AWS CloudTrail

권한이 바뀌었거나 리소스가 삭제됐는데 누가 언제 호출했는지 남지 않으면 사고 조사 자체가 막힙니다. 상태 모니터링과 별개로 무슨 행동이 있었는지 기록하지 않으면 규정 준수도 설명할 수 없습니다.

초기 운영에서는 설정 변경이나 권한 수정이 일어나도 누가 언제 했는지 남지 않는 경우가 많았습니다. 클라우드에서 변경 속도가 빨라지자 감사 가능성을 확보하는 CloudTrail 같은 서비스가 필수가 됐습니다.

콘솔, CLI, SDK 어느 경로로 AWS API를 호출하든, 요청은 컨트롤 플레인을 통과합니다. CloudTrail은 바로 이 지점에서 모든 API 호출을 가로채 로그 이벤트로 만듭니다. 누가(호출자 identity), 언제(타임스탬프), 어디서(source IP), 무엇을(API 이름과 request parameter), 어떤 결과로(response element) 실행했는지가 하나의 이벤트에 담깁니다. 생성된 이벤트는 S3 버킷에 장기 보관되거나 CloudWatch Logs로 실시간 전달됩니다. 이 흐름 덕분에 리소스가 변경된 뒤라도 '누가 어떤 API를 통해 바꿨는지'를 시간순으로 재구성할 수 있습니다.

CloudTrail과 CloudWatch는 둘 다 운영 정보를 다루지만 초점이 다릅니다. CloudTrail은 누가 어떤 API를 호출했는지 남기는 감사 기록이고, CloudWatch는 현재 상태와 성능 지표를 보는 관측성입니다. 변경 행위 추적과 감사가 문제면 CloudTrail을 보고, 지연 시간·오류율·리소스 상태 반응이 문제면 CloudWatch를 보면 됩니다.

보안 조사, 변경 추적, 규정 준수, 이상 행동 분석에 적합합니다. 실시간 성능 지표 모니터링이나 임계값 알람에는 맞지 않습니다.