CloudWatch는 애플리케이션을 모니터링하고 시스템 전체 성능 변경에 대응하며 리소스 사용률 최적화하는 인사이트를 제공합니다.
CloudWatch를 사용하여 환경에서 이상 동작을 감지, 경보 설정, 로그와 지표 시각화하며, 자동화된 작업을 수행하고, 문제를 해결하며, 인사이트를 확보하여 애플리케이션을 원활하게 실행할 수 있습니다.
KMS의 고객 관리형 키 에서 KMS 키 생성을 선택합니다
위와 같이 설정을 해줍니다.
고급 옵션에서 KMS와 단일 리전 키를 선택합니다.
별칭을 정합니다.
Key에 대한 권한을 설정합니다.
위와 같이 설정후 다음을 눌러줍니다.
아래 스크립트는 역할을 설정할 때 사용되어지는 스크립트입니다.
Key 정책 생성
Script
{
"Version": "2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::Your_account_ID:root"
},
"Action": "kms:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Principal": {
"Service": "logs.region.amazonaws.com"
},
"Action": [
"kms:Encrypt*",
"kms:Decrypt*",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*",
"Condition": {
"ArnLike": {
"kms:EncryptionContext:aws:logs:arn": "arn:aws:logs:region:account-id:*"
}
}
}
]
}
(Image)
External vpc log groups
CloudWatch 로그 그룹에서 쌓인 로그 확인
Internal vpc log groups생성
VPC에서 Internal-VPC 플로우 로그 생성
External, internal loggroups 만료기간 설정
보존기간을 법의 기준에 맞춰 12개월로 설정합니다.
Internal 부분은 External과 거의 동일합니다.