아마존 OpenSearch Service에 대한 감사 로그를 활성화하려고 합니다.
간략한 설명
감사 로그 활성화는 2단계 프로세스입니다. 먼저 Amazon CloudWatch 로그에 감사 로그를 게시하도록 도메인을 구성합니다. 그런 다음 OpenSearch 대시보드에서 감사 로그를 활성화하고 구성합니다.
자세한 내용은 Amazon OpenSearch Service의 감사 로그 모니터링을 참조하세요.
해결 방법
**참고:**AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하는 경우 최신 AWS CLI 버전을 사용하고 있는지 확인하세요.
감사 로그 활성화 및 액세스 정책 생성
1. OpenSearch Service 콘솔을 엽니다.
2.탐색 창에서 도메인을 선택한 다음 도메인 추가를 선택합니다.
3.로그 탭을 선택하고 감사 로그를 선택한 다음 활성화를 선택합니다.
4.CloudWatch 로그 그룹을 생성하거나 기존 그룹을 선택합니다.
5.다음과 비슷한 액세스 정책을 생성합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "es.amazonaws.com"
},
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "cw_log_group_arn"
}
]
}
6.활성화를 선택합니다.
OpenSearch 대시보드에서 감사 로그 활성화
1. OpenSearch 대시보드를 연 다음 탐색 창에서 보안을 선택합니다.
2. 감사 로그를 선택합니다.
3. 감사 로깅 활성화를 선택합니다.
예제 구성은 감사 로그 예제를 참조하세요.
감사 로그 오류 문제 해결
고급 보안 옵션을 구성하지 않았습니다.
감사 로그를 활성화하고 도메인에서 세분화된 액세스 제어가 활성화되지 않은 경우 다음 오류가 발생합니다.
"UpdateDomainConfig: {"message":"audit log publishing cannot be enabled as you do not have advanced security options configured."}"
이 오류를 해결하려면 세분화된 액세스 제어를 활성화하세요.
리소스 제한 초과
AWS 리전당 CloudWatch Logs 리소스 정책의 최대 수에 도달하면 다음 오류가 발생합니다.
"PutResourcePolicy: {"__type":"LimitExceededException","message":"Resource limit exceeded."}"
리전당, 계정당 최대 10개의 CloudWatch Logs 리소스 정책을 설정할 수 있습니다. 이 할당량은 변경할 수 없습니다. 자세한 내용은 CloudWatch Logs 할당량을 참조하세요.
여러 도메인에 대한 로그를 활성화하려면 다중 로그 그룹이 포함된 정책을 재사용할 수 있습니다.
다음 AWS CLI 명령을 실행하여 계정에서 리전별 리소스 정책을 확인하세요.
aws logs describe-resource-policies --region <region-name>
참고: REGION_NAME을 사용자의 AWS 리전으로 바꿉니다.
여러 로그 그룹을 포함하도록 리소스 정책을 업데이트하려면 와일드카드 문자 "*"를 추가하세요. 또한 모든 로그 그룹에 대해 서로 다른 리소스 정책의 여러 명령문을 구성하고 이전 정책을 삭제할 수 있습니다. 예를 들어, 로그 그룹 이름이 **/aws/OpenSearchService/domains/**로 시작하는 경우, /aws/OpenSearchService/domains/*에 적용되는 리소스 정책을 만들 수 있습니다.
다음 예제 리소스 정책을 사용하면 /AWS/OpenSearchService/Domains/*로 시작하는 모든 로그 그룹에 대해 단일 리소스 정책을 사용할 수 있습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "es.amazonaws.com"
},
"Action": [
"logs:PutLogEvents",
"logs:CreateLogStream"
],
"Resource": "arn:aws:logs:us-east-1:<account id>:log-group:/aws/OpenSearchService/domains/*:*"
}
]
}
이제 감사 로그를 활성화할 때 이 업데이트된 정책을 선택할 수 있습니다.
CloudWatch Logs 로그 그룹의 액세스 정책이 충분한 권한을 부여하지 않음
감사 로그 게시를 활성화하려고 하면 다음 오류가 발생할 수 있습니다.
"The Resource Access Policy specified for the CloudWatch Logs log group does not grant sufficient permissions for Amazon OpenSearch Service to create a log stream. Please check the Resource Access Policy."
이 오류를 해결하려면 정책의 리소스 요소에 올바른 로그 그룹 ARN이 포함되어 있는지 확인하세요.
관련 정보
OpenSearch Service 클러스터의 세분화된 액세스 제어 문제를 해결하려면 어떻게 해야 하나요?
Amazon OpenSearch Service 문제 해결