NHN Cloud에서 CloudTrail 사용하기

 

1. CloudTrail

NHN Cloud CloudTrail은 사용자 계정 내에서 발생하는 API 활동 이력을 조직 단위로 확인할 수 있는 서비스로 조직의 OWNER, ADMIN, LOG_VIEWER만 사용할 수 있다. 보안 위협이 발생할 경우 빠르게 대응할 수 있어 안전한 서비스 이용이 가능하다. CloudTrail은 조직을 생성하면 자동으로 활성화 되기 때문에 별도의 활성화 과정이 필요하지않으며 수동으로 비활성화가 어렵다.

 

2. NHN Cloud CloudTrail 이용하기

• IAM Cloud Colsole에서는 이용할 수 없다.
• 기본 인프라 서비스와 콘솔 사용 이력만 기록된다.
• 특정 사용자, 프로젝트, 서비스 등 다양한 조건으로 사용 이력을 볼 수 있으며, 해당 시점의 세부 동작을 확인할 수 있다.
• CloudTrail 이벤트 목록 확인

 

NHN Cloud Console 에 접근하여 조직 > CloudTrail 을 차례로 선택한다.

 

 

CloudTrail 접근 시 시간에 따른 이벤트 내역을 볼 수 있으며 필터를 통해 특정 조건 검색이 가능하다. CloudTrail은 사용자, 이벤트 발생 시간 및 내용, 프로젝트를 조직 단위로 확인할 수 있다.

 

 

2.1 Resource Watcher

Resource Watcher는 그룹과 태그를 이용해 알림 조건을 설정하여 NHN Cloud 조직 내 서비스의 리소스 변경 사항을 알림을 통해 받을 수 있는 서비스로 현재 인스턴스에 한해 제공 중이다. CloudTrail과 마찬가지로 조직 단위로 제공하고 활성화 단계가 필요하지않다.

 

2.2 Resource Watcher 이용하기

• IAM Cloud Colsole에서는 이용할 수 없다.
• 기본 인프라 서비스의 인스턴스만 리소스로 확인할 수 있다.
• 조직의 OWNER, ADMIN, LOG_VIEWER만 사용할 수 있다.
• 리소스에서 발생하는 이벤트를 시간에 따라 추적 가능하다.

 

NHN Cloud Console 접근 후 조직 > Resource Watcher 를 차례로 선택하면 알림 조건 설정에 따라 알림을 받아 볼 수 있는 서비스들의 목록을 확인할 수 있다. Resource는 리소스 명, 기간, 태그 등으로 검색할 수 있다.

 

 

조회 된 Resource 목록에서 특정 Resource 우측의 상세보기 선택 시 기본정보 조회 및 이벤트 내역을 조회 할 수 있다.

 

기본 정보 조회

이벤트 내역 조회

 

2.3 Resource Watcher 알림 받기

리소스 그룹이나 리소스 태그가 정의되어 있어야 Resource Watcher로 알림을 받아 볼 수 있으며 알림 설정은 그룹 및 태그 정의 후 알림을 생성하는 순으로 진행해야한다.

2.3.1 그룹 생성

Resource Watcher > 리소스 그룹을 차례로 선택 후 +리소스 그룹 생성버튼을 선택해 리소스 그룹 생성 대화상자로 이동한다.

 

 

리소스 그룹 생성 대화상자 항목 입력 가이드

• 이름: 리소스 그룹 이름을 지정한다.
• 리소스 선택: 그룹에 포함 될 리소스를 선택할 수 있다. NHN Cloud는 현재 인스턴스에 대해서만 Resource Watcher를 제공 중이므로 리소스는 인스턴스가 된다. 본 가이드는 리소스 직접 선택을 통해 그룹에 포함할 인스턴스를 직접 선택해 주었다.

 

 

2.3.2 그룹을 통한 알림 생성

Resource Watcher > 알림을 차례로 선택 후 알림 생성 버튼을 선택해 알림 생성 대화상자로 이동한다.

 

 

 

알림 생성 항목 입력 가이드

이름: 생성 될 알림의 이름을 입력한다.

일림 규칙 선택: 어떤 이벤트가 일어났을 때 알림을 받을 것인지 지정한다. 인스턴스 정보 변경, 인스턴스 시작, 인스턴스 타입 변경, 인스턴스 삭제, 인스턴스 중지, 인스턴스 재부팅, 인스턴스 생성에 대한 알림을 받아 볼 수 있다.

대상 리소스: 대상 리소스는 미리 생성한 리소스 그룹과 리소스 태그 중 선택이 가능하다. 본 가이드는 미리 생성해 둔 리소스 그룹을 선택하여 진행한다.

 

알림 수신 대상: 알림을 받아 볼 대상과 수신 방법을 지정한다. 본 가이드는 알림 수신 방법으로 Email을 지정하였다.

알림 수신 대상을 역할 유형으로 선택할 경우 선택한 역할이 설정 된 멤버에게만 알림이 전송되며 프로젝트 역할을 선택할 경우, 이벤트가 발생한 리소스가 속한 프로젝트의 멤버들 중 선택한 역할이 설정 된 멤버에게만 알림이 전송된다.

 

 

 

웹훅을 통해 알림요청을 전달할 수도 있다. 항목들을 지정 후 확인 버튼을 선택하여 알림을 생성한다.

 

 

생성한 알림은 Resource Watcher 목록에서 조회 할 수 있다.

 

 

2.3.3 Resource Watcher 설정 확인

본 가이드 설정대로 리소스 그룹의 인스턴스를 시작시킬 경우에 Email로 알림 발송이 되는지 확인해 보도록하자.

그룹으로 설정해주었던 인스턴스를 실행키도록하자.

 

 

리소스 그룹으로 지정해준 인스턴스 상태가 변화하자 설정한 알림에 따라 Email로 변경 내역이 발송되었다.