기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 콘솔을 사용하여 이벤트 데이터 저장소 생성, 업데이트 및 관리
<a name="manage-lake-eds-console"></a>

**참고**  
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.

CloudTrail 콘솔을 사용하여 이벤트 데이터 저장소를 생성, 업데이트, 삭제 및 복원할 수 있습니다.

CloudTrail 콘솔을 사용하여 다음 설정을 업데이트할 수 있습니다.
+ [요금 옵션](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)을 **7년 보존 요금**에서 **1년 연장 가능 보존 요금**으로 변경할 수 있습니다.
+ 이벤트 데이터 저장소의 보존 기간을 업데이트할 수 있습니다. 보존 기간에 따라 이벤트 데이터가 이벤트 데이터 스토어에 보관되는 기간이 결정됩니다.
+ 다중 리전 이벤트 데이터 저장소를 단일 리전 이벤트 데이터 저장소로 변환하거나 단일 리전 이벤트 데이터 저장소를 다중 리전 이벤트 데이터 저장소로 변환할 수 있습니다.
+  AWS Organizations 조직의 관리 계정은 계정 수준 이벤트 데이터 스토어를 조직 이벤트 데이터 스토어로 변환하거나 조직 이벤트 데이터 스토어를 계정 수준 이벤트 데이터 스토어로 변환할 수 있습니다. 외부에서 이벤트를 수집하는 이벤트 데이터 스토어에서는이 설정을 사용할 수 없습니다 AWS.
+ [Lake 쿼리 페더레이션](query-federation.md)을 활성화하거나 비활성화할 수 있습니다. 이벤트 데이터 저장소를 페더레이션하면 Amazon Athena에서 이벤트 데이터를 쿼리할 수 있습니다.
+ 이벤트 데이터 스토어에 대한 리소스 기반 정책을 추가하거나 편집하여 이벤트 데이터 스토어에 대한 교차 계정 액세스를 제공할 수 있습니다. 자세한 내용은 [이벤트 데이터 스토어의 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds) 단원을 참조하십시오.
+ 관리 [이벤트, 데이터 이벤트 또는 구성 항목을 수집하는 이벤트 데이터 스토어에서 이벤트 수집을 중지](query-eds-stop-ingestion.md)하고 이벤트 수집을 다시 시작할 수 있습니다. AWS Config 
+ [종료 방지](query-eds-termination-protection.md)를 활성화하거나 비활성화할 수 있습니다. 종료 방지 기능은 이벤트 데이터 저장소가 실수로 삭제되는 것을 방지합니다. 종료 방지 기능은 기본적으로 활성화됩니다.
+ 삭제 보류 중인 이벤트 데이터 저장소를 [복원](query-eds-restore.md)할 수 있습니다.
+ 태그를 추가하거나 제거할 수 있습니다. 이벤트 데이터 스토어에 대한 액세스를 식별, 정렬 및 제어하는 데 도움이 되도록 최대 50개의 태그 키 페어를 추가할 수 있습니다.
+ KMS 키를 추가하여 이벤트 데이터 저장소를 암호화할 수 있습니다. 이벤트 데이터 저장소에서는 KMS 키를 제거할 수 없습니다.

CloudTrail 콘솔을 사용하여 이벤트 데이터 저장소를 생성하거나 업데이트하면, 다음과 같은 이점이 있습니다.
+ 데이터 이벤트를 수집하도록 이벤트 데이터 스토어를 구성하는 경우, CloudTrail 콘솔을 사용하여 사용 가능한 데이터 이벤트 리소스 유형을 확인할 수 있습니다. 자세한 내용은 [데이터 이벤트 로깅](logging-data-events-with-cloudtrail.md) 단원을 참조하십시오.
+ 네트워크 활동 이벤트를 수집하도록 이벤트 데이터 스토어를 구성하는 경우 CloudTrail 콘솔을 사용하면 네트워크 활동 이벤트를 로깅할 수 있는 이벤트 소스를 볼 수 있습니다. 자세한 내용은 [네트워크 활동 이벤트 로깅](logging-network-events-with-cloudtrail.md) 단원을 참조하십시오.
+ 외부에서 이벤트를 수집하도록 이벤트 데이터 스토어를 구성하는 경우 CloudTrail 콘솔을 AWS사용하면 사용 가능한 파트너에 대한 정보를 볼 수 있습니다. 자세한 내용은 [콘솔을 AWS 사용하여 외부 이벤트에 대한 이벤트 데이터 스토어 생성](event-data-store-integration-events.md) 단원을 참조하십시오.

**Topics**
+ [콘솔을 사용하여 CloudTrail 이벤트에 대한 이벤트 데이터 저장소 생성](query-event-data-store-cloudtrail.md)
+ [콘솔을 사용하여 Insights 이벤트에 대한 이벤트 데이터 저장소 생성](query-event-data-store-insights.md)
+ [콘솔을 사용하여 구성 항목에 대한 이벤트 데이터 저장소 생성](query-event-data-store-config.md)
+ [콘솔을 AWS 사용하여 외부 이벤트에 대한 이벤트 데이터 스토어 생성](event-data-store-integration-events.md)
+ [콘솔을 사요하여 이벤트 데이터 저장소 업데이트](query-event-data-store-update.md)
+ [콘솔을 사용하여 이벤트 수집 중지 및 시작](query-eds-stop-ingestion.md)
+ [콘솔을 사용한 변경 종료 보호](query-eds-termination-protection.md)
+ [콘솔을 사용하여 이벤트 데이터 저장소 삭제](query-event-data-store-delete.md)
+ [콘솔을 사용하여 이벤트 데이터 저장소 복원](query-eds-restore.md)
+ [CloudTrail Lake 이벤트 데이터 스토어에서 CloudWatch로 데이터 내보내기](cloudtrail-lake-export-cloudwatch.md)

# 콘솔을 사용하여 CloudTrail 이벤트에 대한 이벤트 데이터 저장소 생성
<a name="query-event-data-store-cloudtrail"></a>

**참고**  
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.

CloudTrail 이벤트에 대한 이벤트 데이터 저장소에는 CloudTrail 관리 이벤트, 데이터 이벤트 및 네트워크 활동 이벤트가 포함될 수 있습니다. **1년 연장 가능 보존 요금** 옵션을 선택하는 경우 최대 3,653일(약 10년), **7년 보존 요금** 옵션을 선택하는 경우 최대 2,557일(약 7년) 동안 이벤트 데이터를 이벤트 데이터 스토어에 보관할 수 있습니다.

CloudTrail Lake 이벤트 데이터 스토어에는 요금이 발생합니다. 이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 사용할 [요금 옵션](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. CloudTrail 요금 Lake 비용 관리에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md)를 참조하세요.

## CloudTrail 이벤트에 대한 이벤트 데이터 스토어를 생성하려면
<a name="query-event-data-store-cloudtrail-procedure"></a>

이 절차를 사용하여 CloudTrail 관리 이벤트, 데이터 이벤트 또는 네트워크 활동 이벤트 모두를 로깅하는 이벤트 데이터 저장소를 생성합니다.

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1.  탐색 창의 **Lake**에서 **Event data stores**(이벤트 데이터 스토어)를 선택합니다.

1. **이벤트 데이터 스토어 생성**을 선택합니다.

1. **이벤트 데이터 스토어 구성(Configure event data store)** 페이지의 **일반 세부 정보(General details)**에서 이벤트 데이터 스토어의 이름을 입력합니다. 이름은 필수 항목입니다.

1. 이벤트 데이터 스토어에 사용할 **요금 옵션**을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md) 섹션을 참조하세요.

   다음과 같은 옵션을 사용할 수 있습니다.
   + **1년 연장 가능 보존 요금** - 매월 25TB 미만의 이벤트 데이터를 모을 것으로 예상되고 최대 10년의 유연한 보존 기간을 원하는 경우 일반적으로 권장됩니다. 처음 366일(기본 보존 기간) 동안은 추가 요금 없이 모으기 요금에 스토리지가 포함됩니다. 366일 후에는 사용량에 따른 요금으로 연장 보존이 가능합니다. 이는 기본 옵션입니다.
     + **기본 보존 기간:** 366일
     + **최대 보존 기간:** 3,653일
   + **7년 보존 요금** - 매월 25TB 이상의 이벤트 데이터를 모을 것으로 예상되고 최대 7년의 보존 기간이 필요한 경우 권장됩니다. 추가 비용 없이 모으기 요금에 보존이 포함됩니다.
     + **기본 보존 기간:** 2,557일
     + **최대 보존 기간:** 2,557일

1. 이벤트 데이터 스토어의 보존 기간을 지정합니다. 보존 기간은 **1년 연장 가능 보존 요금** 옵션의 경우 7일\$13,653일(약 10년), **7년 보존 요금** 옵션의 경우 7일\$12,557일(약 7년)일 수 있습니다.

    CloudTrail Lake는 이벤트의 `eventTime`가 지정된 보존 기간 내에 있는지 확인하여 이벤트 보존 여부를 결정합니다. 예를 들어 보존 기간을 90일로 지정했을 때, CloudTrail은 `eventTime`이 90일이 넘으면 이벤트를 제거합니다.
**참고**  
이 이벤트 데이터 스토어에 추적 이벤트를 복사하는 경우, CloudTrail은 이벤트가 지정된 보존 기간보다 오래된 `eventTime`을 가진 이벤트를 복사하지 않습니다. 적절한 보존 기간을 결정하려면 복사하려는 가장 오래된 이벤트(일수)와 이벤트 데이터 스토어에 이벤트를 유지할 일수의 합계를 구합니다(**보존 기간** = *oldest-event-in-days* \$1 *number-days-to-retain*). 예를 들어, 복사 중인 가장 오래된 이벤트가 45일이고 이벤트 데이터 스토어에 이벤트를 추가로 45일 동안 보관하려는 경우 보존 기간을 90일로 설정합니다.

1. (선택 사항)를 사용하여 암호화를 활성화하려면 **자체 사용을 AWS KMS key** AWS Key Management Service선택합니다. **새로 만들기**를 선택하여를 자동으로 AWS KMS key 생성하거나 **기존**를 선택하여 기존 KMS 키를 사용합니다. **Enter KMS alias**(KMS 별칭 입력)에 `alias/`*MyAliasName* 형식으로 별칭을 지정합니다. 자체 KMS 키를 사용하려면 이벤트 데이터 스토어를 암호화하고 복호화할 수 있도록 KMS 키 정책을 편집해야 합니다. 자세한 내용은 [CloudTrail에 대한 AWS KMS 키 정책 구성](create-kms-key-policy-for-cloudtrail.md) 단원을 참조하십시오. CloudTrail은 AWS KMS 다중 리전 키도 지원합니다. 다중 리전 키에 대한 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [다중 리전 키 사용](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) 단원을 참조하세요.

   자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.
**참고**  
조직 이벤트 데이터 스토어에 대한 AWS Key Management Service 암호화를 활성화하려면 관리 계정에 기존 KMS 키를 사용해야 합니다.

1. (선택 사항) Amazon Athena를 사용하여 이벤트 데이터에 대해 쿼리하려면 **Lake 쿼리 페더레이션**에서 **활성화**를 선택합니다. 페더레이션을 통해 AWS Glue [데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)의 이벤트 데이터 스토어와 연결된 메타데이터를 확인하고 Athena에서 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고 읽고 처리하는 방법을 알 수 있습니다. 자세한 내용은 [이벤트 데이터 스토어 페더레이션](query-federation.md) 단원을 참조하십시오.

   Lake 쿼리 페더레이션을 활성화하려면 **활성화**를 선택하고 다음을 수행합니다.

   1. 새 역할을 생성할지 아니면 기존 IAM 역할을 사용할지 선택합니다. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html)은 이 역할을 사용하여 페더레이션 이벤트 데이터 스토어에 대한 권한을 관리합니다. CloudTrail 콘솔을 사용하여 새 역할을 생성하면 CloudTrail은 필요한 권한이 있는 역할을 자동으로 생성합니다. 기존 역할을 선택하는 경우 해당 역할에 대한 정책이 [필요한 최소 권한](query-federation.md#query-federation-permissions-role)을 제공하는지 확인합니다.

   1. 새 역할을 생성하는 경우 역할을 식별할 수 있는 이름을 입력합니다.

   1. 기존 역할을 사용하는 경우 사용하려는 역할을 선택합니다. 계정에 역할이 있어야 합니다.

1. (선택 사항) **리소스 정책 활성화**를 선택하여 이 이벤트 데이터 스토어에 리소스 기반 정책을 추가합니다. 리소스 기반 정책을 사용하면 이벤트 데이터 스토어에서 작업을 수행할 수 있는 위탁자를 제어할 수 있습니다. 예를 들어 다른 계정의 루트 사용자가 이 이벤트 데이터 스토어를 쿼리하고 쿼리 결과를 볼 수 있도록 하는 리소스 기반 정책을 추가할 수 있습니다. 예시 정책은 [이벤트 데이터 스토어의 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds) 섹션을 참조하세요.

   리소스 기반 정책에는 하나 이상의 문이 포함됩니다. 정책의 각 스테이트먼트는 이벤트 데이터 스토어에 대한 액세스가 허용되거나 거부된 [위탁자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)와 위탁자가 이벤트 데이터 스토어 리소스에서 수행할 수 있는 작업을 정의합니다.

   이벤트 데이터 스토어의 리소스 기반 정책에서 지원되는 작업은 다음과 같습니다.
   +  `cloudtrail:StartQuery` 
   +  `cloudtrail:CancelQuery` 
   +  `cloudtrail:ListQueries` 
   +  `cloudtrail:DescribeQuery` 
   +  `cloudtrail:GetQueryResults` 
   +  `cloudtrail:GenerateQuery` 
   +  `cloudtrail:GenerateQueryResultsSummary` 
   +  `cloudtrail:GetEventDataStore` 

   [조직 이벤트 데이터 스토어](cloudtrail-lake-organizations.md)의 경우 CloudTrail은 위임된 관리자 계정이 조직 이벤트 데이터 스토어에서 수행할 수 있는 작업을 나열하는 [기본 리소스 기반 정책](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)을 생성합니다. 이 정책의 권한은 AWS Organizations의 위임된 관리자 권한에서 파생됩니다. 이 정책은 조직의 이벤트 데이터 스토어 또는 조직이 변경되면(예: CloudTrail의 위임된 관리자 계정이 등록 또는 제거됨) 자동으로 업데이트됩니다.

1. (선택 사항) **Tags**(태그) 섹션에 최대 50개의 태그 키 쌍을 추가하여 이벤트 데이터 스토어에 대한 액세스를 식별, 정렬 및 제어할 수 있습니다. IAM 정책을 사용하여 태그를 기반으로 이벤트 데이터 스토어에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 [예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags) 단원을 참조하세요. 에서 태그를 사용하는 방법에 대한 자세한 내용은 [AWS 리소스 태그 지정](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *사용 설명서의 AWS 리소스 태그 지정*을 AWS참조하세요.

1.  **Next(다음)**를 선택하여 이벤트 데이터 스토어를 구성합니다.

1.  **이벤트 선택** 페이지에서 **AWS events**를 선택하고 **CloudTrail 이벤트**를 선택합니다.

1. **CloudTrail events**(CloudTrail 이벤트)에서 하나 이상의 이벤트 유형을 선택합니다. 기본적으로 **관리 이벤트(Management events)**가 선택됩니다. 이벤트 데이터 저장소에 [관리 이벤트](logging-management-events-with-cloudtrail.md), [데이터 이벤트](logging-data-events-with-cloudtrail.md) 및 [네트워크 활동 이벤트](logging-network-events-with-cloudtrail.md)를 추가할 수 있습니다.

1. (선택 사항) 기존 트레일에서 이벤트를 복사해 이전 이벤트에 대한 쿼리를 실행하려면 **Copy trail events**(트레일 이벤트 복사)를 선택합니다. 추적 이벤트를 조직 이벤트 데이터 스토어에 복사하려면 조직의 관리 계정을 사용해야 합니다. 위임된 관리자 계정은 추적 이벤트를 조직 이벤트 데이터 스토어에 복사할 수 없습니다. 트레일 이벤트 복사 시 고려 사항에 대한 자세한 내용은 [추적 이벤트 복사 시의 고려 사항](cloudtrail-copy-trail-to-lake-eds.md#cloudtrail-trail-copy-considerations-lake) 단원을 참조하세요.

1. 이벤트 데이터 스토어에서 AWS Organizations 조직 내 모든 계정의 이벤트를 수집하도록 하려면 **내 조직의 모든 계정에 대해 활성화(Enable for all accounts in my organization)**를 선택합니다. 조직의 이벤트를 수집하는 이벤트 데이터 스토어를 생성하려면 조직의 관리 계정이나 위임된 관리자 계정에 로그인해야 합니다.
**참고**  
추적 이벤트를 복사하거나 Insights 이벤트를 사용 설정하려면, 조직의 관리 계정에 로그인해야 합니다.

1. **추가 설정을** 확장하여 이벤트 데이터 스토어가 모든에 대한 이벤트를 수집할지 AWS 리전또는 현재 에만 이벤트를 수집할지 AWS 리전선택하고 이벤트 데이터 스토어가 이벤트를 수집할지 선택합니다. 기본적으로 이벤트 데이터 스토어는 계정 내 모든 리전에서 이벤트를 수집하고, 이벤트 데이터 스토어가 생성되면 수집을 시작합니다.

   1. **Include only the current region in my event data store**(내 이벤트 데이터 스토어에 현재 리전만 포함)를 선택하여 현재 리전에서 로그된 이벤트만 포함할 수 있습니다. 이 옵션을 선택하지 않으면 이벤트 데이터 스토어에 모든 리전의 이벤트가 포함됩니다.

   1. 이벤트 데이터 스토어에서 **Ingest events**(이벤트 수집)을 시작하지 않도록 하려면 이벤트 수집을 선택 해제합니다. 예를 들어, 추적 이벤트를 복사하고, 이벤트 데이터 스토어에 향후 이벤트가 포함되지 않도록 하려면 **Ingest events**(이벤트 수집)을 선택 해제해야 할 수 있습니다. 이벤트 데이터 스토어는 생성되어 기본적으로 이벤트 수집을 시작합니다.

1. 이벤트 데이터 스토어에 관리 이벤트가 포함된 경우 다음 옵션 중에서 선택할 수 있습니다. 관리 이벤트에 대한 자세한 내용은 [관리 이벤트 로깅](logging-management-events-with-cloudtrail.md) 섹션을 참조하세요.

   1. **단순 이벤트 수집** 또는 **고급 이벤트 수집** 중에서 선택합니다.
      + 모든 이벤트를 로깅하거나, 읽기 이벤트만 로깅하거나, 쓰기 이벤트만 로깅하려면 **단순 이벤트 수집**을 선택합니다. AWS Key Management Service 및 Amazon RDS Data API 이벤트를 제외하도록 선택할 수도 있습니다.
      + `eventName`, `eventType`, `eventSource`, `sessionCredentialFromConsole` 및 `userIdentity.arn` 필드를 비롯한 고급 이벤트 선택기 필드의 값을 기반으로 관리 이벤트를 포함하거나 제외하려면 **고급 이벤트 수집**을 선택합니다.

   1. **단순 이벤트 수집**을 선택한 경우 모든 이벤트를 로깅하거나, 읽기 이벤트만 로깅하거나, 쓰기 이벤트만 로깅할지 선택합니다. AWS KMS 및 Amazon RDS Data API 이벤트를 제외하도록 선택할 수도 있습니다.

   1. **고급 이벤트 수집**을 선택한 경우 다음 선택 사항을 선택합니다.

      1. **로그 선택기 템플릿**에서 사전 정의된 템플릿을 선택하거나 **사용자 지정**을 선택하여 고급 이벤트 선택기 필드 값을 기반으로 사용자 지정 구성을 빌드합니다.

         다음과 같은 사전 정의된 템플릿 중에서 선택할 수 있습니다.
         + **모든 이벤트 로깅** - 모든 이벤트를 로깅하려면 이 템플릿을 선택합니다.
         + **읽기 이벤트만 로깅** - 읽기 이벤트만 로깅하려면 이 템플릿을 선택합니다. 읽기 전용 이벤트는 `Get*` 또는 `Describe*` 이벤트와 같이 리소스의 상태를 변경하지 않는 이벤트입니다.
         + **쓰기 이벤트만 로깅** - 쓰기 이벤트만 로깅하려면 이 템플릿을 선택합니다. 쓰기 이벤트는 `Put*`, `Delete*` 또는 `Write*` 이벤트와 같이 리소스, 속성 또는 아티팩트를 추가, 변경 또는 삭제합니다.
         + **로그 전용 AWS Management Console 이벤트** -에서 시작된 이벤트만 로깅하려면이 템플릿을 선택합니다 AWS Management Console.
         + ** AWS 서비스 시작된 이벤트 제외** - `eventType`의가 있는 AWS 서비스 이벤트`AwsServiceEvent`와 AWS 서비스연결 역할(SLRs)로 시작된 이벤트를 제외하려면이 템플릿을 선택합니다.

      1. (선택 사항) **선택자 이름(Selector name)**에 선택자를 식별할 이름을 입력합니다. 선택기 이름은 " AWS Management Console 세션의 로그 관리 이벤트"와 같은 고급 이벤트 선택기를 설명하는 이름입니다. 선택기 이름은 고급 이벤트 선택기에서의 `Name`으로 나열되며, **JSON 뷰(JSON view)**를 확장하여 볼 수 있습니다.

      1. **사용자 지정**을 선택한 경우 **고급 이벤트 선택기**에서 고급 이벤트 선택기 필드 값을 기반으로 표현식을 빌드합니다.
**참고**  
선택기는 `*` 같은 와일드카드 사용을 지원하지 않습니다. 여러 값을 단일 조건과 일치시키려면 `StartsWith`, `EndsWith`, `NotStartsWith` 또는 `NotEndsWith`를 사용하여 이벤트 필드의 시작 또는 끝을 명시적으로 일치시킬 수 있습니다.

         1. 다음 필드 중에서 선택합니다.
            + **`readOnly`** – `readOnly`는 **같음**으로 설정하며 값으로 `true` 또는 `false`를 사용할 수 있습니다. 이 값을 `false`로 설정하면 이벤트 데이터 스토어는 관리 이벤트 중 쓰기 이벤트만 로깅합니다. 읽기 전용 관리 이벤트는 `Get*` 또는 `Describe*` 이벤트와 같이 리소스의 상태를 변경하지 않는 이벤트입니다. 쓰기 이벤트는 `Put*`, `Delete*` 또는 `Write*` 이벤트와 같이 리소스, 속성 또는 아티팩트를 추가, 변경 또는 삭제합니다. **읽기** 및 **쓰기** 이벤트를 모두 로깅하려면 `readOnly` 선택기를 추가하지 마세요.
            + **`eventName`** – `eventName`에는 모든 연산자를 사용할 수 있습니다. 이를 사용하여 관리 이벤트(예: `CreateAccessPoint` 또는 `GetAccessPoint`)를 포함하거나 제외할 수 있습니다.
            + **`userIdentity.arn`** – 특정 IAM ID에서 수행한 작업에 대한 이벤트를 포함하거나 제외합니다. 자세한 내용은 [CloudTrail userIdentity 요소](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)를 참조하십시오.
            + **`sessionCredentialFromConsole`** - AWS Management Console 세션에서 시작된 이벤트를 포함하거나 제외합니다. 이 필드는 **같음** 또는 **같지 않음**으로 설정할 수 있으며 값으로 `true`를 사용할 수 있습니다.
            + **`eventSource`** – 이를 사용하여 특정 이벤트 소스를 포함하거나 제외할 수 있습니다. `eventSource`는 일반적으로 공백 없이 `.amazonaws.com`이 붙는 서비스 이름의 간단한 형태입니다. 예를 들어 `eventSource`를 `ec2.amazonaws.com`과 **같음**으로 설정하면Amazon EC2 관리 이벤트만 로깅합니다.
            + **`eventType`** – 포함하거나 제외할 [eventType](cloudtrail-event-reference-record-contents.md#ct-event-type)입니다. 예를 들어 이 필드를 `AwsServiceEvent`와 **같지 않음**으로 설젛아면 [AWS 서비스 이벤트](non-api-aws-service-events.md)를 제외할 수 있습니다.

         1. 각 필드에 대해 [**\$1 조건(\$1 Condition)**]을 선택하여 모든 조건에 대해 최대 500개의 지정된 값까지 필요한 만큼 조건을 추가합니다.

            CloudTrail이 여러 조건을 평가하는 방법에 대한 자세한 내용은 [CloudTrail이 필드의 여러 조건을 평가하는 방법](filtering-data-events.md#filtering-data-events-conditions) 섹션을 참조하세요.
**참고**  
이벤트 데이터 스토어의 모든 선택기에 대해 최대 500개의 값을 가질 수 있습니다. 여기에는 `eventName`과 같은 선택기에 대한 여러 값의 배열이 포함됩니다. 모든 선택기에 대해 단일 값이 있는 경우 선택기에 최대 500개의 조건을 추가할 수 있습니다.

         1. 필요에 따라 필드를 추가하려면 [**\$1 필드(\$1 Field)**]를 선택합니다. 오류를 방지하려면 필드에 충돌하거나 중복되는 값을 설정하지 마세요.

      1. 선택적으로 **JSON 뷰(JSON view)**를 확장하여 고급 이벤트 선택기를 JSON 블록으로 볼 수 있습니다.

   1. **Insights 이벤트 캡처 활성화**를 선택하여 Insights를 활성화합니다. Insights를 활성화하려면, 이 이벤트 데이터 스토어에서의 관리 이벤트 활동을 기반으로 Insights 이벤트를 수집하는 [대상 이벤트 데이터 스토어](query-event-data-store-insights.md#query-event-data-store-insights-procedure)를 설정해야 합니다.

      Insights를 사용하기로 선택했다면, 다음을 따라합니다.

      1. Insights 이벤트를 로깅할 대상 이벤트 스토어를 선택합니다. 대상 이벤트 데이터 스토어는 이 이벤트 데이터 스토어의 관리 이벤트 활동을 기반으로 Insights 이벤트를 수집합니다. 대상 이벤트 데이터 스토어를 생성하는 방법에 대한 자세한 내용은 [Insights 이벤트를 로그하는 대상 이벤트 데이터 스토어 생성](query-event-data-store-insights.md#query-event-data-store-insights-procedure) 섹션을 참조하세요.

      1. Insights 유형을 선택합니다. **API 호출률(API call rate)**, **API 오류율(API error rate)** 또는 두 가지 모두를 선택할 수 있습니다. **API 호출률(API call rate)**에 대한 Insights 이벤트를 로그하려면 **쓰기(Write)** 관리 이벤트를 로그하고 있어야 합니다. **API 오류율**에 대한 Insights 이벤트를 로그하려면 **읽기(Read)** 또는 **쓰기(Write)** 관리 이벤트를 로그하고 있어야 합니다.

1. 이벤트 데이터 스토어에 데이터 이벤트를 포함하려면 다음을 수행합니다.

   1. 리소스 유형을 선택합니다. 데이터 이벤트가 로깅되는 AWS 서비스 및 리소스입니다.

   1. **로그 선택기 템플릿**에서 사전 정의된 템플릿을 선택하거나 **사용자 지정**을 선택하여 고급 이벤트 선택기 필드의 값을 기반으로 자체 이벤트 수집 조건을 정의합니다.

      다음과 같은 사전 정의된 템플릿 중에서 선택할 수 있습니다.
      + **모든 이벤트 로깅** - 모든 이벤트를 로깅하려면 이 템플릿을 선택합니다.
      + **읽기 이벤트만 로깅** - 읽기 이벤트만 로깅하려면 이 템플릿을 선택합니다. 읽기 전용 이벤트는 `Get*` 또는 `Describe*` 이벤트와 같이 리소스의 상태를 변경하지 않는 이벤트입니다.
      + **쓰기 이벤트만 로깅** - 쓰기 이벤트만 로깅하려면 이 템플릿을 선택합니다. 쓰기 이벤트는 `Put*`, `Delete*` 또는 `Write*` 이벤트와 같이 리소스, 속성 또는 아티팩트를 추가, 변경 또는 삭제합니다.
      + **로그 전용 AWS Management Console 이벤트** -에서 시작된 이벤트만 로깅하려면이 템플릿을 선택합니다 AWS Management Console.
      + ** AWS 서비스 시작된 이벤트 제외** - `eventType`의가 있는 AWS 서비스 이벤트`AwsServiceEvent`와 AWS 서비스연결 역할(SLRs)로 시작된 이벤트를 제외하려면이 템플릿을 선택합니다.

   1. (선택 사항) **선택자 이름(Selector name)**에 선택자를 식별할 이름을 입력합니다. 선택기 이름은 "2개의 S3 버킷에 대한 데이터 이벤트 로그그"애와 같이 고급 이벤트 선택기를 설명하는 이름입니다. 선택기 이름은 고급 이벤트 선택기에서의 `Name`으로 나열되며, **JSON 뷰(JSON view)**를 확장하여 볼 수 있습니다.

   1. **사용자 지정**을 선택한 경우 **고급 이벤트 선택기**에서 고급 이벤트 선택기 필드의 값을 기반으로 표현식을 작성합니다.
**참고**  
선택기는 `*` 같은 와일드카드 사용을 지원하지 않습니다. 여러 값을 단일 조건과 일치시키려면 `StartsWith`, `EndsWith`, `NotStartsWith` 또는 `NotEndsWith`를 사용하여 이벤트 필드의 시작 또는 끝을 명시적으로 일치시킬 수 있습니다.

      1. 다음 필드 중에서 선택합니다.
         + **`readOnly`** - `readOnly`는 `true` 또는 `false` 값과 **같음**으로 설정할 수 있습니다. 읽기 전용 데이터 이벤트는 `Get*` 또는 `Describe*` 이벤트와 같이 리소스의 상태를 변경하지 않는 이벤트입니다. 쓰기 이벤트는 `Put*`, `Delete*` 또는 `Write*` 이벤트와 같이 리소스, 속성 또는 아티팩트를 추가, 변경 또는 삭제합니다. `read` 이벤트와 `write` 이벤트를 모두 로그하려면 `readOnly` 선택기를 추가하지 마세요.
         + **`eventName`** - `eventName`은 연산자를 사용할 수 있습니다. 연산자를 사용하여 `PutBucket`, `GetItem` 또는 `GetSnapshotBlock`과 같이 CloudTrail에 로그된 데이터 이벤트를 포함하거나 제외할 수 있습니다.
         + **`eventSource`** - 포함하거나 제외할 이벤트 소스입니다. 이 필드는 모든 연산자를 사용할 수 있습니다.
         + **eventType** – 포함하거나 제외할 이벤트 유형입니다. 예를 들어 이 필드를 `AwsServiceEvent`와 **같지 않음**으로 설정하면 [AWS 서비스 이벤트](non-api-aws-service-events.md)를 제외할 수 있습니다. 이벤트 유형 목록은 [관리, 데이터 및 네트워크 활동 이벤트에 대한 CloudTrail 레코드 콘텐츠](cloudtrail-event-reference-record-contents.md)의 [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type) 섹션을 참조하세요.
         + **sessionCredentialFromConsole** - AWS Management Console 세션에서 시작된 이벤트를 포함하거나 제외합니다. 이 필드는 **같음** 또는 **같지 않음**으로 설정할 수 있으며 값으로 `true`를 사용할 수 있습니다.
         + **userIdentity.arn** – 특정 IAM ID에서 수행한 작업에 대한 이벤트를 포함하거나 제외합니다. 자세한 내용은 [CloudTrail userIdentity 요소](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)를 참조하십시오.
         + **`resources.ARN`** - `resources.ARN`과 함께 연산자를 사용할 수 있지만, **같음** 또는 **같지 않음**을 사용하는 경우 값은 템플릿에서 `resources.type` 값으로 지정한 유형의 유효한 리소스 ARN과 정확히 일치해야 합니다.
**참고**  
`resources.ARN` 필드를 사용하여 ARN이 없는 리소스 유형을 필터링할 수 없습니다.

           데이터 이벤트 리소스의 ARN 형식에 대한 자세한 내용은 *서비스 승인 참조*의 [Actions, resources, and condition keys for AWS 서비스](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)를 참조하세요.

      1. 각 필드에 대해 [**\$1 조건(\$1 Condition)**]을 선택하여 모든 조건에 대해 최대 500개의 지정된 값까지 필요한 만큼 조건을 추가합니다. 예를 들어 이벤트 데이터 스토어에 로깅되는 데이터 이벤트에서 두 S3 버킷에 대한 데이터 이벤트를 제외하려면 필드를 **resources.ARN**으로 설정하고 **다음으로 시작하지 않음**에 대한 연산자를 설정한 다음에 이벤트를 로깅하지 않으려는 S3 버킷 ARN을 붙여넣을 수 있습니다.

         두 번째 S3 버킷을 추가하려면 [**\$1 조건(\$1 Condition)**]을 선택한 다음, 이전 지침을 반복하여 ARN을 붙여넣거나 다른 버킷을 찾습니다.

         CloudTrail이 여러 조건을 평가하는 방법에 대한 자세한 내용은 [CloudTrail이 필드의 여러 조건을 평가하는 방법](filtering-data-events.md#filtering-data-events-conditions) 섹션을 참조하세요.
**참고**  
이벤트 데이터 스토어의 모든 선택기에 대해 최대 500개의 값을 가질 수 있습니다. 여기에는 `eventName`과 같은 선택기에 대한 여러 값의 배열이 포함됩니다. 모든 선택기에 대해 단일 값이 있는 경우 선택기에 최대 500개의 조건을 추가할 수 있습니다.

      1. 필요에 따라 필드를 추가하려면 [**\$1 필드(\$1 Field)**]를 선택합니다. 오류를 방지하려면 필드에 충돌하거나 중복되는 값을 설정하지 마세요. 예를 들어 한 선택기의 ARN을 값과 같도록 지정하지 마세요. 그런 다음, ARN이 다른 선택기의 동일한 값과 같지 않도록 지정하세요.

   1. 선택적으로 **JSON 뷰(JSON view)**를 확장하여 고급 이벤트 선택기를 JSON 블록으로 볼 수 있습니다.

   1. 데이터 이벤트를 로깅할 다른 리소스 유형을 추가하려면 **데이터 이벤트 유형 추가**를 선택합니다. 리소스 유형에 대한 고급 이벤트 선택기를 구성하려면 한 단계부터 이 단계까지 반복합니다.

1. 이벤트 데이터 스토어에 네트워크 활동 이벤트를 포함하려면 다음을 수행합니다.

   1. **네트워크 활동 이벤트 소스**에서 네트워크 활동 이벤트의 소스를 선택합니다.

   1. **로그 선택기 템플릿(Log selector template)**에서 템플릿을 선택합니다. 모든 네트워크 활동 이벤트를 로깅하거나 모든 네트워크 활동 액세스 거부 이벤트를 로깅하거나 **사용자 지정**을 선택하여 `eventName` 및 `vpcEndpointId`와 같은 여러 필드를 기준으로 필터링할 사용자 지정 로그 선택기를 빌드할 수 있습니다.

   1. (선택 사항) 선택기를 식별할 이름을 입력합니다. 선택기 이름은 고급 이벤트 선택기에서의 **이름**으로 나열되며 **JSON 보기**를 확장하면 볼 수 있습니다.

   1. **고급 이벤트 선택기**에서 **필드**, **연산자** 및 **값**을 선택하여 표현식을 빌드합니다. 사전 정의된 로그 템플릿을 사용한다면 이 단계를 건너뛸 수 있습니다.

      1. 네트워크 활동 이벤트를 제외하거나 포함하는 경우 콘솔의 다음 필드 중에서 선택할 수 있습니다.
         + **`eventName`** – `eventName`에서 모든 연산자를 사용할 수 있습니다. 이를 사용하여 이벤트(예: `CreateKey`)를 포함하거나 제외할 수 있습니다.
         + **`errorCode`** - 이를 사용하여 오류 코드를 기준으로 필터링할 수 있습니다. 현재 지원되는 유일한 `errorCode`는 `VpceAccessDenied`입니다.
         +  **`vpcEndpointId`** - 작업이 통과한 VPC 엔드포인트를 식별합니다. `vpcEndpointId`에서 모든 연산자를 사용할 수 있습니다.

      1. 각 필드에 대해 [**\$1 조건(\$1 Condition)**]을 선택하여 모든 조건에 대해 최대 500개의 지정된 값까지 필요한 만큼 조건을 추가합니다.

      1. 필요에 따라 필드를 추가하려면 [**\$1 필드(\$1 Field)**]를 선택합니다. 오류를 방지하려면 필드에 충돌하거나 중복되는 값을 설정하지 마세요.

   1. 네트워크 활동 이벤트를 로깅할 다른 이벤트 소스를 추가하려면 **네트워크 활동 이벤트 선택기 추가**를 선택합니다.

   1. 선택적으로 **JSON 뷰(JSON view)**를 확장하여 고급 이벤트 선택기를 JSON 블록으로 볼 수 있습니다.

1. 이벤트 데이터 스토어에 기존 추적 이벤트를 복사하려면 다음을 수행합니다.

   1. 복사하려는 트레일을 선택합니다. 기본적으로 CloudTrail은 S3 버킷의 `CloudTrail` 접두사 및 접두사 내에 포함된 CloudTrail 이벤트만 복사하며 `CloudTrail` 다른 AWS 서비스의 접두사는 확인하지 않습니다. 다른 접두사에 포함된 CloudTrail 이벤트를 복사하려면 **S3 URI 입력**을 선택한 다음 **S3 검색**를 선택하여 접두사를 찾아보세요. 추적에 대한 소스 S3 버킷에서 데이터 암호화에 KMS 키를 사용하는 경우 KMS 키 정책에서 CloudTrail이 데이터를 복호화하도록 허용하는지 확인합니다. 소스 S3 버킷에서 여러 KMS 키를 사용하는 경우 CloudTrail이 버킷의 데이터를 복호화할 수 있도록 각 키의 정책을 업데이트해야 합니다. KMS 키 정책 업데이트에 대한 자세한 내용은 [소스 S3 버킷의 데이터 해독을 위한 KMS 키 정책](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-kms)를 참조하세요.

   1. 이벤트를 복사할 시간 범위를 선택합니다. CloudTrail은 추적 이벤트를 복사하기 전에 접두사와 로그 파일 이름을 확인하여 선택한 시작 날짜와 종료 날짜 사이의 날짜가 이름에 포함되어 있는지 확인합니다. **상대 범위** 또는 **절대 범위**를 선택할 수 있습니다. 소스 추적과 대상 이벤트 데이터 스토어 간에 이벤트가 중복되지 않도록 하려면 이벤트 데이터 스토어 생성 이전의 시간 범위를 선택합니다.
**참고**  
CloudTrail은 이벤트 데이터 스토어의 보존 기간 내에 있는 `eventTime`를 가진 추적 이벤트만 복사합니다. 예를 들어 이벤트 데이터 스토어의 보존 기간이 90일인 경우 CloudTrail은 90일보다 오래된 `eventTime`를 가진 추적 이벤트를 복사하지 않습니다.
      + **상대 범위(Relative range)**를 선택하면, 최근 6개월, 1년, 2년, 7년 또는 사용자 지정 범위 동안 로그된 이벤트를 복사하도록 선택할 수 있습니다. CloudTrail은 선택한 기간 내에 기록된 이벤트를 복사합니다.
      + **절대 범위**를 선택하는 경우 특정 시작일과 종료일을 선택할 수 있습니다. CloudTrail은 선택한 시작일과 종료일 사이에 발생한 이벤트를 복사합니다.

   1. **권한**에서 다음 IAM 역할 옵션 중 하나를 선택합니다. 기존 IAM 역할을 선택하는 경우 IAM 역할 정책이 필요한 권한을 제공하는지 확인합니다. IAM 역할 권한 업데이트에 대한 자세한 내용은 [추적 이벤트 복사를 위한 IAM 권한](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam) 섹션을 참조하세요.
      + 새 IAM 역할을 생성하려면 **새 역할 생성(권장)**을 선택합니다. **IAM 역할 이름 입력(Enter IAM role name)**에 역할 이름을 입력합니다. CloudTrail은 이 새 역할에 필요한 권한을 자동으로 생성합니다.
      + 목록에 없는 사용자 지정 IAM 역할을 사용하려면 **사용자 지정 IAM 역할 사용**을 선택합니다. **IAM 역할 ARN 입력(Enter IAM role ARN)**에서 IAM ARN을 입력합니다.
      + 드롭다운 목록에서 기존 IAM 역할을 선택합니다.

1. **다음**을 선택하여 리소스 태그 키와 IAM 글로벌 조건 키를 추가하면 이벤트를 보강할 수 있습니다.

1. **이벤트 강화**에서 최대 50개의 리소스 태그 키와 50개의 IAM 전역 조건 키를 추가하여 이벤트에 대한 추가 메타데이터를 제공합니다. 이렇게 하면 관련 이벤트를 분류하고 그룹화하는 데 도움이 됩니다.

   리소스 태그 키를 추가하면 API 직접 호출에 사용된 리소스와 연결된 선택한 태그 키가 CloudTrail에 포함됩니다. 삭제된 리소스와 관련된 API 이벤트에는 리소스 태그가 없습니다.

   IAM 글로벌 조건 키를 추가하면 권한 부여 프로세스 중에 평가된 선택 대상 조건 키에 대한 정보(위탁자, 세션, 네트워크 및 요청 자체에 대한 추가 세부 정보 등)가 CloudTrail에 포함됩니다.

   리소스 태그 키와 IAM 글로벌 조건 키에 대한 정보가 이벤트의 `eventContext` 필드에 표시됩니다. 자세한 내용은 [리소스 태그 키와 IAM 글로벌 조건 키를 추가하여 CloudTrail 이벤트 보강](cloudtrail-context-events.md) 단원을 참조하십시오.
**참고**  
이벤트에 이벤트 리전에 속하지 않는 리소스가 포함된 경우 태그 검색이 이벤트 리전으로 제한되므로 CloudTrail은이 리소스에 대한 태그를 채우지 않습니다.

1. **이벤트 크기 확장**을 선택하여 이벤트 페이로드를 256KB에서 최대 1MB까지 확장합니다. 이 옵션은 리소스 태그 키 또는 IAM 전역 조건 키를 추가하여 추가된 모든 키가 이벤트에 포함되도록 할 때 자동으로 활성화됩니다.

   이벤트 크기를 확장하면 이벤트 페이로드가 1MB 미만인 경우 다음 필드의 모든 내용을 볼 수 있으므로 이벤트를 분석하고 문제를 해결하는 데 도움이 됩니다.
   + `annotation`
   + `requestID`
   + `additionalEventData`
   + `serviceEventDetails`
   + `userAgent`
   + `errorCode`
   + `responseElements`
   + `requestParameters`
   + `errorMessage`

   이러한 필드에 대한 자세한 내용은 [CloudTrail record contents](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)를 참조하세요.

1. **Next**(다음)를 선택하여 선택 사항을 검토합니다.

1. **검토 및 생성(Review and create)** 페이지에서 선택 사항을 검토합니다. **편집(Edit)**을 선택하여 단원을 변경합니다. 이벤트 데이터 스토어를 생성할 준비가 되었으면 **이벤트 데이터 스토어 생성(Create event data store)**을 선택합니다.

1. 새 이벤트 데이터 스토어는 **Event data stores(이벤트 데이터 스토어)** 페이지의 **이벤트 데이터 스토어(Event data stores)** 테이블에서 볼 수 있습니다.

   이 시점부터 이벤트 데이터 스토어는 고급 이벤트 선택기와 일치하는 이벤트를 캡처합니다(**Ingest events(이벤트 수집)** 옵션을 선택한 경우). 기존 트레일 이벤트를 복사하기로 선택하지 않은 한 이벤트 데이터 스토어를 만들기 전에 발생한 이벤트는 이벤트 데이터 스토어에 존재하지 않습니다.

이제 새 이벤트 데이터 스토어에 대한 쿼리를 실행할 수 있습니다. **Sample queries**(샘플 쿼리) 탭에서는 시작하기 위한 예제 쿼리를 제공합니다. 쿼리 생성 및 편집에 대한 자세한 내용은 [CloudTrail 콘솔을 사용하여 쿼리 생성 또는 편집](query-create-edit-query.md)을 참조하세요.

[관리형 대시보드](lake-dashboard-managed.md)를 보거나 [사용자 지정 대시보드를 생성](lake-dashboard-custom.md)하여 이벤트 추세를 시각화할 수도 있습니다. Lake 대시보드에 대한 자세한 내용은 [CloudTrail Lake 대시보드](lake-dashboard.md) 섹션을 참조하세요.

# 콘솔을 사용하여 Insights 이벤트에 대한 이벤트 데이터 저장소 생성
<a name="query-event-data-store-insights"></a>

**참고**  
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.

AWS CloudTrail Insights는 AWS 사용자가 CloudTrail 관리 이벤트를 지속적으로 분석하여 API 호출률 및 API 오류율과 관련된 비정상적인 활동을 식별하고 이에 대응할 수 있도록 도와줍니다. CloudTrail Insights는 *기준*이라고도 하는 API 직접 호출 속도와 API 오류율의 정상적인 패턴을 분석하고, 호출 볼륨 또는 오류율이 정상 패턴을 벗어날 때 Insights 이벤트를 생성합니다. API 직접 호출 속도에 대한 Insights 이벤트는 `write` 관리 API에 대해 생성되고 API 오류율에 대한 Insights 이벤트는 `read` 및 `write` 관리 API 모두에 대해 생성됩니다.

CloudTrail Lake에서 Insights 이벤트를 로그하려면, Insights 이벤트를 로그하고, Insights를 사용하는 소스 이벤트 데이터 스토어와 Insights 이벤트를 사용하고, 관리 데이터를 로그하는 소스 이벤트 데이터 스토어가 필요합니다.

**참고**  
API 직접 호출 속도에 대한 Insights 이벤트를 로깅하려면 소스 이벤트 데이터 스토어가 `write` 관리 이벤트를 로그해야 합니다. API 오류율에 대한 Insights 이벤트를 로깅하려면, 소스 이벤트 데이터 스토어에서 `read` 또는 `write` 관리 이벤트를 로깅해야 합니다.

소스 이벤트 데이터 스토어에서 CloudTrail Insights를 활성화했을 때 CloudTrail이 비정상적인 활동을 감지하면, CloudTrail은 Insights 이벤트를 대상 이벤트 데이터 스토어에 전달합니다. CloudTrail 이벤트 데이터 스토어에서 캡처된 다른 이벤트 유형과 달리, Insights 이벤트는 계정의 API 사용량 변화가 계정의 일반적인 사용 패턴과 크게 다르다는 것을 CloudTrail이 탐지한 경우에만 로그됩니다.

이벤트 데이터 스토어에서 CloudTrail Insights를 처음으로 활성화한 후, CloudTrail에서 Insights 이벤트 제공을 시작하는 데 최대 7일이 걸릴 수 있습니다. 단, 이 기간 동안 비정상적인 활동이 발생했을 때에 한합니다.

CloudTrail Insights는 이벤트 데이터 스토어의 각 리전에서 발생하는 관리 이벤트를 분석하고 기준에서 벗어나는 비정상적인 활동이 감지되면 Insights 이벤트를 생성합니다. CloudTrail Insights 이벤트는 지원 관리 이벤트가 생성되는 것과 동일한 리전에서 생성됩니다.

조직 이벤트 데이터 스토어의 경우 CloudTrail Insights는 각 리전에 대한 조직의 각 멤버 계정에서 관리 이벤트를 분석하고, 계정 및 리전의 기준에서 벗어나는 비정상적인 활동이 감지되면 Insights 이벤트를 생성합니다.

CloudTrail Lake에서의 Insights 이벤트 수집에는 추가 요금이 부과됩니다. 추적과 CloudTrail Lake 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. CloudTrail 요금에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요.

**Topics**
+ [Insights 이벤트를 로그하는 대상 이벤트 데이터 스토어 생성](#query-event-data-store-insights-procedure)
+ [Insights 이벤트를 활성화하는 소스 이벤트 데이터 스토어 생성](#query-event-data-store-cloudtrail-insights)

## Insights 이벤트를 로그하는 대상 이벤트 데이터 스토어 생성
<a name="query-event-data-store-insights-procedure"></a>

Insights 이벤트 데이터 스토어를 생성할 때, 관리 이벤트를 로그하는 기존 소스 이벤트 데이터 스토어를 선택하고, 수신할 Insights 유형을 지정할 수 있습니다. 또는 Insights 이벤트 데이터 스토어를 생성한 후 새 이벤트 데이터 스토어나 기존 이벤트 데이터 스토어에서 Insights를 활성화한 다음, 이 이벤트 데이터 스토어를 대상 이벤트 데이터 스토어로 선택할 수도 있습니다.

이 절차는 Insights 이벤트를 로그하는 대상 이벤트 데이터 스토어를 생성하는 방법을 보여 줍니다.

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1.  탐색 창에서 **Lake** 하위 메뉴를 연 다음 **Event data stores**(이벤트 데이터 스토어)를 선택합니다.

1. **이벤트 데이터 스토어 생성**을 선택합니다.

1. **이벤트 데이터 스토어 구성(Configure event data store)** 페이지의 **일반 세부 정보(General details)**에서 이벤트 데이터 스토어의 이름을 입력합니다. 이름은 필수 항목입니다.

1. 이벤트 데이터 스토어에 사용할 **요금 옵션**을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md) 섹션을 참조하세요.

   다음과 같은 옵션을 사용할 수 있습니다.
   + **1년 연장 가능 보존 요금** - 매월 25TB 미만의 이벤트 데이터를 모을 것으로 예상되고 최대 10년의 유연한 보존 기간을 원하는 경우 일반적으로 권장됩니다. 처음 366일(기본 보존 기간) 동안은 추가 요금 없이 모으기 요금에 스토리지가 포함됩니다. 366일 후에는 사용량에 따른 요금으로 연장 보존이 가능합니다. 이는 기본 옵션입니다.
     + **기본 보존 기간:** 366일
     + **최대 보존 기간:** 3,653일
   + **7년 보존 요금** - 매월 25TB 이상의 이벤트 데이터를 모을 것으로 예상되고 최대 7년의 보존 기간이 필요한 경우 권장됩니다. 추가 비용 없이 모으기 요금에 보존이 포함됩니다.
     + **기본 보존 기간:** 2,557일
     + **최대 보존 기간:** 2,557일

1. 이벤트 데이터 스토어의 보존 기간을 일 단위로 지정합니다. 보존 기간은 **1년 연장 가능 보존 요금** 옵션의 경우 7일\$13,653일(약 10년), **7년 보존 요금** 옵션의 경우 7일\$12,557일(약 7년)일 수 있습니다. 이벤트 데이터 스토어는 지정된 일수 동안 이벤트 데이터를 유지합니다.

1. (선택 사항)를 사용하여 암호화를 활성화하려면 **자체 사용을 AWS KMS key** AWS Key Management Service선택합니다. **새로 만들기**를 선택하여를 자동으로 AWS KMS key 생성하거나 **기존**을 선택하여 기존 KMS 키를 사용합니다. **Enter KMS alias**(KMS 별칭 입력)에 `alias/`*MyAliasName* 형식으로 별칭을 지정합니다. 자체 KMS 키를 사용하려면 이벤트 데이터 스토어를 암호화하고 복호화할 수 있도록 KMS 키 정책을 편집해야 합니다. 자세한 내용은 [CloudTrail에 대한 AWS KMS 키 정책 구성](create-kms-key-policy-for-cloudtrail.md) 단원을 참조하십시오. CloudTrail은 AWS KMS 다중 리전 키도 지원합니다. 다중 리전 키에 대한 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [다중 리전 키 사용](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) 단원을 참조하세요.

   자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.
**참고**  
조직 이벤트 데이터 스토어에 대한 AWS Key Management Service 암호화를 활성화하려면 관리 계정에 기존 KMS 키를 사용해야 합니다.

1. (선택 사항) Amazon Athena를 사용하여 이벤트 데이터에 대해 쿼리하려면 **Lake 쿼리 페더레이션**에서 **활성화**를 선택합니다. 페더레이션을 통해 AWS Glue [데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)의 이벤트 데이터 스토어와 연결된 메타데이터를 확인하고 Athena에서 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고 읽고 처리하는 방법을 알 수 있습니다. 자세한 내용은 [이벤트 데이터 스토어 페더레이션](query-federation.md) 단원을 참조하십시오.

   Lake 쿼리 페더레이션을 활성화하려면 **활성화**를 선택하고 다음을 수행합니다.

   1. 새 역할을 생성할지 아니면 기존 IAM 역할을 사용할지 선택합니다. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html)은 이 역할을 사용하여 페더레이션 이벤트 데이터 스토어에 대한 권한을 관리합니다. CloudTrail 콘솔을 사용하여 새 역할을 생성하면 CloudTrail은 필요한 권한이 있는 역할을 자동으로 생성합니다. 기존 역할을 선택하는 경우 해당 역할에 대한 정책이 [필요한 최소 권한](query-federation.md#query-federation-permissions-role)을 제공하는지 확인합니다.

   1. 새 역할을 생성하는 경우 역할을 식별할 수 있는 이름을 입력합니다.

   1. 기존 역할을 사용하는 경우 사용하려는 역할을 선택합니다. 계정에 역할이 있어야 합니다.

1. (선택 사항) **리소스 정책 활성화**를 선택하여 이 이벤트 데이터 스토어에 리소스 기반 정책을 추가합니다. 리소스 기반 정책을 사용하면 이벤트 데이터 스토어에서 작업을 수행할 수 있는 위탁자를 제어할 수 있습니다. 예를 들어 다른 계정의 루트 사용자가 이 이벤트 데이터 스토어를 쿼리하고 쿼리 결과를 볼 수 있도록 하는 리소스 기반 정책을 추가할 수 있습니다. 예시 정책은 [이벤트 데이터 스토어의 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds) 섹션을 참조하세요.

   리소스 기반 정책에는 하나 이상의 문이 포함됩니다. 정책의 각 스테이트먼트는 이벤트 데이터 스토어에 대한 액세스가 허용되거나 거부된 [위탁자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)와 위탁자가 이벤트 데이터 스토어 리소스에서 수행할 수 있는 작업을 정의합니다.

   이벤트 데이터 스토어의 리소스 기반 정책에서 지원되는 작업은 다음과 같습니다.
   +  `cloudtrail:StartQuery` 
   +  `cloudtrail:CancelQuery` 
   +  `cloudtrail:ListQueries` 
   +  `cloudtrail:DescribeQuery` 
   +  `cloudtrail:GetQueryResults` 
   +  `cloudtrail:GenerateQuery` 
   +  `cloudtrail:GenerateQueryResultsSummary` 
   +  `cloudtrail:GetEventDataStore` 

   [조직 이벤트 데이터 스토어](cloudtrail-lake-organizations.md)의 경우 CloudTrail은 위임된 관리자 계정이 조직 이벤트 데이터 스토어에서 수행할 수 있는 작업을 나열하는 [기본 리소스 기반 정책](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)을 생성합니다. 이 정책의 권한은 AWS Organizations의 위임된 관리자 권한에서 파생됩니다. 이 정책은 조직의 이벤트 데이터 스토어 또는 조직이 변경되면(예: CloudTrail의 위임된 관리자 계정이 등록 또는 제거됨) 자동으로 업데이트됩니다.

1. (선택 사항) **Tags**(태그) 섹션에 최대 50개의 태그 키 쌍을 추가하여 이벤트 데이터 스토어에 대한 액세스를 식별, 정렬 및 제어할 수 있습니다. IAM 정책을 사용하여 태그를 기반으로 이벤트 데이터 스토어에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 [예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags) 단원을 참조하세요. 에서 태그를 사용하는 방법에 대한 자세한 내용은 [AWS 리소스 태그 지정](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *사용 설명서의 AWS 리소스 태그 지정*을 AWS참조하세요.

1.  **Next(다음)**를 선택하여 이벤트 데이터 스토어를 구성합니다.

1.  **Choose events**(이벤트 선택) 페이지에서 **AWS events**를 선택하고 **CloudTrail Insights events**(CloudTrail Insights 이벤트)를 선택합니다.

1. **CloudTrail Insights events**(CloudTrail Insights 이벤트)에서 다음을 수행합니다.

   1. 조직의 위임된 관리자에게 이 이벤트 데이터 스토어에 대한 액세스 권한을 부여하려면, **Allow delegated administrator access**(위임된 관리자 액세스 허용)을 선택합니다. 이 옵션은 AWS Organizations 조직의 관리 계정으로 로그인한 경우에만 사용할 수 있습니다.

   1. (선택 사항) 관리 이벤트를 로그하는 기존 소스 이벤트 데이터 스토어를 선택하고, 수신할 Insights 유형을 지정합니다.

      소스 이벤트 데이터 스토어를 추가하려면 다음을 따라합니다.

      1. **Add source event data store**(소스 이벤트 데이터 스토어 추가)를 선택합니다.

      1. 소스 이벤트 데이터 스토어를 선택합니다.

      1. 수신할 **Insights type**(Insights 유형)을 선택합니다.
         + `ApiCallRateInsight` – `ApiCallRateInsight` Insights 유형은 기본 API 호출 볼륨을 기준으로 분당 집계되는 쓰기 전용 관리 API 호출을 분석합니다. `ApiCallRateInsight`의 Insights를 수신하려면 소스 이벤트 데이터 스토어가 **Write**(쓰기) 관리 이벤트를 기록해야 합니다.
         + `ApiErrorRateInsight` – `ApiErrorRateInsight` Insights 유형은 오류 코드가 되는 관리 API 호출을 분석합니다. API 호출이 실패하면 오류가 표시됩니다. `ApiErrorRateInsight`의 Insights를 수신하려면, 소스 이벤트 데이터 스토어가 **Write**(쓰기) 또는 **Read**(읽기) 관리 이벤트를 기록해야 합니다.

      1. 이전 두 단계(ii 및 iii) 를 반복하여 수신할 추가 Insights 유형을 추가합니다.

1. **Next**(다음)를 선택하여 선택 사항을 검토합니다.

1. **검토 및 생성(Review and create)** 페이지에서 선택 사항을 검토합니다. **편집(Edit)**을 선택하여 단원을 변경합니다. 이벤트 데이터 스토어를 생성할 준비가 되었으면 **이벤트 데이터 스토어 생성(Create event data store)**을 선택합니다.

1. 새 이벤트 데이터 스토어는 **이벤트 데이터 스토어(Event data stores)** 페이지의 **이벤트 데이터 스토어(Event data stores)** 테이블에서 볼 수 있습니다.

1. 10단계에서 원본 이벤트 데이터 스토어를 선택하지 않은 경우, [Insights 이벤트를 활성화하는 소스 이벤트 데이터 스토어 생성](#query-event-data-store-cloudtrail-insights)에서 단계에 따라 원본 이벤트 데이터 스토어를 생성합니다.

## Insights 이벤트를 활성화하는 소스 이벤트 데이터 스토어 생성
<a name="query-event-data-store-cloudtrail-insights"></a>

이 절차는 Insights 이벤트 및 로그 관리 이벤트를 활성화하는 원본 이벤트 데이터 스토어를 생성하는 방법을 보여줍니다.

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1.  탐색 창에서 **Lake** 하위 메뉴를 연 다음 **Event data stores**(이벤트 데이터 스토어)를 선택합니다.

1. **이벤트 데이터 스토어 생성**을 선택합니다.

1. **이벤트 데이터 스토어 구성(Configure event data store)** 페이지의 **일반 세부 정보(General details)**에서 이벤트 데이터 스토어의 이름을 입력합니다. 이름은 필수 항목입니다.

1. 이벤트 데이터 스토어에 사용할 **요금 옵션**을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md) 섹션을 참조하세요.

   다음과 같은 옵션을 사용할 수 있습니다.
   + **1년 연장 가능 보존 요금** - 매월 25TB 미만의 이벤트 데이터를 모을 것으로 예상되고 최대 10년의 유연한 보존 기간을 원하는 경우 일반적으로 권장됩니다. 처음 366일(기본 보존 기간) 동안은 추가 요금 없이 모으기 요금에 스토리지가 포함됩니다. 366일 후에는 사용량에 따른 요금으로 연장 보존이 가능합니다. 이는 기본 옵션입니다.
     + **기본 보존 기간:** 366일
     + **최대 보존 기간:** 3,653일
   + **7년 보존 요금** - 매월 25TB 이상의 이벤트 데이터를 모을 것으로 예상되고 최대 7년의 보존 기간이 필요한 경우 권장됩니다. 추가 비용 없이 모으기 요금에 보존이 포함됩니다.
     + **기본 보존 기간:** 2,557일
     + **최대 보존 기간:** 2,557일

1. 이벤트 데이터 스토어의 보존 기간을 지정합니다. 보존 기간은 **1년 연장 가능 보존 요금** 옵션의 경우 7일\$13,653일(약 10년), **7년 보존 요금** 옵션의 경우 7일\$12,557일(약 7년)일 수 있습니다.

    CloudTrail Lake는 이벤트의 `eventTime`가 지정된 보존 기간 내에 있는지 확인하여 이벤트 보존 여부를 결정합니다. 예를 들어 보존 기간을 90일로 지정했을 때, CloudTrail은 `eventTime`이 90일이 넘으면 이벤트를 제거합니다.

1. (선택 사항)를 사용하여 암호화를 활성화하려면 **자체 사용을 AWS KMS key** AWS Key Management Service선택합니다. **새로 만들기**를 선택하여를 자동으로 AWS KMS key 생성하거나 **기존**를 선택하여 기존 KMS 키를 사용합니다. **Enter KMS alias**(KMS 별칭 입력)에 `alias/`*MyAliasName* 형식으로 별칭을 지정합니다. 자체 KMS 키를 사용하려면 이벤트 데이터 스토어를 암호화하고 복호화할 수 있도록 KMS 키 정책을 편집해야 합니다. 자세한 내용은 [CloudTrail에 대한 AWS KMS 키 정책 구성](create-kms-key-policy-for-cloudtrail.md) 단원을 참조하십시오. CloudTrail은 AWS KMS 다중 리전 키도 지원합니다. 다중 리전 키에 대한 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [다중 리전 키 사용](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) 단원을 참조하세요.

   자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.
**참고**  
조직 이벤트 데이터 스토어에 대한 AWS Key Management Service 암호화를 활성화하려면 관리 계정에 기존 KMS 키를 사용해야 합니다.

1. (선택 사항) Amazon Athena를 사용하여 이벤트 데이터에 대해 쿼리하려면 **Lake 쿼리 페더레이션**에서 **활성화**를 선택합니다. 페더레이션을 통해 AWS Glue [데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)의 이벤트 데이터 스토어와 연결된 메타데이터를 확인하고 Athena에서 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고 읽고 처리하는 방법을 알 수 있습니다. 자세한 내용은 [이벤트 데이터 스토어 페더레이션](query-federation.md) 단원을 참조하십시오.

   Lake 쿼리 페더레이션을 활성화하려면 **활성화**를 선택하고 다음을 수행합니다.

   1. 새 역할을 생성할지 아니면 기존 IAM 역할을 사용할지 선택합니다. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html)은 이 역할을 사용하여 페더레이션 이벤트 데이터 스토어에 대한 권한을 관리합니다. CloudTrail 콘솔을 사용하여 새 역할을 생성하면 CloudTrail은 필요한 권한이 있는 역할을 자동으로 생성합니다. 기존 역할을 선택하는 경우 해당 역할에 대한 정책이 [필요한 최소 권한](query-federation.md#query-federation-permissions-role)을 제공하는지 확인합니다.

   1. 새 역할을 생성하는 경우 역할을 식별할 수 있는 이름을 입력합니다.

   1. 기존 역할을 사용하는 경우 사용하려는 역할을 선택합니다. 계정에 역할이 있어야 합니다.

1. (선택 사항) **리소스 정책 활성화**를 선택하여 이 이벤트 데이터 스토어에 리소스 기반 정책을 추가합니다. 리소스 기반 정책을 사용하면 이벤트 데이터 스토어에서 작업을 수행할 수 있는 위탁자를 제어할 수 있습니다. 예를 들어 다른 계정의 루트 사용자가 이 이벤트 데이터 스토어를 쿼리하고 쿼리 결과를 볼 수 있도록 하는 리소스 기반 정책을 추가할 수 있습니다. 예시 정책은 [이벤트 데이터 스토어의 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds) 섹션을 참조하세요.

   리소스 기반 정책에는 하나 이상의 문이 포함됩니다. 정책의 각 스테이트먼트는 이벤트 데이터 스토어에 대한 액세스가 허용되거나 거부된 [위탁자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)와 위탁자가 이벤트 데이터 스토어 리소스에서 수행할 수 있는 작업을 정의합니다.

   이벤트 데이터 스토어의 리소스 기반 정책에서 지원되는 작업은 다음과 같습니다.
   +  `cloudtrail:StartQuery` 
   +  `cloudtrail:CancelQuery` 
   +  `cloudtrail:ListQueries` 
   +  `cloudtrail:DescribeQuery` 
   +  `cloudtrail:GetQueryResults` 
   +  `cloudtrail:GenerateQuery` 
   +  `cloudtrail:GenerateQueryResultsSummary` 
   +  `cloudtrail:GetEventDataStore` 

   [조직 이벤트 데이터 스토어](cloudtrail-lake-organizations.md)의 경우 CloudTrail은 위임된 관리자 계정이 조직 이벤트 데이터 스토어에서 수행할 수 있는 작업을 나열하는 [기본 리소스 기반 정책](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)을 생성합니다. 이 정책의 권한은 AWS Organizations의 위임된 관리자 권한에서 파생됩니다. 이 정책은 조직의 이벤트 데이터 스토어 또는 조직이 변경되면(예: CloudTrail의 위임된 관리자 계정이 등록 또는 제거됨) 자동으로 업데이트됩니다.

1. (선택 사항) **Tags**(태그) 섹션에 최대 50개의 태그 키 쌍을 추가하여 이벤트 데이터 스토어에 대한 액세스를 식별, 정렬 및 제어할 수 있습니다. IAM 정책을 사용하여 태그를 기반으로 이벤트 데이터 스토어에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 [예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags) 단원을 참조하세요. 에서 태그를 사용하는 방법에 대한 자세한 내용은 [AWS 리소스 태그 지정](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *사용 설명서의 AWS 리소스 태그 지정*을 AWS참조하세요.

1.  **Next(다음)**를 선택하여 이벤트 데이터 스토어를 구성합니다.

1.  **이벤트 선택** 페이지에서 **AWS events**를 선택하고 **CloudTrail 이벤트**를 선택합니다.

1. **CloudTrail events**(CloudTrail 이벤트)의 **관리 이벤트**는 선택을 유지합니다.

1. 이벤트 데이터 스토어에서 AWS Organizations 조직 내 모든 계정의 이벤트를 수집하도록 하려면 **내 조직의 모든 계정에 대해 활성화(Enable for all accounts in my organization)**를 선택합니다. Insights를 사용하는 데이터 스토어를 생성하려면, 조직의 관리 계정에 로그인해야 합니다.

1. **추가 설정을** 확장하여 이벤트 데이터 스토어가 모든에 대한 이벤트를 수집할지 AWS 리전또는 현재 에만 이벤트를 수집할지 AWS 리전선택하고 이벤트 데이터 스토어가 이벤트를 수집할지 선택합니다. 기본적으로 이벤트 데이터 스토어는 계정 내 모든 리전에서 이벤트를 수집하고, 이벤트 데이터 스토어가 생성되면 수집을 시작합니다.

   1. **Include only the current region in my event data store**(내 이벤트 데이터 스토어에 현재 리전만 포함)를 선택하여 원한다면 현재 리전에서 로그된 이벤트만 포함할 수 있습니다. 이 옵션을 선택하지 않으면 이벤트 데이터 스토어에 모든 리전의 이벤트가 포함됩니다.

   1. **Ingest events**(이벤트 수집)은 기본값을 유지합니다.

1. **단순 이벤트 수집** 또는 **고급 이벤트 수집** 중에서 선택합니다.
   + 모든 이벤트를 로깅하거나, 읽기 이벤트만 로깅하거나, 쓰기 이벤트만 로깅하려면 **단순 이벤트 수집**을 선택합니다. AWS Key Management Service 및 Amazon RDS Data API 이벤트를 제외하도록 선택할 수도 있습니다.
   + `eventName`, `eventType`, `eventSource`, `sessionCredentialFromConsole` 및 `userIdentity.arn` 필드를 비롯한 고급 이벤트 선택기 필드의 값을 기반으로 관리 이벤트를 포함하거나 제외하려면 **고급 이벤트 수집**을 선택합니다.

1. **단순 이벤트 수집**을 선택한 경우 모든 이벤트를 로깅하거나, 읽기 이벤트만 로깅하거나, 쓰기 이벤트만 로깅할지 선택합니다. AWS KMS 및 Amazon RDS Data API 이벤트를 제외하도록 선택할 수도 있습니다.

1. **고급 이벤트 수집**을 선택한 경우 다음 선택 사항을 선택합니다.

   1. **로그 선택기 템플릿**에서 사전 정의된 템플릿을 선택하거나 **사용자 지정**을 선택하여 고급 이벤트 선택기 필드의 값을 기반으로 자체 이벤트 수집 조건을 작성합니다.

      다음과 같은 사전 정의된 템플릿 중에서 선택할 수 있습니다.
      + **모든 이벤트 로깅** - 모든 이벤트를 로깅하려면 이 템플릿을 선택합니다.
      + **읽기 이벤트만 로깅** - 읽기 이벤트만 로깅하려면 이 템플릿을 선택합니다. 읽기 전용 이벤트는 `Get*` 또는 `Describe*` 이벤트와 같이 리소스의 상태를 변경하지 않는 이벤트입니다.
      + **쓰기 이벤트만 로깅** - 쓰기 이벤트만 로깅하려면 이 템플릿을 선택합니다. 쓰기 이벤트는 `Put*`, `Delete*` 또는 `Write*` 이벤트와 같이 리소스, 속성 또는 아티팩트를 추가, 변경 또는 삭제합니다.
      + **로그 전용 AWS Management Console 이벤트** -에서 시작된 이벤트만 로깅하려면이 템플릿을 선택합니다 AWS Management Console.
      + ** AWS 서비스 시작된 이벤트 제외** - `eventType`의가 있는 AWS 서비스 이벤트`AwsServiceEvent`와 AWS 서비스연결 역할(SLRs)로 시작된 이벤트를 제외하려면이 템플릿을 선택합니다.

   1. (선택 사항) **선택자 이름(Selector name)**에 선택자를 식별할 이름을 입력합니다. 선택기 이름은 " AWS Management Console 세션의 로그 관리 이벤트"와 같은 고급 이벤트 선택기를 설명하는 이름입니다. 선택기 이름은 고급 이벤트 선택기에서의 `Name`으로 나열되며, **JSON 뷰(JSON view)**를 확장하여 볼 수 있습니다.

   1. **사용자 지정**을 선택한 경우 **고급 이벤트 선택기**에서 고급 이벤트 선택기 필드 값을 기반으로 표현식을 빌드합니다.
**참고**  
선택기는 `*` 같은 와일드카드 사용을 지원하지 않습니다. 여러 값을 단일 조건과 일치시키려면 `StartsWith`, `EndsWith`, `NotStartsWith` 또는 `NotEndsWith`를 사용하여 이벤트 필드의 시작 또는 끝을 명시적으로 일치시킬 수 있습니다.

      1. 다음 필드 중에서 선택합니다.
         + **`readOnly`** – `readOnly`는 **같음**으로 설정하며 값으로 `true` 또는 `false`를 사용할 수 있습니다. 이 값을 `false`로 설정하면 이벤트 데이터 스토어는 관리 이벤트 중 쓰기 이벤트만 로깅합니다. 읽기 전용 관리 이벤트는 `Get*` 또는 `Describe*` 이벤트와 같이 리소스의 상태를 변경하지 않는 이벤트입니다. 쓰기 이벤트는 `Put*`, `Delete*` 또는 `Write*` 이벤트와 같이 리소스, 속성 또는 아티팩트를 추가, 변경 또는 삭제합니다. **읽기** 및 **쓰기** 이벤트를 모두 로깅하려면 `readOnly` 선택기를 추가하지 마세요.
         + **`eventName`** – `eventName`에는 모든 연산자를 사용할 수 있습니다. 이를 사용하여 관리 이벤트(예: `CreateAccessPoint` 또는 `GetAccessPoint`)를 포함하거나 제외할 수 있습니다.
         + **`userIdentity.arn`** – 특정 IAM ID에서 수행한 작업에 대한 이벤트를 포함하거나 제외합니다. 자세한 내용은 [CloudTrail userIdentity 요소](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html)를 참조하십시오.
         + **`sessionCredentialFromConsole`** - AWS Management Console 세션에서 시작된 이벤트를 포함하거나 제외합니다. 이 필드는 **같음** 또는 **같지 않음**으로 설정할 수 있으며 값으로 `true`를 사용할 수 있습니다.
         + **`eventSource`** – 이를 사용하여 특정 이벤트 소스를 포함하거나 제외할 수 있습니다. `eventSource`는 일반적으로 공백 없이 `.amazonaws.com`이 붙는 서비스 이름의 간단한 형태입니다. 예를 들어 `eventSource`를 `ec2.amazonaws.com`과 **같음**으로 설정하면Amazon EC2 관리 이벤트만 로깅합니다.
         + **`eventType`** – 포함하거나 제외할 [eventType](cloudtrail-event-reference-record-contents.md#ct-event-type)입니다. 예를 들어 이 필드를 `AwsServiceEvent`와 **같지 않음**으로 설젛아면 [AWS 서비스 이벤트](non-api-aws-service-events.md)를 제외할 수 있습니다.

      1. 각 필드에 대해 [**\$1 조건(\$1 Condition)**]을 선택하여 모든 조건에 대해 최대 500개의 지정된 값까지 필요한 만큼 조건을 추가합니다.

         CloudTrail이 여러 조건을 평가하는 방법에 대한 자세한 내용은 [CloudTrail이 필드의 여러 조건을 평가하는 방법](filtering-data-events.md#filtering-data-events-conditions) 섹션을 참조하세요.
**참고**  
이벤트 데이터 스토어의 모든 선택기에 대해 최대 500개의 값을 가질 수 있습니다. 여기에는 `eventName`과 같은 선택기에 대한 여러 값의 배열이 포함됩니다. 모든 선택기에 대해 단일 값이 있는 경우 선택기에 최대 500개의 조건을 추가할 수 있습니다.

      1. 필요에 따라 필드를 추가하려면 [**\$1 필드(\$1 Field)**]를 선택합니다. 오류를 방지하려면 필드에 충돌하거나 중복되는 값을 설정하지 마세요.

   1. 선택적으로 **JSON 뷰(JSON view)**를 확장하여 고급 이벤트 선택기를 JSON 블록으로 볼 수 있습니다.

1. **Insights 이벤트 캡처 활성화**를 선택합니다.

1. Insights 이벤트를 로깅할 대상 이벤트 스토어를 선택합니다. 대상 이벤트 데이터 스토어는 이 이벤트 데이터 스토어의 관리 이벤트 활동을 기반으로 Insights 이벤트를 수집합니다. 대상 이벤트 데이터 스토어를 생성하는 방법에 대한 자세한 내용은 [Insights 이벤트를 로그하는 대상 이벤트 데이터 스토어 생성](#query-event-data-store-insights-procedure) 섹션을 참조하세요.

1. Insights 유형을 선택합니다. **API 호출률(API call rate)**, **API 오류율(API error rate)** 또는 두 가지 모두를 선택할 수 있습니다. **API 호출률(API call rate)**에 대한 Insights 이벤트를 로그하려면 **쓰기(Write)** 관리 이벤트를 로그하고 있어야 합니다. **API 오류율**에 대한 Insights 이벤트를 로그하려면 **읽기(Read)** 또는 **쓰기(Write)** 관리 이벤트를 로그하고 있어야 합니다.

1. **다음**을 선택하여 리소스 태그 키와 IAM 글로벌 조건 키를 추가하면 이벤트를 보강할 수 있습니다.

1. **이벤트 강화**에서 최대 50개의 리소스 태그 키와 50개의 IAM 전역 조건 키를 추가하여 이벤트에 대한 추가 메타데이터를 제공합니다. 이렇게 하면 관련 이벤트를 분류하고 그룹화하는 데 도움이 됩니다.

   리소스 태그 키를 추가하면 API 직접 호출에 사용된 리소스와 연결된 선택한 태그 키가 CloudTrail에 포함됩니다. 삭제된 리소스와 관련된 API 이벤트에는 리소스 태그가 없습니다.

   IAM 글로벌 조건 키를 추가하면 권한 부여 프로세스 중에 평가된 선택 대상 조건 키에 대한 정보(위탁자, 세션, 네트워크 및 요청 자체에 대한 추가 세부 정보 등)가 CloudTrail에 포함됩니다.

   리소스 태그 키와 IAM 글로벌 조건 키에 대한 정보가 이벤트의 `eventContext` 필드에 표시됩니다. 자세한 내용은 [리소스 태그 키와 IAM 글로벌 조건 키를 추가하여 CloudTrail 이벤트 보강](cloudtrail-context-events.md) 단원을 참조하십시오.
**참고**  
이벤트에 이벤트 리전에 속하지 않는 리소스가 포함된 경우 태그 검색이 이벤트 리전으로 제한되므로 CloudTrail은이 리소스에 대한 태그를 채우지 않습니다.

1. **이벤트 크기 확장**을 선택하여 이벤트 페이로드를 256KB에서 최대 1MB까지 확장합니다. 이 옵션은 리소스 태그 키 또는 IAM 전역 조건 키를 추가하여 추가된 모든 키가 이벤트에 포함되도록 할 때 자동으로 활성화됩니다.

   이벤트 크기를 확장하면 이벤트 페이로드가 1MB 미만인 경우 다음 필드의 모든 내용을 볼 수 있으므로 이벤트를 분석하고 문제를 해결하는 데 도움이 됩니다.
   + `annotation`
   + `requestID`
   + `additionalEventData`
   + `serviceEventDetails`
   + `userAgent`
   + `errorCode`
   + `responseElements`
   + `requestParameters`
   + `errorMessage`

   이러한 필드에 대한 자세한 내용은 [CloudTrail record contents](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)를 참조하세요.

1. **Next**(다음)를 선택하여 선택 사항을 검토합니다.

1. **검토 및 생성(Review and create)** 페이지에서 선택 사항을 검토합니다. **편집(Edit)**을 선택하여 단원을 변경합니다. 이벤트 데이터 스토어를 생성할 준비가 되었으면 **이벤트 데이터 스토어 생성(Create event data store)**을 선택합니다.

1. 새 이벤트 데이터 스토어는 **이벤트 데이터 스토어(Event data stores)** 페이지의 **이벤트 데이터 스토어(Event data stores)** 테이블에서 볼 수 있습니다.

   이 시점부터 이벤트 데이터 스토어는 고급 이벤트 선택기와 일치하는 이벤트를 캡처합니다. 리소스 이벤트 데이터 스토어에서 CloudTrail Insights를 처음으로 활성화한 후, CloudTrail에서 Insights 이벤트 제공을 시작하는 데 최대 7일이 걸릴 수 있습니다. 단, 이 기간 동안 비정상적인 활동이 발생했을 때에 한합니다.

   CloudTrail Lake 대시보드를 통해 대상 이벤트 데이터 스토어의 Insights 이벤트를 시각화할 수 있습니다. Lake 대시보드에 대한 자세한 내용은 [CloudTrail Lake 대시보드](lake-dashboard.md) 섹션을 참조하세요.

CloudTrail Lake에서의 Insights 이벤트 수집에는 추가 요금이 부과됩니다. 추적과 이벤트 데이터 스토어 모두에 대해 Insights를 활성화하면 요금이 별도로 부과됩니다. CloudTrail 요금에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/)을 참조하세요.

# 콘솔을 사용하여 구성 항목에 대한 이벤트 데이터 저장소 생성
<a name="query-event-data-store-config"></a>

**참고**  
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.

[AWS Config 구성 항목](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#config-items)을 포함하는 이벤트 데이터 스토어를 생성하고 이벤트 데이터 스토어를 사용하여 프로덕션 환경의 규정을 준수하지 않는 변경 사항을 조사할 수 있습니다. 이벤트 데이터 스토어를 사용하면 규정을 준수하지 않는 규칙을 변경과 관련된 사용자 및 리소스와 연결할 수 있습니다. 구성 항목은 계정에 있는 지원되는 AWS 리소스의 속성point-in-time 보기를 나타냅니다.는 기록 중인 리소스 유형에 대한 변경을 감지할 때마다 구성 항목을 AWS Config 생성합니다.는 구성 스냅샷이 캡처될 때 구성 항목 AWS Config 도 생성합니다.

 AWS Config 및 CloudTrail Lake를 모두 사용하여 구성 항목에 대해 쿼리를 실행할 수 있습니다. AWS Config 를 사용하여 단일 AWS 계정 및 AWS 리전또는 여러 계정 및 리전에 대한 구성 속성을 기반으로 AWS 리소스의 현재 구성 상태를 쿼리할 수 있습니다. 반대로 CloudTrail Lake를 사용하면 CloudTrail 이벤트, 구성 항목, 규칙 평가와 같은 다양한 데이터 소스에서 쿼리할 수 있습니다. CloudTrail Lake 쿼리는 리소스 AWS Config 구성 및 규정 준수 기록을 포함한 모든 구성 항목을 다룹니다.

구성 항목에 대한 이벤트 데이터 스토어를 생성해도 기존 AWS Config 고급 쿼리 또는 구성된 AWS Config 애그리게이터에는 영향을 주지 않습니다. 를 사용하여 고급 쿼리를 계속 실행할 수 있으며 AWS Config기록 파일을 S3 버킷에 AWS Config 계속 전달할 수 있습니다.

CloudTrail Lake 이벤트 데이터 스토어에는 요금이 발생합니다. 이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 사용할 [요금 옵션](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. CloudTrail 요금 Lake 비용 관리에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md)를 참조하세요.

## 제한 사항
<a name="query-event-data-store-config-limitations"></a>

구성 항목에 대한 이벤트 데이터 스토어에는 다음과 같은 제한 사항이 적용됩니다.
+ 사용자 지정 구성 항목은 지원되지 않음
+ 고급 이벤트 선택기를 사용한 이벤트 필터링은 지원되지 않음

## 사전 조건
<a name="query-event-data-store-config-prerequisites"></a>

이벤트 데이터 스토어를 생성하기 전에 모든 계정 및 리전에 대한 AWS Config 기록을 설정합니다. 의 기능인 [빠른 설정을](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html) 사용하여 기반 구성 레코더를 AWS Systems Manager빠르게 생성할 수 있습니다 AWS Config.

**참고**  
가 구성 기록을 AWS Config 시작하면 서비스 사용 요금이 부과됩니다. 요금에 대한 자세한 내용은 [AWS Config 요금](https://aws.amazon.com/config/pricing/) 부분을 참조하세요. 구성 레코더 관리에 대한 자세한 내용은AWS Config 개발자 안내서**의 [Managing the Configuration Recorder](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)(구성 레코더 관리)를 참조하세요.  


또한 다음 작업은 수행하는 것이 좋지만 이벤트 데이터 스토어를 생성하는 데 필요하지는 않습니다.
+  요청 시 구성 스냅샷 및 구성 기록을 수신하도록 Amazon S3 버킷을 설정합니다. 스냅샷에 대한 자세한 내용은AWS Config 개발자 안내서**의 [Managing the Delivery Channel](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html)(전송 채널 관리) 및 [Delivering Configuration Snapshot to an Amazon S3 Bucket](https://docs.aws.amazon.com/config/latest/developerguide/deliver-snapshot-cli.html)(Amazon S3 버킷에 구성 스냅샷 전달)을 참조하세요.
+  기록된 리소스 유형에 대한 규정 준수 정보를 평가하는 데 AWS Config 사용할 규칙을 지정합니다. 에 대한 몇 가지 CloudTrail Lake 샘플 쿼리 AWS Config 는 AWS Config 규칙 가 AWS 리소스의 규정 준수 상태를 평가해야 합니다. 에 대한 자세한 내용은 *AWS Config 개발자 안내서*의 [를 사용하여 리소스 평가를 AWS Config 규칙](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) AWS Config 규칙참조하세요.

## 구성 항목에 대한 이벤트 데이터 스토어를 생성하려면
<a name="create-config-event-data-store"></a>

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1.  탐색 창의 **Lake**에서 **Event data stores**(이벤트 데이터 스토어)를 선택합니다.

1. **이벤트 데이터 스토어 생성**을 선택합니다.

1. **이벤트 데이터 스토어 구성(Configure event data store)** 페이지의 **일반 세부 정보(General details)**에서 이벤트 데이터 스토어의 이름을 입력합니다. 이름은 필수 항목입니다.

1. 이벤트 데이터 스토어에 사용할 **요금 옵션**을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md) 섹션을 참조하세요.

   다음과 같은 옵션을 사용할 수 있습니다.
   + **1년 연장 가능 보존 요금** - 매월 25TB 미만의 이벤트 데이터를 모을 것으로 예상되고 최대 10년의 유연한 보존 기간을 원하는 경우 일반적으로 권장됩니다. 처음 366일(기본 보존 기간) 동안은 추가 요금 없이 모으기 요금에 스토리지가 포함됩니다. 366일 후에는 사용량에 따른 요금으로 연장 보존이 가능합니다. 이는 기본 옵션입니다.
     + **기본 보존 기간:** 366일
     + **최대 보존 기간:** 3,653일
   + **7년 보존 요금** - 매월 25TB 이상의 이벤트 데이터를 모을 것으로 예상되고 최대 7년의 보존 기간이 필요한 경우 권장됩니다. 추가 비용 없이 모으기 요금에 보존이 포함됩니다.
     + **기본 보존 기간:** 2,557일
     + **최대 보존 기간:** 2,557일

1. 이벤트 데이터 스토어의 보존 기간을 지정합니다. 보존 기간은 **1년 연장 가능 보존 요금** 옵션의 경우 7일\$13,653일(약 10년), **7년 보존 요금** 옵션의 경우 7일\$12,557일(약 7년)일 수 있습니다.

    CloudTrail Lake는 이벤트의 `eventTime`가 지정된 보존 기간 내에 있는지 확인하여 이벤트 보존 여부를 결정합니다. 예를 들어 보존 기간을 90일로 지정했을 때, CloudTrail은 `eventTime`이 90일이 넘으면 이벤트를 제거합니다.

1. (선택 사항)를 사용하여 암호화를 활성화하려면 **자체 사용을 AWS KMS key** AWS Key Management Service선택합니다. **새로 만들기**를 선택하여를 자동으로 AWS KMS key 생성하거나 **기존**를 선택하여 기존 KMS 키를 사용합니다. **Enter KMS alias**(KMS 별칭 입력)에 `alias/`*MyAliasName* 형식으로 별칭을 지정합니다. 자체 KMS 키를 사용하려면 이벤트 데이터 스토어를 암호화하고 복호화할 수 있도록 KMS 키 정책을 편집해야 합니다. 자세한 내용은 [CloudTrail에 대한 AWS KMS 키 정책 구성](create-kms-key-policy-for-cloudtrail.md) 단원을 참조하십시오. CloudTrail은 AWS KMS 다중 리전 키도 지원합니다. 다중 리전 키에 대한 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [다중 리전 키 사용](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) 단원을 참조하세요.

   자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.
**참고**  
조직 이벤트 데이터 스토어에 대한 AWS Key Management Service 암호화를 활성화하려면 관리 계정에 기존 KMS 키를 사용해야 합니다.

1. (선택 사항) Amazon Athena를 사용하여 이벤트 데이터에 대해 쿼리하려면 **Lake 쿼리 페더레이션**에서 **활성화**를 선택합니다. 페더레이션을 통해 AWS Glue [데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)의 이벤트 데이터 스토어와 연결된 메타데이터를 확인하고 Athena에서 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고 읽고 처리하는 방법을 알 수 있습니다. 자세한 내용은 [이벤트 데이터 스토어 페더레이션](query-federation.md) 단원을 참조하십시오.

   Lake 쿼리 페더레이션을 활성화하려면 **활성화**를 선택하고 다음을 수행합니다.

   1. 새 역할을 생성할지 아니면 기존 IAM 역할을 사용할지 선택합니다. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html)은 이 역할을 사용하여 페더레이션 이벤트 데이터 스토어에 대한 권한을 관리합니다. CloudTrail 콘솔을 사용하여 새 역할을 생성하면 CloudTrail은 필요한 권한이 있는 역할을 자동으로 생성합니다. 기존 역할을 선택하는 경우 해당 역할에 대한 정책이 [필요한 최소 권한](query-federation.md#query-federation-permissions-role)을 제공하는지 확인합니다.

   1. 새 역할을 생성하는 경우 역할을 식별할 수 있는 이름을 입력합니다.

   1. 기존 역할을 사용하는 경우 사용하려는 역할을 선택합니다. 계정에 역할이 있어야 합니다.

1. (선택 사항) **리소스 정책 활성화**를 선택하여 이 이벤트 데이터 스토어에 리소스 기반 정책을 추가합니다. 리소스 기반 정책을 사용하면 이벤트 데이터 스토어에서 작업을 수행할 수 있는 위탁자를 제어할 수 있습니다. 예를 들어 다른 계정의 루트 사용자가 이 이벤트 데이터 스토어를 쿼리하고 쿼리 결과를 볼 수 있도록 하는 리소스 기반 정책을 추가할 수 있습니다. 예시 정책은 [이벤트 데이터 스토어의 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds) 섹션을 참조하세요.

   리소스 기반 정책에는 하나 이상의 문이 포함됩니다. 정책의 각 스테이트먼트는 이벤트 데이터 스토어에 대한 액세스가 허용되거나 거부된 [위탁자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)와 위탁자가 이벤트 데이터 스토어 리소스에서 수행할 수 있는 작업을 정의합니다.

   이벤트 데이터 스토어의 리소스 기반 정책에서 지원되는 작업은 다음과 같습니다.
   +  `cloudtrail:StartQuery` 
   +  `cloudtrail:CancelQuery` 
   +  `cloudtrail:ListQueries` 
   +  `cloudtrail:DescribeQuery` 
   +  `cloudtrail:GetQueryResults` 
   +  `cloudtrail:GenerateQuery` 
   +  `cloudtrail:GenerateQueryResultsSummary` 
   +  `cloudtrail:GetEventDataStore` 

   [조직 이벤트 데이터 스토어](cloudtrail-lake-organizations.md)의 경우 CloudTrail은 위임된 관리자 계정이 조직 이벤트 데이터 스토어에서 수행할 수 있는 작업을 나열하는 [기본 리소스 기반 정책](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)을 생성합니다. 이 정책의 권한은 AWS Organizations의 위임된 관리자 권한에서 파생됩니다. 이 정책은 조직의 이벤트 데이터 스토어 또는 조직이 변경되면(예: CloudTrail의 위임된 관리자 계정이 등록 또는 제거됨) 자동으로 업데이트됩니다.

1. (선택 사항) **Tags**(태그) 섹션에 최대 50개의 태그 키 쌍을 추가하여 이벤트 데이터 스토어에 대한 액세스를 식별, 정렬 및 제어할 수 있습니다. IAM 정책을 사용하여 태그를 기반으로 이벤트 데이터 스토어에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 [예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags) 단원을 참조하세요. 에서 태그를 사용하는 방법에 대한 자세한 내용은 [AWS 리소스 태그 지정](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *사용 설명서의 AWS 리소스 태그 지정*을 AWS참조하세요.

1. **다음**을 선택합니다.

1. **Choose events**(이벤트 선택) 페이지에서 **AWS events**( 이벤트)를 선택하고 **Configuration items**(구성 항목)를 선택합니다.

1. CloudTrail은 사용자가 생성한 리전에 이벤트 데이터 스토어 리소스를 저장하지만 기본적으로 데이터 스토어에서 수집한 구성 항목은 기록이 활성화된 계정의 모든 리전에서 가져온 것입니다. 필요에 따라 **Include only the current region in my event data store**(내 이벤트 데이터 스토어에 현재 리전만 포함)를 선택하여 현재 리전에서 캡처된 구성 항목만 포함할 수 있습니다. 이 옵션을 선택하지 않으면 이벤트 데이터 스토어에 기록이 활성화된 모든 리전의 구성 항목이 포함됩니다.

1. 이벤트 데이터 스토어가 AWS Organizations 조직의 모든 계정에서 구성 항목을 수집하도록 하려면 **내 조직의 모든 계정에 대해 활성화를** 선택합니다. 조직의 구성 항목을 수집하는 이벤트 데이터 스토어를 생성하려면 조직의 관리 계정이나 위임된 관리자 계정에 로그인해야 합니다.

1. **Next**(다음)를 선택하여 선택 사항을 검토합니다.

1. **검토 및 생성(Review and create)** 페이지에서 선택 사항을 검토합니다. **편집(Edit)**을 선택하여 단원을 변경합니다. 이벤트 데이터 스토어를 생성할 준비가 되었으면 **이벤트 데이터 스토어 생성(Create event data store)**을 선택합니다.

1. 새 이벤트 데이터 스토어는 **이벤트 데이터 스토어(Event data stores)** 페이지의 **이벤트 데이터 스토어(Event data stores)** 테이블에서 볼 수 있습니다.

   이 시점부터 이벤트 데이터 스토어는 구성 항목을 캡처합니다. 이벤트 데이터 스토어를 생성하기 전에 발생한 구성 항목은 이벤트 데이터 스토어에 존재하지 않습니다.

## 구성 항목 스키마
<a name="query-event-data-store-config-schema"></a>

다음 표에서는 구성 항목 레코드의 스키마 요소와 일치하는 필수 및 선택적 스키마 요소를 설명합니다. `eventData` 의 내용은 구성 항목에서 제공하며 다른 필드는 수집한 후 CloudTrail에서 제공합니다.

CloudTrail 이벤트 레코드 내용은 [관리, 데이터 및 네트워크 활동 이벤트에 대한 CloudTrail 레코드 콘텐츠](cloudtrail-event-reference-record-contents.md) 에 자세히 설명되어 있습니다.
+ [수집한 후 CloudTrail에서 제공하는 필드](#fields-cloudtrail-event)
+ [이벤트에서 제공하는 필드](#fields-config)<a name="fields-cloudtrail-event"></a>


**수집한 후 CloudTrail에서 제공하는 필드**  

| 필드 이름 | 입력 유형 | 요구 사항 | 설명 | 
| --- | --- | --- | --- | 
| eventVersion | 문자열 | 필수 |   AWS 이벤트 형식의 버전입니다.  | 
| eventCategory | 문자열 | 필수 |  이벤트 카테고리입니다. 구성 항목의 경우 유효한 값은 `ConfigurationItem` 입니다.  | 
| eventType | 문자열 | 필수 |  이벤트 유형. 구성 항목의 경우 유효한 값은 `AwsConfigurationItem` 입니다.  | 
| eventID | 문자열 | 필수 |  이벤트의 고유한 ID입니다.  | 
| eventTime |  문자열  | 필수 |  국제 표준시(UTC), `yyyy-MM-DDTHH:mm:ss` 형식의 이벤트 타임스탬프입니다.  | 
| awsRegion | 문자열 | 필수 |  이벤트를 할당 AWS 리전 할 입니다.  | 
| recipientAccountId | 문자열 | 필수 |  이 이벤트를 수신한 AWS 계정 ID를 나타냅니다.  | 
| addendum |  addendum  | 선택 사항 |  이벤트가 지연된 이유에 대한 정보를 표시합니다. 기존 이벤트에서 정보가 누락된 경우 addendum 블록에는 누락된 정보와 누락된 이유가 포함됩니다.  | <a name="fields-config"></a>


**`eventData`의 필드는 구성 항목에서 제공**  

| 필드 이름 | 입력 유형 | 요구 사항 | 설명 | 
| --- | --- | --- | --- | 
| eventData |  -  | 필수 | eventData의 필드는 구성 항목에서 제공합니다. | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html)  | 문자열 | 선택 사항 |  구성 항목 소스의 구성 항목 버전입니다.  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html)  | 문자열 | 선택 사항 |  구성 기록을 시작한 시간입니다.  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html)  | 문자열 | 선택 사항 |  구성 항목 상태입니다. 유효한 값은 `OK`, `ResourceDiscovered`, `ResourceNotRecorded`, ` ResourceDeleted` 및 `ResourceDeletedNotRecorded`입니다.  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html)  | 문자열 | 선택 사항 |  리소스와 연결된 12자리 AWS 계정 ID입니다.  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html)  | 문자열 | 선택 사항 |   AWS 리소스 유형입니다. 유효한 리소스 유형에 대한 자세한 내용은AWS Config API 참조**의 [ConfigurationItem](https://docs.aws.amazon.com/config/latest/APIReference/API_ConfigurationItem.html)을 참조하세요.  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html)  | 문자열 | 선택 사항 |  리소스의 ID입니다(예: sg-*xxxxxx*).  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html)  | 문자열 | 선택 사항 |  (사용 가능한 경우) 리소스의 사용자 지정 이름입니다.  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html)  | 문자열 | 선택 사항 |  리소스와 연결된 Amazon 리소스 이름(ARN)입니다.  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  문자열  | 선택 사항 |  리소스가 AWS 리전 상주하는 입니다.  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  문자열  | 선택 사항 |  리소스와 연결된 가용 영역입니다.  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  문자열  | 선택 사항 |  리소스가 생성된 시간의 타임스탬프입니다.  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  JSON  | 선택 사항 |  리소스 구성에 대한 설명입니다.  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  JSON  | 선택 사항 |  구성 파라미터에 대해 AWS Config 반환된 정보를 보완하기 위해 특정 리소스 유형에 대해가 반환하는 구성 속성입니다.  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  문자열  | 선택 사항 |  CloudTrail 이벤트 ID의 목록입니다.  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html)  | - | 선택 사항 |  관련 AWS 리소스 목록입니다.  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  문자열  | 선택 사항 |  관련 리소스와의 관계 유형입니다.  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  문자열  | 선택 사항 |  관련 리소스의 리소스 유형입니다.  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  문자열  | 선택 사항 |  관련 리소스의 ID입니다(예: sg-*xxxxxx*).  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  문자열  | 선택 사항 |  관련 리소스의 사용자 지정 이름입니다(사용 가능한 경우).  | 
|  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/query-event-data-store-config.html)  |  JSON  | 선택 사항 |  리소스와 연결된 키 값 태그의 매핑입니다.  | 

다음 예에서는 구성 항목 레코드의 스키마 요소와 일치하는 스키마 요소의 계층 구조를 보여 줍니다.

```
{
  "eventVersion": String,
  "eventCategory: String,
  "eventType": String,
  "eventID": String,
  "eventTime": String,
  "awsRegion": String,
  "recipientAccountId": String,
  "addendum": Addendum,
  "eventData": {
      "configurationItemVersion": String,
      "configurationItemCaptureTime": String,
      "configurationItemStatus": String,
      "configurationStateId": String,
      "accountId": String,
      "resourceType": String,
      "resourceId": String,
      "resourceName": String,
      "arn": String,
      "awsRegion": String, 
      "availabilityZone": String,
      "resourceCreationTime": String,
      "configuration": {
        JSON,
      },
      "supplementaryConfiguration": {
        JSON,
      },
      "relatedEvents": [
        String
      ],
      "relationships": [
        struct{
          "name" : String,
          "resourceType": String,
          "resourceId": String,
          "resourceName": String
        }
      ],
     "tags": {
       JSON
     }
    }
  }
}
```

# 콘솔을 AWS 사용하여 외부 이벤트에 대한 이벤트 데이터 스토어 생성
<a name="event-data-store-integration-events"></a>

**참고**  
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.

외부의 이벤트를 포함하는 이벤트 데이터 스토어를 생성한 AWS다음 CloudTrail Lake를 사용하여 애플리케이션에서 로깅된 데이터를 검색, 쿼리 및 분석할 수 있습니다.

CloudTrail Lake *통합을* 사용하여 온프레미스 또는 클라우드, 가상 머신 또는 컨테이너에서 호스팅되는 사내 또는 SaaS 애플리케이션과 같은 하이브리드 환경의 모든 소스 AWS에서 외부의 사용자 활동 데이터를 로깅하고 저장할 수 있습니다.

통합을 위한 이벤트 데이터 스토어를 생성할 때는 채널도 생성하고 채널에 리소스 정책을 연결합니다.

CloudTrail Lake 이벤트 데이터 스토어에는 요금이 발생합니다. 이벤트 데이터 스토어를 생성할 때 이벤트 데이터 스토어에 사용할 [요금 옵션](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option)을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. CloudTrail 요금 Lake 비용 관리에 대한 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md)를 참조하세요.

## 외부 이벤트에 대한 이벤트 데이터 스토어를 생성하려면 AWS
<a name="event-data-store-integration-events-procedure"></a>

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1.  탐색 창의 **Lake**에서 **Event data stores**(이벤트 데이터 스토어)를 선택합니다.

1. **이벤트 데이터 스토어 생성**을 선택합니다.

1. **이벤트 데이터 스토어 구성(Configure event data store)** 페이지의 **일반 세부 정보(General details)**에서 이벤트 데이터 스토어의 이름을 입력합니다. 이름은 필수 항목입니다.

1. 이벤트 데이터 스토어에 사용할 **요금 옵션**을 선택합니다. 요금 옵션에 따라 이벤트 모으기 및 저장 비용과 이벤트 데이터 스토어의 기본 및 최대 보존 기간이 결정됩니다. 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md) 섹션을 참조하세요.

   다음과 같은 옵션을 사용할 수 있습니다.
   + **1년 연장 가능 보존 요금** - 매월 25TB 미만의 이벤트 데이터를 모을 것으로 예상되고 최대 10년의 유연한 보존 기간을 원하는 경우 일반적으로 권장됩니다. 처음 366일(기본 보존 기간) 동안은 추가 요금 없이 모으기 요금에 스토리지가 포함됩니다. 366일 후에는 사용량에 따른 요금으로 연장 보존이 가능합니다. 이는 기본 옵션입니다.
     + **기본 보존 기간:** 366일
     + **최대 보존 기간:** 3,653일
   + **7년 보존 요금** - 매월 25TB 이상의 이벤트 데이터를 모을 것으로 예상되고 최대 7년의 보존 기간이 필요한 경우 권장됩니다. 추가 비용 없이 모으기 요금에 보존이 포함됩니다.
     + **기본 보존 기간:** 2,557일
     + **최대 보존 기간:** 2,557일

1. 이벤트 데이터 스토어의 보존 기간을 지정합니다. 보존 기간은 **1년 연장 가능 보존 요금** 옵션의 경우 7일\$13,653일(약 10년), **7년 보존 요금** 옵션의 경우 7일\$12,557일(약 7년)일 수 있습니다.

    CloudTrail Lake는 이벤트의 `eventTime`가 지정된 보존 기간 내에 있는지 확인하여 이벤트 보존 여부를 결정합니다. 예를 들어 보존 기간을 90일로 지정했을 때, CloudTrail은 `eventTime`이 90일이 넘으면 이벤트를 제거합니다.

1. (선택 사항)를 사용하여 암호화를 활성화하려면 **자체 사용을 AWS KMS key** AWS Key Management Service선택합니다. **새로 만들기**를 선택하여를 자동으로 AWS KMS key 생성하거나 **기존**를 선택하여 기존 KMS 키를 사용합니다. **Enter KMS alias**(KMS 별칭 입력)에 `alias/`*MyAliasName* 형식으로 별칭을 지정합니다. 자체 KMS 키를 사용하려면 이벤트 데이터 스토어를 암호화하고 복호화할 수 있도록 KMS 키 정책을 편집해야 합니다. 자세한 내용은 [CloudTrail에 대한 AWS KMS 키 정책 구성](create-kms-key-policy-for-cloudtrail.md) 단원을 참조하십시오. CloudTrail은 AWS KMS 다중 리전 키도 지원합니다. 다중 리전 키에 대한 자세한 내용은 *AWS Key Management Service 개발자 가이드*의 [다중 리전 키 사용](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) 단원을 참조하세요.

   자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다. KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.
**참고**  
조직 이벤트 데이터 스토어에 대한 AWS Key Management Service 암호화를 활성화하려면 관리 계정에 기존 KMS 키를 사용해야 합니다.

1. (선택 사항) Amazon Athena를 사용하여 이벤트 데이터에 대해 쿼리하려면 **Lake 쿼리 페더레이션**에서 **활성화**를 선택합니다. 페더레이션을 통해 AWS Glue [데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)의 이벤트 데이터 스토어와 연결된 메타데이터를 확인하고 Athena에서 이벤트 데이터에 대해 SQL 쿼리를 실행할 수 있습니다. AWS Glue 데이터 카탈로그에 저장된 테이블 메타데이터를 통해 Athena 쿼리 엔진은 쿼리하려는 데이터를 찾고 읽고 처리하는 방법을 알 수 있습니다. 자세한 내용은 [이벤트 데이터 스토어 페더레이션](query-federation.md) 단원을 참조하십시오.

   Lake 쿼리 페더레이션을 활성화하려면 **활성화**를 선택하고 다음을 수행합니다.

   1. 새 역할을 생성할지 아니면 기존 IAM 역할을 사용할지 선택합니다. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html)은 이 역할을 사용하여 페더레이션 이벤트 데이터 스토어에 대한 권한을 관리합니다. CloudTrail 콘솔을 사용하여 새 역할을 생성하면 CloudTrail은 필요한 권한이 있는 역할을 자동으로 생성합니다. 기존 역할을 선택하는 경우 해당 역할에 대한 정책이 [필요한 최소 권한](query-federation.md#query-federation-permissions-role)을 제공하는지 확인합니다.

   1. 새 역할을 생성하는 경우 역할을 식별할 수 있는 이름을 입력합니다.

   1. 기존 역할을 사용하는 경우 사용하려는 역할을 선택합니다. 계정에 역할이 있어야 합니다.

1. (선택 사항) **리소스 정책 활성화**를 선택하여 이 이벤트 데이터 스토어에 리소스 기반 정책을 추가합니다. 리소스 기반 정책을 사용하면 이벤트 데이터 스토어에서 작업을 수행할 수 있는 위탁자를 제어할 수 있습니다. 예를 들어 다른 계정의 루트 사용자가 이 이벤트 데이터 스토어를 쿼리하고 쿼리 결과를 볼 수 있도록 하는 리소스 기반 정책을 추가할 수 있습니다. 예시 정책은 [이벤트 데이터 스토어의 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds) 섹션을 참조하세요.

   리소스 기반 정책에는 하나 이상의 문이 포함됩니다. 정책의 각 스테이트먼트는 이벤트 데이터 스토어에 대한 액세스가 허용되거나 거부된 [위탁자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)와 위탁자가 이벤트 데이터 스토어 리소스에서 수행할 수 있는 작업을 정의합니다.

   이벤트 데이터 스토어의 리소스 기반 정책에서 지원되는 작업은 다음과 같습니다.
   +  `cloudtrail:StartQuery` 
   +  `cloudtrail:CancelQuery` 
   +  `cloudtrail:ListQueries` 
   +  `cloudtrail:DescribeQuery` 
   +  `cloudtrail:GetQueryResults` 
   +  `cloudtrail:GenerateQuery` 
   +  `cloudtrail:GenerateQueryResultsSummary` 
   +  `cloudtrail:GetEventDataStore` 

   [조직 이벤트 데이터 스토어](cloudtrail-lake-organizations.md)의 경우 CloudTrail은 위임된 관리자 계정이 조직 이벤트 데이터 스토어에서 수행할 수 있는 작업을 나열하는 [기본 리소스 기반 정책](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)을 생성합니다. 이 정책의 권한은 AWS Organizations의 위임된 관리자 권한에서 파생됩니다. 이 정책은 조직의 이벤트 데이터 스토어 또는 조직이 변경되면(예: CloudTrail의 위임된 관리자 계정이 등록 또는 제거됨) 자동으로 업데이트됩니다.

1. (선택 사항) **Tags**(태그) 섹션에 최대 50개의 태그 키 쌍을 추가하여 이벤트 데이터 스토어에 대한 액세스를 식별, 정렬 및 제어할 수 있습니다. IAM 정책을 사용하여 태그를 기반으로 이벤트 데이터 스토어에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 [예제: 태그를 기반으로 이벤트 데이터 스토어를 생성 또는 삭제하기 위한 액세스 거부](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags) 단원을 참조하세요. 에서 태그를 사용하는 방법에 대한 자세한 내용은 [AWS 리소스 태그 지정](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) *사용 설명서의 AWS 리소스 태그 지정*을 AWS참조하세요.

1.  **Next(다음)**를 선택하여 이벤트 데이터 스토어를 구성합니다.

1.  **Choose events**(이벤트 선택) 페이지에서 **Events from integrations**(통합 이벤트)를 선택합니다.

1.  **Events from integrations**(통합 이벤트)에서 이벤트 데이터 스토어로 이벤트를 전달할 소스를 선택합니다.

1. 통합 채널을 식별할 이름을 입력합니다. 이름은 3\$1128자까지 지정할 수 있습니다. 이름에는 문자, 숫자, 마침표, 밑줄 및 대시만 사용할 수 있습니다.

1. **Resource policy**(리소스 정책)에서 통합 채널의 리소스 정책을 구성합니다. 리소스 정책은 지정된 보안 주체가 리소스에 대해 수행할 수 있는 작업 및 관련 조건을 제어하는 JSON 정책 문서입니다. 리소스 정책에서 보안 주체로 정의된 계정은 `PutAuditEvents` API를 호출하여 채널에 이벤트를 전달할 수 있습니다. 리소스 소유자는 IAM 정책에서 `cloudtrail-data:PutAuditEvents` 작업을 허용하는 경우 리소스에 묵시적으로 액세스할 수 있습니다.

   정책에 필요한 정보는 통합 유형에 따라 결정됩니다. 방향 통합의 경우 CloudTrail은 파트너의 AWS 계정 IDs를 자동으로 추가하고 파트너가 제공한 고유한 외부 ID를 입력해야 합니다. 솔루션 통합의 경우 하나 이상의 AWS 계정 ID를 보안 주체로 지정해야 하며 선택적으로 외부 ID를 입력하여 혼동된 대리자를 방지할 수 있습니다.
**참고**  
채널에 대한 리소스 정책을 생성하지 않으면 채널 소유자만 채널에서 `PutAuditEvents` API를 호출할 수 있습니다.

   1. 직접 통합의 경우 파트너가 제공한 외부 ID를 입력합니다. 통합 파트너는 통합에서 혼동된 대리자를 방지하기 위해 계정 ID 또는 임의로 생성된 문자열과 같은 고유한 외부 ID를 제공합니다. 파트너는 고유한 외부 ID를 생성하고 제공해야 합니다.

       **How to find this?**(찾는 방법)를 선택하면 외부 ID를 찾는 방법을 설명하는 파트너 설명서를 볼 수 있습니다.  
![\[외부 ID에 대한 파트너 설명서\]](http://docs.aws.amazon.com/ko_kr/awscloudtrail/latest/userguide/images/integration-external-id.png)
**참고**  
리소스 정책에 외부 ID가 포함된 경우 `PutAuditEvents` API에 대한 모든 호출에 외부 ID가 포함되어야 합니다. 하지만 정책에서 외부 ID를 정의하지 않는 경우에도 파트너는 여전히 `PutAuditEvents` API를 호출하고 `externalId` 파라미터를 지정할 수 있습니다.

   1.  솔루션 통합의 경우 **계정 추가 AWS **를 선택하여 정책에 보안 주체로 추가할 각 AWS 계정 ID를 지정합니다.

1. **Next**(다음)를 선택하여 선택 사항을 검토합니다.

1. **검토 및 생성(Review and create)** 페이지에서 선택 사항을 검토합니다. **편집(Edit)**을 선택하여 단원을 변경합니다. 이벤트 데이터 스토어를 생성할 준비가 되었으면 **이벤트 데이터 스토어 생성(Create event data store)**을 선택합니다.

1. 새 이벤트 데이터 스토어는 **이벤트 데이터 스토어(Event data stores)** 페이지의 **이벤트 데이터 스토어(Event data stores)** 테이블에서 볼 수 있습니다.

1. 채널의 Amazon 리소스 이름(ARN)을 파트너 애플리케이션에 제공합니다. 파트너 애플리케이션에 채널 ARN을 제공하는 것에 관한 지침은 파트너 설명서 웹 사이트에서 확인할 수 있습니다. 자세한 내용을 보려면 **Integrations**(통합) 페이지의 **Available sources**(사용 가능한 소스) 탭에서 파트너에 대한 **Learn more**(자세히 알아보기) 링크를 선택하여 AWS Marketplace에서 파트너 페이지를 여세요.

이벤트 데이터 스토어는 사용자, 파트너 또는 파트너 애플리케이션이 채널에서 `PutAuditEvents` API를 호출할 때 통합 채널을 통해 파트너 이벤트를 CloudTrail로 수집하기 시작합니다.

# 콘솔을 사요하여 이벤트 데이터 저장소 업데이트
<a name="query-event-data-store-update"></a>

**참고**  
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.

이 섹션에서는 AWS Management Console을 사용하여 이벤트 데이터 스토어의 설정을 업데이트하는 방법을 설명합니다. 를 사용하여 이벤트 데이터 스토어를 업데이트하는 방법에 대한 자세한 내용은 섹션을 AWS CLI참조하세요[를 사용하여 이벤트 데이터 스토어 업데이트 AWS CLI](lake-cli-update-eds.md).

**이벤트 데이터 스토어 업데이트**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1. 탐색 창의 **Lake**에서 **이벤트 데이터 스토어(Event data stores)**를 선택합니다.

1. 업데이트할 이벤트 데이터 스토어를 선택합니다. 그러면 이벤트 데이터 스토어의 세부 정보 페이지가 열립니다.

1. **일반 세부 정보**에서 **편집**을 선택하여 다음 설정을 변경합니다.
   + **이벤트 데이터 스토어 이름** - 이벤트 데이터 스토어를 식별하는 이름을 변경합니다.
   + **[요금 옵션](cloudtrail-lake-concepts.md#eds-pricing-tier)** - **7년 보존 요금** 옵션을 사용하는 이벤트 데이터 스토어의 경우 **1년 연장 가능한보존 요금**을 대신 사용하도록 선택할 수 있습니다. 매월 25TB 미만의 이벤트 데이터를 모으는 이벤트 데이터 스토어에는 1년 연장 가능 보존 요금이 권장됩니다. 또한 최대 10년의 유연한 보존 기간을 원하는 경우 1년 연장 가능 보존 요금이 권장됩니다. 자세한 내용은 [AWS CloudTrail 요금](https://aws.amazon.com/cloudtrail/pricing/) 및 [CloudTrail Lake 비용 관리](cloudtrail-lake-manage-costs.md) 섹션을 참조하세요.
**참고**  
**1년 연장 가능 보존 요금**을 사용하는 이벤트 데이터 스토어의 요금 옵션은 변경할 수 없습니다. **7년 보존 요금**을 사용하려면 현재 이벤트 데이터 스토어에서 [모으기를 중지](query-eds-stop-ingestion.md)합니다. 그런 다음, **7년 보존 요금** 옵션으로 새 이벤트 데이터 스토어를 생성합니다.
   + **보존 기간** - 이벤트 데이터 스토어의 보존 기간을 변경합니다. 보존 기간에 따라 이벤트 데이터가 이벤트 데이터 스토어에 보관되는 기간이 결정됩니다. 보존 기간은 **1년 연장 가능 보존 요금** 옵션의 경우 7일\$13,653일(약 10년), **7년 보존 요금** 옵션의 경우 7일\$12,557일(약 7년)일 수 있습니다.
**참고**  
이벤트 데이터 스토어의 보존 기간을 줄이면, CloudTrail은 새 보존 기간보다 오래된 `eventTime`을 가진 모든 이벤트를 제거합니다. 예를 들어 이전 보존 기간이 365일이었던 기간을 100일로 줄이면 CloudTrail은 100일이 지난 `eventTime`을 가진 이벤트를 제거합니다.
   + **암호화** - 자체 KMS 키를 사용하여 이벤트 데이터 스토어를 암호화하려면 **자체 AWS KMS key사용**을 선택합니다. 기본적으로 이벤트 데이터 스토어의 모든 이벤트는 CloudTrail에 의해 암호화됩니다. 자체 KMS 키를 사용하면 암호화 및 복호화 AWS KMS 비용이 발생합니다.
**참고**  
KMS 키와 이벤트 데이터 스토어를 연결한 후에는 KMS 키를 제거하거나 변경할 수 없습니다.
   + 현재 AWS 리전에 로깅된 이벤트만 포함하려면 **내 이벤트 데이터 스토어에 현재 리전만 포함**을 선택합니다. 이 옵션을 선택하지 않으면 이벤트 데이터 스토어에 모든 리전의 이벤트가 포함됩니다.
   + 이벤트 데이터 스토어가 AWS Organizations 조직의 모든 계정에서 이벤트를 수집하도록 하려면 **내 조직의 모든 계정에 대해 활성화를** 선택합니다. 이 옵션은 조직의 관리 계정으로 로그인한 경우에만 사용할 수 있으며 이벤트 데이터 스토어의 **이벤트 유형**은 **CloudTrail 이벤트** 또는 **구성 항목**입니다.

   작업을 마쳤으면 **변경 내용 저장**을 선택합니다.

1. **Lake 쿼리 페더레이션**에서 **편집**을 선택하여 Lake 쿼리 페더레이션을 활성화하거나 비활성화합니다. [Lake 쿼리 페더레이션을 활성화](query-enable-federation.md)하면 AWS Glue [데이터 카탈로그](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro)에서 이벤트 데이터 스토어의 메타데이터를 보고 Amazon Athena를 사용하여 이벤트 데이터에 대한 SQL 쿼리를 실행할 수 있습니다. [Lake 쿼리 페더레이션을 비활성화](query-disable-federation.md)하면 AWS Glue AWS Lake Formation및 Amazon Athena와의 통합이 비활성화됩니다. Lake 쿼리 페더레이션을 비활성화한 후에는 더 이상 Athena에서 데이터를 쿼리할 수 없습니다. 페더레이션을 비활성화해도 CloudTrail Lake 데이터는 삭제되지 않으며 CloudTrail Lake에서 쿼리를 계속 실행할 수 있습니다.

   페더레이션을 활성화하려면 다음을 수행합니다.

   1. **활성화**를 선택합니다.

   1. 새 IAM 역할을 생성할지 아니면 기존 역할을 사용할지 선택합니다. 새 역할을 생성하면 CloudTrail은 필요한 권한이 있는 역할을 자동으로 생성합니다. 기존 역할을 사용하는 경우 역할의 정책이 [필요한 최소 권한](query-federation.md#query-federation-permissions-role)을 제공하는지 확인합니다.

   1.  새 IAM 역할을 생성하는 경우 역할 이름을 입력합니다.

   1.  기존 IAM 역할을 선택하는 경우 사용하려는 역할을 선택합니다. 계정에 역할이 있어야 합니다.

   작업을 마쳤으면 **Save changes(변경 사항 저장)**을 선택합니다.

1. **리소스 정책**에서 **편집**을 선택하여 이벤트 데이터 스토어에 대한 리소스 기반 정책을 추가하거나 수정합니다.

   리소스 기반 정책을 사용하면 이벤트 데이터 스토어에서 작업을 수행할 수 있는 위탁자를 제어할 수 있습니다. 예를 들어 다른 계정의 루트 사용자가 이 이벤트 데이터 스토어를 쿼리하고 쿼리 결과를 볼 수 있도록 하는 리소스 기반 정책을 추가할 수 있습니다. 예시 정책은 [이벤트 데이터 스토어의 리소스 기반 정책 예시](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds) 섹션을 참조하세요.

   리소스 기반 정책에는 하나 이상의 문이 포함됩니다. 정책의 각 스테이트먼트는 이벤트 데이터 스토어에 대한 액세스가 허용되거나 거부된 [위탁자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)와 위탁자가 이벤트 데이터 스토어 리소스에서 수행할 수 있는 작업을 정의합니다.

   이벤트 데이터 스토어의 리소스 기반 정책에서 지원되는 작업은 다음과 같습니다.
   +  `cloudtrail:StartQuery` 
   +  `cloudtrail:CancelQuery` 
   +  `cloudtrail:ListQueries` 
   +  `cloudtrail:DescribeQuery` 
   +  `cloudtrail:GetQueryResults` 
   +  `cloudtrail:GenerateQuery` 
   +  `cloudtrail:GenerateQueryResultsSummary` 
   +  `cloudtrail:GetEventDataStore` 

   [조직 이벤트 데이터 스토어](cloudtrail-lake-organizations.md)의 경우 CloudTrail은 위임된 관리자 계정이 조직 이벤트 데이터 스토어에서 수행할 수 있는 작업을 나열하는 [기본 리소스 기반 정책](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp)을 생성합니다. 이 정책의 권한은 AWS Organizations의 위임된 관리자 권한에서 파생됩니다. 이 정책은 조직의 이벤트 데이터 스토어 또는 조직이 변경되면(예: CloudTrail의 위임된 관리자 계정이 등록 또는 제거됨) 자동으로 업데이트됩니다.

1. 이벤트 데이터 스토어의 **이벤트 유형**과 관련된 추가 설정을 편집합니다.

   **CloudTrail 이벤트에 대한 설정**
   + 이벤트 데이터 스토어에서 로깅하는 이벤트를 변경하려면 **CloudTrail 이벤트**에서 **편집**을 선택합니다.
   + **관리 이벤트**에서 **편집**을 선택하여 관리 이벤트의 설정을 변경합니다. 자세한 내용은 [기존 이벤트 데이터 스토어에 대한 관리 이벤트 설정 업데이트](logging-management-events-with-cloudtrail.md#logging-management-events-with-the-cloudtrail-console-eds) 단원을 참조하십시오.
   + **데이터 이벤트**에서 **편집**을 선택하여 데이터 이벤트의 설정을 변경합니다. 로깅할 리소스 유형을 선택하고 사용할 로그 선택기 템플릿을 선택할 수 있습니다. 자세한 내용은 [콘솔을 사용하여 데이터 이벤트를 로깅하도록 기존 이벤트 데이터 스토어 업데이트](logging-data-events-with-cloudtrail.md#logging-data-events-with-the-cloudtrail-console-eds) 단원을 참조하십시오.
   + **네트워크 활동 이벤트**에서 **편집**을 선택하여 네트워크 활동 이벤트에 대한 설정을 변경합니다. 로깅할 네트워크 활동 이벤트 유형을 선택하고 사용할 로그 선택기 템플릿을 선택할 수 있습니다. 자세한 내용은 [네트워크 활동 이벤트를 로깅하도록 기존 이벤트 데이터 저장소 업데이트](logging-network-events-with-cloudtrail.md#log-network-events-lake-console) 단원을 참조하십시오.
   + **이벤트 강화에서 이벤트 크기를 확장**하고 **편집**을 선택하여 리소스 태그 및 IAM 전역 조건 키를 추가하거나 제거하고 이벤트 크기를 확장합니다.

     **이벤트 강화**에서 최대 50개의 리소스 태그 키와 50개의 IAM 전역 조건 키를 추가하여 이벤트에 대한 추가 메타데이터를 제공합니다. 이렇게 하면 관련 이벤트를 분류하고 그룹화하는 데 도움이 됩니다.

     리소스 태그 키를 추가하면 API 직접 호출에 사용된 리소스와 연결된 선택한 태그 키가 CloudTrail에 포함됩니다. 삭제된 리소스와 관련된 API 이벤트에는 리소스 태그가 없습니다.

     IAM 글로벌 조건 키를 추가하면 권한 부여 프로세스 중에 평가된 선택 대상 조건 키에 대한 정보(위탁자, 세션, 네트워크 및 요청 자체에 대한 추가 세부 정보 등)가 CloudTrail에 포함됩니다.

     리소스 태그 키와 IAM 글로벌 조건 키에 대한 정보가 이벤트의 `eventContext` 필드에 표시됩니다. 자세한 내용은 [리소스 태그 키와 IAM 글로벌 조건 키를 추가하여 CloudTrail 이벤트 보강](cloudtrail-context-events.md) 단원을 참조하십시오.
**참고**  
이벤트에 이벤트 리전에 속하지 않는 리소스가 포함된 경우 태그 검색이 이벤트 리전으로 제한되므로 CloudTrail은이 리소스에 대한 태그를 채우지 않습니다.

     **이벤트 크기 확장**을 선택하여 이벤트 페이로드를 256KB에서 최대 1MB까지 확장합니다. 이 옵션은 리소스 태그 키 또는 IAM 전역 조건 키를 추가하여 추가된 모든 키가 이벤트에 포함되도록 할 때 자동으로 활성화됩니다.

     이벤트 크기를 확장하면 이벤트 페이로드가 1MB 미만인 경우 다음 필드의 모든 내용을 볼 수 있으므로 이벤트를 분석하고 문제를 해결하는 데 도움이 됩니다.
     + `annotation`
     + `requestID`
     + `additionalEventData`
     + `serviceEventDetails`
     + `userAgent`
     + `errorCode`
     + `responseElements`
     + `requestParameters`
     + `errorMessage`

     이러한 필드에 대한 자세한 내용은 [CloudTrail record contents](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html)를 참조하세요.

     작업을 마쳤으면 **변경 내용 저장**을 선택합니다.

   **통합의 이벤트에 대한 설정**

   **통합**에서 통합을 선택합니다. **편집**을 선택하여 다음 설정을 변경합니다.
   + **통합 세부 정보**에서 통합의 채널을 식별하는 이름을 변경합니다.
   + **이벤트 전송 위치**에서 이벤트의 대상을 선택합니다.
   + **Resource policy**(리소스 정책)에서 통합 채널의 리소스 정책을 구성합니다.

   작업을 마쳤으면 **변경 내용 저장**을 선택합니다.

   이러한 설정에 대한 자세한 내용은 [콘솔을 사용하여 CloudTrail 파트너와의 통합 생성](query-event-data-store-integration-partner.md) 섹션을 참조하세요.

1. 태그를 추가, 변경 또는 제거하려면 **태그**에서 **편집**을 선택합니다. 이벤트 데이터 스토어에 대한 액세스를 식별, 정렬 및 제어하는 데 도움이 되도록 최대 50개의 태그 키 페어를 추가할 수 있습니다. 작업을 마쳤으면 **변경 내용 저장**을 선택합니다.

# 콘솔을 사용하여 이벤트 수집 중지 및 시작
<a name="query-eds-stop-ingestion"></a>

**참고**  
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.

기본적으로 이벤트 데이터 스토어는 이벤트를 수집하도록 구성됩니다. 콘솔 AWS CLI또는 APIs.

**수집 시작** 및 **수집 중지** 옵션은 CloudTrail 이벤트(관리 이벤트, 데이터 이벤트 및 네트워크 활동 이벤트) 또는 AWS Config 구성 항목이 포함된 이벤트 데이터 스토어에서만 사용할 수 있습니다.

이벤트 데이터 스토어에 대한 수집을 중지하면, 이벤트 데이터 스토어의 상태는 `STOPPED_INGESTION`으로 변경됩니다. 여전히 이벤트 데이터 스토어에 이미 있는 이벤트에 대해 쿼리를 실행할 수 있습니다. 또한 이벤트 데이터 저장소에 추적 이벤트를 복사할 수도 있습니다(CloudTrail 이벤트만 포함된 경우).

**이벤트 데이터 스토어의 이벤트 수집 중단**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1. 탐색 창의 **Lake**에서 **이벤트 데이터 스토어(Event data stores)**를 선택합니다.

1. 이벤트 데이터 스토어를 선택합니다.

1. **Actions(작업)**에서 **수집 중지(Stop ingestion)**를 선택합니다.

1. 확인 메시지가 표시되면 **수집 중지(Stop ingestion)**를 선택합니다. 이벤트 데이터 스토어는 라이브 이벤트 수집을 중단합니다.

1. 수집을 재개하려면 **수집 시작(Start ingestion)**을 선택합니다.

**이벤트 모으기 다시 시작**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1. 탐색 창의 **Lake**에서 **이벤트 데이터 스토어(Event data stores)**를 선택합니다.

1. 이벤트 데이터 스토어를 선택합니다.

1. **작업**에서 **모으기 시작**을 선택합니다.

# 콘솔을 사용한 변경 종료 보호
<a name="query-eds-termination-protection"></a>

**참고**  
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.

기본적으로 AWS CloudTrail Lake의 이벤트 데이터 스토어는 종료 방지 기능이 활성화된 상태로 구성됩니다. 종료 방지 기능은 이벤트 데이터 스토어가 실수로 삭제되는 것을 방지합니다. 이벤트 데이터 스토어를 삭제하려면 종료 방지 기능을 비활성화해야 합니다. AWS Management Console AWS CLI또는 API 작업을 사용하여 종료 방지를 비활성화할 수 있습니다.

**종료 방지 기능 끄기**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1. 탐색 창의 **Lake**에서 **이벤트 데이터 스토어(Event data stores)**를 선택합니다.

1. 이벤트 데이터 스토어를 선택합니다.

1. **작업**에서 **종료 방지 기능 변경**을 선택합니다.

1. **비활성화됨**을 선택합니다.

1. **저장**을 선택합니다. 이제 [이벤트 데이터 저장소를 삭제](query-event-data-store-delete.md)할 수 있습니다.

**종료 방지 기능 켜기**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1. 탐색 창의 **Lake**에서 **이벤트 데이터 스토어(Event data stores)**를 선택합니다.

1. 이벤트 데이터 스토어를 선택합니다.

1. **작업**에서 **종료 방지 기능 변경**을 선택합니다.

1. 종료 방지 기능을 켜려면 **활성화됨**을 선택합니다.

1. **저장**을 선택합니다.

# 콘솔을 사용하여 이벤트 데이터 저장소 삭제
<a name="query-event-data-store-delete"></a>

**참고**  
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.

이 섹션에서는 CloudTrail 콘솔을 사용하여 이벤트 데이터 스토어를 삭제하는 방법을 설명합니다. 를 사용하여 이벤트 데이터 스토어를 삭제하는 방법에 대한 자세한 내용은 섹션을 AWS CLI참조하세요[를 사용하여 이벤트 데이터 스토어 삭제 AWS CLI](lake-cli-delete-eds.md).

**참고**  
[종료 방지](query-eds-termination-protection.md) 또는 [Lake 쿼리 페더레이션](query-enable-federation.md)이 활성화된 경우 이벤트 데이터 스토어를 삭제할 수 없습니다. 기본적으로 CloudTrail은 이벤트 데이터 스토어가 실수로 삭제되지 않도록 종료 방지 기능을 활성화합니다.  
이벤트 유형이 **통합에서 가져올 이벤트**인 이벤트 데이터 스토어를 삭제하려면 먼저 통합의 채널을 삭제해야 합니다. **aws cloudtrail delete-channel** 명령을 사용하거나 통합의 세부 정보 페이지에서 채널을 삭제할 수 있습니다. 자세한 내용은 [채널을 삭제하여 와의 통합 삭제 AWS CLI](lake-cli-delete-integration.md) 섹션을 참조하세요.

**이벤트 데이터 스토어 삭제**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1. 탐색 창의 **Lake**에서 **이벤트 데이터 스토어(Event data stores)**를 선택합니다.

1. 이벤트 데이터 스토어를 선택합니다.

1. **작업**에서 **삭제**를 선택합니다.

1. 이벤트 데이터 스토어의 이름을 입력하여 이벤트 데이터 스토어의 삭제를 확인합니다.

1. **삭제**를 선택합니다.

이벤트 데이터 스토어를 삭제하면 이벤트 데이터 스토어의 상태가 `PENDING_DELETION`으로 변경되고 7일 동안 해당 상태가 유지됩니다. 7일의 대기 기간 중에 이벤트 데이터 스토어를 [복원](query-eds-restore.md)할 수 있습니다. `PENDING_DELETION` 상태에 놓인 경우 쿼리에 이벤트 데이터 스토어를 사용할 수 없으며 복원 작업을 제외한 이벤트 데이터 스토어에서 다른 작업을 수행할 수 없습니다. 삭제를 보류 중인 이벤트 데이터 스토어는 이벤트를 수집하지 않으므로 비용이 발생하지 않습니다. 삭제 보류 중인 이벤트 데이터 저장소는 하나의 AWS 리전에 존재할 수 있는 이벤트 데이터 저장소의 할당량에 포함됩니다.

# 콘솔을 사용하여 이벤트 데이터 저장소 복원
<a name="query-eds-restore"></a>

**참고**  
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.

 AWS CloudTrail Lake에서 이벤트 데이터 스토어를 삭제하면 상태가 로 변경`PENDING_DELETION`되고 7일 동안 해당 상태로 유지됩니다. 이 시간 동안 AWS Management Console AWS CLI또는 [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RestoreEventDataStore.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RestoreEventDataStore.html) API 작업을 사용하여 이벤트 데이터 스토어를 복원할 수 있습니다.

이 섹션에서는 콘솔을 사용하여 이벤트 데이터 스토어를 복원하는 방법을 설명합니다. 를 사용하여 이벤트 데이터 스토어를 복원하는 방법에 대한 자세한 내용은 섹션을 AWS CLI참조하세요[를 사용하여 이벤트 데이터 스토어 복원 AWS CLI](lake-cli-manage-eds.md#lake-cli-restore-eds).

**이벤트 데이터 스토어 복원**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1. 탐색 창의 **Lake**에서 **이벤트 데이터 스토어(Event data stores)**를 선택합니다.

1. 이벤트 데이터 스토어를 선택합니다.

1. **작업**에서 **복원**을 선택합니다.

# CloudTrail Lake 이벤트 데이터 스토어에서 CloudWatch로 데이터 내보내기
<a name="cloudtrail-lake-export-cloudwatch"></a>

**참고**  
AWS CloudTrail Lake는 2026년 5월 31일부터 신규 고객에게 더 이상 공개되지 않습니다. CloudTrail Lake를 사용하려면 해당 날짜 이전에 가입하세요. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [CloudTrail Lake 가용성 변경](cloudtrail-lake-service-availability-change.md) 단원을 참조하십시오.

CloudWatch에서 CloudTrail Lake 데이터를 사용할 수 있게 하면 다음과 같은 몇 가지 이점이 있습니다. CloudWatch 
+ **중앙 집중식 로그 관리** - CloudTrail 이벤트를 CloudWatch의 애플리케이션 로그, 인프라 로그 및 기타 데이터 소스와 결합합니다.
+ **간소화된 통합** - CloudWatch는 몇 단계만으로 가져오기 프로세스를 처리합니다. 이벤트 데이터 스토어와 데이터 범위를 지정합니다.
+ **기록 데이터 액세스** - 기록 CloudTrail Lake 데이터를 가져와 현재 운영 데이터와 함께 과거 이벤트를 분석합니다.
+ **추가 CloudTrail 비용 없음** - 추가 CloudTrail 비용 없이 CloudTrail Lake 데이터를 간단하게 가져올 수 있습니다. 그러나 Infrequent Access 사용자 지정 로그 요금이 적용되면 CloudWatch 비용이 발생합니다.

이 섹션에서는 CloudTrail 콘솔을 사용하여 이벤트 데이터 스토어에서 데이터를 내보내는 방법을 설명합니다. SDK를 통해이 작업을 수행하는 방법에 대한 자세한 내용은 [CloudWatch 설명서를](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/) AWS CLI참조하세요.

**이벤트 데이터 스토어에서 데이터를 내보내려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/) CloudTrail 콘솔을 엽니다.

1. 탐색 창의 **Lake**에서 **이벤트 데이터 스토어(Event data stores)**를 선택합니다.

1. 이벤트 데이터 스토어를 선택합니다.

1. **작업**에서 ** CloudWatch로 내보내기**를 선택합니다.

1. EDS에 대한 데이터를 내보낼 시간 범위를 선택합니다.

1. 지침에 따라 CloudTrail이 내보내기 위해 데이터에 액세스하는 데 사용할 IAM 역할을 생성하거나 제공합니다.

1. **내보내기**를 선택합니다.

CloudTrail Lake 데이터를 CloudWatch로 내보낼 수 있도록 할 때는 다음 사항을 고려하세요.
+ **요금** - CloudTrail Lake 데이터의 간소화된 내보내기는 추가 CloudTrail 비용 없이 사용할 수 있지만 사용자 지정 로그 요금을 기준으로 CloudWatch 요금이 발생합니다.
+ **데이터 보존** - CloudTrail Lake 이벤트 데이터 스토어 보존 기간이 내보내려는 기록 데이터를 포함하는지 확인합니다.
+ **리전 가용성** - CloudWatch 설명서에서이 기능에 지원되는 AWS 리전 확인
+ **이벤트 데이터 스토어 액세스** - 데이터를 내보낼 이벤트 데이터 스토어에 액세스할 수 있어야 합니다.