서비스 계정에 대한 액세스 로그를 보는 방법은?

Q1: 서비스 계정에 대한 액세스 로그를 어디에서 확인할 수 있나요?
서비스 계정의 액세스 로그는 주로 클라우드 제공자의 로그 서비스에서 확인할 수 있습니다. 예를 들어, Google Cloud 환경에서는 Cloud Audit Logs를 통해 서비스 계정의 활동 내역을 조회할 수 있습니다.

Q2: Google Cloud에서 서비스 계정 액세스 로그를 확인하는 방법은?
1. Google Cloud 콘솔에 로그인합니다.
2. 좌측 메뉴에서 [Logging] > [로그 탐색기]를 선택합니다.
3. '리소스' 필터에서 '서비스 계정' 혹은 'IAM 서비스 계정' 관련 항목을 선택합니다.
4. 로그 쿼리 필터에 서비스 계정 이메일 또는 관련 작업 유형(예: "serviceAccount:" 포함)을 입력해 조회합니다.
5. 필요 시, `protoPayload.authenticationInfo.principalEmail` 필터로 특정 서비스 계정의 요청을 확인할 수 있습니다.

Q3: 액세스 로그에 어떤 정보가 포함되나요?
- 요청을 실행한 서비스 계정 식별자
- 요청 시간
- 요청된 API 또는 리소스
- 요청 성공 여부 및 상태 코드
- 호출자의 IP 주소 및 사용자 에이전트
- 요청 상세 파라미터
Q4: 특정 서비스 계정의 로그인 활동만 필터링 하려면 어떻게 하나요?
로그 쿼리에서 `protoPayload.authenticationInfo.principalEmail="service-account-email"` 와 같은 조건을 사용해 해당 서비스 계정의 모든 인증 및 요청 기록만 필터링할 수 있습니다.

Q5: 액세스 로그 보존 기간은 어떻게 되나요?
각 클라우드 서비스 별로 다르지만 예를 들어 Google Cloud의 경우 기본 Audit Logs는 몇 개월(30~400일)까지 보존됩니다. 장기간 저장이 필요하면 로그를 빅쿼리나 스토리지 버킷으로 내보내 보관할 수 있습니다.

Q6: 로그 확인 시 주의할 점은?
- 서비스 계정의 권한과 역할이 적절한지 함께 확인해야 합니다.
- 로그 데이터가 너무 많아 필터링을 적절히 활용하지 않으면 어려움이 있으므로 쿼리를 잘 구성해야 합니다.
- 보안상 민감한 정보가 포함될 수 있어 접근 권한 관리에 신경 써야 합니다.

Q7: AWS 환경에서 서비스 계정(역할)의 액세스 로그는 어떻게 확인하나요?
AWS에서는 IAM 역할 및 서비스 계정에 대한 액세스 로그를 CloudTrail에서 조회할 수 있습니다. CloudTrail 콘솔에서 이벤트 기록을 검색해 해당 역할의 액세스 기록을 확인할 수 있습니다.

Q8: 액세스 로그 자동 모니터링이나 알람 설정은 가능한가요?
예, Google Cloud에서는 로그 기반 알림 정책을 생성해 특정 서비스 계정의 비정상적 액세스 시 알람을 받을 수 있습니다. AWS도 CloudWatch와 연동해 알림을 설정할 수 있습니다.

서비스 계정에 대한 액세스 로그를 보는 방법은 사용하는 클라우드 플랫폼이나 서비스에 따라 다를 수 있지만, 일반적으로 다음과 같은 단계로 진행할 수 있습니다.

여기서는 Google Cloud Platform(GCP)과 AWS(Amazon Web Services)를 예로 들어 설명하겠습니다.

Google Cloud Platform (GCP) 1. Google Cloud Console에 로그인 : - GCP에 로그인한 후, 프로젝트를 선택합니다.



2. IAM 및 관리자 메뉴로 이동 : - 왼쪽 사이드바에서 "IAM 및 관리자"를 클릭한 후 "로그"를 선택합니다.



3. 로그 뷰어 열기 : - "로그 뷰어"를 클릭하여 로그를 확인할 수 있는 페이지로 이동합니다.



4. 필터링 설정 : - 로그 뷰어에서 "필터" 옵션을 사용하여 특정 서비스 계정에 대한 로그를 필터링할 수 있습니다.

예를 들어, `protoPayload.authenticationInfo.principalEmail` 필드를 사용하여 특정 서비스 계정의 이메일 주소를 입력하면 해당 계정의 액세스 로그만 볼 수 있습니다.



5. 로그 분석 : - 로그 항목을 클릭하면 세부 정보를 확인할 수 있습니다.

여기에는 요청 시간, 요청한 리소스, 응답 코드, 오류 메시지 등이 포함됩니다.



6. 로그 내보내기 : - 필요에 따라 로그를 BigQuery, Cloud Storage 또는 Pub/Sub로 내보내어 추가 분석을 수행할 수 있습니다.

Amazon Web Services (AWS) 1. AWS Management Console에 로그인 : - AWS 계정에 로그인한 후, 필요한 리전을 선택합니다.



2. CloudTrail 서비스로 이동 : - AWS 서비스 목록에서 "CloudTrail"을 선택합니다.

CloudTrail은 AWS 계정의 API 호출을 기록하는 서비스입니다.



3. 트레일 확인 : - CloudTrail 대시보드에서 "트레일"을 클릭하여 설정된 트레일을 확인합니다.

트레일이 활성화되어 있어야 로그가 기록됩니다.



4. 로그 검색 : - "Event history"를 클릭하여 최근 이벤트를 확인할 수 있습니다.

여기서 특정 서비스 계정(예: IAM 사용자 또는 역할)에 대한 이벤트를 필터링할 수 있습니다.



5. 필터링 및 검색 : - "Lookup attributes"에서 "Event name", "User name", "Resource name" 등을 사용하여 특정 서비스 계정의 액세스 로그를 필터링할 수 있습니다.



6. 로그 분석 : - 각 이벤트를 클릭하면 세부 정보를 확인할 수 있습니다.

여기에는 호출된 API, 요청 시간, 요청한 리소스, 응답 코드 등이 포함됩니다.



7. 로그 내보내기 : - CloudTrail 로그는 S3 버킷에 저장되므로, 필요에 따라 S3에서 로그를 다운로드하거나 Athena를 사용하여 쿼리할 수 있습니다.

결론 서비스 계정에 대한 액세스 로그를 확인하는 것은 보안 및 감사 목적으로 매우 중요합니다.

각 클라우드 플랫폼은 로그를 쉽게 조회하고 분석할 수 있는 도구를 제공하므로, 이를 활용하여 서비스 계정의 활동을 모니터링하고 필요한 조치를 취할 수 있습니다.

로그를 정기적으로 검토하고, 이상 징후를 감지하는 것이 보안 유지에 큰 도움이 됩니다.