다.
**Topics**
+ [
# 콘솔을 사용하여 이벤트 데이터 저장소 생성, 업데이트 및 관리
](manage-lake-eds-console.md)
+ [
# 를 사용하여 이벤트 데이터 스토어 생성, 업데이트 및 관리 AWS CLI
](lake-eds-cli.md)
+ [
# 이벤트 데이터 스토어 수명 주기 관리
](query-eds-disable-termination.md)
+ [
# 추적 이벤트를 이벤트 데이터 스토어에 복사
](cloudtrail-copy-trail-to-lake-eds.md)
+ [
# 이벤트 데이터 스토어 페더레이션
](query-federation.md)
+ [
# 조직 이벤트 데이터 저장소 이해
](cloudtrail-lake-organizations.md)
# 콘솔을 사용하여 이벤트 데이터 저장소 생성, 업데이트 및 관리
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
CloudTrail 콘솔을 사용하여 이벤트 데이터 저장소를 생성, 업데이트, 삭제 및 복원할 수 있습니다.
CloudTrail 콘솔을 사용하여 다음 설정을 업데이트할 수 있습니다.
+ [요금 옵션](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)을 **7년 보존 요금**에서 **1년 연장 가능 보존 요금**으로 변경할 수 있습니다.
+ 이벤트 데이터 저장소의 보존 기간을 업데이트할 수 있습니다. 보존 기간에 따라 이벤트 데이터가 이벤트 데이터 스토어에 보관되는 기간이 결정됩니다.
+ 다중 리전 이벤트 데이터 저장소를 단일 리전 이벤트 데이터 저장소로 변환하거나 단일 리전 이벤트 데이터 저장소를 다중 리전 이벤트 데이터 저장소로 변환할 수 있습니다.
+ AWS Organizations 조직의 관리 계정은 계정 수준 이벤트 데이터 스토어를 조직 이벤트 데이터 스토어로 변환하거나 조직 이벤트 데이터 스토어를 계정 수준 이벤트 데이터 스토어로 변환할 수 있습니다. 외부에서 이벤트를 수집하는 이벤트 데이터 스토어에서는이 설정을 사용할 수 없습니다 AWS.
+ [Lake 쿼리 페더레이션](query-federation.md)을 활성화하거나 비활성화할 수 있습니다. 이벤트 데이터 저장소를 페더레이션하면 Amazon Athena에서 이벤트 데이터를 쿼리할 수 있습니다.
+ 이벤트 데이터 스토어에 대한 리소스 기반 정책을 추가하거나 편집하여 이벤트 데이터 스토어에 대한 교차 계정 액세스를 제공할 수 있습니다. 자세한 내용은 [이벤트 데이터 스토어의 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds) 단원을 참조하십시오.
+ 관리 [이벤트, 데이터 이벤트 또는 구성 항목을 수집하는 이벤트 데이터 스토어에서 이벤트 수집을 중지](query-eds-stop-ingestion.md)하고 이벤트 수집을 다시 시작할 수 있습니다. AWS Config
+ [종료 방지](query-eds-termination-protection.md)를 활성화하거나 비활성화할 수 있습니다. 종료 방지 기능은 이벤트 데이터 저장소가 실수로 삭제되는 것을 방지합니다. 종료 방지 기능은 기본적으로 활성화됩니다.
+ 삭제 보류 중인 이벤트 데이터 저장소를 [복원](query-eds-restore.md)할 수 있습니다.
+ 태그를 추가하거나 제거할 수 있습니다. 이벤트 데이터 스토어에 대한 액세스를 식별, 정렬 및 제어하는 데 도움이 되도록 최대 50개의 태그 키 페어를 추가할 수 있습니다.
+ KMS 키를 추가하여 이벤트 데이터 저장소를 암호화할 수 있습니다. 이벤트 데이터 저장소에서는 KMS 키를 제거할 수 없습니다.
CloudTrail 콘솔을 사용하여 이벤트 데이터 저장소를 생성하거나 업데이트하면, 다음과 같은 이점이 있습니다.
+ 데이터 이벤트를 수집하도록 이벤트 데이터 스토어를 구성하는 경우, CloudTrail 콘솔을 사용하여 사용 가능한 데이터 이벤트 리소스 유형을 확인할 수 있습니다. 자세한 내용은 [데이터 이벤트 로깅](logging-data-events-with-cloudtrail.md) 단원을 참조하십시오.
+ 네트워크 활동 이벤트를 수집하도록 이벤트 데이터 스토어를 구성하는 경우 CloudTrail 콘솔을 사용하면 네트워크 활동 이벤트를 로깅할 수 있는 이벤트 소스를 볼 수 있습니다. 자세한 내용은 [네트워크 활동 이벤트 로깅](logging-network-events-with-cloudtrail.md) 단원을 참조하십시오.
+ 외부에서 이벤트를 수집하도록 이벤트 데이터 스토어를 구성하는 경우 CloudTrail 콘솔을 AWS사용하면 사용 가능한 파트너에 대한 정보를 볼 수 있습니다. 자세한 내용은 [콘솔을 AWS 사용하여 외부 이벤트에 대한 이벤트 데이터 스토어 생성](event-data-store-integration-events.md) 단원을 참조하십시오.
**Topics**
+ [
# 콘솔을 사용하여 CloudTrail 이벤트에 대한 이벤트 데이터 저장소 생성
](query-event-data-store-cloudtrail.md)
+ [
# 콘솔을 사용하여 Insights 이벤트에 대한 이벤트 데이터 저장소 생성
](query-event-data-store-insights.md)
+ [
# 콘솔을 사용하여 구성 항목에 대한 이벤트 데이터 저장소 생성
](query-event-data-store-config.md)
+ [
# 콘솔을 AWS 사용하여 외부 이벤트에 대한 이벤트 데이터 스토어 생성
](event-data-store-integration-events.md)
+ [
# 콘솔을 사요하여 이벤트 데이터 저장소 업데이트
](query-event-data-store-update.md)
+ [
# 콘솔을 사용하여 이벤트 수집 중지 및 시작
](query-eds-stop-ingestion.md)
+ [
# 콘솔을 사용한 변경 종료 보호
](query-eds-termination-protection.md)
+ [
# 콘솔을 사용하여 이벤트 데이터 저장소 삭제
](query-event-data-store-delete.md)
+ [
# 콘솔을 사용하여 이벤트 데이터 저장소 복원
](query-eds-restore.md)
+ [
# CloudTrail Lake 이벤트 데이터 스토어에서 CloudWatch로 데이터 내보내기
](cloudtrail-lake-export-cloudwatch.md)
# 콘솔을 사용하여 CloudTrail 이벤트에 대한 이벤트 데이터 저장소 생성
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
CloudTrail 이벤트에 대한 이벤트 데이터 저장소에는 CloudTrail 관리 이벤트, 데이터 이벤트 및 네트워크 활동 이벤트가 포함될 수 있습니다. **1년 연장 가능 보존 요금** 옵션을 선택하는 경우 최대 3,653일(약 10년), **7년 보존 요금** 옵션을 선택하는 경우 최대 2,557일(약 7년) 동안 이벤트 데이터를 이벤트 데이터 스토어에 보관할 수 있습니다.
CloudTrail Lake 이벤트 데이터 스토어에는 요금이 발생합니다. 이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 사용할 [요금 옵션](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. CloudTrail 요금 Lake 비용 관리에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md)를 참조하세요.
## CloudTrail 이벤트에 대한 이벤트 데이터 스토어를 생성하려면
이 절차를 사용하여 CloudTrail 관리 이벤트, 데이터 이벤트 또는 네트워크 활동 이벤트 모두를 로깅하는 이벤트 데이터 저장소를 생성합니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **Event data stores**(이벤트 데이터 스토어)를 선택합니다.
1. **이벤트 데이터 스토어 생성**을 선택합니다.
1. **이벤트 데이터 스토어 구성(Configure event data store)** 페이지의 **일반 세부 정보(General details)**에서 이벤트 데이터 스토어의 이름을 입력합니다. 이름은 필수 항목입니다.
1. 이벤트 데이터 스토어에 사용할 **요금 옵션**을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md) 섹션을 참조하세요.
다음과 같은 옵션을 사용할 수 있습니다.
+ **1년 연장 가능 보존 요금** - 매월 25TB 미만의 이벤트 데이터를 모을 것으로 예상되고 최대 10년의 유연한 보존 기간을 원하는 경우 일반적으로 권장됩니다. 처음 366일(기본 보존 기간) 동안은 추가 요금 없이 모으기 요금에 스토리지가 포함됩니다. 366일 후에는 사용량에 따른 요금으로 연장 보존이 가능합니다. 이는 기본 옵션입니다.
+ **기본 보존 기간:** 366일
+ **최대 보존 기간:** 3,653일
+ **7년 보존 요금** - 매월 25TB 이상의 이벤트 데이터를 모을 것으로 예상되고 최대 7년의 보존 기간이 필요한 경우 권장됩니다. 추가 비용 없이 모으기 요금에 보존이 포함됩니다.
+ **기본 보존 기간:** 2,557일
+ **최대 보존 기간:** 2,557일
1. 이벤트 데이터 스토어의 보존 기간을 지정합니다. 보존 기간은 **1년 연장 가능 보존 요금** 옵션의 경우 7일\$13,653일(약 10년), **7년 보존 요금** 옵션의 경우 7일\$12,557일(약 7년)일 수 있습니다.
CloudTrail Lake는 이벤트의 `eventTime`가 지정된 보존 기간 내에 있는지 확인하여 이벤트 보존 여부를 결정합니다. 예를 들어 보존 기간을 90일로 지정했을 때, CloudTrail은 `eventTime`이 90일이 넘으면 이벤트를 제거합니다.
**참고**
이 이벤트 데이터 스토어에 추적 이벤트를 복사하는 경우, CloudTrail은 이벤트가 지정된 보존 기간보다 오래된 `eventTime`을 가진 이벤트를 복사하지 않습니다. 적절한 보존 기간을 결정하려면 복사하려는 가장 오래된 이벤트(일수)와 이벤트 데이터 스토어에 이벤트를 유지할 일수의 합계를 구합니다(**보존 기간** = *oldest-event-in-days* \$1 *number-days-to-retain*). 예를 들어, 복사 중인 가장 오래된 이벤트가 45일이고 이벤트 데이터 스토어에 이벤트를 추가로 45일 동안 보관하려는 경우 보존 기간을 90일로 설정합니다.
1. (선택 사항)를 사용하여 암호화를 활성화하려면 **자체 사용을 AWS KMS key** AWS Key Management Service선택합니다. **새로 만들기**를 선택하여를 자동으로 AWS KMS key 생성하거나 **기존**를 선택하여 기존 KMS 키를 사용합니다. **Enter KMS alias**(KMS 별칭 입력)에 `alias/`*MyAliasName* 형식으로 별칭을 지정합니다. 자체 KMS 키를 사용하려면 이벤트 데이터 스토어를 암호화하고 복호화할 수 있도록 KMS 키 정책을 편집해야 합니다. 자세한 내용은 [CloudTrail에 대한 AWS KMS 키 정책 구성](create-kms-key-policy-for-cloudtrail.md) 단원을 참조하십시오. CloudTrail은 AWS KMS 다중 리전 키도 지원합니다. 다중 리전 키에 대한 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [다중 리전 키 사용](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) 단원을 참조하세요.
자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.
**참고**
조직 이벤트 데이터 스토어에 대한 AWS Key Management Service 암호화를 활성화하려면 관리 계정에 기존 KMS 키를 사용해야 합니다.
1. (선택 사항) Amazon Athena를 사용하여 이벤트 데이터에 대해 쿼리하려면 **Lake 쿼리 페더레이션**에서 **활성화**를 선택합니다. 페더레이션을 통해 AWS Glue [데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)의 이벤트 데이터 스토어와 연결된 메타데이터를 확인하고 Athena에서 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고 읽고 처리하는 방법을 알 수 있습니다. 자세한 내용은 [이벤트 데이터 스토어 페더레이션](query-federation.md) 단원을 참조하십시오.
Lake 쿼리 페더레이션을 활성화하려면 **활성화**를 선택하고 다음을 수행합니다.
1. 새 역할을 생성할지 아니면 기존 IAM 역할을 사용할지 선택합니다. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html)은 이 역할을 사용하여 페더레이션 이벤트 데이터 스토어에 대한 권한을 관리합니다. CloudTrail 콘솔을 사용하여 새 역할을 생성하면 CloudTrail은 필요한 권한이 있는 역할을 자동으로 생성합니다. 기존 역할을 선택하는 경우 해당 역할에 대한 정책이 [필요한 최소 권한](query-federation.md#query-federation-permissions-role)을 제공하는지 확인합니다.
1. 새 역할을 생성하는 경우 역할을 식별할 수 있는 이름을 입력합니다.
1. 기존 역할을 사용하는 경우 사용하려는 역할을 선택합니다. 계정에 역할이 있어야 합니다.
1. (선택 사항) **리소스 정책 활성화**를 선택하여 이 이벤트 데이터 스토어에 리소스 기반 정책을 추가합니다. 리소스 기반 정책을 사용하면 이벤트 데이터 스토어에서 작업을 수행할 수 있는 위탁자를 제어할 수 있습니다. 예를 들어 다른 계정의 루트 사용자가 이 이벤트 데이터 스토어를 쿼리하고 쿼리 결과를 볼 수 있도록 하는 리소스 기반 정책을 추가할 수 있습니다. 예시 정책은 [이벤트 데이터 스토어의 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds) 섹션을 참조하세요.
리소스 기반 정책에는 하나 이상의 문이 포함됩니다. 정책의 각 스테이트먼트는 이벤트 데이터 스토어에 대한 액세스가 허용되거나 거부된 [위탁자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)와 위탁자가 이벤트 데이터 스토어 리소스에서 수행할 수 있는 작업을 정의합니다.
이벤트 데이터 스토어의 리소스 기반 정책에서 지원되는 작업은 다음과 같습니다.
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
[조직 이벤트 데이터 스토어](cloudtrail-lake-organizations.md)의 경우 CloudTrail은 위임된 관리자 계정이 조직 이벤트 데이터 스토어에서 수행할 수 있는 작업을 나열하는 [기본 리소스 기반 정책](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)을 생성합니다. 이 정책의 권한은 AWS Organizations의 위임된 관리자 권한에서 파생됩니다. 이 정책은 조직의 이벤트 데이터 스토어 또는 조직이 변경되면(예: CloudTrail의 위임된 관리자 계정이 등록 또는 제거됨) 자동으로 업데이트됩니다.
1. (선택 사항) **Tags**(태그) 섹션에 최대 50개의 태그 키 쌍을 추가하여 이벤트 데이터 스토어에 대한 액세스를 식별, 정렬 및 제어할 수 있습니다. IAM 정책을 사용하여 태그를 기반으로 이벤트 데이터 스토어에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 [예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags) 단원을 참조하세요. 에서 태그를 사용하는 방법에 대한 자세한 내용은 [AWS 리소스 태그 지정](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *사용 설명서의 AWS 리소스 태그 지정*을 AWS참조하세요.
1. **Next(다음)**를 선택하여 이벤트 데이터 스토어를 구성합니다.
1. **이벤트 선택** 페이지에서 **AWS events**를 선택하고 **CloudTrail 이벤트**를 선택합니다.
1. **CloudTrail events**(CloudTrail 이벤트)에서 하나 이상의 이벤트 유형을 선택합니다. 기본적으로 **관리 이벤트(Management events)**가 선택됩니다. 이벤트 데이터 저장소에 [관리 이벤트](logging-management-events-with-cloudtrail.md), [데이터 이벤트](logging-data-events-with-cloudtrail.md) 및 [네트워크 활동 이벤트](logging-network-events-with-cloudtrail.md)를 추가할 수 있습니다.
1. (선택 사항) 기존 트레일에서 이벤트를 복사해 이전 이벤트에 대한 쿼리를 실행하려면 **Copy trail events**(트레일 이벤트 복사)를 선택합니다. 추적 이벤트를 조직 이벤트 데이터 스토어에 복사하려면 조직의 관리 계정을 사용해야 합니다. 위임된 관리자 계정은 추적 이벤트를 조직 이벤트 데이터 스토어에 복사할 수 없습니다. 트레일 이벤트 복사 시 고려 사항에 대한 자세한 내용은 [추적 이벤트 복사 시의 고려 사항](cloudtrail-copy-trail-to-lake-eds.md#cloudtrail-trail-copy-considerations-lake) 단원을 참조하세요.
1. 이벤트 데이터 스토어에서 AWS Organizations 조직 내 모든 계정의 이벤트를 수집하도록 하려면 **내 조직의 모든 계정에 대해 활성화(Enable for all accounts in my organization)**를 선택합니다. 조직의 이벤트를 수집하는 이벤트 데이터 스토어를 생성하려면 조직의 관리 계정이나 위임된 관리자 계정에 로그인해야 합니다.
**참고**
추적 이벤트를 복사하거나 Insights 이벤트를 사용 설정하려면, 조직의 관리 계정에 로그인해야 합니다.
1. **추가 설정을** 확장하여 이벤트 데이터 스토어가 모든에 대한 이벤트를 수집할지 AWS 리전또는 현재 에만 이벤트를 수집할지 AWS 리전선택하고 이벤트 데이터 스토어가 이벤트를 수집할지 선택합니다. 기본적으로 이벤트 데이터 스토어는 계정 내 모든 리전에서 이벤트를 수집하고, 이벤트 데이터 스토어가 생성되면 수집을 시작합니다.
1. **Include only the current region in my event data store**(내 이벤트 데이터 스토어에 현재 리전만 포함)를 선택하여 현재 리전에서 로그된 이벤트만 포함할 수 있습니다. 이 옵션을 선택하지 않으면 이벤트 데이터 스토어에 모든 리전의 이벤트가 포함됩니다.
1. 이벤트 데이터 스토어에서 **Ingest events**(이벤트 수집)을 시작하지 않도록 하려면 이벤트 수집을 선택 해제합니다. 예를 들어, 추적 이벤트를 복사하고, 이벤트 데이터 스토어에 향후 이벤트가 포함되지 않도록 하려면 **Ingest events**(이벤트 수집)을 선택 해제해야 할 수 있습니다. 이벤트 데이터 스토어는 생성되어 기본적으로 이벤트 수집을 시작합니다.
1. 이벤트 데이터 스토어에 관리 이벤트가 포함된 경우 다음 옵션 중에서 선택할 수 있습니다. 관리 이벤트에 대한 자세한 내용은 [관리 이벤트 로깅](logging-management-events-with-cloudtrail.md) 섹션을 참조하세요.
1. **단순 이벤트 수집** 또는 **고급 이벤트 수집** 중에서 선택합니다.
+ 모든 이벤트를 로깅하거나, 읽기 이벤트만 로깅하거나, 쓰기 이벤트만 로깅하려면 **단순 이벤트 수집**을 선택합니다. AWS Key Management Service 및 Amazon RDS Data API 이벤트를 제외하도록 선택할 수도 있습니다.
+ `eventName`, `eventType`, `eventSource`, `sessionCredentialFromConsole` 및 `userIdentity.arn` 필드를 비롯한 고급 이벤트 선택기 필드의 값을 기반으로 관리 이벤트를 포함하거나 제외하려면 **고급 이벤트 수집**을 선택합니다.
1. **단순 이벤트 수집**을 선택한 경우 모든 이벤트를 로깅하거나, 읽기 이벤트만 로깅하거나, 쓰기 이벤트만 로깅할지 선택합니다. AWS KMS 및 Amazon RDS Data API 이벤트를 제외하도록 선택할 수도 있습니다.
1. **고급 이벤트 수집**을 선택한 경우 다음 선택 사항을 선택합니다.
1. **로그 선택기 템플릿**에서 사전 정의된 템플릿을 선택하거나 **사용자 지정**을 선택하여 고급 이벤트 선택기 필드 값을 기반으로 사용자 지정 구성을 빌드합니다.
다음과 같은 사전 정의된 템플릿 중에서 선택할 수 있습니다.
+ **모든 이벤트 로깅** - 모든 이벤트를 로깅하려면 이 템플릿을 선택합니다.
+ **읽기 이벤트만 로깅** - 읽기 이벤트만 로깅하려면 이 템플릿을 선택합니다. 읽기 전용 이벤트는 `Get*` 또는 `Describe*` 이벤트와 같이 리소스의 상태를 변경하지 않는 이벤트입니다.
+ **쓰기 이벤트만 로깅** - 쓰기 이벤트만 로깅하려면 이 템플릿을 선택합니다. 쓰기 이벤트는 `Put*`, `Delete*` 또는 `Write*` 이벤트와 같이 리소스, 속성 또는 아티팩트를 추가, 변경 또는 삭제합니다.
+ **로그 전용 AWS Management Console 이벤트** -에서 시작된 이벤트만 로깅하려면이 템플릿을 선택합니다 AWS Management Console.
+ ** AWS 서비스 시작된 이벤트 제외** - `eventType`의가 있는 AWS 서비스 이벤트`AwsServiceEvent`와 AWS 서비스연결 역할(SLRs)로 시작된 이벤트를 제외하려면이 템플릿을 선택합니다.
1. (선택 사항) **선택자 이름(Selector name)**에 선택자를 식별할 이름을 입력합니다. 선택기 이름은 " AWS Management Console 세션의 로그 관리 이벤트"와 같은 고급 이벤트 선택기를 설명하는 이름입니다. 선택기 이름은 고급 이벤트 선택기에서의 `Name`으로 나열되며, **JSON 뷰(JSON view)**를 확장하여 볼 수 있습니다.
1. **사용자 지정**을 선택한 경우 **고급 이벤트 선택기**에서 고급 이벤트 선택기 필드 값을 기반으로 표현식을 빌드합니다.
**참고**
선택기는 `*` 같은 와일드카드 사용을 지원하지 않습니다. 여러 값을 단일 조건과 일치시키려면 `StartsWith`, `EndsWith`, `NotStartsWith` 또는 `NotEndsWith`를 사용하여 이벤트 필드의 시작 또는 끝을 명시적으로 일치시킬 수 있습니다.
1. 다음 필드 중에서 선택합니다.
+ **`readOnly`** – `readOnly`는 **같음**으로 설정하며 값으로 `true` 또는 `false`를 사용할 수 있습니다. 이 값을 `false`로 설정하면 이벤트 데이터 스토어는 관리 이벤트 중 쓰기 이벤트만 로깅합니다. 읽기 전용 관리 이벤트는 `Get*` 또는 `Describe*` 이벤트와 같이 리소스의 상태를 변경하지 않는 이벤트입니다. 쓰기 이벤트는 `Put*`, `Delete*` 또는 `Write*` 이벤트와 같이 리소스, 속성 또는 아티팩트를 추가, 변경 또는 삭제합니다. **읽기** 및 **쓰기** 이벤트를 모두 로깅하려면 `readOnly` 선택기를 추가하지 마세요.
+ **`eventName`** – `eventName`에는 모든 연산자를 사용할 수 있습니다. 이를 사용하여 관리 이벤트(예: `CreateAccessPoint` 또는 `GetAccessPoint`)를 포함하거나 제외할 수 있습니다.
+ **`userIdentity.arn`** – 특정 IAM ID에서 수행한 작업에 대한 이벤트를 포함하거나 제외합니다. 자세한 내용은 [CloudTrail userIdentity 요소](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)를 참조하십시오.
+ **`sessionCredentialFromConsole`** - AWS Management Console 세션에서 시작된 이벤트를 포함하거나 제외합니다. 이 필드는 **같음** 또는 **같지 않음**으로 설정할 수 있으며 값으로 `true`를 사용할 수 있습니다.
+ **`eventSource`** – 이를 사용하여 특정 이벤트 소스를 포함하거나 제외할 수 있습니다. `eventSource`는 일반적으로 공백 없이 `.amazonaws.com`이 붙는 서비스 이름의 간단한 형태입니다. 예를 들어 `eventSource`를 `ec2.amazonaws.com`과 **같음**으로 설정하면Amazon EC2 관리 이벤트만 로깅합니다.
+ **`eventType`** – 포함하거나 제외할 [eventType](cloudtrail-event-reference-record-contents.md#ct-event-type)입니다. 예를 들어 이 필드를 `AwsServiceEvent`와 **같지 않음**으로 설젛아면 [AWS 서비스 이벤트](non-api-aws-service-events.md)를 제외할 수 있습니다.
1. 각 필드에 대해 [**\$1 조건(\$1 Condition)**]을 선택하여 모든 조건에 대해 최대 500개의 지정된 값까지 필요한 만큼 조건을 추가합니다.
CloudTrail이 여러 조건을 평가하는 방법에 대한 자세한 내용은 [CloudTrail이 필드의 여러 조건을 평가하는 방법](filtering-data-events.md#filtering-data-events-conditions) 섹션을 참조하세요.
**참고**
이벤트 데이터 스토어의 모든 선택기에 대해 최대 500개의 값을 가질 수 있습니다. 여기에는 `eventName`과 같은 선택기에 대한 여러 값의 배열이 포함됩니다. 모든 선택기에 대해 단일 값이 있는 경우 선택기에 최대 500개의 조건을 추가할 수 있습니다.
1. 필요에 따라 필드를 추가하려면 [**\$1 필드(\$1 Field)**]를 선택합니다. 오류를 방지하려면 필드에 충돌하거나 중복되는 값을 설정하지 마세요.
1. 선택적으로 **JSON 뷰(JSON view)**를 확장하여 고급 이벤트 선택기를 JSON 블록으로 볼 수 있습니다.
1. **Insights 이벤트 캡처 활성화**를 선택하여 Insights를 활성화합니다. Insights를 활성화하려면, 이 이벤트 데이터 스토어에서의 관리 이벤트 활동을 기반으로 Insights 이벤트를 수집하는 [대상 이벤트 데이터 스토어](query-event-data-store-insights.md#query-event-data-store-insights-procedure)를 설정해야 합니다.
Insights를 사용하기로 선택했다면, 다음을 따라합니다.
1. Insights 이벤트를 로깅할 대상 이벤트 스토어를 선택합니다. 대상 이벤트 데이터 스토어는 이 이벤트 데이터 스토어의 관리 이벤트 활동을 기반으로 Insights 이벤트를 수집합니다. 대상 이벤트 데이터 스토어를 생성하는 방법에 대한 자세한 내용은 [Insights 이벤트를 로그하는 대상 이벤트 데이터 스토어 생성](query-event-data-store-insights.md#query-event-data-store-insights-procedure) 섹션을 참조하세요.
1. Insights 유형을 선택합니다. **API 호출률(API call rate)**, **API 오류율(API error rate)** 또는 두 가지 모두를 선택할 수 있습니다. **API 호출률(API call rate)**에 대한 Insights 이벤트를 로그하려면 **쓰기(Write)** 관리 이벤트를 로그하고 있어야 합니다. **API 오류율**에 대한 Insights 이벤트를 로그하려면 **읽기(Read)** 또는 **쓰기(Write)** 관리 이벤트를 로그하고 있어야 합니다.
1. 이벤트 데이터 스토어에 데이터 이벤트를 포함하려면 다음을 수행합니다.
1. 리소스 유형을 선택합니다. 데이터 이벤트가 로깅되는 AWS 서비스 및 리소스입니다.
1. **로그 선택기 템플릿**에서 사전 정의된 템플릿을 선택하거나 **사용자 지정**을 선택하여 고급 이벤트 선택기 필드의 값을 기반으로 자체 이벤트 수집 조건을 정의합니다.
다음과 같은 사전 정의된 템플릿 중에서 선택할 수 있습니다.
+ **모든 이벤트 로깅** - 모든 이벤트를 로깅하려면 이 템플릿을 선택합니다.
+ **읽기 이벤트만 로깅** - 읽기 이벤트만 로깅하려면 이 템플릿을 선택합니다. 읽기 전용 이벤트는 `Get*` 또는 `Describe*` 이벤트와 같이 리소스의 상태를 변경하지 않는 이벤트입니다.
+ **쓰기 이벤트만 로깅** - 쓰기 이벤트만 로깅하려면 이 템플릿을 선택합니다. 쓰기 이벤트는 `Put*`, `Delete*` 또는 `Write*` 이벤트와 같이 리소스, 속성 또는 아티팩트를 추가, 변경 또는 삭제합니다.
+ **로그 전용 AWS Management Console 이벤트** -에서 시작된 이벤트만 로깅하려면이 템플릿을 선택합니다 AWS Management Console.
+ ** AWS 서비스 시작된 이벤트 제외** - `eventType`의가 있는 AWS 서비스 이벤트`AwsServiceEvent`와 AWS 서비스연결 역할(SLRs)로 시작된 이벤트를 제외하려면이 템플릿을 선택합니다.
1. (선택 사항) **선택자 이름(Selector name)**에 선택자를 식별할 이름을 입력합니다. 선택기 이름은 "2개의 S3 버킷에 대한 데이터 이벤트 로그그"애와 같이 고급 이벤트 선택기를 설명하는 이름입니다. 선택기 이름은 고급 이벤트 선택기에서의 `Name`으로 나열되며, **JSON 뷰(JSON view)**를 확장하여 볼 수 있습니다.
1. **사용자 지정**을 선택한 경우 **고급 이벤트 선택기**에서 고급 이벤트 선택기 필드의 값을 기반으로 표현식을 작성합니다.
**참고**
선택기는 `*` 같은 와일드카드 사용을 지원하지 않습니다. 여러 값을 단일 조건과 일치시키려면 `StartsWith`, `EndsWith`, `NotStartsWith` 또는 `NotEndsWith`를 사용하여 이벤트 필드의 시작 또는 끝을 명시적으로 일치시킬 수 있습니다.
1. 다음 필드 중에서 선택합니다.
+ **`readOnly`** - `readOnly`는 `true` 또는 `false` 값과 **같음**으로 설정할 수 있습니다. 읽기 전용 데이터 이벤트는 `Get*` 또는 `Describe*` 이벤트와 같이 리소스의 상태를 변경하지 않는 이벤트입니다. 쓰기 이벤트는 `Put*`, `Delete*` 또는 `Write*` 이벤트와 같이 리소스, 속성 또는 아티팩트를 추가, 변경 또는 삭제합니다. `read` 이벤트와 `write` 이벤트를 모두 로그하려면 `readOnly` 선택기를 추가하지 마세요.
+ **`eventName`** - `eventName`은 연산자를 사용할 수 있습니다. 연산자를 사용하여 `PutBucket`, `GetItem` 또는 `GetSnapshotBlock`과 같이 CloudTrail에 로그된 데이터 이벤트를 포함하거나 제외할 수 있습니다.
+ **`eventSource`** - 포함하거나 제외할 이벤트 소스입니다. 이 필드는 모든 연산자를 사용할 수 있습니다.
+ **eventType** – 포함하거나 제외할 이벤트 유형입니다. 예를 들어 이 필드를 `AwsServiceEvent`와 **같지 않음**으로 설정하면 [AWS 서비스 이벤트](non-api-aws-service-events.md)를 제외할 수 있습니다. 이벤트 유형 목록은 [관리, 데이터 및 네트워크 활동 이벤트에 대한 CloudTrail 레코드 콘텐츠](cloudtrail-event-reference-record-contents.md)의 [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type) 섹션을 참조하세요.
+ **sessionCredentialFromConsole** - AWS Management Console 세션에서 시작된 이벤트를 포함하거나 제외합니다. 이 필드는 **같음** 또는 **같지 않음**으로 설정할 수 있으며 값으로 `true`를 사용할 수 있습니다.
+ **userIdentity.arn** – 특정 IAM ID에서 수행한 작업에 대한 이벤트를 포함하거나 제외합니다. 자세한 내용은 [CloudTrail userIdentity 요소](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)를 참조하십시오.
+ **`resources.ARN`** - `resources.ARN`과 함께 연산자를 사용할 수 있지만, **같음** 또는 **같지 않음**을 사용하는 경우 값은 템플릿에서 `resources.type` 값으로 지정한 유형의 유효한 리소스 ARN과 정확히 일치해야 합니다.
**참고**
`resources.ARN` 필드를 사용하여 ARN이 없는 리소스 유형을 필터링할 수 없습니다.
데이터 이벤트 리소스의 ARN 형식에 대한 자세한 내용은 *서비스 승인 참조*의 [Actions, resources, and condition keys for AWS 서비스](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)를 참조하세요.
1. 각 필드에 대해 [**\$1 조건(\$1 Condition)**]을 선택하여 모든 조건에 대해 최대 500개의 지정된 값까지 필요한 만큼 조건을 추가합니다. 예를 들어 이벤트 데이터 스토어에 로깅되는 데이터 이벤트에서 두 S3 버킷에 대한 데이터 이벤트를 제외하려면 필드를 **resources.ARN**으로 설정하고 **다음으로 시작하지 않음**에 대한 연산자를 설정한 다음에 이벤트를 로깅하지 않으려는 S3 버킷 ARN을 붙여넣을 수 있습니다.
두 번째 S3 버킷을 추가하려면 [**\$1 조건(\$1 Condition)**]을 선택한 다음, 이전 지침을 반복하여 ARN을 붙여넣거나 다른 버킷을 찾습니다.
CloudTrail이 여러 조건을 평가하는 방법에 대한 자세한 내용은 [CloudTrail이 필드의 여러 조건을 평가하는 방법](filtering-data-events.md#filtering-data-events-conditions) 섹션을 참조하세요.
**참고**
이벤트 데이터 스토어의 모든 선택기에 대해 최대 500개의 값을 가질 수 있습니다. 여기에는 `eventName`과 같은 선택기에 대한 여러 값의 배열이 포함됩니다. 모든 선택기에 대해 단일 값이 있는 경우 선택기에 최대 500개의 조건을 추가할 수 있습니다.
1. 필요에 따라 필드를 추가하려면 [**\$1 필드(\$1 Field)**]를 선택합니다. 오류를 방지하려면 필드에 충돌하거나 중복되는 값을 설정하지 마세요. 예를 들어 한 선택기의 ARN을 값과 같도록 지정하지 마세요. 그런 다음, ARN이 다른 선택기의 동일한 값과 같지 않도록 지정하세요.
1. 선택적으로 **JSON 뷰(JSON view)**를 확장하여 고급 이벤트 선택기를 JSON 블록으로 볼 수 있습니다.
1. 데이터 이벤트를 로깅할 다른 리소스 유형을 추가하려면 **데이터 이벤트 유형 추가**를 선택합니다. 리소스 유형에 대한 고급 이벤트 선택기를 구성하려면 한 단계부터 이 단계까지 반복합니다.
1. 이벤트 데이터 스토어에 네트워크 활동 이벤트를 포함하려면 다음을 수행합니다.
1. **네트워크 활동 이벤트 소스**에서 네트워크 활동 이벤트의 소스를 선택합니다.
1. **로그 선택기 템플릿(Log selector template)**에서 템플릿을 선택합니다. 모든 네트워크 활동 이벤트를 로깅하거나 모든 네트워크 활동 액세스 거부 이벤트를 로깅하거나 **사용자 지정**을 선택하여 `eventName` 및 `vpcEndpointId`와 같은 여러 필드를 기준으로 필터링할 사용자 지정 로그 선택기를 빌드할 수 있습니다.
1. (선택 사항) 선택기를 식별할 이름을 입력합니다. 선택기 이름은 고급 이벤트 선택기에서의 **이름**으로 나열되며 **JSON 보기**를 확장하면 볼 수 있습니다.
1. **고급 이벤트 선택기**에서 **필드**, **연산자** 및 **값**을 선택하여 표현식을 빌드합니다. 사전 정의된 로그 템플릿을 사용한다면 이 단계를 건너뛸 수 있습니다.
1. 네트워크 활동 이벤트를 제외하거나 포함하는 경우 콘솔의 다음 필드 중에서 선택할 수 있습니다.
+ **`eventName`** – `eventName`에서 모든 연산자를 사용할 수 있습니다. 이를 사용하여 이벤트(예: `CreateKey`)를 포함하거나 제외할 수 있습니다.
+ **`errorCode`** - 이를 사용하여 오류 코드를 기준으로 필터링할 수 있습니다. 현재 지원되는 유일한 `errorCode`는 `VpceAccessDenied`입니다.
+ **`vpcEndpointId`** - 작업이 통과한 VPC 엔드포인트를 식별합니다. `vpcEndpointId`에서 모든 연산자를 사용할 수 있습니다.
1. 각 필드에 대해 [**\$1 조건(\$1 Condition)**]을 선택하여 모든 조건에 대해 최대 500개의 지정된 값까지 필요한 만큼 조건을 추가합니다.
1. 필요에 따라 필드를 추가하려면 [**\$1 필드(\$1 Field)**]를 선택합니다. 오류를 방지하려면 필드에 충돌하거나 중복되는 값을 설정하지 마세요.
1. 네트워크 활동 이벤트를 로깅할 다른 이벤트 소스를 추가하려면 **네트워크 활동 이벤트 선택기 추가**를 선택합니다.
1. 선택적으로 **JSON 뷰(JSON view)**를 확장하여 고급 이벤트 선택기를 JSON 블록으로 볼 수 있습니다.
1. 이벤트 데이터 스토어에 기존 추적 이벤트를 복사하려면 다음을 수행합니다.
1. 복사하려는 트레일을 선택합니다. 기본적으로 CloudTrail은 S3 버킷의 `CloudTrail` 접두사 및 접두사 내에 포함된 CloudTrail 이벤트만 복사하며 `CloudTrail` 다른 AWS 서비스의 접두사는 확인하지 않습니다. 다른 접두사에 포함된 CloudTrail 이벤트를 복사하려면 **S3 URI 입력**을 선택한 다음 **S3 검색**를 선택하여 접두사를 찾아보세요. 추적에 대한 소스 S3 버킷에서 데이터 암호화에 KMS 키를 사용하는 경우 KMS 키 정책에서 CloudTrail이 데이터를 복호화하도록 허용하는지 확인합니다. 소스 S3 버킷에서 여러 KMS 키를 사용하는 경우 CloudTrail이 버킷의 데이터를 복호화할 수 있도록 각 키의 정책을 업데이트해야 합니다. KMS 키 정책 업데이트에 대한 자세한 내용은 [소스 S3 버킷의 데이터 해독을 위한 KMS 키 정책](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-kms)를 참조하세요.
1. 이벤트를 복사할 시간 범위를 선택합니다. CloudTrail은 추적 이벤트를 복사하기 전에 접두사와 로그 파일 이름을 확인하여 선택한 시작 날짜와 종료 날짜 사이의 날짜가 이름에 포함되어 있는지 확인합니다. **상대 범위** 또는 **절대 범위**를 선택할 수 있습니다. 소스 추적과 대상 이벤트 데이터 스토어 간에 이벤트가 중복되지 않도록 하려면 이벤트 데이터 스토어 생성 이전의 시간 범위를 선택합니다.
**참고**
CloudTrail은 이벤트 데이터 스토어의 보존 기간 내에 있는 `eventTime`를 가진 추적 이벤트만 복사합니다. 예를 들어 이벤트 데이터 스토어의 보존 기간이 90일인 경우 CloudTrail은 90일보다 오래된 `eventTime`를 가진 추적 이벤트를 복사하지 않습니다.
+ **상대 범위(Relative range)**를 선택하면, 최근 6개월, 1년, 2년, 7년 또는 사용자 지정 범위 동안 로그된 이벤트를 복사하도록 선택할 수 있습니다. CloudTrail은 선택한 기간 내에 기록된 이벤트를 복사합니다.
+ **절대 범위**를 선택하는 경우 특정 시작일과 종료일을 선택할 수 있습니다. CloudTrail은 선택한 시작일과 종료일 사이에 발생한 이벤트를 복사합니다.
1. **권한**에서 다음 IAM 역할 옵션 중 하나를 선택합니다. 기존 IAM 역할을 선택하는 경우 IAM 역할 정책이 필요한 권한을 제공하는지 확인합니다. IAM 역할 권한 업데이트에 대한 자세한 내용은 [추적 이벤트 복사를 위한 IAM 권한](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam) 섹션을 참조하세요.
+ 새 IAM 역할을 생성하려면 **새 역할 생성(권장)**을 선택합니다. **IAM 역할 이름 입력(Enter IAM role name)**에 역할 이름을 입력합니다. CloudTrail은 이 새 역할에 필요한 권한을 자동으로 생성합니다.
+ 목록에 없는 사용자 지정 IAM 역할을 사용하려면 **사용자 지정 IAM 역할 사용**을 선택합니다. **IAM 역할 ARN 입력(Enter IAM role ARN)**에서 IAM ARN을 입력합니다.
+ 드롭다운 목록에서 기존 IAM 역할을 선택합니다.
1. **다음**을 선택하여 리소스 태그 키와 IAM 글로벌 조건 키를 추가하면 이벤트를 보강할 수 있습니다.
1. **이벤트 강화**에서 최대 50개의 리소스 태그 키와 50개의 IAM 전역 조건 키를 추가하여 이벤트에 대한 추가 메타데이터를 제공합니다. 이렇게 하면 관련 이벤트를 분류하고 그룹화하는 데 도움이 됩니다.
리소스 태그 키를 추가하면 API 직접 호출에 사용된 리소스와 연결된 선택한 태그 키가 CloudTrail에 포함됩니다. 삭제된 리소스와 관련된 API 이벤트에는 리소스 태그가 없습니다.
IAM 글로벌 조건 키를 추가하면 권한 부여 프로세스 중에 평가된 선택 대상 조건 키에 대한 정보(위탁자, 세션, 네트워크 및 요청 자체에 대한 추가 세부 정보 등)가 CloudTrail에 포함됩니다.
리소스 태그 키와 IAM 글로벌 조건 키에 대한 정보가 이벤트의 `eventContext` 필드에 표시됩니다. 자세한 내용은 [리소스 태그 키와 IAM 글로벌 조건 키를 추가하여 CloudTrail 이벤트 보강](cloudtrail-context-events.md) 단원을 참조하십시오.
**참고**
이벤트에 이벤트 리전에 속하지 않는 리소스가 포함된 경우 태그 검색이 이벤트 리전으로 제한되므로 CloudTrail은이 리소스에 대한 태그를 채우지 않습니다.
1. **이벤트 크기 확장**을 선택하여 이벤트 페이로드를 256KB에서 최대 1MB까지 확장합니다. 이 옵션은 리소스 태그 키 또는 IAM 전역 조건 키를 추가하여 추가된 모든 키가 이벤트에 포함되도록 할 때 자동으로 활성화됩니다.
이벤트 크기를 확장하면 이벤트 페이로드가 1MB 미만인 경우 다음 필드의 모든 내용을 볼 수 있으므로 이벤트를 분석하고 문제를 해결하는 데 도움이 됩니다.
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
이러한 필드에 대한 자세한 내용은 [CloudTrail record contents](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)를 참조하세요.
1. **Next**(다음)를 선택하여 선택 사항을 검토합니다.
1. **검토 및 생성(Review and create)** 페이지에서 선택 사항을 검토합니다. **편집(Edit)**을 선택하여 단원을 변경합니다. 이벤트 데이터 스토어를 생성할 준비가 되었으면 **이벤트 데이터 스토어 생성(Create event data store)**을 선택합니다.
1. 새 이벤트 데이터 스토어는 **Event data stores(이벤트 데이터 스토어)** 페이지의 **이벤트 데이터 스토어(Event data stores)** 테이블에서 볼 수 있습니다.
이 시점부터 이벤트 데이터 스토어는 고급 이벤트 선택기와 일치하는 이벤트를 캡처합니다(**Ingest events(이벤트 수집)** 옵션을 선택한 경우). 기존 트레일 이벤트를 복사하기로 선택하지 않은 한 이벤트 데이터 스토어를 만들기 전에 발생한 이벤트는 이벤트 데이터 스토어에 존재하지 않습니다.
이제 새 이벤트 데이터 스토어에 대한 쿼리를 실행할 수 있습니다. **Sample queries**(샘플 쿼리) 탭에서는 시작하기 위한 예제 쿼리를 제공합니다. 쿼리 생성 및 편집에 대한 자세한 내용은 [CloudTrail 콘솔을 사용하여 쿼리 생성 또는 편집](query-create-edit-query.md)을 참조하세요.
[관리형 대시보드](lake-dashboard-managed.md)를 보거나 [사용자 지정 대시보드를 생성](lake-dashboard-custom.md)하여 이벤트 추세를 시각화할 수도 있습니다. Lake 대시보드에 대한 자세한 내용은 [CloudTrail Lake 대시보드](lake-dashboard.md) 섹션을 참조하세요.
# 콘솔을 사용하여 Insights 이벤트에 대한 이벤트 데이터 저장소 생성
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
AWS CloudTrail Insights는 AWS 사용자가 CloudTrail 관리 이벤트를 지속적으로 분석하여 API 호출률 및 API 오류율과 관련된 비정상적인 활동을 식별하고 이에 대응할 수 있도록 도와줍니다. CloudTrail Insights는 *기준*이라고도 하는 API 직접 호출 속도와 API 오류율의 정상적인 패턴을 분석하고, 호출 볼륨 또는 오류율이 정상 패턴을 벗어날 때 Insights 이벤트를 생성합니다. API 직접 호출 속도에 대한 Insights 이벤트는 `write` 관리 API에 대해 생성되고 API 오류율에 대한 Insights 이벤트는 `read` 및 `write` 관리 API 모두에 대해 생성됩니다.
CloudTrail Lake에서 Insights 이벤트를 로그하려면, Insights 이벤트를 로그하고, Insights를 사용하는 소스 이벤트 데이터 스토어와 Insights 이벤트를 사용하고, 관리 데이터를 로그하는 소스 이벤트 데이터 스토어가 필요합니다.
**참고**
API 직접 호출 속도에 대한 Insights 이벤트를 로깅하려면 소스 이벤트 데이터 스토어가 `write` 관리 이벤트를 로그해야 합니다. API 오류율에 대한 Insights 이벤트를 로깅하려면, 소스 이벤트 데이터 스토어에서 `read` 또는 `write` 관리 이벤트를 로깅해야 합니다.
소스 이벤트 데이터 스토어에서 CloudTrail Insights를 활성화했을 때 CloudTrail이 비정상적인 활동을 감지하면, CloudTrail은 Insights 이벤트를 대상 이벤트 데이터 스토어에 전달합니다. CloudTrail 이벤트 데이터 스토어에서 캡처된 다른 이벤트 유형과 달리, Insights 이벤트는 계정의 API 사용량 변화가 계정의 일반적인 사용 패턴과 크게 다르다는 것을 CloudTrail이 탐지한 경우에만 로그됩니다.
이벤트 데이터 스토어에서 CloudTrail Insights를 처음으로 활성화한 후, CloudTrail에서 Insights 이벤트 제공을 시작하는 데 최대 7일이 걸릴 수 있습니다. 단, 이 기간 동안 비정상적인 활동이 발생했을 때에 한합니다.
CloudTrail Insights는 이벤트 데이터 스토어의 각 리전에서 발생하는 관리 이벤트를 분석하고 기준에서 벗어나는 비정상적인 활동이 감지되면 Insights 이벤트를 생성합니다. CloudTrail Insights 이벤트는 지원 관리 이벤트가 생성되는 것과 동일한 리전에서 생성됩니다.
조직 이벤트 데이터 스토어의 경우 CloudTrail Insights는 각 리전에 대한 조직의 각 멤버 계정에서 관리 이벤트를 분석하고, 계정 및 리전의 기준에서 벗어나는 비정상적인 활동이 감지되면 Insights 이벤트를 생성합니다.
CloudTrail Lake에서의 Insights 이벤트 수집에는 추가 요금이 부과됩니다. 추적과 CloudTrail Lake 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. CloudTrail 요금에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요.
**Topics**
+ [
## Insights 이벤트를 로그하는 대상 이벤트 데이터 스토어 생성
](#query-event-data-store-insights-procedure)
+ [
## Insights 이벤트를 활성화하는 소스 이벤트 데이터 스토어 생성
](#query-event-data-store-cloudtrail-insights)
## Insights 이벤트를 로그하는 대상 이벤트 데이터 스토어 생성
Insights 이벤트 데이터 스토어를 생성할 때, 관리 이벤트를 로그하는 기존 소스 이벤트 데이터 스토어를 선택하고, 수신할 Insights 유형을 지정할 수 있습니다. 또는 Insights 이벤트 데이터 스토어를 생성한 후 새 이벤트 데이터 스토어나 기존 이벤트 데이터 스토어에서 Insights를 활성화한 다음, 이 이벤트 데이터 스토어를 대상 이벤트 데이터 스토어로 선택할 수도 있습니다.
이 절차는 Insights 이벤트를 로그하는 대상 이벤트 데이터 스토어를 생성하는 방법을 보여 줍니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창에서 **Lake** 하위 메뉴를 연 다음 **Event data stores**(이벤트 데이터 스토어)를 선택합니다.
1. **이벤트 데이터 스토어 생성**을 선택합니다.
1. **이벤트 데이터 스토어 구성(Configure event data store)** 페이지의 **일반 세부 정보(General details)**에서 이벤트 데이터 스토어의 이름을 입력합니다. 이름은 필수 항목입니다.
1. 이벤트 데이터 스토어에 사용할 **요금 옵션**을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md) 섹션을 참조하세요.
다음과 같은 옵션을 사용할 수 있습니다.
+ **1년 연장 가능 보존 요금** - 매월 25TB 미만의 이벤트 데이터를 모을 것으로 예상되고 최대 10년의 유연한 보존 기간을 원하는 경우 일반적으로 권장됩니다. 처음 366일(기본 보존 기간) 동안은 추가 요금 없이 모으기 요금에 스토리지가 포함됩니다. 366일 후에는 사용량에 따른 요금으로 연장 보존이 가능합니다. 이는 기본 옵션입니다.
+ **기본 보존 기간:** 366일
+ **최대 보존 기간:** 3,653일
+ **7년 보존 요금** - 매월 25TB 이상의 이벤트 데이터를 모을 것으로 예상되고 최대 7년의 보존 기간이 필요한 경우 권장됩니다. 추가 비용 없이 모으기 요금에 보존이 포함됩니다.
+ **기본 보존 기간:** 2,557일
+ **최대 보존 기간:** 2,557일
1. 이벤트 데이터 스토어의 보존 기간을 일 단위로 지정합니다. 보존 기간은 **1년 연장 가능 보존 요금** 옵션의 경우 7일\$13,653일(약 10년), **7년 보존 요금** 옵션의 경우 7일\$12,557일(약 7년)일 수 있습니다. 이벤트 데이터 스토어는 지정된 일수 동안 이벤트 데이터를 유지합니다.
1. (선택 사항)를 사용하여 암호화를 활성화하려면 **자체 사용을 AWS KMS key** AWS Key Management Service선택합니다. **새로 만들기**를 선택하여를 자동으로 AWS KMS key 생성하거나 **기존**을 선택하여 기존 KMS 키를 사용합니다. **Enter KMS alias**(KMS 별칭 입력)에 `alias/`*MyAliasName* 형식으로 별칭을 지정합니다. 자체 KMS 키를 사용하려면 이벤트 데이터 스토어를 암호화하고 복호화할 수 있도록 KMS 키 정책을 편집해야 합니다. 자세한 내용은 [CloudTrail에 대한 AWS KMS 키 정책 구성](create-kms-key-policy-for-cloudtrail.md) 단원을 참조하십시오. CloudTrail은 AWS KMS 다중 리전 키도 지원합니다. 다중 리전 키에 대한 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [다중 리전 키 사용](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) 단원을 참조하세요.
자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.
**참고**
조직 이벤트 데이터 스토어에 대한 AWS Key Management Service 암호화를 활성화하려면 관리 계정에 기존 KMS 키를 사용해야 합니다.
1. (선택 사항) Amazon Athena를 사용하여 이벤트 데이터에 대해 쿼리하려면 **Lake 쿼리 페더레이션**에서 **활성화**를 선택합니다. 페더레이션을 통해 AWS Glue [데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)의 이벤트 데이터 스토어와 연결된 메타데이터를 확인하고 Athena에서 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고 읽고 처리하는 방법을 알 수 있습니다. 자세한 내용은 [이벤트 데이터 스토어 페더레이션](query-federation.md) 단원을 참조하십시오.
Lake 쿼리 페더레이션을 활성화하려면 **활성화**를 선택하고 다음을 수행합니다.
1. 새 역할을 생성할지 아니면 기존 IAM 역할을 사용할지 선택합니다. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html)은 이 역할을 사용하여 페더레이션 이벤트 데이터 스토어에 대한 권한을 관리합니다. CloudTrail 콘솔을 사용하여 새 역할을 생성하면 CloudTrail은 필요한 권한이 있는 역할을 자동으로 생성합니다. 기존 역할을 선택하는 경우 해당 역할에 대한 정책이 [필요한 최소 권한](query-federation.md#query-federation-permissions-role)을 제공하는지 확인합니다.
1. 새 역할을 생성하는 경우 역할을 식별할 수 있는 이름을 입력합니다.
1. 기존 역할을 사용하는 경우 사용하려는 역할을 선택합니다. 계정에 역할이 있어야 합니다.
1. (선택 사항) **리소스 정책 활성화**를 선택하여 이 이벤트 데이터 스토어에 리소스 기반 정책을 추가합니다. 리소스 기반 정책을 사용하면 이벤트 데이터 스토어에서 작업을 수행할 수 있는 위탁자를 제어할 수 있습니다. 예를 들어 다른 계정의 루트 사용자가 이 이벤트 데이터 스토어를 쿼리하고 쿼리 결과를 볼 수 있도록 하는 리소스 기반 정책을 추가할 수 있습니다. 예시 정책은 [이벤트 데이터 스토어의 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds) 섹션을 참조하세요.
리소스 기반 정책에는 하나 이상의 문이 포함됩니다. 정책의 각 스테이트먼트는 이벤트 데이터 스토어에 대한 액세스가 허용되거나 거부된 [위탁자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)와 위탁자가 이벤트 데이터 스토어 리소스에서 수행할 수 있는 작업을 정의합니다.
이벤트 데이터 스토어의 리소스 기반 정책에서 지원되는 작업은 다음과 같습니다.
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
[조직 이벤트 데이터 스토어](cloudtrail-lake-organizations.md)의 경우 CloudTrail은 위임된 관리자 계정이 조직 이벤트 데이터 스토어에서 수행할 수 있는 작업을 나열하는 [기본 리소스 기반 정책](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)을 생성합니다. 이 정책의 권한은 AWS Organizations의 위임된 관리자 권한에서 파생됩니다. 이 정책은 조직의 이벤트 데이터 스토어 또는 조직이 변경되면(예: CloudTrail의 위임된 관리자 계정이 등록 또는 제거됨) 자동으로 업데이트됩니다.
1. (선택 사항) **Tags**(태그) 섹션에 최대 50개의 태그 키 쌍을 추가하여 이벤트 데이터 스토어에 대한 액세스를 식별, 정렬 및 제어할 수 있습니다. IAM 정책을 사용하여 태그를 기반으로 이벤트 데이터 스토어에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 [예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags) 단원을 참조하세요. 에서 태그를 사용하는 방법에 대한 자세한 내용은 [AWS 리소스 태그 지정](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *사용 설명서의 AWS 리소스 태그 지정*을 AWS참조하세요.
1. **Next(다음)**를 선택하여 이벤트 데이터 스토어를 구성합니다.
1. **Choose events**(이벤트 선택) 페이지에서 **AWS events**를 선택하고 **CloudTrail Insights events**(CloudTrail Insights 이벤트)를 선택합니다.
1. **CloudTrail Insights events**(CloudTrail Insights 이벤트)에서 다음을 수행합니다.
1. 조직의 위임된 관리자에게 이 이벤트 데이터 스토어에 대한 액세스 권한을 부여하려면, **Allow delegated administrator access**(위임된 관리자 액세스 허용)을 선택합니다. 이 옵션은 AWS Organizations 조직의 관리 계정으로 로그인한 경우에만 사용할 수 있습니다.
1. (선택 사항) 관리 이벤트를 로그하는 기존 소스 이벤트 데이터 스토어를 선택하고, 수신할 Insights 유형을 지정합니다.
소스 이벤트 데이터 스토어를 추가하려면 다음을 따라합니다.
1. **Add source event data store**(소스 이벤트 데이터 스토어 추가)를 선택합니다.
1. 소스 이벤트 데이터 스토어를 선택합니다.
1. 수신할 **Insights type**(Insights 유형)을 선택합니다.
+ `ApiCallRateInsight` – `ApiCallRateInsight` Insights 유형은 기본 API 호출 볼륨을 기준으로 분당 집계되는 쓰기 전용 관리 API 호출을 분석합니다. `ApiCallRateInsight`의 Insights를 수신하려면 소스 이벤트 데이터 스토어가 **Write**(쓰기) 관리 이벤트를 기록해야 합니다.
+ `ApiErrorRateInsight` – `ApiErrorRateInsight` Insights 유형은 오류 코드가 되는 관리 API 호출을 분석합니다. API 호출이 실패하면 오류가 표시됩니다. `ApiErrorRateInsight`의 Insights를 수신하려면, 소스 이벤트 데이터 스토어가 **Write**(쓰기) 또는 **Read**(읽기) 관리 이벤트를 기록해야 합니다.
1. 이전 두 단계(ii 및 iii) 를 반복하여 수신할 추가 Insights 유형을 추가합니다.
1. **Next**(다음)를 선택하여 선택 사항을 검토합니다.
1. **검토 및 생성(Review and create)** 페이지에서 선택 사항을 검토합니다. **편집(Edit)**을 선택하여 단원을 변경합니다. 이벤트 데이터 스토어를 생성할 준비가 되었으면 **이벤트 데이터 스토어 생성(Create event data store)**을 선택합니다.
1. 새 이벤트 데이터 스토어는 **이벤트 데이터 스토어(Event data stores)** 페이지의 **이벤트 데이터 스토어(Event data stores)** 테이블에서 볼 수 있습니다.
1. 10단계에서 원본 이벤트 데이터 스토어를 선택하지 않은 경우, [Insights 이벤트를 활성화하는 소스 이벤트 데이터 스토어 생성](#query-event-data-store-cloudtrail-insights)에서 단계에 따라 원본 이벤트 데이터 스토어를 생성합니다.
## Insights 이벤트를 활성화하는 소스 이벤트 데이터 스토어 생성
이 절차는 Insights 이벤트 및 로그 관리 이벤트를 활성화하는 원본 이벤트 데이터 스토어를 생성하는 방법을 보여줍니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창에서 **Lake** 하위 메뉴를 연 다음 **Event data stores**(이벤트 데이터 스토어)를 선택합니다.
1. **이벤트 데이터 스토어 생성**을 선택합니다.
1. **이벤트 데이터 스토어 구성(Configure event data store)** 페이지의 **일반 세부 정보(General details)**에서 이벤트 데이터 스토어의 이름을 입력합니다. 이름은 필수 항목입니다.
1. 이벤트 데이터 스토어에 사용할 **요금 옵션**을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md) 섹션을 참조하세요.
다음과 같은 옵션을 사용할 수 있습니다.
+ **1년 연장 가능 보존 요금** - 매월 25TB 미만의 이벤트 데이터를 모을 것으로 예상되고 최대 10년의 유연한 보존 기간을 원하는 경우 일반적으로 권장됩니다. 처음 366일(기본 보존 기간) 동안은 추가 요금 없이 모으기 요금에 스토리지가 포함됩니다. 366일 후에는 사용량에 따른 요금으로 연장 보존이 가능합니다. 이는 기본 옵션입니다.
+ **기본 보존 기간:** 366일
+ **최대 보존 기간:** 3,653일
+ **7년 보존 요금** - 매월 25TB 이상의 이벤트 데이터를 모을 것으로 예상되고 최대 7년의 보존 기간이 필요한 경우 권장됩니다. 추가 비용 없이 모으기 요금에 보존이 포함됩니다.
+ **기본 보존 기간:** 2,557일
+ **최대 보존 기간:** 2,557일
1. 이벤트 데이터 스토어의 보존 기간을 지정합니다. 보존 기간은 **1년 연장 가능 보존 요금** 옵션의 경우 7일\$13,653일(약 10년), **7년 보존 요금** 옵션의 경우 7일\$12,557일(약 7년)일 수 있습니다.
CloudTrail Lake는 이벤트의 `eventTime`가 지정된 보존 기간 내에 있는지 확인하여 이벤트 보존 여부를 결정합니다. 예를 들어 보존 기간을 90일로 지정했을 때, CloudTrail은 `eventTime`이 90일이 넘으면 이벤트를 제거합니다.
1. (선택 사항)를 사용하여 암호화를 활성화하려면 **자체 사용을 AWS KMS key** AWS Key Management Service선택합니다. **새로 만들기**를 선택하여를 자동으로 AWS KMS key 생성하거나 **기존**를 선택하여 기존 KMS 키를 사용합니다. **Enter KMS alias**(KMS 별칭 입력)에 `alias/`*MyAliasName* 형식으로 별칭을 지정합니다. 자체 KMS 키를 사용하려면 이벤트 데이터 스토어를 암호화하고 복호화할 수 있도록 KMS 키 정책을 편집해야 합니다. 자세한 내용은 [CloudTrail에 대한 AWS KMS 키 정책 구성](create-kms-key-policy-for-cloudtrail.md) 단원을 참조하십시오. CloudTrail은 AWS KMS 다중 리전 키도 지원합니다. 다중 리전 키에 대한 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [다중 리전 키 사용](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) 단원을 참조하세요.
자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.
**참고**
조직 이벤트 데이터 스토어에 대한 AWS Key Management Service 암호화를 활성화하려면 관리 계정에 기존 KMS 키를 사용해야 합니다.
1. (선택 사항) Amazon Athena를 사용하여 이벤트 데이터에 대해 쿼리하려면 **Lake 쿼리 페더레이션**에서 **활성화**를 선택합니다. 페더레이션을 통해 AWS Glue [데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)의 이벤트 데이터 스토어와 연결된 메타데이터를 확인하고 Athena에서 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고 읽고 처리하는 방법을 알 수 있습니다. 자세한 내용은 [이벤트 데이터 스토어 페더레이션](query-federation.md) 단원을 참조하십시오.
Lake 쿼리 페더레이션을 활성화하려면 **활성화**를 선택하고 다음을 수행합니다.
1. 새 역할을 생성할지 아니면 기존 IAM 역할을 사용할지 선택합니다. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html)은 이 역할을 사용하여 페더레이션 이벤트 데이터 스토어에 대한 권한을 관리합니다. CloudTrail 콘솔을 사용하여 새 역할을 생성하면 CloudTrail은 필요한 권한이 있는 역할을 자동으로 생성합니다. 기존 역할을 선택하는 경우 해당 역할에 대한 정책이 [필요한 최소 권한](query-federation.md#query-federation-permissions-role)을 제공하는지 확인합니다.
1. 새 역할을 생성하는 경우 역할을 식별할 수 있는 이름을 입력합니다.
1. 기존 역할을 사용하는 경우 사용하려는 역할을 선택합니다. 계정에 역할이 있어야 합니다.
1. (선택 사항) **리소스 정책 활성화**를 선택하여 이 이벤트 데이터 스토어에 리소스 기반 정책을 추가합니다. 리소스 기반 정책을 사용하면 이벤트 데이터 스토어에서 작업을 수행할 수 있는 위탁자를 제어할 수 있습니다. 예를 들어 다른 계정의 루트 사용자가 이 이벤트 데이터 스토어를 쿼리하고 쿼리 결과를 볼 수 있도록 하는 리소스 기반 정책을 추가할 수 있습니다. 예시 정책은 [이벤트 데이터 스토어의 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds) 섹션을 참조하세요.
리소스 기반 정책에는 하나 이상의 문이 포함됩니다. 정책의 각 스테이트먼트는 이벤트 데이터 스토어에 대한 액세스가 허용되거나 거부된 [위탁자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)와 위탁자가 이벤트 데이터 스토어 리소스에서 수행할 수 있는 작업을 정의합니다.
이벤트 데이터 스토어의 리소스 기반 정책에서 지원되는 작업은 다음과 같습니다.
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
[조직 이벤트 데이터 스토어](cloudtrail-lake-organizations.md)의 경우 CloudTrail은 위임된 관리자 계정이 조직 이벤트 데이터 스토어에서 수행할 수 있는 작업을 나열하는 [기본 리소스 기반 정책](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)을 생성합니다. 이 정책의 권한은 AWS Organizations의 위임된 관리자 권한에서 파생됩니다. 이 정책은 조직의 이벤트 데이터 스토어 또는 조직이 변경되면(예: CloudTrail의 위임된 관리자 계정이 등록 또는 제거됨) 자동으로 업데이트됩니다.
1. (선택 사항) **Tags**(태그) 섹션에 최대 50개의 태그 키 쌍을 추가하여 이벤트 데이터 스토어에 대한 액세스를 식별, 정렬 및 제어할 수 있습니다. IAM 정책을 사용하여 태그를 기반으로 이벤트 데이터 스토어에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 [예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags) 단원을 참조하세요. 에서 태그를 사용하는 방법에 대한 자세한 내용은 [AWS 리소스 태그 지정](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *사용 설명서의 AWS 리소스 태그 지정*을 AWS참조하세요.
1. **Next(다음)**를 선택하여 이벤트 데이터 스토어를 구성합니다.
1. **이벤트 선택** 페이지에서 **AWS events**를 선택하고 **CloudTrail 이벤트**를 선택합니다.
1. **CloudTrail events**(CloudTrail 이벤트)의 **관리 이벤트**는 선택을 유지합니다.
1. 이벤트 데이터 스토어에서 AWS Organizations 조직 내 모든 계정의 이벤트를 수집하도록 하려면 **내 조직의 모든 계정에 대해 활성화(Enable for all accounts in my organization)**를 선택합니다. Insights를 사용하는 데이터 스토어를 생성하려면, 조직의 관리 계정에 로그인해야 합니다.
1. **추가 설정을** 확장하여 이벤트 데이터 스토어가 모든에 대한 이벤트를 수집할지 AWS 리전또는 현재 에만 이벤트를 수집할지 AWS 리전선택하고 이벤트 데이터 스토어가 이벤트를 수집할지 선택합니다. 기본적으로 이벤트 데이터 스토어는 계정 내 모든 리전에서 이벤트를 수집하고, 이벤트 데이터 스토어가 생성되면 수집을 시작합니다.
1. **Include only the current region in my event data store**(내 이벤트 데이터 스토어에 현재 리전만 포함)를 선택하여 원한다면 현재 리전에서 로그된 이벤트만 포함할 수 있습니다. 이 옵션을 선택하지 않으면 이벤트 데이터 스토어에 모든 리전의 이벤트가 포함됩니다.
1. **Ingest events**(이벤트 수집)은 기본값을 유지합니다.
1. **단순 이벤트 수집** 또는 **고급 이벤트 수집** 중에서 선택합니다.
+ 모든 이벤트를 로깅하거나, 읽기 이벤트만 로깅하거나, 쓰기 이벤트만 로깅하려면 **단순 이벤트 수집**을 선택합니다. AWS Key Management Service 및 Amazon RDS Data API 이벤트를 제외하도록 선택할 수도 있습니다.
+ `eventName`, `eventType`, `eventSource`, `sessionCredentialFromConsole` 및 `userIdentity.arn` 필드를 비롯한 고급 이벤트 선택기 필드의 값을 기반으로 관리 이벤트를 포함하거나 제외하려면 **고급 이벤트 수집**을 선택합니다.
1. **단순 이벤트 수집**을 선택한 경우 모든 이벤트를 로깅하거나, 읽기 이벤트만 로깅하거나, 쓰기 이벤트만 로깅할지 선택합니다. AWS KMS 및 Amazon RDS Data API 이벤트를 제외하도록 선택할 수도 있습니다.
1. **고급 이벤트 수집**을 선택한 경우 다음 선택 사항을 선택합니다.
1. **로그 선택기 템플릿**에서 사전 정의된 템플릿을 선택하거나 **사용자 지정**을 선택하여 고급 이벤트 선택기 필드의 값을 기반으로 자체 이벤트 수집 조건을 작성합니다.
다음과 같은 사전 정의된 템플릿 중에서 선택할 수 있습니다.
+ **모든 이벤트 로깅** - 모든 이벤트를 로깅하려면 이 템플릿을 선택합니다.
+ **읽기 이벤트만 로깅** - 읽기 이벤트만 로깅하려면 이 템플릿을 선택합니다. 읽기 전용 이벤트는 `Get*` 또는 `Describe*` 이벤트와 같이 리소스의 상태를 변경하지 않는 이벤트입니다.
+ **쓰기 이벤트만 로깅** - 쓰기 이벤트만 로깅하려면 이 템플릿을 선택합니다. 쓰기 이벤트는 `Put*`, `Delete*` 또는 `Write*` 이벤트와 같이 리소스, 속성 또는 아티팩트를 추가, 변경 또는 삭제합니다.
+ **로그 전용 AWS Management Console 이벤트** -에서 시작된 이벤트만 로깅하려면이 템플릿을 선택합니다 AWS Management Console.
+ ** AWS 서비스 시작된 이벤트 제외** - `eventType`의가 있는 AWS 서비스 이벤트`AwsServiceEvent`와 AWS 서비스연결 역할(SLRs)로 시작된 이벤트를 제외하려면이 템플릿을 선택합니다.
1. (선택 사항) **선택자 이름(Selector name)**에 선택자를 식별할 이름을 입력합니다. 선택기 이름은 " AWS Management Console 세션의 로그 관리 이벤트"와 같은 고급 이벤트 선택기를 설명하는 이름입니다. 선택기 이름은 고급 이벤트 선택기에서의 `Name`으로 나열되며, **JSON 뷰(JSON view)**를 확장하여 볼 수 있습니다.
1. **사용자 지정**을 선택한 경우 **고급 이벤트 선택기**에서 고급 이벤트 선택기 필드 값을 기반으로 표현식을 빌드합니다.
**참고**
선택기는 `*` 같은 와일드카드 사용을 지원하지 않습니다. 여러 값을 단일 조건과 일치시키려면 `StartsWith`, `EndsWith`, `NotStartsWith` 또는 `NotEndsWith`를 사용하여 이벤트 필드의 시작 또는 끝을 명시적으로 일치시킬 수 있습니다.
1. 다음 필드 중에서 선택합니다.
+ **`readOnly`** – `readOnly`는 **같음**으로 설정하며 값으로 `true` 또는 `false`를 사용할 수 있습니다. 이 값을 `false`로 설정하면 이벤트 데이터 스토어는 관리 이벤트 중 쓰기 이벤트만 로깅합니다. 읽기 전용 관리 이벤트는 `Get*` 또는 `Describe*` 이벤트와 같이 리소스의 상태를 변경하지 않는 이벤트입니다. 쓰기 이벤트는 `Put*`, `Delete*` 또는 `Write*` 이벤트와 같이 리소스, 속성 또는 아티팩트를 추가, 변경 또는 삭제합니다. **읽기** 및 **쓰기** 이벤트를 모두 로깅하려면 `readOnly` 선택기를 추가하지 마세요.
+ **`eventName`** – `eventName`에는 모든 연산자를 사용할 수 있습니다. 이를 사용하여 관리 이벤트(예: `CreateAccessPoint` 또는 `GetAccessPoint`)를 포함하거나 제외할 수 있습니다.
+ **`userIdentity.arn`** – 특정 IAM ID에서 수행한 작업에 대한 이벤트를 포함하거나 제외합니다. 자세한 내용은 [CloudTrail userIdentity 요소](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)를 참조하십시오.
+ **`sessionCredentialFromConsole`** - AWS Management Console 세션에서 시작된 이벤트를 포함하거나 제외합니다. 이 필드는 **같음** 또는 **같지 않음**으로 설정할 수 있으며 값으로 `true`를 사용할 수 있습니다.
+ **`eventSource`** – 이를 사용하여 특정 이벤트 소스를 포함하거나 제외할 수 있습니다. `eventSource`는 일반적으로 공백 없이 `.amazonaws.com`이 붙는 서비스 이름의 간단한 형태입니다. 예를 들어 `eventSource`를 `ec2.amazonaws.com`과 **같음**으로 설정하면Amazon EC2 관리 이벤트만 로깅합니다.
+ **`eventType`** – 포함하거나 제외할 [eventType](cloudtrail-event-reference-record-contents.md#ct-event-type)입니다. 예를 들어 이 필드를 `AwsServiceEvent`와 **같지 않음**으로 설젛아면 [AWS 서비스 이벤트](non-api-aws-service-events.md)를 제외할 수 있습니다.
1. 각 필드에 대해 [**\$1 조건(\$1 Condition)**]을 선택하여 모든 조건에 대해 최대 500개의 지정된 값까지 필요한 만큼 조건을 추가합니다.
CloudTrail이 여러 조건을 평가하는 방법에 대한 자세한 내용은 [CloudTrail이 필드의 여러 조건을 평가하는 방법](filtering-data-events.md#filtering-data-events-conditions) 섹션을 참조하세요.
**참고**
이벤트 데이터 스토어의 모든 선택기에 대해 최대 500개의 값을 가질 수 있습니다. 여기에는 `eventName`과 같은 선택기에 대한 여러 값의 배열이 포함됩니다. 모든 선택기에 대해 단일 값이 있는 경우 선택기에 최대 500개의 조건을 추가할 수 있습니다.
1. 필요에 따라 필드를 추가하려면 [**\$1 필드(\$1 Field)**]를 선택합니다. 오류를 방지하려면 필드에 충돌하거나 중복되는 값을 설정하지 마세요.
1. 선택적으로 **JSON 뷰(JSON view)**를 확장하여 고급 이벤트 선택기를 JSON 블록으로 볼 수 있습니다.
1. **Insights 이벤트 캡처 활성화**를 선택합니다.
1. Insights 이벤트를 로깅할 대상 이벤트 스토어를 선택합니다. 대상 이벤트 데이터 스토어는 이 이벤트 데이터 스토어의 관리 이벤트 활동을 기반으로 Insights 이벤트를 수집합니다. 대상 이벤트 데이터 스토어를 생성하는 방법에 대한 자세한 내용은 [Insights 이벤트를 로그하는 대상 이벤트 데이터 스토어 생성](#query-event-data-store-insights-procedure) 섹션을 참조하세요.
1. Insights 유형을 선택합니다. **API 호출률(API call rate)**, **API 오류율(API error rate)** 또는 두 가지 모두를 선택할 수 있습니다. **API 호출률(API call rate)**에 대한 Insights 이벤트를 로그하려면 **쓰기(Write)** 관리 이벤트를 로그하고 있어야 합니다. **API 오류율**에 대한 Insights 이벤트를 로그하려면 **읽기(Read)** 또는 **쓰기(Write)** 관리 이벤트를 로그하고 있어야 합니다.
1. **다음**을 선택하여 리소스 태그 키와 IAM 글로벌 조건 키를 추가하면 이벤트를 보강할 수 있습니다.
1. **이벤트 강화**에서 최대 50개의 리소스 태그 키와 50개의 IAM 전역 조건 키를 추가하여 이벤트에 대한 추가 메타데이터를 제공합니다. 이렇게 하면 관련 이벤트를 분류하고 그룹화하는 데 도움이 됩니다.
리소스 태그 키를 추가하면 API 직접 호출에 사용된 리소스와 연결된 선택한 태그 키가 CloudTrail에 포함됩니다. 삭제된 리소스와 관련된 API 이벤트에는 리소스 태그가 없습니다.
IAM 글로벌 조건 키를 추가하면 권한 부여 프로세스 중에 평가된 선택 대상 조건 키에 대한 정보(위탁자, 세션, 네트워크 및 요청 자체에 대한 추가 세부 정보 등)가 CloudTrail에 포함됩니다.
리소스 태그 키와 IAM 글로벌 조건 키에 대한 정보가 이벤트의 `eventContext` 필드에 표시됩니다. 자세한 내용은 [리소스 태그 키와 IAM 글로벌 조건 키를 추가하여 CloudTrail 이벤트 보강](cloudtrail-context-events.md) 단원을 참조하십시오.
**참고**
이벤트에 이벤트 리전에 속하지 않는 리소스가 포함된 경우 태그 검색이 이벤트 리전으로 제한되므로 CloudTrail은이 리소스에 대한 태그를 채우지 않습니다.
1. **이벤트 크기 확장**을 선택하여 이벤트 페이로드를 256KB에서 최대 1MB까지 확장합니다. 이 옵션은 리소스 태그 키 또는 IAM 전역 조건 키를 추가하여 추가된 모든 키가 이벤트에 포함되도록 할 때 자동으로 활성화됩니다.
이벤트 크기를 확장하면 이벤트 페이로드가 1MB 미만인 경우 다음 필드의 모든 내용을 볼 수 있으므로 이벤트를 분석하고 문제를 해결하는 데 도움이 됩니다.
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
이러한 필드에 대한 자세한 내용은 [CloudTrail record contents](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)를 참조하세요.
1. **Next**(다음)를 선택하여 선택 사항을 검토합니다.
1. **검토 및 생성(Review and create)** 페이지에서 선택 사항을 검토합니다. **편집(Edit)**을 선택하여 단원을 변경합니다. 이벤트 데이터 스토어를 생성할 준비가 되었으면 **이벤트 데이터 스토어 생성(Create event data store)**을 선택합니다.
1. 새 이벤트 데이터 스토어는 **이벤트 데이터 스토어(Event data stores)** 페이지의 **이벤트 데이터 스토어(Event data stores)** 테이블에서 볼 수 있습니다.
이 시점부터 이벤트 데이터 스토어는 고급 이벤트 선택기와 일치하는 이벤트를 캡처합니다. 리소스 이벤트 데이터 스토어에서 CloudTrail Insights를 처음으로 활성화한 후, CloudTrail에서 Insights 이벤트 제공을 시작하는 데 최대 7일이 걸릴 수 있습니다. 단, 이 기간 동안 비정상적인 활동이 발생했을 때에 한합니다.
CloudTrail Lake 대시보드를 통해 대상 이벤트 데이터 스토어의 Insights 이벤트를 시각화할 수 있습니다. Lake 대시보드에 대한 자세한 내용은 [CloudTrail Lake 대시보드](lake-dashboard.md) 섹션을 참조하세요.
CloudTrail Lake에서의 Insights 이벤트 수집에는 추가 요금이 부과됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. CloudTrail 요금에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요.
# 콘솔을 사용하여 구성 항목에 대한 이벤트 데이터 저장소 생성
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
[AWS Config 구성 항목](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#config-items)을 포함하는 이벤트 데이터 스토어를 생성하고 이벤트 데이터 스토어를 사용하여 프로덕션 환경의 규정을 준수하지 않는 변경 사항을 조사할 수 있습니다. 이벤트 데이터 스토어를 사용하면 규정을 준수하지 않는 규칙을 변경과 관련된 사용자 및 리소스와 연결할 수 있습니다. 구성 항목은 계정에 있는 지원되는 AWS 리소스의 속성point-in-time 보기를 나타냅니다.는 기록 중인 리소스 유형에 대한 변경을 감지할 때마다 구성 항목을 AWS Config 생성합니다.는 구성 스냅샷이 캡처될 때 구성 항목 AWS Config 도 생성합니다.
AWS Config 및 CloudTrail Lake를 모두 사용하여 구성 항목에 대해 쿼리를 실행할 수 있습니다. AWS Config 를 사용하여 단일 AWS 계정 및 AWS 리전또는 여러 계정 및 리전에 대한 구성 속성을 기반으로 AWS 리소스의 현재 구성 상태를 쿼리할 수 있습니다. 반대로 CloudTrail Lake를 사용하면 CloudTrail 이벤트, 구성 항목, 규칙 평가와 같은 다양한 데이터 소스에서 쿼리할 수 있습니다. CloudTrail Lake 쿼리는 리소스 AWS Config 구성 및 규정 준수 기록을 포함한 모든 구성 항목을 다룹니다.
구성 항목에 대한 이벤트 데이터 스토어를 생성해도 기존 AWS Config 고급 쿼리 또는 구성된 AWS Config 애그리게이터에는 영향을 주지 않습니다. 를 사용하여 고급 쿼리를 계속 실행할 수 있으며 AWS Config기록 파일을 S3 버킷에 AWS Config 계속 전달할 수 있습니다.
CloudTrail Lake 이벤트 데이터 스토어에는 요금이 발생합니다. 이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 사용할 [요금 옵션](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. CloudTrail 요금 Lake 비용 관리에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md)를 참조하세요.
## 제한 사항
구성 항목에 대한 이벤트 데이터 스토어에는 다음과 같은 제한 사항이 적용됩니다.
+ 사용자 지정 구성 항목은 지원되지 않음
+ 고급 이벤트 선택기를 사용한 이벤트 필터링은 지원되지 않음
## 사전 조건
이벤트 데이터 스토어를 생성하기 전에 모든 계정 및 리전에 대한 AWS Config 기록을 설정합니다. 의 기능인 [빠른 설정을](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html) 사용하여 기반 구성 레코더를 AWS Systems Manager빠르게 생성할 수 있습니다 AWS Config.
**참고**
가 구성 기록을 AWS Config 시작하면 서비스 사용 요금이 부과됩니다. 요금에 대한 자세한 내용은 [AWS Config 요금](https://aws.amazon.com/config/pricing/) 부분을 참조하세요. 구성 레코더 관리에 대한 자세한 내용은AWS Config 개발자 안내서**의 [Managing the Configuration Recorder](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)(구성 레코더 관리)를 참조하세요.
또한 다음 작업은 수행하는 것이 좋지만 이벤트 데이터 스토어를 생성하는 데 필요하지는 않습니다.
+ 요청 시 구성 스냅샷 및 구성 기록을 수신하도록 Amazon S3 버킷을 설정합니다. 스냅샷에 대한 자세한 내용은AWS Config 개발자 안내서**의 [Managing the Delivery Channel](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html)(전송 채널 관리) 및 [Delivering Configuration Snapshot to an Amazon S3 Bucket](https://docs.aws.amazon.com/config/latest/developerguide/deliver-snapshot-cli.html)(Amazon S3 버킷에 구성 스냅샷 전달)을 참조하세요.
+ 기록된 리소스 유형에 대한 규정 준수 정보를 평가하는 데 AWS Config 사용할 규칙을 지정합니다. 에 대한 몇 가지 CloudTrail Lake 샘플 쿼리 AWS Config 는 AWS Config 규칙 가 AWS 리소스의 규정 준수 상태를 평가해야 합니다. 에 대한 자세한 내용은 *AWS Config 개발자 안내서*의 [를 사용하여 리소스 평가를 AWS Config 규칙](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) AWS Config 규칙참조하세요.
## 구성 항목에 대한 이벤트 데이터 스토어를 생성하려면
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **Event data stores**(이벤트 데이터 스토어)를 선택합니다.
1. **이벤트 데이터 스토어 생성**을 선택합니다.
1. **이벤트 데이터 스토어 구성(Configure event data store)** 페이지의 **일반 세부 정보(General details)**에서 이벤트 데이터 스토어의 이름을 입력합니다. 이름은 필수 항목입니다.
1. 이벤트 데이터 스토어에 사용할 **요금 옵션**을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md) 섹션을 참조하세요.
다음과 같은 옵션을 사용할 수 있습니다.
+ **1년 연장 가능 보존 요금** - 매월 25TB 미만의 이벤트 데이터를 모을 것으로 예상되고 최대 10년의 유연한 보존 기간을 원하는 경우 일반적으로 권장됩니다. 처음 366일(기본 보존 기간) 동안은 추가 요금 없이 모으기 요금에 스토리지가 포함됩니다. 366일 후에는 사용량에 따른 요금으로 연장 보존이 가능합니다. 이는 기본 옵션입니다.
+ **기본 보존 기간:** 366일
+ **최대 보존 기간:** 3,653일
+ **7년 보존 요금** - 매월 25TB 이상의 이벤트 데이터를 모을 것으로 예상되고 최대 7년의 보존 기간이 필요한 경우 권장됩니다. 추가 비용 없이 모으기 요금에 보존이 포함됩니다.
+ **기본 보존 기간:** 2,557일
+ **최대 보존 기간:** 2,557일
1. 이벤트 데이터 스토어의 보존 기간을 지정합니다. 보존 기간은 **1년 연장 가능 보존 요금** 옵션의 경우 7일\$13,653일(약 10년), **7년 보존 요금** 옵션의 경우 7일\$12,557일(약 7년)일 수 있습니다.
CloudTrail Lake는 이벤트의 `eventTime`가 지정된 보존 기간 내에 있는지 확인하여 이벤트 보존 여부를 결정합니다. 예를 들어 보존 기간을 90일로 지정했을 때, CloudTrail은 `eventTime`이 90일이 넘으면 이벤트를 제거합니다.
1. (선택 사항)를 사용하여 암호화를 활성화하려면 **자체 사용을 AWS KMS key** AWS Key Management Service선택합니다. **새로 만들기**를 선택하여를 자동으로 AWS KMS key 생성하거나 **기존**를 선택하여 기존 KMS 키를 사용합니다. **Enter KMS alias**(KMS 별칭 입력)에 `alias/`*MyAliasName* 형식으로 별칭을 지정합니다. 자체 KMS 키를 사용하려면 이벤트 데이터 스토어를 암호화하고 복호화할 수 있도록 KMS 키 정책을 편집해야 합니다. 자세한 내용은 [CloudTrail에 대한 AWS KMS 키 정책 구성](create-kms-key-policy-for-cloudtrail.md) 단원을 참조하십시오. CloudTrail은 AWS KMS 다중 리전 키도 지원합니다. 다중 리전 키에 대한 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [다중 리전 키 사용](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) 단원을 참조하세요.
자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.
**참고**
조직 이벤트 데이터 스토어에 대한 AWS Key Management Service 암호화를 활성화하려면 관리 계정에 기존 KMS 키를 사용해야 합니다.
1. (선택 사항) Amazon Athena를 사용하여 이벤트 데이터에 대해 쿼리하려면 **Lake 쿼리 페더레이션**에서 **활성화**를 선택합니다. 페더레이션을 통해 AWS Glue [데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)의 이벤트 데이터 스토어와 연결된 메타데이터를 확인하고 Athena에서 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고 읽고 처리하는 방법을 알 수 있습니다. 자세한 내용은 [이벤트 데이터 스토어 페더레이션](query-federation.md) 단원을 참조하십시오.
Lake 쿼리 페더레이션을 활성화하려면 **활성화**를 선택하고 다음을 수행합니다.
1. 새 역할을 생성할지 아니면 기존 IAM 역할을 사용할지 선택합니다. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html)은 이 역할을 사용하여 페더레이션 이벤트 데이터 스토어에 대한 권한을 관리합니다. CloudTrail 콘솔을 사용하여 새 역할을 생성하면 CloudTrail은 필요한 권한이 있는 역할을 자동으로 생성합니다. 기존 역할을 선택하는 경우 해당 역할에 대한 정책이 [필요한 최소 권한](query-federation.md#query-federation-permissions-role)을 제공하는지 확인합니다.
1. 새 역할을 생성하는 경우 역할을 식별할 수 있는 이름을 입력합니다.
1. 기존 역할을 사용하는 경우 사용하려는 역할을 선택합니다. 계정에 역할이 있어야 합니다.
1. (선택 사항) **리소스 정책 활성화**를 선택하여 이 이벤트 데이터 스토어에 리소스 기반 정책을 추가합니다. 리소스 기반 정책을 사용하면 이벤트 데이터 스토어에서 작업을 수행할 수 있는 위탁자를 제어할 수 있습니다. 예를 들어 다른 계정의 루트 사용자가 이 이벤트 데이터 스토어를 쿼리하고 쿼리 결과를 볼 수 있도록 하는 리소스 기반 정책을 추가할 수 있습니다. 예시 정책은 [이벤트 데이터 스토어의 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds) 섹션을 참조하세요.
리소스 기반 정책에는 하나 이상의 문이 포함됩니다. 정책의 각 스테이트먼트는 이벤트 데이터 스토어에 대한 액세스가 허용되거나 거부된 [위탁자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)와 위탁자가 이벤트 데이터 스토어 리소스에서 수행할 수 있는 작업을 정의합니다.
이벤트 데이터 스토어의 리소스 기반 정책에서 지원되는 작업은 다음과 같습니다.
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
[조직 이벤트 데이터 스토어](cloudtrail-lake-organizations.md)의 경우 CloudTrail은 위임된 관리자 계정이 조직 이벤트 데이터 스토어에서 수행할 수 있는 작업을 나열하는 [기본 리소스 기반 정책](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)을 생성합니다. 이 정책의 권한은 AWS Organizations의 위임된 관리자 권한에서 파생됩니다. 이 정책은 조직의 이벤트 데이터 스토어 또는 조직이 변경되면(예: CloudTrail의 위임된 관리자 계정이 등록 또는 제거됨) 자동으로 업데이트됩니다.
1. (선택 사항) **Tags**(태그) 섹션에 최대 50개의 태그 키 쌍을 추가하여 이벤트 데이터 스토어에 대한 액세스를 식별, 정렬 및 제어할 수 있습니다. IAM 정책을 사용하여 태그를 기반으로 이벤트 데이터 스토어에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 [예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags) 단원을 참조하세요. 에서 태그를 사용하는 방법에 대한 자세한 내용은 [AWS 리소스 태그 지정](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *사용 설명서의 AWS 리소스 태그 지정*을 AWS참조하세요.
1. **다음**을 선택합니다.
1. **Choose events**(이벤트 선택) 페이지에서 **AWS events**( 이벤트)를 선택하고 **Configuration items**(구성 항목)를 선택합니다.
1. CloudTrail은 사용자가 생성한 리전에 이벤트 데이터 스토어 리소스를 저장하지만 기본적으로 데이터 스토어에서 수집한 구성 항목은 기록이 활성화된 계정의 모든 리전에서 가져온 것입니다. 필요에 따라 **Include only the current region in my event data store**(내 이벤트 데이터 스토어에 현재 리전만 포함)를 선택하여 현재 리전에서 캡처된 구성 항목만 포함할 수 있습니다. 이 옵션을 선택하지 않으면 이벤트 데이터 스토어에 기록이 활성화된 모든 리전의 구성 항목이 포함됩니다.
1. 이벤트 데이터 스토어가 AWS Organizations 조직의 모든 계정에서 구성 항목을 수집하도록 하려면 **내 조직의 모든 계정에 대해 활성화를** 선택합니다. 조직의 구성 항목을 수집하는 이벤트 데이터 스토어를 생성하려면 조직의 관리 계정이나 위임된 관리자 계정에 로그인해야 합니다.
1. **Next**(다음)를 선택하여 선택 사항을 검토합니다.
1. **검토 및 생성(Review and create)** 페이지에서 선택 사항을 검토합니다. **편집(Edit)**을 선택하여 단원을 변경합니다. 이벤트 데이터 스토어를 생성할 준비가 되었으면 **이벤트 데이터 스토어 생성(Create event data store)**을 선택합니다.
1. 새 이벤트 데이터 스토어는 **이벤트 데이터 스토어(Event data stores)** 페이지의 **이벤트 데이터 스토어(Event data stores)** 테이블에서 볼 수 있습니다.
이 시점부터 이벤트 데이터 스토어는 구성 항목을 캡처합니다. 이벤트 데이터 스토어를 생성하기 전에 발생한 구성 항목은 이벤트 데이터 스토어에 존재하지 않습니다.
## 구성 항목 스키마
다음 표에서는 구성 항목 레코드의 스키마 요소와 일치하는 필수 및 선택적 스키마 요소를 설명합니다. `eventData` 의 내용은 구성 항목에서 제공하며 다른 필드는 수집한 후 CloudTrail에서 제공합니다.
CloudTrail 이벤트 레코드 내용은 [관리, 데이터 및 네트워크 활동 이벤트에 대한 CloudTrail 레코드 콘텐츠](cloudtrail-event-reference-record-contents.md) 에 자세히 설명되어 있습니다.
+ [수집한 후 CloudTrail에서 제공하는 필드](#fields-cloudtrail-event)
+ [이벤트에서 제공하는 필드](#fields-config)
**수집한 후 CloudTrail에서 제공하는 필드**
| 필드 이름 | 입력 유형 | 요구 사항 | 설명 |
| --- | --- | --- | --- |
| eventVersion | 문자열 | 필수 | AWS 이벤트 형식의 버전입니다. |
| eventCategory | 문자열 | 필수 | 이벤트 카테고리입니다. 구성 항목의 경우 유효한 값은 `ConfigurationItem` 입니다. |
| eventType | 문자열 | 필수 | 이벤트 유형. 구성 항목의 경우 유효한 값은 `AwsConfigurationItem` 입니다. |
| eventID | 문자열 | 필수 | 이벤트의 고유한 ID입니다. |
| eventTime | 문자열 | 필수 | 국제 표준시(UTC), `yyyy-MM-DDTHH:mm:ss` 형식의 이벤트 타임스탬프입니다. |
| awsRegion | 문자열 | 필수 | 이벤트를 할당 AWS 리전 할 입니다. |
| recipientAccountId | 문자열 | 필수 | 이 이벤트를 수신한 AWS 계정 ID를 나타냅니다. |
| addendum | addendum | 선택 사항 | 이벤트가 지연된 이유에 대한 정보를 표시합니다. 기존 이벤트에서 정보가 누락된 경우 addendum 블록에는 누락된 정보와 누락된 이유가 포함됩니다. |
**`eventData`의 필드는 구성 항목에서 제공**
| 필드 이름 | 입력 유형 | 요구 사항 | 설명 |
| --- | --- | --- | --- |
| eventData | - | 필수 | eventData의 필드는 구성 항목에서 제공합니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | 문자열 | 선택 사항 | 구성 항목 소스의 구성 항목 버전입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | 문자열 | 선택 사항 | 구성 기록을 시작한 시간입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | 문자열 | 선택 사항 | 구성 항목 상태입니다. 유효한 값은 `OK`, `ResourceDiscovered`, `ResourceNotRecorded`, ` ResourceDeleted` 및 `ResourceDeletedNotRecorded`입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | 문자열 | 선택 사항 | 리소스와 연결된 12자리 AWS 계정 ID입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | 문자열 | 선택 사항 | AWS 리소스 유형입니다. 유효한 리소스 유형에 대한 자세한 내용은AWS Config API 참조**의 [ConfigurationItem](https://docs.aws.amazon.com/config/latest/APIReference/API_ConfigurationItem.html)을 참조하세요. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | 문자열 | 선택 사항 | 리소스의 ID입니다(예: sg-*xxxxxx*). |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | 문자열 | 선택 사항 | (사용 가능한 경우) 리소스의 사용자 지정 이름입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | 문자열 | 선택 사항 | 리소스와 연결된 Amazon 리소스 이름(ARN)입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | 문자열 | 선택 사항 | 리소스가 AWS 리전 상주하는 입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | 문자열 | 선택 사항 | 리소스와 연결된 가용 영역입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | 문자열 | 선택 사항 | 리소스가 생성된 시간의 타임스탬프입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | 선택 사항 | 리소스 구성에 대한 설명입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | 선택 사항 | 구성 파라미터에 대해 AWS Config 반환된 정보를 보완하기 위해 특정 리소스 유형에 대해가 반환하는 구성 속성입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | 문자열 | 선택 사항 | CloudTrail 이벤트 ID의 목록입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | - | 선택 사항 | 관련 AWS 리소스 목록입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | 문자열 | 선택 사항 | 관련 리소스와의 관계 유형입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | 문자열 | 선택 사항 | 관련 리소스의 리소스 유형입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | 문자열 | 선택 사항 | 관련 리소스의 ID입니다(예: sg-*xxxxxx*). |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | 문자열 | 선택 사항 | 관련 리소스의 사용자 지정 이름입니다(사용 가능한 경우). |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | 선택 사항 | 리소스와 연결된 키 값 태그의 매핑입니다. |
다음 예에서는 구성 항목 레코드의 스키마 요소와 일치하는 스키마 요소의 계층 구조를 보여 줍니다.
```
{
"eventVersion": String,
"eventCategory: String,
"eventType": String,
"eventID": String,
"eventTime": String,
"awsRegion": String,
"recipientAccountId": String,
"addendum": Addendum,
"eventData": {
"configurationItemVersion": String,
"configurationItemCaptureTime": String,
"configurationItemStatus": String,
"configurationStateId": String,
"accountId": String,
"resourceType": String,
"resourceId": String,
"resourceName": String,
"arn": String,
"awsRegion": String,
"availabilityZone": String,
"resourceCreationTime": String,
"configuration": {
JSON,
},
"supplementaryConfiguration": {
JSON,
},
"relatedEvents": [
String
],
"relationships": [
struct{
"name" : String,
"resourceType": String,
"resourceId": String,
"resourceName": String
}
],
"tags": {
JSON
}
}
}
}
```
# 콘솔을 AWS 사용하여 외부 이벤트에 대한 이벤트 데이터 스토어 생성
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
외부의 이벤트를 포함하는 이벤트 데이터 스토어를 생성한 AWS다음 CloudTrail Lake를 사용하여 애플리케이션에서 로깅된 데이터를 검색, 쿼리 및 분석할 수 있습니다.
CloudTrail Lake *통합을* 사용하여 온프레미스 또는 클라우드, 가상 머신 또는 컨테이너에서 호스팅되는 사내 또는 SaaS 애플리케이션과 같은 하이브리드 환경의 모든 소스 AWS에서 외부의 사용자 활동 데이터를 로깅하고 저장할 수 있습니다.
통합을 위한 이벤트 데이터 스토어를 생성할 때는 채널도 생성하고 채널에 리소스 정책을 연결합니다.
CloudTrail Lake 이벤트 데이터 스토어에는 요금이 발생합니다. 이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 사용할 [요금 옵션](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. CloudTrail 요금 Lake 비용 관리에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md)를 참조하세요.
## 외부 이벤트에 대한 이벤트 데이터 스토어를 생성하려면 AWS
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **Event data stores**(이벤트 데이터 스토어)를 선택합니다.
1. **이벤트 데이터 스토어 생성**을 선택합니다.
1. **이벤트 데이터 스토어 구성(Configure event data store)** 페이지의 **일반 세부 정보(General details)**에서 이벤트 데이터 스토어의 이름을 입력합니다. 이름은 필수 항목입니다.
1. 이벤트 데이터 스토어에 사용할 **요금 옵션**을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md) 섹션을 참조하세요.
다음과 같은 옵션을 사용할 수 있습니다.
+ **1년 연장 가능 보존 요금** - 매월 25TB 미만의 이벤트 데이터를 모을 것으로 예상되고 최대 10년의 유연한 보존 기간을 원하는 경우 일반적으로 권장됩니다. 처음 366일(기본 보존 기간) 동안은 추가 요금 없이 모으기 요금에 스토리지가 포함됩니다. 366일 후에는 사용량에 따른 요금으로 연장 보존이 가능합니다. 이는 기본 옵션입니다.
+ **기본 보존 기간:** 366일
+ **최대 보존 기간:** 3,653일
+ **7년 보존 요금** - 매월 25TB 이상의 이벤트 데이터를 모을 것으로 예상되고 최대 7년의 보존 기간이 필요한 경우 권장됩니다. 추가 비용 없이 모으기 요금에 보존이 포함됩니다.
+ **기본 보존 기간:** 2,557일
+ **최대 보존 기간:** 2,557일
1. 이벤트 데이터 스토어의 보존 기간을 지정합니다. 보존 기간은 **1년 연장 가능 보존 요금** 옵션의 경우 7일\$13,653일(약 10년), **7년 보존 요금** 옵션의 경우 7일\$12,557일(약 7년)일 수 있습니다.
CloudTrail Lake는 이벤트의 `eventTime`가 지정된 보존 기간 내에 있는지 확인하여 이벤트 보존 여부를 결정합니다. 예를 들어 보존 기간을 90일로 지정했을 때, CloudTrail은 `eventTime`이 90일이 넘으면 이벤트를 제거합니다.
1. (선택 사항)를 사용하여 암호화를 활성화하려면 **자체 사용을 AWS KMS key** AWS Key Management Service선택합니다. **새로 만들기**를 선택하여를 자동으로 AWS KMS key 생성하거나 **기존**를 선택하여 기존 KMS 키를 사용합니다. **Enter KMS alias**(KMS 별칭 입력)에 `alias/`*MyAliasName* 형식으로 별칭을 지정합니다. 자체 KMS 키를 사용하려면 이벤트 데이터 스토어를 암호화하고 복호화할 수 있도록 KMS 키 정책을 편집해야 합니다. 자세한 내용은 [CloudTrail에 대한 AWS KMS 키 정책 구성](create-kms-key-policy-for-cloudtrail.md) 단원을 참조하십시오. CloudTrail은 AWS KMS 다중 리전 키도 지원합니다. 다중 리전 키에 대한 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [다중 리전 키 사용](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) 단원을 참조하세요.
자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.
**참고**
조직 이벤트 데이터 스토어에 대한 AWS Key Management Service 암호화를 활성화하려면 관리 계정에 기존 KMS 키를 사용해야 합니다.
1. (선택 사항) Amazon Athena를 사용하여 이벤트 데이터에 대해 쿼리하려면 **Lake 쿼리 페더레이션**에서 **활성화**를 선택합니다. 페더레이션을 통해 AWS Glue [데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)의 이벤트 데이터 스토어와 연결된 메타데이터를 확인하고 Athena에서 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고 읽고 처리하는 방법을 알 수 있습니다. 자세한 내용은 [이벤트 데이터 스토어 페더레이션](query-federation.md) 단원을 참조하십시오.
Lake 쿼리 페더레이션을 활성화하려면 **활성화**를 선택하고 다음을 수행합니다.
1. 새 역할을 생성할지 아니면 기존 IAM 역할을 사용할지 선택합니다. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html)은 이 역할을 사용하여 페더레이션 이벤트 데이터 스토어에 대한 권한을 관리합니다. CloudTrail 콘솔을 사용하여 새 역할을 생성하면 CloudTrail은 필요한 권한이 있는 역할을 자동으로 생성합니다. 기존 역할을 선택하는 경우 해당 역할에 대한 정책이 [필요한 최소 권한](query-federation.md#query-federation-permissions-role)을 제공하는지 확인합니다.
1. 새 역할을 생성하는 경우 역할을 식별할 수 있는 이름을 입력합니다.
1. 기존 역할을 사용하는 경우 사용하려는 역할을 선택합니다. 계정에 역할이 있어야 합니다.
1. (선택 사항) **리소스 정책 활성화**를 선택하여 이 이벤트 데이터 스토어에 리소스 기반 정책을 추가합니다. 리소스 기반 정책을 사용하면 이벤트 데이터 스토어에서 작업을 수행할 수 있는 위탁자를 제어할 수 있습니다. 예를 들어 다른 계정의 루트 사용자가 이 이벤트 데이터 스토어를 쿼리하고 쿼리 결과를 볼 수 있도록 하는 리소스 기반 정책을 추가할 수 있습니다. 예시 정책은 [이벤트 데이터 스토어의 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds) 섹션을 참조하세요.
리소스 기반 정책에는 하나 이상의 문이 포함됩니다. 정책의 각 스테이트먼트는 이벤트 데이터 스토어에 대한 액세스가 허용되거나 거부된 [위탁자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)와 위탁자가 이벤트 데이터 스토어 리소스에서 수행할 수 있는 작업을 정의합니다.
이벤트 데이터 스토어의 리소스 기반 정책에서 지원되는 작업은 다음과 같습니다.
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
[조직 이벤트 데이터 스토어](cloudtrail-lake-organizations.md)의 경우 CloudTrail은 위임된 관리자 계정이 조직 이벤트 데이터 스토어에서 수행할 수 있는 작업을 나열하는 [기본 리소스 기반 정책](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)을 생성합니다. 이 정책의 권한은 AWS Organizations의 위임된 관리자 권한에서 파생됩니다. 이 정책은 조직의 이벤트 데이터 스토어 또는 조직이 변경되면(예: CloudTrail의 위임된 관리자 계정이 등록 또는 제거됨) 자동으로 업데이트됩니다.
1. (선택 사항) **Tags**(태그) 섹션에 최대 50개의 태그 키 쌍을 추가하여 이벤트 데이터 스토어에 대한 액세스를 식별, 정렬 및 제어할 수 있습니다. IAM 정책을 사용하여 태그를 기반으로 이벤트 데이터 스토어에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 [예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags) 단원을 참조하세요. 에서 태그를 사용하는 방법에 대한 자세한 내용은 [AWS 리소스 태그 지정](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *사용 설명서의 AWS 리소스 태그 지정*을 AWS참조하세요.
1. **Next(다음)**를 선택하여 이벤트 데이터 스토어를 구성합니다.
1. **Choose events**(이벤트 선택) 페이지에서 **Events from integrations**(통합 이벤트)를 선택합니다.
1. **Events from integrations**(통합 이벤트)에서 이벤트 데이터 스토어로 이벤트를 전달할 소스를 선택합니다.
1. 통합 채널을 식별할 이름을 입력합니다. 이름은 3\$1128자까지 지정할 수 있습니다. 이름에는 문자, 숫자, 마침표, 밑줄 및 대시만 사용할 수 있습니다.
1. **Resource policy**(리소스 정책)에서 통합 채널의 리소스 정책을 구성합니다. 리소스 정책은 지정된 보안 주체가 리소스에 대해 수행할 수 있는 작업 및 관련 조건을 제어하는 JSON 정책 문서입니다. 리소스 정책에서 보안 주체로 정의된 계정은 `PutAuditEvents` API를 호출하여 채널에 이벤트를 전달할 수 있습니다. 리소스 소유자는 IAM 정책에서 `cloudtrail-data:PutAuditEvents` 작업을 허용하는 경우 리소스에 묵시적으로 액세스할 수 있습니다.
정책에 필요한 정보는 통합 유형에 따라 결정됩니다. 방향 통합의 경우 CloudTrail은 파트너의 AWS 계정 IDs를 자동으로 추가하고 파트너가 제공한 고유한 외부 ID를 입력해야 합니다. 솔루션 통합의 경우 하나 이상의 AWS 계정 ID를 보안 주체로 지정해야 하며 선택적으로 외부 ID를 입력하여 혼동된 대리자를 방지할 수 있습니다.
**참고**
채널에 대한 리소스 정책을 생성하지 않으면 채널 소유자만 채널에서 `PutAuditEvents` API를 호출할 수 있습니다.
1. 직접 통합의 경우 파트너가 제공한 외부 ID를 입력합니다. 통합 파트너는 통합에서 혼동된 대리자를 방지하기 위해 계정 ID 또는 임의로 생성된 문자열과 같은 고유한 외부 ID를 제공합니다. 파트너는 고유한 외부 ID를 생성하고 제공해야 합니다.
**How to find this?**(찾는 방법)를 선택하면 외부 ID를 찾는 방법을 설명하는 파트너 설명서를 볼 수 있습니다.
![\[외부 ID에 대한 파트너 설명서\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/integration-external-id.png)
**참고**
리소스 정책에 외부 ID가 포함된 경우 `PutAuditEvents` API에 대한 모든 호출에 외부 ID가 포함되어야 합니다. 하지만 정책에서 외부 ID를 정의하지 않는 경우에도 파트너는 여전히 `PutAuditEvents` API를 호출하고 `externalId` 파라미터를 지정할 수 있습니다.
1. 솔루션 통합의 경우 **계정 추가 AWS **를 선택하여 정책에 보안 주체로 추가할 각 AWS 계정 ID를 지정합니다.
1. **Next**(다음)를 선택하여 선택 사항을 검토합니다.
1. **검토 및 생성(Review and create)** 페이지에서 선택 사항을 검토합니다. **편집(Edit)**을 선택하여 단원을 변경합니다. 이벤트 데이터 스토어를 생성할 준비가 되었으면 **이벤트 데이터 스토어 생성(Create event data store)**을 선택합니다.
1. 새 이벤트 데이터 스토어는 **이벤트 데이터 스토어(Event data stores)** 페이지의 **이벤트 데이터 스토어(Event data stores)** 테이블에서 볼 수 있습니다.
1. 채널의 Amazon 리소스 이름(ARN)을 파트너 애플리케이션에 제공합니다. 파트너 애플리케이션에 채널 ARN을 제공하는 것에 관한 지침은 파트너 설명서 웹 사이트에서 확인할 수 있습니다. 자세한 내용을 보려면 **Integrations**(통합) 페이지의 **Available sources**(사용 가능한 소스) 탭에서 파트너에 대한 **Learn more**(자세히 알아보기) 링크를 선택하여 AWS Marketplace에서 파트너 페이지를 여세요.
이벤트 데이터 스토어는 사용자, 파트너 또는 파트너 애플리케이션이 채널에서 `PutAuditEvents` API를 호출할 때 통합 채널을 통해 파트너 이벤트를 CloudTrail로 수집하기 시작합니다.
# 콘솔을 사요하여 이벤트 데이터 저장소 업데이트
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
이 섹션에서는 AWS Management Console을 사용하여 이벤트 데이터 스토어의 설정을 업데이트하는 방법을 설명합니다. 를 사용하여 이벤트 데이터 스토어를 업데이트하는 방법에 대한 자세한 내용은 섹션을 AWS CLI참조하세요[를 사용하여 이벤트 데이터 스토어 업데이트 AWS CLI](lake-cli-update-eds.md).
**이벤트 데이터 스토어 업데이트**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **이벤트 데이터 스토어(Event data stores)**를 선택합니다.
1. 업데이트할 이벤트 데이터 스토어를 선택합니다. 그러면 이벤트 데이터 스토어의 세부 정보 페이지가 열립니다.
1. **일반 세부 정보**에서 **편집**을 선택하여 다음 설정을 변경합니다.
+ **이벤트 데이터 스토어 이름** - 이벤트 데이터 스토어를 식별하는 이름을 변경합니다.
+ **[요금 옵션](cloudtrail-lake-concepts.md#eds-pricing-tier)** - **7년 보존 요금** 옵션을 사용하는 이벤트 데이터 스토어의 경우 **1년 연장 가능한보존 요금**을 대신 사용하도록 선택할 수 있습니다. 매월 25TB 미만의 이벤트 데이터를 모으는 이벤트 데이터 스토어에는 1년 연장 가능 보존 요금이 권장됩니다. 또한 최대 10년의 유연한 보존 기간을 원하는 경우 1년 연장 가능 보존 요금이 권장됩니다. 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md) 섹션을 참조하세요.
**참고**
**1년 연장 가능 보존 요금**을 사용하는 이벤트 데이터 스토어의 요금 옵션은 변경할 수 없습니다. **7년 보존 요금**을 사용하려면 현재 이벤트 데이터 스토어에서 [모으기를 중지](query-eds-stop-ingestion.md)합니다. 그런 다음, **7년 보존 요금** 옵션으로 새 이벤트 데이터 스토어를 생성합니다.
+ **보존 기간** - 이벤트 데이터 스토어의 보존 기간을 변경합니다. 보존 기간에 따라 이벤트 데이터가 이벤트 데이터 스토어에 보관되는 기간이 결정됩니다. 보존 기간은 **1년 연장 가능 보존 요금** 옵션의 경우 7일\$13,653일(약 10년), **7년 보존 요금** 옵션의 경우 7일\$12,557일(약 7년)일 수 있습니다.
**참고**
이벤트 데이터 스토어의 보존 기간을 줄이면, CloudTrail은 새 보존 기간보다 오래된 `eventTime`을 가진 모든 이벤트를 제거합니다. 예를 들어 이전 보존 기간이 365일이었던 기간을 100일로 줄이면 CloudTrail은 100일이 지난 `eventTime`을 가진 이벤트를 제거합니다.
+ **암호화** - 자체 KMS 키를 사용하여 이벤트 데이터 스토어를 암호화하려면 **자체 AWS KMS key사용**을 선택합니다. 기본적으로 이벤트 데이터 스토어의 모든 이벤트는 CloudTrail에 의해 암호화됩니다. 자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다.
**참고**
KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.
+ 현재 AWS 리전에 로깅된 이벤트만 포함하려면 **내 이벤트 데이터 스토어에 현재 리전만 포함**을 선택합니다. 이 옵션을 선택하지 않으면 이벤트 데이터 스토어에 모든 리전의 이벤트가 포함됩니다.
+ 이벤트 데이터 스토어가 AWS Organizations 조직의 모든 계정에서 이벤트를 수집하도록 하려면 **내 조직의 모든 계정에 대해 활성화를** 선택합니다. 이 옵션은 조직의 관리 계정으로 로그인한 경우에만 사용할 수 있으며 이벤트 데이터 스토어의 **이벤트 유형**은 **CloudTrail 이벤트** 또는 **구성 항목**입니다.
작업을 마쳤으면 **변경 내용 저장**을 선택합니다.
1. **Lake 쿼리 페더레이션**에서 **편집**을 선택하여 Lake 쿼리 페더레이션을 활성화하거나 비활성화합니다. [Lake 쿼리 페더레이션을 활성화](query-enable-federation.md)하면 AWS Glue [데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)에서 이벤트 데이터 스토어의 메타데이터를 보고 Amazon Athena를 사용하여 이벤트 데이터에 대한 SQL 쿼리를 실행할 수 있습니다. [Lake 쿼리 페더레이션을 비활성화](query-disable-federation.md)하면 AWS Glue AWS Lake Formation및 Amazon Athena와의 통합이 비활성화됩니다. Lake 쿼리 페더레이션을 비활성화한 후에는 더 이상 Athena에서 데이터를 쿼리할 수 없습니다. 페더레이션을 비활성화해도 CloudTrail Lake 데이터는 삭제되지 않으며 CloudTrail Lake에서 쿼리를 계속 실행할 수 있습니다.
페더레이션을 활성화하려면 다음을 수행합니다.
1. **활성화**를 선택합니다.
1. 새 IAM 역할을 생성할지 아니면 기존 역할을 사용할지 선택합니다. 새 역할을 생성하면 CloudTrail은 필요한 권한이 있는 역할을 자동으로 생성합니다. 기존 역할을 사용하는 경우 역할의 정책이 [필요한 최소 권한](query-federation.md#query-federation-permissions-role)을 제공하는지 확인합니다.
1. 새 IAM 역할을 생성하는 경우 역할 이름을 입력합니다.
1. 기존 IAM 역할을 선택하는 경우 사용하려는 역할을 선택합니다. 계정에 역할이 있어야 합니다.
작업을 마쳤으면 **Save changes(변경 사항 저장)**을 선택합니다.
1. **리소스 정책**에서 **편집**을 선택하여 이벤트 데이터 스토어에 대한 리소스 기반 정책을 추가하거나 수정합니다.
리소스 기반 정책을 사용하면 이벤트 데이터 스토어에서 작업을 수행할 수 있는 위탁자를 제어할 수 있습니다. 예를 들어 다른 계정의 루트 사용자가 이 이벤트 데이터 스토어를 쿼리하고 쿼리 결과를 볼 수 있도록 하는 리소스 기반 정책을 추가할 수 있습니다. 예시 정책은 [이벤트 데이터 스토어의 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds) 섹션을 참조하세요.
리소스 기반 정책에는 하나 이상의 문이 포함됩니다. 정책의 각 스테이트먼트는 이벤트 데이터 스토어에 대한 액세스가 허용되거나 거부된 [위탁자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)와 위탁자가 이벤트 데이터 스토어 리소스에서 수행할 수 있는 작업을 정의합니다.
이벤트 데이터 스토어의 리소스 기반 정책에서 지원되는 작업은 다음과 같습니다.
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
[조직 이벤트 데이터 스토어](cloudtrail-lake-organizations.md)의 경우 CloudTrail은 위임된 관리자 계정이 조직 이벤트 데이터 스토어에서 수행할 수 있는 작업을 나열하는 [기본 리소스 기반 정책](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)을 생성합니다. 이 정책의 권한은 AWS Organizations의 위임된 관리자 권한에서 파생됩니다. 이 정책은 조직의 이벤트 데이터 스토어 또는 조직이 변경되면(예: CloudTrail의 위임된 관리자 계정이 등록 또는 제거됨) 자동으로 업데이트됩니다.
1. 이벤트 데이터 스토어의 **이벤트 유형**과 관련된 추가 설정을 편집합니다.
**CloudTrail 이벤트에 대한 설정**
+ 이벤트 데이터 스토어에서 로깅하는 이벤트를 변경하려면 **CloudTrail 이벤트**에서 **편집**을 선택합니다.
+ **관리 이벤트**에서 **편집**을 선택하여 관리 이벤트의 설정을 변경합니다. 자세한 내용은 [기존 이벤트 데이터 스토어에 대한 관리 이벤트 설정 업데이트](logging-management-events-with-cloudtrail.md#logging-management-events-with-the-cloudtrail-console-eds) 단원을 참조하십시오.
+ **데이터 이벤트**에서 **편집**을 선택하여 데이터 이벤트의 설정을 변경합니다. 로깅할 리소스 유형을 선택하고 사용할 로그 선택기 템플릿을 선택할 수 있습니다. 자세한 내용은 [콘솔을 사용하여 데이터 이벤트를 로깅하도록 기존 이벤트 데이터 스토어 업데이트](logging-data-events-with-cloudtrail.md#logging-data-events-with-the-cloudtrail-console-eds) 단원을 참조하십시오.
+ **네트워크 활동 이벤트**에서 **편집**을 선택하여 네트워크 활동 이벤트에 대한 설정을 변경합니다. 로깅할 네트워크 활동 이벤트 유형을 선택하고 사용할 로그 선택기 템플릿을 선택할 수 있습니다. 자세한 내용은 [네트워크 활동 이벤트를 로깅하도록 기존 이벤트 데이터 저장소 업데이트](logging-network-events-with-cloudtrail.md#log-network-events-lake-console) 단원을 참조하십시오.
+ **이벤트 강화에서 이벤트 크기를 확장**하고 **편집**을 선택하여 리소스 태그 및 IAM 전역 조건 키를 추가하거나 제거하고 이벤트 크기를 확장합니다.
**이벤트 강화**에서 최대 50개의 리소스 태그 키와 50개의 IAM 전역 조건 키를 추가하여 이벤트에 대한 추가 메타데이터를 제공합니다. 이렇게 하면 관련 이벤트를 분류하고 그룹화하는 데 도움이 됩니다.
리소스 태그 키를 추가하면 API 직접 호출에 사용된 리소스와 연결된 선택한 태그 키가 CloudTrail에 포함됩니다. 삭제된 리소스와 관련된 API 이벤트에는 리소스 태그가 없습니다.
IAM 글로벌 조건 키를 추가하면 권한 부여 프로세스 중에 평가된 선택 대상 조건 키에 대한 정보(위탁자, 세션, 네트워크 및 요청 자체에 대한 추가 세부 정보 등)가 CloudTrail에 포함됩니다.
리소스 태그 키와 IAM 글로벌 조건 키에 대한 정보가 이벤트의 `eventContext` 필드에 표시됩니다. 자세한 내용은 [리소스 태그 키와 IAM 글로벌 조건 키를 추가하여 CloudTrail 이벤트 보강](cloudtrail-context-events.md) 단원을 참조하십시오.
**참고**
이벤트에 이벤트 리전에 속하지 않는 리소스가 포함된 경우 태그 검색이 이벤트 리전으로 제한되므로 CloudTrail은이 리소스에 대한 태그를 채우지 않습니다.
**이벤트 크기 확장**을 선택하여 이벤트 페이로드를 256KB에서 최대 1MB까지 확장합니다. 이 옵션은 리소스 태그 키 또는 IAM 전역 조건 키를 추가하여 추가된 모든 키가 이벤트에 포함되도록 할 때 자동으로 활성화됩니다.
이벤트 크기를 확장하면 이벤트 페이로드가 1MB 미만인 경우 다음 필드의 모든 내용을 볼 수 있으므로 이벤트를 분석하고 문제를 해결하는 데 도움이 됩니다.
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
이러한 필드에 대한 자세한 내용은 [CloudTrail record contents](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)를 참조하세요.
작업을 마쳤으면 **변경 내용 저장**을 선택합니다.
**통합의 이벤트에 대한 설정**
**통합**에서 통합을 선택합니다. **편집**을 선택하여 다음 설정을 변경합니다.
+ **통합 세부 정보**에서 통합의 채널을 식별하는 이름을 변경합니다.
+ **이벤트 전송 위치**에서 이벤트의 대상을 선택합니다.
+ **Resource policy**(리소스 정책)에서 통합 채널의 리소스 정책을 구성합니다.
작업을 마쳤으면 **변경 내용 저장**을 선택합니다.
이러한 설정에 대한 자세한 내용은 [콘솔을 사용하여 CloudTrail 파트너와의 통합 생성](query-event-data-store-integration-partner.md) 섹션을 참조하세요.
1. 태그를 추가, 변경 또는 제거하려면 **태그**에서 **편집**을 선택합니다. 이벤트 데이터 스토어에 대한 액세스를 식별, 정렬 및 제어하는 데 도움이 되도록 최대 50개의 태그 키 페어를 추가할 수 있습니다. 작업을 마쳤으면 **변경 내용 저장**을 선택합니다.
# 콘솔을 사용하여 이벤트 수집 중지 및 시작
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
기본적으로 이벤트 데이터 스토어는 이벤트를 수집하도록 구성됩니다. 콘솔 AWS CLI또는 APIs.
**수집 시작** 및 **수집 중지** 옵션은 CloudTrail 이벤트(관리 이벤트, 데이터 이벤트 및 네트워크 활동 이벤트) 또는 AWS Config 구성 항목이 포함된 이벤트 데이터 스토어에서만 사용할 수 있습니다.
이벤트 데이터 스토어에 대한 수집을 중지하면, 이벤트 데이터 스토어의 상태는 `STOPPED_INGESTION`으로 변경됩니다. 여전히 이벤트 데이터 스토어에 이미 있는 이벤트에 대해 쿼리를 실행할 수 있습니다. 또한 이벤트 데이터 저장소에 추적 이벤트를 복사할 수도 있습니다(CloudTrail 이벤트만 포함된 경우).
**이벤트 데이터 스토어의 이벤트 수집 중단**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **이벤트 데이터 스토어(Event data stores)**를 선택합니다.
1. 이벤트 데이터 스토어를 선택합니다.
1. **Actions(작업)**에서 **수집 중지(Stop ingestion)**를 선택합니다.
1. 확인 메시지가 표시되면 **수집 중지(Stop ingestion)**를 선택합니다. 이벤트 데이터 스토어는 라이브 이벤트 수집을 중단합니다.
1. 수집을 재개하려면 **수집 시작(Start ingestion)**을 선택합니다.
**이벤트 모으기 다시 시작**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **이벤트 데이터 스토어(Event data stores)**를 선택합니다.
1. 이벤트 데이터 스토어를 선택합니다.
1. **작업**에서 **모으기 시작**을 선택합니다.
# 콘솔을 사용한 변경 종료 보호
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
기본적으로 AWS CloudTrail Lake의 이벤트 데이터 스토어는 종료 방지 기능이 활성화된 상태로 구성됩니다. 종료 방지 기능은 이벤트 데이터 스토어가 실수로 삭제되는 것을 방지합니다. 이벤트 데이터 스토어를 삭제하려면 종료 방지 기능을 비활성화해야 합니다. AWS Management Console AWS CLI또는 API 작업을 사용하여 종료 방지를 비활성화할 수 있습니다.
**종료 방지 기능 끄기**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **이벤트 데이터 스토어(Event data stores)**를 선택합니다.
1. 이벤트 데이터 스토어를 선택합니다.
1. **작업**에서 **종료 방지 기능 변경**을 선택합니다.
1. **비활성화됨**을 선택합니다.
1. **저장**을 선택합니다. 이제 [이벤트 데이터 저장소를 삭제](query-event-data-store-delete.md)할 수 있습니다.
**종료 방지 기능 켜기**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **이벤트 데이터 스토어(Event data stores)**를 선택합니다.
1. 이벤트 데이터 스토어를 선택합니다.
1. **작업**에서 **종료 방지 기능 변경**을 선택합니다.
1. 종료 방지 기능을 켜려면 **활성화됨**을 선택합니다.
1. **저장**을 선택합니다.
# 콘솔을 사용하여 이벤트 데이터 저장소 삭제
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
이 섹션에서는 CloudTrail 콘솔을 사용하여 이벤트 데이터 스토어를 삭제하는 방법을 설명합니다. 를 사용하여 이벤트 데이터 스토어를 삭제하는 방법에 대한 자세한 내용은 섹션을 AWS CLI참조하세요[를 사용하여 이벤트 데이터 스토어 삭제 AWS CLI](lake-cli-delete-eds.md).
**참고**
[종료 방지](query-eds-termination-protection.md) 또는 [Lake 쿼리 페더레이션](query-enable-federation.md)이 활성화된 경우 이벤트 데이터 스토어를 삭제할 수 없습니다. 기본적으로 CloudTrail은 이벤트 데이터 스토어가 실수로 삭제되지 않도록 종료 방지 기능을 활성화합니다.
이벤트 유형이 **통합에서 가져올 이벤트**인 이벤트 데이터 스토어를 삭제하려면 먼저 통합의 채널을 삭제해야 합니다. **aws cloudtrail delete-channel** 명령을 사용하거나 통합의 세부 정보 페이지에서 채널을 삭제할 수 있습니다. 자세한 내용은 [채널을 삭제하여 와의 통합 삭제 AWS CLI](lake-cli-delete-integration.md) 섹션을 참조하세요.
**이벤트 데이터 스토어 삭제**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **이벤트 데이터 스토어(Event data stores)**를 선택합니다.
1. 이벤트 데이터 스토어를 선택합니다.
1. **작업**에서 **삭제**를 선택합니다.
1. 이벤트 데이터 스토어의 이름을 입력하여 이벤트 데이터 스토어의 삭제를 확인합니다.
1. **삭제**를 선택합니다.
이벤트 데이터 스토어를 삭제하면 이벤트 데이터 스토어의 상태가 `PENDING_DELETION`으로 변경되고 7일 동안 해당 상태가 유지됩니다. 7일의 대기 기간 중에 이벤트 데이터 스토어를 [복원](query-eds-restore.md)할 수 있습니다. `PENDING_DELETION` 상태에 놓인 경우 쿼리에 이벤트 데이터 스토어를 사용할 수 없으며 복원 작업을 제외한 이벤트 데이터 스토어에서 다른 작업을 수행할 수 없습니다. 삭제를 보류 중인 이벤트 데이터 스토어는 이벤트를 수집하지 않으므로 비용이 발생하지 않습니다. 삭제 보류 중인 이벤트 데이터 저장소는 하나의 AWS 리전에 존재할 수 있는 이벤트 데이터 저장소의 할당량에 포함됩니다.
# 콘솔을 사용하여 이벤트 데이터 저장소 복원
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
AWS CloudTrail Lake에서 이벤트 데이터 스토어를 삭제하면 상태가 로 변경`PENDING_DELETION`되고 7일 동안 해당 상태로 유지됩니다. 이 시간 동안 AWS Management Console AWS CLI또는 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RestoreEventDataStore.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RestoreEventDataStore.html) API 작업을 사용하여 이벤트 데이터 스토어를 복원할 수 있습니다.
이 섹션에서는 콘솔을 사용하여 이벤트 데이터 스토어를 복원하는 방법을 설명합니다. 를 사용하여 이벤트 데이터 스토어를 복원하는 방법에 대한 자세한 내용은 섹션을 AWS CLI참조하세요[를 사용하여 이벤트 데이터 스토어 복원 AWS CLI](lake-cli-manage-eds.md#lake-cli-restore-eds).
**이벤트 데이터 스토어 복원**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **이벤트 데이터 스토어(Event data stores)**를 선택합니다.
1. 이벤트 데이터 스토어를 선택합니다.
1. **작업**에서 **복원**을 선택합니다.
# CloudTrail Lake 이벤트 데이터 스토어에서 CloudWatch로 데이터 내보내기
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
CloudWatch에서 CloudTrail Lake 데이터를 사용할 수 있게 하면 다음과 같은 몇 가지 이점이 있습니다. CloudWatch
+ **중앙 집중식 로그 관리** - CloudTrail 이벤트를 CloudWatch의 애플리케이션 로그, 인프라 로그 및 기타 데이터 소스와 결합합니다.
+ **간소화된 통합** - CloudWatch는 몇 단계만으로 가져오기 프로세스를 처리합니다. 이벤트 데이터 스토어와 데이터 범위를 지정합니다.
+ **기록 데이터 액세스** - 기록 CloudTrail Lake 데이터를 가져와 현재 운영 데이터와 함께 과거 이벤트를 분석합니다.
+ **추가 CloudTrail 비용 없음** - 추가 CloudTrail 비용 없이 CloudTrail Lake 데이터를 간단하게 가져올 수 있습니다. 그러나 Infrequent Access 사용자 지정 로그 요금이 적용되면 CloudWatch 비용이 발생합니다.
이 섹션에서는 CloudTrail 콘솔을 사용하여 이벤트 데이터 스토어에서 데이터를 내보내는 방법을 설명합니다. SDK를 통해이 작업을 수행하는 방법에 대한 자세한 내용은 [CloudWatch 설명서를](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/) AWS CLI참조하세요.
**이벤트 데이터 스토어에서 데이터를 내보내려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **이벤트 데이터 스토어(Event data stores)**를 선택합니다.
1. 이벤트 데이터 스토어를 선택합니다.
1. **작업**에서 ** CloudWatch로 내보내기**를 선택합니다.
1. EDS에 대한 데이터를 내보낼 시간 범위를 선택합니다.
1. 지침에 따라 CloudTrail이 내보내기 위해 데이터에 액세스하는 데 사용할 IAM 역할을 생성하거나 제공합니다.
1. **내보내기**를 선택합니다.
CloudTrail Lake 데이터를 CloudWatch로 내보낼 수 있도록 할 때는 다음 사항을 고려하세요.
+ **요금** - CloudTrail Lake 데이터의 간소화된 내보내기는 추가 CloudTrail 비용 없이 사용할 수 있지만 사용자 지정 로그 요금을 기준으로 CloudWatch 요금이 발생합니다.
+ **데이터 보존** - CloudTrail Lake 이벤트 데이터 스토어 보존 기간이 내보내려는 기록 데이터를 포함하는지 확인합니다.
+ **리전 가용성** - CloudWatch 설명서에서이 기능에 지원되는 AWS 리전 확인
+ **이벤트 데이터 스토어 액세스** - 데이터를 내보낼 이벤트 데이터 스토어에 액세스할 수 있어야 합니다.
# 를 사용하여 이벤트 데이터 스토어 생성, 업데이트 및 관리 AWS CLI
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
이 섹션에서는 CloudTrail Lake 이벤트 데이터 스토어를 생성, 업데이트 및 관리하는 데 사용할 수 있는 AWS CLI 명령을 설명합니다.
를 사용할 때는 명령이 프로파일에 대해 AWS 리전 구성된에서 실행된다는 점을 AWS CLI기억하세요. 다른 리전에서 명령을 실행하려는 경우 프로필의 기본 리전을 변경하거나 명령에 **--region** 파라미터를 사용합니다.
## 이벤트 데이터 저장소에 대해 사용 가능한 명령
CloudTrail Lake에서 이벤트 데이터 저장소를 생성하고 업데이트하기 위한 명령은 다음과 같습니다.
+ `create-event-data-store`: 이벤트 데이터 저장소를 생성합니다.
+ `get-event-data-store`: 이벤트 데이터 저장소에 대해 구성된 고급 이벤트 선택기를 포함하여 이벤트 데이터 저장소에 대한 정보를 반환합니다.
+ `update-event-data-store`: 기존 이벤트 데이터 저장소의 구성을 변경합니다.
+ `list-event-data-stores`: 이벤트 데이터 저장소를 나열합니다.
+ `delete-event-data-store`: 이벤트 데이터 저장소를 삭제합니다.
+ `restore-event-data-store`: 삭제 보류 중인 이벤트 데이터 저장소를 복원합니다.
+ `start-import`: 추적 이벤트를 이벤트 데이터 저장소로 가져오기를 시작하거나 실패한 가져오기를 재시도합니다.
+ `[get-import](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-import.html)`: 특정 가져오기에 대한 정보를 반환합니다.
+ `[stop-import](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/stop-import.html)`: 이벤트 데이터 저장소로 추적 이벤트 가져오기를 중지합니다.
+ `[list-imports](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-imports.html)`: 모든 가져오기에 대한 정보를 반환하거나 `ImportStatus` 또는 `Destination`을 사용하여 선택한 가져오기 세트를 반환합니다.
+ `[list-import-failures](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-import-failures.html)`: 지정된 가져오기에 대한 가져오기 실패를 나열합니다.
+ `stop-event-data-store-ingestion`: 이벤트 데이터 저장소에서 이벤트 수집을 중지합니다.
+ `start-event-data-store-ingestion`: 이벤트 데이터 저장소에서 이벤트 수집을 다시 시작합니다.
+ `enable-federation`: 이벤트 데이터 저장소에서 페더레이션을 활성화하여 Amazon Athena에서 이벤트 데이터 저장소를 쿼리합니다.
+ `disable-federation`: 이벤트 데이터 저장소에서 페더레이션을 비활성화합니다. 페더레이션을 비활성화한 후에는 Amazon Athena에서 이벤트 데이터 저장소의 데이터를 더 이상 쿼리할 수 없습니다. CloudTrail Lake에서 계속 쿼리할 수 있습니다.
+ `[put-insight-selectors](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-insight-selectors.html)`: 기존 이벤트 데이터 저장소에 대한 Insights 이벤트 선택기를 추가 또는 수정하고 Insights 이벤트를 활성화 또는 비활성화합니다.
+ `[get-insight-selectors](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-insight-selectors.html)`: 이벤트 데이터 저장소에 대해 구성된 Insights 이벤트 선택기에 대한 정보를 반환합니다.
+ `[add-tags](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/add-tags.html)`: 기존 이벤트 데이터 저장소에 하나 이상의 태그(키-값 페어)를 추가합니다.
+ `[remove-tags](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/remove-tags.html)`: 이벤트 데이터 저장소에서 하나 이상의 태그를 제거합니다.
+ `[list-tags](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-tags.html)`: 이벤트 데이터 저장소와 연결된 태그 목록을 반환합니다.
+ [`get-event-configuration`](lake-cli-manage-eds.md#lake-cli-get-event-configuration)에서는 이벤트 데이터 스토어에 대해 구성된 모든 리소스 태그 키 및 IAM 전역 조건 키를 반환합니다. 또한 이 명령은 이벤트 데이터 스토어가 `Standard` 크기 이벤트 또는 `Large` 크기 이벤트를 수집하도록 구성되어 있는지 여부도 반환합니다.
+ [`put-event-configuration`](lake-cli-manage-eds.md#lake-cli-put-event-configuration)에서 이벤트 크기를 확장하고 리소스 태그 키와 IAM 전역 조건 키를 추가하거나 제거합니다. 자세한 내용은 [리소스 태그 키와 IAM 글로벌 조건 키를 추가하여 CloudTrail 이벤트 보강](cloudtrail-context-events.md) 단원을 참조하십시오.
+ `[put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-resource-policy.html)`에서 리소스 기반 정책을 이벤트 데이터 스토어에 연결합니다. 리소스 기반 정책을 사용하면 이벤트 데이터 스토어에서 작업을 수행할 수 있는 위탁자를 제어할 수 있습니다. 예시 정책은 [이벤트 데이터 스토어의 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds) 섹션을 참조하세요.
+ `[get-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-resource-policy.html)`에서 이벤트 데이터 스토어에 연결된 리소스 기반 정책을 가져옵니다.
+ `[delete-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/delete-resource-policy.html)`에서 이벤트 데이터 스토어에 연결된 리소스 기반 정책을 삭제합니다.
CloudTrail Lake 쿼리에 사용할 수 있는 명령 목록은 [CloudTrail Lake 쿼리에 대해 사용 가능한 명령](lake-queries-cli.md#lake-queries-cli-commands) 섹션을 참조하세요.
CloudTrail Lake 대시보드에 사용할 수 있는 명령 목록은 [대시보드에 사용 가능한 명령](lake-dashboard-cli.md#lake-dashboard-cli-commands) 섹션을 참조하세요.
CloudTrail Lake 통합에 사용할 수 있는 명령 목록은 [CloudTrail Lake 통합에 대해 사용 가능한 명령](lake-integrations-cli.md#lake-integrations-cli-commands) 섹션을 참조하세요.
# 를 사용하여 이벤트 데이터 스토어 생성 AWS CLI
이 섹션에서는 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) 명령을 사용하여 이벤트 데이터 저장소를 생성하는 방법을 설명하고 생성할 수 있는 다양한 유형의 이벤트 데이터 저장소에 대한 예제를 제공합니다.
이벤트 데이터 스토어를 생성할 때 유일한 필수 파라미터는 이벤트 데이터 스토어를 식별하는 데 사용되는 `--name`입니다. 다음을 포함한 추가 옵션 파라미터를 구성할 수 있습니다.
+ `--advanced-event-selectors` - 이벤트 데이터 스토어에 포함할 이벤트의 유형을 지정합니다. 기본적으로 이벤트 데이터 스토어는 모든 관리 이벤트를 로깅하지만 데이터 이벤트는 로깅합니다. 고급 이벤트 선택기에 대한 자세한 내용은 CloudTrail API 참조의 [AdvancedEventSelector](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedEventSelector.html)를 참조하세요.
+ `--kms-key-id` - CloudTrail이 전송할 이벤트를 암호화하는 데 사용할 KMS 키 ID를 지정합니다. 값은 `alias/`, 별칭에 대한 전체 지정 ARN, 키에 대한 전체 지정 ARN, 전역적으로 고유한 식별자 등의 접두사가 붙은 별칭 이름일 수 있습니다.
+ `--multi-region-enabled` - 계정의 모든 AWS 리전 에 대한 이벤트를 로깅하는 다중 리전 이벤트 데이터 스토어를 생성합니다. 파라미터가 추가되지 않은 경우에도 기본적으로 `--multi-region-enabled`가 설정됩니다.
+ `--organization-enabled` - 이벤트 데이터 스토어에서 조직의 모든 계정에 대한 이벤트를 수집할 수 있도록 합니다. 기본적으로 이벤트 데이터 스토어는 기본적으로 모든 계정에 대해 활성화되지 않습니다.
+ `--billing-mode` - 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간을 결정합니다.
사용 가능한 값은 다음과 같습니다.
+ `EXTENDABLE_RETENTION_PRICING` - 이 결제 모드는 일반적으로 한 달에 25TB 미만의 이벤트 데이터를 모으고 최대 3653일(약 10년)의 유연한 보존 기간을 원하는 경우에 권장됩니다. 이 결제 모드의 기본 보존 기간은 366일입니다.
+ `FIXED_RETENTION_PRICING` - 매월 25TB 이상의 이벤트 데이터를 모을 것으로 예상되고 최대 2557일(약 7년)의 보존 기간이 필요한 경우 이 결제 모드가 권장됩니다. 이 결제 모드의 기본 보존 기간은 2557일입니다.
기본값은 `EXTENDABLE_RETENTION_PRICING`입니다.
+ `--retention-period` - 이벤트 데이터 스토어에 이벤트를 보관하는 일수입니다. 유효한 값은 `--billing-mode`가 `EXTENDABLE_RETENTION_PRICING`인 경우 7\$13653의 정수이고, `--billing-mode`가 `FIXED_RETENTION_PRICING`으로 설정된 경우 7\$12,557의 정수입니다. `--retention-period`를 지정하지 않으면 CloudTrail은 `--billing-mode`에 기본 보존 기간을 사용합니다.
+ `--start-ingestion` - `--start-ingestion` 파라미터는 이벤트 데이터 스토어가 생성될 때 이벤트 모으기를 시작합니다. 이 파라미터는 파라미터가 추가되지 않은 경우에도 설정됩니다.
이벤트 데이터 스토어가 라이브 이벤트를 모으지 않도록 하려면 `--no-start-ingestion`을 지정합니다. 예를 들어, 이벤트를 이벤트 데이터 스토어에 복사하고 이벤트 데이터만 사용하여 과거 이벤트를 분석하려는 경우 이 파라미터를 설정할 수 있습니다. `--no-start-ingestion` 파라미터는 `eventCategory`가 `Management`, `Data` 또는 `ConfigurationItem`인 경우에만 유효합니다.
다음 예제에서는 다양한 유형의 이벤트 데이터 스토어를 생성하는 방법을 보여줍니다.
**Topics**
+ [
## 를 사용하여 S3 데이터 이벤트에 대한 이벤트 데이터 스토어 생성 AWS CLI
](#lake-cli-create-eds-data)
+ [
## 를 사용하여 KMS 네트워크 활동 이벤트에 대한 이벤트 데이터 스토어 생성 AWS CLI
](#lake-cli-create-eds-network)
+ [
## 를 사용하여 AWS Config 구성 항목에 대한 이벤트 데이터 스토어 생성 AWS CLI
](#lake-cli-create-eds-config)
+ [
## 를 사용하여 관리 이벤트에 대한 조직 이벤트 데이터 스토어 생성 AWS CLI
](#lake-cli-create-eds-org)
+ [
## 를 사용하여 Insights 이벤트에 대한 이벤트 데이터 스토어 생성 AWS CLI
](#lake-cli-insights)
## 를 사용하여 S3 데이터 이벤트에 대한 이벤트 데이터 스토어 생성 AWS CLI
다음 example AWS Command Line Interface (AWS CLI) **create-event-data-store** 명령은 모든 Amazon S3 데이터 이벤트를 `my-event-data-store` 선택하고 KMS 키를 사용하여 암호화된 라는 이벤트 데이터 스토어를 생성합니다.
```
aws cloudtrail create-event-data-store \
--name my-event-data-store \
--kms-key-id "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias" \
--advanced-event-selectors '[
{
"Name": "Select all S3 data events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Data"] },
{ "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
{ "Field": "resources.ARN", "StartsWith": ["arn:aws:s3"] }
]
}
]'
```
다음은 응답의 예입니다.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
"Name": "my-event-data-store",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Select all S3 data events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3::Object"
]
},
{
"Field": "resources.ARN",
"StartsWith": [
"arn:aws:s3"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 366,
"KmsKeyId": "arn:aws:kms:us-east-1:123456789012:alias/KMS_key_alias",
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-09T22:19:39.417000-05:00",
"UpdatedTimestamp": "2023-11-09T22:19:39.603000-05:00"
}
```
## 를 사용하여 KMS 네트워크 활동 이벤트에 대한 이벤트 데이터 스토어 생성 AWS CLI
다음 예제에서는에 대한 `VpceAccessDenied` 네트워크 활동 이벤트를 포함하도록 이벤트 데이터 스토어를 생성하는 방법을 보여줍니다 AWS KMS. 이 예제에서는 `errorCode` 필드를 `VpceAccessDenied` 이벤트와 같게 설정하고 `eventSource` 필드를 `kms.amazonaws.com`으로 설정합니다.
```
aws cloudtrail create-event-data-store \
--name EventDataStoreName \
--advanced-event-selectors '[
{
"Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": ["NetworkActivity"]
},
{
"Field": "eventSource",
"Equals": ["kms.amazonaws.com"]
},
{
"Field": "errorCode",
"Equals": ["VpceAccessDenied"]
}
]
}
]'
```
이 명령은 다음 출력 예를 반환합니다.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
"Name": "EventDataStoreName",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Audit AccessDenied AWS KMS events over a VPC endpoint",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"NetworkActivity"
]
},
{
"Field": "eventSource",
"Equals": [
"kms.amazonaws.com"
]
},
{
"Field": "errorCode",
"Equals": [
"VpceAccessDenied"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2024-05-20T21:00:17.673000+00:00",
"UpdatedTimestamp": "2024-05-20T21:00:17.820000+00:00"
}
```
네트워크 활동 이벤트에 대한 자세한 내용은 [네트워크 활동 이벤트 로깅](logging-network-events-with-cloudtrail.md) 섹션을 참조하세요.
## 를 사용하여 AWS Config 구성 항목에 대한 이벤트 데이터 스토어 생성 AWS CLI
다음 예제 AWS CLI **create-event-data-store** 명령은 AWS Config 구성 항목을 `config-items-eds` 선택하는 라는 이벤트 데이터 스토어를 생성합니다. 구성 항목을 수집하려면 고급 이벤트 선택기에서 `eventCategory` 필드 Equals `ConfigurationItem`을 지정합니다.
```
aws cloudtrail create-event-data-store \
--name config-items-eds \
--advanced-event-selectors '[
{
"Name": "Select AWS Config configuration items",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
]
}
]'
```
다음은 응답의 예입니다.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
"Name": "config-items-eds",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Select AWS Config configuration items",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"ConfigurationItem"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-07T19:03:24.277000+00:00",
"UpdatedTimestamp": "2023-11-07T19:03:24.468000+00:00"
}
```
## 를 사용하여 관리 이벤트에 대한 조직 이벤트 데이터 스토어 생성 AWS CLI
다음 예제 AWS CLI **create-event-data-store** 명령은 모든 관리 이벤트를 수집하고 `--billing-mode` 파라미터를 로 설정하는 조직 이벤트 데이터 스토어를 생성합니다`FIXED_RETENTION_PRICING`.
```
aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled --billing-mode FIXED_RETENTION_PRICING
```
다음은 응답의 예입니다.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
"Name": "org-management-eds",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": true,
"BillingMode": "FIXED_RETENTION_PRICING",
"RetentionPeriod": 2557,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
"UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}
```
## 를 사용하여 Insights 이벤트에 대한 이벤트 데이터 스토어 생성 AWS CLI
CloudTrail Lake에서 Insights 이벤트를 로그하려면, Insights 이벤트를 수집하고, Insights를 사용하는 소스 이벤트 데이터 스토어와 Insights 이벤트를 사용하고, 관리 데이터를 로그하는 소스 이벤트 데이터 스토어가 필요합니다.
이 절차는 대상 및 소스 이벤트 데이터 스토어를 생성하고, Insights 이벤트를 활성화하는 방법을 보여 줍니다.
1. [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) 명령을 실행하여 Insights 이벤트를 수집하는 대상 이벤트 데이터 스토어를 생성합니다. `eventCategory`의 값은 `Insight`이어야 합니다. *retention-period-days*를 이벤트 데이터 스토어에 이벤트를 보존하려는 날짜 일수로 변경합니다. 유효한 값은 `--billing-mode`가 `EXTENDABLE_RETENTION_PRICING`인 경우 7\$13653의 정수이고, `--billing-mode`가 `FIXED_RETENTION_PRICING`으로 설정된 경우 7\$12,557의 정수입니다. `--retention-period`를 지정하지 않으면 CloudTrail은 `--billing-mode`에 기본 보존 기간을 사용합니다.
AWS Organizations 조직의 관리 계정으로 로그인한 경우 [위임된 관리자에게](cloudtrail-delegated-administrator.md) 이벤트 데이터 스토어에 대한 액세스 권한을 부여하려면 `--organization-enabled` 파라미터를 포함합니다.
```
aws cloudtrail create-event-data-store \
--name insights-event-data-store \
--no-multi-region-enabled \
--retention-period retention-period-days \
--advanced-event-selectors '[
{
"Name": "Select Insights events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["Insight"] }
]
}
]'
```
다음은 응답의 예입니다.
```
{
"Name": "insights-event-data-store",
"ARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"AdvancedEventSelectors": [
{
"Name": "Select Insights events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Insight"
]
}
]
}
],
"MultiRegionEnabled": false,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": "90",
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-05-08T15:22:33.578000+00:00",
"UpdatedTimestamp": "2023-05-08T15:22:33.714000+00:00"
}
```
응답의 `ARN`(또는 ARN의 ID 접미사)을 3단계의 `--insights-destination` 파라미터 값으로 사용합니다.
1. [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-event-data-store.html) 명령을 실행하여 관리 이벤트를 로그하는 소스 이벤트 데이터 저장소를 생성합니다. 기본적으로 이벤트 데이터 스토어는 모든 관리 이벤트를 로깅하지만 데이터 이벤트는 로깅합니다. 모든 관리 이벤트를 로그하려면, 고급 이벤트 선택기를 지정할 필요가 없습니다. *retention-period-days*를 이벤트 데이터 스토어에 이벤트를 보존하려는 날짜 일수로 변경합니다. 유효한 값은 `--billing-mode`가 `EXTENDABLE_RETENTION_PRICING`인 경우 7\$13653의 정수이고, `--billing-mode`가 `FIXED_RETENTION_PRICING`으로 설정된 경우 7\$12,557의 정수입니다. `--retention-period`를 지정하지 않으면 CloudTrail은 `--billing-mode`에 기본 보존 기간을 사용합니다. 조직 이벤트 데이터 스토어를 생성하려면, `--organization-enabled` 파라미터를 포함합니다.
```
aws cloudtrail create-event-data-store --name source-event-data-store --retention-period retention-period-days
```
다음은 응답의 예입니다.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"Name": "source-event-data-store",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-05-08T15:25:35.578000+00:00",
"UpdatedTimestamp": "2023-05-08T15:25:35.714000+00:00"
}
```
응답의 `ARN`(또는 ARN의 ID 접미사)을 3단계의 `--event-data-store` 파라미터 값으로 사용합니다.
1. [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/put-insight-selectors.html) 명령을 실행하여 Insights 이벤트를 활성화합니다. Insights 선택기 값은 `ApiCallRateInsight`, `ApiErrorRateInsight` 또는 두 개 모두가 될 수 있습니다. `--event-data-store` 파라미터에는 관리 이벤트를 로그하고 Insights를 활성화하는 소스 이벤트 데이터 스토어의 ARN(또는 ARN의 ID 접미사)을 지정합니다. `--insights-destination` 파라미터에는 Insights 이벤트를 로그할 대상 이벤트 데이터 스토어의 ARN(또는 ARN의 ID 접미사)을 지정합니다.
```
aws cloudtrail put-insight-selectors --event-data-store arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE --insights-destination arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE --insight-selectors '[{"InsightType": "ApiCallRateInsight"},{"InsightType": "ApiErrorRateInsight"}]'
```
다음 결과는 이벤트 데이터 스토어에 대해 구성된 Insights 이벤트 선택기를 보여 줍니다.
```
{
"EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE9952-4ab9-49c0-b788-f4f3EXAMPLE",
"InsightsDestination": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"InsightSelectors":
[
{
"InsightType": "ApiErrorRateInsight"
},
{
"InsightType": "ApiCallRateInsight"
}
]
}
```
이벤트 데이터 스토어에서 CloudTrail Insights를 처음으로 활성화한 후, CloudTrail에서 Insights 이벤트 제공을 시작하는 데 최대 7일이 걸릴 수 있습니다. 단, 이 기간 동안 비정상적인 활동이 발생했을 때에 한합니다.
CloudTrail Insights는 전역이 아닌 단일 리전에서 발생하는 관리 이벤트를 분석합니다. CloudTrail Insights 이벤트는 지원 관리 이벤트가 생성되는 것과 동일한 리전에서 생성됩니다.
조직 이벤트 데이터 스토어의 경우, CloudTrail은 조직의 모든 관리 이벤트 집계를 분석하는 것이 아닌 각 구성원 계정의 관리 이벤트를 분석합니다.
CloudTrail Lake에서의 Insights 이벤트 수집에는 추가 요금이 부과됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. CloudTrail 요금에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요.
# 를 사용하여 추적 이벤트를 이벤트 데이터 스토어로 가져오기 AWS CLI
이 섹션에서는 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html) 명령을 실행하여 이벤트 데이터 저장소를 생성 및 구성한 다음, [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/start-import.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/start-import.html) 명령을 사용하여 해당 이벤트 데이터 저장소로 이벤트를 가져오는 방법을 보여줍니다. 추적 이벤트 가져오기에 대한 자세한 내용은 [추적 이벤트를 이벤트 데이터 스토어에 복사](cloudtrail-copy-trail-to-lake-eds.md) 섹션을 참조하세요.
## 추적 이벤트 가져오기 준비
추적 이벤트를 가져오기 전에 다음 사항을 준비하세요.
+ 추적 이벤트를 이벤트 데이터 스토어에 가져오는 데 [필요한 권한](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam)을 가진 역할을 가지고 있어야 합니다.
+ 이벤트 데이터 스토어에 지정할 [--billing-mode](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) 값을 결정합니다. `--billing-mode`는 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간을 결정합니다.
CloudTrail Lake로 추적 이벤트를 가져오면 CloudTrail은 gzip(압축) 형식으로 저장된 로그의 압축을 풉니다. 그런 다음 CloudTrail은 로그에 포함된 이벤트를 이벤트 데이터 스토어에 복사합니다. 압축되지 않은 데이터의 크기는 실제 Amazon S3 스토리지 크기보다 클 수 있습니다. 압축되지 않은 데이터 크기에 대한 일반적인 추정치를 구하려면, S3 버킷의 로그 크기에 10을 곱합니다. 이 추정치를 사용하여 사용 사례에 맞는 `--billing-mode` 값을 선택할 수 있습니다.
+ `--retention-period`에 지정할 값을 결정합니다. CloudTrail은 `eventTime`이 지정된 보존 기간보다 오래되었다면, 이벤트를 복사하지 않습니다.
적절한 보존 기간을 결정하려면 이 수식에 표시된 대로 복사하려는 가장 오래된 이벤트와 이벤트 데이터 스토어에 이벤트를 유지할 일수의 합계를 구합니다.
**보존 기간** = *oldest-event-in-days* \$1 *number-days-to-retain*
예를 들어, 복사 중인 가장 오래된 이벤트가 45일이고 이벤트 데이터 스토어에 이벤트를 추가로 45일 동안 보관하려는 경우 보존 기간을 90일로 설정합니다.
+ 이벤트 데이터 스토어를 사용하여 향후 이벤트를 분석할지 여부를 결정합니다. 향후 이벤트를 모으지 않으려면 이벤트 데이터 스토어를 생성할 때 `--no-start-ingestion` 파라미터를 포함합니다. 기본적으로 이벤트 데이터 스토어는 생성될 때 이벤트 모으기를 시작합니다.
## 이벤트 데이터 스토어 생성 및 해당 이벤트 데이터 스토어로 추적 이벤트 가져오기
1. **create-event-data-store** 명령을 실행하여 새 이벤트 데이터 스토어를 생성합니다. 이 예제에서는 복사 중인 가장 오래된 이벤트가 90일이 되었고 이벤트를 30일 동안 유지하려고 하기 때문에 `--retention-period`가 `120`으로 설정됩니다. 향후 이벤트를 모으고 싶지 않기 때문에 `--no-start-ingestion` 파라미터가 설정되었습니다. 이 예제에서는 25TB 미만의 이벤트 데이터를 모을 것으로 예상되어 기본값 `EXTENDABLE_RETENTION_PRICING`을 사용하고 있기 때문에 `--billing-mode`가 설정되지 않았습니다.
**참고**
추적을 대체할 이벤트 데이터 스토어를 생성하는 경우 동일한 이벤트 범위를 보장하기 위해 추적의 이벤트 선택기와 일치하도록 `--advanced-event-selectors`를 구성하는 것이 좋습니다. 기본적으로 이벤트 데이터 스토어는 모든 관리 이벤트를 로깅하지만 데이터 이벤트는 로깅합니다.
```
aws cloudtrail create-event-data-store --name import-trail-eds --retention-period 120 --no-start-ingestion
```
다음은 응답의 예입니다.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9",
"Name": "import-trail-eds",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 120,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00",
"UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00"
}
```
초기 `Status`는 `CREATED`이므로 **get-event-data-store** 명령을 실행하여 모으기가 중지되었는지 확인합니다.
```
aws cloudtrail get-event-data-store --event-data-store eds-id
```
응답에는 현재 `Status`가 `STOPPED_INGESTION`으로 표시됩니다. 이는 이벤트 데이터 스토어가 라이브 이벤트를 모으고 있지 않음을 나타냅니다.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9",
"Name": "import-trail-eds",
"Status": "STOPPED_INGESTION",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 120,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-09T16:52:25.444000+00:00",
"UpdatedTimestamp": "2023-11-09T16:52:25.569000+00:00"
}
```
1. **start-import** 명령을 실행하여 추적 이벤트를 1단계에서 생성된 이벤트 데이터 스토어로 가져옵니다. `--destinations` 파라미터의 값으로 이벤트 데이터 스토어의 ARN 또는 ARN의 ID 접미사를 지정합니다. `--start-event-time`에는 복사하려는 가장 오래된 이벤트의 `eventTime`을 지정하고 `--end-event-time`에는 복사하려는 최신 이벤트의 `eventTime`을 지정합니다. 에는 추적 로그가 포함된 SS3 버킷의 S3 URI, S3 버킷 AWS 리전 의 , 추적 이벤트를 가져오는 데 사용되는 역할의 ARN을 `--import-source` 지정합니다.
```
aws cloudtrail start-import \
--destinations ["arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"] \
--start-event-time 2023-08-11T16:08:12.934000+00:00 \
--end-event-time 2023-11-09T17:08:20.705000+00:00 \
--import-source {"S3": {"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-612ff1f6/AWSLogs/123456789012/CloudTrail/","S3BucketRegion":"us-east-1","S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"}}
```
다음은 응답의 예입니다.
```
{
"CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00",
"Destinations": [
"arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"
],
"EndEventTime": "2023-11-09T17:08:20.705000+00:00",
"ImportId": "EXAMPLEe-7be2-4658-9204-b38c3257fcd1",
"ImportSource": {
"S3": {
"S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds",
"S3BucketRegion":"us-east-1",
"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/"
}
},
"ImportStatus": "INITIALIZING",
"StartEventTime": "2023-08-11T16:08:12.934000+00:00",
"UpdatedTimestamp": "2023-11-09T17:08:20.806000+00:00"
}
```
1. [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-import.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-import.html) 명령을 실행하여 가져오기에 대한 정보를 가져옵니다.
```
aws cloudtrail get-import --import-id import-id
```
다음은 응답의 예입니다.
```
{
"ImportId": "EXAMPLEe-7be2-4658-9204-b38c3EXAMPLE",
"Destinations": [
"arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEa-4357-45cd-bce5-17ec652719d9"
],
"ImportSource": {
"S3": {
"S3LocationUri": "s3://aws-cloudtrail-logs-123456789012-111ff1f6/AWSLogs/123456789012/CloudTrail/",
"S3BucketRegion":"us-east-1",
"S3BucketAccessRoleArn": "arn:aws:iam::123456789012:role/service-role/CloudTrailLake-us-east-1-copy-events-eds"
}
},
"StartEventTime": "2023-08-11T16:08:12.934000+00:00",
"EndEventTime": "2023-11-09T17:08:20.705000+00:00",
"ImportStatus": "COMPLETED",
"CreatedTimestamp": "2023-11-09T17:08:20.705000+00:00",
"ImportStatistics": {
"PrefixesFound": 1548,
"PrefixesCompleted": 1548,
"FilesCompleted": 92845,
"EventsCompleted": 577249,
"FailedEntries": 0
}
}
```
가져오기는 실패가 없는 경우 `ImportStatus`가 `COMPLETED`로, 실패가 있는 경우 `FAILED`로 완료됩니다.
가져오기에 `FailedEntries`가 있는 경우 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-import-failures.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-import-failures.html) 명령을 실행하여 실패 목록을 반환할 수 있습니다.
```
aws cloudtrail list-import-failures --import-id import-id
```
실패가 있는 가져오기를 재시도하려면 `--import-id` 파라미터만 사용하여 **start-import** 명령을 실행합니다. 가져오기를 재시도하면 CloudTrail은 오류가 발생한 위치에서 가져오기를 재개합니다.
```
aws cloudtrail start-import --import-id import-id
```
# 를 사용하여 이벤트 데이터 스토어 업데이트 AWS CLI
이 섹션에서는 명령을 실행하여 이벤트 데이터 스토어의 설정을 업데이트하는 방법을 보여주는 예제를 AWS CLI `update-event-data-store` 제공합니다.
**Topics**
+ [
## 를 사용하여 결제 모드 업데이트 AWS CLI
](#lake-cli-update-billing-mode)
+ [
## 보존 모드를 업데이트하고, 종료 방지를 활성화하고,를 AWS KMS key 사용하여를 지정합니다. AWS CLI
](#lake-cli-update-retention)
+ [
## 를 사용하여 종료 방지 비활성화 AWS CLI
](#lake-cli-update-disable-termination)
## 를 사용하여 결제 모드 업데이트 AWS CLI
이벤트 데이터 스토어의 `--billing-mode`는 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간을 결정합니다. 이벤트 데이터 스토어의 `--billing-mode`가 `FIXED_RETENTION_PRICING`으로 설정된 경우 값을 `EXTENDABLE_RETENTION_PRICING`으로 변경할 수 있습니다. `EXTENDABLE_RETENTION_PRICING`은 일반적으로 이벤트 데이터 스토어가 매월 25TB 미만의 이벤트 데이터를 모으고 최대 3653일의 유연한 보존 기간을 원하는 경우 권장됩니다. 요금에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md) 섹션을 참조하세요.
**참고**
그러나 `--billing-mode` 값을 `EXTENDABLE_RETENTION_PRICING`에서 `FIXED_RETENTION_PRICING`으로 변경할 수 없습니다. 이벤트 데이터 스토어의 결제 모드가 `EXTENDABLE_RETENTION_PRICING`으로 설정되어 있고 대신 `FIXED_RETENTION_PRICING`을 사용하려는 경우 이벤트 데이터 스토어에서 [모으기를 중지](lake-cli-manage-eds.md#lake-cli-stop-ingestion-eds)하고 `FIXED_RETENTION_PRICING`을 사용하는 새 이벤트 데이터 스토어를 생성할 수 있습니다.
다음 예제 AWS CLI **update-event-data-store** 명령은 이벤트 데이터 스토어`--billing-mode`의를에서 `FIXED_RETENTION_PRICING`로 변경합니다`EXTENDABLE_RETENTION_PRICING`. 필수 `--event-data-store` 파라미터 값은 ARN(또는 ARN의 ID 접미사)이며 이는 필수이고 다른 파라미터는 선택 사항입니다.
```
aws cloudtrail update-event-data-store \
--region us-east-1 \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--billing-mode EXTENDABLE_RETENTION_PRICING
```
다음은 응답의 예입니다.
```
{
"EventDataStoreArn": "event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "management-events-eds",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 2557,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00",
"UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00"
}
```
## 보존 모드를 업데이트하고, 종료 방지를 활성화하고,를 AWS KMS key 사용하여를 지정합니다. AWS CLI
다음 예제 AWS CLI **update-event-data-store** 명령은 이벤트 데이터 스토어를 업데이트하여 보존 기간을 100일로 변경하고 종료 방지를 활성화합니다. 필수 `--event-data-store` 파라미터 값은 ARN(또는 ARN의 ID 접미사)이며 이는 필수이고 다른 파라미터는 선택 사항입니다. 이 예제에서는 `--retention-period` 파라미터를 추가하여 보존 기간을 100일로 변경합니다. 선택적으로 명령에를 추가하고 KMS 키 ARN을 값으로 지정 AWS KMS key 하여 AWS Key Management Service 암호화를 활성화하고 `--kms-key-id`를 지정할 수 있습니다. `--termination-protection-enabled`는 종료 방지가 활성화되지 않은 이벤트 데이터 스토어에서 종료 방지를 활성화하도록 추가됩니다.
외부에서 이벤트를 로깅하는 이벤트 데이터 스토어는 AWS 이벤트를 로깅하도록 업데이트할 수 AWS 없습니다. 마찬가지로 이벤트를 로깅하는 AWS 이벤트 데이터 스토어는 외부에서 이벤트를 로깅하도록 업데이트할 수 없습니다 AWS.
**참고**
이벤트 데이터 스토어의 보존 기간을 줄이면, CloudTrail은 새 보존 기간보다 오래된 `eventTime`을 가진 모든 이벤트를 제거합니다. 예를 들어 이전 보존 기간이 365일이었던 기간을 100일로 줄이면 CloudTrail은 100일이 지난 `eventTime`을 가진 이벤트를 제거합니다.
```
aws cloudtrail update-event-data-store \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--retention-period 100 \
--kms-key-id "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias" \
--termination-protection-enabled
```
다음은 응답의 예입니다.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
"Name": "my-event-data-store",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Select all S3 data events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3::Object"
]
},
{
"Field": "resources.ARN",
"StartsWith": [
"arn:aws:s3"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 100,
"KmsKeyId": "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias",
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00",
"UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00"
}
```
## 를 사용하여 종료 방지 비활성화 AWS CLI
기본적으로 이벤트 데이터 스토어가 실수로 삭제되는 것을 방지하기 위해 이벤트 데이터 스토어에 종료 방지 기능이 활성화되어 있습니다. 종료 방지 기능이 활성화된 경우 이벤트 데이터 스토어를 삭제할 수 없습니다. 이벤트 데이터 스토어를 삭제하려면 먼저 종료 방지 기능을 비활성화해야 합니다.
다음 예제 AWS CLI **update-event-data-store** 명령은 `--no-termination-protection-enabled` 파라미터를 전달하여 종료 방지를 비활성화합니다.
```
aws cloudtrail update-event-data-store \
--region us-east-1 \
--no-termination-protection-enabled \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
다음은 응답의 예입니다.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "management-events-eds",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 366,
"TerminationProtectionEnabled": false,
"CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00",
"UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00"
}
```
# 를 사용하여 이벤트 데이터 스토어 관리 AWS CLI
이 섹션에서는 이벤트 데이터 저장소에 대한 정보를 가져오고, 이벤트 데이터 저장소에서 수집을 시작 및 중지하며, 이벤트 데이터 저장소에서 [페더레이션](query-federation.md)을 활성화 및 비활성화하기 위해 실행할 수 있는 몇 가지 다른 명령을 설명합니다.
**Topics**
+ [
## 를 사용하여 이벤트 데이터 스토어 가져오기 AWS CLI
](#lake-cli-get-eds)
+ [
## 를 사용하여 계정의 모든 이벤트 데이터 스토어 나열 AWS CLI
](#lake-cli-list-eds)
+ [
## 리소스 태그 키 및 IAM 전역 조건 키 추가 및 이벤트 크기 확장
](#lake-cli-put-event-configuration)
+ [
## 이벤트 데이터 스토어에 대한 이벤트 구성 가져오기
](#lake-cli-get-event-configuration)
+ [
## 를 사용하여 이벤트 데이터 스토어에 대한 리소스 기반 정책 가져오기 AWS CLI
](#lake-cli-get-resource-policy)
+ [
## 를 사용하여 이벤트 데이터 스토어에 리소스 기반 정책 연결 AWS CLI
](#lake-cli-put-resource-policy)
+ [
## 를 사용하여 이벤트 데이터 스토어에 연결된 리소스 기반 정책 삭제 AWS CLI
](#lake-cli-delete-resource-policy)
+ [
## 를 사용하여 이벤트 데이터 스토어에서 수집 중지 AWS CLI
](#lake-cli-stop-ingestion-eds)
+ [
## 를 사용하여 이벤트 데이터 스토어에서 수집 시작 AWS CLI
](#lake-cli-start-ingestion-eds)
+ [
## 이벤트 데이터 스토어에서 페더레이션 활성화
](#lake-cli-enable-federation-eds)
+ [
## 이벤트 데이터 스토어에서 페더레이션 비활성화
](#lake-cli-disable-federation-eds)
+ [
## 를 사용하여 이벤트 데이터 스토어 복원 AWS CLI
](#lake-cli-restore-eds)
## 를 사용하여 이벤트 데이터 스토어 가져오기 AWS CLI
다음 예제 AWS CLI **get-event-data-store** 명령은 ARN 또는 ARN의 ID 접미사를 수락하는 필수 `--event-data-store` 파라미터로 지정된 이벤트 데이터 스토어에 대한 정보를 반환합니다.
```
aws cloudtrail get-event-data-store \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
다음은 응답의 예입니다. 생성 및 마지막 업데이트 시간은 `timestamp` 서식을 갖습니다.
```
{
"EventDataStoreARN": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "s3-data-events-eds",
"Status": "ENABLED",
"AdvancedEventSelectors": [
{
"Name": "Log DeleteObject API calls for a specific S3 bucket",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Data"
]
},
{
"Field": "eventName",
"Equals": [
"DeleteObject"
]
},
{
"Field": "resources.ARN",
"StartsWith": [
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Field": "readOnly",
"Equals": [
"false"
]
},
{
"Field": "resources.type",
"Equals": [
"AWS::S3::Object"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "FIXED_RETENTION_PRICING",
"RetentionPeriod": 2557,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-09T22:20:36.344000+00:00",
"UpdatedTimestamp": "2023-11-09T22:20:36.476000+00:00"
}
```
## 를 사용하여 계정의 모든 이벤트 데이터 스토어 나열 AWS CLI
다음 예제 AWS CLI **list-event-data-stores** 명령은 현재 리전의 계정에 있는 모든 이벤트 데이터 스토어에 대한 정보를 반환합니다. 선택적 파라미터에는 `--max-results`이 포함되며, 단일 페이지에서 반환할 명령의 최대 결과 수를 지정합니다. 지정한 `--max-results` 값보다 많은 결과가 있는 경우, 명령을 다시 실행해 반환된 `NextToken` 값을 추가함으로써 결과의 다음 페이지를 가져옵니다.
```
aws cloudtrail list-event-data-stores
```
다음은 응답의 예입니다.
```
{
"EventDataStores": [
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE7-cad6-4357-a84b-318f9868e969",
"Name": "management-events-eds"
},
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-88e1-43b7-b066-9c046b4fd47a",
"Name": "config-items-eds"
},
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf-b314-4c85-964e-3e43b1e8c3b4",
"Name": "s3-data-events"
}
]
}
```
## 리소스 태그 키 및 IAM 전역 조건 키 추가 및 이벤트 크기 확장
명령을 실행 AWS CLI `put-event-configuration`하여 최대 이벤트 크기를 확장하고 최대 50개의 리소스 태그 키와 50개의 IAM 전역 조건 키를 추가하여 이벤트에 대한 추가 메타데이터를 제공합니다.
`put-event-configuration` 명령에 사용할 수 있는 인수는 다음과 같습니다.
+ `--event-data-store` – 이벤트 데이터 스토어의 ARN 또는 ARN의 ID 접미사를 지정합니다. 이 파라미터는 필수 사항입니다.
+ `--max-event-size` - 최대 이벤트 크기를 1MB로 설정하려면 `Large`로 설정합니다. 기본적으로 값은 `Standard`이며, 이는 최대 이벤트 크기를 256KB로 지정합니다.
**참고**
리소스 태그 키 또는 IAM 전역 조건 키를 추가하려면 추가된 모든 키가 이벤트에 포함되도록 이벤트 크기를 `Large`로 설정해야 합니다.
+ `--context-key-selectors` - 이벤트 데이터 스토어에서 수집하는 이벤트에 포함할 키 유형을 지정합니다. 리소스 태그 키와 IAM 전역 조건 키를 포함할 수 있습니다. 추가된 리소스 태그와 IAM 글로벌 조건 키에 대한 정보가 이벤트의 `eventContext` 필드에 표시됩니다. 자세한 내용은 [리소스 태그 키와 IAM 글로벌 조건 키를 추가하여 CloudTrail 이벤트 보강](cloudtrail-context-events.md) 단원을 참조하십시오.
+ 최대 50개의 리소스 태그 키 배열을 전달하려면 `Type`을 `TagContext`로 설정합니다. 리소스 태그를 추가하면 API 직접 호출에 사용된 리소스와 연결된 선택한 태그 키가 CloudTrail 이벤트에 포함됩니다. 삭제된 리소스와 관련된 API 이벤트에는 리소스 태그가 없습니다.
+ 최대 50개의 IAM 전역 조건 키 배열을 전달하려면 `Type`을 `RequestContext`로 설정합니다. IAM 글로벌 조건 키를 추가하면 권한 부여 프로세스 중에 평가된 선택 대상 조건 키에 대한 정보(위탁자, 세션, 네트워크 및 요청 자체에 대한 추가 세부 정보 등)가 CloudTrail 이벤트에 포함됩니다.
다음 예제에서는 최대 이벤트 크기를 `Large`로 설정하고 2개의 리소스 태그 키인 `myTagKey1` 및 `myTagKey2`를 추가합니다.
```
aws cloudtrail put-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--max-event-size Large \
--context-key-selectors '[{"Type":"TagContext", "Equals":["myTagKey1","myTagKey2"]}]'
```
다음 예제에서는 최대 이벤트 크기를 `Large`로 설정하고 IAM; 전역 조건 키(`aws:MultiFactorAuthAge`)를 추가합니다.
```
aws cloudtrail put-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--max-event-size Large \
--context-key-selectors '[{"Type":"RequestContext", "Equals":["aws:MultiFactorAuthAge"]}]'
```
마지막 예제에서는 모든 리소스 태그 키와 IAM 전역 조건 키를 제거하고 최대 이벤트 크기를 `Standard`로 설정합니다.
```
aws cloudtrail put-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--max-event-size Standard \
--context-key-selectors
```
## 이벤트 데이터 스토어에 대한 이벤트 구성 가져오기
명령을 실행 AWS CLI `get-event-configuration`하여 CloudTrail 이벤트를 수집하는 이벤트 데이터 스토어에 대한 이벤트 구성을 반환합니다. 이 명령은 최대 이벤트 크기를 반환하고 CloudTrail 이벤트에 포함된 리소스 태그 키와 IAM 전역 조건 키(해당되는 경우)를 나열합니다.
```
aws cloudtrail get-event-configuration \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
## 를 사용하여 이벤트 데이터 스토어에 대한 리소스 기반 정책 가져오기 AWS CLI
다음 예제에서는 조직 이벤트 데이터 스토어에서 `get-resource-policy` 명령을 실행합니다.
```
aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207
```
명령이 조직 이벤트 데이터 스토어에서 실행되었으므로 출력에는 제공된 리소스 기반 정책과 위임된 관리자 계정에 대해 생성된 [`DelegatedAdminResourcePolicy`](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)가 모두 표시됩니다.
## 를 사용하여 이벤트 데이터 스토어에 리소스 기반 정책 연결 AWS CLI
수동 또는 예약된 새로 고침 중에 대시보드에서 쿼리를 실행하려면 대시보드의 위젯과 연결된 모든 이벤트 데이터 스토어에 리소스 기반 정책을 연결해야 합니다. 이렇게 하면 CloudTrail Lake가 사용자를 대신하여 쿼리를 실행할 수 있습니다. 리소스 기반 정책에 대한 자세한 내용은 [예시: CloudTrail이 쿼리를 실행하여 대시보드를 새로 고치도록 허용](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds-dashboard) 섹션을 참조하세요.
다음 예제에서는 대시보드를 새로 고칠 때 리소스 기반 정책을 CloudTrail이 대시보드에서 쿼리를 실행할 수 있도록 하는 이벤트 데이터 스토어에 연결합니다. 정책은 다음 예제 정책 문과 함께 별도의 파일인 *policy.json*에 생성됩니다.
------
#### [ JSON ]
****
```
{ "Version":"2012-10-17", "Statement": [{ "Sid": "EDSPolicy", "Effect":
"Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Resource":
"arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/event_data_store_ID",
"Action": "cloudtrail:StartQuery", "Condition": { "StringEquals": { "AWS:SourceArn":
"arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
"AWS:SourceAccount": "123456789012" } } } ] }
```
------
*123456789012*를 계정 ID로, *arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/event\$1data\$1store\$1ID*를 CloudTrail이 쿼리를 실행할 이벤트 데이터 스토어의 ARN으로, *arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE*을 대시보드의 ARN으로 바꿉니다.
```
aws cloudtrail put-resource-policy \
--resource-arn eds-arn \
--resource-policy file://policy.json
```
다음 사항은 응답의 예입니다.
```
{ "ResourceArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE", "ResourcePolicy": "policy-statement" }
```
추가 정책 예제는 [이벤트 데이터 스토어의 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds) 섹션을 참조하세요.
## 를 사용하여 이벤트 데이터 스토어에 연결된 리소스 기반 정책 삭제 AWS CLI
다음 예제에서는 이벤트 데이터 스토어에 연결된 리소스 기반 정책을 삭제합니다. *eds-arn*을 이벤트 데이터 스토어의 ARN으로 바꿉니다.
```
aws cloudtrail delete-resource-policy --resource-arn eds-arn
```
성공 시 이 명령은 출력을 생성하지 않습니다.
## 를 사용하여 이벤트 데이터 스토어에서 수집 중지 AWS CLI
다음 예제 AWS CLI **stop-event-data-store-ingestion** 명령은 이벤트 데이터 스토어가 이벤트를 수집하지 못하도록 합니다. 수집을 중지하려면, 이벤트 데이터 스토어 `Status`는 `ENABLED` 상태여야 하고, `eventCategory`는 `Management`, `Data` 또는 `ConfigurationItem`이어야 합니다. 이벤트 데이터 스토어는 `--event-data-store`에 의해 지정되고, 이벤트 데이터 스토어 ARN 또는 ARN의 ID 접미사를 수락합니다. **stop-event-data-store-ingestion**을 실행하면, 이벤트 데이터 스토어의 상태가 `STOPPED_INGESTION`으로 변경됩니다.
이벤트 데이터 스토어는 `STOPPED_INGESTION` 상태일 때, 계정당 최대 10개의 이벤트 데이터 스토어에 포함됩니다.
```
aws cloudtrail stop-event-data-store-ingestion \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
작업이 성공하면 응답하지 않습니다.
## 를 사용하여 이벤트 데이터 스토어에서 수집 시작 AWS CLI
다음 예제 AWS CLI **start-event-data-store-ingestion** 명령은 이벤트 데이터 스토어에서 이벤트 수집을 시작합니다. 수집을 시작하려면, 이벤트 데이터 스토어 `Status`가 `STOPPED_INGESTION`이고, `eventCategory`는 `Management`, `Data` 또는 `ConfigurationItem`이어야 합니다. 이벤트 데이터 스토어는 `--event-data-store`에 의해 지정되고, 이벤트 데이터 스토어 ARN 또는 ARN의 ID 접미사를 수락합니다. **start-event-data-store-ingestion**을 실행하면, 이벤트 데이터 스토어의 상태가 `ENABLED`로 변경됩니다.
```
aws cloudtrail start-event-data-store-ingestion --event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
작업이 성공하면 응답하지 않습니다.
## 이벤트 데이터 스토어에서 페더레이션 활성화
페더레이션을 활성화하려면 필수 `--event-data-store` 및 `--role` 파라미터를 제공하여 **aws cloudtrail enable-federation** 명령을 실행합니다. `--event-data-store`에 대해 이벤트 데이터 스토어 ARN 또는 ARN의 ID 접미사를 입력합니다. `--role`에 대해 페더레이션 역할에 대한 ARN을 제공합니다. 역할은 계정에 존재하고 [필요한 최소 권한](query-federation.md#query-federation-permissions-role)을 제공해야 합니다.
```
aws cloudtrail enable-federation \
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name
```
이 예제에서는 위임된 관리자가 관리 계정에 있는 이벤트 데이터 스토어의 ARN과 위임된 관리자 계정에 있는 페더레이션 역할의 ARN을 지정하여 조직 이벤트 데이터 스토어에서 페더레이션을 활성화하는 방법을 보여줍니다.
```
aws cloudtrail enable-federation \
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name
```
## 이벤트 데이터 스토어에서 페더레이션 비활성화
이벤트 데이터 스토어에서 페더레이션을 비활성화하려면 **aws cloudtrail disable-federation** 명령을 실행합니다. 이벤트 데이터 스토어는 `--event-data-store`에 의해 지정되고, 이벤트 데이터 스토어 ARN 또는 ARN의 ID 접미사를 수락합니다.
```
aws cloudtrail disable-federation \
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
```
**참고**
조직 이벤트 데이터 스토어인 경우 관리 계정의 계정 ID를 사용합니다.
## 를 사용하여 이벤트 데이터 스토어 복원 AWS CLI
다음 예제 AWS CLI **restore-event-data-store** 명령은 삭제 보류 중인 이벤트 데이터 스토어를 복원합니다. 이벤트 데이터 스토어는 `--event-data-store`에 의해 지정되고, 이벤트 데이터 스토어 ARN 또는 ARN의 ID 접미사를 수락합니다. 삭제 후 7일 대기 기간 내에서만 삭제된 이벤트 데이터 스토어를 복원할 수 있습니다.
```
aws cloudtrail restore-event-data-store \
--event-data-store EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
응답에는 ARN, 고급 이벤트 선택기, 복원 상태를 비롯한 이벤트 데이터 스토어에 대한 정보가 포함됩니다.
# 를 사용하여 이벤트 데이터 스토어 삭제 AWS CLI
이 섹션에서는 명령을 실행하여 이벤트 데이터 스토어를 AWS CLI `delete-event-data-store` 삭제하는 방법을 보여줍니다.
이벤트 데이터 저장소를 삭제하려면 이벤트 데이터 저장소 ARN 또는 ARN의 ID 접미사를 제공하여 `--event-data-store`를 지정합니다. **delete-event-data-store**를 실행 후, 이벤트 데이터 스토어의 최종 상태는 `PENDING_DELETION`이며, 이벤트 데이터 스토어는 7일의 대기 기간이 지나면 자동으로 삭제됩니다.
이벤트 데이터 스토어에서 **delete-event-data-store**을(를) 실행 후, 비활성화된 데이터 스토어를 사용하여 쿼리에 대한 **list-queries**, **describe-query** 또는 **get-query-results**을(를) 실행할 수 었습니다. 이벤트 데이터 스토어는 삭제 보류 중일 AWS 리전 때의 이벤트 데이터 스토어 최대 10개까지 계정에 포함됩니다.
**참고**
`--termination-protection-enabled`가 설정되었거나 해당 `FederationStatus`가 `ENABLED`인 경우 이벤트 데이터 스토어를 삭제할 수 없습니다.
`eventCategory`가 `ActivityAuditLog`인 이벤트 데이터 저장소를 삭제하려면 먼저 통합의 채널을 삭제해야 합니다. `aws cloudtrail delete-channel` 명령을 사용하여 채널을 삭제할 수 있습니다. 자세한 내용은 [채널을 삭제하여 와의 통합 삭제 AWS CLI](lake-cli-delete-integration.md) 단원을 참조하십시오.
```
aws cloudtrail delete-event-data-store \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
작업이 성공하면 응답하지 않습니다.
# 이벤트 데이터 스토어 수명 주기 관리
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
다음은 이벤트 데이터 스토어의 수명 주기 단계입니다.
+ `CREATED` - 이벤트 데이터 스토어가 생성되었음을 나타내는 단기 상태입니다.
+ `ENABLED` - 이벤트 데이터 스토어가 활성 상태이며 이벤트를 수집하고 있습니다. 쿼리를 실행하고 이벤트 데이터 스토어에 추적 이벤트를 복사할 수 있습니다.
+ `STARTING_INGESTION` - 이벤트 데이터 스토어가 라이브 이벤트 수집을 시작할 것임을 나타내는 단기 상태입니다.
+ `STOPPING_INGESTION` - 이벤트 데이터 스토어가 라이브 이벤트 수집을 중지할 것임을 나타내는 단기 상태입니다.
+ `STOPPED_INGESTION` - 이벤트 데이터 스토어가 라이브 이벤트를 수집하지 않습니다. 이벤트 데이터 스토어에 이미 있는 이벤트에 대해서는 여전히 쿼리를 실행하고 추적 이벤트를 이벤트 데이터 스토어에 복사할 수 있습니다.
+ `PENDING_DELETION` - 이벤트 데이터 스토어가 `ENABLED` 또는 `STOPPED_INGESTION` 상태였고, 삭제되었지만 영구 삭제 전 7일 대기 기간 내에 있습니다. 이벤트 데이터 스토어에서 쿼리를 실행할 수 없으며, 복원을 제외하고 작업을 수행할 수 없습니다.
페더레이션 및 종료 방지가 비활성화된 경우에만 이벤트 데이터 스토어를 삭제할 수 있습니다. **종료 방지는 이벤트 데이터 스토어가 실수로 삭제되는 것을 방지합니다. 기본값으로 이벤트 데이터 스토어에서 종료 보호가 활성화됩니다. [페더레이션](query-federation.md)은 Athena에서 이벤트 데이터 스토어 데이터를 쿼리할 수 있게 하며 기본적으로 비활성화되어 있습니다.
이벤트 데이터 스토어를 삭제한 후에는 영구적으로 삭제되기 전에 7일 동안 `PENDING_DELETION` 상태를 유지합니다. 7일의 대기 기간 중에 이벤트 데이터 스토어를 복원할 수 있습니다. `PENDING_DELETION` 상태에 놓인 경우 쿼리에 이벤트 데이터 스토어를 사용할 수 없으며 복원 작업을 제외한 이벤트 데이터 스토어에서 다른 작업을 수행할 수 없습니다. 삭제를 보류 중인 이벤트 데이터 스토어는 이벤트를 수집하지 않으므로 비용이 발생하지 않습니다. 그러나 삭제 보류 중인 이벤트 데이터 저장소는 하나의 AWS 리전에 존재할 수 있는 이벤트 데이터 저장소의 할당량에 포함됩니다.
**이벤트 데이터 스토어에서 사용할 수 있는 작업**
이벤트 데이터 스토어를 [삭제](query-event-data-store-delete.md) 또는 [복원](query-eds-restore.md)하거나 [추적 이벤트를 복사](cloudtrail-copy-trail-to-lake-eds.md)하거나 이벤트 모으기를 시작 또는 중단하거나 이벤트 데이터 스토어의 종료 방지를 켜거나 끄려면, 이벤트 데이터 스토어의 세부 정보 페이지의 **작업** 메뉴에 있는 명령을 사용합니다.
![\[이벤트 데이터 스토어 작업 메뉴\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/query-eds-actions.png)
**추적 이벤트 복사** 옵션은 CloudTrail 이벤트가 포함된 이벤트 데이터 저장소에서만 사용할 수 있습니다. **수집 시작** 및 **수집 중지** 옵션은 CloudTrail 이벤트(관리 및 데이터 이벤트) 또는 AWS Config 구성 항목이 포함된 이벤트 데이터 스토어에서만 사용할 수 있습니다.
# 추적 이벤트를 이벤트 데이터 스토어에 복사
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
추적 이벤트를 CloudTrail Lake 이벤트 데이터 스토어에 복사하여 추적에 기록된 이벤트의 특정 시점 스냅샷을 생성할 수 있습니다. 추적의 이벤트를 복사해도 추적의 이벤트 로깅 기능에 지장을 주지 않으며 어떤 식으로든 추적은 수정되지 않습니다.
CloudTrail 이벤트를 위해 구성한 기존 이벤트 데이터 스토어에 추적 이벤트를 복사하거나, 새 CloudTrail 이벤트 데이터 스토어를 생성하고, 이벤트 데이터 스토어를 생성할 때, **추적 이벤트 복사** 옵션을 선택할 수 있습니다. 기존 이벤트 데이터 스토어에 추적 이벤트를 복사하는 방법에 대한 자세한 내용은 [CloudTrail 콘솔을 사용하여 기존 이벤트 데이터 저장소에 추적 이벤트 복사](cloudtrail-copy-trail-events-lake.md)를 참조하세요. 새 이벤트 데이터 스토어 생성에 대한 자세한 내용은 [콘솔을 사용하여 CloudTrail 이벤트에 대한 이벤트 데이터 저장소 생성](query-event-data-store-cloudtrail.md)을 참조하세요.
추적 이벤트를 조직 이벤트 데이터 스토어에 복사하는 경우 조직의 관리 계정을 사용해야 합니다. 조직의 위임된 관리자 계정을 사용하여 추적 이벤트를 복사할 수 없습니다.
CloudTrail Lake 이벤트 데이터 스토어에는 요금이 발생합니다. 이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 사용할 [요금 옵션](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. CloudTrail 요금 Lake 비용 관리에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md)를 참조하세요.
CloudTrail Lake 이벤트 데이터 스토어에 추적 이벤트를 복사하면, 요금은 이벤트 데이터 스토어에 수집한 압축되지 않은 데이터의 양을 기준으로 발생합니다.
CloudTrail Lake에 추적 이벤트를 복사하면. CloudTrail은 gzip(압축) 형식으로 저장된 로그의 압축을 푼 다음 이벤트 데이터 스토어에 로그에 포함된 이벤트를 복사합니다. 압축되지 않은 데이터의 크기는 실제 S3 스토리지 크기보다 클 수 있습니다. 압축되지 않은 데이터 크기에 대한 일반적인 추정치를 구하려면, S3 버킷의 로그 크기에 10을 곱하면 됩니다.
복사한 이벤트의 시간 범위를 좁혀 비용을 줄일 수 있습니다. 이벤트 데이터 스토어를 복사한 이벤트를 쿼리하기 위해서만 사용하려는 경우, 이벤트 수집을 해제하여 향후 이벤트에 대한 요금이 발생하지 않도록 할 수 있습니다. 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md) 섹션을 참조하세요.
**시나리오**
다음 표는 추적 이벤트를 복사하는 몇 가지 일반적인 시나리오와 콘솔을 사용하여 각 시나리오를 수행하는 방법을 설명합니다.
| 시나리오 | 콘솔에서 이 작업을 수행하려면 어떻게 해야 하나요? |
| --- | --- |
| 새로운 이벤트를 수집하지 않고 CloudTrail Lake의 과거 추적 이벤트를 분석 및 쿼리 | [새 이벤트 데이터 스토어](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-cloudtrail.html#query-event-data-store-cloudtrail-procedure)를 생성하고, 이벤트 데이터 스토어를 생성할 때 **Copy trail events(추적 이벤트 복사)** 옵션을 선택합니다. 이벤트 데이터 스토어를 만들 때, **수집 이벤트**(본 절차의 15단계)를 선택 취소하여 이벤트 데이터 스토어에 추적에 대한 과거 이벤트만 저장하고, 미래 이벤트는 저장하지 않도록 합니다. |
| CloudTrail Lake 이벤트 데이터 스토어로 기존 추적 교체 | 이벤트 데이터 스토어가 추적과 동일한 커버리지를 갖도록 추적과 동일한 이벤트 선택기를 사용하여 이벤트 데이터 스토어를 생성합니다. 소스 추적과 대상 이벤트 데이터 스토어 간에 이벤트가 중복되지 않도록 하려면 복사된 이벤트의 날짜 범위를 이벤트 데이터 스토어 생성 이전으로 선택합니다. 이벤트 데이터 스토어가 생성된 후에는 추가 요금이 부과되지 않도록 추적 로깅을 비활성화할 수 있습니다. |
**Topics**
+ [
## 추적 이벤트 복사 시의 고려 사항
](#cloudtrail-trail-copy-considerations-lake)
+ [
## 추적 이벤트 복사에 필요한 권한
](#copy-trail-events-permissions)
+ [
# CloudTrail 콘솔을 사용하여 기존 이벤트 데이터 저장소에 추적 이벤트 복사
](cloudtrail-copy-trail-events-lake.md)
+ [
# CloudTrail 콘솔을 사용하여 이벤트 데이터 저장소에 추적 이벤트 복사
](scenario-lake-import.md)
+ [
# CloudTrail 콘솔을 사용하여 이벤트 복사 세부 정보 보기
](copy-trail-details.md)
## 추적 이벤트 복사 시의 고려 사항
추적 이벤트를 복사할 때는 다음 요소를 고려합니다.
+ 추적 이벤트를 복사할 때 CloudTrail은 S3 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) API 작업을 사용하여 소스 S3 버킷에서 추적 이벤트를 검색합니다. S3 아카이브형 스토리지 클래스, 예를 들어 S3 Glacier Flexible Retrieval, S3 Glacier Deep Archive, S3 Outposts, S3 Intelligent-Tiering Deep Archive 티어 등은 `GetObject`를 사용하여 액세스할 수 없습니다. 이러한 아카이브된 스토리지 클래스에 저장된 추적 이벤트를 복사하려면 먼저 S3 `RestoreObject` 작업을 사용하여 복사본을 복원해야 합니다. 아카이브된 객체 복원에 대한 자세한 내용은 *Amazon S3 사용 설명서*의 [아카이브된 객체 복원](https://docs.aws.amazon.com/AmazonS3/latest/userguide/restoring-objects.html) 섹션을 참조하세요.
+ 추적 이벤트를 이벤트 데이터 스토어에 복사하면 CloudTrail은 대상 이벤트 데이터 스토어의 이벤트 유형, 고급 이벤트 선택기 또는의 구성에 관계없이 모든 추적 이벤트를 복사합니다 AWS 리전.
+ 기존 이벤트 데이터 스토어에 추적 이벤트를 복사하기 전에 이벤트 데이터 스토어의 요금 옵션과 보존 기간이 사용 사례에 맞게 적절하게 구성되어 있는지 확인합니다.
+ **요금 옵션:** 요금 옵션에 따라 이벤트 모으기 및 저장 비용이 결정됩니다. 요금 옵션에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [이벤트 데이터 스토어 요금 옵션](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) 섹션을 참조하세요.
+ **보존 기간:** 보존 기간에 따라 이벤트 데이터가 이벤트 데이터 스토어에 보관되는 기간이 결정됩니다. CloudTrail은 이벤트 데이터 스토어의 보존 기간 내에 있는 `eventTime`를 가진 추적 이벤트만 복사합니다. 적절한 보존 기간을 결정하려면 복사하려는 가장 오래된 이벤트(일수)와 이벤트 데이터 스토어에 이벤트를 유지할 일수의 합계를 구합니다(**보존 기간** = *oldest-event-in-days* \$1 *number-days-to-retain*). 예를 들어, 복사 중인 가장 오래된 이벤트가 45일이고 이벤트 데이터 스토어에 이벤트를 추가로 45일 동안 보관하려는 경우 보존 기간을 90일로 설정합니다.
+ 조사를 위해 이벤트 데이터 스토어에 추적 이벤트를 복사하고, 향후 이벤트를 모으지 않으려면 이벤트 데이터 스토어에서 모으기를 중지할 수 있습니다. 이벤트 데이터 스토어를 만들 때, **수집 이벤트**(본 [절차](query-event-data-store-cloudtrail.md#query-event-data-store-cloudtrail-procedure)의 15단계)를 선택 취소하여 이벤트 데이터 스토어에 추적에 대한 과거 이벤트만 저장하고, 미래 이벤트는 저장하지 않도록 합니다.
+ 추적 이벤트를 복사하기 전에 소스 S3 버킷에 연결된 모든 액세스 제어 목록(ACL)을 비활성화하고 대상 이벤트 데이터 스토어의 S3 버킷 정책을 업데이트합니다. S3 버킷 정책 업데이트에 대한 자세한 내용은 [추적 이벤트 복사를 위한 Amazon S3 버킷 정책](cloudtrail-copy-trail-to-lake.md#cloudtrail-copy-trail-events-permissions-s3) 섹션을 참조하세요. ACL 비활성화에 대한 자세한 내용은 [객체 소유권 제어 및 버킷에 대해 ACL 사용 중지](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html)를 참조하세요.
+ CloudTrail은 소스 S3 버킷에 있는 Gzip 압축 로그 파일의 추적 이벤트만 복사합니다. CloudTrail은 압축되지 않은 로그 파일 또는 Gzip 이외의 형식을 사용하여 압축된 로그 파일의 추적 이벤트를 복사하지 않습니다.
+ 소스 추적과 대상 이벤트 데이터 스토어 간에 이벤트가 중복되지 않도록 하려면 복사된 이벤트의 시간 범위를 이벤트 데이터 스토어 생성 이전으로 선택합니다.
+ 기본적으로 CloudTrail은 S3 버킷의 `CloudTrail` 접두사와 접두사에 포함된 CloudTrail 이벤트만 복사하며 `CloudTrail` 다른 AWS 서비스의 접두사는 확인하지 않습니다. 다른 접두사에 포함된 CloudTrail 이벤트를 복사하려면 추적 이벤트를 복사할 때 접두사를 선택해야 합니다.
+ 추적 이벤트를 조직 이벤트 데이터 스토어에 복사하려면 조직의 관리 계정을 사용해야 합니다. 위임된 관리자 계정을 사용하여 트레일 이벤트를 조직 이벤트 데이터 스토어에 복사할 수 없습니다.
## 추적 이벤트 복사에 필요한 권한
추적 이벤트를 복사하기 전에 IAM 역할에 필요한 모든 권한이 있는지 확인합니다. 추적 이벤트를 복사할 기존 IAM 역할을 선택한 경우 IAM 역할 권한을 업데이트하기만 하면 됩니다. 새 IAM 역할을 생성하기로 선택한 경우 CloudTrail은 역할에 필요한 모든 권한을 제공합니다.
소스 S3 버킷에서 데이터 암호화에 KMS 키를 사용하는 경우 KMS 키 정책에서 CloudTrail이 버킷의 데이터를 복호화하도록 허용하는지 확인합니다. 소스 S3 버킷에서 여러 KMS 키를 사용하는 경우 CloudTrail이 버킷의 데이터를 복호화할 수 있도록 각 키의 정책을 업데이트해야 합니다.
**Topics**
+ [
### 추적 이벤트 복사를 위한 IAM 권한
](#copy-trail-events-permissions-iam)
+ [
### 추적 이벤트 복사를 위한 Amazon S3 버킷 정책
](#copy-trail-events-permissions-s3)
+ [
### 소스 S3 버킷의 데이터 해독을 위한 KMS 키 정책
](#copy-trail-events-permissions-kms)
### 추적 이벤트 복사를 위한 IAM 권한
추적 이벤트를 복사할 때 새 IAM 역할을 생성하거나 기존 IAM 역할을 사용할 수 있습니다. 새 IAM 역할을 선택하면 CloudTrail에서 필요한 권한이 있는 IAM 역할을 생성하므로 별도의 조치가 필요하지 않습니다.
기존 역할을 선택하는 경우 IAM 역할의 정책에 따라 CloudTrail이 추적 이벤트를 소스 S3 버킷에서 복사할 수 있는지 확인합니다. 이 섹션에서는 필요한 IAM 역할 권한 및 신뢰 정책의 예제를 제공합니다.
다음 예제에서는 CloudTrail이 추적 이벤트를 소스 S3 버킷에서 복사할 수 있도록 하는 권한 정책을 제공합니다. *amzn-s3-demo-bucket*, *myAccountID*, *region*, *prefix*, *eventDataStoreId*를 구성에 대한 적절한 값으로 바꿉니다. *myAccountID*는 CloudTrail Lake에 사용되는 AWS 계정 ID로, S3 버킷의 AWS 계정 ID와 동일하지 않을 수 있습니다.
*key-region*, *KeyAccount ID* 및 *KeyID*를 소스 S3 버킷 암호화에 사용하는 KMS 키 값으로 대체합니다. 원본 S3 버킷이 암호화에 KMS 키를 사용하지 않는다면 `AWSCloudTrailImportKeyAccess` 문을 생략할 수 있습니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailImportBucketAccess",
"Effect": "Allow",
"Action": ["s3:ListBucket", "s3:GetBucketAcl"],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "myAccountID",
"aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdatastore/eventDataStoreId"
}
}
},
{
"Sid": "AWSCloudTrailImportObjectAccess",
"Effect": "Allow",
"Action": ["s3:GetObject"],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/prefix",
"arn:aws:s3:::amzn-s3-demo-bucket/prefix/*"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "myAccountID",
"aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdatastore/eventDataStoreId"
}
}
},
{
"Sid": "AWSCloudTrailImportKeyAccess",
"Effect": "Allow",
"Action": ["kms:GenerateDataKey","kms:Decrypt"],
"Resource": [
"arn:aws:kms:key-region:keyAccountID:key/keyID"
]
}
]
}
```
다음 예제에서는 CloudTrail이 추적 이벤트를 소스 S3 버킷에서 복사할 수 있는 IAM 역할을 수임하도록 하는 IAM 신뢰 정책을 제공합니다. *myAccountID*, *region*, *eventDataStoreArn*을 구성에 적절한 값으로 바꿉니다. *myAccountID*는 CloudTrail Lake에 사용되는 AWS 계정 ID로, S3 버킷의 AWS 계정 ID와 동일하지 않을 수 있습니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "myAccountID",
"aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdatastore/eventDataStoreId"
}
}
}
]
}
```
### 추적 이벤트 복사를 위한 Amazon S3 버킷 정책
기본적으로 Amazon S3 버킷 및 객체는 프라이빗입니다. 리소스 소유자(버킷을 생성한 AWS 계정)만 버킷과 버킷에 포함된 객체에 액세스할 수 있습니다. 리소스 소유자는 액세스 정책을 작성하여 다른 리소스 및 사용자에게 액세스 권한을 부여할 수 있습니다.
추적 이벤트를 복사하기 전에 CloudTrail이 소스 S3 버킷에서 추적 이벤트를 복사할 수 있도록 S3 버킷 정책을 업데이트해야 합니다.
S3 버킷 정책에 다음 명령문을 추가하여 이러한 권한을 부여할 수 있습니다. *roleArn* 및 *amzn-s3-demo-bucket*을 구성에 대해 적절한 값으로 바꿉니다.
****
```
{
"Sid": "AWSCloudTrailImportBucketAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:GetObject"
],
"Principal": {
"AWS": "roleArn"
},
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
},
```
### 소스 S3 버킷의 데이터 해독을 위한 KMS 키 정책
소스 S3 버킷에서 데이터 암호화에 KMS 키를 사용하는 경우, KMS 키 정책에서 SSE-KMS 암호화가 활성화된 S3 버킷에서 추적 이벤트를 복사하는 데 필요한 `kms:Decrypt` 및 `kms:GenerateDataKey` 권한을 CloudTrail에 제공하는지 확인합니다. 소스 S3 버킷에서 여러 KMS 키를 사용하는 경우, CloudTrail 각 키의 정책을 업데이트해야 합니다. KMS 키 정책을 업데이트하면 CloudTrail에서 소스 S3 버킷의 데이터를 복호화하고, 유효성 검사를 실행하여 이벤트가 CloudTrail 표준을 준수하는지 확인하고, 이벤트를 CloudTrail Lake 이벤트 데이터 스토어에 복사할 수 있습니다.
다음 예제는 CloudTrail이 소스 S3 버킷의 데이터를 복호화할 수 있도록 허용하는 KMS 키 정책을 제공합니다. *roleArn*, *amzn-s3-demo-bucket*, *myAccountID*, *region*, *eventDataStoreId*를 구성에 대한 적절한 값으로 바꿉니다. *myAccountID*는 CloudTrail Lake에 사용되는 AWS 계정 ID로, S3 버킷의 AWS 계정 ID와 동일하지 않을 수 있습니다.
```
{
"Sid": "AWSCloudTrailImportDecrypt",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Principal": {
"AWS": "roleArn"
},
"Resource": "*",
"Condition": {
"StringLike": {
"kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
"StringEquals": {
"aws:SourceAccount": "myAccountID",
"aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdatastore/eventDataStoreId"
}
}
}
```
# CloudTrail 콘솔을 사용하여 기존 이벤트 데이터 저장소에 추적 이벤트 복사
다음 절차를 사용하여 추적 이벤트를 기존 이벤트 데이터 스토어에 복사합니다. 새 이벤트 데이터 스토어 생성 방법에 대한 자세한 내용은 [콘솔을 사용하여 CloudTrail 이벤트에 대한 이벤트 데이터 저장소 생성](query-event-data-store-cloudtrail.md) 섹션을 참조하세요
**참고**
기존 이벤트 데이터 스토어에 추적 이벤트를 복사하기 전에 이벤트 데이터 스토어의 요금 옵션과 보존 기간이 사용 사례에 맞게 적절하게 구성되어 있는지 확인합니다.
**요금 옵션:** 요금 옵션에 따라 이벤트 모으기 및 저장 비용이 결정됩니다. 요금 옵션에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [이벤트 데이터 스토어 요금 옵션](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) 섹션을 참조하세요.
**보존 기간:** 보존 기간에 따라 이벤트 데이터가 이벤트 데이터 스토어에 보관되는 기간이 결정됩니다. CloudTrail은 이벤트 데이터 스토어의 보존 기간 내에 있는 `eventTime`를 가진 추적 이벤트만 복사합니다. 적절한 보존 기간을 결정하려면 복사하려는 가장 오래된 이벤트(일수)와 이벤트 데이터 스토어에 이벤트를 유지할 일수의 합계를 구합니다(**보존 기간** = *oldest-event-in-days* \$1 *number-days-to-retain*). 예를 들어, 복사 중인 가장 오래된 이벤트가 45일이고 이벤트 데이터 스토어에 이벤트를 추가로 45일 동안 보관하려는 경우 보존 기간을 90일로 설정합니다.
**이벤트 데이터 스토어에 추적 이벤트 복사**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창에서 **Lake**의 **Event data stores**(이벤트 데이터 스토어)를 선택합니다.
1. **추적 이벤트 복사**를 선택합니다.
1. **추적 이벤트 복사** 페이지에서 **이벤트 소스**에 복사하려는 추적을 선택합니다. 기본적으로 CloudTrail은 S3 버킷의 `CloudTrail` 접두사와 접두사에 포함된 CloudTrail 이벤트만 복사하며 `CloudTrail` 다른 AWS 서비스의 접두사는 확인하지 않습니다. 다른 접두사에 포함된 CloudTrail 이벤트를 복사하려면 **S3 URI 입력**을 선택한 다음 **S3 검색**를 선택하여 접두사를 찾아보세요. 추적에 대한 소스 S3 버킷에서 데이터 암호화에 KMS 키를 사용하는 경우 KMS 키 정책에서 CloudTrail이 데이터를 복호화하도록 허용하는지 확인합니다. 소스 S3 버킷에서 여러 KMS 키를 사용하는 경우 CloudTrail이 버킷의 데이터를 복호화할 수 있도록 각 키의 정책을 업데이트해야 합니다. KMS 키 정책 업데이트에 대한 자세한 내용은 [소스 S3 버킷의 데이터 해독을 위한 KMS 키 정책](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-kms)를 참조하세요.
S3 버킷 정책은 S3 버킷에서 추적 이벤트를 복사할 수 있는 액세스 권한을 CloudTrail에 부여해야 합니다. S3 버킷 정책 업데이트에 대한 자세한 내용은 [추적 이벤트 복사를 위한 Amazon S3 버킷 정책](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-s3) 섹션을 참조하세요.
1. **이벤트의 시간 범위 지정**에서 이벤트를 복사할 시간 범위를 선택합니다. CloudTrail은 추적 이벤트를 복사하기 전에 접두사와 로그 파일 이름을 확인하여 선택한 시작 날짜와 종료 날짜 사이의 날짜가 이름에 포함되어 있는지 확인합니다. **상대 범위** 또는 **절대 범위**를 선택할 수 있습니다. 소스 추적과 대상 이벤트 데이터 스토어 간에 이벤트가 중복되지 않도록 하려면 이벤트 데이터 스토어 생성 이전의 시간 범위를 선택합니다.
**참고**
CloudTrail은 이벤트 데이터 스토어의 보존 기간 내에 있는 `eventTime`를 가진 추적 이벤트만 복사합니다. 예를 들어 이벤트 데이터 스토어의 보존 기간이 90일인 경우 CloudTrail은 90일보다 오래된 `eventTime`를 가진 추적 이벤트를 복사하지 않습니다.
+ **상대 범위(Relative range)**를 선택하면, 최근 6개월, 1년, 2년, 7년 또는 사용자 지정 범위 동안 로그된 이벤트를 복사하도록 선택할 수 있습니다. CloudTrail은 선택한 기간 내에 기록된 이벤트를 복사합니다.
+ **절대 범위**를 선택하는 경우 특정 시작일과 종료일을 선택할 수 있습니다. CloudTrail은 선택한 시작일과 종료일 사이에 발생한 이벤트를 복사합니다.
1. **전송 위치** 드롭다운 목록에서 대상 이벤트 데이터 스토어를 선택합니다.
1. **권한**에서 다음 IAM 역할 옵션 중 하나를 선택합니다. 기존 IAM 역할을 선택하는 경우 IAM 역할 정책이 필요한 권한을 제공하는지 확인합니다. IAM 역할 권한 업데이트에 대한 자세한 내용은 [추적 이벤트 복사를 위한 IAM 권한](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam) 섹션을 참조하세요.
+ 새 IAM 역할을 생성하려면 **새 역할 생성(권장)**을 선택합니다. **IAM 역할 이름 입력(Enter IAM role name)**에 역할 이름을 입력합니다. CloudTrail은 이 새 역할에 필요한 권한을 자동으로 생성합니다.
+ 목록에 없는 사용자 지정 IAM 역할을 사용하려면 **사용자 지정 IAM 역할 사용**을 선택합니다. **IAM 역할 ARN 입력(Enter IAM role ARN)**에서 IAM ARN을 입력합니다.
+ 드롭다운 목록에서 기존 IAM 역할을 선택합니다.
1. **이벤트 복사**를 선택합니다.
1. 확인하는 메시지가 표시됩니다. 확인 준비가 완료되면 **추적 이벤트를 Lake에 복사(Copy trail events to Lake)**를 선택한 다음 **이벤트 복사(Copy events)**를 선택합니다.
1. **복사 세부 정보** 페이지에서 복사 상태를 확인하고 모든 실패를 검토할 수 있습니다. 추적 이벤트 복사가 완료되면 **복사 상태(Copy status)**가 **완료(Completed)**(오류가 없는 경우) 또는 **실패(Failed)**(오류가 발생한 경우)로 설정됩니다.
**참고**
이벤트 복사 세부 정보 페이지에 표시된 세부 정보는 실시간이 아닙니다. **Prefixes copied**(복사한 접두사) 등의 실제 세부 정보 값은 페이지에 표시된 값보다 높을 수 있습니다. CloudTrail은 이벤트 복사가 진행되는 동안 세부 정보를 점진적으로 업데이트합니다.
1. **복사 상태(Copy status)**가 **실패(Failed)**인 경우 **복사 실패(Copy failures)**에 표시된 오류를 수정한 다음 **복사 재시도(Retry copy)**를 선택합니다. 복사를 재시도하면 CloudTrail은 오류가 발생한 위치에서 복사를 재개합니다.
추적 이벤트 복사의 세부 정보 보기에 대한 자세한 내용은 [CloudTrail 콘솔을 사용하여 이벤트 복사 세부 정보 보기](copy-trail-details.md) 섹션을 참조하세요.
# CloudTrail 콘솔을 사용하여 이벤트 데이터 저장소에 추적 이벤트 복사
이 자습서에서는 기록 분석을 위해 추적 이벤트를 새 CloudTrail Lake 이벤트 데이터 저장소에 복사하는 방법을 보여줍니다. 추적 이벤트 복사에 대한 자세한 내용은 [추적 이벤트를 이벤트 데이터 스토어에 복사](cloudtrail-copy-trail-to-lake-eds.md) 섹션을 참조하세요.
**이벤트 데이터 스토어에 추적 이벤트 복사**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **Event data stores**(이벤트 데이터 스토어)를 선택합니다.
1. **이벤트 데이터 스토어 생성**을 선택합니다.
1. **이벤트 데이터 스토어 구성(Configure event data store)** 페이지의 **일반 세부 정보(General details)**에서 이벤트 데이터 스토어의 이름을 지정합니다 (예: *my-management-events-eds*). 모범 사례로 이벤트 데이터 스토어의 목적을 빠르게 식별할 수 있는 이름을 사용합니다. CloudTrail 이름 지정 요구 사항에 대한 자세한 내용은 [CloudTrail 리소스, S3 버킷 및 KMS 키에 대한 이름 지정 요구 사항](cloudtrail-trail-naming-requirements.md) 섹션을 참조하세요.
1. 이벤트 데이터 스토어에 사용할 **요금 옵션**을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md) 섹션을 참조하세요.
다음과 같은 옵션을 사용할 수 있습니다.
+ **1년 연장 가능 보존 요금** - 매월 25TB 미만의 이벤트 데이터를 모을 것으로 예상되고 최대 10년의 유연한 보존 기간을 원하는 경우 일반적으로 권장됩니다. 처음 366일(기본 보존 기간) 동안은 추가 요금 없이 모으기 요금에 스토리지가 포함됩니다. 366일 후에는 사용량에 따른 요금으로 연장 보존이 가능합니다. 이는 기본 옵션입니다.
+ **기본 보존 기간:** 366일
+ **최대 보존 기간:** 3,653일
+ **7년 보존 요금** - 매월 25TB 이상의 이벤트 데이터를 모을 것으로 예상되고 최대 7년의 보존 기간이 필요한 경우 권장됩니다. 추가 비용 없이 모으기 요금에 보존이 포함됩니다.
+ **기본 보존 기간:** 2,557일
+ **최대 보존 기간:** 2,557일
1. 이벤트 데이터 스토어의 보존 기간을 지정합니다. 보존 기간은 **1년 연장 가능 보존 요금** 옵션의 경우 7일\$13,653일(약 10년), **7년 보존 요금** 옵션의 경우 7일\$12,557일(약 7년)일 수 있습니다.
CloudTrail Lake는 이벤트의 `eventTime`가 지정된 보존 기간 내에 있는지 확인하여 이벤트 보존 여부를 결정합니다. 예를 들어 보존 기간을 90일로 지정했을 때, CloudTrail은 `eventTime`이 90일이 넘으면 이벤트를 제거합니다.
**참고**
CloudTrail은 `eventTime`이 지정된 보존 기간보다 오래되었다면, 이벤트를 복사하지 않습니다.
적절한 보존 기간을 결정하려면 복사하려는 가장 오래된 이벤트(일수)와 이벤트 데이터 스토어에 이벤트를 유지할 일수의 합계를 구합니다(**보존 기간** = *oldest-event-in-days* \$1 *number-days-to-retain*). 예를 들어, 복사 중인 가장 오래된 이벤트가 45일이고 이벤트 데이터 스토어에 이벤트를 추가로 45일 동안 보관하려는 경우 보존 기간을 90일로 설정합니다.
1. (선택 사항) **암호화(Encryption)**에서 자체 KMS 키를 사용하여 이벤트 데이터 스토어를 암호화할지 선택합니다. 기본적으로 이벤트 데이터 스토어의 모든 이벤트는가 AWS 소유하고 관리하는 KMS 키를 사용하여 CloudTrail에 의해 암호화됩니다.
자체 KMS 키를 사용하여 암호화를 활성화하려면, **내 AWS KMS key키 사용**을 선택합니다. **새로 만들기**를 선택하여를 자동으로 AWS KMS key 생성하거나 **기존**을 선택하여 기존 KMS 키를 사용합니다. **Enter KMS alias**(KMS 별칭 입력)에 `alias/`*MyAliasName* 형식으로 별칭을 지정합니다. 자체 KMS 키를 사용하려면 CloudTrail 로그를 암호화하고 복호화할 수 있도록 KMS 키 정책을 편집해야 합니다. 자세한 내용은 [CloudTrail에 대한 AWS KMS 키 정책 구성](create-kms-key-policy-for-cloudtrail.md) 단원을 참조하십시오. CloudTrail은 AWS KMS 다중 리전 키도 지원합니다. 다중 리전 키에 대한 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [다중 리전 키 사용](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) 단원을 참조하세요.
자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.
**참고**
조직 이벤트 데이터 스토어에 대한 AWS Key Management Service 암호화를 활성화하려면 관리 계정에 기존 KMS 키를 사용해야 합니다.
1. (선택 사항) Amazon Athena를 사용하여 이벤트 데이터에 대해 쿼리하려면 **Lake 쿼리 페더레이션**에서 **활성화**를 선택합니다. 페더레이션을 통해 AWS Glue [데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)의 이벤트 데이터 스토어와 연결된 메타데이터를 확인하고 Athena에서 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고 읽고 처리하는 방법을 알 수 있습니다. 자세한 내용은 [이벤트 데이터 스토어 페더레이션](query-federation.md) 단원을 참조하십시오.
Lake 쿼리 페더레이션을 활성화하려면 **활성화**를 선택하고 다음을 수행합니다.
1. 새 역할을 생성할지 아니면 기존 IAM 역할을 사용할지 선택합니다. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html)은 이 역할을 사용하여 페더레이션 이벤트 데이터 스토어에 대한 권한을 관리합니다. CloudTrail 콘솔을 사용하여 새 역할을 생성하면 CloudTrail은 필요한 권한이 있는 역할을 자동으로 생성합니다. 기존 역할을 선택하는 경우 해당 역할에 대한 정책이 [필요한 최소 권한](query-federation.md#query-federation-permissions-role)을 제공하는지 확인합니다.
1. 새 역할을 생성하는 경우 역할을 식별할 수 있는 이름을 입력합니다.
1. 기존 역할을 사용하는 경우 사용하려는 역할을 선택합니다. 계정에 역할이 있어야 합니다.
1. (선택 사항) **리소스 정책 활성화**를 선택하여 이 이벤트 데이터 스토어에 리소스 기반 정책을 추가합니다. 리소스 기반 정책을 사용하면 이벤트 데이터 스토어에서 작업을 수행할 수 있는 위탁자를 제어할 수 있습니다. 예를 들어 다른 계정의 루트 사용자가 이 이벤트 데이터 스토어를 쿼리하고 쿼리 결과를 볼 수 있도록 하는 리소스 기반 정책을 추가할 수 있습니다. 예시 정책은 [이벤트 데이터 스토어의 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds) 섹션을 참조하세요.
리소스 기반 정책에는 하나 이상의 문이 포함됩니다. 정책의 각 스테이트먼트는 이벤트 데이터 스토어에 대한 액세스가 허용되거나 거부된 [위탁자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)와 위탁자가 이벤트 데이터 스토어 리소스에서 수행할 수 있는 작업을 정의합니다.
이벤트 데이터 스토어의 리소스 기반 정책에서 지원되는 작업은 다음과 같습니다.
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
[조직 이벤트 데이터 스토어](cloudtrail-lake-organizations.md)의 경우 CloudTrail은 위임된 관리자 계정이 조직 이벤트 데이터 스토어에서 수행할 수 있는 작업을 나열하는 [기본 리소스 기반 정책](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)을 생성합니다. 이 정책의 권한은 AWS Organizations의 위임된 관리자 권한에서 파생됩니다. 이 정책은 조직의 이벤트 데이터 스토어 또는 조직이 변경되면(예: CloudTrail의 위임된 관리자 계정이 등록 또는 제거됨) 자동으로 업데이트됩니다.
1. (선택 사항)**Tags(태그)**에서 이벤트 데이터 스토어에 하나 이상의 사용자 정의 태그(키-값 쌍)를 추가합니다. 태그를 사용하면 CloudTrail 이벤트 데이터 스토어를 식별하는 데 도움을 받을 수 있습니다. 예를 들어 **stage** 이름과 **prod** 값을 사용하여 태그를 연결할 수 있습니다. 태그를 사용하여 이벤트 데이터 스토어에 대한 액세스를 제한할 수도 있습니다. 또한 태그를 사용하여 이벤트 데이터 스토어의 쿼리 및 수집 비용을 추적할 수도 있습니다.
비용을 추적하는 태그 사용 방법에 대한 자세한 내용은 [CloudTrail Lake 이벤트 데이터 스토어에 대한 사용자 정의 비용 할당 태그 생성](cloudtrail-budgets-tools.md#cloudtrail-lake-manage-costs-tags) 섹션을 참조하세요. IAM 정책을 사용하여 태그를 기반으로 이벤트 데이터 스토어에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 [예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags)를 참조하세요. 에서 태그를 사용하는 방법에 대한 자세한 내용은 리소스 태그 지정 *사용 설명서의 AWS 리소스 태그 지정*을 AWS참조하세요. [AWS](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)
1. **Next(다음)**를 선택하여 이벤트 데이터 스토어를 구성합니다.
1. **Choose events**(이벤트 선택) 페이지에서 **Event type**(이벤트 유형)에 대한 기본 선택 항목을 그대로 선택합니다.
![\[이벤트 데이터 스토어의 이벤트 유형 선택\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/lake-event-type.png)
1. **CloudTrail events**(CloudTrail 이벤트)는 **Management events**(관리 이벤트)의 선택을 유지하고, **Copy trail events**(추적 이벤트 복사)를 선택합니다. 이 예시에서는 이벤트 데이터 스토어를 사용하여 과거 이벤트를 분석하기만 할 뿐, 미래 이벤트는 수집하지 않기 때문에 이벤트 유형에 대해서는 걱정하지 않습니다.
기존 추적을 대체할 이벤트 데이터 스토어를 생성한다면, 이벤트 데이터 스토어의 이벤트 커버리지가 동일하도록 추적과 동일한 이벤트 선택기를 선택합니다.
![\[이벤트 데이터 스토어의 CloudTrail 이벤트 유형 선택\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/cloudtrail-events-copy-trail.png)
1. 스토어인 경우, 조직 이벤트 데이터 **Enable for all accounts in my organization**(내 조직의 모든 계정에 대해 활성화)을 선택합니다. AWS Organizations에 계정이 구성되어 있어야 이 옵션을 변경할 수 있습니다.
**참고**
조직 이벤트 데이터 스토어를 생성할 때, 조직 이벤트 데이터 스토어에 추적 이벤트를 복사할 수 있는 관리 계정만이 추적 이벤트를 관리할 수 있기 때문에 조직의 관리 계정으로 로그인해야 합니다.
1. **Additional settings**(추가 설정)은 **Ingest events**(이벤트 수집)을 선택 해제합니다. 이 예시에서는 복사된 이벤트를 쿼리하는 데만 관심이 있으므로, 이벤트 데이터 스토어에서 향후 이벤트를 수집하기를 원하지 않기 때문입니다. 기본적으로 이벤트 데이터 스토어는 모든에 대한 이벤트를 수집하고 이벤트가 생성될 때 이벤트 수집을 AWS 리전 시작합니다.
1. **Management events**(관리 이벤트)는 기본 설정을 그대로 유지합니다.
1. **Copy trail events**(추적 이벤트 복사) 영역에서 다음 단계를 완료합니다.
1. 복사하려는 트레일을 선택합니다. 이 예시에서는 *management-events*라는 이름의 추적을 선택합니다.
기본적으로 CloudTrail은 S3 버킷의 `CloudTrail` 접두사와 접두사에 포함된 CloudTrail 이벤트만 복사하며 `CloudTrail` 다른 AWS 서비스의 접두사는 확인하지 않습니다. 다른 접두사에 포함된 CloudTrail 이벤트를 복사하려면 **S3 URI 입력**을 선택한 다음 **S3 검색**를 선택하여 접두사를 찾아보세요. 추적에 대한 소스 S3 버킷에서 데이터 암호화에 KMS 키를 사용하는 경우 KMS 키 정책에서 CloudTrail이 데이터를 복호화하도록 허용하는지 확인합니다. 소스 S3 버킷에서 여러 KMS 키를 사용하는 경우 CloudTrail이 버킷의 데이터를 복호화할 수 있도록 각 키의 정책을 업데이트해야 합니다. KMS 키 정책 업데이트에 대한 자세한 내용은 [소스 S3 버킷의 데이터 해독을 위한 KMS 키 정책](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-kms)를 참조하세요.
1. 이벤트를 복사할 시간 범위를 선택합니다. CloudTrail은 추적 이벤트를 복사하기 전에 접두사와 로그 파일 이름을 확인하여 선택한 시작 날짜와 종료 날짜 사이의 날짜가 이름에 포함되어 있는지 확인합니다. **상대 범위** 또는 **절대 범위**를 선택할 수 있습니다. 소스 추적과 대상 이벤트 데이터 스토어 간에 이벤트가 중복되지 않도록 하려면 이벤트 데이터 스토어 생성 이전의 시간 범위를 선택합니다.
+ **상대 범위(Relative range)**를 선택하면, 최근 6개월, 1년, 2년, 7년 또는 사용자 지정 범위 동안 기록된 이벤트를 복사하도록 선택할 수 있습니다. CloudTrail은 선택한 기간 내에 기록된 이벤트를 복사합니다.
+ **절대 범위**를 선택하는 경우 특정 시작일과 종료일을 선택할 수 있습니다. CloudTrail은 선택한 시작일과 종료일 사이에 발생한 이벤트를 복사합니다.
이 예제에서는 **절대 범위**를 선택하고, 5월 한 달 전체를 선택합니다.
![\[이벤트 데이터 스토어의 절대 범위 선택\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/absolute-range-example.png)
1. **권한**에서 다음 IAM 역할 옵션 중 하나를 선택합니다. 기존 IAM 역할을 선택하는 경우 IAM 역할 정책이 필요한 권한을 제공하는지 확인합니다. IAM 역할 권한 업데이트에 대한 자세한 내용은 [추적 이벤트 복사를 위한 IAM 권한](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam) 섹션을 참조하세요.
+ 새 IAM 역할을 생성하려면 **새 역할 생성(권장)**을 선택합니다. **IAM 역할 이름 입력(Enter IAM role name)**에 역할 이름을 입력합니다. CloudTrail은 이 새 역할에 필요한 권한을 자동으로 생성합니다.
+ 목록에 없는 사용자 지정 IAM 역할을 사용하려면 **사용자 지정 IAM 역할 사용**을 선택합니다. **IAM 역할 ARN 입력(Enter IAM role ARN)**에서 IAM ARN을 입력합니다.
+ 드롭다운 목록에서 기존 IAM 역할을 선택합니다.
이 예시에서는 **새 역할 만들기(Create a new role)(권장)**를 선택하,고 이름 **copy-trail-events**을 입력합니다.
![\[CloudTrail 이벤트 복사 옵션 선택\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/copy-trail-events.png)
1. **Next**(다음)를 선택하여 선택 사항을 검토합니다.
1. **검토 및 생성(Review and create)** 페이지에서 선택 사항을 검토합니다. **편집(Edit)**을 선택하여 단원을 변경합니다. 이벤트 데이터 스토어를 생성할 준비가 되었으면 **이벤트 데이터 스토어 생성(Create event data store)**을 선택합니다.
1. 새 이벤트 데이터 스토어는 **Event data stores(Event data stores)** 페이지의 **이벤트 데이터 스토어(Event data stores)** 테이블에서 볼 수 있습니다.
![\[이벤트 데이터 스토어 보기\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/event-data-stores-table.png)
1. 이벤트 데이터 스토어 이름을 선택하여 상세 정보 페이지를 확인합니다. 상세 정보 페이지는 이벤트 데이터 스토어의 세부 정보와 복사 상태를 보여 줍니다. 이벤트 복사 상태는 **이벤트 복사 상태(Event copy status)** 영역에 표시됩니다.
추적 이벤트 복사가 완료되면 **복사 상태(Copy status)**가 **완료(Completed)**(오류가 없는 경우) 또는 **실패(Failed)**(오류가 발생한 경우)로 설정됩니다.
![\[세부 정보 페이지에서 이벤트 복사 상태 확인\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/event-copy-status.png)
1. 복사본에 대한 세부 정보를 보려면, **이벤트 로그 S3 위치(Event log S3 location)** 열에서 복사본 이름을 선택하거나, **작업(Actions)** 메뉴에서 **세부 정보 보기(View details)** 옵션을 선택합니다. 추적 이벤트 복사의 세부 정보 보기에 대한 자세한 내용은 [CloudTrail 콘솔을 사용하여 이벤트 복사 세부 정보 보기](copy-trail-details.md) 섹션을 참조하세요.
![\[이벤트 복사 세부 정보 확인\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/copy-details.png)
1. **복사 실패(Copy failures)** 영역에는 추적 이벤트를 복사할 때 발생한 모든 오류가 표시됩니다. **복사 상태(Copy status)**가 **실패(Failed)**인 경우 **복사 실패(Copy failures)**에 표시된 오류를 수정한 다음 **복사 재시도(Retry copy)**를 선택합니다. 복사를 재시도하면 CloudTrail은 오류가 발생한 위치에서 복사를 재개합니다.
# CloudTrail 콘솔을 사용하여 이벤트 복사 세부 정보 보기
추적 이벤트 복사가 시작된 후에는 복사 상태 및 복사 실패에 대한 정보를 비롯한 이벤트 복사 세부 정보를 볼 수 있습니다.
**참고**
이벤트 복사 세부 정보 페이지에 표시된 세부 정보는 실시간이 아닙니다. **Prefixes copied**(복사한 접두사) 등의 실제 세부 정보 값은 페이지에 표시된 값보다 높을 수 있습니다. CloudTrail은 이벤트 복사가 진행되는 동안 세부 정보를 점진적으로 업데이트합니다.
**이벤트 복사 세부 정보 페이지에 액세스하는 방법**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창에서 **Lake**의 **Event data stores**(이벤트 데이터 스토어)를 선택합니다.
1. 이벤트 데이터 스토어를 선택합니다.
1. **Event copy status**(이벤트 복사 상태) 섹션에서 이벤트 사본을 선택합니다.
## 복사 세부 정보
**복사 세부 정보(Copy details)**에서 추적 이벤트 복사에 대한 다음 세부 정보를 볼 수 있습니다.
+ **이벤트 로그 S3 위치(Event log S3 location)** - 추적 이벤트 로그 파일이 포함된 소스 S3 버킷의 위치.
+ **복사 ID(Copy ID)** - 복사본의 ID.
+ **복사된 접두사(Prefixes copied)** - 복사한 S3 접두사 수를 나타냅니다. 추적 이벤트 복사 중에 CloudTrail은 접두사에 저장된 추적 로그 파일의 이벤트를 복사합니다.
+ **복사 상태(Copy status)** - 복사본의 상태입니다.
+ **초기화(Initializing)** - 추적 이벤트 복사가 시작될 때 초기 상태가 표시됩니다.
+ **진행 중(In progress)** - 추적 이벤트 복사가 진행 중임을 나타냅니다.
**참고**
다른 추적 이벤트 복사가 **진행 중**인 경우 추적 이벤트를 복사할 수 없습니다. 추적 이벤트 복사를 중지하려면 **복사 중지(Stop copy)**를 선택합니다.
+ **중지(Stopped)** - **복사 중지(Stop copy)** 작업이 발생했음을 나타냅니다. 추적 이벤트 복사를 재시도하려면 **복사 재시도(Retry copy)**를 선택합니다.
+ **실패(Failed)** - 복사가 완료되었지만 일부 추적 이벤트를 복사하지 못했습니다. **복사 실패(Copy failures)**의 오류 메시지를 검토합니다. 추적 이벤트 복사를 재시도하려면 **복사 재시도(Retry copy)**를 선택합니다. 복사를 재시도하면 CloudTrail은 오류가 발생한 위치에서 복사를 재개합니다.
+ **완료(Completed)** - 복사가 오류 없이 완료되었습니다. 이벤트 데이터 스토어에서 복사한 추적 이벤트를 쿼리할 수 있습니다.
+ **생성 시간(Created time)** - 추적 이벤트 복사가 시작된 시간을 나타냅니다.
+ **종료 시간(Finish time)** - 추적 이벤트 복사가 완료 또는 중지된 시간을 나타냅니다.
## 복사 실패
**복사 실패(Copy failures)**에서 각 복사 실패에 대한 오류 위치, 오류 메시지 및 오류 유형을 검토할 수 있습니다. 실패의 일반적인 원인으로는 S3 접두사에 압축되지 않은 파일이 포함되어 있거나 CloudTrail 이외의 서비스에서 전송한 파일이 포함되어 있는 경우 등이 있습니다. 오류의 또 다른 가능한 원인은 액세스 문제와 관련이 있습니다. 예를 들어 이벤트 데이터 스토어의 S3 버킷에서 이벤트를 가져올 CloudTrail 액세스 권한을 부여하지 않은 경우 `AccessDenied` 오류를 받습니다.
각 복사 실패에 대해 다음 오류 정보를 검토합니다.
+ **오류 위치(Error location)** - 오류가 발생한 S3 버킷의 위치를 나타냅니다. 소스 S3 버킷에 압축되지 않은 파일이 포함되어 있기 때문에 오류가 발생한 경우 **오류 위치(Error location)**에 해당 파일을 찾을 수 있는 접두사가 포함됩니다.
+ **오류 메시지(Error message)** - 오류가 발생한 이유에 대한 설명을 제공합니다.
+ **오류 유형(Error type)** - 오류 유형을 제공합니다. 예를 들어 **오류 유형** `AccessDenied`는 권한 문제로 인해 오류가 발생했음을 나타냅니다. 추적 이벤트를 복사하는 데 필요한 권한에 대한 자세한 내용은 [추적 이벤트 복사에 필요한 권한](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions) 섹션을 참조하세요.
모든 오류를 해결한 후 **복사 재시도(Retry copy)**를 선택합니다. 복사를 재시도하면 CloudTrail은 오류가 발생한 위치에서 복사를 재개합니다.
# 이벤트 데이터 스토어 페더레이션
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
이벤트 데이터 스토어를 연동하면 [데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)의 이벤트 데이터 스토어와 연결된 메타데이터를 AWS Glue 보고, 데이터 카탈로그를에 등록하고 AWS Lake Formation, Amazon Athena를 사용하여 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고 읽고 처리하는 방법을 알 수 있습니다.
CloudTrail 콘솔 AWS CLI또는 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_EnableFederation.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_EnableFederation.html) API 작업을 사용하여 페더레이션을 활성화할 수 있습니다. Lake 쿼리 페더레이션을 활성화하면 CloudTrail은 AWS Glue 데이터 카탈로그에 라는 관리형 데이터베이스`aws:cloudtrail`(데이터베이스가 아직 없는 경우)와 관리형 페더레이션 테이블을 생성합니다. 이벤트 데이터 스토어 ID는 테이블 이름에 사용됩니다. CloudTrail은 데이터 카탈로그의 페더레이션 리소스에 대한 세분화된 액세스 제어를 허용하는 서비스[AWS Lake Formation](query-federation-lake-formation.md)인에 페더레이션 역할 ARN 및 이벤트 AWS Glue 데이터 스토어를 등록합니다.
Lake 쿼리 페더레이션 활성화하려면 새 IAM 역할을 생성하거나 기존 역할을 선택해야 합니다. Lake Formation은 이 역할을 사용하여 페더레이션 이벤트 데이터 스토어의 권한을 관리합니다. CloudTrail 콘솔을 사용하여 새 역할을 생성하면 CloudTrail에서 자동으로 역할에 필요한 권한을 생성합니다. 기존 역할을 선택하는 경우 해당 역할이 [최소 권한](#query-federation-permissions-role)을 제공하는지 확인합니다.
CloudTrail 콘솔 AWS CLI또는 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_DisableFederation.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_DisableFederation.html) API 작업을 사용하여 페더레이션을 비활성화할 수 있습니다. 페더레이션을 비활성화하면 CloudTrail은 AWS Glue AWS Lake Formation및 Amazon Athena와의 통합을 비활성화합니다. Lake 쿼리 페더레이션을 비활성화한 후에는 더 이상 Athena에서 이벤트 데이터를 쿼리할 수 없습니다. 페더레이션을 비활성화해도 CloudTrail Lake 데이터는 삭제되지 않으며 CloudTrail Lake에서 쿼리를 계속 실행할 수 있습니다.
CloudTrail Lake 이벤트 데이터 스토어 페더레이션에는 CloudTrail 요금이 부과되지 않습니다. Amazon Athena에서 쿼리를 실행하는 데는 비용이 듭니다. Athena 요금에 대한 자세한 내용은 [Amazon Athena 요금](https://aws.amazon.com/athena/pricing/)을 참조하세요.
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/cOeZaJt_k-w?si=4LsEgq23NNHSJAAg)
**Topics**
+ [
## 고려 사항
](#query-federation-considerations)
+ [
## 페더레이션에 필요한 권한
](#query-federation-permissions)
+ [
# Lake 쿼리 페더레이션 활성화
](query-enable-federation.md)
+ [
# Lake 쿼리 페더레이션 비활성화
](query-disable-federation.md)
+ [
# 를 사용하여 CloudTrail Lake 페더레이션 리소스 관리 AWS Lake Formation
](query-federation-lake-formation.md)
## 고려 사항
이벤트 데이터 스토어를 페더레이션할 때는 다음 사항을 고려하세요.
+ CloudTrail Lake 이벤트 데이터 스토어 페더레이션에는 CloudTrail 요금이 부과되지 않습니다. Amazon Athena에서 쿼리를 실행하는 데는 비용이 듭니다. Athena 요금에 대한 자세한 내용은 [Amazon Athena 요금](https://aws.amazon.com/athena/pricing/)을 참조하세요.
+ Lake Formation은 페더레이션 리소스에 대한 권한을 관리하는 데 사용됩니다. 페더레이션 역할을 삭제하거나 Lake Formation에서 리소스에 대한 권한을 취소하거나 Athena에서 쿼리 AWS Glue를 실행할 수 없습니다. Lake Formation 작업에 대한 자세한 내용은 [를 사용하여 CloudTrail Lake 페더레이션 리소스 관리 AWS Lake Formation](query-federation-lake-formation.md) 섹션을 참조하세요.
+ Amazon Athena를 사용하여 Lake Formation에 등록된 데이터를 쿼리하는 사용자는 `lakeformation:GetDataAccess` 작업을 허용하는 IAM 권한 정책이 있어야 합니다. AWS 관리형 정책:는이 작업을 [https://docs.aws.amazon.com/athena/latest/ug/managed-policies.html#amazonathenafullaccess-managed-policy](https://docs.aws.amazon.com/athena/latest/ug/managed-policies.html#amazonathenafullaccess-managed-policy) 허용합니다. 인라인 정책을 사용하는 경우 이 작업을 허용하도록 권한 정책을 업데이트하세요. 자세한 내용은 [Lake Formation 및 Athena 사용자 권한 관리](https://docs.aws.amazon.com/athena/latest/ug/lf-athena-user-permissions.html)를 참조하세요.
+ Athena에서 페더레이션 테이블에 대한 뷰를 생성하려면 `aws:cloudtrail` 이외의 대상 데이터베이스가 필요합니다. 이는 `aws:cloudtrail` 데이터베이스가 CloudTrail에서 관리되기 때문입니다.
+ Amazon Quick에서 데이터 세트를 생성하려면 **사용자 지정 SQL 사용** 옵션을 선택해야 합니다. 자세한 내용은 [Amazon Athena 데이터를 사용하여 데이터 세트 생성](https://docs.aws.amazon.com/quicksight/latest/user/create-a-data-set-athena.html)을 참조하십시오.
+ 페더레이션이 활성화된 경우 이벤트 데이터 스토어를 삭제할 수 없습니다. 페더레이션 이벤트 데이터 스토어를 삭제하려면 먼저 페더레이션 및 [종료 방지 기능](query-eds-termination-protection.md)이 활성화된 경우 [비활성화](query-disable-federation.md)해야 합니다.
+ 조직 이벤트 데이터 스토어에는 다음 고려 사항이 적용됩니다.
+ 위임된 단일 관리자 계정 또는 관리 계정만 조직 이벤트 데이터 스토어에서 페더레이션을 활성화할 수 있습니다. 위임된 다른 관리자 계정은 [Lake Formation 데이터 공유 기능](https://docs.aws.amazon.com/lake-formation/latest/dg/data-sharing-overivew.html)을 사용하여 계속해서 정보를 쿼리하고 공유할 수 있습니다.
+ 위임된 관리자 계정이나 조직의 관리 계정은 페더레이션을 비활성화할 수 있습니다.
## 페더레이션에 필요한 권한
이벤트 데이터 스토어를 페더레이션하기 전에 페더레이션 역할과 페더레이션 활성화 및 비활성화에 필요한 모든 권한이 있는지 확인합니다. 페더레이션을 활성화하기 위해 기존 IAM 역할을 선택한 경우 페더레이션 역할 권한을 업데이트하기만 하면 됩니다. CloudTrail 콘솔을 사용하여 새 IAM 역할을 생성하기로 선택한 경우 CloudTrail은 역할에 필요한 모든 권한을 제공합니다.
**Topics**
+ [
### 이벤트 데이터 스토어 페더레이션을 위한 IAM 권한
](#query-federation-permissions-role)
+ [
### 페더레이션 활성화에 필요한 권한
](#query-federation-permissions-enable)
+ [
### 페더레이션 비활성화에 필요한 권한
](#query-federation-permissions-disable)
### 이벤트 데이터 스토어 페더레이션을 위한 IAM 권한
페더레이션을 활성화하면 새 IAM 역할을 생성하거나 기존 IAM 역할을 사용할 수 있는 옵션이 제공됩니다. 새 IAM 역할을 선택하면 CloudTrail에서 필요한 권한이 있는 IAM 역할을 생성하므로 별도의 조치가 필요하지 않습니다.
기존 역할을 선택하는 경우 IAM 역할의 정책이 페더레이션 활성화에 필요한 권한을 제공하는지 확인합니다. 이 섹션에서는 필요한 IAM 역할 권한 및 신뢰 정책의 예제를 제공합니다.
다음 예제에서는 페더레이션 역할에 대한 권한 정책을 제공합니다. 첫 번째 문에는 `Resource`에 대한 이벤트 데이터 스토어의 전체 ARN을 제공합니다.
이 정책의 두 번째 문은 Lake Formation이 KMS 키로 암호화된 이벤트 데이터 스토어에 대한 데이터를 복호화하도록 허용합니다. *key-region*, *account-id* 및 *key-id*를 KMS 키의 값으로 바꿉니다. 이벤트 데이터 스토어가 암호화에 KMS 키를 사용하지 않는 경우 이 문을 생략할 수 있습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFederationEDSDataAccess",
"Effect": "Allow",
"Action": "cloudtrail:GetEventDataStoreData",
"Resource": "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
},
{
"Sid": "LakeFederationKMSDecryptAccess",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:111111111111:key/key-id"
}
]
}
```
------
다음 예제에서는 AWS Lake Formation 이 IAM 역할을 수임하여 페더레이션 이벤트 데이터 스토어에 대한 권한을 관리할 수 있도록 허용하는 IAM 신뢰 정책을 제공합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### 페더레이션 활성화에 필요한 권한
다음 예제 정책은 이벤트 데이터 스토어에서 페더레이션을 활성화하는 데 필요한 최소 권한을 제공합니다. 이 정책은 CloudTrail이 이벤트 데이터 스토어에서 페더레이션을 활성화하고, AWS Glue 데이터 카탈로그에서 페더레이션 리소스를 AWS Glue 생성하고, 리소스 등록을 관리할 AWS Lake Formation 수 있도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudTrailEnableFederation",
"Effect": "Allow",
"Action": "cloudtrail:EnableFederation",
"Resource": "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
},
{
"Sid": "FederationRoleAccess",
"Effect": "Allow",
"Action": [
"iam:PassRole",
"iam:GetRole"
],
"Resource": "arn:aws:iam::111122223333:role/federation-role-name"
},
{
"Sid": "GlueResourceCreation",
"Effect": "Allow",
"Action": [
"glue:CreateDatabase",
"glue:CreateTable",
"glue:PassConnection"
],
"Resource": [
"arn:aws:glue:us-east-1:111111111111:catalog",
"arn:aws:glue:us-east-1:111111111111:database/aws:cloudtrail",
"arn:aws:glue:us-east-1:111111111111:table/aws:cloudtrail/eds-id",
"arn:aws:glue:us-east-1:111111111111:connection/aws:cloudtrail"
]
},
{
"Sid": "LakeFormationRegistration",
"Effect": "Allow",
"Action": [
"lakeformation:RegisterResource",
"lakeformation:DeregisterResource"
],
"Resource": "arn:aws:lakeformation:region:111111111111:catalog:111111111111"
}
]
}
```
------
### 페더레이션 비활성화에 필요한 권한
다음 예제 정책은 이벤트 데이터 스토어에서 페더레이션을 비활성화하는 데 필요한 최소 리소스를 제공합니다. 이 정책은 CloudTrail이 이벤트 데이터 스토어에서 페더레이션을 비활성화 AWS Glue 하고, AWS Glue 데이터 카탈로그에서 관리형 페더레이션 테이블을 삭제하고, Lake Formation이 페더레이션 리소스를 등록 취소하도록 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CloudTrailDisableFederation",
"Effect": "Allow",
"Action": "cloudtrail:DisableFederation",
"Resource": "arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
},
{
"Sid": "GlueTableDeletion",
"Effect": "Allow",
"Action": "glue:DeleteTable",
"Resource": [
"arn:aws:glue:us-east-1:111111111111:catalog",
"arn:aws:glue:us-east-1:111111111111:database/aws:cloudtrail",
"arn:aws:glue:us-east-1:111111111111:table/aws:cloudtrail/eds-id"
]
},
{
"Sid": "LakeFormationDeregistration",
"Effect": "Allow",
"Action": "lakeformation:DeregisterResource",
"Resource": "arn:aws:lakeformation:us-east-1:111111111111:catalog:111111111111"
}
]
}
```
------
# Lake 쿼리 페더레이션 활성화
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
CloudTrail 콘솔 AWS CLI또는 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_EnableFederation.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_EnableFederation.html) API 작업을 사용하여 Lake 쿼리 페더레이션을 활성화할 수 있습니다. Lake 쿼리 페더레이션을 활성화하면 CloudTrail은 AWS Glue 데이터 카탈로그에 라는 관리형 데이터베이스`aws:cloudtrail`(데이터베이스가 아직 없는 경우)와 관리형 페더레이션 테이블을 생성합니다. 이벤트 데이터 스토어 ID는 테이블 이름에 사용됩니다. CloudTrail은 데이터 카탈로그의 페더레이션 리소스에 대한 세분화된 액세스 제어를 허용하는 서비스[AWS Lake Formation](query-federation-lake-formation.md)인에 페더레이션 역할 ARN 및 이벤트 AWS Glue 데이터 스토어를 등록합니다.
이 섹션에서는 CloudTrail 콘솔 및를 사용하여 페더레이션을 활성화하는 방법을 설명합니다 AWS CLI.
------
#### [ CloudTrail console ]
다음 절차는 기존 이벤트 데이터 스토어에서 Lake 쿼리 페더레이션을 활성화하는 방법을 보여줍니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **이벤트 데이터 스토어(Event data stores)**를 선택합니다.
1. 업데이트할 이벤트 데이터 스토어를 선택합니다. 이벤트 데이터 스토어의 세부 정보 페이지가 열립니다.
1. **Lake 쿼리 페더레이션**에서 **편집**을 선택하고 **활성화**를 선택합니다.
1. 새 IAM 역할을 생성할지 아니면 기존 역할을 사용할지 선택합니다. 새 역할을 생성하면 CloudTrail은 필요한 권한이 있는 역할을 자동으로 생성합니다. 기존 역할을 사용하는 경우 역할의 정책이 [필요한 최소 권한](query-federation.md#query-federation-permissions-role)을 제공하는지 확인합니다.
1. 새 IAM 역할을 생성하는 경우 역할 이름을 입력합니다.
1. 기존 IAM 역할을 선택하는 경우 사용하려는 역할을 선택합니다. 계정에 역할이 있어야 합니다.
1. **변경 사항 저장**을 선택합니다. **페더레이션 상태**가 `Enabled`로 바뀝니다.
------
#### [ AWS CLI ]
페더레이션을 활성화하려면 필수 **--event-data-store** 및 **--role** 파라미터를 제공하여 **aws cloudtrail enable-federation** 명령을 실행합니다. **--event-data-store**에 대해 이벤트 데이터 스토어 ARN 또는 ARN의 ID 접미사를 입력합니다. **--role**에 대해 페더레이션 역할에 대한 ARN을 제공합니다. 역할은 계정에 존재하고 [필요한 최소 권한](query-federation.md#query-federation-permissions-role)을 제공해야 합니다.
```
aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
--role arn:aws:iam::account-id:role/federation-role-name
```
이 예제에서는 위임된 관리자가 관리 계정에 있는 이벤트 데이터 스토어의 ARN과 위임된 관리자 계정에 있는 페더레이션 역할의 ARN을 지정하여 조직 이벤트 데이터 스토어에서 페더레이션을 활성화하는 방법을 보여줍니다.
```
aws cloudtrail enable-federation
--event-data-store arn:aws:cloudtrail:region:management-account-id:eventdatastore/eds-id
--role arn:aws:iam::delegated-administrator-account-id:role/federation-role-name
```
------
# Lake 쿼리 페더레이션 비활성화
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
CloudTrail 콘솔 AWS CLI또는 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_DisableFederation.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_DisableFederation.html) API 작업을 사용하여 페더레이션을 비활성화할 수 있습니다. 페더레이션을 비활성화하면 CloudTrail은 AWS Glue AWS Lake Formation및 Amazon Athena와의 통합을 비활성화합니다. Lake 쿼리 페더레이션을 비활성화한 후에는 더 이상 Athena에서 이벤트 데이터를 쿼리할 수 없습니다. 페더레이션을 비활성화해도 CloudTrail Lake 데이터는 삭제되지 않으며 CloudTrail Lake에서 쿼리를 계속 실행할 수 있습니다.
이 섹션에서는 CloudTrail 콘솔 및를 사용하여 페더레이션을 비활성화하는 방법을 설명합니다 AWS CLI.
------
#### [ CloudTrail console ]
다음 절차는 기존 이벤트 데이터 스토어에서 Lake 쿼리 페더레이션을 비활성화하는 방법을 보여줍니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **이벤트 데이터 스토어(Event data stores)**를 선택합니다.
1. 업데이트할 이벤트 데이터 스토어를 선택합니다. 이벤트 데이터 스토어의 세부 정보 페이지가 열립니다.
1. **Lake 쿼리 페더레이션**에서 **편집**을 선택하고 **비활성화**를 선택합니다.
1. **변경 사항 저장**을 선택합니다. **페더레이션 상태**가 `Disabled`로 바뀝니다.
------
#### [ AWS CLI ]
이벤트 데이터 스토어에서 페더레이션을 비활성화하려면 **aws cloudtrail disable-federation** 명령을 실행합니다. 이벤트 데이터 스토어는 `--event-data-store`에 의해 지정되고, 이벤트 데이터 스토어 ARN 또는 ARN의 ID 접미사를 수락합니다.
```
aws cloudtrail disable-federation
--event-data-store arn:aws:cloudtrail:region:account-id:eventdatastore/eds-id
```
**참고**
조직 이벤트 데이터 스토어인 경우 관리 계정의 계정 ID를 사용합니다.
------
# 를 사용하여 CloudTrail Lake 페더레이션 리소스 관리 AWS Lake Formation
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
이벤트 데이터 스토어를 페더레이션하면 CloudTrail은 데이터 카탈로그의 페더레이션 리소스에 대한 세분화된 액세스 제어를 허용하는 서비스 AWS Lake Formation인에 페더레이션 역할 ARN 및 이벤트 AWS Glue 데이터 스토어를 등록합니다. 이 섹션에서는 Lake Formation을 사용하여 CloudTrail Lake 페더레이션 리소스를 관리하는 방법을 설명합니다.
페더레이션을 활성화하면 CloudTrail은 AWS Glue 데이터 카탈로그에 다음 리소스를 생성합니다.
+ **관리형 데이터베이스** - CloudTrail이 계정당 `aws:cloudtrail`이라는 이름의 데이터베이스를 1개 생성합니다. CloudTrail이 데이터베이스를 관리합니다. 에서 데이터베이스를 삭제하거나 수정할 수 없습니다 AWS Glue.
+ **관리형 페더레이션 테이블** - CloudTrail이 각 페더레이션 이벤트 데이터 스토어에 대해 1개의 테이블을 생성하고 테이블 이름으로 이벤트 데이터 스토어 ID를 사용합니다. CloudTrail이 테이블을 관리합니다. 의 테이블은 삭제하거나 수정할 수 없습니다 AWS Glue. 테이블을 삭제하려면 이벤트 데이터 스토어에서 [페더레이션을 비활성화](query-disable-federation.md)해야 합니다.
## 페더레이션 리소스에 대한 액세스 제어
두 가지 권한 방법 중 하나를 사용하여 관리형 데이터베이스 및 테이블에 대한 액세스를 제어할 수 있습니다.
+ **IAM 전용 액세스 제어** - IAM 전용 액세스 제어를 사용하면 필요한 IAM 권한을 가진 계정의 모든 사용자에게 모든 데이터 카탈로그 리소스에 대한 액세스 권한이 부여됩니다. 에서 IAM을 AWS Glue 사용하는 방법에 대한 자세한 내용은에서 [IAM을 AWS Glue 사용하는 방법을](https://docs.aws.amazon.com/glue/latest/dg/security_iam_service-with-iam.html) 참조하세요.
Lake Formation 콘솔에서 이 방법은 **IAM 액세스 제어만 사용**으로 표시됩니다.
**참고**
데이터 필터를 생성하고 다른 Lake Formation 기능을 사용하려면 Lake Formation 액세스 제어를 사용해야 합니다.
+ **Lake Formation 액세스 제어** - 이 방법은 다음과 같은 이점을 제공합니다.
+ 데이터 필터를 생성하여 열 수준, 행 수준, 셀 수준의 보안을 구현할 수 있습니다.[https://docs.aws.amazon.com/lake-formation/latest/dg/data-filters-about.html](https://docs.aws.amazon.com/lake-formation/latest/dg/data-filters-about.html) 자세한 내용은 *AWS Lake Formation 개발자 안내서*의 [Securing data lakes with row-level access control](https://docs.aws.amazon.com/lake-formation/latest/dg/cbac-tutorial.html)을 참조하세요.
+ Lake Formation 관리자와 데이터베이스 및 리소스 작성자만 데이터베이스와 테이블을 볼 수 있습니다. 다른 사용자가 이러한 리소스에 액세스해야 하는 경우 [Lake Formation 권한을 사용하여 액세스 권한을 명시적으로 부여](https://docs.aws.amazon.com/lake-formation/latest/dg/granting-catalog-permissions.html)해야 합니다.
액세스 제어에 대한 자세한 내용은 [세분화된 액세스 제어 방법](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-fine-grained.html)을 참조하세요.
## 페더레이션 리소스의 권한 방법 결정
페더레이션을 처음 활성화하면 CloudTrail이 Lake Formation 데이터 레이크 설정을 사용하여 관리형 데이터베이스와 관리형 페더레이션 테이블을 생성합니다.
CloudTrail이 페더레이션을 활성화한 후에는 해당 리소스에 대한 권한을 확인하여 관리형 데이터베이스와 관리형 페더레이션 테이블에 어떤 권한 방법을 사용하고 있는지 확인할 수 있습니다. 리소스에 대해 `IAM_ALLOWED_PRINCIPALS `에 `ALL`(*Super*) 할당 설정이 있는 경우 리소스는 IAM 권한으로만 관리됩니다. 설정이 누락된 경우 리소스는 Lake Formation 권한으로 관리됩니다. Lake Formation 권한에 대한 자세한 내용은 [Lake Formation 권한 참조](https://docs.aws.amazon.com/lake-formation/latest/dg/lf-permissions-reference.html)에서 확인할 수 있습니다.
관리형 데이터베이스와 관리형 페더레이션 테이블의 권한 방법은 다를 수 있습니다. 예를 들어, 데이터베이스와 테이블의 값을 확인하면 다음과 같은 내용을 볼 수 있습니다.
+ 데이터베이스의 경우 권한에 `IAM_ALLOWED_PRINCIPALS`에 `ALL`(*Super*)을 할당하는 값이 있으며, 이는 데이터베이스에 대해 IAM 전용 액세스 제어를 사용하고 있음을 나타냅니다.
+ 테이블의 경우 `IAM_ALLOWED_PRINCIPALS`에 `ALL`(*Super*)을 할당하는 값이 없으며, 이는 Lake Formation 권한에 따른 액세스 제어를 나타냅니다.
Lake Formation의 페더레이션 리소스에 대해 `IAM_ALLOWED_PRINCIPALS `에 `ALL`(*Super*) 할당 권한을 추가하거나 제거하여 언제든지 액세스 방법을 전환할 수 있습니다.
## Lake Formation을 사용하여 크로스 계정 공유
이 섹션에서는 Lake Formation을 사용하여 계정 간에 관리형 데이터베이스와 관리형 페더레이션 테이블을 공유하는 방법을 설명합니다.
다음 단계를 수행하여 계정 간에 관리형 데이터베이스를 공유할 수 있습니다.
1. [크로스 계정 데이터 공유 버전](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html)을 버전 4로 업데이트합니다.
1. Lake Formation 액세스 제어로 전환하려면 데이터베이스에서 `IAM_ALLOWED_PRINCIPALS`에 `Super` 할당 권한(있는 경우)을 제거합니다.
1. 데이터베이스의 외부 계정에 `Describe` 권한을 부여합니다.
1. 데이터 카탈로그 리소스가와 공유되고 계정이 공유 계정 AWS 계정 과 동일한 AWS 조직에 있지 않은 경우 AWS Resource Access Manager (AWS RAM)의 리소스 공유 초대를 수락합니다. 자세한 내용은 [AWS RAM에서 리소스 공유 초대 수락을 참조하세요](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html).
이 단계를 완료한 후에는 외부 계정에서 데이터베이스를 볼 수 있어야 합니다. 기본적으로 데이터베이스를 공유해도 데이터베이스의 어떤 테이블에도 액세스할 수 없습니다.
다음 단계를 수행하여 모든 관리형 페더레이션 테이블 또는 개별 관리형 페더레이션 테이블을 외부 계정과 공유할 수 있습니다.
1. [크로스 계정 데이터 공유 버전](https://docs.aws.amazon.com/lake-formation/latest/dg/optimize-ram.html)을 버전 4로 업데이트합니다.
1. Lake Formation 액세스 제어로 전환하려면 테이블에서 `IAM_ALLOWED_PRINCIPALS`에 `Super` 할당 권한(있는 경우)을 제거합니다.
1. (선택 사항) 열 또는 행을 제한하는 [데이터 필터](https://docs.aws.amazon.com/lake-formation/latest/dg/data-filters-about.html)를 지정합니다.
1. 테이블의 외부 계정에 `Select` 권한을 부여합니다.
1. 데이터 카탈로그 리소스가와 공유되고 계정이 공유 계정 AWS 계정 과 동일한 AWS 조직에 있지 않은 경우 AWS Resource Access Manager (AWS RAM)의 리소스 공유 초대를 수락합니다. 조직의 경우 RAM 설정을 사용하여 자동 수락할 수 있습니다. 자세한 내용은 [AWS RAM에서 리소스 공유 초대 수락을 참조하세요](https://docs.aws.amazon.com/lake-formation/latest/dg/accepting-ram-invite.html).
1. 이제 테이블이 보입니다. 이 테이블에서 Amazon Athena 쿼리를 활성화하려면 공유 테이블을 사용하여 [이 계정에 리소스 링크](https://docs.aws.amazon.com/lake-formation/latest/dg/create-resource-link-table.html)를 생성합니다.
소유 계정은 Lake Formation에서 외부 계정에 대한 권한을 제거하거나 CloudTrail에서 [페더레이션을 비활성화](query-disable-federation.md)하여 언제든지 공유를 취소할 수 있습니다.
# 조직 이벤트 데이터 저장소 이해
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
에서 조직을 생성한 경우 AWS Organizations해당 조직의 모든에 대한 모든 이벤트를 로깅하는 조직 이벤트 *데이터 스토어* AWS 계정 를 생성할 수 있습니다. 조직 이벤트 데이터 스토어는 모든 AWS 리전또는 현재 리전에 적용될 수 있습니다. 조직 이벤트 데이터 스토어를 사용하여 AWS외부에서 이벤트를 수집할 수 없습니다.
관리 계정 또는 위임된 관리자 계정을 사용하여 [조직 이벤트 데이터 저장소를 생성](#cloudtrail-lake-organizations-create-eds)할 수 있습니다. 위임된 관리자가 조직 이벤트 데이터 스토어를 생성하면 조직의 관리 계정에 조직 이벤트 데이터 스토어가 존재하게 됩니다. 이 접근 방식은 관리 계정이 모든 조직 리소스의 소유권을 유지하기 때문입니다.
조직의 관리 계정은 [계정 수준 이벤트 데이터 저장소를 업데이트](#cloudtrail-lake-organizations-update-eds)하여 조직에 적용할 수 있습니다.
조직 이벤트 데이터 스토어를 조직에 적용하도록 지정하면 해당 조직의 모든 멤버 계정에 자동으로 적용됩니다. 멤버 계정은 조직 이벤트 데이터 스토어를 볼 수 없으며, 수정하거나 삭제할 수도 없습니다. 기본적으로 멤버 계정은 조직 이벤트 데이터 스토어에 액세스할 수 있는 권한이 없으며, 조직 이벤트 데이터 스토어에서 쿼리를 실행할 수도 없습니다.
다음 표에는 AWS Organizations 조직 내 관리 계정 및 위임된 관리자 계정의 기능이 나와 있습니다.
| 기능 | 관리 계정 | 위임된 관리자 계정 |
| --- | --- | --- |
| 위임된 관리자 계정 등록 또는 제거 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/success_icon.svg) 예 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/negative_icon.svg) 아니요 |
| 이벤트 또는 AWS Config 구성 항목에 대한 조직 AWS CloudTrail 이벤트 데이터 스토어를 생성합니다. | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/success_icon.svg) 예 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/success_icon.svg) 예 |
| 조직 이벤트 데이터 스토어에서 Insights 사용 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/success_icon.svg) 예 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/negative_icon.svg) 아니요 |
| 조직 이벤트 데이터 스토어 업데이트 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/success_icon.svg) 예 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/success_icon.svg) 예1 |
| 기관 이벤트 데이터 스토어에서 이벤트 수집 시작 및 중단 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/success_icon.svg) 예 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/success_icon.svg) 예 |
| 조직 이벤트 데이터 스토어에서 Lake 쿼리 페더레이션 활성화2 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/success_icon.svg) 예 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/success_icon.svg) 예 |
| 조직 이벤트 데이터 스토어에서 Lake 쿼리 페더레이션 비활성화 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/success_icon.svg) 예 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/success_icon.svg) 예 |
| 조직 이벤트 데이터 스토어 삭제 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/success_icon.svg) 예 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/success_icon.svg) 예 |
| 이벤트 데이터 스토어에 추적 이벤트 복사 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/success_icon.svg) 예 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/negative_icon.svg) 아니요 |
| 조직 이벤트 데이터 스토어에서 쿼리 실행 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/success_icon.svg) 예 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/success_icon.svg) 예 |
| 조직 이벤트 데이터 스토어의 관리형 대시보드 보기 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/success_icon.svg) 예 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/negative_icon.svg) 아니요 |
| 조직 이벤트 데이터 스토어에 대한 Highlights 대시보드를 활성화합니다. | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/success_icon.svg) 예 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/negative_icon.svg) 아니요 |
| 조직 이벤트 데이터 스토어를 쿼리하는 사용자 지정 대시보드에 대한 위젯을 생성합니다. | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/success_icon.svg) 예 | ![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/negative_icon.svg) 아니요 |
1오직 관리 계정만 조직 이벤트 데이터 저장소를 계정 수준 이벤트 데이터 저장소로 변환하거나, 계정 수준 이벤트 데이터 저장소를 조직 이벤트 데이터 저장소로 변환할 수 있습니다. 조직 이벤트 데이터 스토어는 관리 계정에만 존재하므로 위임된 관리자는 이러한 작업을 수행할 수 없습니다. 조직 이벤트 데이터 저장소를 계정 수준 이벤트 데이터 저장소로 변환하면, 관리 계정만 이벤트 데이터 저장소에 액세스할 수 있습니다. 마찬가지로 관리 계정의 계정 수준 이벤트 데이터 저장소만 조직 이벤트 데이터 저장소로 변환할 수 있습니다.
2위임된 단일 관리자 계정 또는 관리 계정만 조직 이벤트 데이터 스토어에서 페더레이션을 활성화할 수 있습니다. 위임된 다른 관리자 계정은 [Lake Formation 데이터 공유 기능](https://docs.aws.amazon.com/lake-formation/latest/dg/data-sharing-overivew.html)을 사용하여 정보를 쿼리하고 공유할 수 있습니다. 위임된 관리자 계정과 조직의 관리 계정은 페더레이션을 비활성화할 수 있습니다.
## 조직 이벤트 데이터 저장소 업데이트
조직의 관리 계정 또는 위임된 관리자 계정은 조직 이벤트 데이터 스토어를 생성하여 CloudTrail 이벤트(관리 이벤트, 데이터 이벤트) 또는 AWS Config 구성 항목을 수집할 수 있습니다.
**참고**
조직의 관리 계정만 추적 이벤트를 이벤트 데이터 저장소로 복사할 수 있습니다.
------
#### [ CloudTrail console ]
**콘솔을 사용하여 조직 이벤트 데이터 저장소를 생성하는 방법**
1. [CloudTrail 이벤트에 대한 이벤트 데이터 저장소 생성](query-event-data-store-cloudtrail.md#query-event-data-store-cloudtrail-procedure) 절차의 단계를 수행하여 CloudTrail 관리 또는 데이터 이벤트에 대한 조직 이벤트 데이터 저장소를 생성합니다.
**또는**
[AWS Config 구성 항목에 대한 이벤트 데이터 스토어 생성](query-event-data-store-config.md#create-config-event-data-store) 절차의 단계에 따라 구성 항목에 대한 AWS Config 조직 이벤트 데이터 스토어를 생성합니다.
1. **이벤트 선택** 페이지에서 **내 조직의 모든 계정에 대해 활성화**를 선택합니다.
------
#### [ AWS CLI ]
조직 이벤트 데이터 저장소를 생성하려면 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html) 명령을 실행하고 `--organization-enabled` 옵션을 포함합니다.
다음 예제 AWS CLI `create-event-data-store` 명령은 모든 관리 이벤트를 수집하는 조직 이벤트 데이터 스토어를 생성합니다. CloudTrail은 기본적으로 관리 이벤트를 로깅하므로 이벤트 데이터 저장소가 모든 관리 이벤트를 로깅하고 데이터 이벤트를 수집하지 않는 경우 고급 이벤트 선택기를 지정할 필요가 없습니다.
```
aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled
```
다음은 응답의 예입니다.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
"Name": "org-management-eds",
"Status": "CREATED",
"AdvancedEventSelectors": [
{
"Name": "Default management events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"Management"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": true,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 366,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
"UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}
```
다음 예제 AWS CLI `create-event-data-store` 명령은 AWS Config 구성 항목을 `config-items-org-eds` 수집하는 라는 조직 이벤트 데이터 스토어를 생성합니다. 구성 항목을 수집하려면 고급 이벤트 선택기에서 `eventCategory` 필드 같음 `ConfigurationItem`을 지정합니다.
```
aws cloudtrail create-event-data-store --name config-items-org-eds \
--organization-enabled \
--advanced-event-selectors '[
{
"Name": "Select AWS Config configuration items",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
]
}
]'
```
------
## 조직에 계정 수준 이벤트 데이터 저장소 적용
조직의 관리 계정은 계정 수준 이벤트 데이터 저장소를 변환하여 조직에 적용할 수 있습니다.
------
#### [ CloudTrail console ]
**콘솔을 사용하여 계정 수준 이벤트 데이터 저장소를 업데이트하는 방법**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **이벤트 데이터 스토어(Event data stores)**를 선택합니다.
1. 업데이트할 이벤트 데이터 스토어를 선택합니다. 그러면 이벤트 데이터 스토어의 세부 정보 페이지가 열립니다.
1. [**일반 세부 정보(General details)**]에서 [**편집(Edit)**]을 선택합니다.
1. **내 조직의 모든 계정에 대해 활성화**를 선택합니다.
1. **변경 사항 저장**을 선택합니다.
이벤트 데이터 저장소 업데이트에 대한 자세한 내용은 [콘솔을 사요하여 이벤트 데이터 저장소 업데이트](query-event-data-store-update.md) 섹션을 참조하세요.
------
#### [ AWS CLI ]
계정 수준 이벤트 데이터 저장소를 업데이트하여 조직에 적용하려면 [update-event-data-store](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html) 명령을 실행하고 `--organization-enabled` 옵션을 포함합니다.
```
aws cloudtrail update-event-data-store --region us-east-1 \
--organization-enabled \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```
------
## 위임된 관리자를 위한 기본 리소스 정책
CloudTrail은 위임된 관리자 계정이 조직 이벤트 데이터 스토어에서 수행할 수 있는 작업을 나열하는 [조직 이벤트 데이터 스토어](#cloudtrail-lake-organizations)에 대한 `DelegatedAdminResourcePolicy` 리소스 정책을 자동으로 생성합니다. `DelegatedAdminResourcePolicy`의 권한은 AWS Organizations의 위임된 관리자 권한에서 파생됩니다.
`DelegatedAdminResourcePolicy`의 목적은 위임된 관리자 계정이 조직을 대신하여 조직 이벤트 데이터 스토어를 관리할 수 있고 리소스 기반 정책이 위탁자가 조직 이벤트 데이터 스토어에서 작업을 수행하도록 허용하거나 거부하는 조직 이벤트 데이터 스토어에 연결될 때 조직 이벤트 데이터 스토어에 대한 액세스를 의도하지 않게 거부하지 않도록 하는 것입니다.
CloudTrail은 조직 이벤트 데이터 스토어에 제공된 리소스 기반 정책과 함께 `DelegatedAdminResourcePolicy`를 평가합니다. 위임된 관리자 계정은 제공된 리소스 기반 정책에 위임된 관리자 계정이 위임된 관리자 계정이 수행할 수 있는 조직 이벤트 데이터 스토어에서 작업을 수행하지 못하도록 명시적으로 거부한 문이 포함된 경우에만 액세스가 거부됩니다.
이 `DelegatedAdminResourcePolicy` 정책은 다음과 같은 경우에 자동으로 업데이트됩니다.
+ 관리 계정은 조직 이벤트 데이터 스토어를 계정 수준 이벤트 데이터 스토어로 변환하거나, 계정 수준 이벤트 데이터 스토어를 조직 이벤트 데이터 스토어로 변환할 수 있습니다.
+ 조직 변경 사항이 있습니다. 예를 들어 관리 계정은 CloudTrail 위임 관리자 계정을 등록하거나 제거합니다.
CloudTrail 콘솔의 위임된 관리자 리소스 정책 섹션에서 또는 명령을 실행하고 조직 이벤트 데이터 스토어의 ARN을 AWS CLI `get-resource-policy` 전달하여 up-to-date 정책을 볼 수 있습니다. ****
다음 예제에서는 조직 이벤트 데이터 스토어에서 `get-resource-policy` 명령을 실행합니다.
```
aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207
```
이 명령의 출력에는 리소스 기반 정책과 위임된 관리자 계정에 대해 생성된 `DelegatedAdminResourcePolicy` 정책이 표시됩니다.
## 추가 리소스
+ [조직 위임된 관리자](cloudtrail-delegated-administrator.md)
+ [CloudTrail 위임된 관리자 추가](cloudtrail-add-delegated-administrator.md)
+ [CloudTrail 위임된 관리자 제거](cloudtrail-remove-delegated-administrator.md)
# 외부의 이벤트 소스와 통합 생성 AWS
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
CloudTrail을 사용하면 온프레미스 또는 클라우드에서 호스팅되는 사내 또는 SaaS 애플리케이션, 가상 머신 또는 컨테이너와 같은 하이브리드 환경의 모든 소스에서 사용자 활동 데이터를 로깅 및 저장할 수 있습니다. 여러 로그 집계기와 보고 도구를 유지 관리하지 않고도 이 데이터를 저장하고, 액세스하고, 분석하고, 문제를 해결하고, 조치를 취할 수 있습니다.
비AWS 소스의 활동 이벤트는 *채널을* 사용하여 CloudTrail로 작업하는 외부 파트너 또는 자체 소스에서 CloudTrail Lake로 이벤트를 가져오는 방식으로 작동합니다. 채널을 생성할 때 채널 소스에서 도착하는 이벤트를 저장할 이벤트 데이터 스토어를 하나 이상 선택합니다. 대상 이벤트 데이터 스토어가 `eventCategory="ActivityAuditLog"` 이벤트를 로깅하도록 설정된 경우 필요에 따라 채널의 대상 이벤트 데이터 스토어를 변경할 수 있습니다. 외부 파트너의 이벤트에 대한 채널을 생성할 때는 파트너 또는 소스 애플리케이션에 채널 ARN을 제공합니다. 채널에 연결된 리소스 정책을 사용하면 소스가 채널을 통해 이벤트를 전송할 수 있습니다. 채널에 리소스 정책이 없는 경우 채널 소유자만 채널에서 `PutAuditEvents` API를 호출할 수 있습니다.
CloudTrail은 Okta 및 LaunchDarkly와 같은 많은 이벤트 소스 제공업체와 파트너 관계를 맺고 있습니다. 외부의 이벤트 소스와 통합을 생성할 때 이러한 파트너 중 하나를 이벤트 소스로 선택하거나 **내 사용자 지정 통합**을 선택하여 자체 소스의 이벤트를 CloudTrail에 통합할 AWS수 있습니다. 소스당 최대 하나의 채널을 사용할 수 있습니다.
통합에는 직접과 솔루션, 두 가지 유형이 있습니다. 직접 통합을 통해 파트너는 `PutAuditEvents` API를 호출하여 AWS 이벤트를 계정의 이벤트 데이터 스토어로 전송합니다. 솔루션 통합을 사용하면 애플리케이션이 AWS 계정에서 실행되고 애플리케이션은 `PutAuditEvents` API를 호출하여 AWS 계정의 이벤트 데이터 스토어로 이벤트를 전송합니다.
**Integrations**(통합) 페이지에서 **Available sources**(사용 가능한 소스) 탭을 선택하여 파트너의 **Integration type**(통합 유형)을 볼 수 있습니다.
![\[파트너 통합 유형\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/partner-integration-type.png)
시작하려면 CloudTrail 콘솔을 사용하는 파트너 또는 기타 애플리케이션 소스의 이벤트를 로깅하는 통합을 생성합니다.
**Topics**
+ [
# 콘솔을 사용하여 CloudTrail 파트너와의 통합 생성
](query-event-data-store-integration-partner.md)
+ [
# 콘솔을 사용하여 사용자 지정 통합 생성
](query-event-data-store-integration-custom.md)
+ [
# 와의 CloudTrail Lake 통합 생성, 업데이트 및 관리 AWS CLI
](lake-integrations-cli.md)
+ [
## 통합 파트너에 대한 추가 정보
](#cloudtrail-lake-partner-information)
+ [
# CloudTrail Lake 통합 이벤트 스키마
](query-integration-event-schema.md)
# 콘솔을 사용하여 CloudTrail 파트너와의 통합 생성
외부에서 이벤트 소스와의 통합을 생성할 때 이러한 파트너 중 하나를 이벤트 소스로 선택할 AWS수 있습니다. CloudTrail에서 파트너 애플리케이션과의 통합을 생성할 때 파트너는 CloudTrail에 이벤트를 전송하기 위해 이 워크플로에서 생성한 채널의 Amazon 리소스 이름(ARN)이 필요합니다. 통합을 생성한 후에는 파트너의 지침에 따라 파트너에게 필요한 채널 ARN을 제공하여 통합 구성을 완료합니다. 파트너가 통합 채널에서 `PutAuditEvents`를 호출하면 통합에서 파트너 이벤트를 CloudTrail로 수집하기 시작합니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **Integrations**(통합)를 선택합니다.
1. **Add integration**(통합 추가) 페이지에서 채널 이름을 입력합니다. 이름은 3\$1128자까지 지정할 수 있습니다. 이름에는 문자, 숫자, 마침표, 밑줄 및 대시만 사용할 수 있습니다.
1. 이벤트를 가져올 파트너 애플리케이션 소스를 선택합니다. 온프레미스 또는 클라우드에서 호스팅되는 자체 애플리케이션의 이벤트와 통합하려면 **My custom integration**(내 사용자 지정 통합)을 선택합니다.
1. **Event delivery location**(이벤트 전달 위치)에서 기존 이벤트 데이터 스토어에 동일한 활동 이벤트를 로깅하거나 새 이벤트 데이터 스토어를 생성합니다.
새 이벤트 데이터 스토어를 생성하려는 경우 이벤트 데이터 스토어의 이름을 입력하고, 요금 옵션을 선택하고, 보존 기간을 일 단위로 지정합니다. 이벤트 데이터 스토어는 지정된 일수 동안 이벤트 데이터를 유지합니다.
하나 이상의 기존 이벤트 데이터 스토어에 활동 이벤트를 로깅하도록 선택한 경우 목록에서 이벤트 데이터 스토어를 선택합니다. 이벤트 데이터 스토어에는 활동 이벤트만 포함될 수 있습니다. 콘솔의 이벤트 유형은 **Events from integrations**(통합 이벤트)여야 합니다. API에 `eventCategory` 값은 `ActivityAuditLog`여야 합니다.
1. **Resource policy**(리소스 정책)에서 통합 채널의 리소스 정책을 구성합니다. 리소스 정책은 지정된 보안 주체가 리소스에 대해 수행할 수 있는 작업 및 관련 조건을 제어하는 JSON 정책 문서입니다. 리소스 정책에서 보안 주체로 정의된 계정은 `PutAuditEvents` API를 호출하여 채널에 이벤트를 전달할 수 있습니다. 리소스 소유자는 IAM 정책에서 `cloudtrail-data:PutAuditEvents` 작업을 허용하는 경우 리소스에 묵시적으로 액세스할 수 있습니다.
정책에 필요한 정보는 통합 유형에 따라 결정됩니다. 방향 통합의 경우 CloudTrail은 파트너의 AWS 계정 IDs를 자동으로 추가하고 파트너가 제공한 고유한 외부 ID를 입력해야 합니다. 솔루션 통합의 경우 하나 이상의 AWS 계정 ID를 보안 주체로 지정해야 하며 선택적으로 외부 ID를 입력하여 혼동된 대리자를 방지할 수 있습니다.
**참고**
채널에 대한 리소스 정책을 생성하지 않으면 채널 소유자만 채널에서 `PutAuditEvents` API를 호출할 수 있습니다.
1. 직접 통합의 경우 파트너가 제공한 외부 ID를 입력합니다. 통합 파트너는 통합에서 혼동된 대리자를 방지하기 위해 계정 ID 또는 임의로 생성된 문자열과 같은 고유한 외부 ID를 제공합니다. 파트너는 고유한 외부 ID를 생성하고 제공해야 합니다.
**How to find this?**(찾는 방법)를 선택하면 외부 ID를 찾는 방법을 설명하는 파트너 설명서를 볼 수 있습니다.
![\[외부 ID에 대한 파트너 설명서\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/integration-external-id.png)
**참고**
리소스 정책에 외부 ID가 포함된 경우 `PutAuditEvents` API에 대한 모든 호출에 외부 ID가 포함되어야 합니다. 하지만 정책에서 외부 ID를 정의하지 않는 경우에도 파트너는 여전히 `PutAuditEvents` API를 호출하고 `externalId` 파라미터를 지정할 수 있습니다.
1. 솔루션 통합의 경우 **계정 추가 AWS **를 선택하여 정책에 보안 주체로 추가할 AWS 계정 ID를 지정합니다.
1. (선택 사항) **Tags**(태그) 영역에서는 최대 50개의 태그 키와 값 쌍을 추가하여 이벤트 데이터 스토어 및 채널에 대한 액세스를 식별, 정렬 및 제어할 수 있습니다. IAM 정책을 사용하여 태그를 기반으로 이벤트 데이터 스토어에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 [예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags) 단원을 참조하세요. 에서 태그를 사용하는 방법에 대한 자세한 내용은의 [AWS 리소스 태그 지정](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)을 AWS참조하세요*AWS 일반 참조*.
1. 새 통합을 생성할 준비가 되면 **Add integration**(통합 추가)을 선택합니다. 검토 페이지는 없습니다. CloudTrail에서 통합을 생성하지만 파트너 애플리케이션에 채널의 Amazon 리소스 이름(ARN)을 제공해야 합니다. 파트너 애플리케이션에 채널 ARN을 제공하는 것에 관한 지침은 파트너 설명서 웹 사이트에서 확인할 수 있습니다. 자세한 내용을 보려면 **Integrations**(통합) 페이지의 **Available sources**(사용 가능한 소스) 탭에서 파트너에 대한 **Learn more**(자세히 알아보기) 링크를 선택하여 AWS Marketplace에서 파트너 페이지를 여세요.
통합 설정을 완료하려면 파트너 또는 소스 애플리케이션에 채널 ARN을 제공합니다. 통합 유형에 따라 사용자, 파트너 또는 애플리케이션이 `PutAuditEvents` API를 실행하여 AWS 계정의 이벤트 데이터 스토어에 활동 이벤트를 전달합니다. 활동 이벤트가 전달된 이후 CloudTrail Lake를 사용하여 애플리케이션에서 로깅된 데이터를 검색, 쿼리 및 분석할 수 있습니다. 이벤트 데이터에는 CloudTrail 이벤트 페이로드와 일치하는 필드(예: `eventVersion`, `eventSource` 및 `userIdentity`)가 포함됩니다.
# 콘솔을 사용하여 사용자 지정 통합 생성
CloudTrail을 사용하면 온프레미스 또는 클라우드에서 호스팅되는 사내 또는 SaaS 애플리케이션, 가상 머신 또는 컨테이너와 같은 하이브리드 환경의 모든 소스에서 사용자 활동 데이터를 로깅 및 저장할 수 있습니다. CloudTrail Lake 콘솔에서 이 절차의 전반부를 수행한 다음 [https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html) API를 호출하여 이벤트를 수집하고, 채널 ARN 및 이벤트 페이로드를 제공합니다. `PutAuditEvents` API를 사용하여 애플리케이션 활동을 CloudTrail로 수집한 후에는 CloudTrail Lake를 사용하여 애플리케이션에서 로깅된 데이터를 검색, 쿼리 및 분석할 수 있습니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **Integrations**(통합)를 선택합니다.
1. **Add integration**(통합 추가) 페이지에서 채널 이름을 입력합니다. 이름은 3\$1128자까지 지정할 수 있습니다. 이름에는 문자, 숫자, 마침표, 밑줄 및 대시만 사용할 수 있습니다.
1. **My custom integration**(내 사용자 지정 통합)을 선택합니다.
1. **Event delivery location**(이벤트 전달 위치)에서 기존 이벤트 데이터 스토어에 동일한 활동 이벤트를 로깅하거나 새 이벤트 데이터 스토어를 생성합니다.
새 이벤트 데이터 스토어를 생성하려는 경우 이벤트 데이터 스토어의 이름을 입력하고 보존 기간을 일 단위로 지정합니다. **1년 연장 가능 보존 요금** 옵션을 선택하는 경우 최대 3,653일(약 10년), **7년 보존 요금** 옵션을 선택하는 경우 최대 2,557일(약 7년) 동안 이벤트 데이터를 이벤트 데이터 스토어에 보관할 수 있습니다.
하나 이상의 기존 이벤트 데이터 스토어에 활동 이벤트를 로깅하도록 선택한 경우 목록에서 이벤트 데이터 스토어를 선택합니다. 이벤트 데이터 스토어에는 활동 이벤트만 포함될 수 있습니다. 콘솔의 이벤트 유형은 **Events from integrations**(통합 이벤트)여야 합니다. API에 `eventCategory` 값은 `ActivityAuditLog`여야 합니다.
1. **Resource policy**(리소스 정책)에서 통합 채널의 리소스 정책을 구성합니다. 리소스 정책은 지정된 보안 주체가 리소스에 대해 수행할 수 있는 작업 및 관련 조건을 제어하는 JSON 정책 문서입니다. 리소스 정책에서 보안 주체로 정의된 계정은 `PutAuditEvents` API를 호출하여 채널에 이벤트를 전달할 수 있습니다.
**참고**
채널에 대한 리소스 정책을 생성하지 않으면 채널 소유자만 채널에서 `PutAuditEvents` API를 호출할 수 있습니다.
1. (선택 사항) 고유한 외부 ID를 입력하면 추가 보호가 가능합니다. 외부 ID는 혼동된 대리자를 방지하는 계정 ID 또는 임의로 생성된 문자열과 같은 고유한 문자열입니다.
**참고**
리소스 정책에 외부 ID가 포함된 경우 `PutAuditEvents` API에 대한 모든 호출에 외부 ID가 포함되어야 합니다. 하지만 정책에서 외부 ID를 정의하지 않는 경우에도 여전히 `PutAuditEvents` API를 호출하고 `externalId` 파라미터를 지정할 수 있습니다.
1. **계정 추가 AWS **를 선택하여 채널의 리소스 정책에 보안 주체로 추가할 각 AWS 계정 ID를 지정합니다.
1. (선택 사항) **Tags**(태그) 영역에서는 최대 50개의 태그 키와 값 쌍을 추가하여 이벤트 데이터 스토어 및 채널에 대한 액세스를 식별, 정렬 및 제어할 수 있습니다. IAM 정책을 사용하여 태그를 기반으로 이벤트 데이터 스토어에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 [예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags) 단원을 참조하세요. 에서 태그를 사용하는 방법에 대한 자세한 내용은의 [AWS 리소스 태그 지정](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html)을 AWS참조하세요*AWS 일반 참조*.
1. 새 통합을 생성할 준비가 되면 **Add integration**(통합 추가)을 선택합니다. 검토 페이지는 없습니다. CloudTrail이 통합을 생성하지만 사용자 지정 이벤트를 통합하려면 [https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html) 요청에 채널 ARN을 지정해야 합니다.
1. `PutAuditEvents` API를 호출하여 활동 이벤트를 CloudTrail에 수집합니다. `PutAuditEvents` 요청당 최대 100개의 활동 이벤트(또는 최대 1MB)를 추가할 수 있습니다. 이전 단계에서 생성한 채널 ARN, CloudTrail에서 추가하려는 이벤트의 페이로드, 외부 ID(리소스 정책에 지정된 경우)가 필요합니다. CloudTrail로 수집하기 전에 이벤트 페이로드에 민감한 정보나 개인 식별 정보가 없는지 확인하세요. CloudTrail로 수집하는 이벤트는 [CloudTrail Lake 통합 이벤트 스키마](query-integration-event-schema.md)를 따라야 합니다.
**작은 정보**
[AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html)를 사용하여 최신 AWS APIs를 실행하고 있는지 확인합니다.
다음 예제에서는 **put-audit-events** CLI 명령을 사용하는 방법을 보여줍니다. **--audit-events** 및 **--channel-arn** 파라미터가 필요합니다. 이전 단계에서 생성한 채널의 ARN이 필요합니다. 이 ARN은 통합 세부 정보 페이지에서 복사할 수 있습니다. **--audit-events**의 값은 이벤트 객체의 JSON 배열입니다. `--audit-events`에는 이벤트에서 요구하는 ID, 값이 `EventData`인 이벤트의 필수 페이로드, CloudTrail로 수집된 후 이벤트의 무결성을 검증하는 데 도움이 되는 [체크섬 옵션](#event-data-store-integration-custom-checksum)이 포함됩니다.
```
aws cloudtrail-data put-audit-events \
--region region \
--channel-arn $ChannelArn \
--audit-events \
id="event_ID",eventData='"{event_payload}"' \
id="event_ID",eventData='"{event_payload}"',eventDataChecksum="optional_checksum"
```
다음은 두 개의 이벤트 예제가 포함된 명령 예제입니다.
```
aws cloudtrail-data put-audit-events \
--region us-east-1 \
--channel-arn arn:aws:cloudtrail:us-east-1:01234567890:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE \
--audit-events \
id="EXAMPLE3-0f1f-4a85-9664-d50a3EXAMPLE",eventData='"{\"eventVersion\":\0.01\",\"eventSource\":\"custom1.domain.com\", ...
\}"' \
id="EXAMPLE7-a999-486d-b241-b33a1EXAMPLE",eventData='"{\"eventVersion\":\0.02\",\"eventSource\":\"custom2.domain.com\", ...
\}"',eventDataChecksum="EXAMPLE6e7dd61f3ead...93a691d8EXAMPLE"
```
다음 명령 예제는 `--cli-input-json` 파라미터를 추가하여 이벤트 페이로드의 JSON 파일(`custom-events.json`)을 지정합니다.
```
aws cloudtrail-data put-audit-events \
--channel-arn $channelArn \
--cli-input-json file://custom-events.json \
--region us-east-1
```
다음은 예제 JSON 파일인 `custom-events.json`의 샘플 콘텐츠입니다.
```
{
"auditEvents": [
{
"eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
\"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
\"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
\"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
\"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
\"additionalEventData\":{\"key\":\"value\"},
\"sourceIPAddress\":\"source_IP_address\",\"recipientAccountId\":\"recipient_account_ID\"}",
"id": "1"
}
]
}
```
## (선택 사항) 체크섬 값 계산
`PutAuditEvents` 요청에서 `EventDataChecksum`의 값으로 지정하는 체크섬은 CloudTrail이 체크섬과 일치하는 이벤트를 수신하는지 확인하는 데 도움이 되며 이벤트의 무결성을 확인하는 데 도움이 됩니다. 체크섬 값은 다음 명령을 실행하여 계산하는 base64-SHA256 알고리즘입니다.
```
printf %s "{"eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
\"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
\"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
\"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
\"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
\"additionalEventData\":{\"key\":\"value\"},
\"sourceIPAddress\":\"source_IP_address\",
\"recipientAccountId\":\"recipient_account_ID\"}",
"id": "1"}" \
| openssl dgst -binary -sha256 | base64
```
명령은 체크섬을 반환합니다. 다음은 예입니다.
```
EXAMPLEHjkI8iehvCUCWTIAbNYkOgO/t0YNw+7rrQE=
```
체크섬 값은 `PutAuditEvents` 요청에서 `EventDataChecksum`의 값이 됩니다. 체크섬이 제공된 이벤트의 체크섬과 일치하지 않는 경우 CloudTrail은 `InvalidChecksum` 오류와 함께 이벤트를 거부합니다.
# 와의 CloudTrail Lake 통합 생성, 업데이트 및 관리 AWS CLI
이 섹션에서는 AWS CLI를 사용하여 CloudTrail Lake 통합을 생성, 업데이트 및 관리하는 데 사용할 수 있는 명령을 설명합니다.
를 사용할 때 명령은 프로파일에 대해 AWS 리전 구성된에서 실행 AWS CLI됩니다. 다른 리전에서 명령을 실행하려는 경우 프로필의 기본 리전을 변경하거나 명령에 **--region** 파라미터를 사용합니다.
## CloudTrail Lake 통합에 대해 사용 가능한 명령
CloudTrail Lake에서 통합을 생성, 업데이트 및 관리하기 위한 명령은 다음과 같습니다.
+ `create-event-data-store` 외부 이벤트에 대한 이벤트 데이터 스토어를 생성합니다 AWS.
+ `delete-channel`: 통합에 사용되는 채널을 삭제합니다.
+ `[delete-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/delete-resource-policy.html)`: CloudTrail Lake 통합을 위해 채널에 연결된 리소스 정책을 삭제합니다.
+ `[get-channel](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-channel.html)`: CloudTrail 채널에 대한 정보를 반환합니다.
+ `[get-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-resource-policy.html)`: CloudTrail 채널에 연결된 리소스 기반 정책 문서의 JSON 텍스트를 검색합니다.
+ `[list-channels](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-channels.html)`: 현재 계정의 채널 및 소스 이름을 나열합니다.
+ `[put-audit-events](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail-data/put-audit-events.html)`: 애플리케이션 이벤트를 CloudTrail Lake로 수집합니다. 필수 파라미터인 `auditEvents`는 CloudTrail에서 수집하려는 이벤트의 JSON 레코드(페이로드라고도 함)를 수락합니다. `PutAuditEvents` 요청당 최대 100개의 이벤트(또는 최대 1MB)를 추가할 수 있습니다.
+ `[put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/put-resource-policy.html)` 외부의 이벤트 소스와의 통합에 사용되는 CloudTrail 채널에 리소스 기반 권한 정책을 연결합니다 AWS. 리소스 기반 정책에 대한 자세한 내용은 [AWS CloudTrail 리소스 기반 정책 예제](security_iam_resource-based-policy-examples.md)를 참조하세요.
+ `update-channel`: 필수 채널 ARN 또는 UUID에서 지정한 채널을 업데이트합니다.
CloudTrail Lake 이벤트 데이터 저장소에 사용할 수 있는 명령 목록은 [이벤트 데이터 저장소에 대해 사용 가능한 명령](lake-eds-cli.md#lake-eds-cli-commands) 섹션을 참조하세요.
CloudTrail Lake 쿼리에 사용할 수 있는 명령 목록은 [CloudTrail Lake 쿼리에 대해 사용 가능한 명령](lake-queries-cli.md#lake-queries-cli-commands) 섹션을 참조하세요.
CloudTrail Lake 대시보드에 사용할 수 있는 명령 목록은 [대시보드에 사용 가능한 명령](lake-dashboard-cli.md#lake-dashboard-cli-commands) 섹션을 참조하세요.
# 를 AWS 사용하여 외부에서 이벤트를 로깅하는 통합 생성 AWS CLI
이 섹션에서는를 사용하여 외부에서 이벤트를 로깅 AWS CLI 하는 CloudTrail Lake 통합을 생성하는 방법을 설명합니다 AWS.
에서는 4개의 명령으로 통합을 AWS CLI생성합니다(기준을 충족하는 이벤트 데이터 스토어가 이미 있는 경우 3개). 통합 대상으로 사용하는 이벤트 데이터 스토어는 단일 리전 및 단일 계정에 대한 것이어야 하며, 다중 리전일 수 없고, 조직에 대한 이벤트를 로깅할 수 없으며 AWS Organizations, 활동 이벤트만 포함할 수 있습니다. 콘솔의 이벤트 유형은 **Events from integrations**(통합 이벤트)여야 합니다. API에 `eventCategory` 값은 `ActivityAuditLog`여야 합니다. 통합에 대한 자세한 내용은 [외부의 이벤트 소스와 통합 생성 AWS](query-event-data-store-integration.md) 섹션을 참조하세요.
1. 통합에 사용할 수 있는 하나 이상의 이벤트 데이터 스토어가 아직 없는 경우 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/index.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/index.html)를 실행하여 이벤트 데이터 스토어를 생성합니다.
다음 예제 AWS CLI 명령은 외부에서 이벤트를 로깅하는 이벤트 데이터 스토어를 생성합니다 AWS. 활동 이벤트의 경우 `eventCategory` 필드 선택기 값은 `ActivityAuditLog`입니다. 이벤트 데이터 스토어의 보존 기간은 90일로 설정됩니다. 기본적으로 이벤트 데이터 스토어는 모든 리전에서 이벤트를 수집하지만, 이벤트가 아닌AWS 이벤트를 수집하므로 `--no-multi-region-enabled` 옵션을 추가하여 단일 리전으로 설정합니다. 종료 보호는 기본적으로 활성화되고, 이벤트 데이터 스토어는 조직 내 계정에 대한 이벤트를 수집하지 않습니다.
```
aws cloudtrail create-event-data-store \
--name my-event-data-store \
--no-multi-region-enabled \
--retention-period 90 \
--advanced-event-selectors '[
{
"Name": "Select all external events",
"FieldSelectors": [
{ "Field": "eventCategory", "Equals": ["ActivityAuditLog"] }
]
}
]'
```
다음은 응답의 예입니다.
```
{
"EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE",
"Name": "my-event-data-store",
"AdvancedEventSelectors": [
{
"Name": "Select all external events",
"FieldSelectors": [
{
"Field": "eventCategory",
"Equals": [
"ActivityAuditLog"
]
}
]
}
],
"MultiRegionEnabled": true,
"OrganizationEnabled": false,
"BillingMode": "EXTENDABLE_RETENTION_PRICING",
"RetentionPeriod": 90,
"TerminationProtectionEnabled": true,
"CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00",
"UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00"
}
```
다음 단계로 이동하여 채널을 생성하려면 이벤트 데이터 스토어 ID(ARN의 접미사 또는 이전 응답 예제의 `EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE`)가 필요합니다.
1. [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-channel.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/create-channel.html) 명령을 실행하여 파트너 또는 소스 애플리케이션이 CloudTrail의 이벤트 데이터 스토어로 이벤트를 전송할 수 있도록 하는 채널을 생성합니다.
채널에는 다음과 같은 구성 요소가 있습니다.
**소스**
CloudTrail은 이 정보를 사용하여 사용자를 대신하여 CloudTrail에 이벤트 데이터를 전송하는 파트너를 결정합니다. 소스는 필수이고, 모든 유효한AWS 외 이벤트에 대해 `Custom`, 또는 파트너 이벤트 소스의 이름일 수 있습니다. 소스당 최대 하나의 채널을 사용할 수 있습니다.
사용 가능한 파트너의 `Source` 값에 대한 자세한 내용은 [통합 파트너에 대한 추가 정보](query-event-data-store-integration.md#cloudtrail-lake-partner-information)의 내용을 참조하십시오.
**수집 상태**
채널 상태는 채널 소스에서 마지막 이벤트를 수신한 시간을 보여줍니다.
**대상**
대상은 채널로부터 이벤트를 수신하는 CloudTrail Lake 이벤트 데이터 스토어입니다. 채널의 대상 이벤트 데이터 스토어를 변경할 수 있습니다.
소스로부터 이벤트 수신을 중단하려면 채널을 삭제합니다.
이 명령을 실행하려면 하나 이상의 대상 이벤트 데이터 스토어의 ID가 필요합니다. 유효한 대상 유형은 `EVENT_DATA_STORE`입니다. 수집된 이벤트를 둘 이상의 이벤트 데이터 스토어로 보낼 수 있습니다. 다음 예제 명령은 `--destinations` 파라미터의 `Location` 속성에서 해당 ID로 표시되는 두 이벤트 데이터 스토어에 이벤트를 보내는 채널을 생성합니다. `--destinations`, `--name` 및 `--source` 파라미터가 필요합니다. CloudTrail 파트너의 이벤트를 수집하려면 파트너 이름을 `--source` 값으로 지정합니다. 외부의 자체 애플리케이션에서 이벤트를 수집하려면 `Custom`를의 값으로 AWS지정합니다`--source`.
```
aws cloudtrail create-channel \
--region us-east-1 \
--destinations '[{"Type": "EVENT_DATA_STORE", "Location": "EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE"}, {"Type": "EVENT_DATA_STORE", "Location": "EXAMPLEg922-5n2l-3vz1- apqw8EXAMPLE"}]'
--name my-partner-channel \
--source $partnerSourceName \
```
**create-channel** 명령에 대한 응답에서 새 채널의 ARN을 복사합니다. 다음 단계에서 `put-resource-policy` 및 `put-audit-events` 명령을 실행하려면 ARN이 필요합니다.
1. **put-resource-policy** 명령을 실행하여 채널에 리소스 정책을 연결합니다. 리소스 정책은 지정된 보안 주체가 리소스에 대해 수행할 수 있는 작업 및 관련 조건을 제어하는 JSON 정책 문서입니다. 채널의 리소스 정책에서 보안 주체로 정의된 계정은 `PutAuditEvents` API를 호출하여 이벤트를 전달할 수 있습니다.
**참고**
채널에 대한 리소스 정책을 생성하지 않으면 채널 소유자만 채널에서 `PutAuditEvents` API를 호출할 수 있습니다.
정책에 필요한 정보는 통합 유형에 따라 결정됩니다.
+ 방향 통합의 경우 CloudTrail은 정책에 파트너의 AWS 계정 IDs를 포함해야 하며 파트너가 제공한 고유한 외부 ID를 입력해야 합니다. CloudTrail 콘솔을 사용하여 통합을 생성할 때 CloudTrail은 파트너의 AWS 계정 IDs를 리소스 정책에 자동으로 추가합니다. 정책에 필요한 AWS 계정 번호를 가져오는 방법을 알아보려면 [파트너의 설명서를](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-integration.html#cloudtrail-lake-partner-information#lake-integration-partner-documentation) 참조하세요.
+ 솔루션 통합의 경우 하나 이상의 AWS 계정 ID를 보안 주체로 지정해야 하며 선택적으로 외부 ID를 입력하여 혼동된 대리자를 방지할 수 있습니다.
다음은 리소스 정책에 대한 요구 사항입니다.
+ 정책에 정의된 리소스 ARN은 정책이 연결된 채널 ARN과 일치해야 합니다.
+ 정책에는 cloudtrail-data:PutAuditEvents라는 한 가지 작업만 포함됩니다.
+ 정책에는 하나 이상의 정책 문이 포함됩니다. 정책은 최대 20개의 문을 보유할 수 있습니다.
+ 각 문에는 하나 이상의 보안 주체가 포함됩니다. 문에는 최대 50개의 보안 주체가 있을 수 있습니다.
```
aws cloudtrail put-resource-policy \
--resource-arn "channelARN" \
--policy "{
"Version": "2012-10-17",
"Statement":
[
{
"Sid": "ChannelPolicy",
"Effect": "Allow",
"Principal":
{
"AWS":
[
"arn:aws:iam::111122223333:root",
"arn:aws:iam::444455556666:root",
"arn:aws:iam::123456789012:root"
]
},
"Action": "cloudtrail-data:PutAuditEvents",
"Resource": "arn:aws:cloudtrail:us-east-1:777788889999:channel/EXAMPLE-80b5-40a7-ae65-6e099392355b",
"Condition":
{
"StringEquals":
{
"cloudtrail:ExternalId": "UniqueExternalIDFromPartner"
}
}
}
]
}"
```
리소스 정책에 대한 자세한 내용은 [AWS CloudTrail 리소스 기반 정책 예제](security_iam_resource-based-policy-examples.md) 단원을 참조하십시오.
1. [https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html](https://docs.aws.amazon.com/awscloudtraildata/latest/APIReference/API_PutAuditEvents.html) API를 실행하여 활동 이벤트를 CloudTrail에 수집합니다. CloudTrail에서 추가할 이벤트의 페이로드가 필요합니다. CloudTrail로 수집하기 전에 이벤트 페이로드에 민감한 정보나 개인 식별 정보가 없는지 확인하세요. `PutAuditEvents` API는 `cloudtrail` 엔드포인트가 아니라 `cloudtrail-data` CLI 엔드포인트를 사용합니다.
다음 예제에서는 **put-audit-events** CLI 명령을 사용하는 방법을 보여줍니다. **--audit-events** 및 **--channel-arn** 파라미터가 필요합니다. 리소스 정책에 외부 ID가 정의된 경우**--external-id** 파라미터가 필요합니다. 이전 단계에서 생성한 채널의 ARN이 필요합니다. **--audit-events**의 값은 이벤트 객체의 JSON 배열입니다. `--audit-events`에는 이벤트에서 요구하는 ID, 값이 `EventData`인 이벤트의 필수 페이로드, CloudTrail로 수집된 후 이벤트의 무결성을 검증하는 데 도움이 되는 [체크섬 옵션](#lake-cli-integration-checksum.title)이 포함됩니다.
```
aws cloudtrail-data put-audit-events \
--channel-arn $ChannelArn \
--external-id $UniqueExternalIDFromPartner \
--audit-events \
id="event_ID",eventData='"{event_payload}"' \
id="event_ID",eventData='"{event_payload}"',eventDataChecksum="optional_checksum"
```
다음은 두 개의 이벤트 예제가 포함된 명령 예제입니다.
```
aws cloudtrail-data put-audit-events \
--channel-arn arn:aws:cloudtrail:us-east-1:123456789012:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE \
--external-id UniqueExternalIDFromPartner \
--audit-events \
id="EXAMPLE3-0f1f-4a85-9664-d50a3EXAMPLE",eventData='"{\"eventVersion\":\0.01\",\"eventSource\":\"custom1.domain.com\", ...
\}"' \
id="EXAMPLE7-a999-486d-b241-b33a1EXAMPLE",eventData='"{\"eventVersion\":\0.02\",\"eventSource\":\"custom2.domain.com\", ...
\}"',eventDataChecksum="EXAMPLE6e7dd61f3ead...93a691d8EXAMPLE"
```
다음 명령 예제는 `--cli-input-json` 파라미터를 추가하여 이벤트 페이로드의 JSON 파일(`custom-events.json`)을 지정합니다.
```
aws cloudtrail-data put-audit-events --channel-arn $channelArn --external-id $UniqueExternalIDFromPartner --cli-input-json file://custom-events.json --region us-east-1
```
다음은 예제 JSON 파일인 `custom-events.json`의 샘플 콘텐츠입니다.
```
{
"auditEvents": [
{
"eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
\"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
\"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
\"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
\"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
\"additionalEventData\":{\"key\":\"value\"},
\"sourceIPAddress\":\"12.34.56.78\",\"recipientAccountId\":\"152089810396\"}",
"id": "1"
}
]
}
```
[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-channel.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/get-channel.html) 명령을 실행하여 통합이 제대로 작동하는지, CloudTrail이 소스에서 이벤트를 올바르게 수집하고 있는지 확인할 수 있습니다. **get-channel**의 출력에는 CloudTrail에서 이벤트를 수신한 가장 최근의 타임스탬프가 표시됩니다.
```
aws cloudtrail get-channel --channel arn:aws:cloudtrail:us-east-1:01234567890:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE
```
## (선택 사항) 체크섬 값 계산
`PutAuditEvents` 요청에서 `EventDataChecksum`의 값으로 지정하는 체크섬은 CloudTrail이 체크섬과 일치하는 이벤트를 수신하는지 확인하는 데 도움이 되며 이벤트의 무결성을 확인하는 데 도움이 됩니다. 체크섬 값은 다음 명령을 실행하여 계산하는 base64-SHA256 알고리즘입니다.
```
printf %s "{"eventData": "{\"version\":\"eventData.version\",\"UID\":\"UID\",
\"userIdentity\":{\"type\":\"CustomUserIdentity\",\"principalId\":\"principalId\",
\"details\":{\"key\":\"value\"}},\"eventTime\":\"2021-10-27T12:13:14Z\",\"eventName\":\"eventName\",
\"userAgent\":\"userAgent\",\"eventSource\":\"eventSource\",
\"requestParameters\":{\"key\":\"value\"},\"responseElements\":{\"key\":\"value\"},
\"additionalEventData\":{\"key\":\"value\"},
\"sourceIPAddress\":\"source_IP_address\",
\"recipientAccountId\":\"recipient_account_ID\"}",
"id": "1"}" \
| openssl dgst -binary -sha256 | base64
```
명령은 체크섬을 반환합니다. 다음은 예입니다.
```
EXAMPLEDHjkI8iehvCUCWTIAbNYkOgO/t0YNw+7rrQE=
```
체크섬 값은 `PutAuditEvents` 요청에서 `EventDataChecksum`의 값이 됩니다. 체크섬이 제공된 이벤트의 체크섬과 일치하지 않는 경우 CloudTrail은 `InvalidChecksum` 오류와 함께 이벤트를 거부합니다.
# 를 사용하여 채널 업데이트 AWS CLI
이 섹션에서는 AWS CLI 를 사용하여 CloudTrail Lake 통합을 위한 채널을 업데이트하는 방법을 설명합니다. `update-channel` 명령을 실행하여 채널 이름을 업데이트하거나 다른 대상 이벤트 데이터 저장소를 지정할 수 있습니다. 채널의 소스를 업데이트할 수 없습니다.
명령을 실행할 때 `--channel` 파라미터가 필요합니다.
다음은 채널 이름과 대상을 업데이트하는 방법을 보여주는 예제입니다.
```
aws cloudtrail update-channel \
--channel aws:cloudtrail:us-east-1:123456789012:channel/EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE \
--name "new-channel-name" \
--destinations '[{"Type": "EVENT_DATA_STORE", "Location": "EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE"}, {"Type": "EVENT_DATA_STORE", "Location": "EXAMPLEg922-5n2l-3vz1- apqw8EXAMPLE"}]'
```
# 채널을 삭제하여 와의 통합 삭제 AWS CLI
이 섹션에서는 `delete-channel` 명령을 실행하여 CloudTrail Lake 통합에 대한 채널을 삭제하는 방법을 설명합니다. AWS외부에서 파트너 또는 기타 활동 이벤트 수집을 중지하려는 경우 채널을 삭제합니다. 삭제하려는 채널의 ARN 또는 채널 ID(ARN 접미사)가 필요합니다.
다음 예제는 채널을 삭제하는 방법을 보여줍니다.
```
aws cloudtrail delete-channel \
--channel EXAMPLE8-0558-4f7e-a06a-43969EXAMPLE
```
## 통합 파트너에 대한 추가 정보
이 섹션의 표에서는 각 통합 파트너의 소스 이름을 제공하고 통합 유형(직접 또는 솔루션)을 보여줍니다.
**소스 이름** 열의 정보는 `CreateChannel` API를 호출할 때 필요합니다. 소스 이름을 `Source` 파라미터 값으로 지정합니다.
****
| 파트너 이름(콘솔) | 소스 이름(API) | 통합 유형 |
| --- | --- | --- |
| 내 사용자 지정 통합 | Custom | 솔루션 |
| Cloud Storage Security | CloudStorageSecurityConsole | 솔루션 |
| Clumio | Clumio | 직접 |
| CrowdStrike | CrowdStrike | 솔루션 |
| CyberArk | CyberArk | 솔루션 |
| GitHub | GitHub | 솔루션 |
| Kong Inc | KongGatewayEnterprise | 솔루션 |
| LaunchDarkly | LaunchDarkly | 직접 |
| Netskope | NetskopeCloudExchange | 솔루션 |
| Nordcloud, an IBM Company | IBMMulticloud | 직접 |
| MontyCloud | MontyCloud | 직접 |
| Okta | OktaSystemLogEvents | 솔루션 |
| One Identity | OneLogin | 솔루션 |
| Shoreline.io | Shoreline | 솔루션 |
| Snyk.io | Snyk | 직접 |
| Wiz | WizAuditLogs | 솔루션 |
### 파트너 설명서 보기
파트너의 설명서를 통해 파트너와 CloudTrail Lake의 통합에 대해 자세히 알아볼 수 있습니다.
**파트너 설명서 보기**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **Integrations**(통합)를 선택합니다.
1. **Integrations**(통합) 페이지에서 **Available sources**(사용 가능한 소스)를 선택한 다음 설명서를 확인하려는 파트너에 대해 **Learn more**(자세히 알아보기)를 선택합니다.
# CloudTrail Lake 통합 이벤트 스키마
다음 표에서는 CloudTrail 이벤트 레코드의 스키마 요소와 일치하는 필수 및 선택적 스키마 요소를 설명합니다. `eventData`의 콘텐츠는 이벤트에서 제공하며 다른 필드는 수집한 후 CloudTrail에서 제공합니다.
CloudTrail 이벤트 레코드 내용은 [관리, 데이터 및 네트워크 활동 이벤트에 대한 CloudTrail 레코드 콘텐츠](cloudtrail-event-reference-record-contents.md) 에 자세히 설명되어 있습니다.
+ [수집한 후 CloudTrail에서 제공하는 필드](#fields-cloudtrail)
+ [이벤트에서 제공하는 필드](#fields-event)
다음 필드는 수집한 후 CloudTrail에서 제공됩니다.
| 필드 이름 | 입력 유형 | 요구 사항 | 설명 |
| --- | --- | --- | --- |
| eventVersion | 문자열 | 필수 | 이벤트 버전입니다. |
| eventCategory | 문자열 | 필수 | 이벤트 카테고리입니다.AWS 이벤트가 아닌 경우 값은 입니다`ActivityAuditLog`. |
| eventType | 문자열 | 필수 | 이벤트 유형.AWS 이벤트가 아닌 경우 유효한 값은 입니다`ActivityLog`. |
| eventID | 문자열 | 필수 | 이벤트의 고유한 ID입니다. |
| eventTime | 문자열 | 필수 | 국제 표준시(UTC), `yyyy-MM-DDTHH:mm:ss` 형식의 이벤트 타임스탬프입니다. |
| awsRegion | 문자열 | 필수 | `PutAuditEvents` 호출이 수행된 AWS 리전 입니다. |
| recipientAccountId | 문자열 | 필수 | 이 이벤트를 수신하는 계정 ID를 나타냅니다. CloudTrail은 이벤트 페이로드에서 이를 계산하여 이 필드를 채웁니다. |
| addendum | - | 선택 사항 | 이벤트 처리가 지연된 이유에 대한 정보를 표시합니다. 기존 이벤트에서 정보가 누락된 경우 addendum 블록에는 누락된 정보와 누락된 이유가 포함됩니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | 문자열 | 선택 사항 | 이벤트 또는 일부 내용이 누락된 이유입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | 문자열 | 선택 사항 | addendum에 의해 업데이트되는 이벤트 레코드 필드입니다. 이는 이유가 `UPDATED_DATA`인 경우에만 제공됩니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | 문자열 | 선택 사항 | 소스의 원본 이벤트 UID입니다. 이는 이유가 `UPDATED_DATA`인 경우에만 제공됩니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | 문자열 | 선택 사항 | 원본 이벤트 ID입니다. 이는 이유가 `UPDATED_DATA`인 경우에만 제공됩니다. |
| metadata | - | 필수 | 이벤트에서 사용한 채널에 대한 정보입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | 문자열 | 필수 | 국제 표준시(UTC), `yyyy-MM-DDTHH:mm:ss` 형식의 이벤트가 처리된 타임스탬프입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | 문자열 | 필수 | 이벤트에서 사용한 채널의 ARN입니다. |
다음 필드는 고객 이벤트에서 제공합니다.
| 필드 이름 | 입력 유형 | 요구 사항 | 설명 |
| --- | --- | --- | --- |
| eventData | - | 필수 | PutAuditEvents 호출에서 CloudTrail에 전송된 감사 데이터입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | string | 필수 | 소스로부터의 이벤트 버전입니다. 길이 제약 조건: 최대 길이는 256자입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | - | 필수 | 요청한 사용자에 관한 정보입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | 문자열 | 필수 | 사용자 자격 증명의 유형입니다. 길이 제약 조건: 최대 길이는 128입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | 문자열 | 필수 | 이벤트 액터의 고유 식별자입니다. 길이 제약 조건: 최대 길이는 1,024자입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | JSON 객체 | 선택 사항 | 자격 증명에 대한 추가 정보입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | 문자열 | 선택 사항 | 요청에 사용된 에이전트입니다. 길이 제약 조건: 최대 길이는 1,024자입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | 문자열 | 필수 | 이는 파트너 이벤트 소스 또는 이벤트가 로깅되는 사용자 지정 애플리케이션입니다. 길이 제약 조건: 최대 길이는 1,024자입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | 문자열 | 필수 | 요청된 작업, 소스 서비스 또는 애플리케이션에 대한 API의 작업 중 하나입니다. 길이 제약 조건: 최대 길이는 1,024자입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | 문자열 | 필수 | 국제 표준시(UTC), `yyyy-MM-DDTHH:mm:ss` 형식의 이벤트 타임스탬프입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | 문자열 | 필수 | 요청을 식별하는 UID 값입니다. 호출된 서비스 또는 애플리케이션이 이 값을 생성합니다. 길이 제약 조건: 최대 길이는 1,024자입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | JSON 객체 | 선택 사항 | 파라미터가 있는 경우 요청과 함께 전송됩니다. 이 필드의 최대 크기는 100KB이며, 해당 제한을 초과하는 콘텐츠는 거부됩니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | JSON 객체 | 선택 사항 | 변경이 이루어지는 작업의 응답 요소입니다(작업 생성, 업데이트 또는 삭제). 이 필드의 최대 크기는 100KB이며, 해당 제한을 초과하는 콘텐츠는 거부됩니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | 문자열 | 선택 사항 | 이벤트의 오류를 나타내는 문자열입니다. 길이 제약 조건: 최대 길이는 256자입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | 문자열 | 선택 사항 | 오류에 대한 설명입니다. 길이 제약 조건: 최대 길이는 256자입니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | 문자열 | 선택 사항 | 요청이 발생한 IP 주소 IPv4 및 IPv6 주소를 모두 사용할 수 있습니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | 문자열 | 필수 | 이 이벤트를 수신하는 계정 ID를 나타냅니다. 계정 ID는 채널을 소유한 AWS 계정 ID와 동일해야 합니다. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-integration-event-schema.html) | JSON 객체 | 선택 사항 | 요청 또는 응답의 일부가 아닌 이벤트에 대한 추가 데이터입니다. 이 필드의 최대 크기는 28KB이며, 해당 제한을 초과하는 콘텐츠는 거부됩니다. |
다음 예에서는 CloudTrail 이벤트 레코드의 스키마 요소와 일치하는 스키마 요소의 계층 구조를 보여줍니다.
```
{
"eventVersion": String,
"eventCategory": String,
"eventType": String,
"eventID": String,
"eventTime": String,
"awsRegion": String,
"recipientAccountId": String,
"addendum": {
"reason": String,
"updatedFields": String,
"originalUID": String,
"originalEventID": String
},
"metadata" : {
"ingestionTime": String,
"channelARN": String
},
"eventData": {
"version": String,
"userIdentity": {
"type": String,
"principalId": String,
"details": {
JSON
}
},
"userAgent": String,
"eventSource": String,
"eventName": String,
"eventTime": String,
"UID": String,
"requestParameters": {
JSON
},
"responseElements": {
JSON
},
"errorCode": String,
"errorMessage": String,
"sourceIPAddress": String,
"recipientAccountId": String,
"additionalEventData": {
JSON
}
}
}
```
# CloudTrail Lake 대시보드
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
CloudTrail Lake 대시보드를 사용하여 계정의 이벤트 데이터 스토어에 대한 이벤트 추세를 볼 수 있습니다. CloudTrail Lake는 다음과 같은 유형의 대시보드를 제공합니다.
+ **관리형 대시보드** – 관리형 대시보드를 통해 관리 이벤트, 데이터 이벤트 또는 Insights 이벤트를 수집하는 이벤트 데이터 스토어의 이벤트 추세를 볼 수 있습니다. 이러한 대시보드는 자동으로 제공되며 CloudTrail Lake에서 관리합니다. CloudTrail은 선택할 수 있는 14개의 관리형 대시보드를 제공합니다. 관리형 대시보드를 수동으로 새로 고칠 수 있습니다. 이러한 대시보드의 위젯을 수정, 추가 또는 제거할 수는 없지만 위젯을 수정하거나 새로 고침 일정을 설정하려는 경우 관리형 대시보드를 사용자 지정 대시보드로 저장할 수 있습니다.
+ **사용자 지정 대시보드** – 사용자 지정 대시보드를 사용하면 모든 이벤트 데이터 스토어 유형에서 이벤트를 쿼리할 수 있습니다. 사용자 지정 대시보드에 최대 10개의 위젯을 추가할 수 있습니다. 사용자 지정 대시보드를 수동으로 새로 고치거나 새로 고침 일정을 설정할 수 있습니다.
+ **Highlights 대시보드** – Highlights 대시보드를 사용하면 계정의 이벤트 데이터 스토어에서 수집한 AWS 활동의 개요를 한눈에 볼 수 있습니다. Highlights 대시보드는 CloudTrail에서 관리하며 계정과 관련된 위젯을 포함합니다. Highlights 대시보드에 표시되는 위젯은 계정마다 고유합니다. 이러한 위젯은 탐지된 비정상적인 활동이나 이상 현상에 대해 알려 줄 수 있습니다. 예를 들어 Highlights 대시보드에는 비정상적인 교차 계정 활동이 증가했는지 보여 주는 **전체 교차 계정 액세스 위젯**이 포함될 수 있습니다. CloudTrail은 6시간마다 Highlights 대시보드를 업데이트합니다. 대시보드에는 마지막 업데이트 이후 지난 24시간 동안의 데이터가 표시됩니다.
각 대시보드는 하나 이상의 위젯으로 구성되며 각 위젯은 SQL 쿼리의 결과를 그래픽으로 보여줍니다. 위젯에 대한 쿼리를 보려면 **쿼리 보기 및 편집**을 선택하여 쿼리 편집기를 엽니다.
대시보드가 새로 고쳐지면 CloudTrail Lake는 쿼리를 실행하여 대시보드의 위젯을 채웁니다. 쿼리를 실행하면 비용이 발생하므로 CloudTrail은 쿼리 실행과 관련된 비용을 확인하라는 메시지를 표시합니다. CloudTrail 요금에 대한 자세한 내용은 [CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요.
**Topics**
+ [
## 사전 조건
](#lake-dashboard-prerequisites)
+ [
## 제한 사항
](#lake-dashboard-limitations)
+ [
## 리전 지원
](#lake-dashboard-regions)
+ [
## 필수 권한
](#lake-dashboard-permissions)
+ [
# CloudTrail 콘솔을 사용하여 관리형 대시보드 보기
](lake-dashboard-managed.md)
+ [
# CloudTrail 콘솔을 사용하여 Highlights 대시보드 활성화
](lake-dashboard-highlights.md)
+ [
# CloudTrail 콘솔을 사용하여 Highlights 대시보드 비활성화
](lake-dashboard-highlights-disable.md)
+ [
# CloudTrail 콘솔로 사용자 지정 대시보드 생성
](lake-dashboard-custom.md)
+ [
# CloudTrail 콘솔을 사용하여 사용자 지정 대시보드의 새로 고침 일정 설정
](lake-dashboard-refresh.md)
+ [
# CloudTrail 콘솔을 사용하여 사용자 지정 대시보드의 새로 고침 일정 비활성화
](lake-dashboard-refresh-disable.md)
+ [
# CloudTrail 콘솔을 사용한 변경 종료 보호
](lake-dashboard-termination-protection.md)
+ [
# CloudTrail 콘솔로 사용자 지정 대시보드 삭제
](lake-dashboard-delete.md)
+ [
# 를 사용하여 대시보드 생성, 업데이트 및 관리 AWS CLI
](lake-dashboard-cli.md)
## 사전 조건
CloudTrail Lake 대시보드에는 다음과 같은 사전 요구 사항이 적용됩니다.
+ Lake 대시보드를 보고 사용하려면, CloudTrail Lake 이벤트 데이터 스토어를 하나 이상 생성해야 합니다. 콘솔 AWS CLI또는 SDKs. 콘솔을 사용하여 이벤트 데이터 스토어를 생성하는 방법에 대한 자세한 내용은 [콘솔을 사용하여 CloudTrail 이벤트에 대한 이벤트 데이터 저장소 생성](query-event-data-store-cloudtrail.md) 섹션을 참조하세요. 를 사용하여 이벤트 데이터 스토어를 생성하는 방법에 대한 자세한 내용은 섹션을 AWS CLI참조하세요[를 사용하여 이벤트 데이터 스토어 생성 AWS CLI](lake-cli-create-eds.md).
+ 대시보드를 보고, 생성하고, 업데이트하고, 새로 고칠 수 있는 적절한 권한이 있어야 합니다. 자세한 내용은 [필수 권한](#lake-dashboard-permissions) 단원을 참조하십시오.
## 제한 사항
CloudTrail Lake 대시보드에는 다음과 같은 제한 사항이 적용됩니다.
+ 계정에 있는 이벤트 데이터 스토어에 대해서만 Highlights 대시보드를 활성화할 수 있습니다.
+ 계정에 있는 이벤트 데이터 스토어에 대해서만 관리형 대시보드를 볼 수 있습니다.
+ 사용자 지정 대시보드의 경우 샘플 위젯만 추가하거나 계정에 있는 이벤트 데이터 스토어를 쿼리하는 새 위젯을 생성할 수 있습니다.
+ AWS Organizations 조직의 위임된 관리자는 관리 계정이 소유한 대시보드를 보거나 관리할 수 없습니다.
## 리전 지원
CloudTrail Lake 대시보드는 CloudTrail Lake AWS 리전 가 지원되는 모든에서 지원됩니다.
**Highlights 대시보드**의 **활동 요약** 위젯은 다음 리전에서 지원됩니다.
+ 아시아 태평양(도쿄) 리전(ap-northeast-1)
+ 미국 동부(버지니아 북부)(us-east-1)
+ 미국 서부(오레곤) 리전(us-west-1)
다른 모든 위젯은 CloudTrail Lake AWS 리전 가 지원되는 모든에서 지원됩니다.
CloudTrail Lake 지원 리전에 대한 자세한 내용은 [CloudTrail Lake 지원 리전](cloudtrail-lake-supported-regions.md)의 내용을 참조하세요.
## 필수 권한
이 섹션에서는 CloudTrail Lake 대시보드에 필요한 권한을 설명하고 두 가지 유형의 IAM 정책에 대해 설명합니다.
+ 대시보드를 생성, 관리 및 삭제하는 작업을 수행할 수 있는 자격 증명 기반 정책입니다.
+ 대시보드가 새로 고쳐질 때 CloudTrail이 이벤트 데이터 스토어에서 쿼리를 실행하고 사용자를 대신하여 사용자 지정 대시보드 및 Highlights 대시보드의 예약된 새로 고침을 수행하도록 허용하는 리소스 기반 정책입니다. CloudTrail 콘솔을 사용하여 대시보드를 생성할 때 리소스 기반 정책을 연결할 수 있는 옵션이 제공됩니다. 명령을 실행 AWS CLI [`put-resource-policy`](lake-dashboard-cli-manage.md#lake-dashboard-cli-add-rbp)하여 이벤트 데이터 스토어 또는 대시보드에 리소스 기반 정책을 추가할 수도 있습니다.
### 자격 증명 기반 정책 요구 사항
ID 기반 정책은 IAM 사용자, 사용자 그룹 또는 역할과 같은 ID에 연결할 수 있는 JSON 권한 정책 문서입니다. 이러한 정책은 사용자 및 역할이 어떤 리소스와 어떤 조건에서 어떤 작업을 수행할 수 있는지를 제어합니다. 자격 증명 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*에서 [고객 관리형 정책으로 사용자 지정 IAM 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)를 참조하세요.
CloudTrail Lake 대시보드를 보고 관리하려면 다음 정책 중 하나가 필요합니다.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html) 관리형 정책.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html) 관리형 정책.
+ 다음 섹션에 설명된 하나 이상의 특정 권한을 포함하는 사용자 지정 정책입니다.
**Topics**
+ [
#### 대시보드를 생성하는 데 필요한 권한
](#lake-dashboard-permissions-identity-create)
+ [
#### 대시보드를 업데이트하는 데 필요한 권한
](#lake-dashboard-permissions-identity-update)
+ [
#### 대시보드를 새로 고치는 데 필요한 권한
](#lake-dashboard-permissions-identity-create)
#### 대시보드를 생성하는 데 필요한 권한
다음 샘플 정책은 대시보드를 생성하는 데 필요한 최소한의 권한을 제공합니다. *파티션*, *리전*, *account-id* 및 *eds-id*를 구성 값으로 바꿉니다.
+ `StartQuery` 권한은 요청에 위젯이 포함된 경우에만 필요합니다. 위젯 쿼리에 포함된 모든 이벤트 데이터 스토어에 대한 `StartQuery` 권한을 제공합니다.
+ `StartDashboardRefresh` 권한은 대시보드에 새로 고침 일정이 있는 경우에만 필요합니다.
+ Highlights 대시보드의 경우 호출자는 계정의 모든 이벤트 데이터 스토어에 대한 `StartQuery` 권한을 보유해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"cloudtrail:CreateDashboard",
"cloudtrail:StartDashboardRefresh",
"cloudtrail:StartQuery"
],
"Resource": [
"arn:aws:cloudtrail:us-east-1:111111111111:dashboard/*",
"arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
]
}
]
}
```
------
#### 대시보드를 업데이트하는 데 필요한 권한
다음 샘플 정책은 대시보드를 업데이트하는 데 필요한 최소한의 권한을 제공합니다. *파티션*, *리전*, *account-id* 및 *eds-id*를 구성 값으로 바꿉니다.
+ `StartQuery` 권한은 요청에 위젯이 포함된 경우에만 필요합니다. 위젯 쿼리에 포함된 모든 이벤트 데이터 스토어에 대한 `StartQuery` 권한을 제공합니다.
+ `StartDashboardRefresh` 권한은 대시보드에 새로 고침 일정이 있는 경우에만 필요합니다.
+ Highlights 대시보드의 경우 호출자는 계정의 모든 이벤트 데이터 스토어에 대한 `StartQuery` 권한을 보유해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"cloudtrail:UpdateDashboard",
"cloudtrail:StartDashboardRefresh",
"cloudtrail:StartQuery"
],
"Resource": [
"arn:aws:cloudtrail:us-east-1:111111111111:dashboard/*",
"arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
]
}
]
}
```
------
#### 대시보드를 새로 고치는 데 필요한 권한
다음 샘플 정책은 대시보드를 새로 고치는 데 필요한 최소한의 권한을 제공합니다. *파티션*, *리전*, *account-id*, *dashboard-name* 및 *eds-id*를 구성 값으로 바꿉니다.
+ 사용자 지정 대시보드 및 Highlights 대시보드의 경우 호출자에게 `cloudtrail:StartDashboardRefresh permissions`이 있어야 합니다.
+ 관리형 대시보드의 경우 호출자는 새로 고침과 관련된 이벤트 데이터 스토어에 대한 `cloudtrail:StartDashboardRefresh` 권한과 `cloudtrail:StartQuery` 권한을 보유해야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"cloudtrail:StartDashboardRefresh",
"cloudtrail:StartQuery"
],
"Resource": [
"arn:aws:cloudtrail:us-east-1:111111111111:dashboard/dashboard-name",
"arn:aws:cloudtrail:us-east-1:111111111111:eventdatastore/eds-id"
]
}
]
}
```
------
### 대시보드 및 이벤트 데이터 스토어에 대한 리소스 기반 정책
리소스 기반 정책은 리소스에 연결하는 JSON 정책 설명서입니다. 리소스 기반 정책의 예제는 IAM 역할 신뢰 정책과 Amazon S3 버킷 정책입니다. 정책이 연결된 리소스의 경우 정책은 지정된 보안 주체가 해당 리소스와 어떤 조건에서 어떤 작업을 수행할 수 있는지를 정의합니다. 리소스 기반 정책에서 보안 주체를 지정해야 합니다.
수동 또는 예약된 새로 고침 중에 대시보드에서 쿼리를 실행하려면 대시보드의 위젯과 연결된 모든 이벤트 데이터 스토어에 리소스 기반 정책을 연결해야 합니다. 이렇게 하면 CloudTrail Lake가 사용자를 대신하여 쿼리를 실행할 수 있습니다. 사용자 지정 대시보드를 생성하거나 CloudTrail 콘솔을 사용하여 **Highlights** 대시보드를 활성화하면 CloudTrail은 권한을 적용할 이벤트 데이터 스토어를 선택할 수 있는 옵션을 제공합니다. 리소스 기반 정책에 대한 자세한 내용은 [예시: CloudTrail이 쿼리를 실행하여 대시보드를 새로 고치도록 허용](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds-dashboard) 섹션을 참조하세요.
대시보드의 새로 고침 일정을 설정하려면 리소스 기반 정책을 대시보드에 연결하여 CloudTrail Lake가 사용자를 대신하여 대시보드를 새로 고치도록 해야 합니다. 사용자 지정 대시보드에 대한 새로 고침 일정을 설정하거나 CloudTrail 콘솔을 사용하여 **Highlights** 대시보드를 활성화하면 CloudTrail은 대시보드에 리소스 기반 정책을 연결하는 옵션을 제공합니다. 정책 예제는 [대시보드용 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-dashboards)을 참조하세요.
CloudTrail 콘솔, [AWS CLI](lake-dashboard-cli-manage.md#lake-dashboard-cli-add-rbp) 또는 [PutResourcePolicy](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutResourcePolicy.html) API 작업을 사용하여 리소스 기반 정책을 연결할 수 있습니다.
### 이벤트 데이터 스토어의 데이터를 복호화할 수 있는 KMS 키 권한
쿼리되는 이벤트 데이터 스토어가 KMS 키로 암호화된 경우 KMS 키 정책은 CloudTrail이 이벤트 데이터 스토어의 데이터를 복호화하도록 허용하는지 확인합니다. 다음 예제는 CloudTrail 서비스 위탁자가 이벤트 데이터 스토어를 복호화하도록 허용하는 정책 문입니다.
```
{
"Sid": "AllowCloudTrailDecryptAccess",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "kms:Decrypt",
"Resource": "*"
}
```
# CloudTrail 콘솔을 사용하여 관리형 대시보드 보기
CloudTrail Lake는 관리 이벤트, 데이터 이벤트, Insights 이벤트를 수집하는 이벤트 데이터 스토어에 대한 이벤트 추세를 보여주는 관리형 대시보드를 제공합니다. 이러한 대시보드는 CloudTrail Lake에서 관리합니다. 이러한 대시보드의 위젯을 수정, 추가 또는 제거할 수는 없지만 위젯을 수정하거나 새로 고침 일정을 설정하려는 경우 관리형 대시보드를 사용자 지정 대시보드로 저장할 수 있습니다.
**참고**
계정에 있는 이벤트 데이터 스토어에 대해서만 관리형 대시보드를 볼 수 있습니다.
**관리형 대시보드 보기**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 왼쪽 탐색 창의 **Lake**에서 **Dashboard(대시보드)**를 선택합니다.
1. **관리형 및 사용자 지정 대시보드** 탭을 선택합니다.
1. **관리형 대시보드**에서 보려는 대시보드를 선택합니다. 자세한 내용은 [사용 가능한 관리형 대시보드](lake-managed-dashboards.md) 단원을 참조하십시오.
**참고**
드롭다운에는 선택한 대시보드와 관련된 이벤트 데이터 스토어만 표시됩니다. 예를 들어 S3 데이터 이벤트와 같은 데이터 이벤트에 초점을 맞춘 대시보드를 선택하면 데이터 이벤트를 수집하도록 구성된 이벤트 데이터 스토어만 드롭다운에 표시됩니다.
1. 대시보드의 이벤트 데이터 스토어를 선택합니다. CloudTrail은 대시보드를 새로 고칠 때 이 대시보드에서 쿼리를 실행합니다.
1. 위젯에 대한 쿼리를 보려면 위젯 하단에서 **쿼리 보기 및 편집**을 선택하세요.
1. **Absolute range(절대 범위)** 또는 **Relative range(상대 범위)**를 기준으로 대시보드 데이터를 필터링하도록 선택합니다. **Absolute range(절대 범위)**를 선택하여 특정 날짜 및 시간 범위를 선택합니다. 사전 정의된 시간 범위 또는 사용자 지정 범위를 선택하려면 **Relative range(상대 범위)**를 선택합니다. 기본적으로 대시보드에는 지난 24시간 동안의 이벤트 데이터가 표시됩니다.
**참고**
CloudTrail Lake 쿼리는 스캔되는 데이터 양에 따라 비용이 발생합니다. 비용을 제어하기 위해 더 좁은 시간 범위를 기준으로 필터링할 수 있습니다. CloudTrail 요금에 관한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요.
1. 새로 고침 아이콘을 선택하여 대시보드 위젯의 그래픽을 채웁니다. 각 위젯은 새로 고침 상태를 나타냅니다.
## 관리형 대시보드를 사용자 지정 대시보드로 저장
관리형 대시보드는 수정할 수 없지만 사본을 사용자 지정 대시보드로 저장할 수 있습니다. 이렇게 하면 대시보드에 대한 새로 고침 일정을 설정하고 위젯을 수정할 수 있습니다.
**관리형 대시보드를 사용자 지정 대시보드로 저장하기**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 왼쪽 탐색 창의 **Lake**에서 **Dashboard(대시보드)**를 선택합니다.
1. **관리형 및 사용자 지정 대시보드** 탭을 선택합니다.
1. 복사본을 생성할 관리형 대시보드를 선택합니다.
1. **새 대시보드로 저장**을 선택합니다.
1. 대시보드를 식별할 이름을 제공합니다.
1. (선택 사항) **태그** 섹션에 최대 50개의 태그 키 쌍을 추가하여 대시보드를 식별 및 정렬할 수 있습니다. 에서 태그를 사용하는 방법에 대한 자세한 내용은 [AWS 리소스 태그 지정](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *사용 설명서의 리소스 태그 지정 AWS *을 AWS참조하세요.
1. **권한**에서 권한을 적용할 이벤트 데이터 스토어를 선택합니다. CloudTrail은 쿼리를 실행하여 대시보드의 위젯에 대한 데이터를 채우기 때문에 CloudTrail에는 대시보드의 위젯과 연결된 이벤트 데이터 스토어에서 쿼리를 실행할 수 있는 권한이 필요합니다. 이 단계에서 선택한 각 이벤트 데이터 스토어에 대해 CloudTrail은 CloudTrail이 쿼리를 실행하도록 허용하는 리소스 기반 정책을 이벤트 데이터 스토어에 연결합니다. 권한을 허용하지 않으려면 이벤트 데이터 스토어를 선택 취소하시면 됩니다.
1. **대시보드 생성**을 선택합니다.
사용자 지정 대시보드를 생성한 후 [위젯을 추가](lake-dashboard-custom-widgets.md)하고 [위젯을 제거](lake-dashboard-custom-widgets-remove.md)하며, 대시보드에 대한 [새로 고침 일정을 설정](lake-dashboard-refresh.md)할 수 있습니다.
# 사용 가능한 관리형 대시보드
이 섹션에서는 사용 가능한 관리형 대시보드에 대한 정보를 제공하고 각 대시보드에 소개된 위젯에 대한 정보를 제공합니다.
**Topics**
+ [
## 보안 모니터링 대시보드
](#lake-managed-dashboard-security)
+ [
## IAM 활동 대시보드
](#lake-managed-dashboard-iam)
+ [
## 사용자 활동 대시보드
](#lake-managed-dashboard-user)
+ [
## 강화된 이벤트 대시보드
](#lake-managed-dashboard-enriched-events)
+ [
## 오류 분석 대시보드
](#lake-managed-dashboard-error)
+ [
## EC2 활동 대시보드
](#lake-managed-dashboard-ec2)
+ [
## 조직 활동 대시보드
](#lake-managed-dashboard-organizations)
+ [
## 리소스 변경 대시보드
](#lake-managed-dashboard-resources)
+ [
## 데이터 이벤트 개요 대시보드
](#lake-managed-dashboard-data)
+ [
## Lambda 데이터 이벤트 대시보드
](#lake-managed-dashboard-lambda)
+ [
## DynamoDB 데이터 이벤트 대시보드
](#lake-managed-dashboard-dynamodb)
+ [
## S3 데이터 이벤트 대시보드
](#lake-managed-dashboard-s3)
+ [
## Insights 이벤트 대시보드
](#lake-managed-dashboard-insights)
+ [
## 관리 이벤트 대시보드
](#lake-managed-dashboard-mgmt)
+ [
## 개요 대시보드
](#lake-managed-dashboard-overview)
## 보안 모니터링 대시보드
이 대시보드를 사용하면 상위 액세스 거부 이벤트, 실패한 콘솔 로그인 시도 및 관련 IP 주소, 루트 사용자 콘솔 로그인 시도, 파괴적인 작업, 교차 계정 액세스 및 기타 중요한 보안 중심 위젯과 같은 중요한 보안 중심 위젯을 한곳에서 볼 수 있습니다. 신속한 인시던트 감지 및 대응을 제공하여 전반적인 보안 태세를 강화합니다.
이 대시보드는 관리 이벤트를 수집하는 이벤트 데이터 스토어에 사용할 수 있으며 다음과 같은 위젯을 포함합니다.
**상위 액세스 거부 이벤트**
가장 자주 발생하는 액세스 거부 이벤트를 API별로 그룹화하여 추적합니다.
**ConsoleLogin 시도 실패**
MFA 인증 직접 호출자와 비 MFA 인증 직접 호출자를 구분하여 시간 경과에 따른 콘솔 로그인 시도 실패 추세를 추적합니다.
**IP 주소별 ConsoleLogin 시도 실패**
실패한 콘솔 로그인 시도와 관련된 IP 주소를 추적하고 실패한 로그인 횟수를 기준으로 가장 많이 문제가 되는 IP 주소를 표시합니다.
**루트 사용자 ConsoleLogin 시도**
시간 경과에 따른 루트 사용자의 콘솔 로그인 시도 빈도를 추적합니다.
**파괴적인 작업**
시간 경과에 따른 삭제 작업 빈도를 추적합니다.
**상위 교차 계정 액세스**
직접 호출자 계정 ID 및 작업별 상위 교차 계정 활동을 추적합니다.
**MFA를 비활성화한 사용자**
가장 최근에 MFA를 비활성화한 사용자를 추적합니다.
**최근 EC2 SecurityGroup 및 NetworkAcl 변경**
가장 최근의 EC2 SecurityGroup 및 NetworkAcl 변경 사항을 추적합니다.
**퍼블릭 액세스를 허용하는 최근 EC2 SecurityGroup 변경**
퍼블릭(0.0.0.0/0) 액세스를 허용하는 규칙이 있는 최신 EC2 보안 그룹을 추적합니다.
**잠재적인 CloudTrail 비활성화 조치**
CloudTrail 로깅을 방해할 위험이 있는 최근 작업을 추적합니다.
## IAM 활동 대시보드
이 대시보드에서는 일반적으로 사용되는 IAM API, API 오류, IAM 엔티티 변경 사항, 상위 간접 호출자 IP 주소를 파악하여 의도하지 않은 IAM 작업 및 규정 준수 문제를 식별할 수 있습니다.
이 대시보드는 관리 이벤트를 수집하는 이벤트 데이터 스토어에 사용할 수 있으며 다음과 같은 위젯을 포함합니다.
**상위 IAM API**
가장 자주 사용되는 IAM API를 추적합니다.
**상위 IAM 직접 호출자**
IAM API를 가장 자주 직접 호출하는 사용자를 추적합니다.
**IAM 성공 및 실패 추세**
시간 경과에 따른 IAM API 직접 호출 성공 및 실패 추세를 추적합니다.
**상위 IAM API 오류**
IAM API 직접 호출 시 가장 자주 발생하는 오류를 추적합니다.
**상위 AccessDenied IAM API**
가장 빈번하게 액세스 거부 오류로 인해 실패한 IAM API 직접 호출을 추적합니다.
**IAM 직접 호출의 상위 IP 주소**
IAM API 직접 호출이 이루어진 상위 소스 IP 주소를 추적합니다.
**최근 IAM 정책 변경**
변경을 유발한 특정 IAM API 작업, 정책 변경과 관련된 IAM 리소스(사용자, 역할 또는 그룹), 사용된 정책 이름 또는 ARN별로 분류된 IAM 정책의 최신 변경 사항을 추적합니다.
**최근 IAM 사용자 변경 사항**
사용자 관리를 유발한 특정 IAM API, 변경의 영향을 받는 IAM 사용자, 이벤트 시간별로 분류된 IAM 사용자의 가장 최근 변경 사항을 추적합니다.
**가장 많이 수임된 IAM 역할**
가장 자주 수임된 IAM 역할을 추적합니다.
## 사용자 활동 대시보드
이 대시보드는 사용자 활동 추세에 대한 가시성과 함께 가장 활동적인 사용자, 사용자 트래픽 패턴, 액세스 거부 오류가 발생한 사용자, 최근 사용자 작업, 파괴적인 활동을 수행한 사용자 및 IAM 정책 변경, 권한 있는 사용자 작업 등의 주요 영역에 대한 인사이트를 제공합니다. 의도하지 않은 사용자 작업과 보안 위험을 탐지하는 데 도움이 됩니다.
이 대시보드는 관리 이벤트를 수집하는 이벤트 데이터 스토어에 사용할 수 있으며 다음과 같은 위젯을 포함합니다.
**사용자 ARN별 사용자 활동 추세**
사용자 ARN별로 시간 경과에 따른 사용자 활동 추세를 추적합니다.
**API별 사용자 활동 추세**
API별로 시간 경과에 따른 사용자 활동 추세를 추적합니다.
**가장 최근의 사용자 활동**
가장 최근의 사용자 작업을 추적합니다.
**오류가 발생한 상위 사용자**
오류 수가 가장 많은 사용자를 추적합니다.
**AccessDenied 오류가 발생한 상위 사용자**
AccessDenied 오류가 가장 많은 사용자를 추적합니다.
**파괴적인 작업을 수행하는 상위 사용자**
파괴적인 작업을 가장 많이 수행하는 사용자를 추적합니다.
**IAM 정책을 변경하는 상위 사용자**
IAM 정책을 자주 변경하는 IAM 사용자를 추적합니다.
**잠재적 IAM 권한 있는 사용자가 수행한 상위 작업**
관리자 등 권한이 높은 IAM 사용자의 가장 빈번한 작업을 추적합니다.
## 강화된 이벤트 대시보드
이 보강된 이벤트 대시보드는 태그가 지정된 리소스, 위탁자 활동 및 AWS 전역 조건 키의 추세에 대한 인사이트를 제공합니다. 이러한 인사이트는 가장 빈번한 리소스 및 위탁자 태그 배포뿐만 아니라 역할 세션, 요청 및 요청 컨텍스트의 위탁자에서 자주 사용되는 전역 조건 키를 분석하는 데 도움이 됩니다.
이 대시보드는 관리 이벤트를 수집하는 이벤트 데이터 스토어에 사용할 수 있으며 다음과 같은 위젯을 포함합니다.
**시간 경과에 따라 강화된 이벤트**
시간 경과에 따른 보강 이벤트 수를 추적합니다.
**가장 빈번한 리소스 태그 키 값 페어**
보강된 이벤트에서 가장 자주 사용되는 리소스 태그 키-값 페어를 표시합니다.
**연결된 리소스 및 사용자와 가장 빈번한 리소스 태그 키 값 페어**
가장 자주 사용되는 리소스 태그 키-값 페어를 표시하여 이러한 태그를 사용하는 리소스와 해당 태그와 연결된 사용자를 보여줍니다.
**가장 빈번한 위탁자 태그 키 값 페어**
보강된 이벤트에서 가장 자주 사용되는 위탁자 태그 키-값 페어를 표시합니다.
**위탁자 태그 키 값 페어별로 그룹화된 가장 빈번한 액세스 거부 작업**
보강된 이벤트에서 위탁자 태그 키-값 페어별로 그룹화된 가장 빈번한 액세스 거부 작업을 표시합니다.
**IAM 전역 조건 키에서 가장 빈번한 위탁자 속성**
위탁자 속성에 가장 자주 사용되는 IAM 전역 조건 키를 표시하여 모든 이벤트의 키-값 페어와 개수를 표시합니다.
**IAM 전역 조건 키에서 가장 빈번한 요청 속성**
요청 속성에 가장 자주 사용되는 IAM 전역 조건 키를 표시하여 모든 이벤트의 키-값 페어와 개수를 보여줍니다.
**IAM 전역 조건 키에서 가장 빈번한 역할 세션 속성**
역할 세션 속성에 가장 자주 사용되는 IAM 전역 조건 키를 표시하여 모든 이벤트의 키-값 페어와 개수를 보여줍니다.
## 오류 분석 대시보드
이 대시보드는 서비스, API, 사용자, 오류 코드 및 스로틀링이 발생한 API 전반의 오류 추세에 대한 포괄적인 인사이트를 제공합니다. 이 가시성을 통해 잠재적 가용성 문제를 신속하게 식별하고 해결하여 최적의 시스템 성능을 유지할 수 있습니다.
이 대시보드는 관리 이벤트를 수집하는 이벤트 데이터 스토어에 사용할 수 있으며 다음과 같은 위젯을 포함합니다.
**서비스별 오류 수**
활동의 오류 수를 서비스별로 추적합니다.
**API별 오류 수**
활동의 오류 수를 API별로 추적합니다.
**오류 코드별 상위 오류**
가장 자주 발생하는 오류를 오류 코드별로 추적합니다.
**오류 메시지별 상위 오류**
가장 자주 발생하는 오류를 오류 메시지별로 추적합니다.
**API별 상위 AccessDenied 오류**
액세스 거부 오류가 가장 자주 보고된 API를 추적합니다.
**API별 스로틀링이 발생한 상위 오류**
스로틀링이 발생한 오류가 가장 자주 보고된 API를 추적합니다.
**오류가 발생한 상위 사용자**
오류가 가장 자주 보고된 사용자를 추적합니다.
## EC2 활동 대시보드
이 대시보드는 API 추세, 액세스 오류, 상위 인스턴스 런처, 보안 변경 사항, 네트워크 수정과 같은 EC2 관리 활동에 대한 포괄적인 가시성을 제공합니다. 인사이트는 보안 위험과 운영 문제를 식별하는 데 도움이 됩니다.
이 대시보드는 관리 이벤트를 수집하는 이벤트 데이터 스토어에 사용할 수 있으며 다음과 같은 위젯을 포함합니다.
**EC2 인스턴스 관리 활동 개요**
지정된 시간 동안 EC2 인스턴스 관리 활동의 개요를 모니터링하여 시작, 중지, 종료와 같은 주요 작업을 강조 표시합니다.
**EC2 API 성공 및 실패 추세**
시간 경과에 따른 EC2 API 직접 호출 성공 및 실패 추세를 추적합니다.
**주요 EC2 오류**
EC2 API 직접 호출 중에 발생하는 가장 빈번한 오류 코드를 추적합니다.
**상위 EC2 AccessDenied 이벤트**
액세스 거부 오류가 가장 많은 EC2 API를 추적합니다.
**EC2 인스턴스를 시작하는 상위 사용자**
새 EC2 인스턴스를 가장 활동적으로 시작하는 사용자를 추적합니다.
**최근 EC2 SecurityGroup 및 NetworkInterface 변경 사항**
EC2 보안 그룹 및 네트워크 인터페이스의 가장 최근 변경 사항을 추적합니다.
**최근 VPC 관리 및 라우팅 테이블 변경**
VPC 관리 활동 및 라우팅 테이블의 가장 최근 변경 사항을 추적합니다.
**루트 사용자의 최근 EC2 작업**
높은 권한을 가진 루트 사용자가 수행한 가장 최근 EC2 작업을 추적합니다.
## 조직 활동 대시보드
조직 이벤트 데이터 스토어를 위해 설계된 이 대시보드에서는 활성 멤버, 계정 관리, 액세스 패턴, 정책 변경, 사용된 주요 서비스 및 API에 대한 인사이트를 포함하여 조직 활동 및 추세를 파악할 수 있습니다.
이 대시보드는 조직 이벤트 데이터 스토어에 사용할 수 있으며 다음과 같은 위젯을 포함합니다.
**조직 내 활동 추세**
시간 경과에 따라 AWS Organizations 조직 전체의 전체 활동 추세를 추적하여 활동 수준이 높거나 낮은 기간을 파악할 수 있습니다.
**멤버 계정 관리 요약**
조직 내 멤버 계정 관리 활동의 분포를 각 활동 유형의 수를 기준으로 분류하여 추적합니다.
**조직 전체에서 가장 많이 사용되는 서비스**
조직 전체에서 가장 많이 AWS 서비스 사용된를 추적합니다.
**서비스별 가장 활동적인 계정**
조직 AWS 서비스 전체에서를 활용하여 가장 활성이 높은 계정을 추적합니다.
**조직 전체에서 가장 많이 사용되는 API**
전체 조직에서 가장 자주 호출된 AWS APIs를 강조 표시합니다.
**가장 활동적인 멤버 계정**
조직 내에서 활동 수가 가장 많은 멤버 계정을 추적합니다.
**조직 전체의 액세스 거부 오류 추세**
시간 경과에 따라 조직 내에서 발생하는 액세스 거부 오류의 패턴을 추적합니다.
**액세스 거부 오류가 가장 많은 계정 **
조직 내에서 액세스 거부 오류가 가장 많이 발생한 계정을 추적합니다.
**최근 서비스 제어 정책 변경**
조직 내 서비스 제어 정책(SCP)에 대한 최신 변경 사항을 추적합니다.
## 리소스 변경 대시보드
이 대시보드에서는 리소스 관리 활동을 종합적으로 파악하고 서비스 전반의 프로비저닝, 삭제 및 수정 추세를 모니터링할 수 있습니다. CloudFormation을 통해 이루어진 변경 사항, 수동으로 이루어진 변경 사항 그리고 S3 버킷 및 KMS 액세스와 같은 정책에 적용된 변경 사항을 비롯한 중요한 변경 사항이 강조 표시됩니다.
이 대시보드는 관리 이벤트를 수집하는 이벤트 데이터 스토어에 사용할 수 있으며 다음과 같은 위젯을 포함합니다.
**리소스 생성 및 삭제 추세**
시간 경과에 따른 계정 내 리소스 생성 및 삭제를 추적합니다.
**리소스 생성을 가장 많이 수행하는 사용자**
가장 활발하게 새 리소스를 생성하고 있는 사용자를 추적합니다.
**리소스 생성에 가장 많이 사용되는 API**
계정 내에서 새 리소스를 생성하는 데 가장 자주 사용되는 API를 추적합니다.
**리소스 삭제에 가장 많이 사용되는 API**
계정 내에서 리소스를 삭제하는 데 가장 자주 사용되는 API를 추적합니다.
**CloudFormation 외부에서 가장 최근 생성된 리소스**
CloudFormation 거버넌스 외부에서 생성된 새로운 리소스를 추적하여 CloudFormation 템플릿을 통해 관리되지 않는 변경 사항을 강조합니다.
**콘솔을 사용하여 가장 최근 적용된 리소스 변경 사항**
AWS Management Console을 통해 리소스에 적용된 가장 최근의 변경 사항을 추적합니다.
**가장 최근 적용된 S3 버킷 액세스 변경 사항**
가장 최근 적용된 S3 버킷 액세스 변경 사항을 추적합니다.
**가장 최근 적용된 KMS 키 액세스 변경 사항**
가장 최근 적용된 KMS 키 정책 변경 사항을 추적합니다.
## 데이터 이벤트 개요 대시보드
이 대시보드를 사용하면 전체 활동 추세, 상위 서비스, API, 리전, 스로틀링이 발생한 데이터 플레인 API, 주요 데이터 플레인 사용자를 포함하여 이벤트 데이터 스토어의 데이터 이벤트를 한곳에서 볼 수 있습니다. 이 대시보드는 감사 및 문제 해결을 위해 데이터 플레인 API 활동을 모니터링하는 데 도움이 됩니다.
이 대시보드는 데이터 이벤트를 수집하는 이벤트 데이터 스토어에 사용할 수 있으며 다음 위젯을 포함합니다.
**전체 데이터 이벤트 추세**
시간 경과에 따라 계정 내에서 발생하는 전체 데이터 이벤트의 추세를 추적합니다.
**데이터 이벤트를 생성하는 상위 서비스**
계정 내에서 가장 많은 양의 데이터 활동을 생성하는 서비스를 추적합니다.
**데이터 이벤트를 생성하는 상위 API**
계정 내에서 가장 많은 양의 데이터 활동을 생성하는 API를 추적합니다.
**데이터 이벤트를 생성하는 상위 리전**
계정 내에서 가장 많은 양의 데이터 활동을 생성하는 리전을 추적합니다.
**스로틀링이 가장 많이 발생한 데이터 플레인 API**
계정 내에서 스로틀링이 자주 발생하는 데이터 플레인 API를 추적합니다.
**데이터 플레인 API의 상위 사용자**
계정 전체에서 데이터 플레인 API를 가장 많이 사용하는 사용자를 추적합니다.
## Lambda 데이터 이벤트 대시보드
이 대시보드에서는 상위 사용자, 자주 간접 호출되는 함수, 일반적인 API 오류를 비롯한 Lambda 데이터 플레인 API 활동을 파악할 수 있습니다. 이러한 인사이트는 Lambda 사용을 감사하고, 이상 현상을 감지하고, 운영 또는 보안 위험을 완화하는 데 도움이 됩니다.
이 대시보드는 Lambda 데이터 이벤트를 수집하는 이벤트 데이터 스토어에 사용할 수 있으며 다음 위젯을 포함합니다.
**Lambda 데이터 플레인 API 활동**
시간 경과에 따른 계정 내 Lambda 데이터 플레인 API 활동의 추세를 추적합니다.
**Lambda 간접 호출 성공 및 실패 추세**
시간 경과에 따른 Lambda 간접 호출 성공 및 실패 추세를 추적합니다.
**Lambda 간접 호출을 가장 많이 사용하는 사용자**
계정 전체에서 Lambda 함수를 가장 많이 간접 호출한 사용자를 추적합니다.
**가장 많이 간접 호출된 Lambda 함수**
계정 내에서 가장 자주 간접 호출되는 Lambda 함수를 추적합니다.
**상위 10개 Lambda 간접 호출 API 오류**
Lambda 간접 호출 API 직접 호출 중에 가장 많이 발생한 오류 10개를 추적합니다.
**Lambda 간접 호출에서 스로틀링이 가장 많이 발생한 사용자**
Lambda 간접 호출에서 스로틀링 이벤트가 가장 많이 발생한 사용자를 추적합니다.
## DynamoDB 데이터 이벤트 대시보드
이 대시보드에서는 사용 추세, 상위 API, 사용자 및 테이블과 관련된 스로틀링 패턴을 포함하여 DynamoDB 데이터 플레인 API 활동을 파악할 수 있습니다. 이러한 인사이트는 DynamoDB 사용량을 감사하고, 이상 현상을 감지하고, 운영 또는 보안 위험을 완화하는 데 도움이 됩니다.
이 대시보드는 DynamoDB 이벤트를 수집하는 이벤트 데이터 스토어에 사용할 수 있으며 다음과 같은 위젯을 포함합니다.
**DynamoDB 계정 데이터 활동**
시간 경과에 따라 계정 내에서 발생하는 DynamoDB 데이터 이벤트의 추세를 추적합니다.
**DynamoDB 데이터 플레인 API의 성공 및 실패 추세**
시간 경과에 따른 DynamoDB 데이터 플레인 API 직접 호출 성공 및 실패 추세를 추적합니다.
**상위 10개 DynamoDB 데이터 플레인 API**
상위 10개 DynamoDB 데이터 플레인 API 직접 호출을 나열합니다.
**DynamoDB 데이터 플레인 API의 상위 사용자**
계정 내에서 DynamoDB 데이터 플레인 API를 가장 많이 직접 호출한 사용자를 추적합니다.
**상위 10개 DynamoDB 데이터 플레인 API 오류**
DynamoDB 데이터 플레인 API를 직접 호출할 때 발생하는 상위 10개 오류를 추적합니다.
**스로틀링이 가장 많이 발생한 DynamoDB 데이터 플레인 API 사용자**
DynamoDB 데이터 플레인 API를 직접 호출할 때 스로틀링이 가장 자주 발생한 사용자를 추적합니다.
**스로틀링이 가장 많이 발생한 DynamoDB 데이터 플레인 API**
계정 내에서 스로틀링이 자주 발생하는 DynamoDB 데이터 플레인 API를 추적합니다.
**스로틀링이 가장 많이 발생한 DynamoDB 테이블**
계정 내에서 스로틀링 비율이 가장 높은 DynamoDB 테이블을 추적합니다.
## S3 데이터 이벤트 대시보드
이 대시보드에서는 사용량 추세, 가장 많이 액세스된 S3 객체, 상위 S3 사용자, 상위 S3 작업을 비롯한 S3 데이터 플레인 API 활동을 파악할 수 있습니다. 이러한 인사이트는 S3 사용을 감사하고, 이상 현상을 감지하고, 운영 또는 보안 위험을 완화하는 데 도움이 됩니다.
이 대시보드는 Amazon S3 데이터 이벤트를 수집하는 이벤트 데이터 스토어에 사용할 수 있으며 다음 위젯을 포함합니다.
**S3 계정 활동**
S3 계정 활동을 추적합니다.
**가장 많이 액세스된 객체**
가장 많이 액세스된 S3 객체를 나열합니다.
**S3 상위 사용자**
상위 S3 사용자를 추적합니다.
**상위 S3 작업**
상위 S3 작업을 추적합니다.
## Insights 이벤트 대시보드
이 대시보드는 Insights 이벤트의 유형별 전체 분류와 이러한 이벤트 유형을 생성하는 상위 사용자 및 서비스를 보여 줍니다. 또한 일일 Insights 이벤트 수와 Insights 지표의 30일 기록 뷰를 보여 줍니다.
**참고**
소스 이벤트 데이터 스토어에서 처음으로 CloudTrail Insights를 사용 설정한 후 비정상적인 활동이 감지된 경우 CloudTrail이 첫 번째 Insights 이벤트를 전달하는 데 최대 7일이 걸릴 수 있습니다.
**Insights 이벤트** 대시보드에는 선택한 이벤트 데이터 스토어에서 수집한 Insights 이벤트에 대한 정보만 표시되며, 이 정보는 원본 이벤트 데이터 스토어의 구성에 따라 결정됩니다. 예를 들어 `ApiCallRateInsight`의 Insights 이벤트는 활성화되어 있지만, `ApiErrorRateInsight`에 대한 Insights 이벤트는 활성화되지 않도록 소스 이벤트 데이터 스토어를 구성하면, `ApiErrorRateInsight`의 Insights 이벤트 정보는 표시되지 않습니다.
이 대시보드는 Insights 이벤트를 수집하는 이벤트 데이터 스토어에 사용할 수 있으며 다음과 같은 위젯을 포함합니다.
**Insights 유형**
Insights 유형별로 이벤트를 추적합니다.
**날짜별 Insights**
Insights 이벤트를 날짜별로 추적합니다.
**이벤트 소스별 API 직접 호출 속도 Insights**
이벤트 소스별로 API 직접 호출 속도 Insights를 추적합니다. 이 위젯의 데이터를 보려면 API 직접 호출 속도에 대한 인사이트를 수집하도록 Insights 이벤트 데이터 스토어를 구성해야 합니다.
**이벤트 소스별 API 오류율 Insights**
이벤트 소스별로 API 오류율 Insights를 추적합니다. 이 위젯을 보려면 API 오류율에 대한 Insights를 수집하도록 Insights 이벤트 데이터 스토어를 구성해야 합니다.
**상위 사용자별 Insights**
Insights 이벤트를 발생시키는 요청이 있는 상위 사용자를 나열합니다.
**Insights 이벤트**
최근 Insights 이벤트를 나열합니다.
## 관리 이벤트 대시보드
이 대시보드는 액세스 거부 이벤트, 파괴적인 작업, 콘솔 로그인 이벤트, 사용자별 상위 오류, TLS 버전 사용량, 사용자의 오래된 TLS 직접 호출에 대한 인사이트를 제공합니다.
이 대시보드는 관리 이벤트를 수집하는 이벤트 데이터 스토어에 사용할 수 있으며 다음과 같은 위젯을 포함합니다.
**상위 액세스 거부 이벤트**
액세스 거부 오류가 발생한 상위 이벤트를 추적합니다.
**사용자별 상위 오류**
사용자별 상위 오류를 추적합니다.
**콘솔 로그인 이벤트**
콘솔 로그인 이벤트를 보여 줍니다.
**파괴적인 작업**
파괴적인 작업을 일으킨 작업을 추적합니다.
**TLS 버전**
TLS 버전을 표시합니다.
**사용자의 오래된 TLS 직접 호출**
오래된 TLS 버전을 사용한 직접 호출을 사용자별로 추적합니다.
## 개요 대시보드
이 대시보드는 액세스 거부 이벤트, 파괴적인 작업, 콘솔 로그인 이벤트, 사용자별 상위 오류, TLS 버전 사용량, 사용자의 오래된 TLS 직접 호출에 대한 인사이트를 제공합니다.
이 대시보드는 관리 이벤트를 수집하는 이벤트 데이터 스토어에 사용할 수 있으며 다음과 같은 위젯을 포함합니다.
**계정 활동**
계정의 읽기 및 쓰기 활동을 추적합니다.
**상위 오류**
가장 자주 발생하는 오류를 나열합니다.
**가장 활동적인 리전**
가장 활동적인 AWS 리전을 보여 줍니다.
**상위 서비스**
상위 서비스를 보여 줍니다.
**스로틀링이 가장 많이 발생한 이벤트**
스로틀링이 가장 많이 발생한 이벤트를 나열합니다.
**상위 사용자(Top users)**
상위 사용자를 나열합니다.
# CloudTrail 콘솔을 사용하여 Highlights 대시보드 활성화
Highlights 대시보드를 활성화하면 계정의 이벤트 데이터 스토어에서 수집한 AWS 활동의 개요를 한눈에 볼 수 있습니다. Highlights 대시보드는 CloudTrail에서 관리하며 계정과 관련된 위젯을 포함합니다. Highlights 대시보드에 표시되는 위젯은 계정마다 고유합니다. 이러한 위젯은 탐지된 비정상적인 활동이나 이상 현상에 대해 알려 줄 수 있습니다. 예를 들어 Highlights 대시보드에는 비정상적인 교차 계정 활동이 증가했는지 보여 주는 **전체 교차 계정 액세스 위젯**이 포함될 수 있습니다.
CloudTrail은 6시간마다 Highlights 대시보드를 업데이트합니다. 대시보드에는 마지막 업데이트 이후 지난 24시간 동안의 데이터가 표시됩니다.
**참고**
계정에 있는 이벤트 데이터 스토어에 대해서만 Highlights 대시보드를 활성화할 수 있습니다.
Highlights 대시보드의 새로 고침 일정을 설정하거나 위젯을 추가 또는 제거할 수 없습니다.
## Highlights 대시보드 활성화
다음 절차를 이용하여 Highlights 대시보드를 활성화합니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 왼쪽 탐색 창의 **Lake**에서 **Dashboard(대시보드)**를 선택합니다.
1. **Highlights** 탭을 선택합니다.
1. 쿼리를 실행하면 CloudTrail 요금이 발생하므로 CloudTrail은 **Highlights** 대시보드를 활성화하기 전에 비용 정보를 검토하도록 요청합니다. CloudTrail 요금에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요.
**동의를 선택하고 Highlights를 활성화**하여 Highlights 대시보드를 활성화합니다.
1. **권한**에서 권한을 적용할 이벤트 데이터 스토어를 선택합니다. CloudTrail에는 이벤트 데이터 스토어에서 쿼리를 실행하고 사용자를 대신하여 대시보드를 새로 고칠 수 있는 권한이 필요합니다. 권한을 제공하기 위해 CloudTrail은 이 단계에서 선택한 각 이벤트 데이터 스토어에 기본 리소스 기반 정책을 연결하여 CloudTrail이 이벤트 데이터 스토어에서 쿼리를 실행하도록 합니다. CloudTrail은 리소스 기반 정책을 대시보드에 연결하여 CloudTrail이 6시간마다 대시보드를 새로 고치도록 합니다.
이벤트 데이터 스토어의 리소스 기반 정책은 세부 정보 페이지에서 수정할 수 있습니다. 대시보드의 **작업** 메뉴에서 **정책 편집**을 선택하여 대시보드의 리소스 기반 정책을 수정할 수 있습니다.
1. **확인**을 선택합니다.
**Highlights** 대시보드를 활성화하면 종료 방지 기능이 자동으로 활성화됩니다. 종료 방지는 대시보드가 실수로 삭제되는 것을 방지합니다. 대시보드를 비활성화하려면 종료 방지 기능을 비활성화해야 합니다.
# CloudTrail 콘솔을 사용하여 Highlights 대시보드 비활성화
이 섹션에서는 Highlights 대시보드를 비활성화하는 방법을 설명합니다. Highlights 대시보드에 대해 종료 방지가 자동으로 활성화되므로 먼저 종료 방지를 비활성화한 다음 Highlights 대시보드를 비활성화해야 합니다.
**Highlights 대시보드 비활성화**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 왼쪽 탐색 창의 **Lake**에서 **Dashboard(대시보드)**를 선택합니다.
1. **Highlights** 탭을 선택합니다.
1. **작업**에서 **종료 방지 기능 변경**을 선택합니다.
1. **비활성화됨**을 선택합니다.
1. **저장**을 선택합니다.
1. **작업**에서 **Highlights 비활성화**를 선택합니다.
# CloudTrail 콘솔로 사용자 지정 대시보드 생성
사용자 지정 대시보드를 생성하고 각 사용자 지정 대시보드에 위젯을 최대 10개까지 추가할 수 있습니다. 샘플 위젯을 추가하거나 SQL 쿼리에서 새 위젯을 생성하도록 선택할 수 있습니다.
위젯 추가를 완료한 후 대시보드를 수동으로 새로 고치거나 새로 고침 일정을 설정할 수 있습니다.
**사용자 지정 대시보드 생성**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 왼쪽 탐색 창의 **Lake**에서 **Dashboard(대시보드)**를 선택합니다.
1. **관리형 및 사용자 지정 대시보드** 탭을 선택합니다.
1. **내 대시보드 빌드**를 선택합니다.
1. 대시보드 이름을 제공하여 대시보드를 식별합니다.
1. **권한**에서 권한을 적용할 이벤트 데이터 스토어를 선택합니다. CloudTrail은 쿼리를 실행하여 대시보드의 위젯에 대한 데이터를 채우기 때문에 CloudTrail에는 대시보드의 위젯과 연결된 이벤트 데이터 스토어에서 쿼리를 실행할 수 있는 권한이 필요합니다. 이 단계에서 선택한 각 이벤트 데이터 스토어에 대해 CloudTrail은 CloudTrail이이 대시보드의 이벤트 데이터 스토어에서 쿼리를 실행하도록 허용하는 리소스 기반 정책을 이벤트 데이터 스토어에 연결합니다.
1. (선택 사항) **태그** 섹션에 최대 50개의 태그 키 쌍을 추가하여 대시보드를 식별 및 정렬할 수 있습니다. 에서 태그를 사용하는 방법에 대한 자세한 내용은 [AWS 리소스 태그 지정](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *사용 설명서의 AWS 리소스 태그 지정*을 AWS참조하세요.
1. **대시보드 생성**을 선택합니다.
다음으로 위젯을 추가하고 [새로 고침 일정을 설정](lake-dashboard-refresh.md)할 수 있습니다.
**Topics**
+ [
# CloudTrail 콘솔을 사용하여 샘플 위젯 추가
](lake-dashboard-custom-widgets.md)
+ [
# CloudTrail 콘솔을 사용하여 SQL 쿼리에서 새 위젯 생성
](lake-dashboard-custom-widgets-new.md)
+ [
# CloudTrail 콘솔을 사용하여 대시보드에서 위젯 제거
](lake-dashboard-custom-widgets-remove.md)
# CloudTrail 콘솔을 사용하여 샘플 위젯 추가
이 섹션에서는 대시보드에 샘플 위젯을 추가하는 방법을 설명합니다. 사용자 지정 대시보드에 위젯을 최대 10개까지 추가할 수 있습니다.
**참고**
샘플 위젯은 계정에 있는 단일 이벤트 데이터 스토어로 제한됩니다. 계정의 여러 이벤트 데이터 스토어를 쿼리하려면 [새 위젯을 생성](lake-dashboard-custom-widgets-new.md)하세요.
**대시보드에 샘플 위젯 추가**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 왼쪽 탐색 창의 **Lake**에서 **Dashboard(대시보드)**를 선택합니다.
1. **관리형 및 사용자 지정 대시보드** 탭을 선택합니다.
1. **사용자 지정 대시보드**에서 위젯을 추가할 대시보드를 선택합니다.
1. **작업**에서 **편집 대시보드**를 선택합니다.
1. **작업**에서 **샘플 위젯 추가**를 선택합니다.
1. 쿼리를 실행하려는 이벤트 데이터 스토어를 선택합니다. 계정에 있는 이벤트 데이터 스토어만 선택할 수 있습니다.
1. 추가할 샘플 위젯을 선택합니다. 기본적으로 모든 샘플 위젯이 표시됩니다. 위젯 유형(예: IAM 위젯)을 기준으로 필터링할 수 있습니다.
1. 선택한 위젯에 대한 쿼리를 보려면 **쿼리 보기**를 선택합니다.
1. **대시보드에 추가**를 선택하여 대시보드에 위젯을 추가합니다.
1. **저장**을 선택하여 대시보드를 저장합니다.
# CloudTrail 콘솔을 사용하여 SQL 쿼리에서 새 위젯 생성
이 섹션에서는 SQL 쿼리를 작성하거나 붙여넣고 차트 유형을 선택하여 새 위젯을 생성하는 방법을 설명합니다. 사용자 지정 대시보드에 위젯을 최대 10개까지 추가할 수 있습니다.
**SQL 쿼리에서 새 위젯 생성**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 왼쪽 탐색 창의 **Lake**에서 **Dashboard(대시보드)**를 선택합니다.
1. **관리형 및 사용자 지정 대시보드** 탭을 선택합니다.
1. **사용자 지정 대시보드**에서 위젯을 생성할 대시보드를 선택합니다.
1. **작업**에서 **편집 대시보드**를 선택합니다.
1. **작업**에서 **새 위젯 생성**을 선택합니다.
1. 쿼리를 실행하려는 이벤트 데이터 스토어를 선택합니다. 계정에 이벤트 데이터 스토어가 있는 한 여러 이벤트 데이터 스토어를 쿼리할 수 있습니다.
1. SQL 쿼리를 작성하거나 복사합니다.
영어로 자연어 프롬프트를 제공하고 **쿼리 생성**을 선택하여 프롬프트에서 SQL 쿼리를 생성할 수도 있습니다. 자세한 내용은 [자연어 프롬프트로 CloudTrail Lake 쿼리 생성](lake-query-generator.md) 단원을 참조하십시오.
1. **실행**을 선택하여 쿼리를 실행하고 쿼리 결과를 미리 봅니다.
**참고**
쿼리를 실행하면, 비용은 스캔한 최적화된 압축 데이터의 양을 기준으로 청구됩니다. 비용을 제어하려면 쿼리에 시작 및 끝의 `eventTime` 타임 스탬프를 추가하여 쿼리를 제한하는 것이 좋습니다.
1. **시각화 도우미** 탭을 선택하여 위젯의 차트 유형을 선택합니다. 이러한 차트, 즉 테이블, 막대 차트, 선 차트, 원형 차트 중에서 선택할 수 있습니다.
1. **대시보드에 추가**를 선택하여 대시보드에 위젯을 추가합니다.
1. **저장**을 선택하여 대시보드를 저장합니다.
# CloudTrail 콘솔을 사용하여 대시보드에서 위젯 제거
이 섹션에서는 사용자 지정 대시보드에서 위젯을 제거하는 방법을 설명합니다.
**대시보드에서 위젯 제거**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 왼쪽 탐색 창의 **Lake**에서 **Dashboard(대시보드)**를 선택합니다.
1. **관리형 및 사용자 지정 대시보드** 탭을 선택합니다.
1. **사용자 지정 대시보드**에서 위젯을 제거할 대시보드를 선택합니다.
1. **작업**에서 **편집 대시보드**를 선택합니다.
1. 제거하려는 위젯에서 제거 아이콘(![\[Vertical ellipsis icon representing a menu or more options.\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/remove-icon.png))을 선택한 다음 **제거**를 선택합니다.
1. **저장**을 선택하여 대시보드를 저장합니다.
# CloudTrail 콘솔을 사용하여 사용자 지정 대시보드의 새로 고침 일정 설정
이 섹션에서는 대시보드 새로 고침 일정을 설정하는 방법을 설명합니다. CloudTrail Lake가 1시간, 6시간, 12시간 또는 24시간(1일)마다 대시보드를 새로 고치도록 새로 고침 일정을 설정할 수 있습니다.
CloudTrail 콘솔을 사용하여 새로 고침 일정을 설정하면 CloudTrail은 CloudTrail이 사용자를 대신하여 대시보드를 새로 고치도록 허용하는 리소스 기반 정책을 대시보드에 연결합니다.
**새로 고침 일정 설정**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 왼쪽 탐색 창의 **Lake**에서 **Dashboard(대시보드)**를 선택합니다.
1. **관리형 및 사용자 지정 대시보드** 탭을 선택합니다.
1. **사용자 지정 대시보드**에서 새로 고침 일정을 설정할 대시보드를 선택합니다.
1. 드롭다운 목록에서 새로 고침 빈도를 선택합니다.
1. 새로 고침 일정을 생성하기 위해 CloudTrail은 CloudTrail이 사용자를 대신하여 대시보드를 새로 고칠 수 있도록 리소스 기반 정책을 대시보드에 연결합니다. **대시보드 리소스 정책**을 확장하여 CloudTrail이 대시보드에 연결할 리소스 기반 정책을 확인합니다.
1. 쿼리를 실행하면 비용이 발생하므로 CloudTrail은 CloudTrail이 예약된 빈도에 대해 쿼리를 실행할지 확인하도록 요청합니다. **확인**을 선택하여 새로 고침 일정을 설정합니다.
# CloudTrail 콘솔을 사용하여 사용자 지정 대시보드의 새로 고침 일정 비활성화
CloudTrail에서 대시보드를 자동으로 새로 고치지 않고 대신 대시보드를 수동으로 새로 고치려는 경우 새로 고침 일정을 비활성화할 수 있습니다.
**새로 고침 일정 비활성화**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 왼쪽 탐색 창의 **Lake**에서 **Dashboard(대시보드)**를 선택합니다.
1. **관리형 및 사용자 지정 대시보드** 탭을 선택합니다.
1. **사용자 지정 대시보드**에서 새로 고침 일정을 비활성화할 대시보드를 선택합니다.
1. 드롭다운 목록에서 **새로 고침 일정 비활성화**를 선택합니다.
![\[새로 고침 일정 비활성화 옵션\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/ct-lake-disable-schedule.png)
# CloudTrail 콘솔을 사용한 변경 종료 보호
종료 방지는 대시보드가 실수로 삭제되는 것을 방지합니다. 사용자 지정 대시보드를 삭제하거나 Highlights 대시보드를 비활성화하려면 종료 방지를 비활성화해야 합니다.
**종료 방지 기능 끄기**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **대시보드**를 선택합니다.
1. 종료 방지를 비활성화할 대시보드를 선택합니다.
1. **작업**에서 **종료 방지 기능 변경**을 선택합니다.
1. **비활성화됨**을 선택합니다.
1. **저장**을 선택합니다.
**종료 방지 기능 켜기**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **대시보드**를 선택합니다.
1. 종료 방지를 활성화할 대시보드를 선택합니다.
1. **작업**에서 **종료 방지 기능 변경**을 선택합니다.
1. 종료 방지 기능을 켜려면 **활성화됨**을 선택합니다.
1. **저장**을 선택합니다.
# CloudTrail 콘솔로 사용자 지정 대시보드 삭제
이 섹션에서는 CloudTrail을 사용하여 대시보드를 삭제하는 방법을 설명합니다.
**참고**
[종료 방지](lake-dashboard-termination-protection.md) 기능이 활성화된 경우 이벤트 데이터 스토어를 삭제할 수 없습니다.
**대시보드 삭제**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **대시보드**를 선택합니다.
1. **관리형 및 사용자 지정 대시보드** 탭을 선택합니다.
1. 삭제할 사용자 지정 대시보드를 선택합니다.
1. **작업**에서 **삭제**를 선택합니다.
1. **삭제**를 선택하여 대시보드 삭제를 확인합니다.
# 를 사용하여 대시보드 생성, 업데이트 및 관리 AWS CLI
이 섹션에서는 CloudTrail Lake 대시보드를 생성, 업데이트 및 관리하는 데 사용할 수 있는 AWS CLI 명령에 대해 설명합니다.
를 사용할 때 명령은 프로파일에 대해 AWS 리전 구성된에서 실행 AWS CLI됩니다. 다른 리전에서 명령을 실행하려는 경우 프로필의 기본 리전을 변경하거나 명령에 `--region` 파라미터를 사용합니다.
## 대시보드에 사용 가능한 명령
CloudTrail Lake에서 대시보드를 생성하고 업데이트하기 위한 명령은 다음과 같습니다.
+ `create-dashboard`는 사용자 지정 대시보드를 생성하거나 Highlights 대시보드를 활성화합니다.
+ `update-dashboard`는 사용자 지정 대시보드 또는 Highlights 대시보드를 업데이트합니다.
+ `delete-dashboard`는 사용자 지정 대시보드 또는 Highlights 대시보드를 삭제합니다.
+ `get-dashboard`는 지정된 대시보드에 대한 정보를 반환합니다.
+ `list-dashboards`는 사용자 AWS 계정또는 지정된 필터에 대한 모든 대시보드를 나열합니다.
+ `start-dashboard-refresh`는 대시보드 새로 고침을 시작합니다.
+ `get-resource-policy`는 대시보드에 연결된 리소스 기반 정책을 가져옵니다.
+ `put-resource-policy`는 CloudTrail이 사용자를 대신하여 대시보드를 비동기적으로 새로 고칠 수 있도록 리소스 기반 정책을 대시보드에 연결합니다. 또한 CloudTrail이 이벤트 데이터 스토어에서 쿼리를 실행하여 대시보드 위젯의 데이터를 채우도록 리소스 기반 정책을 이벤트 데이터 스토어에 연결합니다.
+ `delete-resource-policy`는 대시보드에 연결된 리소스 기반 정책을 제거합니다.
+ `add-tags`는 대시보드를 식별하기 위해 태그를 추가합니다.
+ `remove-tags`는 대시보드에서 태그를 제거합니다.
+ `list-tags`는 대시보드의 태그를 나열합니다.
CloudTrail Lake 이벤트 데이터 저장소에 사용할 수 있는 명령 목록은 [이벤트 데이터 저장소에 대해 사용 가능한 명령](lake-eds-cli.md#lake-eds-cli-commands) 섹션을 참조하세요.
CloudTrail Lake 쿼리에 사용할 수 있는 명령 목록은 [CloudTrail Lake 쿼리에 대해 사용 가능한 명령](lake-queries-cli.md#lake-queries-cli-commands) 섹션을 참조하세요.
CloudTrail Lake 통합에 사용할 수 있는 명령 목록은 [CloudTrail Lake 통합에 대해 사용 가능한 명령](lake-integrations-cli.md#lake-integrations-cli-commands) 섹션을 참조하세요.
**주제:**
+ [를 사용하여 대시보드 생성 AWS CLI](lake-dashboard-cli-create.md)
+ [를 사용하여 대시보드 관리 AWS CLI](lake-dashboard-cli-manage.md)
+ [를 사용하여 대시보드 삭제 AWS CLI](lake-dashboard-cli-delete.md)
# 를 사용하여 대시보드 생성 AWS CLI
이 섹션에서는 `create-dashboard` 명령을 사용하여 사용자 지정 대시보드 또는 Highlights 대시보드를 생성하는 방법을 설명합니다.
를 사용할 때 명령은 프로파일에 대해 AWS 리전 구성된에서 실행 AWS CLI됩니다. 다른 리전에서 명령을 실행하려는 경우 프로필의 기본 리전을 변경하거나 명령에 `--region` 파라미터를 사용합니다.
CloudTrail 는 수동 또는 예약된 새로 고침 중에 쿼리를 실행하여 대시보드의 위젯을 채웁니다. CloudTrail에는 대시보드 위젯과 연결된 각 이벤트 데이터 스토어에서 `StartQuery` 작업을 실행할 수 있는 권한이 부여되어야 합니다. 권한을 제공하려면 `put-resource-policy` 명령을 실행하여 각 이벤트 데이터 스토어에 리소스 기반 정책을 연결하거나 CloudTrail 콘솔에서 이벤트 데이터 스토어의 정책을 편집하세요. 정책 예제는 [예시: CloudTrail이 쿼리를 실행하여 대시보드를 새로 고치도록 허용](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds-dashboard)을 참조하세요.
새로 고침 일정을 설정하려면 사용자를 대신하여 대시보드를 새로 고치는 `StartDashboardRefresh` 작업을 실행할 수 있는 권한이 부여 CloudTrail 되어야 합니다. 권한을 제공하려면 `put-resource-policy` 작업을 실행하여 대시보드에 리소스 기반 정책을 연결하거나 CloudTrail 콘솔에서 대시보드의 정책을 편집하세요. 정책 예제는 [대시보드용 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-dashboards)을 참조하세요.
**Topics**
+ [
## 를 사용하여 사용자 지정 대시보드 생성 AWS CLI
](#lake-dashboard-cli-create-custom)
+ [
## 를 사용하여 Highlights 대시보드 활성화 AWS CLI
](#lake-dashboard-cli-create-highlights)
+ [
# 위젯 속성 보기
](lake-widget-properties.md)
## 를 사용하여 사용자 지정 대시보드 생성 AWS CLI
다음 절차에서는 사용자 지정 대시보드를 생성하고, 이벤트 데이터 스토어 및 대시보드에 필요한 리소스 기반 정책을 연결하고, 대시보드를 업데이트하여 새로 고침 일정을 설정 및 활성화하는 방법을 보여줍니다.
1. `create-dashboard`를 실행하여 대시보드를 생성합니다.
사용자 지정 대시보드를 생성할 때 최대 10개의 위젯이 있는 배열을 전달할 수 있습니다. 위젯은 쿼리 결과를 그래픽으로 보여줍니다. 각 위젯은 `ViewProperties`, `QueryStatement` 및 `QueryParameters`로 구성됩니다.
+ `ViewProperties` - 보기 유형의 속성을 지정합니다. 자세한 내용은 [위젯 속성 보기](lake-widget-properties.md) 단원을 참조하십시오.
+ `QueryStatement` - 대시보드가 새로 고쳐지면 CloudTrail 쿼리가 실행됩니다. 계정에 이벤트 데이터 스토어가 있는 한 여러 이벤트 데이터 스토어를 쿼리할 수 있습니다.
+ `QueryParameters` - 사용자 지정 대시보드인 `$Period$`, `$StartTime$` 및 `$EndTime$`에 대해 다음 `QueryParameters` 값이 지원됩니다. `QueryParameters`를 사용하려면 파라미터를 대체하려는 `QueryStatement`에 `?`를 배치하세요. CloudTrail은 쿼리가 실행될 때 파라미터를 채웁니다.
다음 예제에서는 각 보기 유형 중 하나인 4개의 위젯이 있는 대시보드를 생성합니다.
**참고**
이 예제에서는 `?`가 `eventTime`과 함께 사용되므로 작은 따옴표로 묶여 있습니다. 실행 중인 운영 체제에 따라 작은따옴표를 이스케이프 따옴표로 묶어야 할 수 있습니다. 자세한 내용은 [AWS CLI에서 문자열에 따옴표와 리터럴 사용](https://docs.aws.amazon.com/cli/v1/userguide/cli-usage-parameters-quoting-strings.html)을 참조하세요.
```
aws cloudtrail create-dashboard --name AccountActivityDashboard \
--widgets '[
{
"ViewProperties": {
"Height": "2",
"Width": "4",
"Title": "TopErrors",
"View": "Table"
},
"QueryStatement": "SELECT errorCode, COUNT(*) AS eventCount FROM eds WHERE eventTime > '?' AND eventTime < '?' AND (errorCode is not null) GROUP BY errorCode ORDER BY eventCount DESC LIMIT 100",
"QueryParameters": ["$StartTime$", "$EndTime$"]
},
{
"ViewProperties": {
"Height": "2",
"Width": "4",
"Title": "MostActiveRegions",
"View": "PieChart",
"LabelColumn": "awsRegion",
"ValueColumn": "eventCount",
"FilterColumn": "awsRegion"
},
"QueryStatement": "SELECT awsRegion, COUNT(*) AS eventCount FROM eds where eventTime > '?' and eventTime < '?' GROUP BY awsRegion ORDER BY eventCount LIMIT 100",
"QueryParameters": ["$StartTime$", "$EndTime$"]
},
{
"ViewProperties": {
"Height": "2",
"Width": "4",
"Title": "AccountActivity",
"View": "LineChart",
"YAxisColumn": "eventCount",
"XAxisColumn": "eventDate",
"FilterColumn": "readOnly"
},
"QueryStatement": "SELECT DATE_TRUNC('?', eventTime) AS eventDate, IF(readOnly, 'read', 'write') AS readOnly, COUNT(*) as eventCount FROM eds WHERE eventTime > '?' AND eventTime < '?' GROUP BY DATE_TRUNC('?', eventTime), readOnly ORDER BY DATE_TRUNC('?', eventTime), readOnly",
"QueryParameters": ["$Period$", "$StartTime$", "$EndTime$", "$Period$", "$Period$"]
},
{
"ViewProperties": {
"Height": "2",
"Width": "4",
"Title": "TopServices",
"View": "BarChart",
"LabelColumn": "service",
"ValueColumn": "eventCount",
"FilterColumn": "service",
"Orientation": "Horizontal"
},
"QueryStatement": "SELECT REPLACE(eventSource, '.amazonaws.com') AS service, COUNT(*) AS eventCount FROM eds WHERE eventTime > '?' AND eventTime < '?' GROUP BY eventSource ORDER BY eventCount DESC LIMIT 100",
"QueryParameters": ["$StartTime$", "$EndTime$"]
}
]'
```
1. 위젯의 `QueryStatement`에 포함된 각 이벤트 데이터 스토어에 필요한 리소스 정책을 사용하여 별도의 파일을 생성합니다. 다음 예제 정책 문을 사용하여 *policy.json* 파일의 이름을 지정합니다.
*123456789012*를 계정 ID로, *arn:aws:cloudtrail:us-east-1:123456789012:dashboard/exampleDashboard*를 대시보드의 ARN으로 바꿉니다.
대시보드용 리소스 기반 정책에 대한 자세한 내용은 [예시: CloudTrail이 쿼리를 실행하여 대시보드를 새로 고치도록 허용](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds-dashboard) 섹션을 참조하세요.
1. `put-resource-policy` 명령을 실행하여 정책을 연결합니다. CloudTrail 콘솔에서 이벤트 데이터 스토어의 리소스 기반 정책을 업데이트할 수도 있습니다.
다음 예제에서는 리소스 기반 정책을 이벤트 데이터 스토어에 연결합니다.
```
aws cloudtrail put-resource-policy \
--resource-arn eds-arn \
--resource-policy file://policy.json
```
1. `put-resource-policy` 명령을 실행하여 리소스 기반 정책을 대시보드에 연결합니다. 정책 예제는 [대시보드용 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-dashboards)을 참조하세요.
다음 예제에서는 대시보드에 리소스 기반 정책을 연결합니다. *account-id*를 계정 ID로 바꾸고 *dashboard-arn*을 대시보드의 ARN으로 바꿉니다.
```
aws cloudtrail put-resource-policy \
--resource-arn dashboard-arn \
--resource-policy '{"Version": "2012-10-17", "Statement": [{"Sid": "DashboardPolicy", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "cloudtrail:StartDashboardRefresh", "Condition": { "StringEquals": { "AWS:SourceArn": "dashboard-arn", "AWS:SourceAccount": "account-id"}}}]}'
```
1. `update-dashboard` 명령을 실행하여 `--refresh-schedule` 파라미터를 구성함으로써 새로 고침 일정을 설정하고 활성화합니다.
`--refresh-schedule`는 다음과 같은 선택적 파라미터로 구성되어 있습니다.
+ `Frequency` - 일정에 대한 `Value` 및 `Unit`입니다.
사용자 지정 대시보드의 경우 단위는 `HOURS` 또는 `DAYS`일 수 있습니다.
사용자 지정 대시보드의 경우 단위가 `HOURS`: `1`, `6`, `12`, `24`인 경우 다음 값이 유효합니다.
사용자 지정 대시보드의 경우 단위가 `DAYS`인 경우 유일하게 유효한 값은 `1`입니다.
+ `Status` – 새로고침 일정의 활성화 여부를 지정합니다. 값을 `ENABLED`로 설정하여 새로 고침 일정을 활성화하거나 `DISABLED`로 설정하여 새로 고침 일정을 끕니다.
+ `TimeOfDay ` - 일정을 실행할 UTC 기준 시간입니다. 시간 단위의 경우 분 단위만 나타냅니다. 기본값은 00:00입니다.
다음 예제에서는 6시간마다 새로 고침 일정을 설정하고 일정을 활성화합니다.
```
aws cloudtrail update-dashboard --dashboard-id AccountActivityDashboard \
--refresh-schedule '{"Frequency": {"Unit": "HOURS", "Value": 6}, "Status": "ENABLED"}'
```
## 를 사용하여 Highlights 대시보드 활성화 AWS CLI
다음 절차에서는 Highlights 대시보드를 생성하고, 이벤트 데이터 스토어 및 대시보드에 필요한 리소스 기반 정책을 연결하고, 대시보드를 업데이트하여 새로 고침 일정을 설정 및 활성화하는 방법을 보여줍니다.
1. `create-dashboard` 명령을 실행하여 Highlights 대시보드를 생성합니다. 이 대시보드를 생성하려면 `--name`이 `AWSCloudTrail-Highlights`여야 합니다.
```
aws cloudtrail create-dashboard --name AWSCloudTrail-Highlights
```
1. 계정의 각 이벤트 데이터 스토어에 대해 `put-resource-policy` 명령을 실행하여 리소스 기반 정책을 이벤트 데이터 스토어에 연결합니다. CloudTrail 콘솔에서 이벤트 데이터 스토어의 리소스 기반 정책을 업데이트할 수도 있습니다. 정책 예제는 [예시: CloudTrail이 쿼리를 실행하여 대시보드를 새로 고치도록 허용](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds-dashboard)을 참조하세요.
다음 예제에서는 리소스 기반 정책을 이벤트 데이터 스토어에 연결합니다. *account-id*를 계정 ID로, *eds-arn*을 이벤트 데이터 스토어의 ARN으로, *dashboard-arn*을 대시보드의 ARN으로 바꿉니다.
```
aws cloudtrail put-resource-policy \
--resource-arn eds-arn \
--resource-policy '{"Version": "2012-10-17", "Statement": [{"Sid": "EDSPolicy", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "cloudtrail:StartQuery", "Condition": { "StringEquals": { "AWS:SourceArn": "dashboard-arn", "AWS:SourceAccount": "account-id"}}} ]}'
```
1. `put-resource-policy` 명령을 실행하여 리소스 기반 정책을 대시보드에 연결합니다. 정책 예제는 [대시보드용 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-dashboards)을 참조하세요.
다음 예제에서는 대시보드에 리소스 기반 정책을 연결합니다. *account-id*를 계정 ID로 바꾸고 *dashboard-arn*을 대시보드의 ARN으로 바꿉니다.
```
aws cloudtrail put-resource-policy \
--resource-arn dashboard-arn \
--resource-policy '{"Version": "2012-10-17", "Statement": [{"Sid": "DashboardPolicy", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "cloudtrail:StartDashboardRefresh", "Condition": { "StringEquals": { "AWS:SourceArn": "dashboard-arn", "AWS:SourceAccount": "account-id"}}}]}'
```
1. `update-dashboard` 명령을 실행하여 `--refresh-schedule` 파라미터를 구성함으로써 새로 고침 일정을 설정하고 활성화합니다. Highlights 대시보드의 경우 유일하게 유효한 `UNIT`은 `HOURS`이고 유일하게 유효한 `Value`는 `6`입니다.
```
aws cloudtrail update-dashboard --dashboard-id AWSCloudTrail-Highlights \
--refresh-schedule '{"Frequency": {"Unit": "HOURS", "Value": 6}, "Status": "ENABLED"}'
```
# 위젯 속성 보기
이 섹션에서는 표, 선 차트, 파이형 차트, 막대 차트와 같은 4가지 보기 유형에 대해 구성 가능한 보기 속성을 설명합니다.
**Topics**
+ [
## 표
](#lake-widget-table)
+ [
## 선 차트
](#lake-widget-linechart)
+ [
## 파이 차트
](#lake-widget-piechart)
+ [
## 막대 차트
](#lake-widget-barchart)
## 표
다음 예제에서는 표로 구성된 위젯을 보여줍니다.
```
{
"ViewProperties": {
"Height": "2",
"Width": "4",
"Title": "TopErrors",
"View": "Table"
},
"QueryStatement": "SELECT errorCode, COUNT(*) AS eventCount FROM eds WHERE eventTime > '?' AND eventTime < '?' AND (errorCode is not null) GROUP BY errorCode ORDER BY eventCount DESC LIMIT 100",
"QueryParameters": ["$StartTime$", "$EndTime$"]
}
```
다음 표에서는 표의 구성 가능한 보기 속성을 설명합니다.
| 파라미터 | 필수 | 값 |
| --- | --- | --- |
| `Height` | 예 | 인치 기준 표의 높이입니다. |
| `Width` | 예 | 인치 기준 표의 너비입니다. |
| `Title` | 예 | 표의 제목입니다. |
| `View` | 예 | 위젯 보기 유형입니다. 테이블의 경우 값은 `Table`입니다. |
## 선 차트
다음 예제에서는 선 차트로 구성된 위젯을 보여줍니다.
```
{
"ViewProperties": {
"Height": "2",
"Width": "4",
"Title": "AccountActivity",
"View": "LineChart",
"YAxisColumn": "eventCount",
"XAxisColumn": "eventDate",
"FilterColumn": "readOnly"
},
"QueryStatement": "SELECT DATE_TRUNC('?', eventTime) AS eventDate, IF(readOnly, 'read', 'write') AS readOnly, COUNT(*) as eventCount FROM eds WHERE eventTime > '?' AND eventTime < '?' GROUP BY DATE_TRUNC('?', eventTime), readOnly ORDER BY DATE_TRUNC('?', eventTime), readOnly",
"QueryParameters": ["$Period$", "$StartTime$", "$EndTime$", "$Period$", "$Period$"]
}
```
다음 표에서는 선 차트의 구성 가능한 보기 속성을 설명합니다.
| 파라미터 | 필수 | 값 |
| --- | --- | --- |
| `Height` | 예 | 인치 기준 선 차트의 높이입니다. |
| `Width` | 예 | 인치 기준 선 차트의 너비입니다. |
| `Title` | 예 | 선 차트의 제목입니다. |
| `View` | 예 | 위젯 보기 유형입니다. 선 차트의 경우 값은 `LineChart`입니다. |
| `YAxisColumn` | 예 | Y축 열에 사용할 쿼리 결과의 필드입니다. 예를 들어 `eventCount`입니다. |
| `XAxisColumn` | 예 | X축 열에 사용할 쿼리 결과의 필드입니다. 예를 들어 `eventDate`입니다. |
| `FilterColumn` | 아니요 | 필터링하려는 쿼리 결과의 필드입니다. 예를 들어 `readOnly`입니다. |
## 파이 차트
다음 예제에서는 파이형 차트로 구성된 위젯을 보여줍니다.
```
{
"ViewProperties": {
"Height": "2",
"Width": "4",
"Title": "MostActiveRegions",
"View": "PieChart",
"LabelColumn": "awsRegion",
"ValueColumn": "eventCount",
"FilterColumn": "awsRegion"
},
"QueryStatement": "SELECT awsRegion, COUNT(*) AS eventCount FROM eds where eventTime > '?' and eventTime < '?' GROUP BY awsRegion ORDER BY eventCount LIMIT 100",
"QueryParameters": ["$StartTime$", "$EndTime$"]
}
```
다음 표에서는 파이형 차트의 구성 가능한 보기 속성을 설명합니다.
| 파라미터 | 필수 | 값 |
| --- | --- | --- |
| `Height` | 예 | 인치 기준 파이형 차트의 높이입니다. |
| `Width` | 예 | 인치 기준 파이형 차트의 너비입니다. |
| `Title` | 예 | 파이형 차트의 제목입니다. |
| `View` | 예 | 위젯 보기 유형입니다. 파이형 차트의 경우 값은 `PieChart`입니다. |
| `LabelColumn` | 예 | 파이형 차트의 세그먼트에 대한 레이블입니다. 예를 들어 `awsRegion`입니다. |
| `ValueColumn` | 예 | 파이형 차트의 세그먼트 값입니다. 예를 들어 `ValueColumn`입니다. |
| `FilterColumn` | 아니요 | 필터링하려는 쿼리 결과의 필드입니다. 예를 들어 `awsRegion`입니다. |
## 막대 차트
다음 예제에서는 막대 차트로 구성된 위젯을 보여줍니다.
```
{
"ViewProperties": {
"Height": "2",
"Width": "4",
"Title": "TopServices",
"View": "BarChart",
"LabelColumn": "service",
"ValueColumn": "eventCount",
"FilterColumn": "service",
"Orientation": "Horizontal"
},
"QueryStatement": "SELECT REPLACE(eventSource, '.amazonaws.com') AS service, COUNT(*) AS eventCount FROM eds WHERE eventTime > '?' AND eventTime < '?' GROUP BY eventSource ORDER BY eventCount DESC LIMIT 100",
"QueryParameters": ["$StartTime$", "$EndTime$"]
}
```
다음 표에서는 막대 차트의 구성 가능한 보기 속성을 설명합니다.
| 파라미터 | 필수 | 값 |
| --- | --- | --- |
| `Height` | 예 | 인치 기준 막대 차트의 높이입니다. |
| `Width` | 예 | 인치 기준 막대 차트의 너비입니다. |
| `Title` | 예 | 막대 차트의 제목입니다. |
| `View` | 예 | 위젯 보기 유형입니다. 막대 차트의 경우 값은 `BarChart`입니다. |
| `LabelColumn` | 예 | 막대 차트의 막대 레이블입니다. 예를 들어 `service`입니다. |
| `ValueColumn` | 예 | 막대 차트의 막대 값입니다. 예를 들어 `eventCount`입니다. |
| `FilterColumn` | 아니요 | 필터링하려는 쿼리 결과의 필드입니다. 예를 들어 `service`입니다. |
| `Orientation` | 아니요 | 막대 차트의 방향은 `Horizontal` 또는 `Vertical`입니다. |
# 를 사용하여 대시보드 관리 AWS CLI
이 섹션에서는 대시보드 가져오기, 대시보드 나열, 대시보드 새로 고침, 대시보드 업데이트 등 대시보드를 관리하기 위해 실행할 수 있는 몇 가지 다른 명령을 설명합니다.
를 사용할 때 명령은 프로파일에 대해 AWS 리전 구성된에서 실행 AWS CLI됩니다. 다른 리전에서 명령을 실행하려는 경우 프로필의 기본 리전을 변경하거나 명령에 `--region` 파라미터를 사용합니다.
**Topics**
+ [
## 를 사용하여 대시보드 가져오기 AWS CLI
](#lake-dashboard-cli-get)
+ [
## 를 사용하여 대시보드 나열 AWS CLI
](#lake-dashboard-cli-list)
+ [
## 를 사용하여 이벤트 데이터 스토어 또는 대시보드에 리소스 기반 정책 연결 AWS CLI
](#lake-dashboard-cli-add-rbp)
+ [
## 를 사용하여 대시보드를 수동으로 새로 고침 AWS CLI
](#lake-dashboard-cli-refresh)
+ [
## 를 사용하여 대시보드 업데이트 AWS CLI
](#lake-dashboard-cli-update)
## 를 사용하여 대시보드 가져오기 AWS CLI
`get-dashboard` 명령을 실행하여 대시보드를 반환합니다. 대시보드 ARN 또는 대시보드 이름을 제공하여 `--dashboard-id`를 지정합니다.
```
aws cloudtrail get-dashboard --dashboard-id arn:aws:cloudtrail:us-east-1:123456789012:dashboard/exampleDash
```
## 를 사용하여 대시보드 나열 AWS CLI
`list-dashboards` 명령을 실행하여 계정의 대시보드를 나열합니다.
+ `CUSTOM` 또는 `MANAGED` 대시보드만 보려면 `--type` 파라미터를 포함합니다.
+ `--max-results` 파라미터를 포함하여 결과 수를 제한합니다. 유효한 값은 1\$1100입니다.
+ 지정된 접두사와 일치하는 대시보드를 반환하려면 `--name-prefix`를 포함합니다.
다음 예제에서는 모든 대시보드를 나열합니다.
```
aws cloudtrail list-dashboards
```
이 예제에서는 `CUSTOM` 대시보드만 나열합니다.
```
aws cloudtrail list-dashboards --type CUSTOM
```
다음 예제에서는 `MANAGED` 대시보드만 나열합니다.
```
aws cloudtrail list-dashboards --type MANAGED
```
마지막 예제에서는 지정된 접두사와 일치하는 대시보드를 나열합니다.
```
aws cloudtrail list-dashboards --name-prefix ExamplePrefix
```
## 를 사용하여 이벤트 데이터 스토어 또는 대시보드에 리소스 기반 정책 연결 AWS CLI
`put-resource-policy` 명령을 실행하여 이벤트 데이터 스토어 또는 대시보드에 리소스 기반 정책을 적용합니다.
### 리소스 기반 정책을 이벤트 데이터 스토어에 연결합니다
수동 또는 예약된 새로 고침 중에 대시보드에서 쿼리를 실행하려면 대시보드의 위젯과 연결된 모든 이벤트 데이터 스토어에 리소스 기반 정책을 연결해야 합니다. 이렇게 하면 CloudTrail Lake가 사용자를 대신하여 쿼리를 실행할 수 있습니다. 리소스 기반 정책에 대한 자세한 내용은 [예시: CloudTrail이 쿼리를 실행하여 대시보드를 새로 고치도록 허용](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds-dashboard) 섹션을 참조하세요.
다음 예제에서는 리소스 기반 정책을 이벤트 데이터 스토어에 연결합니다. *account-id*를 계정 ID로, *eds-arn*을 CloudTrail이 쿼리를 실행할 이벤트 데이터 스토어의 ARN으로, *dashboard-arn*을 대시보드의 ARN으로 바꿉니다.
```
aws cloudtrail put-resource-policy \
--resource-arn eds-arn \
--resource-policy '{"Version": "2012-10-17", "Statement": [{"Sid": "EDSPolicy", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "cloudtrail:StartQuery", "Condition": { "StringEquals": { "AWS:SourceArn": "dashboard-arn", "AWS:SourceAccount": "account-id"}}} ]}'
```
### 리소스 기반 정책을 대시보드에 연결합니다
대시보드의 새로 고침 일정을 설정하려면 리소스 기반 정책을 대시보드에 연결하여 CloudTrail Lake가 사용자를 대신하여 대시보드를 새로 고치도록 해야 합니다. 리소스 기반 정책에 대한 자세한 내용은 [대시보드용 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-dashboards) 섹션을 참조하세요.
다음 예제에서는 대시보드에 리소스 기반 정책을 연결합니다. *account-id*를 계정 ID로 바꾸고 *dashboard-arn*을 대시보드의 ARN으로 바꿉니다.
```
aws cloudtrail put-resource-policy \
--resource-arn dashboard-arn \
--resource-policy '{"Version": "2012-10-17", "Statement": [{"Sid": "DashboardPolicy", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "cloudtrail:StartDashboardRefresh", "Condition": { "StringEquals": { "AWS:SourceArn": "dashboard-arn", "AWS:SourceAccount": "account-id"}}}]}'
```
## 를 사용하여 대시보드를 수동으로 새로 고침 AWS CLI
`start-dashboard-refresh` 명령을 실행하여 대시보드를 수동으로 새로 고칩니다. 이 명령을 실행하기 전에 대시보드 위젯과 연결된 모든 이벤트 데이터 스토어에 [리소스 기반 정책을 연결](#lake-dashboard-cli-add-rbp-eds)해야 합니다.
다음 예제에서는 사용자 지정 대시보드를 수동으로 새로 고치는 방법을 보여줍니다.
```
aws cloudtrail start-dashboard-refresh \
--dashboard-id dashboard-id \
--query-parameter-values '{"$StartTime$": "2024-11-05T10:45:24.00Z"}'
```
다음 예제에서는 관리형 대시보드를 수동으로 새로 고치는 방법을 보여줍니다. 관리형 대시보드는 CloudTrail에서 구성되므로 새로 고침 요청에는 쿼리가 실행될 이벤트 데이터 스토어의 ID가 포함되어야 합니다.
```
aws cloudtrail start-dashboard-refresh \
--dashboard-id dashboard-id \
--query-parameter-values '{"$StartTime$": "2024-11-05T10:45:24.00Z", "$EventDataStoreId$": "eds-id"}'
```
## 를 사용하여 대시보드 업데이트 AWS CLI
`update-dashboard` 명령을 실행하여 대시보드를 업데이트합니다. 대시보드를 업데이트하여 새로 고침 일정을 설정하고, 새로 고침 일정을 활성화 또는 비활성화하고, 위젯을 수정하고, 종료 방지를 활성화 또는 비활성화할 수 있습니다.
### 를 사용하여 새로 고침 일정 업데이트 AWS CLI
다음 예제에서는 `AccountActivityDashboard` 사용자 지정 대시보드의 새로 고침 일정을 업데이트합니다.
```
aws cloudtrail update-dashboard --dashboard-id AccountActivityDashboard \
--refresh-schedule '{"Frequency": {"Unit": "HOURS", "Value": 6}, "Status": "ENABLED"}'
```
### 를 사용하여 사용자 지정 대시보드에서 종료 방지 및 새로 고침 일정 비활성화 AWS CLI
다음 예제에서는 `AccountActivityDashboard` 사용자 지정 대시보드에 대한 종료 방지 기능을 비활성화하여 대시보드를 삭제하도록 합니다. 새로 고침 일정도 끕니다.
```
aws cloudtrail update-dashboard --dashboard-id AccountActivityDashboard \
--refresh-schedule '{ "Status": "DISABLED"}' \
--no-termination-protection-enabled
```
### 대시보드에 사용자 지정할 위젯 추가
다음 예제에서는 `TopServices` 새 위젯을 `AccountActivityDashboard` 사용자 지정 대시보드에 추가합니다. 위젯 배열에는 대시보드용으로 이미 생성된 두 개의 위젯과 새 위젯이 포함되어 있습니다.
**참고**
이 예제에서는 `?`가 `eventTime`과 함께 사용되므로 작은 따옴표로 묶여 있습니다. 실행 중인 운영 체제에 따라 작은따옴표를 이스케이프 따옴표로 묶어야 할 수 있습니다. 자세한 내용은 [AWS CLI에서 문자열에 따옴표와 리터럴 사용](https://docs.aws.amazon.com/cli/v1/userguide/cli-usage-parameters-quoting-strings.html)을 참조하세요.
```
aws cloudtrail update-dashboard --dashboard-id AccountActivityDashboard \
--widgets '[
{
"ViewProperties": {
"Height": "2",
"Width": "4",
"Title": "TopErrors",
"View": "Table"
},
"QueryStatement": "SELECT errorCode, COUNT(*) AS eventCount FROM eds WHERE eventTime > '?' AND eventTime < '?' AND (errorCode is not null) GROUP BY errorCode ORDER BY eventCount DESC LIMIT 100",
"QueryParameters": ["$StartTime$", "$EndTime$"]
},
{
"ViewProperties": {
"Height": "2",
"Width": "4",
"Title": "MostActiveRegions",
"View": "PieChart",
"LabelColumn": "awsRegion",
"ValueColumn": "eventCount",
"FilterColumn": "awsRegion"
},
"QueryStatement": "SELECT awsRegion, COUNT(*) AS eventCount FROM eds where eventTime > '?' and eventTime < '?' GROUP BY awsRegion ORDER BY eventCount LIMIT 100",
"QueryParameters": ["$StartTime$", "$EndTime$"]
},
{
"ViewProperties": {
"Height": "2",
"Width": "4",
"Title": "TopServices",
"View": "BarChart",
"LabelColumn": "service",
"ValueColumn": "eventCount",
"FilterColumn": "service",
"Orientation": "Vertical"
},
"QueryStatement": "SELECT replace(eventSource, '.amazonaws.com') AS service, COUNT(*) as eventCount FROM eds WHERE eventTime > '?' AND eventTime < '?' GROUP BY eventSource ORDER BY eventCount DESC LIMIT 100",
"QueryParameters": ["$StartTime$", "$EndTime$"]
}
]'
```
# 를 사용하여 대시보드 삭제 AWS CLI
이 섹션에서는 명령을 사용하여 AWS CLI `delete-dashboard` CloudTrail Lake 대시보드를 삭제하는 방법을 설명합니다.
대시보드를 삭제하려면 대시보드 ARN 또는 대시보드 이름을 제공하여 `--dashboard-id`를 지정하세요.
```
aws cloudtrail delete-dashboard --dashboard-id arn:aws:cloudtrail:us-east-1:123456789012:dashboard/exampleDash
```
작업이 성공하면 응답하지 않습니다.
**참고**
`--termination-protection-enabled`가 설정된 경우 대시보드를 삭제할 수 없습니다.
# CloudTrail Lake 쿼리
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
CloudTrail Lake의 쿼리는 SQL로 작성됩니다. CloudTrail Lake **편집기** 탭에서 쿼리를 처음부터 SQL로 작성하거나, 저장된 쿼리 또는 샘플 쿼리를 열고 편집하거나, 쿼리 생성기를 사용하여 영어 프롬프트로 쿼리를 생성함으로써 쿼리를 구축할 수 있습니다. 포함된 샘플 쿼리를 변경 사항으로 덮어쓸 수는 없지만 새 쿼리로 저장할 수 있습니다. 허용되는 SQL 쿼리 언어에 대한 자세한 내용은 [CloudTrail Lake SQL 제약](query-limitations.md) 단원을 참조하세요.
무제한 쿼리(예: `SELECT * FROM edsID`)는 이벤트 데이터 스토어의 모든 데이터를 검색합니다. 비용을 제어하려면 쿼리에 시작 및 끝 `eventTime` 타임 스탬프를 추가하여 쿼리를 제한하는 것이 좋습니다. 다음은 이벤트 시간이 2023년 1월 5일 오후 1시 51분 이후(`>`)부터 2023년 1월 19일 오후 1시 51분 이전(`<`)까지 지정된 이벤트 데이터 스토어의 모든 이벤트를 검색하는 예제입니다. 이벤트 데이터 스토어의 최소 보존 기간은 7일이므로 시작 및 종료 `eventTime` 값 사이의 최소 시간 범위도 7일입니다.
```
SELECT *
FROM eds-ID
WHERE
eventtime >='2023-01-05 13:51:00' and eventtime < ='2023-01-19 13:51:00'
```
쿼리를 최적화하는 방법에 대한 내용은 [CloudTrail Lake 쿼리 최적화](lake-queries-optimization.md) 섹션을 참조하세요.
**Topics**
+ [
## 쿼리 편집기 도구
](#query-editor-format-controls)
+ [
# 자연어 프롬프트로 CloudTrail Lake 쿼리 생성
](lake-query-generator.md)
+ [
# CloudTrail 콘솔을 사용하여 샘플 쿼리 보기
](lake-console-queries.md)
+ [
# CloudTrail 콘솔을 사용하여 쿼리 생성 또는 편집
](query-create-edit-query.md)
+ [
# 콘솔을 사용하여 쿼리 실행 및 쿼리 결과 저장
](query-run-query.md)
+ [
# 콘솔을 사용하여 쿼리 결과 보기
](query-results.md)
+ [
# 자연어로 쿼리 결과 요약
](query-results-summary.md)
+ [
# 저장된 쿼리 결과 다운로드
](view-download-cloudtrail-lake-query-results.md)
+ [
# CloudTrail Lake 저장된 쿼리 결과 검증
](cloudtrail-query-results-validation.md)
+ [
# CloudTrail Lake 쿼리 최적화
](lake-queries-optimization.md)
+ [
# 를 사용하여 CloudTrail Lake 쿼리 실행 및 관리 AWS CLI
](lake-queries-cli.md)
## 쿼리 편집기 도구
쿼리 편집기의 오른쪽 상단에 있는 도구 모음은 SQL 쿼리를 작성하고 서식을 지정하는 데 도움이 되는 명령을 제공합니다.
![\[쿼리 편집기 도구 모음\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/query-editor-toolbar.png)
다음 단원에서는 도구의 명령에 대해 설명합니다.
+ **Undo**(실행 취소) - 쿼리 편집기에서 마지막으로 변경한 내용을 되돌립니다.
+ **Redo**(다시 실행) - 쿼리 편집기에서 마지막으로 변경한 내용을 반복합니다.
+ **Format selected**(선택한 형식) - SQL 서식 및 띄어쓰기 규칙에 따라 쿼리 편집기 내용을 정렬합니다.
+ **선택한 부분에 댓글 달기/주석 제거** - 쿼리에서 선택한 부분에 아직 댓글을 달지 않은 경우 해당 부분에 댓글을 답니다. 선택한 부분에 이미 댓글이 달린 경우 이 옵션을 선택하면 댓글이 제거됩니다.
# 자연어 프롬프트로 CloudTrail Lake 쿼리 생성
CloudTrail Lake 쿼리 생성기를 사용하여 제공하는 영어 프롬프트에서 쿼리를 생성할 수 있습니다. 쿼리 생성기는 생성형 인공 지능(생성형 AI)을 사용하여 프롬프트에서 즉시 사용할 수 있는 SQL 쿼리를 생성합니다. 그러면 해당 쿼리를 Lake의 쿼리 편집기에서 실행하거나 추가로 미세 조정할 수 있습니다. 쿼리 생성기를 사용하기 위해 SQL 또는 CloudTrail 이벤트 필드에 대한 광범위한 지식이 필요하지 않습니다.
프롬프트는 CloudTrail Lake 이벤트 데이터 저장소의 이벤트 데이터에 대한 질문 또는 명령문일 수 있습니다. 예를 들어 "What are my top errors in the past month?" 및 “Give me a list of users that used SNS.” 등의 프롬프트를 입력할 수 있습니다.
프롬프트는 최소 3자, 최대 500자입니다.
쿼리 생성에는 요금이 부과되지 않습니다. 그러나 쿼리를 실행하면, 비용은 스캔한 최적화된 압축 데이터의 양을 기준으로 청구됩니다. 비용을 제어하려면 쿼리에 시작 및 끝의 `eventTime` 타임 스탬프를 추가하여 쿼리를 제한하는 것이 좋습니다.
**참고**
생성된 쿼리 아래에 나타나는 좋아요 또는 싫어요 버튼을 선택하여 생성된 쿼리에 대한 피드백을 제공할 수 있습니다. 피드백을 제공하면 CloudTrail은 프롬프트와 생성된 쿼리를 저장합니다.
개인 식별 정보, 기밀 정보 또는 민감한 정보를 프롬프트에 포함하지 마세요.
이 기능은 생성형 AI 대규모 언어 모델(LLM)을 사용합니다. LLM 응답은 다시 한 번 확인하는 것이 좋습니다.
**참고**
CloudTrail은 쿼리를 생성하는 동안 추론 요청을 처리하기 위해 지리 내에서 최적의 리전을 자동으로 선택합니다. 이렇게 하면 사용 가능한 컴퓨팅 리소스와 모델 가용성이 극대화되고 최상의 고객 경험이 제공됩니다. 데이터는 요청이 시작된 리전에만 저장되지만 입력 프롬프트 및 출력 결과는 해당 리전 외부에서 처리될 수 있습니다. 모든 데이터는 Amazon의 보안 네트워크를 통해 암호화되어 전송됩니다.
CloudTrail은 다음과 같이 요청이 시작된 지리적 영역 내의 사용 가능한 컴퓨팅 리소스로 추론 요청을 안전하게 라우팅합니다.
미국에서 시작된 추론 요청은 미국 내에서 처리됩니다.
일본 내에서 시작되는 추론 요청은 일본 내에서 처리됩니다.
호주에서 시작된 추론 요청은 호주 내에서 처리됩니다.
유럽 연합에서 시작된 추론 요청은 유럽 연합 내에서 처리됩니다.
인도에서 시작된 추론 요청은 인도 내에서 처리됩니다.
쿼리 생성 기능을 옵트아웃하려면 사용 중인 iam 정책에서 `cloudtrail:GenerateQuery` 작업을 명시적으로 거부하거나 제거할 수 있습니다.
CloudTrail 콘솔 및를 사용하여 쿼리 생성기에 액세스할 수 있습니다 AWS CLI.
------
#### [ CloudTrail console ]
**CloudTrail 콘솔에서 쿼리 생성기를 사용하는 방법**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **쿼리**를 선택합니다.
1. **쿼리** 페이지에서 **편집기** 탭을 선택합니다.
1. 쿼리를 생성할 이벤트 데이터 저장소를 선택합니다.
1. **쿼리 생성기** 영역에 일반 영어로 프롬프트를 입력합니다. 예시는 [프롬프트 예제](#lake-query-generator-examples) 섹션을 참조하세요.
1. **쿼리 생성**을 선택합니다. 쿼리 생성기가 프롬프트에서 쿼리를 생성하려고 시도합니다. 성공하면 쿼리 생성기가 편집기에서 SQL 쿼리를 제공합니다. 프롬프트가 실패하면 프롬프트의 구문을 바꾸고 다시 시도합니다.
1. (선택 사항) 생성된 쿼리에 대한 피드백을 제공할 수 있습니다. 피드백을 제공하려면 프롬프트 아래에 나타나는 좋아요 또는 싫어요 버튼을 선택합니다. 피드백을 제공하면 CloudTrail은 프롬프트와 생성된 쿼리를 저장합니다.
1. (선택 사항) **실행**을 선택하여 쿼리를 실행합니다.
**참고**
쿼리를 실행하면, 비용은 스캔한 최적화된 압축 데이터의 양을 기준으로 청구됩니다. 비용을 제어하려면 쿼리에 시작 및 끝의 `eventTime` 타임 스탬프를 추가하여 쿼리를 제한하는 것이 좋습니다.
1. (선택 사항) 쿼리를 실행하고 결과가 있는 경우 **결과 요약**을 선택하여 쿼리 결과의 자연어 요약을 영어로 생성할 수 있습니다. 이 옵션은 생성형 인공 지능(생성형 AI)을 사용하여 요약을 생성합니다. 이 옵션에 대한 자세한 내용은 [자연어로 쿼리 결과 요약](query-results-summary.md) 섹션을 참조하세요.
생성된 요약 아래에 나타나는 좋아요(엄지손가락 위로) 또는 싫어요(엄지손가락 아래로) 버튼을 선택하여 요약에 대한 피드백을 제공할 수 있습니다.
**참고**
쿼리 요약 기능은 CloudTrail Lake용 평가판 릴리스이며 변경될 수 있습니다. 이 기능은 아시아 태평양(도쿄), 미국 동부(버지니아 북부) 및 미국 서부(오리건)에서 출시되었습니다.
------
#### [ AWS CLI ]
**를 사용하여 쿼리를 생성하려면 AWS CLI**
`generate-query` 명령을 실행하여 영어 프롬프트에서 쿼리를 생성합니다. `--event-data-stores`에 대해 쿼리하려는 이벤트 데이터 스토어의 ARN(또는 ARN의 ID 접미사)를 제공합니다. 이벤트 데이터 스토어는 하나만 지정할 수 있습니다. `--prompt`의 경우 프롬프트를 영어로 제공합니다.
```
aws cloudtrail generate-query
--event-data-stores arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE \
--prompt "Show me all console login events for the past week?"
```
성공하면 명령은 SQL 문을 출력하고 `start-query` 명령을 통해 이벤트 데이터 스토어에 대해 쿼리를 실행하는 데 사용할 `QueryAlias`를 제공합니다.
```
{
"QueryStatement": "SELECT * FROM $EDS_ID WHERE eventname = 'ConsoleLogin' AND eventtime >= timestamp '2024-09-16 00:00:00' AND eventtime <= timestamp '2024-09-23 00:00:00' AND eventSource = 'signin.amazonaws.com'",
"QueryAlias": "AWSCloudTrail-UUID"
}
```
**를 사용하여 쿼리를 실행하려면 AWS CLI**
이전 예제의 `generate-query` 명령이 출력한 `QueryAlias`를 사용하여 `start-query` 명령을 실행합니다. `QueryStatement`를 제공하여 `start-query` 명령을 실행할 수도 있습니다.
```
aws cloudtrail start-query --query-alias AWSCloudTrail-UUID
```
응답은 `QueryId` 문자열이 됩니다. 쿼리 상태를 가져오려면 `start-query`에 의해 반환한 값 `QueryId`을(를) 사용하여 `describe-query`을(를) 실행합니다. 쿼리가 성공하면 `get-query-results`을(를) 실행하여 결과를 가져옵니다.
```
{
"QueryId": "EXAMPLE2-0add-4207-8135-2d8a4EXAMPLE"
}
```
**참고**
한 시간 이상 실행되는 쿼리는 시간이 초과될 수 있습니다. 쿼리가 시간 초과되기 전에 처리된 부분적인 결과를 계속 가져올 수 있습니다.
선택적 `--delivery-s3uri` 파라미터를 사용하여 쿼리 결과를 S3 버킷에 전송하는 경우, 버킷 정책으로 쿼리 결과를 버킷에 전송할 수 있는 권한을 CloudTrail에 부여해야 합니다. 버킷 정책의 수동 편집에 대한 자세한 내용은 [CloudTrail Lake 쿼리 결과에 대한 Amazon S3 버킷 정책](s3-bucket-policy-lake-query-results.md) 단원을 참조하세요.
------
## 필수 권한
[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html) 및 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html) 관리형 정책 모두 이 기능을 사용하는 데 필요한 권한을 제공합니다.
신규 또는 기존 고객 관리형 또는 인라인 정책에 `cloudtrail:GenerateQuery` 작업을 포함시킬 수도 있습니다.
## 리전 지원
이 기능은 AWS 리전다음에서 지원됩니다.
+ 아시아 태평양(뭄바이) 리전(ap-south-1)
+ 아시아 태평양(시드니) 리전(ap-southeast-2)
+ 아시아 태평양(도쿄) 리전(ap-northeast-1)
+ 캐나다(중부) 리전(ca-central-1)
+ 유럽(런던) 리전(eu-west-2)
+ 미국 동부(버지니아 북부) 리전(us-east-1)
+ 미국 서부(오레곤) 리전(us-west-2)
## 제한 사항
다음은 쿼리 생성기의 제한 사항입니다.
+ 쿼리 생성기는 영어 프롬프트만 수락할 수 있습니다.
+ 쿼리 생성기는 CloudTrail 이벤트(관리 이벤트, 데이터 이벤트, 네트워크 활동 이벤트)를 수집하는 이벤트 데이터 스토어에 대한 쿼리만 생성할 수 있습니다.
+ 쿼리 생성기는 CloudTrail Lake 이벤트 데이터와 관련이 없는 프롬프트에 대한 쿼리를 생성할 수 없습니다.
## 프롬프트 예제
이 섹션에서는 예제 프롬프트와 해당 프롬프트에서 생성된 결과 SQL 쿼리를 제공합니다.
이 섹션에서 예제 쿼리를 실행하려는 경우 *eds-id*를 쿼리하려는 이벤트 데이터 저장소의 ID로 바꾸고 타임스탬프를 사용 사례에 적합한 타임스탬프로 바꿉니다. 타임스탬프의 형식은 `YYYY-MM-DD HH:MM:SS`입니다.
**프롬프트**: What are my top errors in the past month?
**SQL 쿼리:**
```
SELECT
errorMessage,
COUNT(*) as eventCount
FROM
eds-id
WHERE
errorMessage IS NOT NULL
AND eventTime >= timestamp '2024-05-01 00:00:00'
AND eventTime <= timestamp '2024-05-31 23:59:59'
GROUP BY 1
ORDER BY 2 DESC
LIMIT 2;
```
**프롬프트**: Give me a list of users that used Amazon SNS.
**SQL 쿼리:**
```
SELECT
DISTINCT userIdentity.arn AS user
FROM
eds-id
WHERE
eventSource = 'sns.amazonaws.com'
```
**프롬프트**: What are my API counts each day for read and write events in the past month?
**SQL 쿼리:**
```
SELECT date(eventTime) AS event_date,
SUM(
CASE
WHEN readonly = true THEN 1
ELSE 0
END
) AS read_events,
SUM(
CASE
WHEN readonly = false THEN 1
ELSE 0
END
) AS write_events
FROM
eds-id
WHERE
eventTime >= timestamp '2024-05-04 00:00:00'
AND eventTime <= timestamp '2024-06-04 23:59:59'
GROUP BY 1
ORDER BY 1 ASC;
```
**프롬프트**: Show any events with access denied errors for the past three weeks.
**SQL 쿼리:**
```
SELECT *
FROM
eds-id
WHERE
WHERE (errorCode = 'AccessDenied' OR errorMessage = 'Access Denied')
AND eventTime >= timestamp '2024-05-16 01:00:00'
AND eventTime <= timestamp '2024-06-06 01:00:00'
```
**프롬프트**: Query the number of calls each operator performed on the date *2024-05-01*. The operator is a principal tag.
**SQL 쿼리:**
```
SELECT element_at(
eventContext.tagContext.principalTags,
'operator'
) AS operator,
COUNT(*) AS eventCount
FROM
eds-id
WHERE eventtime >= '2024-05-01 00:00:00'
AND eventtime < '2024-05-01 23:59:59'
GROUP BY 1
ORDER BY 2 DESC;
```
**프롬프트**: Give me all event IDs that touched resources within the CloudFormation stack with name *myStack* on the date *2024-05-01*.
**SQL 쿼리:**
```
SELECT eventID
FROM
eds-id
WHERE any_match(
eventContext.tagcontext.resourcetags,
rt->element_at(rt.tags, 'aws:cloudformation:stack-name') = 'myStack'
)
AND eventtime >= '2024-05-01 00:00:00'
AND eventtime < '2024-05-01 23:59:59'
```
**프롬프트**: Count the number of events grouped by resource tag '*solution*' values, listing them in descending order of count.
**SQL 쿼리:**
```
SELECT element_at(rt.tags, 'solution'),
count(*) as event_count
FROM
eds-id,
unnest(eventContext.tagContext.resourceTags) as rt
WHERE eventtime < '2025-05-14 19:00:00'
GROUP BY 1
ORDER BY 2 DESC;
```
**프롬프트**: Find all Amazon S3 data events where resource tag Environment has value *prod*.
**SQL 쿼리:**
```
SELECT *
FROM
eds-id
WHERE eventCategory = 'Data'
AND eventSource = 's3.amazonaws.com'
AND eventtime >= '2025-05-14 00:00:00'
AND eventtime < '2025-05-14 20:00:00'
AND any_match(
eventContext.tagContext.resourceTags,
rt->element_at(rt.tags, 'Environment') = 'prod'
)
```
# CloudTrail 콘솔을 사용하여 샘플 쿼리 보기
CloudTrail 콘솔은 쿼리 작성을 시작하는 데 도움이 되는 여러 샘플 쿼리를 제공합니다.
CloudTrail 쿼리는 검사한 데이터의 양을 기준으로 요금이 부과됩니다. 비용을 제어하려면 쿼리에 시작 및 끝 `eventTime` 타임 스탬프를 추가하여 쿼리를 제한하는 것이 좋습니다. CloudTrail 요금에 관한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요.
**참고**
GitHub 커뮤니티에서 만든 쿼리를 볼 수도 있습니다. 자세한 내용은 GitHub 웹 사이트의 [CloudTrail Lake 샘플 쿼리](https://github.com/aws-samples/cloud-trail-lake-query-samples)를 참조 AWS CloudTrail 하세요. GitHub에서 쿼리를 평가하지 않았습니다.
**샘플 쿼리 실행**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **에서** **쿼리**를 선택합니다.
1. **쿼리**페이지에서 **샘플 쿼리**탭을 선택합니다.
1. 목록에서 샘플 쿼리를 선택하거나 검색할 구문을 입력합니다. 이 예에서는 **Query name**(쿼리 이름)을 선택하여 **콘솔을 변경한 사람을 조사**하라는 쿼리를 엽니다. 그러면 **Editor**(편집기) 탭의 쿼리가 열립니다.
**참고**
기본적으로 이 페이지에서는 기본 검색 기능을 사용합니다. 권한 정책에서 아직 제공하지 않은 경우 `cloudtrail:SearchSampleQueries` 작업에 대한 권한을 추가하여 검색 기능을 개선할 수 있습니다. [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html) 관리형 정책은 `cloudtrail:SearchSampleQueries` 작업을 수행할 수 있는 권한을 제공합니다.
![\[샘플 쿼리 탭\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/query-sample-console.png)
1. **Editor**(편집기) 탭에서 쿼리를 실행할 이벤트 데이터 스토어를 선택합니다. 목록에서 이벤트 데이터 스토어를 선택하면, CloudTrail은 쿼리 편집기의 `FROM` 줄에 이벤트 데이터 스토어 ID를 자동으로 채웁니다.
![\[쿼리를 위한 이벤트 데이터 스토어 선택\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/query-editor-console.png)
1. 그런 다음 **Run**(실행)을 선택하여 쿼리를 실행합니다.
**Command output**(명령 출력) 탭에는 쿼리 성공 여부, 일치하는 레코드 수, 쿼리 실행 시간 등 쿼리에 대한 메타데이터가 표시됩니다.
![\[쿼리 통계 보기\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/query-console-status.png)
**쿼리 결과** 탭에는 선택한 이벤트 데이터 스토어에서 쿼리와 일치하는 이벤트 데이터가 표시됩니다.
![\[쿼리 결과 보기\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/query-console-results.png)
편집에 대한 자세한 내용은 [CloudTrail 콘솔을 사용하여 쿼리 생성 또는 편집](query-create-edit-query.md) 섹션을 참조하세요 쿼리 실행 및 쿼리 결과 저장에 대한 자세한 내용은 [콘솔을 사용하여 쿼리 실행 및 쿼리 결과 저장](query-run-query.md) 섹션을 참조하세요.
# CloudTrail 콘솔을 사용하여 쿼리 생성 또는 편집
이 연습에서는 샘플 쿼리 중 하나를 열고 편집하여 `Alice`라는 이름의 특정 사용자가 수행한 작업을 찾고, 이를 새 쿼리로 저장합니다. **저장된 쿼리(Saved queries)** 탭에서 저장된 쿼리를 편집할 수도 있습니다(쿼리를 저장한 경우). 비용을 제어하려면 쿼리에 시작 및 끝 `eventTime` 타임 스탬프를 추가하여 쿼리를 제한하는 것이 좋습니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **에서** **쿼리**를 선택합니다.
1. **쿼리**페이지에서 **샘플 쿼리**탭을 선택합니다.
1. **쿼리 이름**을 선택하여 샘플 쿼리를 엽니다. 그러면 **Editor**(편집기) 탭의 쿼리가 열립니다. 이 예시에서는 **사용자 작업 조사**라는 쿼리를 선택하고, 쿼리를 편집하여 `Alice`라는 이름을 가진 특정 사용자의 작업을 찾아봅니니다.
1. **편집기** 탭에서 `WHERE` 라인을 편집하여 조사할 사용자를 지정하고 필요에 따라 `eventTime` 값을 업데이트합니다. `FROM`의 값은 이벤트 데이터 스토어 ARN의 ID 부분이며, 이벤트 데이터 스토어를 선택할 때 CloudTrail에 의해 자동으로 채워집니다.
```
SELECT
eventID, eventName, eventSource, eventTime, userIdentity.arn AS user
FROM
event-data-store-id
WHERE
userIdentity.arn LIKE '%Alice%'
AND eventTime > '2023-06-23 00:00:00' AND eventTime < '2023-06-26 00:00:00'
```
1. 쿼리를 저장하기 전에 쿼리를 실행하여 쿼리가 작동하는지 확인할 수 있습니다. 쿼리를 실행하려면 **이벤트 데이터 스토어(Event data store)** 드롭다운 목록에서 이벤트 데이터 스토어를 선택한 다음 **실행(Run)**을 선택합니다. 활성화된 쿼리에 대해 **명령 출력(Command output)** 탭의 **상태(Status)** 열을 검토하여 쿼리가 성공적으로 실행되었는지 확인합니다.
1. 샘플 쿼리를 업데이트했다면, **저장**을 선택합니다.
1. **쿼리 저장(Save query)**에서 쿼리에 대한 이름 및 설명을 입력합니다. **쿼리 저장**을 선택하여 변경 사항을 새 쿼리로 저장합니다. 쿼리에 대한 변경 사항을 취소하려면 **취소**를 선택하거나 **쿼리 저장** 창을 닫습니다.
![\[변경된 쿼리 저장\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/query-save.png)
**참고**
저장된 쿼리는 사용자 브라우저에 연결됩니다. 다른 브라우저 또는 다른 장치를 사용하여 CloudTrail 콘솔에 액세스하는 경우 저장된 쿼리를 사용할 수 없습니다.
1. **저장된 쿼리(Saved queries)** 탭을 열고 테이블에서 새 쿼리를 볼 수 있습니다.
![\[새 저장된 쿼리를 보여주는 저장된 쿼리 탭\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/query-saved-table.png)
# 콘솔을 사용하여 쿼리 실행 및 쿼리 결과 저장
쿼리를 선택하거나 저장한 후 이벤트 데이터 스토어에서 쿼리를 실행할 수 있습니다.
쿼리를 실행할 때 선택 사항으로 쿼리 결과를 Amazon S3 버킷에 저장할 수 있습니다. CloudTrail Lake에서 쿼리를 실행할 때 쿼리로 검사한 데이터의 양을 기준으로 요금이 발생합니다. 쿼리 결과를 S3 버킷에 저장하면 CloudTrail Lake 요금은 추가로 발생하지 않지만 S3 스토리지 요금은 부과됩니다. S3 요금에 대한 자세한 내용은 [Amazon S3 요금](https://aws.amazon.com/s3/pricing/)을 참조하세요.
쿼리 결과를 저장하면 쿼리 스캔이 완료된 후 CloudTrail에서 쿼리 결과를 전송하므로 쿼리 결과가 S3 버킷에 표시되기 전에 CloudTrail 콘솔에 표시될 수 있습니다. 대부분의 쿼리는 몇 분 내에 완료되지만, 이벤트 데이터 스토어의 크기에 따라 CloudTrail에서 쿼리 결과를 S3 버킷으로 전달하는 데는 훨씬 더 오래 걸릴 수 있습니다. CloudTrail은 압축된 gzip 형식으로 S3 버킷에 쿼리 결과를 전달합니다. 쿼리 스캔이 완료된 후에는 S3 버킷으로 전송되는 데이터 GB당 평균 지연 시간 60\$190초를 예상할 수 있습니다.
**CloudTrail Lake를 사용하여 쿼리를 실행하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **쿼리**를 선택합니다.
1. **저장된 쿼리** 또는 **샘플 쿼리** 탭에서 **쿼리 이름**을 선택하여 실행할 쿼리를 선택합니다.
1. **편집기** 탭의 **이벤트 데이터 스토어**에 대해 드롭다운 목록에서 이벤트 데이터 스토어를 선택합니다.
1. (선택 사항) **편집기** 탭에서 **S3에 결과 저장**를 선택하여 쿼리 결과를 S3 버킷에 저장합니다. 기본 S3 버킷을 선택하면 CloudTrail은 필요한 버킷 정책을 생성하고 적용합니다. 기본 S3 버킷을 선택하는 경우 버킷에 대해 기본적으로 서버 측 암호화가 활성화되어 있기 때문에 IAM 정책은 `s3:PutEncryptionConfiguration` 작업에 대한 권한을 포함해야 합니다. 쿼리 결과 저장에 대한 자세한 내용은 [저장된 쿼리 결과에 대한 추가 정보](#save-query-results) 단원을 참조하세요.
**참고**
다른 버킷을 사용하려면 버킷 이름을 지정하거나 **S3 검색**를 선택하여 버킷을 선택합니다. 버킷 정책으로 쿼리 결과를 버킷에 전송할 수 있는 권한을 CloudTrail에 부여해야 합니다. 버킷 정책의 수동 편집에 대한 자세한 내용은 [CloudTrail Lake 쿼리 결과에 대한 Amazon S3 버킷 정책](s3-bucket-policy-lake-query-results.md) 단원을 참조하세요.
1. **편집** 탭에서 **실행**을 선택합니다.
이벤트 데이터 스토어의 크기와 포함된 데이터 일수에 따라 쿼리를 실행하는 데 몇 분이 걸릴 수 있습니다. **명령 출력(Command output)** 탭에는 쿼리 상태와 쿼리의 실행 완료 여부가 표시됩니다. 쿼리 실행이 완료되면 **쿼리 결과(Query results)** 탭을 열어서 활성 쿼리(현재 편집기에 표시된 쿼리)에 대한 결과 테이블을 표시합니다.
**참고**
한 시간 이상 실행되는 쿼리는 시간이 초과될 수 있습니다. 쿼리가 시간 초과되기 전에 처리된 부분적인 결과를 계속 가져올 수 있습니다. CloudTrail은 부분 쿼리 결과를 S3 버킷에 전송하지 않습니다. 시간 초과를 방지하려면 시간 범위를 더 좁게 지정하여 스캔하는 데이터 양을 제한하도록 쿼리를 조정할 수 있습니다.
## 저장된 쿼리 결과에 대한 추가 정보
쿼리 결과를 저장한 후 저장된 쿼리 결과를 S3 버킷에서 다운로드할 수 있습니다. 저장된 쿼리 결과 다운로드에 대한 자세한 내용은 [저장된 쿼리 결과 다운로드](view-download-cloudtrail-lake-query-results.md) 단원을 참조하세요.
저장된 쿼리 결과를 검증하여 CloudTrail이 쿼리 결과를 전송한 후 쿼리 결과가 수정, 삭제 또는 변경되지 않았는지 여부를 확인할 수 있습니다. 저장된 쿼리 결과 검증에 대한 자세한 내용은 [CloudTrail Lake 저장된 쿼리 결과 검증](cloudtrail-query-results-validation.md) 단원을 참조하세요.
## 예제: Amazon S3 버킷에 쿼리 결과 저장
이 연습에서는 S3 버킷에 쿼리 결과를 저장한 다음, 쿼리 결과를 다운로드하는 방법을 보여줍니다.
**Amazon S3 버킷에 쿼리 결과 저장**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.
1. 탐색 창의 **Lake**에서 **쿼리**를 선택합니다.
1. **샘플 쿼리(Sample queries)** 또는 **저장된 쿼리(Saved queries)** 탭에서 **쿼리 이름(Query name)**을 선택하여 실행할 쿼리를 선택합니다. 이 예시에서는 **사용자 작업 조사(Investigate user actions)**라는 샘플 쿼리를 선택합니다.
1. **편집기** 탭의 **이벤트 데이터 스토어**에 대해 드롭다운 목록에서 이벤트 데이터 스토어를 선택합니다. 목록에서 이벤트 데이터 스토어를 선택하면 CloudTrail이 자동으로 `From` 라인에 이벤트 데이터 스토어 ID를 채웁니다.
1. 이 샘플 쿼리에서는 `userIdentity.ARN` 값을 편집하여 `Admin`이라는 이름의 사용자를 지정하고, `eventTime`에 대한 기본값은 그대로 유지합니다. 쿼리 실행 시 요금은 검사한 데이터 양을 기준으로 청구됩니다. 비용을 제어하려면 쿼리에 시작 및 끝 `eventTime` 타임 스탬프를 추가하여 쿼리를 제한하는 것이 좋습니다.
![\[샘플 쿼리의 userIdentity.ARN 값 편집\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/sample-query-edit.png)
1. (선택 사항) **S3에 결과 저장(Save results to S3)**를 선택하여 S3 버킷에 쿼리 결과를 저장합니다. 기본 S3 버킷을 선택하면 CloudTrail은 필요한 버킷 정책을 생성하고 적용합니다. 기본 S3 버킷을 선택하는 경우 버킷에 대해 기본적으로 서버 측 암호화가 활성화되어 있기 때문에 IAM 정책은 `s3:PutEncryptionConfiguration` 작업에 대한 권한을 포함해야 합니다. 이 예에서는 기본 S3 버킷을 사용합니다.
**참고**
다른 버킷을 사용하려면 버킷 이름을 지정하거나 **S3 검색**를 선택하여 버킷을 선택합니다. 버킷 정책으로 쿼리 결과를 버킷에 전송할 수 있는 권한을 CloudTrail에 부여해야 합니다. 버킷 정책의 수동 편집에 대한 자세한 내용은 [CloudTrail Lake 쿼리 결과에 대한 Amazon S3 버킷 정책](s3-bucket-policy-lake-query-results.md) 단원을 참조하세요.
![\[저장된 쿼리 결과에 대한 S3 버킷을 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/save-query-results.png)
1. **실행**을 선택합니다. 이벤트 데이터 스토어의 크기와 포함된 데이터 일수에 따라 쿼리를 실행하는 데 몇 분이 걸릴 수 있습니다. **명령 출력(Command output)** 탭에는 쿼리 상태와 쿼리의 실행 완료 여부가 표시됩니다. 쿼리 실행이 완료되면 **쿼리 결과(Query results)** 탭을 열어서 활성 쿼리(현재 편집기에 표시된 쿼리)에 대한 결과 테이블을 표시합니다.
1. CloudTrail이 S3 버킷으로 저장된 쿼리 결과 전송을 완료하면, **전송 상태(Delivery status)** 열은 저장된 쿼리 결과 파일과 저장된 쿼리 결과를 확인하는 데 사용할 수 있는 [서명 파일(sign file)](cloudtrail-query-results-validation.md#cloudtrail-results-file-validation-sign-file-structure)이 있는 S3 버킷의 링크를 제공합니다. 쿼리 결과 파일과 S3 버킷의 서명 파일을 보려면 **S3에서 보기(View in S3)**를 선택합니다.
**참고**
쿼리 결과를 저장하면 쿼리 스캔이 완료된 후 CloudTrail에서 쿼리 결과를 전송하기 때문에 쿼리 결과가 S3 버킷에 표시되기 전에 CloudTrail 콘솔에 표시될 수 있습니다. 대부분의 쿼리는 몇 분 내에 완료되지만, 이벤트 데이터 스토어의 크기에 따라 CloudTrail에서 쿼리 결과를 S3 버킷으로 전달하는 데는 훨씬 더 오래 걸릴 수 있습니다. CloudTrail은 압축된 gzip 형식으로 S3 버킷에 쿼리 결과를 전달합니다. 쿼리 스캔이 완료된 후에는 S3 버킷으로 전송되는 데이터 GB당 평균 지연 시간 60\$190초를 예상할 수 있습니다.
![\[명령 출력(Command output) 탭의 쿼리 전송 상태\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/query-delivery-status.png)
1. 쿼리 결과를 다운로드하려면, 쿼리 결과 파일(이 예에서는 `result_1.csv.gz`)을 선택하고 **다운로드(Download)**를 선택합니다.
![\[쿼리 결과 집합 다운로드\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/download-query-results.png)
저장된 쿼리 결과 검증에 대한 자세한 내용은 [CloudTrail Lake 저장된 쿼리 결과 검증](cloudtrail-query-results-validation.md) 섹션을 참조하세요.
# 콘솔을 사용하여 쿼리 결과 보기
쿼리가 완료되면 결과를 볼 수 있습니다. 쿼리 결과는 쿼리가 완료된 후 7일 동안 사용할 수 있습니다. **쿼리 결과(Query results)** 탭에서 활성 쿼리에 대한 결과를 보거나 **Lake** 홈 페이지의 **결과 기록(Results history)**에서 모든 최근 쿼리에 대한 결과에 액세스할 수 있습니다.
쿼리 기간 이후의 이벤트가 쿼리 간에 기록될 수 있으므로 쿼리 결과는 이전 쿼리 실행에서 새 쿼리 실행으로 변경될 수 있습니다.
쿼리 결과를 저장하면 쿼리 스캔이 완료된 후 CloudTrail에서 쿼리 결과를 전송하므로 쿼리 결과가 S3 버킷에 표시되기 전에 CloudTrail 콘솔에 표시될 수 있습니다. 대부분의 쿼리는 몇 분 내에 완료되지만, 이벤트 데이터 스토어의 크기에 따라 CloudTrail에서 쿼리 결과를 S3 버킷으로 전달하는 데는 훨씬 더 오래 걸릴 수 있습니다. CloudTrail은 쿼리 결과를 압축된 gzip 형식으로 S3 버킷에 전달합니다. 쿼리 스캔이 완료된 후에는 S3 버킷으로 전송되는 데이터 GB당 평균 지연 시간 60\$190초를 예상할 수 있습니다. 저장된 쿼리 결과 다운로드에 대한 자세한 내용은 [저장된 쿼리 결과 다운로드](view-download-cloudtrail-lake-query-results.md) 단원을 참조하세요.
**참고**
한 시간 이상 실행되는 쿼리는 시간이 초과될 수 있습니다. 쿼리가 시간 초과되기 전에 처리된 부분적인 결과를 계속 가져올 수 있습니다. CloudTrail은 부분 쿼리 결과를 S3 버킷에 전송하지 않습니다. 시간 초과를 방지하려면 시간 범위를 더 좁게 지정하여 스캔하는 데이터 양을 제한하도록 쿼리를 조정할 수 있습니다.
**쿼리 결과 보기**
1. 아직 선택하지 않은 경우 쿼리 편집기에서 **쿼리 결과** 탭을 선택합니다. 활성 쿼리에 대한 **쿼리 결과(Query results)**에서 각 행은 쿼리와 일치하는 이벤트 결과를 나타냅니다. 검색 창에 이벤트 필드 값의 전체 또는 일부를 입력하여 결과를 필터링합니다. 이벤트를 복사하려면 복사할 이벤트를 선택한 다음 **복사**를 선택합니다.
1. (선택 사항) **결과 요약**을 선택하여 쿼리 결과의 자연어 요약을 생성합니다. 요약은 영어로 제공됩니다. 이 옵션은 생성형 인공 지능(생성형 AI)을 사용하여 요약을 생성합니다. 이 옵션에 대한 자세한 내용은 [자연어로 쿼리 결과 요약](query-results-summary.md) 섹션을 참조하세요.
생성된 요약 아래에 나타나는 좋아요(엄지손가락 위로) 또는 싫어요(엄지손가락 아래로) 버튼을 선택하여 요약에 대한 피드백을 제공할 수 있습니다.
**참고**
쿼리 요약 기능은 CloudTrail Lake용 평가판 릴리스이며 변경될 수 있습니다. 이 기능은 아시아 태평양(도쿄), 미국 동부(버지니아 북부) 및 미국 서부(오리건)에서 출시되었습니다.
1. **명령 출력(Command output)** 탭에서 이벤트 데이터 스토어 ID, 런타임, 검색된 결과 수, 쿼리의 성공 여부와 같이 실행된 쿼리에 대한 메타데이터를 검토합니다. 쿼리 결과를 Amazon S3 버킷에 저장한 경우 메타데이터에는 저장된 쿼리 결과가 포함된 S3 버킷 링크도 포함됩니다.
# 자연어로 쿼리 결과 요약
**참고**
쿼리 요약 기능은 CloudTrail Lake용 평가판 릴리스이며 변경될 수 있습니다.
**참고**
CloudTrail은 쿼리를 요약하는 동안 추론 요청을 처리하기 위해 지리 내에서 최적의 리전을 자동으로 선택합니다. 이렇게 하면 사용 가능한 컴퓨팅 리소스와 모델 가용성이 극대화되고 최상의 고객 경험이 제공됩니다. 데이터는 요청이 시작된 리전에만 저장되지만 입력 프롬프트 및 출력 결과는 해당 리전 외부에서 처리될 수 있습니다. 모든 데이터는 Amazon의 보안 네트워크를 통해 암호화되어 전송됩니다.
CloudTrail은 다음과 같이 요청이 시작된 지리적 영역 내의 사용 가능한 컴퓨팅 리소스로 추론 요청을 안전하게 라우팅합니다.
미국에서 시작된 추론 요청은 미국 내에서 처리됩니다.
일본 내에서 시작되는 추론 요청은 일본 내에서 처리됩니다.
쿼리 요약 기능을 옵트아웃하려면 사용 중인 iam 정책에서 `cloudtrail:GenerateQueryResultsSummary` 작업을 명시적으로 거부하거나 제거할 수 있습니다.
쿼리가 완료되면 쿼리 편집기의 **쿼리 결과** 탭에서 자연어로 쿼리 결과 요약을 가져올 수 있습니다. 이 옵션은 생성형 인공 지능(생성형 AI)을 사용하여 요약을 생성합니다.
**쿼리 결과 요약**
1. 쿼리 편집기의 **쿼리 결과** 탭에서 **결과 요약**을 선택하여 쿼리 결과의 자연어 요약을 생성합니다. 요약은 영어로 제공됩니다.
1. (선택 사항) 생성된 요약 아래에 나타나는 좋아요(엄지손가락 위로) 또는 싫어요(엄지손가락 아래로) 버튼을 선택하여 요약에 대한 피드백을 제공할 수 있습니다.
관련 이벤트 데이터 스토어가 KMS 키를 사용하여 암호화된 경우 KMS 키를 사용하여 쿼리 결과 및 요약을 암호화할 수 없습니다. 쿼리 결과 및 요약은 대신 CloudTrail에 의해 암호화됩니다.
생성된 요약에 대한 액세스 권한은 `GetQueryResults`, `GenerateQueryResultsSummary` 및 KMS 권한에 대해 부여됩니다(관련 이벤트 날짜 스토어가 KMS 키로 암호화된 경우). 요약이 생성되면 CloudTrail은 가시성을 위해 `GenerateQueryResultsSummary` 이벤트를 기록합니다.
## 필수 권한
[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html) 및 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AdministratorAccess.html) 관리형 정책 모두 이 기능을 사용하는 데 필요한 권한을 제공합니다.
신규 또는 기존 고객 관리형 또는 인라인 정책에 `cloudtrail:GenerateQueryResultsSummary` 및 `cloudtrail:GetQueryResults` 작업을 포함시킬 수도 있습니다.
요약되는 쿼리 결과와 관련된 이벤트 데이터 스토어가 KMS 키로 암호화된 경우 KMS 키에 대한 권한도 필요합니다.
## 리전 지원
이 기능은 AWS 리전다음에서 사용할 수 있습니다.
+ 아시아 태평양(도쿄) 리전(ap-northeast-1)
+ 미국 동부(버지니아 북부) 리전(us-east-1)
+ 미국 서부(오레곤) 리전(us-west-2)
## 제한 사항
이 기능에는 다음과 같은 제한이 있습니다.
+ 요약은 영어로만 제공됩니다.
+ 요약은 CloudTrail 이벤트(관리 이벤트, 데이터 이벤트, 네트워크 활동 이벤트)를 수집하는 이벤트 데이터 스토어로 제한됩니다.
+ 각 요약은 단일 쿼리의 결과에 대한 것입니다.
+ 쿼리 결과 크기는 250KB 미만이어야 합니다.
+ 요약할 수 있는 쿼리 결과의 월별 할당량은 3MB입니다.
# 저장된 쿼리 결과 다운로드
쿼리 결과를 저장한 후에는 쿼리 결과가 포함된 파일을 찾을 수 있어야 합니다. CloudTrail은 쿼리 결과를 저장할 때 지정한 Amazon S3 버킷으로 쿼리 결과를 전송합니다.
**참고**
쿼리 결과를 저장하면 쿼리 스캔이 완료된 후 CloudTrail에서 쿼리 결과를 전송하므로 쿼리 결과가 S3 버킷에 표시되기 전에 콘솔에 표시될 수 있습니다. 대부분의 쿼리는 몇 분 내에 완료되지만, 이벤트 데이터 스토어의 크기에 따라 CloudTrail에서 쿼리 결과를 S3 버킷으로 전달하는 데는 훨씬 더 오래 걸릴 수 있습니다. CloudTrail은 압축된 gzip 형식으로 S3 버킷에 쿼리 결과를 전달합니다. 쿼리 스캔이 완료된 후에는 S3 버킷으로 전송되는 데이터 GB당 평균 지연 시간 60\$190초를 예상할 수 있습니다.
**Topics**
+ [
## 저장된 CloudTrail Lake 쿼리 결과 확인하기
](#cloudtrail-find-lake-query-results)
+ [
## 저장된 CloudTrail Lake 쿼리 결과 다운로드
](#cloudtrail-download-lake-query-results)
## 저장된 CloudTrail Lake 쿼리 결과 확인하기
CloudTrail이 S3 버킷에 쿼리 결과 및 서명 파일을 게시합니다. 쿼리 결과 파일에는 저장된 쿼리의 출력이 포함되고, 서명 파일은 쿼리 결과에 대한 서명과 해시 값을 제공합니다. 서명 파일을 사용하여 쿼리 결과를 검증할 수 있습니다. 쿼리 결과 검증에 대한 자세한 내용은 [CloudTrail Lake 저장된 쿼리 결과 검증](cloudtrail-query-results-validation.md) 단원을 참조하세요.
쿼리 결과 또는 서명 파일을 검색하기 위해 Amazon S3 콘솔, Amazon S3 명령줄 인터페이스(CLI) 또는 API를 사용할 수 있습니다.
**Amazon S3 콘솔을 사용하여 쿼리 결과 및 서명 파일 찾기**
1. Amazon S3 콘솔을 엽니다.
1. 지정한 버킷을 선택합니다.
1. 원하는 쿼리 결과 및 서명 파일을 찾을 때까지 객체 계층을 탐색합니다. 쿼리 결과 파일의 확장자는 .csv.gz이고 서명 파일의 확장자는 .json입니다.
다음 예제와 유사하지만 다른 버킷 이름, 계정 ID, 날짜, 쿼리 ID로 객체 계층을 통해 탐색합니다.
```
All Buckets
amzn-s3-demo-bucket
AWSLogs
Account_ID;
CloudTrail-Lake
Query
2022
06
20
Query_ID
```
## 저장된 CloudTrail Lake 쿼리 결과 다운로드
쿼리 결과를 저장하면 CloudTrail이 Amazon S3 버킷으로 두 가지 유형의 파일을 전송합니다.
+ 쿼리 결과 파일을 검증하는 데 사용할 수 있는 JSON 형식의 서명 파일. 서명 파일의 이름은 result\$1sign.json입니다. 서명 파일에 대한 자세한 내용은 [CloudTrail 서명 파일 구조](cloudtrail-query-results-validation.md#cloudtrail-results-file-validation-sign-file-structure) 단원을 참조하세요.
+ 쿼리 결과를 포함하는 하나 이상의 CSV 형식 쿼리 결과 파일. 전달되는 쿼리 결과 파일의 수는 전체 쿼리 결과 크기에 따라 달라집니다. 쿼리 결과 파일의 최대 크기는 1TB입니다. 각 쿼리 결과 파일의 이름은 result\$1*숫자*.csv.gz입니다. 예를 들어 전체 쿼리 결과 크기가 2TB인 경우 result\$11.csv.gz 및 result\$12.csv.gz라는 두 개의 쿼리 결과 파일이 생깁니다.
CloudTrail 쿼리 결과 및 서명 파일은 Amazon S3 객체입니다. S3 콘솔, AWS Command Line Interface (CLI) 또는 S3 API를 사용하여 쿼리 결과 및 서명 파일을 검색할 수 있습니다.
다음 절차는 Amazon S3 콘솔을 사용하여 쿼리 결과 및 서명 파일을 다운로드하는 방법을 설명합니다.
**Amazon S3 콘솔을 사용하여 쿼리 결과 또는 서명 파일을 다운로드하는 방법**
1. Amazon S3 콘솔을 엽니다.
1. 버킷을 선택하고 다운로드할 파일을 선택합니다.
![\[CloudTrail 쿼리 결과 파일\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/lake_query_results_S3.png)
1. **Download**(다운로드)를 선택하고 프롬프트를 따라 파일을 저장합니다.
**참고**
일부 브라우저(예: Chrome)에서는 자동으로 쿼리 결과 파일의 압축을 풉니다. 브라우저에서 이 작업을 수행하는 경우 5단계로 건너뜁니다.
1. [7-Zip](https://www.7-zip.org/)과 같은 제품을 사용하여 쿼리 결과 파일의 압축을 풉니다.
1. 쿼리 결과 또는 서명 파일을 엽니다.
# CloudTrail Lake 저장된 쿼리 결과 검증
CloudTrail이 쿼리 결과를 전달한 후 쿼리 결과가 수정, 삭제 또는 변경되지 않았는지 여부를 확인하는 데 CloudTrail 쿼리 결과 무결성 검증을 사용할 수 있습니다. 이 기능은 산업 표준 알고리즘(해시의 경우 SHA-256, 디지털 서명의 경우 RSA 포함 SHA-256)으로 구축되었습니다. 따라서 CloudTrail 쿼리 결과 파일의 수정, 삭제 또는 위조가 감지되지 않는 것이 계산상 불가능합니다. 쿼리 결과 파일을 검증하는 데 명령줄을 사용할 수 있습니다.
## 사용하는 이유
검증된 쿼리 결과 파일은 보안 및 과학수사에서 중요한 역할을 합니다. 예를 들어, 검증된 쿼리 결과 파일을 사용하면 쿼리 결과 파일 자체가 변경되지 않았음을 분명하게 확인할 수 있습니다. CloudTrail 쿼리 결과 파일 무결성 검증 프로세스로 쿼리 결과 파일이 삭제되었거나 변경되었는지 여부도 알 수 있습니다.
**Topics**
+ [
## 사용하는 이유
](#cloudtrail-query-results-validation-use-cases)
+ [
## 를 사용하여 저장된 쿼리 결과 검증 AWS CLI
](#cloudtrail-query-results-validation-cli)
+ [
## CloudTrail 서명 파일 구조
](#cloudtrail-results-file-validation-sign-file-structure)
+ [
## CloudTrail 쿼리 결과 파일 무결성 검증에 대한 사용자 지정 구현
](#cloudtrail-results-file-custom-validation)
## 를 사용하여 저장된 쿼리 결과 검증 AWS CLI
[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/verify-query-results.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/cloudtrail/verify-query-results.html) 명령을 사용하여 쿼리 결과 파일과 서명 파일의 무결성을 검증할 수 있습니다.
### 사전 조건
명령줄을 사용하여 쿼리 결과 무결성을 검증하려면 다음 조건을 충족해야 합니다.
+ 에 대한 온라인 연결이 있어야 합니다 AWS.
+ AWS CLI 버전 2를 사용해야 합니다.
+ 쿼리 결과 파일의 유효성을 검사하고, 파일을 로컬로 서명하려면, 다음 조건이 적용됩니다.
+ 쿼리 결과 파일과 서명 파일은 지정된 파일 경로에 넣어야 합니다. 파일 경로를 **--local-export-path** 파라미터 값으로 지정합니다.
+ 쿼리 결과 파일 및 서명 파일의 이름을 변경해서는 안 됩니다.
+ S3 버킷의 쿼리 결과 파일 및 서명 파일을 검증하려면, 다음 조건이 적용됩니다.
+ 쿼리 결과 파일 및 서명 파일의 이름을 변경해서는 안 됩니다.
+ 쿼리 결과 파일 및 서명 파일을 포함하는 Amazon S3 버킷에 대한 읽기 액세스 권한이 있어야 합니다.
+ 지정된 S3 접두사는 쿼리 결과 파일 및 서명 파일을 포함해야 합니다. S3 접두사를 **--s3-prefix** 파라미터 값으로 지정합니다.
### verify-query-results
이 **verify-query-results** 명령은 서명 파일의 `fileHashValue` 값과의 비교를 통해 서명 파일의 `hashSignature` 값을 검증하여 각 쿼리 결과 파일의 해시 값을 확인합니다.
쿼리 결과를 확인할 때 **--s3-bucket** 및 **--s3-prefix** 명령줄 옵션을 사용하여 S3 버킷에 저장된 쿼리 결과 파일 및 서명 파일을 검증하거나, **--local-export-path** 명령줄 옵션을 사용하여 다운로드한 쿼리 결과 파일 및 서명 파일의 로컬 검증을 수행할 수 있습니다.
**참고**
**verify-query-results** 명령은 지역별로 다릅니다. 특정에 대한 쿼리 결과를 검증하려면 **--region** 전역 옵션을 지정해야 합니다 AWS 리전.
다음은 **verify-query-results** 명령에 대한 옵션입니다.
**--s3-bucket** **
쿼리 결과 파일 및 서명 파일을 저장하는 S3 버킷 이름을 지정합니다. 이 파라미터는 **--local-export-path**와 함께 사용할 수 없습니다.
**--s3-prefix** **
쿼리 결과 파일 및 서명 파일(예: `s3/path/`)이 포함된 S3 폴더의 S3 경로를 지정합니다. 이 파라미터는 **--local-export-path**와 함께 사용할 수 없습니다. 파일이 S3 버킷의 루트 디렉터리에 있는 경우에는 이 파라미터를 제공할 필요가 없습니다.
**--local-export-path** **
쿼리 결과 파일 및 서명 파일(예: `/local/path/to/export/file/`)이 포함된 로컬 디렉터리를 지정합니다. 이 파라미터는 **--s3-bucket** 또는 **--s3-prefix**와 함께 사용할 수 없습니다.
#### 예제
다음 예는 쿼리 결과 파일 및 서명 파일이 포함된 S3 버킷 이름과 접두사를 지정하는 **--s3-bucket** 및 **--s3-prefix** 명령줄 옵션을 사용하여 쿼리 결과를 검증합니다.
```
aws cloudtrail verify-query-results --s3-bucket amzn-s3-demo-bucket --s3-prefix prefix --region region
```
다음 예는 쿼리 결과 파일 및 서명 파일의 로컬 경로를 지정하는 **--local-export-path** 명령줄 옵션을 사용하여 다운로드한 쿼리 결과를 검증합니다. 쿼리 결과 파일 다운로드에 대한 자세한 내용은 [저장된 CloudTrail Lake 쿼리 결과 다운로드](view-download-cloudtrail-lake-query-results.md#cloudtrail-download-lake-query-results) 섹션을 참조하세요.
```
aws cloudtrail verify-query-results --local-export-path local_file_path --region region
```
#### 검증 결과
다음 표는 쿼리 결과 파일 및 서명 파일에 가능한 검증 메시지를 설명합니다.
****
| 파일 형식 | 검증 메시지 | 설명 |
| --- | --- | --- |
| Sign file | Successfully validated sign and query result files | 서명 파일 서명이 유효합니다. 참조하는 쿼리 결과 파일을 확인할 수 있습니다. |
| Query result file | `ValidationError: "File file_name has inconsistent hash value with hash value recorded in sign file, hash value in sign file is expected_hash, but get computed_hash` | 쿼리 결과 파일의 해시 값이 서명 파일의 fileHashValue와 일치하지 않아 검증이 실패했습니다. |
| Sign file | `ValidationError: Invalid signature in sign file` | 서명이 유효하지 않아 서명 파일 검증에 실패했습니다. |
## CloudTrail 서명 파일 구조
서명 파일에는 쿼리 결과를 저장할 때 Amazon S3 버킷에 전달된 각 쿼리 결과 파일의 이름, 각 쿼리 결과 파일의 해시 값, 파일의 디지털 서명이 포함됩니다. 디지털 서명 및 해시 값은 쿼리 결과 파일과 서명 파일 자체의 무결성을 검증하는 데 사용됩니다.
### 서명 파일 위치
서명 파일은 이 구문을 따른 Amazon S3 버킷 위치로 전송됩니다.
```
s3://amzn-s3-demo-bucket/optional-prefix/AWSLogs/aws-account-ID/CloudTrail-Lake/Query/year/month/date/query-ID/result_sign.json
```
### 샘플 서명 파일 콘텐츠
다음 예시 서명 파일에는 CloudTrail Lake 쿼리 결과에 대한 정보가 포함됩니다.
```
{
"version": "1.0",
"region": "us-east-1",
"files": [
{
"fileHashValue" : "de85a48b8a363033c891abd723181243620a3af3b6505f0a44db77e147e9c188",
"fileName" : "result_1.csv.gz"
}
],
"hashAlgorithm" : "SHA-256",
"signatureAlgorithm" : "SHA256withRSA",
"queryCompleteTime": "2022-05-10T22:06:30Z",
"hashSignature" : "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",
"publicKeyFingerprint" : "67b9fa73676d86966b449dd677850753"
}
```
### 서명 파일 필드 설명
서명 파일의 각 필드에 대한 설명은 다음과 같습니다.
`version`
서명 파일의 버전입니다.
`region`
쿼리 결과를 저장하는 데 사용되는 AWS 계정의 리전입니다.
`files.fileHashValue`
압축된 쿼리 결과 파일 콘텐츠의 16진수 인코딩 해시 값입니다.
`files.fileName`
쿼리 결과 파일의 이름입니다.
`hashAlgorithm`
쿼리 결과 파일 해싱에 사용하는 해시 알고리즘입니다.
`signatureAlgorithm`
파일에 서명하는 데 사용하는 알고리즘입니다.
`queryCompleteTime`
CloudTrail이 쿼리 결과를 S3 버킷에 전송한 시점을 나타냅니다. 이 값을 사용하여 퍼블릭 키를 찾을 수 있습니다.
`hashSignature`
파일의 해시 서명입니다.
`publicKeyFingerprint`
파일에 서명하는 데 사용된 퍼블릭 키의 16진수 인코딩 지문입니다.
## CloudTrail 쿼리 결과 파일 무결성 검증에 대한 사용자 지정 구현
CloudTrail은 업계 표준의 공개적으로 제공되는 암호화 알고리즘 및 해시 함수를 사용하므로 고유한 도구를 생성하여 CloudTrail 쿼리 결과 파일의 무결성을 검증할 수 있습니다. 쿼리 결과를 Amazon S3 버킷에 저장하면 CloudTrail은 S3 버킷에 서명 파일을 전송합니다. 자체 검증 솔루션을 구현하여 서명과 쿼리 결과 파일을 검증할 수 있습니다. 서명 파일에 대한 자세한 내용은 [CloudTrail 서명 파일 구조](#cloudtrail-results-file-validation-sign-file-structure) 단원을 참조하세요.
이 주제에서는 서명 파일이 서명되는 방법을 설명한 후 서명 파일 및 서명 파일이 참조하는 쿼리 결과 파일을 검증하는 솔루션을 구현하기 위해 수행해야 할 단계를 자세히 안내합니다.
### CloudTrail 서명 파일이 서명되는 방법 이해
CloudTrail 서명 파일은 RSA 디지털 서명으로 서명됩니다. CloudTrail은 각 서명 파일에 대해 다음을 수행합니다.
1. 각 쿼리 결과 파일의 해시 값이 포함된 해시 목록을 만듭니다.
1. 리전에 고유한 프라이빗 키를 가져옵니다.
1. 문자열의 SHA-256 해시 및 프라이빗 키를 RSA 서명 알고리즘에 전달하여 디지털 서명을 생성합니다.
1. 서명의 바이트 코드를 16진수 형식으로 인코딩합니다.
1. 디지털 서명을 서명 파일에 넣습니다.
#### 데이터 서명 문자열의 내용
데이터 서명 문자열은 공백으로 구분된 각 쿼리 결과 파일의 해시 값으로 구성됩니다. 서명 파일에는 각 쿼리 결과 파일에 대한 `fileHashValue`가 나열됩니다.
### 사용자 지정 검증 구현 단계
사용자 지정 검증 솔루션을 구현할 때 먼저 서명 파일을 검증한 다음 서명 파일이 참조하는 쿼리 결과 파일을 검증해야 합니다.
#### 서명 파일 검증
서명 파일을 검증하려면 파일의 서명, 파일에 서명하는 데 사용된 프라이빗 키에 대한 퍼블릭 키, 사용자가 계산한 데이터 서명 문자열이 필요합니다.
1. 서명 파일을 가져옵니다.
1. 서명 파일이 원래 위치에서 검색되었는지 확인합니다.
1. 서명 파일의 16진수 인코딩 서명을 가져옵니다.
1. 서명 파일에 서명하는 데 사용된 프라이빗 키에 대한 퍼블릭 키의 16진수 인코딩 지문을 가져옵니다.
1. 서명 파일의 `queryCompleteTime`에 해당하는 시간 범위의 퍼블릭 키를 검색합니다. 시간 범위에서 `StartTime`을 `queryCompleteTime` 이전의 시간으로, `EndTime`을 `queryCompleteTime` 이후의 시간으로 선택합니다.
1. 검색된 퍼블릭 키 중에서 서명 파일의 `publicKeyFingerprint` 값과 지문이 일치하는 퍼블릭 키를 선택합니다.
1. 공백으로 구분된 각 쿼리 결과 파일의 해시 값을 포함하는 해시 목록을 사용하여, 서명 파일의 서명을 검증하는 데 사용되는 데이터 서명 문자열을 다시 생성합니다. 서명 파일에는 각 쿼리 결과 파일에 대한 `fileHashValue`가 나열됩니다.
예를 들어, 서명 파일의 `files` 배열에 다음과 같은 세 개의 쿼리 결과 파일이 포함된 경우 해시 목록은 "aaa bbb ccc"입니다.
```
“files": [
{
"fileHashValue" : “aaa”,
"fileName" : "result_1.csv.gz"
},
{
"fileHashValue" : “bbb”,
"fileName" : "result_2.csv.gz"
},
{
"fileHashValue" : “ccc”,
"fileName" : "result_3.csv.gz"
}
],
```
1. 문자열의 SHA-256 해시, 퍼블릭 키 및 서명을 RSA 서명 검증 알고리즘에 파라미터로 전달하여 서명을 검증합니다. 결과가 true이면 서명 파일이 유효한 것입니다.
#### 쿼리 결과 파일 검증
서명 파일이 유효하면 서명 파일이 참조하는 쿼리 결과 파일을 검증합니다. 쿼리 결과 파일의 무결성을 검증하려면 압축된 콘텐츠에서 해당 파일의 SHA-256 해시 값을 계산하고 그 결과를 서명 파일에 기록된 쿼리 결과 파일의 `fileHashValue`와 비교합니다. 해시가 서로 일치하면 쿼리 결과 파일이 유효한 것입니다.
다음 단원에서는 각 검증 프로세스를 상세히 설명합니다.
#### A. 서명 파일 가져오기
첫 번째 단계는 서명 파일을 가져오고 퍼블릭 키의 지문을 가져오는 것입니다.
1. Amazon S3 버킷에서 검증하려는 쿼리 결과에 대한 서명 파일을 가져옵니다.
1. 다음으로, 서명 파일에서 `hashSignature` 값을 가져옵니다.
1. 서명 파일의 `publicKeyFingerprint` 필드에서 파일에 서명하는 데 사용된 프라이빗 키에 대한 퍼블릭 키의 지문을 가져옵니다.
#### B. 서명 파일 검증을 위한 퍼블릭 키 검색
서명 파일을 검증하기 위한 퍼블릭 키를 가져오려면 AWS CLI 또는 CloudTrail API를 사용할 수 있습니다. 어느 방법을 사용하든 서명 파일에 대해 검증할 시간 범위(시작 시간 및 종료 시간)를 지정합니다. 서명 파일의 `queryCompleteTime`에 해당하는 시간 범위를 사용합니다. 지정한 시간 범위에 대해 하나 이상의 퍼블릭 키가 반환될 수 있습니다. 반환된 키의 유효 시간 범위가 겹칠 수 있습니다.
**참고**
CloudTrail은 리전별로 서로 다른 프라이빗 및 퍼블릭 키 쌍을 사용하므로 각 서명 파일은 해당 리전에 고유한 프라이빗 키로 서명됩니다. 따라서 특정 리전의 서명 파일을 검증할 때는 동일한 리전의 퍼블릭 키를 검색해야 합니다.
##### AWS CLI 를 사용하여 퍼블릭 키 검색
를 사용하여 서명 파일의 퍼블릭 키를 검색하려면 `cloudtrail list-public-keys` 명령을 AWS CLI사용합니다. 명령의 형식은 다음과 같습니다.
`aws cloudtrail list-public-keys [--start-time ] [--end-time ]`
시작 시간 및 종료 시간 파라미터는 UTC 타임스탬프이며 선택 사항입니다. 지정하지 않을 경우 현재 시간이 사용되며 현재 활성 상태인 퍼블릭 키가 반환됩니다.
**예제 응답**
응답은 반환된 키를 나타내는 JSON 객체 목록입니다.
##### CloudTrail API를 사용하여 퍼블릭 키 검색
CloudTrail API를 사용하여 서명 파일의 퍼블릭 키를 검색하려면 `ListPublicKeys` API에 시작 시간 및 종료 시간 값을 전달합니다. `ListPublicKeys` API는 지정된 시간 범위 내에서 서명 파일에 서명하는 데 사용된 프라이빗 키에 대한 퍼블릭 키를 반환합니다. 이 API는 각 퍼블릭 키에 대해 해당 지문도 반환합니다.
##### `ListPublicKeys`
이 단원에서는 `ListPublicKeys` API에 대한 요청 파라미터 및 응답 요소에 대해 설명합니다.
**참고**
`ListPublicKeys`의 이진 필드에 대한 인코딩은 변경될 수 있습니다.
**요청 파라미터**
****
| 이름 | 설명 |
| --- | --- |
| StartTime | 선택적으로 CloudTrail 서명 파일에 대한 퍼블릭 키를 검색할 시간 범위의 시작 시간(UTC)을 지정합니다. StartTime을 지정하지 않을 경우 현재 시간이 사용되며 현재 퍼블릭 키가 반환됩니다. 유형: DateTime |
| EndTime | 선택적으로 CloudTrail 서명 파일에 대한 퍼블릭 키를 검색할 시간 범위의 끝 시간(UTC)을 지정합니다. EndTime을 지정하지 않을 경우 현재 시간이 사용됩니다. 유형: DateTime |
**응답 요소**
`PublicKeyList`, 다음을 포함하는 `PublicKey` 객체 배열:
****
| | |
| --- |--- |
| 이름 | 설명 |
| Value | PKCS \$11 형식의 DER 인코딩 퍼블릭 키 값입니다. 유형: BLOB |
| ValidityStartTime | 퍼블릭 키 유효 기간의 시작 시간입니다. 유형: DateTime |
| ValidityEndTime | 퍼블릭 키 유효 기간의 종료 시간입니다. 유형: DateTime |
| Fingerprint | 퍼블릭 키의 지문. 지문은 서명 파일을 검증하기 위해 사용해야 할 퍼블릭 키를 식별하는 데 사용될 수 있습니다. 유형: 문자열 |
#### C. 검증에 사용할 퍼블릭 키 선택
`list-public-keys` 또는 `ListPublicKeys`가 검색한 퍼블릭 키 중에서 서명 파일의 `publicKeyFingerprint` 필드에 기록된 지문과 일치하는 지문을 가진 퍼블릭 키를 선택합니다. 이 퍼블릭 키가 서명 파일을 검증하는 데 사용할 퍼블릭 키입니다.
#### D. 데이터 서명 문자열 다시 생성
서명 파일의 서명 및 관련 퍼블릭 키를 구했으므로 이제 데이터 서명 문자열을 계산해야 합니다. 데이터 서명 문자열을 계산하면 서명을 검증하는 데 필요한 입력이 구해집니다.
데이터 서명 문자열은 공백으로 구분된 각 쿼리 결과 파일의 해시 값으로 구성됩니다. 이 문자열을 다시 생성한 후에 서명 파일을 검증할 수 있습니다.
#### E. 서명 파일 검증
다시 생성한 데이터 서명 문자열, 디지털 서명 및 퍼블릭 키를 RSA 서명 검증 알고리즘에 전달합니다. 출력이 true이면 서명 파일의 서명이 검증되었으며 서명 파일이 유효한 것입니다.
#### F. 쿼리 결과 파일 검증
서명 파일을 검증한 후에 서명 파일이 참조하는 쿼리 결과 파일을 검증할 수 있습니다. 서명 파일에는 쿼리 결과 파일의 SHA-256 해시가 포함되어 있습니다. CloudTrail이 쿼리 결과 파일을 전송한 후 그중 하나가 수정된 경우 SHA-256 해시가 변경되어 서명 파일의 서명이 일치하지 않게 됩니다.
다음 절차를 사용하여 서명 파일의 `files` 배열에 나열된 쿼리 결과 파일의 유효성을 검사합니다.
1. 서명 파일에 있는 `files.fileHashValue` 필드에서 파일의 원래 해시를 검색합니다.
1. `hashAlgorithm`에 지정된 해시 알고리즘을 사용하여 쿼리 결과 파일의 압축된 콘텐츠를 해시합니다.
1. 각 쿼리 결과 파일에 대해 생성한 해시 값을 서명 파일의 `files.fileHashValue`와 비교합니다. 해시가 일치하면 쿼리 결과 파일이 유효한 것입니다.
### 서명 및 쿼리 결과 파일을 오프라인으로 검증하기
서명 및 쿼리 결과 파일을 오프라인으로 검증할 때 일반적으로 이전 단원에 설명된 절차를 따르면 됩니다. 하지만 퍼블릭 키에 대해 다음의 정보를 고려해야 합니다.
#### 퍼블릭 키
오프라인으로 검증하려면 먼저 지정된 시간 범위에 있는 쿼리 결과 파일을 검증하는 데 필요한 모든 퍼블릭 키를 온라인으로 구한(예를 들면 `ListPublicKeys` 호출) 다음 오프라인에 저장해야 합니다. 처음 지정했던 시간 범위를 벗어나는 추가 파일을 검증할 때마다 이 단계를 반복해야 합니다.
### 검증을 위한 샘플 코드 조각
다음 샘플 코드 조각은 CloudTrail 서명 및 쿼리 결과 파일 검증을 위한 스켈레톤 코드를 제공합니다. 스켈레톤 코드는 온라인/오프라인에 무관하므로 AWS에 온라인으로 연결된 상태에서 코드를 구현할지 여부는 필요에 따라 선택하면 됩니다. 제안된 구현에서는 [Java Cryptography Extension(JCE)](https://en.wikipedia.org/wiki/Java_Cryptography_Extension) 및 [Bouncy Castle](https://www.bouncycastle.org/)을 보안 공급자로 사용합니다.
샘플 코드 조각은 다음을 보여 줍니다.
+ .서명 파일의 서명을 검증하는 데 사용되는 데이터 서명 문자열을 생성하는 방법.
+ 서명 파일의 서명을 검증하는 방법.
+ 쿼리 결과 파일의 해시 값을 계산하고 서명 파일에 나열된 `fileHashValue` 값과 비교하여 쿼리 결과 파일의 신뢰성을 확인하는 방법.
```
import org.apache.commons.codec.binary.Hex;
import org.bouncycastle.asn1.pkcs.PKCSObjectIdentifiers;
import org.bouncycastle.asn1.pkcs.RSAPublicKey;
import org.bouncycastle.asn1.x509.AlgorithmIdentifier;
import org.bouncycastle.asn1.x509.SubjectPublicKeyInfo;
import org.bouncycastle.jce.provider.BouncyCastleProvider;
import org.json.JSONArray;
import org.json.JSONObject;
import java.security.KeyFactory;
import java.security.MessageDigest;
import java.security.PublicKey;
import java.security.Security;
import java.security.Signature;
import java.security.spec.X509EncodedKeySpec;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.List;
import java.util.stream.Collectors;
public class SignFileValidationSampleCode {
public void validateSignFile(String s3Bucket, String s3PrefixPath) throws Exception {
MessageDigest messageDigest = MessageDigest.getInstance("SHA-256");
// Load the sign file from S3 (using Amazon S3 Client) or from your local copy
JSONObject signFile = loadSignFileToMemory(s3Bucket, String.format("%s/%s", s3PrefixPath, "result_sign.json"));
// Using the Bouncy Castle provider as a JCE security provider - http://www.bouncycastle.org/
Security.addProvider(new BouncyCastleProvider());
List hashList = new ArrayList<>();
JSONArray jsonArray = signFile.getJSONArray("files");
for (int i = 0; i < jsonArray.length(); i++) {
JSONObject file = jsonArray.getJSONObject(i);
String fileS3ObjectKey = String.format("%s/%s", s3PrefixPath, file.getString("fileName"));
// Load the export file from S3 (using Amazon S3 Client) or from your local copy
byte[] exportFileContent = loadCompressedExportFileInMemory(s3Bucket, fileS3ObjectKey);
messageDigest.update(exportFileContent);
byte[] exportFileHash = messageDigest.digest();
messageDigest.reset();
byte[] expectedHash = Hex.decodeHex(file.getString("fileHashValue"));
boolean signaturesMatch = Arrays.equals(expectedHash, exportFileHash);
if (!signaturesMatch) {
System.err.println(String.format("Export file: %s/%s hash doesn't match.\tExpected: %s Actual: %s",
s3Bucket, fileS3ObjectKey,
Hex.encodeHexString(expectedHash), Hex.encodeHexString(exportFileHash)));
} else {
System.out.println(String.format("Export file: %s/%s hash match",
s3Bucket, fileS3ObjectKey));
}
hashList.add(file.getString("fileHashValue"));
}
String hashListString = hashList.stream().collect(Collectors.joining(" "));
/*
NOTE:
To find the right public key to verify the signature, call CloudTrail ListPublicKey API to get a list
of public keys, then match by the publicKeyFingerprint in the sign file. Also, the public key bytes
returned from ListPublicKey API are DER encoded in PKCS#1 format:
PublicKeyInfo ::= SEQUENCE {
algorithm AlgorithmIdentifier,
PublicKey BIT STRING
}
AlgorithmIdentifier ::= SEQUENCE {
algorithm OBJECT IDENTIFIER,
parameters ANY DEFINED BY algorithm OPTIONAL
}
*/
byte[] pkcs1PublicKeyBytes = getPublicKey(signFile.getString("queryCompleteTime"),
signFile.getString("publicKeyFingerprint"));
byte[] signatureContent = Hex.decodeHex(signFile.getString("hashSignature"));
// Transform the PKCS#1 formatted public key to x.509 format.
RSAPublicKey rsaPublicKey = RSAPublicKey.getInstance(pkcs1PublicKeyBytes);
AlgorithmIdentifier rsaEncryption = new AlgorithmIdentifier(PKCSObjectIdentifiers.rsaEncryption, null);
SubjectPublicKeyInfo publicKeyInfo = new SubjectPublicKeyInfo(rsaEncryption, rsaPublicKey);
// Create the PublicKey object needed for the signature validation
PublicKey publicKey = KeyFactory.getInstance("RSA", "BC")
.generatePublic(new X509EncodedKeySpec(publicKeyInfo.getEncoded()));
// Verify signature
Signature signature = Signature.getInstance("SHA256withRSA", "BC");
signature.initVerify(publicKey);
signature.update(hashListString.getBytes("UTF-8"));
if (signature.verify(signatureContent)) {
System.out.println("Sign file signature is valid.");
} else {
System.err.println("Sign file signature failed validation.");
}
System.out.println("Sign file validation completed.");
}
}
```
# CloudTrail Lake 쿼리 최적화
이 페이지에서는 CloudTrail Lake 쿼리를 최적화하여 성능과 신뢰성을 개선하는 방법에 대한 지침을 제공합니다. 특정 최적화 기법과 일반적인 쿼리 실패에 대한 해결 방법을 다룹니다.
**Topics**
+ [
## 쿼리 최적화를 위한 권장 사항
](#lake-queries-tuning)
+ [
## 쿼리 실패에 대한 해결 방법
](#lake-queries-troubleshooting)
## 쿼리 최적화를 위한 권장 사항
이 섹션의 권장 사항에 따라 쿼리를 최적화합니다.
**Topics**
+ [
### 집계 최적화
](#query-optimization-aggregation)
+ [
### 근사 기법 사용
](#query-optimization-approximation)
+ [
### 쿼리 결과 제한
](#query-optimization-limit)
+ [
### LIKE 쿼리 최적화
](#query-optimization-like)
+ [
### `UNION` 대신 `UNION ALL` 사용
](#query-optimization-union)
+ [
### 필수 열만 포함
](#query-optimization-reqcolumns)
+ [
### 창 함수 범위 축소
](#query-optimization-windows)
### 집계 최적화
`GROUP BY` 절에서 중복 열을 제외하면 더 적은 열에 메모리가 더 적게 필요하므로 성능이 향상될 수 있습니다. 예를 들어 다음 쿼리에서는 `eventType`과 같은 중복 열에서 `arbitrary` 함수를 사용하여 성능을 개선할 수 있습니다. `eventType`의 `arbitrary` 함수는 값이 동일하므로 그룹에서 필드 값을 무작위로 선택하는 데 사용되며 `GROUP BY` 절에는 포함할 필요가 없습니다.
```
SELECT eventName, eventSource, arbitrary(eventType), count(*)
FROM $EDS_ID
GROUP BY eventName, eventSource
```
`GROUP BY` 내 필드 목록을 고유한 값 수(카디널리티)의 내림차순으로 정렬하여 `GROUP BY` 함수의 성능을 개선할 수 있습니다. 예를 들어 각 유형의 이벤트 수를 가져오는 동안의 값`eventName`보다의 고유한 값이 더 많`awsRegion``eventName`기 때문에 대신 `GROUP BY` 함수의 `eventName` `awsRegion` 순서에 따라를 사용하여 AWS 리전성능을 개선할 수 있습니다`awsRegion`.
```
SELECT eventName, awsRegion, count(*)
FROM $EDS_ID
GROUP BY eventName, awsRegion
```
### 근사 기법 사용
고유 값을 계산하는 데 정확한 값이 필요하지 않은 경우 [근사 집계 함수](https://trino.io/docs/current/functions/aggregate.html#approximate-aggregate-functions)를 사용하여 가장 빈번한 값을 찾습니다. 예를 들어 [https://trino.io/docs/current/functions/aggregate.html#approx_distinct](https://trino.io/docs/current/functions/aggregate.html#approx_distinct)는 훨씬 적은 메모리를 사용하고 `COUNT(DISTINCT fieldName)` 작업보다 빠르게 실행됩니다.
### 쿼리 결과 제한
쿼리에 샘플 응답만 필요한 경우 `LIMIT` 조건을 사용하여 결과를 소수의 행으로 제한합니다. 그렇게 하지 않으면 쿼리가 큰 결과를 반환하고 쿼리 실행에 더 많은 시간이 걸립니다.
`ORDER BY`와 함께 `LIMIT`를 사용하면 정렬에 필요한 메모리 양과 시간이 줄어들기 때문에 상단 또는 하단 N 레코드에 대한 결과를 더 빠르게 제공할 수 있습니다.
```
SELECT * FROM $EDS_ID
ORDER BY eventTime
LIMIT 100;
```
### LIKE 쿼리 최적화
`LIKE`를 사용하여 일치하는 문자열을 찾을 수 있지만 문자열이 길면 컴퓨팅 용량을 많이 소비합니다. 이 [https://trino.io/docs/current/functions/regexp.html#regexp_like](https://trino.io/docs/current/functions/regexp.html#regexp_like) 함수는 대부분의 경우 더 빠른 대안입니다.
찾고 있는 하위 문자열을 고정하여 검색을 최적화할 수도 있습니다. 예를 들어 접두사를 찾고 있다면 `LIKE` 연산자에 '%`substr`%' 대신 '`substr`%'를 사용하고 `regexp_like` 함수에 '^`substr`'를 사용하는 것이 좋습니다.
### `UNION` 대신 `UNION ALL` 사용
`UNION ALL` 및 `UNION`은 두 쿼리의 결과를 하나의 결과로 결합하는 두 가지 방법이지만 `UNION`에서 중복된 항목을 제거합니다. `UNION`에서는 모든 레코드를 처리하고 중복을 찾아야 하므로 메모리와 컴퓨팅 용량을 많이 소비하지만 `UNION ALL`에서는 비교적 속도가 빠른 연산입니다. 레코드의 중복을 제거해야 하는 경우가 아니라면 최상의 성능을 위해 `UNION ALL`을 사용합니다.
### 필수 열만 포함
열이 필요하지 않은 경우 쿼리에 포함하지 않습니다. 쿼리에서 처리해야 하는 데이터가 적을수록 실행 속도가 빨라집니다. 가장 바깥쪽 쿼리에서 `SELECT *`를 수행하는 쿼리가 있는 경우 `*`를 필요한 열을 포함하는 목록으로 변경해야 합니다.
`ORDER BY` 절은 정렬된 순서로 쿼리 결과를 반환합니다. 더 많은 양의 데이터를 정렬할 때 필요한 메모리를 사용할 수 없는 경우 중간 정렬 결과가 디스크에 기록되어 쿼리 실행 속도가 느려질 수 있습니다. 결과를 정렬할 필요가 없는 경우 `ORDER BY` 절을 추가하지 않습니다. 또한 필요한 쿼리가 아닌 경우 내부 쿼리에 `ORDER BY`를 추가하지 않습니다.
### 창 함수 범위 축소
[창 함수](https://trino.io/docs/current/functions/window.html)는 결과를 계산하기 위해 작업하는 모든 레코드를 메모리에 보관합니다. 창 크기가 너무 크면 창 함수의 메모리가 부족해질 수 있습니다. 사용 가능한 메모리 한도 내에서 쿼리를 실행하려면 `PARTITION BY` 절을 추가하여 창 함수가 작동하는 창 크기를 줄입니다.
창 함수가 있는 쿼리를 창 함수 없이 다시 작성할 수도 있습니다. 예를 들어 `row_number` 또는 `rank`를 사용하는 대신 [https://trino.io/docs/current/functions/aggregate.html#max_by](https://trino.io/docs/current/functions/aggregate.html#max_by) 또는 [https://trino.io/docs/current/functions/aggregate.html#min_by](https://trino.io/docs/current/functions/aggregate.html#min_by)와 같은 집계 함수를 사용할 수 있습니다.
다음 쿼리는 `max_by`를 사용하여 각 KMS 키에 가장 최근에 할당된 별칭을 찾습니다.
```
SELECT element_at(requestParameters, 'targetKeyId') as keyId,
max_by(element_at(requestParameters, 'aliasName'), eventTime) as mostRecentAlias
FROM $EDS_ID
WHERE eventsource = 'kms.amazonaws.com'
AND eventName in ('CreateAlias', 'UpdateAlias')
AND eventTime > DATE_ADD('week', -1, CURRENT_TIMESTAMP)
GROUP BY element_at(requestParameters, 'targetKeyId')
```
이 경우 `max_by` 함수는 그룹 내의 최신 이벤트 시간과 함께 레코드의 별칭을 반환합니다. 이 쿼리는 창 함수를 사용하는 동등한 쿼리보다 실행 속도가 빠르고 메모리 사용량도 적습니다.
## 쿼리 실패에 대한 해결 방법
이 섹션에서는 일반적인 쿼리 실패에 대한 해결 방법을 제공합니다.
**Topics**
+ [
### 응답이 너무 커서 쿼리 실패
](#large-responses)
+ [
### 리소스 소진으로 인한 쿼리 실패
](#exhausted-resources)
### 응답이 너무 커서 쿼리 실패
응답이 너무 큰 경우 쿼리가 실패할 수 있으며 이때 `Query response is too large`라는 메시지가 표시됩니다. 이 경우 집계 범위를 줄일 수 있습니다.
`array_agg` 같은 집계 함수는 쿼리 응답에서 하나 이상의 열이 매우 커서 쿼리가 실패할 수 있습니다. 예를 들어 `array_agg(DISTINCT eventName)` 대신 `array_agg(eventName)`을 사용하면 선택한 CloudTrail 이벤트의 중복 이벤트 이름으로 인해 응답 크기가 많이 증가합니다.
### 리소스 소진으로 인한 쿼리 실패
조인, 집계 및 창 함수와 같은 메모리 집약적 작업을 실행하는 동안 충분한 메모리를 사용할 수 없는 경우 중간 결과가 디스크에 유출되지만 유출하면 쿼리 실행 속도가 느려지고 쿼리가 `Query exhausted resources at this scale factor`를 통해 실패하지 않도록 방지하기에 충분하지 않을 수 있습니다. 쿼리를 다시 시도하여 이 문제를 해결할 수 있습니다.
쿼리를 최적화한 후에도 위 오류가 지속되면 이벤트의 `eventTime`을 사용하여 쿼리의 범위를 좁히고 원래 쿼리 시간 범위의 더 작은 간격으로 쿼리를 여러 번 실행할 수 있습니다.
# 를 사용하여 CloudTrail Lake 쿼리 실행 및 관리 AWS CLI
를 사용하여 CloudTrail Lake 쿼리 AWS CLI 를 실행하고 관리할 수 있습니다. 를 사용할 때는 명령이 프로파일에 대해 AWS 리전 구성된에서 실행된다는 점을 AWS CLI기억하세요. 다른 리전에서 명령을 실행하려는 경우 프로필의 기본 리전을 변경하거나 명령에 **--region** 파라미터를 사용합니다.
## CloudTrail Lake 쿼리에 대해 사용 가능한 명령
CloudTrail Lake에서 쿼리를 실행하고 관리하기 위한 명령은 다음과 같습니다.
+ `start-query`: 쿼리를 실행합니다.
+ `describe-query`: 쿼리에 대한 메타데이터를 반환합니다.
+ `generate-query`에서는 영어 프롬프트에서 쿼리를 생성합니다. 자세한 내용은 [자연어 프롬프트로 CloudTrail Lake 쿼리 생성](lake-query-generator.md) 단원을 참조하십시오.
+ `get-query-results`: 지정된 쿼리 ID에 대한 쿼리 결과를 반환합니다.
+ `list-queries`: 지정된 이벤트 데이터 저장소에 대한 목록 쿼리를 가져옵니다.
+ `cancel-query`: 실행 중인 쿼리를 취소합니다.
CloudTrail Lake 이벤트 데이터 저장소에 사용할 수 있는 명령 목록은 [이벤트 데이터 저장소에 대해 사용 가능한 명령](lake-eds-cli.md#lake-eds-cli-commands) 섹션을 참조하세요.
CloudTrail Lake 대시보드에 사용할 수 있는 명령 목록은 [대시보드에 사용 가능한 명령](lake-dashboard-cli.md#lake-dashboard-cli-commands) 섹션을 참조하세요.
CloudTrail Lake 통합에 사용할 수 있는 명령 목록은 [CloudTrail Lake 통합에 대해 사용 가능한 명령](lake-integrations-cli.md#lake-integrations-cli-commands) 섹션을 참조하세요.
## 를 사용하여 자연어 프롬프트에서 쿼리 생성 AWS CLI
`generate-query` 명령을 실행하여 영어 프롬프트에서 쿼리를 생성합니다. `--event-data-stores`에 대해 쿼리하려는 이벤트 데이터 스토어의 ARN(또는 ARN의 ID 접미사)를 제공합니다. 이벤트 데이터 스토어는 하나만 지정할 수 있습니다. `--prompt`의 경우 프롬프트를 영어로 제공합니다.
```
aws cloudtrail generate-query
--event-data-stores arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE \
--prompt "Show me all console login events for the past week?"
```
성공하면 명령은 SQL 문을 출력하고 `start-query` 명령을 통해 이벤트 데이터 스토어에 대해 쿼리를 실행하는 데 사용할 `QueryAlias`를 제공합니다.
```
{
"QueryStatement": "SELECT * FROM $EDS_ID WHERE eventname = 'ConsoleLogin' AND eventtime >= timestamp '2024-09-16 00:00:00' AND eventtime <= timestamp '2024-09-23 00:00:00' AND eventSource = 'signin.amazonaws.com'",
"QueryAlias": "AWSCloudTrail-UUID"
}
```
## 를 사용하여 쿼리 시작 AWS CLI
다음 예제 AWS CLI **start-query** 명령은 쿼리 문에서 ID로 지정된 이벤트 데이터 스토어에서 쿼리를 실행하고 쿼리 결과를 지정된 S3 버킷으로 전달합니다. `--query-statement` 파라미터는 작은 따옴표로 묶인 SQL 쿼리를 제공합니다. 선택적 파라미터에는 쿼리 결과를 지정된 S3 버킷에 전달하기 위해 `--delivery-s3-uri`가 포함됩니다. CloudTrail Lake에서 사용할 수 있는 쿼리 언어에 대한 자세한 내용은 [CloudTrail Lake SQL 제약](query-limitations.md)의 내용을 참조하세요.
```
aws cloudtrail start-query
--query-statement 'SELECT eventID, eventTime FROM EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE LIMIT 10'
--delivery-s3-uri "s3://aws-cloudtrail-lake-query-results-123456789012-us-east-1"
```
응답은 `QueryId` 문자열이 됩니다. 쿼리 상태를 가져오려면 **start-query**에 의해 반환한 값 `QueryId`을(를) 사용하여 **describe-query**을(를) 실행합니다. 쿼리가 성공하면 **get-query-results**을(를) 실행하여 결과를 가져옵니다.
**출력**
```
{
"QueryId": "EXAMPLE2-0add-4207-8135-2d8a4EXAMPLE"
}
```
**참고**
한 시간 이상 실행되는 쿼리는 시간이 초과될 수 있습니다. 쿼리가 시간 초과되기 전에 처리된 부분적인 결과를 계속 가져올 수 있습니다.
선택적 `--delivery-s3-uri` 파라미터를 사용하여 쿼리 결과를 S3 버킷에 전송하는 경우, 버킷 정책으로 쿼리 결과를 버킷에 전송할 수 있는 권한을 CloudTrail에 부여해야 합니다. 버킷 정책의 수동 편집에 대한 자세한 내용은 [CloudTrail Lake 쿼리 결과에 대한 Amazon S3 버킷 정책](s3-bucket-policy-lake-query-results.md) 단원을 참조하세요.
## 를 사용하여 쿼리에 대한 메타데이터 가져오기 AWS CLI
다음 예제 AWS CLI **describe-query** 명령은 밀리초 단위의 쿼리 실행 시간, 스캔 및 매칭된 이벤트 수, 스캔된 총 바이트 수, 쿼리 상태 등 쿼리에 대한 메타데이터를 가져옵니다. `BytesScanned` 값은 쿼리가 아직 실행 중이지 않는 한 계정에서 쿼리에 대해 청구되는 바이트 수와 일치합니다. 쿼리 결과가 S3 버킷으로 전송된 경우, 응답은 S3 URI와 전송 상태도 제공합니다.
`--query-id` 또는 `--query-alias` 파라미터 중 하나를 값으로 지정해야 합니다. `--query-alias` 파라미터를 지정하면 별칭에 대해 마지막으로 실행한 쿼리에 대한 정보가 반환됩니다.
```
aws cloudtrail describe-query --query-id EXAMPLEd-17a7-47c3-a9a1-eccf7EXAMPLE
```
다음은 응답의 예입니다.
```
{
"QueryId": "EXAMPLE2-0add-4207-8135-2d8a4EXAMPLE",
"QueryString": "SELECT eventID, eventTime FROM EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE LIMIT 10",
"QueryStatus": "RUNNING",
"QueryStatistics": {
"EventsMatched": 10,
"EventsScanned": 1000,
"BytesScanned": 35059,
"ExecutionTimeInMillis": 3821,
"CreationTime": "1598911142"
}
}
```
## 를 사용하여 쿼리 결과 가져오기 AWS CLI
다음 예제 AWS CLI **get-query-results** 명령은 쿼리의 이벤트 데이터 결과를 가져옵니다. **start-query** 명령에서 반환되는 `--query-id` 값을 지정해야 합니다. `BytesScanned` 값은 쿼리가 아직 실행 중이지 않는 한 계정에서 쿼리에 대해 청구되는 바이트 수와 일치합니다. 선택적 파라미터에는 `--max-query-results`이 포함되며, 단일 페이지에서 반환할 명령의 최대 결과 수를 지정합니다. 지정한 `--max-query-results` 값보다 많은 결과가 있는 경우, 명령을 다시 실행해 반환된 `NextToken` 값을 추가함으로써 결과의 다음 페이지를 가져옵니다.
```
aws cloudtrail get-query-results
--query-id EXAMPLEd-17a7-47c3-a9a1-eccf7EXAMPLE
```
**출력**
```
{
"QueryStatus": "RUNNING",
"QueryStatistics": {
"ResultsCount": 244,
"TotalResultsCount": 1582,
"BytesScanned":27044
},
"QueryResults": [
{
"key": "eventName",
"value": "StartQuery",
}
],
"QueryId": "EXAMPLE2-0add-4207-8135-2d8a4EXAMPLE",
"QueryString": "SELECT eventID, eventTime FROM EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE LIMIT 10",
"NextToken": "20add42078135EXAMPLE"
}
```
## 를 사용하여 이벤트 데이터 스토어의 모든 쿼리 나열 AWS CLI
다음 예제 AWS CLI **list-queries** 명령은 지난 7일 동안 지정된 이벤트 데이터 스토어에 대한 쿼리 및 쿼리 상태 목록을 반환합니다. `--event-data-store`에 대한 ARN 또는 ARN의 ID 접미사 값을 지정해야 합니다. 선택적으로 결과 목록을 줄이려면 `--start-time` 및 `--end-time` 파라미터, `--query-status` 값을 추가하여 타임스탬프로 서식이 지정된 시간 범위를 지정할 수 있습니다. `QueryStatus`에 대한 유효한 값에는 `QUEUED`, `RUNNING`, `FINISHED`, `FAILED`, 또는 `CANCELLED` 등이 있습니다.
또한 **list-queries**에는 선택적 페이지 매김 파리미터도 있습니다. `--max-results`을(를) 사용하여 단일 페이지에서 반환할 명령의 최대 결과 수를 지정합니다. 지정한 `--max-results` 값보다 많은 결과가 있는 경우, 명령을 다시 실행해 반환된 `NextToken` 값을 추가함으로써 결과의 다음 페이지를 가져옵니다.
```
aws cloudtrail list-queries
--event-data-store EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
--query-status CANCELLED
--start-time 1598384589
--end-time 1598384602
--max-results 10
```
**출력**
```
{
"Queries": [
{
"QueryId": "EXAMPLE2-0add-4207-8135-2d8a4EXAMPLE",
"QueryStatus": "CANCELLED",
"CreationTime": 1598911142
},
{
"QueryId": "EXAMPLE2-4e89-9230-2127-5dr3aEXAMPLE",
"QueryStatus": "CANCELLED",
"CreationTime": 1598296624
}
],
"NextToken": "20add42078135EXAMPLE"
}
```
## 를 사용하여 실행 중인 쿼리 취소 AWS CLI
다음 예제 AWS CLI **cancel-query** 명령은 상태가 인 쿼리를 취소합니다`RUNNING`. `--query-id`의 값을 지정해야 합니다. **cancel-query**을(를) 실행할 때 **cancel-query** 작업이 아직 완료되지 않았음에도 쿼리 상태가 `CANCELLED`과 같이 표시됩니다.
**참고**
쿼리를 취소해도 요금이 발생할 수 있습니다. 쿼리를 취소하기 전에 검색한 데이터 양에 대해 계정에 여전히 요금이 청구됩니다.
다음은 CLI의 한 예제입니다.
```
aws cloudtrail cancel-query
--query-id EXAMPLEd-17a7-47c3-a9a1-eccf7EXAMPLE
```
**출력**
```
QueryId -> (string)
QueryStatus -> (string)
```
# CloudTrail Lake SQL 제약
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
CloudTrail Lake 쿼리는 SQL 문자열입니다. 이 섹션에서는 지원되는 함수, 연산자 및 스키마에 대한 정보를 제공합니다.
`SELECT` 명령문만이 허용됩니다. 쿼리 문자열은 데이터를 변경하거나 변형할 수 있습니다.
`SELECT` 문에 대한 CloudTrail Lake 구문은 다음과 같습니다. 이벤트 데이터 저장소 ARN의 ID 부분인 이벤트 데이터 저장소 ID는 `FROM` 값으로 지정됩니다.
```
SELECT [ DISTINCT ] columns [ Aggregate ]
[ FROM table event_data_store_ID]
[ WHERE columns [ Conditions ] ]
[ GROUP BY columns [ DISTINCT | Aggregate ] ]
[ HAVING columns [ Aggregate | Conditions ] ]
[ ORDER BY columns [ Aggregate | ASC | DESC | NULLS | FIRST | LAST ]
[ LIMIT [ INT ] ]
```
CloudTrail Lake는 모든 유효한 Trino SQL `SELECT` 문, 함수 및 연산자를 지원합니다. 지원되는 Trino 함수와 연산자에 대한 자세한 내용은 Presto 설명서 웹 사이트의 [Functions and Operators](https://trino.io/docs/current/functions.html)를 참조하세요.
CloudTrail 콘솔은 쿼리 작성을 시작하는 데 도움이 되는 여러 샘플 쿼리를 제공합니다. 자세한 내용은 [CloudTrail 콘솔을 사용하여 샘플 쿼리 보기](lake-console-queries.md) 단원을 참조하십시오.
쿼리를 최적화하는 방법에 대한 내용은 [CloudTrail Lake 쿼리 최적화](lake-queries-optimization.md) 섹션을 참조하세요.
**Topics**
+ [
## 지원되는 함수, 조건 및 조인 연산자
](#query-aggregates-condition-operators)
+ [
## 고급 다중 테이블 쿼리 지원
](#query-advanced-multi-table)
## 지원되는 함수, 조건 및 조인 연산자
**지원되는 함수**
CloudTrail Lake는 모든 Trino 함수를 지원합니다. 지원되는 함수에 대한 자세한 내용은 Trino 설명서 웹 사이트의 [Functions and Operators](https://trino.io/docs/current/functions.html)를 참조하세요.
**지원되는 조건 연산자**
지원되는 조건 연산자는 다음과 같습니다.
```
AND
OR
IN
NOT
IS (NOT) NULL
LIKE
BETWEEN
GREATEST
LEAST
IS DISTINCT FROM
IS NOT DISTINCT FROM
<
>
<=
>=
<>
!=
( conditions ) #parenthesised conditions
```
**지원되는 조인 연산자**
지원되는 `JOIN` 연산자는 다음과 같습니다. 다중 테이블 쿼리 실행에 대한 자세한 내용은 [고급 다중 테이블 쿼리 지원](#query-advanced-multi-table) 을 참조하세요.
```
UNION
UNION ALL
EXCEPT
INTERSECT
LEFT JOIN
RIGHT JOIN
INNER JOIN
```
## 고급 다중 테이블 쿼리 지원
CloudTrail Lake는 여러 이벤트 데이터 스토어에서 고급 쿼리 언어를 지원합니다.
+ [`UNION|UNION ALL|EXCEPT|INTERSECT`](#query-multi-table-union)
+ [`LEFT|RIGHT|INNER JOIN`](#query-multi-table-left-right)
쿼리를 실행하려면 AWS CLI에서 **start-query** 명령을 사용합니다. 다음은 이 섹션의 샘플 쿼리 중 하나를 사용하는 예제입니다.
```
aws cloudtrail start-query
--query-statement "Select eventId, eventName from EXAMPLEf852-4e8f-8bd1-bcf6cEXAMPLE UNION Select eventId, eventName from EXAMPLEg741-6y1x-9p3v-bnh6iEXAMPLE UNION ALL Select eventId, eventName from EXAMPLEb529-4e8f9l3d-6m2z-lkp5sEXAMPLE ORDER BY eventId LIMIT 10;"
```
응답은 `QueryId` 문자열이 됩니다. 쿼리 상태를 가져오려면 `start-query`에 의해 반환된 `QueryId` 값을 사용하여 `describe-query` 를 실행합니다. 쿼리가 성공하면 `get-query-results`을(를) 실행하여 결과를 가져옵니다.
### `UNION|UNION ALL|EXCEPT|INTERSECT`
다음은 `UNION` 및 `UNION ALL`을 사용하여 세 개의 이벤트 데이터 스토어 EDS1, EDS2, EDS3에서 이벤트 ID 및 이벤트 이름으로 이벤트를 찾는 예제 쿼리입니다. 먼저 각 이벤트 데이터 스토어에서 결과를 선택한 다음 결과를 연결하고 이벤트 ID별로 정렬한 다음 10개의 이벤트로 제한합니다.
```
Select eventId, eventName from EDS1
UNION
Select eventId, eventName from EDS2
UNION ALL
Select eventId, eventName from EDS3
ORDER BY eventId LIMIT 10;
```
### `LEFT|RIGHT|INNER JOIN`
다음은 `LEFT JOIN` 을 사용하여 `edsB` 에 매핑된 `eds2` 라는 이벤트 데이터 스토어에서 기본(왼쪽) 이벤트 데이터 스토어인 `edsA` 의 이벤트와 일치하는 모든 이벤트를 찾는 예제 쿼리입니다. 반환된 이벤트는 2020년 1월 1일 또는 그 이전에 발생하며 이벤트 이름만 반환됩니다.
```
SELECT edsA.eventName, edsB.eventName, element_at(edsA.map, 'test')
FROM eds1 as edsA
LEFT JOIN eds2 as edsB
ON edsA.eventId = edsB.eventId
WHERE edsA.eventtime <= '2020-01-01'
ORDER BY edsB.eventName;
```
# 이벤트 데이터 저장소에 지원되는 SQL 스키마
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
다음 섹션에서는 각 이벤트 데이터 저장소 유형에 지원되는 SQL 스키마를 제공합니다.
**Topics**
+ [
## CloudTrail 이벤트 레코드 필드에 대해 지원되는 스키마
](#query-supported-event-schema)
+ [
## CloudTrail Insights 이벤트 레코드 필드에 대해 지원되는 스키마
](#query-supported-insights-schema)
+ [
## AWS Config 구성 항목 레코드 필드에 지원되는 스키마
](#query-supported-config-items-schema)
+ [
## AWS Audit Manager 증거 레코드 필드에 지원되는 스키마
](#query-supported-event-schema-audit-manager)
+ [
## 비AWS 이벤트 필드에 지원되는 스키마
](#query-supported-event-schema-integration)
## CloudTrail 이벤트 레코드 필드에 대해 지원되는 스키마
다음 사항은 CloudTrail 관리 및 네트워크 활동 이벤트 레코드 필드에 대해 유효한 SQL 스키마입니다. CloudTrail 이벤트 레코드에 대한 자세한 내용은 [관리, 데이터 및 네트워크 활동 이벤트에 대한 CloudTrail 레코드 콘텐츠](cloudtrail-event-reference-record-contents.md) 섹션을 참조하세요.
```
[
{
"Name": "eventversion",
"Type": "string"
},
{
"Name": "useridentity",
"Type": "struct,sessionissuer:struct,webidfederationdata:struct>,sourceidentity:string,ec2roledelivery:string,
ec2issuedinvpc:string>,onbehalfof:struct,
inscopeof:struct,invokedby:string,identityprovider:string>"
},
{
"Name": "eventtime",
"Type": "timestamp"
},
{
"Name": "eventsource",
"Type": "string"
},
{
"Name": "eventname",
"Type": "string"
},
{
"Name": "awsregion",
"Type": "string"
},
{
"Name": "sourceipaddress",
"Type": "string"
},
{
"Name": "useragent",
"Type": "string"
},
{
"Name": "errorcode",
"Type": "string"
},
{
"Name": "errormessage",
"Type": "string"
},
{
"Name": "requestparameters",
"Type": "map"
},
{
"Name": "responseelements",
"Type": "map"
},
{
"Name": "additionaleventdata",
"Type": "map"
},
{
"Name": "requestid",
"Type": "string"
},
{
"Name": "eventid",
"Type": "string"
},
{
"Name": "readonly",
"Type": "boolean"
},
{
"Name": "resources",
"Type": "array>"
},
{
"Name": "eventtype",
"Type": "string"
},
{
"Name": "apiversion",
"Type": "string"
},
{
"Name": "managementevent",
"Type": "boolean"
},
{
"Name": "recipientaccountid",
"Type": "string"
},
{
"Name": "sharedeventid",
"Type": "string"
},
{
"Name": "annotation",
"Type": "string"
},
{
"Name": "vpcendpointid",
"Type": "string"
},
{
"Name": "vpcendpointaccountid",
"Type": "string"
},
{
"Name": "serviceeventdetails",
"Type": "map"
},
{
"Name": "addendum",
"Type": "map"
},
{
"Name": "edgedevicedetails",
"Type": "map"
},
{
"Name": "insightdetails",
"Type": "map"
},
{
"Name": "eventcategory",
"Type": "string"
},
{
"Name": "tlsdetails",
"Type": "struct"
},
{
"Name": "sessioncredentialfromconsole",
"Type": "string"
},
{
"Name": "eventjson",
"Type": "string"
}
{
"Name": "eventjsonchecksum",
"Type": "string"
}
]
```
## CloudTrail Insights 이벤트 레코드 필드에 대해 지원되는 스키마
다음은 Insights 이벤트 레코드 필드에 대한 SQL 스키마입니다. Insights 이벤트의 경우 `eventcategory`의 값은 `Insight`이고, `eventtype`의 값은 `AwsCloudTrailInsight`입니다. 이 필드에 대한 자세한 내용은 [이벤트 데이터 스토어에 대한 Insights 이벤트의 CloudTrail 레코드 콘텐츠](cloudtrail-insights-fields-lake.md) 섹션을 참조하세요.
**참고**
`insightContext`의 `attributions` 필드 내 `insightvalue`, `insightaverage`, `baselinevalue` 및 `baselineaverage` 필드는 2025년 6월 23일부터 더 이상 사용되지 않습니다.
```
[
{
"Name": "eventversion",
"Type": "string"
},
{
"Name": "eventcategory",
"Type": "string"
},
{
"Name": "eventtype",
"Type": "string"
},
"Name": "eventid",
"Type": "string"
},
{
"Name": "eventtime",
"Type": "timestamp"
},
{
"Name": "awsregion",
"Type": "string"
},
{
"Name": "recipientaccountid",
"Type": "string"
},
{
"Name": "sharedeventid",
"Type": "string"
},
{
"Name": "addendum",
"Type": "map"
},
{
"Name": "insightsource",
"Type": "string"
},
{
"Name": "insightstate",
"Type": "string"
},
{
"Name": "insighteventsource",
"Type": "string"
},
{
"Name": "insighteventname",
"Type": "string"
},
{
"Name": "insighterrorcode",
"Type": "string"
},
{
"Name": "insighttype",
"Type": "string"
},
{
"Name": "insightContext",
"Type": "struct,
baseline:struct>>"
}
]
```
## AWS Config 구성 항목 레코드 필드에 지원되는 스키마
다음은 구성 항목 레코드 필드에 유효한 SQL 스키마입니다. 구성 항목의 경우 `eventcategory` 의 값은 `ConfigurationItem` 이고 `eventtype` 의 값은 `AwsConfigurationItem` 입니다.
```
[
{
"Name": "eventversion",
"Type": "string"
},
{
"Name": "eventcategory",
"Type": "string"
},
{
"Name": "eventtype",
"Type": "string"
},
"Name": "eventid",
"Type": "string"
},
{
"Name": "eventtime",
"Type": "timestamp"
},
{
"Name": "awsregion",
"Type": "string"
},
{
"Name": "recipientaccountid",
"Type": "string"
},
{
"Name": "addendum",
"Type": "map"
},
{
"Name": "eventdata",
"Type": "struct,
supplementaryconfiguration:map,relatedevents:string,
relationships:struct,tags:map>"
}
]
```
## AWS Audit Manager 증거 레코드 필드에 지원되는 스키마
다음은 Audit Manager 증거 레코드 필드에 유효한 SQL 스키마입니다. Audit Manager 증거 레코드 필드의 경우 `eventcategory` 의 값은 `Evidence` 이고 `eventtype` 의 값은 `AwsAuditManagerEvidence` 입니다. Audit Manager를 사용하는 CloudTrail Lake에서 증거 집계에 대한 자세한 내용은AWS Audit Manager 사용 설명서의 [Evidence finder](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html)(증거 찾기)를 참조하세요.**
```
[
{
"Name": "eventversion",
"Type": "string"
},
{
"Name": "eventcategory",
"Type": "string"
},
{
"Name": "eventtype",
"Type": "string"
},
"Name": "eventid",
"Type": "string"
},
{
"Name": "eventtime",
"Type": "timestamp"
},
{
"Name": "awsregion",
"Type": "string"
},
{
"Name": "recipientaccountid",
"Type": "string"
},
{
"Name": "addendum",
"Type": "map"
},
{
"Name": "eventdata",
"Type": "struct,awsaccountid:string,awsorganization:string,
compliancecheck:string,datasource:string,eventname:string,eventsource:string,
evidenceawsaccountid:string,evidencebytype:string,iamid:string,evidenceid:string,
time:timestamp,assessmentid:string,controlsetid:string,controlid:string,
controlname:string,controldomainname:string,frameworkname:string,frameworkid:string,
service:string,servicecategory:string,resourcearn:string,resourcetype:string,
evidencefolderid:string,description:string,manualevidences3resourcepath:string,
evidencefoldername:string,resourcecompliancecheck:string>"
}
]
```
## 비AWS 이벤트 필드에 지원되는 스키마
다음은AWS 이벤트가 아닌에 유효한 SQL 스키마입니다.AWS 이벤트가 아닌 경우의 값은 `eventcategory`이고 `ActivityAuditLog`의 값은 `eventtype`입니다`ActivityLog`.
```
[
{
"Name": "eventversion",
"Type": "string"
},
{
"Name": "eventcategory",
"Type": "string"
},
{
"Name": "eventtype",
"Type": "string"
},
"Name": "eventid",
"Type": "string"
},
{
"Name": "eventtime",
"Type": "timestamp"
},
{
"Name": "awsregion",
"Type": "string"
},
{
"Name": "recipientaccountid",
"Type": "string"
},
{
"Name": "addendum",
"Type": "struct"
},
{
"Name": "metadata",
"Type": "struct"
},
{
"Name": "eventdata",
"Type": "struct>,useragent:string,eventsource:string,
eventname:string,eventtime:string,uid:string,requestparameters:map>,
responseelements":map>,errorcode:string,errormssage:string,sourceipaddress:string,
recipientaccountid:string,additionaleventdata":map>"
}
]
```
# 지원되는 CloudWatch 지표
**참고**
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.
CloudTrail Lake는 Amazon CloudWatch 지표를 지원합니다. CloudWatch는 AWS 리소스에 대한 모니터링 서비스입니다. CloudWatch를 사용하여 지표를 수집 및 추적하고, 경보를 설정하고, AWS 리소스의 변경 사항에 자동으로 대응할 수 있습니다.
`AWS/CloudTrail` 네임스페이스에는 CloudTrail Lake에 대한 다음 지표가 포함됩니다.
****
| 지표 | 설명 | 단위 |
| --- | --- | --- |
| HourlyDataIngested | 지난 한 시간 동안 이벤트 데이터 스토어에 수집된 데이터의 양입니다. 이 지표는 1시간마다 업데이트됩니다. 이 지표는 모든 이벤트 데이터 스토어 유형에 사용할 수 있습니다. | 바이트 |
| TotalDataRetained | 전체 보존 기간 동안 이벤트 데이터 스토어에 보관된 데이터의 양입니다. 이 지표는 매일 밤 업데이트됩니다. 이 지표는 모든 이벤트 데이터 스토어 유형에 사용할 수 있습니다. | 바이트 |
| TotalStorageBytes | 현재 날짜를 기준으로 이벤트 데이터 스토어의 총 압축 바이트 수입니다. 이 지표는 모든 이벤트 데이터 스토어 유형에 사용할 수 있습니다. | 바이트 |
| TotalPaidStorageBytes | 1년 연장 가능 보존 [요금 옵션](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)을 사용하는 이벤트 데이터 스토어의 경우 이는 이벤트 데이터 스토어에 대해 구성된 최대 보존 기간까지 366일 후의 총 압축 바이트 수입니다. 1년 연장 가능 보존 요금 옵션을 사용하는 이벤트 데이터 스토어의 경우 이벤트 데이터 스토어의 기본 보존 기간인 처음 366일 동안의 모으기 요금에 스토리지가 추가 비용 없이 포함됩니다. 366일 후 스토리지 요금은 사용한 만큼만 지불합니다. 요금에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요. 이 지표는 1년 연장 가능 보존 요금 옵션을 사용하는 이벤트 데이터 스토어에만 사용할 수 있습니다. | 바이트 |
| HourlyEventsAnalyzed | 이벤트 데이터 스토어에서 CloudTrail Insights가 분석한 총 이벤트 수입니다. 이 지표는 1시간마다 업데이트됩니다. CloudTrail Insights를 활성화하는 CloudTrail 이벤트 데이터 스토어에 대한 지표입니다. | 개수 |
CloudWatch 지표에 대한 자세한 내용은 다음 주제를 참조하세요.
+ [Amazon CloudWatch 지표 사용](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html)
+ [Amazon CloudWatch 경보 사용](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)