AWS Cloud Watch
-
CloudWatch는 애플리케이션을 모니터링하고 시스템 전체 성능 변경에 대응하며 리소스 사용률 최적화하는 인사이트를 제공합니다.
CloudWatch를 사용하여 환경에서 이상 동작을 감지, 경보 설정, 로그와 지표 시각화하며, 자동화된 작업을 수행하고, 문제를 해결하며, 인사이트를 확보하여 애플리케이션을 원활하게 실행할 수 있습니다.
-
KMS의 고객 관리형 키 에서 KMS 키 생성을 선택합니다
-
위와 같이 설정을 해줍니다.
-
고급 옵션에서 KMS와 단일 리전 키를 선택합니다.
-
별칭을 정합니다.
-
Key에 대한 권한을 설정합니다.
-
위와 같이 설정후 다음을 눌러줍니다.
- Key 사용 권한 설정을 부여합니다
아래 스크립트는 역할을 설정할 때 사용되어지는 스크립트입니다.
Key 정책 생성
Script
{
"Version": "2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::Your_account_ID:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.region.amazonaws.com"
},
"Action": [
"kms:Encrypt*",
"kms:Decrypt*",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:region:account-id:*"
}
}
}
]
}(Image)
- 정책 1. “arn:aws:iam::556683426101(계정 ID):root”
- 정책 2. “logs.ap-northeast-2(리전).amazonaws.com”
- 정책 3. “arn:aws:logs:ap-northeast-2(리전):556683426101(계정 ID):*”
External vpc log groups
- CloudWatch에서 로그 그룹 생성을 선택합니다.
- 로그 그룹 이름을 설정하고 계속 로그를 남기기위하여 만기없음을 선택합니다.
Optional부분에서는 위의 설명과 같이 해줍니다.
- KMS의 ARN을 KMS key ARN – optinal에 입력해서 로그그룹 암호화
※보존 기간은 추후에 internal vpc log group 생성 후 일괄 설정
- VPC에서 해당하는 VPC를 누르고 External-VPC 플로우 로그 생성을 눌러줍니다.
- 위에 생성한 external-loggroups CloudWatch로 전송을 하고 만든 로그그룹과 연결시켜줍니다
- IAM에서 생성한 역할을 설정해 줍니다.
CloudWatch 로그 그룹에서 쌓인 로그 확인
- CloudWatch에 들어가서 해당 로그그룹을 눌러줍니다.
- 최근에 생성된 로그 스트림을 선택합니다.
- 로그가 생성된 것을 볼 수 있습니다.
Internal vpc log groups생성
- 위 External loggroup과 같이 설정
VPC에서 Internal-VPC 플로우 로그 생성
External, internal loggroups 만료기간 설정
-
보존기간을 법의 기준에 맞춰 12개월로 설정합니다.
-
Internal 부분은 External과 거의 동일합니다.
history and study