내용으로 건너뛰기
AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관
AWS re:Postre:Post
re:Post 소개

OpenSearch Service에서 감사 로그를 활성화하려면 어떻게 해야 합니까?

3분 분량
0

Amazon OpenSearch Service에서 감사 로그를 활성화하려고 합니다.

간략한 설명

먼저 감사 로그를 활성화하려면 Amazon CloudWatch Logs에 감사 로그를 게시하도록 도메인을 구성합니다. 그런 다음, OpenSearch 대시보드에서 감사 로그를 활성화하고 구성합니다.

자세한 내용은 Amazon OpenSearch Service의 감사 로그 모니터링을 참조하세요.

해결 방법

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하면 AWS CLI의 오류 해결을 참조하십시오. 또한 최신 AWS CLI 버전을 사용하고 있는지 확인하십시오.

감사 로그를 활성화하기 전에 클러스터에서 세분화된 액세스 제어를 활성화해야 합니다.

OpenSearch Service에서 감사 로그 활성화

OpenSearch 서비스에서 감사 로그를 활성화하고 액세스 정책을 만들려면 다음 단계를 완료하십시오.

  1. OpenSearch Service 콘솔을 엽니다.

  2. 탐색 창에서 도메인을 선택한 다음, 해당 도메인을 선택합니다.

  3. 로그 탭을 선택하고 감사 로그를 선택한 다음, 활성화를 선택합니다.

  4. 오류 로그 설정을 선택한 다음, 새 정책 생성 또는 기존 정책 선택을 선택합니다.
    새 정책을 만들려면 새 정책 이름에 정책 이름을 입력한 후 정책을 다음 예와 유사한 액세스 정책으로 업데이트합니다.

    {  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "es.amazonaws.com"
      },
      "Action": [
        "logs:PutLogEvents",
        "logs:CreateLogStream"
      ],
      "Resource": "cw_log_group_arn"
    }
  ]
}

  5. 활성화를 선택합니다.

OpenSearch 대시보드에서 감사 로그 활성화

다음 단계를 완료하십시오.

  1. OpenSearch 대시보드를 엽니다.
  2. 보안을 선택합니다.
    참고: 감사 로그를 활성화하려면 사용자 역할이 security_manager 역할에 매핑되어 있어야 합니다. 그렇지 않으면 OpenSearch 대시보드에 보안 탭이 표시되지 않습니다.
  3. 감사 로그를 선택합니다.
  4. 감사 로깅 활성화를 선택합니다.

예제 구성은 감사 로그 예제를 참조하십시오.

감사 로그 오류 문제 해결

고급 보안 옵션을 구성하지 않았음

감사 로그를 활성화하고 도메인에서 세분화된 액세스 제어가 활성화되지 않은 경우 다음 오류가 발생합니다.

"UpdateDomainConfig: {"message":"audit log publishing cannot be enabled as you do not have advanced security options configured."}"

이 오류를 해결하려면 세분화된 액세스 제어를 활성화하십시오.

리소스 제한 초과

AWS 리전당 CloudWatch Logs 리소스 정책의 최대 개수에 도달하면 다음과 같은 오류가 발생합니다.

"PutResourcePolicy: {"__type":"LimitExceededException","message":"Resource limit exceeded."}"

리전당, 계정당 최대 10개의 CloudWatch Logs 리소스 정책을 설정할 수 있습니다. 이 할당량은 변경할 수 없습니다. 자세한 내용은 CloudWatch Logs 할당량을 참조하세요.

여러 도메인에 대한 로그를 활성화하려면 다중 로그 그룹이 포함된 정책을 재사용할 수 있습니다.

계정에서 리전별로 리소스 정책을 확인하려면 describe-resource-policies AWS CLI 명령을 실행합니다.

aws logs describe-resource-policies --region region-name

참고: region-name을 해당 리전으로 바꾸십시오.

여러 로그 그룹을 포함하도록 리소스 정책을 업데이트하려면 와일드카드 문자 *를 추가하십시오. 또한 모든 로그 그룹에 대해 서로 다른 리소스 정책의 여러 명령문을 구성하고 이전 정책을 삭제할 수 있습니다.

예를 들어, 로그 그룹 이름이 **/aws/OpenSearchService/domains/**로 시작하는 경우 /aws/OpenSearchService/domains/*에 적용되는 리소스 정책을 만들 수 있습니다.

다음 예제 리소스 정책은 /aws/OpenSearchService/domains/*로 시작하는 모든 로그 그룹에 대해 단일 리소스 정책을 만듭니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",

      "Principal": {

        "Service": "es.amazonaws.com"
      },
      "Action": [

        "logs:PutLogEvents",

        "logs:CreateLogStream"
      ],
      "Resource": "arn:aws:logs:REGION:AccountID:log-group:/aws/OpenSearchService/domains/*:*"
    }
  ]
}

참고: Region을 해당 리전으로 바꾸십시오. AccountID를 계정 ID로 바꾸십시오.

통합 정책을 적용하려면 cloudshell에서 다음 명령을 실행합니다.

aws logs put-resource-policy \
    --policy-name yourPolicyName \
    --policy-document file://policy.json

참고: yourPolicyName을 고유한 정책 이름으로 바꾸십시오.

이제 감사 로그를 활성화할 때 이 업데이트된 정책을 선택할 수 있습니다.

불필요하거나 중복된 정책을 제거하려면 delete-resource-policy 명령을 실행합니다.

aws logs delete-resource-policy --policy-name PolicyName

참고: PolicyName을 삭제하려는 정책의 이름으로 바꾸십시오.

CloudWatch Logs 내 로그 그룹의 액세스 정책이 충분한 권한을 부여하지 않음

감사 로그 게시를 활성화하려고 하면 다음 오류가 발생할 수 있습니다.

"The Resource Access Policy specified for the CloudWatch Logs log group does not grant sufficient permissions for Amazon OpenSearch Service to create a log stream. Please check the Resource Access Policy."

이 오류를 해결하려면 정책의 리소스 요소에 올바른 로그 그룹 ARN이 포함되어 있는지 확인하세요.

관련 정보

OpenSearch Service 클러스터의 세분화된 액세스 제어 문제를 해결하려면 어떻게 해야 하나요?

Amazon OpenSearch Service 문제 해결

주제
Analytics
태그
Amazon OpenSearch Service
언어
한국어
AWS 공식업데이트됨 8달 전
댓글 없음

관련 콘텐츠