aws cloudtrail - guide de l'utilisateur · la visibilité sur l'activité de votre compte...
TRANSCRIPT
AWS CloudTrailGuide de l'utilisateur
Version 1.0
AWS CloudTrail Guide de l'utilisateur
AWS CloudTrail: Guide de l'utilisateurCopyright © 2021 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.
AWS CloudTrail Guide de l'utilisateur
Table of ContentsPrésentation d'AWS CloudTrail ? .......................................................................................................... 1
Fonctionnement d'un CloudTrail .................................................................................................... 1CloudTrail Flux de travail ............................................................................................................. 3Concepts CloudTrail .................................................................................................................... 5
Que sont les événements CloudTrail ? ................................................................................... 5Qu'est-ce que l'historique des événements CloudTrail ? ............................................................ 7En quoi consistent les suivis ? .............................................................................................. 7Que sont les journaux de suivi d'organisation ? ....................................................................... 7Comment gérer CloudTrail ? ................................................................................................ 8Comment contrôler l'accès à CloudTrail ? ............................................................................... 9Comment journaliser les événements de gestion et de données ? .............................................. 9Comment journaliser les événements CloudTrail Insights ? ........................................................ 9Comment effectuer la surveillance avec CloudTrail ? .............................................................. 10Comment CloudTrail se comporte-t-il à l'échelle régionale et à l'échelle mondiale ? ...................... 10À propos des événements de services mondiaux ................................................................... 12Quel est le lien entre CloudTrail et les autres services de surveillance AWS ? ............................ 13Solutions partenaires ......................................................................................................... 13
Régions prises en charge par CloudTrail ...................................................................................... 13Exemples de fichiers journaux CloudTrail ..................................................................................... 15
Format de nom de fichier journal CloudTrail .......................................................................... 15Exemples de fichiers journaux ............................................................................................ 16
Intégrations et services pris en charge par CloudTrail ..................................................................... 21Intégrations de service AWS aux journaux CloudTrail ............................................................. 22Intégration CloudTrail à AWS Organizations .......................................................................... 23Rubriques des services AWS pour CloudTrail ....................................................................... 23Services non pris en charge par CloudTrail ........................................................................... 33
Quotas dans AWS CloudTrail ..................................................................................................... 34Didacticiel AWS CloudTrail ................................................................................................................. 38
Prerequisites ............................................................................................................................ 38Étape 1 : Consulter l'activité du compte AWS dans l'historique des événements .................................. 38Étape 2 : Créer votre premier journal de suivi ............................................................................... 40Étape 3 : Afficher les fichiers journaux ......................................................................................... 44Étape 4 : Planification des étapes suivantes .................................................................................. 46
Utilisation des CloudTrail .................................................................................................................... 48Affichage des événements avec l'historique des événements CloudTrail ............................................ 48
Affichage des événements CloudTrail dans la console CloudTrail ............................................. 49Affichage des événements CloudTrail avec l’AWS CLI ............................................................ 54
Affichage des événements CloudTrail Insights ............................................................................... 60Affichage des événements CloudTrail Insights dans la console CloudTrail .................................. 60Affichage des événements CloudTrail Insights avec l’AWS CLI ................................................. 67
Création d'un journal de suivi pour votre AWS compte .................................................................... 74Création et mise à jour d'un journal de suivi avec la console .................................................... 75Création, mise à jour et gestion des journaux de suivi avec l'AWS Command Line Interface ........... 95
Création d'un journal de suivi pour une organisation ..................................................................... 116Bonnes pratiques pour passer de journaux de suivi de compte membre à journaux de suivid'organisation ................................................................................................................. 118Préparation de la création d'un journal de suivi pour votre organisation .................................... 119Création d'un journal de suivi pour votre organisation dans la console ..................................... 121Création d'un journal de suivi pour une organisation avec l'AWS Command Line Interface ........... 126
Obtention et consultation des fichiers journaux CloudTrail .............................................................. 130Rechercher vos fichiers journaux CloudTrail ........................................................................ 131Téléchargement de vos fichiers journaux CloudTrail ............................................................. 132
Configuration de notifications Amazon SNS pour CloudTrail ........................................................... 133Configuration de CloudTrail pour envoyer des notifications .................................................... 133
Version 1.0iii
AWS CloudTrail Guide de l'utilisateur
Contrôle des autorisations accordées aux utilisateurs pour CloudTrail .............................................. 134Conseils pour la gestion des journaux de suivi ............................................................................ 135
Gestion des coûts CloudTrail ............................................................................................ 135Exigences en matière d'attribution de nom de suivi CloudTrail ................................................ 137Conditions d'attribution de noms pour des compartiments Amazon S3 ..................................... 137Conditions d'attribution de noms AWS KMS ........................................................................ 138
Utilisation de AWS CloudTrail avec les points de terminaison d'un VPC d'interface ............................. 138Availability ...................................................................................................................... 139Création d'un point de terminaison VPC pour CloudTrail ........................................................ 139
Utilisation des fichiers journaux CloudTrail .......................................................................................... 140Créer plusieurs suivis .............................................................................................................. 141Journalisation des événements de gestion pour les journaux de suivi .............................................. 143
Événements de gestion .................................................................................................... 143Événements de lecture et d'écriture ................................................................................... 144Consignation d'événements avec l'AWS Command Line Interface ........................................... 145Journalisation des événements avec l'AWSSDKs ................................................................. 147Envoi d'événements à Amazon CloudWatch Logs ................................................................ 147
Journalisation des événements de données pour les journaux de suivi ............................................ 147Evénements de données .................................................................................................. 148Événements en lecture seule et en écriture seule ................................................................ 156Journalisation des événements avec l'AWS Command Line Interface ...................................... 156Journalisation des événements avec l'AWS SDKs ................................................................ 160Envoi d'événements à Amazon CloudWatch Logs ................................................................ 160
Journalisation des événements Insights pour les journaux de suivi .................................................. 161Présentation d’Insights ..................................................................................................... 162Journalisation des événements Insights avec l'AWS Management Console ............................... 164Journalisation d’événements Insights avec l’AWS Command Line Interface ............................... 165Journalisation des événements avec l'AWSSDKs ................................................................. 166Envoi d'événements à Amazon CloudWatch Logs ................................................................ 166
Réception de fichiers journaux CloudTrail de plusieurs régions ....................................................... 166Surveillance des fichiers journaux CloudTrail avec Amazon CloudWatch Logs ................................... 167
Envoi d'événements à CloudWatch Logs ............................................................................ 168Création d'alarmes CloudWatch avec un modèle AWS CloudFormation ................................... 173Création d'CloudWatchalarmes pour les CloudTrail événements : Exemples ............................. 184Création d'CloudWatchalarmes pour les CloudTrail événements : Exemples supplémentaires ...... 208Configuration de notifications pour les alarmes CloudWatch Logs ........................................... 217Empêcher CloudTrail d'envoyer des événements à CloudWatch Logs ...................................... 217Convention de dénomination CloudWatch de groupe de journaux et de flux de journaux pourCloudTrail ...................................................................................................................... 218Document de stratégie de rôle pour que CloudTrail utilise CloudWatch Logs pour la surveillance ... 218
Réception de fichiers journaux CloudTrail de plusieurs comptes ..................................................... 220Configuration de la stratégie de compartiment pour plusieurs comptes ..................................... 220Activer CloudTrail dans d'autres comptes ............................................................................ 221
Partage de fichiers journaux CloudTrail entre comptes AWS .......................................................... 223Scénario 1: Octroi de l'accès au compte qui a généré les fichiers journaux ............................... 223Scénario 2: Octroi d'accès à tous les journaux ..................................................................... 225Création d'un rôle ............................................................................................................ 226Création d'une stratégie d'accès pour accorder l'accès aux comptes que vous détenez ............... 228Création d'une stratégie d'accès pour accorder l'accès à un tiers ............................................ 230Endossement d'un rôle .................................................................................................... 231Arrêt du partage de fichiers CloudTrail journaux entre comptes AWS ....................................... 233
Validation de l'intégrité des fichiers journaux CloudTrail ................................................................. 233Pourquoi l'utiliser ? .......................................................................................................... 233Fonctionnement .............................................................................................................. 234Activation de la validation de l'intégrité des fichiers journaux pour CloudTrail ............................. 234Validation de l'intégrité des fichiers journaux CloudTrail avec l'AWS CLI ................................... 235Structure du fichier de valeur de hachage CloudTrail ............................................................ 241
Version 1.0iv
AWS CloudTrail Guide de l'utilisateur
Implémentations personnalisées de la validation de l'intégrité des fichiers journaux CloudTrail ...... 246Utilisation du CloudTrail Processing Library ................................................................................. 254
Configuration requise ....................................................................................................... 255Traitement des CloudTrail journaux .................................................................................... 255Rubriques avancées ........................................................................................................ 259Ressources supplémentaires ............................................................................................. 262
Sécurité ......................................................................................................................................... 263Protection des données ............................................................................................................ 263Identity and Access Management .............................................................................................. 264
Audience ........................................................................................................................ 265Authentification avec les identités ...................................................................................... 265Gestion de l'accès à l'aide des stratégies ............................................................................ 267Comment AWS CloudTrail fonctionne avec IAM ................................................................... 269Exemples de stratégie basée sur l'identité ........................................................................... 273Stratégie de compartiment Amazon S3 pour CloudTrail ......................................................... 283Stratégie de rubrique Amazon SNS pour CloudTrail .............................................................. 288Dépannage ..................................................................................................................... 291Utilisation des rôles liés à un service ................................................................................. 292
Validation de la conformité ....................................................................................................... 294Résilience .............................................................................................................................. 294Sécurité de l'infrastructure ........................................................................................................ 295Bonnes pratiques de sécurité .................................................................................................... 296
Bonnes pratiques de sécurité préventive CloudTrail .............................................................. 296Bonnes pratiques de sécurité préventive pour CloudTrail ....................................................... 297
Chiffrement des fichiers journaux CloudTrail avec des clés gérées par AWS KMS (SSE-KMS) ............. 299Activation du chiffrement de fichier journaux ........................................................................ 300Octroi d'autorisations pour créer une clé CMK ..................................................................... 301Configurer des stratégies de clé AWS KMS pour CloudTrail ................................................... 301Mise à jour d'un suivi pour qu'il utilise votre clé CMK ............................................................ 308Activer et désactiver le chiffrement des fichiers journaux CloudTrail avec l'AWS CLI ................... 309
Référence des événements de journaux CloudTrail .............................................................................. 311Contenu d'un enregistrement CloudTrail ..................................................................................... 313
Champs d'enregistrement d'événement Insights ................................................................... 320sharedEventIDExemple .................................................................................................... 321
Élément CloudTrail userIdentity ................................................................................................. 322Examples ....................................................................................................................... 322Fields ............................................................................................................................ 323Valeurs pour AWS STS APIs avec SAML et fédération d'identité web ...................................... 326
insightDetailsÉlément Insights ................................................................................................... 327Exemple de insightDetails bloc .................................................................................. 331
Evénements non API enregistrés par CloudTrail .......................................................................... 333Evénements de service AWS ............................................................................................ 333Événements de connexion à AWS la console ...................................................................... 334
Historique du document ................................................................................................................... 340Mises à jour antérieures ........................................................................................................... 348
Glossaire AWS ............................................................................................................................... 363................................................................................................................................................ ccclxiv
Version 1.0v
AWS CloudTrail Guide de l'utilisateurFonctionnement d'un CloudTrail
Présentation d'AWS CloudTrail ?AWS CloudTrail est un service AWS qui vous aide à assurer la gouvernance, la conformité, ainsi que l'auditopérationnel et des risques de votre compte AWS. Les actions effectuées par un utilisateur, un rôle ouun service AWS sont enregistrées en tant qu'événements dans CloudTrail. Les événements incluent lesactions réalisées dans , et AWS Management Console .AWS Command Line InterfaceAWSSDKsAPIs
CloudTrail est activé sur votre compte AWS lorsque vous le créez. Lorsqu'une activité se produit dansvotre compte AWS, elle est enregistrée dans un événement CloudTrail. Vous pouvez facilement afficherdes événements récents dans la console CloudTrail en accédant à l'historique des événements. Pourun enregistrement continu des activités et des événements dans votre compte AWS, créez un journalde suivi (p. 76). Pour plus d'informations sur la tarification CloudTrail, consultez Tarification AWSCloudTrail.
La visibilité sur l'activité de votre compte AWS est un aspect essentiel des bonnes pratiques de sécurité etopérationnelles. Vous pouvez utiliser CloudTrail pour afficher, rechercher, télécharger, archiver, analyseret traiter l'activité de compte sur votre infrastructure AWS. Vous pouvez identifier la personne ou le serviceà l'origine de l'action, les ressources qui ont été impactées, le moment où l'événement s'est produit, etd'autres détails pour vous aider à analyser et traiter l'activité de votre compte AWS. Si vous le souhaitez,vous pouvez activer AWS CloudTrail Insights sur un journal de suivi pour vous aider à identifier une activitéinhabituelle et à y répondre.
Vous pouvez intégrer CloudTrail dans des applications à l'aide de l'API, automatiser la création de journalde suivi pour votre organisation, vérifier le statut des journaux de suivi que vous créez et contrôler de quellemanière les utilisateurs affichent les événements CloudTrail.
Rubriques• Fonctionnement d'un CloudTrail (p. 1)• CloudTrail Flux de travail (p. 3)• Concepts CloudTrail (p. 5)• Régions prises en charge par CloudTrail (p. 13)• Exemples de fichiers journaux CloudTrail (p. 15)• Intégrations et services pris en charge par CloudTrail (p. 21)• Quotas dans AWS CloudTrail (p. 34)
Fonctionnement d'un CloudTrailCloudTrail est activé sur votre compte AWS lorsque vous le créez. Lorsqu'une activité se produit dansvotre compte AWS, elle est enregistrée dans un événement CloudTrail. Vous pouvez facilement afficher lesévénements dans la console CloudTrail en accédant à Event history (Historique des événements).
L'historique des événements vous permet d'afficher, rechercher et télécharger les 90 derniers joursd'activité dans votre compte AWS. En outre, vous pouvez créer un journal de suivi CloudTrail pour archiveret analyser les modifications de vos ressources AWS et pour y répondre. Un journal de suivi est uneconfiguration qui active la transmission des événements dans un compartiment Amazon S3 que vousspécifiez. Vous pouvez également fournir et analyser les événements dans un journal de suivi avecAmazon CloudWatch Logs et Amazon CloudWatch Events. Vous pouvez créer un journal de suivi avec laconsole CloudTrail, l'AWS CLI ou l'API CloudTrail.
Vous pouvez créer deux types de journaux de suivi pour un compte AWS :
Version 1.01
AWS CloudTrail Guide de l'utilisateurFonctionnement d'un CloudTrail
Journal de suivi qui s'applique à toutes les régions
Lorsque vous créez un journal de suivi qui s'applique à toutes les régions, CloudTrail enregistre lesévénements dans chaque région, puis fournit les fichiers journaux d'événements CloudTrail dansun compartiment S3 que vous spécifiez. Si une région est ajoutée après la création d'un journal desuivi qui s'applique à toutes les régions, cette nouvelle région est automatiquement incluse, et lesévénements de cette région sont consignés. Étant donné que la création d'un journal de suivi danstoutes les régions est une bonne pratique recommandée, de sorte que vous capturez l'activité danstoutes les régions de votre compte, un journal de suivi de toutes les régions est l'option par défautlorsque vous créez un journal de suivi dans la CloudTrail console. Vous pouvez uniquement mettre àjour un suivi sur une seule région pour consigner toutes les régions à l'aide de l' AWS CLI . Pour plusd’informations, consultez Création d'un journal de suivi dans la console (sélecteurs d'événements debase) (p. 76).
Journal de suivi qui s'applique à une région
Lorsque vous créez un journal de suivi qui s'applique à une seule région, CloudTrail enregistre lesévénements dans cette région uniquement. Il fournit ensuite les fichiers journaux d'événementsCloudTrail dans un compartiment Amazon S3 que vous spécifiez. Vous pouvez uniquement créerun journal de suivi d'une seule région à l'aide de l' AWS CLI . Si vous créez des journaux de suivisupplémentaires, vous pouvez faire en sorte que ces journaux de suivi fournissent les fichiers journauxd'événements CloudTrail dans le même compartiment Amazon S3 ou dans des compartimentsdistincts. Il s'agit de l'option par défaut lorsque vous créez un journal de suivi à l'aide de l'AWS CLI oude l'API CloudTrail. Pour plus d’informations, consultez Création, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface (p. 95).
Note
Pour les deux types de journaux de suivi, vous pouvez spécifier un compartiment Amazon S3 den'importe quelle région.
À compter 12 avril 2019, les journaux de suivi seront visibles uniquement dans les régions AWS où desévénements sont enregistrés. Si vous créez un journal de suivi qui enregistre les événements dans toutesles régions AWS, il s'affichera dans la console dans toutes les régions AWS. Si vous créez un journalde suivi qui enregistre des événements dans une seule région AWS, vous pouvez l'afficher et le géreruniquement dans cette région AWS.
Si vous avez créé une organisation dans AWS Organizations, vous pouvez aussi créer un journal de suiviqui enregistre tous les événements de tous les comptes AWS de cette organisation. Cet élément est appeléjournal de suivi d'une organisation. Les journaux de suivi d'organisation peuvent s'appliquer à toutes lesrégions AWS ou à une région. Les journaux de suivi d'organisation doivent être créés dans le comptede gestion et, lorsqu'ils sont spécifiés comme s'appliquant à une organisation, ils sont automatiquementappliqués à tous les comptes membres de l'organisation. Les comptes membres peuvent voir le journal desuivi d'organisation, mais ne peuvent ni le modifier ni le supprimer. Par défaut, les comptes membres n'ontpas accès aux fichiers journaux du journal de suivi d'organisation dans le compartiment Amazon S3.
Vous pouvez modifier la configuration d'un journal de suivi après sa création. Vous pouvez notammentindiquer si les événements d'une seule région ou de toutes les régions sont consignés. Pour remplacerun journal de suivi d'une seule région par un journal de suivi de toutes les régions, ou inversement,vous devez exécuter la AWS CLI update-trail (p. 98) commande. Vous pouvez également définir s’ilenregistre des événements de données ou des événements Insights CloudTrail. Si un journal de suivienregistre les événements d'une seule région ou de toutes les régions, cela affecte les événementsqui sont enregistrés. Pour plus d'informations, consultez Gestion des journaux de suivi avec l'AWSCLI (p. 100) (AWS CLI) et Utilisation des fichiers journaux CloudTrail (p. 140) .
Par défaut, les fichiers journaux d'événements CloudTrail sont chiffrés à l'aide du chiffrement côté serveur(SSE) d'Amazon S3. Vous pouvez également choisir de chiffrer vos fichiers journaux avec une clé AWSKey Management Service (AWS KMS). Vous pouvez stocker vos fichiers journaux dans votre compartiment
Version 1.02
AWS CloudTrail Guide de l'utilisateurCloudTrail Flux de travail
aussi longtemps que vous le souhaitez. Vous pouvez également définir des règles de cycle de vie AmazonS3 pour archiver ou supprimer les fichiers journaux automatiquement. Si vous souhaitez recevoir desnotifications lors de la transmission et de la validation des fichiers journaux, vous pouvez configurer desnotifications Amazon SNS.
CloudTrail fournit généralement des fichiers journaux dans les 15 minutes suivant une activité ducompte. En outre, CloudTrail publie des fichiers journaux plusieurs fois par heure, toutes les cinq minutesenviron. Ces fichiers journaux contiennent les appels d'API émis par les services du compte qui prennenten charge CloudTrail. Pour plus d’informations, consultez Intégrations et services pris en charge parCloudTrail (p. 21).
Note
CloudTrail capture les actions effectuées directement par l'utilisateur ou au nom de l'utilisateur parun service AWS. Par exemple, un appel CreateStack d'AWS CloudFormation peut entraînerd'autres appels d'API à Amazon EC2, Amazon RDS, Amazon EBS ou d'autres services, selonles besoins du modèle AWS CloudFormation. Ce comportement est normal et attendu. Vouspouvez déterminer si l'action a été effectuée par un service AWS grâce au champ invokedby del'événement CloudTrail.
Pour commencer avec CloudTrail, consultez Didacticiel Démarrez avecAWS CloudTrail (p. 38).
Pour la tarification de CloudTrail, consultez Tarification d'AWS CloudTrail. Pour en savoir plus sur latarification d'Amazon S3 et Amazon SNS, consultez Tarification Amazon S3 et Tarification Amazon SNS.
CloudTrail Flux de travailAfficher l'historique des événements pour votre compte AWS.
Vous pouvez consulter et rechercher les 90 derniers jours d'événements enregistrés par CloudTraildans la console CloudTrail ou à l'aide de l'AWS CLI. Pour plus d’informations, consultez Affichage desévénements avec l'historique des événements CloudTrail (p. 48).
Télécharger des événements
Vous pouvez télécharger un fichier JSON ou CSV contenant jusqu'aux 90 derniers jours d'événementsCloudTrail pour votre compte AWS. Pour de plus amples informations, veuillez consulterTéléchargement des événements (p. 52) ou Téléchargement d'événements Insights (p. 66).
Créer un journal de suivi
Une journal de suivi permet à CloudTrail de livrer des fichiers journaux dans votre compartimentAmazon S3. Par défaut, lorsque vous créez un journal de suivi dans la console, il s'applique à toutesles régions. Le journal de suivi consigne les événements de toutes les régions dans la partition AWS etlivre les fichiers journaux dans le compartiment S3 de votre choix. Pour plus d’informations, consultezCréation d'un journal de suivi pour votre AWS compte (p. 74).
Créer une rubrique Amazon SNS et s'y abonner
Abonnez-vous à une rubrique pour recevoir des notifications concernant la livraison de fichiersjournaux dans votre compartiment. Amazon SNS peut vous avertir de diverses manières, y comprispar programmation avec Amazon Simple Queue Service. Pour plus d'informations, consultez la sectionConfiguration de notifications Amazon SNS pour CloudTrail (p. 133).
Note
Si vous souhaitez recevoir des notifications SNS relatives aux livraisons de fichiers journauxde toutes les régions, spécifiez une seule rubrique SNS pour votre journal de suivi. Si voussouhaitez traiter par programmation tous les événements, consultez Utilisation du CloudTrailProcessing Library (p. 254).
Version 1.03
AWS CloudTrail Guide de l'utilisateurCloudTrail Flux de travail
Afficher les fichiers journaux
Utilisez Amazon S3 pour récupérer les fichiers journaux. Pour plus d'informations, consultez la sectionObtention et consultation des fichiers journaux CloudTrail (p. 130).
Gérer les autorisations utilisateur
Utilisez AWS Identity and Access Management (IAM) pour définir les utilisateurs autorisés à créer,configurer ou supprimer les journaux de suivi, démarrer et arrêter la journalisation et accéder auxcompartiments contenant des fichiers journaux. Pour plus d’informations, consultez Contrôle desautorisations accordées aux utilisateurs pour CloudTrail (p. 134).
Contrôler les événements avec CloudWatch Logs
Vous pouvez configurer votre journal de suivi de manière à envoyer les événements à CloudWatchLogs. Vous pouvez ensuite utiliser CloudWatch Logs pour surveiller des appels d'API et desévénements spécifiques sur votre compte. Pour plus d’informations, consultez Surveillance des fichiersjournaux CloudTrail avec Amazon CloudWatch Logs (p. 167).
Note
Si vous configurez un journal de suivi qui s'applique à toutes les régions pour envoyer lesévénements à un groupe de journaux CloudWatch Logs, CloudTrail envoie les événements detoutes les régions à un seul groupe de journaux.
Journaliser les événements de gestion et de données
Configurez vos journaux de suivi de manière à journaliser les événements de gestion et de donnéesen lecture seule, en écriture seule, ou l'ensemble de ces événements. Par défaut, les suivis consignenttous () ) les événements de gestion. Pour plus d’informations, consultez Utilisation des fichiersjournaux CloudTrail (p. 140).
Journalisation d’événements CloudTrail Insights
Configurez vos journaux de suivi pour journaliser les Insights events afin de vous aider à identifier lesactivités inhabituelles associées aux appels d'API de gestion write et à y répondre. Si votre journalde suivi est configuré pour journaliser des événements en lecture seule ou aucun événement degestion, vous ne pouvez pas activer la journalisation des événements CloudTrail Insights. Pour plusd’informations, consultez Journalisation des événements Insights pour les journaux de suivi (p. 161).
Activer le chiffrement des journaux
Le chiffrement des fichiers journaux offre une couche de sécurité supplémentaire pour vos fichiersjournaux. Pour plus d’informations, consultez Chiffrement des fichiers journaux CloudTrail avec desclés gérées par AWS KMS (SSE-KMS) (p. 299).
Activer l'intégrité des fichiers journaux
La validation de l'intégrité des fichiers journaux vous permet de vérifier que les fichiers journaux n'ontpas changé depuis que CloudTrail les a livrés. Pour plus d’informations, consultez Validation del'intégrité des fichiers journaux CloudTrail (p. 233).
Partager des fichiers journaux avec d'autres comptes AWS
Vous pouvez partager des fichiers journaux entre plusieurs comptes. Pour plus d’informations,consultez Partage de fichiers journaux CloudTrail entre comptes AWS (p. 223).
Regrouper les fichiers journaux de plusieurs comptes
Vous pouvez regrouper les fichiers journaux provenant de plusieurs comptes dans un seulcompartiment. Pour plus d’informations, consultez Réception de fichiers journaux CloudTrail deplusieurs comptes (p. 220).
Utiliser des solutions partenaires
Analysez votre sortie CloudTrail en utilisant une solution partenaire intégrée dans CloudTrail. Lessolutions partenaires offrent une large gamme de fonctionnalités, telles que le suivi des modifications,
Version 1.04
AWS CloudTrail Guide de l'utilisateurConcepts CloudTrail
la résolution de problèmes et l'analyse de sécurité. Pour plus d'informations, consultez la pagepartenaire AWS CloudTrail.
Concepts CloudTrailCette section résume les concepts de base relatifs à CloudTrail.
Table des matières• Que sont les événements CloudTrail ? (p. 5)
• Que sont les événements de gestion ? (p. 6)• Que sont les événements de données ? (p. 6)• Que sont les événements Insights ? (p. 6)
• Qu'est-ce que l'historique des événements CloudTrail ? (p. 7)• En quoi consistent les suivis ? (p. 7)• Que sont les journaux de suivi d'organisation ? (p. 7)• Comment gérer CloudTrail ? (p. 8)
• Console CloudTrail (p. 8)• CLI CloudTrail (p. 8)• CloudTrail APIs (p. 8)• AWS SDKs (p. 8)• Pourquoi utiliser des balises pour les journaux de suivi ? (p. 9)
• Comment contrôler l'accès à CloudTrail ? (p. 9)• Comment journaliser les événements de gestion et de données ? (p. 9)• Comment journaliser les événements CloudTrail Insights ? (p. 9)• Comment effectuer la surveillance avec CloudTrail ? (p. 10)
• CloudWatch Logs, CloudWatch Events et CloudTrail (p. 10)• Comment CloudTrail se comporte-t-il à l'échelle régionale et à l'échelle mondiale ? (p. 10)
• Quels sont les avantages de l'application d'un journal de suivi à toutes les régions ? (p. 10)• Que se passe-t-il lorsque vous appliquez un journal de suivi à toutes les régions ? (p. 11)• Plusieurs journaux de suivi par région (p. 11)• AWS Security Token Service (AWS STS) et CloudTrail (p. 12)
• À propos des événements de services mondiaux (p. 12)• Quel est le lien entre CloudTrail et les autres services de surveillance AWS ? (p. 13)• Solutions partenaires (p. 13)
Que sont les événements CloudTrail ?Un événement dans CloudTrail est l'enregistrement d'une activité dans un compte AWS. Cette activité peutêtre une action effectuée par un utilisateur, un rôle ou un service pouvant être surveillée par CloudTrail.Les événements CloudTrail fournissent un historique des activités d'API et non-API du compte effectuéesvia AWS Management Console, l'AWS SDKs, les outils de ligne de commande et d'autres services AWS.Il existe trois types d'événements qui peuvent être consignés dans CloudTrail : les événements de gestion,les événements de données et les événements Insights CloudTrail. Par défaut, les journaux de suiviconsignent les événements de gestion, mais pas les événements de données ou Insights.
Tous les types d'événements utilisent le même format de journal JSON CloudTrail.Version 1.0
5
AWS CloudTrail Guide de l'utilisateurQue sont les événements CloudTrail ?
Note
CloudTrail ne consigne pas tous les services AWS et tous les événements. Pour plusd'informations sur les APIs journalisés pour un service spécifique, consultez la documentation dece service dans Intégrations et services pris en charge par CloudTrail (p. 21).
Que sont les événements de gestion ?Les événements de gestion fournissent des informations sur les opérations de gestion exécutées surles ressources de votre compte AWS. Ils sont également connus sous le nom d'opérations de plans decontrôle. Les événements de gestion sont notamment les suivants :
• Configuration de la sécurité (par exemple, opérations d'API IAM AttachRolePolicy).• Enregistrement des appareils (par exemple, opérations d'API Amazon EC2 CreateDefaultVpc).• Configuration des règles d'acheminement des données (par exemple, opérations d'API Amazon EC2CreateSubnet).
• Configuration de la journalisation (par exemple, opérations d'API AWS CloudTrail CreateTrail).
Les événements de gestion peuvent aussi inclure les événements non API qui se produisent dansvotre compte. Par exemple, lorsqu'un utilisateur se connecte à votre compte, CloudTrailenregistrel'événement ConsoleLogin. Pour plus d'informations, consultez Evénements non API enregistrés parCloudTrail (p. 333). Pour obtenir la liste des événements de gestion que CloudTrail enregistre pour lesservices AWS, consultez Intégrations et services pris en charge par CloudTrail (p. 21).
Que sont les événements de données ?Les événements de données fournissent des informations sur les opérations de ressource exécutéessur ou dans une ressource. Ils sont également connus sous le nom d'opérations de plans de données.Les événements de données sont souvent des activités dont le volume est élevé. Les types de donnéessuivants sont enregistrés :
• Activité d'API de niveau objet Amazon S3 (par exemple, opérations d'API GetObject, DeleteObjectet PutObject).
• Activité d'exécution de la fonction AWS Lambda (l'API Invoke).• Activité d'API au niveau de l'objet Amazon S3 sur AWS Outposts.
Les événements de données ne sont pas consignés par défaut lorsque vous créez un journal de suivi.Pour enregistrer les événements de données CloudTrail, vous devez explicitement ajouter à un journal desuivi les ressources ou les types de ressources pour lesquels vous souhaitez collecter l'activité. Pour plusd'informations, consultez Création d'un journal de suivi (p. 76) et Evénements de données (p. 148).
Des frais supplémentaires sont facturés pour la journalisation des événements de données. Pour latarification de CloudTrail, consultez Tarification d'AWS CloudTrail.
Que sont les événements Insights ?Les événements CloudTrail Insights capturent l’activité inhabituelle dans votre compte AWS. Si les Insightsevents sont activés et que CloudTrail détecte une activité inhabituelle, les Insights events sont consignésdans un dossier ou un préfixe différent dans le compartiment S3 de destination de votre journal de suivi.Vous pouvez également voir le type d'information et la période de l'incident lorsque vous affichez lesInsights events sur la console CloudTrail. Les Insights events fournissent des informations pertinentes,telles que l'API associée, l’heure de l’incident et des statistiques, ce qui vous aide à comprendre et àagir par rapport à l’activité inhabituelle. Contrairement à d'autres types d'événements capturés dans unjournal de suivi CloudTrail, les Insights events sont enregistrés uniquement lorsque CloudTrail détecte des
Version 1.06
AWS CloudTrail Guide de l'utilisateurQu'est-ce que l'historique des événements CloudTrail ?
changements dans l'utilisation de l'API de votre compte qui diffèrent de manière significative des modèlesd'utilisation typiques du compte. Voici des exemples d'activité susceptibles de générer des Insights events :
• Votre compte ne consigne généralement pas plus de 20 appels d'API deleteBucket Amazon S3 parminute, mais commence à enregistrer une moyenne de 100 appels d'API deleteBucket par minute. Unévénement Insights est enregistré au début de l'activité inhabituelle, et un autre événement Insights estenregistré pour marquer la fin de l'activité inhabituelle.
• Votre compte enregistre généralement 20 appels par minute à l'API Amazon EC2AuthorizeSecurityGroupIngress, mais commence à enregistrer zéro appel àAuthorizeSecurityGroupIngress. Un événement Insights est enregistré au début de l'activitéinhabituelle, et dix minutes plus tard, lorsque l'activité inhabituelle se termine, un autre événementInsights est enregistré pour marquer la fin de l'activité inhabituelle.
Ces exemples sont fournis à titre d'illustration seulement. Vos résultats peuvent varier en fonction de votrecas d'utilisation.
Les Insights events sont désactivés par défaut lorsque vous créez un journal de suivi. Pour enregistrerdes événements CloudTrail Insights, vous devez activer explicitement la collecte d'événements Insightssur un journal de suivi nouveau ou existant. Pour plus d'informations, consultez Création d'un journal desuivi (p. 76) et Journalisation des événements Insights pour les journaux de suivi (p. 161).
Des frais supplémentaires sont facturés pour la journalisation des Insights events CloudTrail. Pour latarification de CloudTrail, consultez Tarification d'AWS CloudTrail.
Qu'est-ce que l'historique des événementsCloudTrail ?L'historique des événements CloudTrail fournit un enregistrement affichable, consultable et téléchargeabledes événements CloudTrail des 90 derniers jours. Vous pouvez utiliser cet historique pour bénéficier d'unemeilleure visibilité sur les actions réalisées dans votre compte AWS dans AWS Management Console,l'AWS SDKs, les outils de ligne de commande et d'autres services AWS. Vous pouvez personnaliserl'affichage de l'historique des événements sur la console CloudTrail en sélectionnant les colonnesaffichées. Pour plus d'informations, consultez Affichage des événements avec l'historique des événementsCloudTrail (p. 48).
En quoi consistent les suivis ?Un journal de suivi est une configuration qui permet la transmission d'événements CloudTrail à uncompartiment Amazon S3, CloudWatch Logs et CloudWatch Events. Vous pouvez utiliser un journalde suivi pour filtrer les événements CloudTrail devant être transmis, chiffrer vos fichiers journauxd'événements CloudTrail avec une clé AWS KMS et configurer des notifications Amazon SNS pour latransmission de fichiers journaux. Pour plus d'informations sur la création et la gestion d'un journal de suivi,consultez Création d'un journal de suivi pour votre AWS compte (p. 74).
Que sont les journaux de suivi d'organisation ?Un journal de suivi d'une organisation est une configuration qui active la livraison d'événements CloudTraildans le compte de gestion et tous les comptes membres d'une organisation AWS Organizations vers lemême compartiment Amazon S3, CloudWatch Logs et CloudWatch Events. La création d'un journal desuivi d'organisation vous permet de définir une stratégie de journalisation des événements uniforme pourvotre organisation.
Lorsque vous créez un journal de suivi d'une organisation, un journal de suivi avec le nom que vous luiattribuez est créé dans chaque compte AWS qui appartient à votre organisation. Les utilisateurs avec lesautorisations CloudTrail des comptes membres seront en mesure de voir ce journal de suivi (y compris
Version 1.07
AWS CloudTrail Guide de l'utilisateurComment gérer CloudTrail ?
son ARN) lors de la connexion à la console AWS CloudTrail à partir de leurs comptes AWS ou lorsqu'ilsexécutent les commandes AWS CLI telles que describe-trails (bien que les comptes membresdoivent utiliser l'ARN pour le journal de suivi de l'organisation, et non le nom, lors de l'utilisation de l'AWSCLI). Cependant, les utilisateurs des comptes membres ne disposent pas des autorisations suffisantes poursupprimer le journal de suivi de l'organisation, pour activer ou désactiver la journalisation, pour changer lestypes d'événements enregistrés ou modifier le journal de suivi de l'organisation de quelque façon que cesoit. Pour plus d'informations sur AWS Organizations, consultez Terminologie et concepts Organisations.Pour plus d'informations sur la création et l'utilisation de journaux de suivi de l'organisation, consultezCréation d'un journal de suivi pour une organisation (p. 116).
Comment gérer CloudTrail ?Console CloudTrailVous pouvez utiliser et gérer le service CloudTrail avec la console AWS CloudTrail. La console fournit uneinterface utilisateur permettant d'effectuer de nombreuses tâches CloudTrail, par exemple :
• Affichage des événements récents et de l'historique des événements pour votre compte AWS.• Téléchargement d'un fichier filtré ou complet des 90 derniers jours d'événements.• Création et modification de journaux de suivi CloudTrail.• Configuration de journaux de suivi CloudTrail, notamment :
• Sélection d'un compartiment Amazon S3.• Configuration d'un préfixe.• Configuration de la transmission à CloudWatch Logs.• Utilisation de clés AWS KMS pour le chiffrement.• Activation des notifications Amazon SNS pour la transmission des fichiers journaux.• Ajouter et gérer les balises pour vos journaux de suivi.
À compter 12 avril 2019, les journaux de suivi seront visibles uniquement dans les régions AWS où desévénements sont enregistrés. Si vous créez un journal de suivi qui enregistre les événements dans toutesles régions AWS, il s'affichera dans la console dans toutes les régions AWS. Si vous créez un journalde suivi qui enregistre des événements dans une seule région AWS, vous pouvez l'afficher et le géreruniquement dans cette région AWS.
Pour plus d'informations sur AWS Management Console, consultez AWS Management Console.
CLI CloudTrailL'AWS Command Line Interface est un outil unifié qui permet d'interagir avec CloudTrail à partir de laligne de commande. Pour de plus amples informations, veuillez consulter AWS Command Line InterfaceGuide de l'utilisateur. Pour obtenir la liste complète des commandes de l'interface de ligne de commandeCloudTrail, consultez Commandes disponibles.
CloudTrail APIsOutre la console et l'interface de ligne de commande, vous pouvez également utiliser l'CloudTrail RESTfulAPIs pour programmer CloudTrail directement. Pour de plus amples informations, veuillez consulter AWSCloudTrail API Reference.
AWS SDKsAu lieu d'utiliser l'API CloudTrail, vous pouvez utiliser l'une des SDKs AWS. Chaque kit SDK se composede bibliothèques et d'exemples de code pour différents langages et plateformes de programmation. LesSDKs fournissent un moyen pratique de créer un accès par programme à CloudTrail. Par exemple, vous
Version 1.08
AWS CloudTrail Guide de l'utilisateurComment contrôler l'accès à CloudTrail ?
pouvez utiliser le kit SDKs pour signer les demandes de manière chiffrée, gérer les erreurs et relancerautomatiquement les demandes. Pour plus d'informations, consultez la page Outils pour Amazon WebServices.
Pourquoi utiliser des balises pour les journaux de suivi ?Une balise est une clé définie par le client et une valeur facultative qui peuvent être attribuées à desressources AWS, telles que des journaux de suivi CloudTrail, des compartiments Amazon S3 utilisés pourstocker les fichiers journaux CloudTrail, des entreprises et des unités d'organisation AWS Organizations,et bien plus encore. En ajoutant les mêmes balises aux journaux de suivi et aux compartiments AmazonS3 que vous utilisez pour stocker les fichiers journaux pour les journaux de suivi, vous pouvez faciliterla gestion, la recherche et le filtrage des ces ressources avec Groupes de ressources AWS. Vouspouvez mettre en œuvre des stratégies de balisage pour vous aider à trouver et gérer vos ressourcesuniformément, efficacement et facilement. Pour de plus amples informations, veuillez consulter Stratégiesde balisage AWS.
Comment contrôler l'accès à CloudTrail ?AWS Identity and Access Management est un service web qui permet aux clients Amazon Web Services(AWS) de gérer les utilisateurs et les autorisations des utilisateurs. Utilisez IAM pour créer des utilisateursindividuels pour les personnes qui ont besoin d'accéder à AWS CloudTrail. Créez un utilisateur IAM pourvous-même, IAMaccordez-lui des privilèges d'administrateur IAMet utilisez-le pour toutes vos tâches. Encréant différents utilisateurs IAM pour les personnes accédant à votre compte, vous pouvez attribuer àchaque utilisateur IAM un ensemble spécifique d'informations d'identification de sécurité. Vous pouvezégalement accorder des autorisations différentes à chaque utilisateur IAM. Si nécessaire, vous pouvezmodifier ou révoquer les autorisations d'un utilisateur IAM à tout moment. Pour plus d'informations,consultez Contrôle des autorisations accordées aux utilisateurs pour CloudTrail (p. 134).
Comment journaliser les événements de gestion et dedonnées ?Par défaut, les journaux de suivi consignent tous les événements de gestion de votre compte AWS etn'incluent pas les événements de données. Vous pouvez choisir de créer ou de mettre à jour des journauxde suivi afin de consigner les événements de données. Seuls les événements qui correspondent à vosparamètres de journal de suivi sont livrés à votre compartiment Amazon S3 et, éventuellement, à ungroupe de journaux Amazon CloudWatch Logs. Si l'événement ne correspond aux paramètres d'unsuivi, le suivi ne le consigne pas. Pour plus d'informations, consultez Utilisation des fichiers journauxCloudTrail (p. 140).
Comment journaliser les événements CloudTrailInsights ?AWS CloudTrail Insights aide les utilisateurs AWS à identifier les volumes inhabituels d'appels d'API et ày répondre en analysant continuellement les événements de gestion CloudTrail. Un événement Insightsest un enregistrement de niveaux inhabituels d'activité de l'API de gestion write. La page de détailsd'un événement Insights affiche l'événement sous la forme d'un graphique d'activité inhabituelle. Celui-ci contient les heures de début et de fin de l'activité inhabituelle, ainsi que la référence permettant dedéterminer si l'activité est inhabituelle. Par défaut, les journaux de suivi ne consignent pas les événementsCloudTrail Insights. Dans la console, vous pouvez choisir de consigner les Insights events lorsque vouscréez ou mettez à jour un journal de suivi. Lorsque vous utilisez l'API CloudTrail, vous pouvez consignerles Insights events en modifiant les paramètres d'un journal de suivi existant avec l'API PutInsightSelectors.Des frais supplémentaires sont facturés pour la journalisation des événements CloudTrail Insights. Pour deplus amples informations, veuillez consulter les sections Journalisation des événements Insights pour lesjournaux de suivi (p. 161) et Tarification d'AWS CloudTrail.
Version 1.09
AWS CloudTrail Guide de l'utilisateurComment effectuer la surveillance avec CloudTrail ?
Comment effectuer la surveillance avec CloudTrail ?CloudWatch Logs, CloudWatch Events et CloudTrailAmazon CloudWatch est un service Web qui collecte et suit les métriques permettant de surveiller vosressources Amazon Web Services (AWS) et les applications que vous exécutez sur AWS. AmazonCloudWatch Logs est une fonction de CloudWatch que vous pouvez utiliser spécifiquement poursurveiller les données des journaux. L'intégration à CloudWatch Logs permet à CloudTrail d'envoyer lesévénements contenant une activité d'API de votre compte AWS à un groupe de journaux CloudWatchLogs. Les événements CloudTrail qui sont envoyés à CloudWatch Logs peuvent déclencher des alarmesen fonction des filtres de métriques que vous définissez. Vous pouvez éventuellement configurer desalarmes CloudWatch qui envoient des notifications ou apportent des modifications aux ressources quevous surveillez en fonction des événements de flux de journaux que vos filtres de métriques extraient.CloudWatch Logs permet également de suivre les événements CloudTrail, ainsi que les événements dusystème d'exploitation, des applications ou d'autres services AWS qui sont envoyés à CloudWatch Logs.Pour plus d'informations, consultez Surveillance des fichiers journaux CloudTrail avec Amazon CloudWatchLogs (p. 167).
Amazon CloudWatch Events est un service AWS qui fournit un flux en temps quasi réel d'événementssystème qui décrivent les modifications apportées aux ressources AWS. Dans CloudWatch Events, vouspouvez créer des règles qui se déclenchent sur n'importe quel événement enregistré par CloudTrail. Pourplus d'informations, consultez Création d'une règle CloudWatch Events qui se déclenche sur un appel d'APIAWS à l'aide d'AWS CloudTrail.
Les Insights events sont intégrés à CloudWatch. Vous pouvez fournir des événements auxquels vous êtesabonné sur votre journal de suivi, y compris des Insights events, à CloudWatch Events et CloudWatchLogs. Pour configurer CloudWatch Events avec la console ou l’API CloudWatch, choisissez le typed'événement AWS Insight via CloudTrail sur la page Create rule (Créer une règle) dans la consoleCloudWatch.
L'envoi de données qui sont consignées par CloudTraildans CloudWatch Logs ou CloudWatch Eventsnécessite que vous disposiez d'au moins un journal de suivi. Pour plus d'informations sur la création d'unjournal de suivi, consultez Création d'un journal de suivi (p. 76).
Comment CloudTrail se comporte-t-il à l'échellerégionale et à l'échelle mondiale ?Il est possible d'appliquer un journal de suivi à toutes les régions ou à une seule région. Il est considérécomme une bonne pratique de créer un journal de suivi qui s'applique à toutes les régions dans la partitionAWS dans laquelle vous travaillez. C'est le paramètre par défaut lorsque vous créez un journal de suividans la console CloudTrail.
Note
Activer un journal de suivi signifie que vous créez un journal de suivi et démarrez la transmissionde fichiers journaux d'événements CloudTrail à un compartiment Amazon S3. Dans la consoleCloudTrail, la journalisation est activée automatiquement lorsque vous créez un journal de suivi.
Quels sont les avantages de l'application d'un journal de suivi àtoutes les régions ?Un journal de suivi qui s'applique à toutes les régions AWS présente les avantages suivants :
• Les paramètres de configuration du journal de suivi s'appliquent systématiquement dans toutes lesrégions AWS.
Version 1.010
AWS CloudTrail Guide de l'utilisateurComment CloudTrail se comporte-t-il à
l'échelle régionale et à l'échelle mondiale ?
• Vous recevez les événements CloudTrail de toutes les régions AWS dans un seul compartiment AmazonS3 et, le cas échéant, dans un groupe de journaux CloudWatch Logs.
• Vous gérez la configuration du journal de suivi pour toutes les régions AWS depuis un seulemplacement.
• Vous recevez immédiatement des événements provenant d'une nouvelle région AWS. Quand unenouvelle région AWS est lancée, CloudTrail crée automatiquement une copie de tous les journaux desuivi de votre région pour vous dans la nouvelle région avec les mêmes paramètres que votre journal desuivi d'origine.
• Vous n'avez pas besoin de créer des journaux de suivi dans les régions AWS que vous n'utilisez passouvent afin de surveiller les activités inhabituelles. Toute activité d'une région AWS est consignée dansun journal de suivi qui s'applique à toutes les régions AWS.
Que se passe-t-il lorsque vous appliquez un journal de suivi àtoutes les régions ?Lorsque vous appliquez un journal de suivi à toutes les régions AWS, CloudTrail utilise le journal de suivique vous créez dans une région particulière pour créer des journaux de suivi avec des configurationsidentiques dans toutes les autres régions de votre compte.
Cela a les effets suivants :
• CloudTrail fournit des fichiers journaux pour l'activité du compte dans toutes les régions AWS dans lecompartiment Amazon S3 unique que vous spécifiez et, facultativement, dans un groupe de journauxCloudWatch Logs.
• Si vous avez configuré une rubrique Amazon SNS pour le journal de suivi, les notifications SNSconcernant la livraison de fichiers journaux dans toutes les régions AWS sont envoyées à cette rubriqueSNS unique.
• Si vous l'avez activée, la validation de l'intégrité des fichiers journaux est activée pour le journal de suividans toutes les régions AWS. Pour plus d'informations, consultez Validation de l'intégrité des fichiersjournaux CloudTrail (p. 233).
Plusieurs journaux de suivi par régionSi vous avez des groupes d'utilisateurs différents mais associés, comme des développeurs, du personnelde sécurité et des auditeurs informatiques, vous pouvez créer plusieurs journaux de suivi par région. Celapermet à chaque groupe de recevoir son propre exemplaire des fichiers journaux.
CloudTrail prend en charge cinq journaux de suivi par région. Un journal de suivi qui s'applique à toutes lesrégions AWS compte comme un journal de suivi dans chaque région.
L'exemple suivant est une région avec cinq journaux de suivi :
• Vous créez deux journaux de suivi dans la région Région USA Ouest (Californie du Nord), quis'appliquent uniquement à cette région.
• Vous créez deux autres journaux de suivi dans la région Région USA Ouest (Californie du Nord) quis'appliquent à toutes les régions AWS.
• Vous créez un journal de suivi dans la région Région Asie-Pacifique (Sydney) qui s'applique à toutes lesrégions AWS. Ce suivi existe aussi en tant que suivi dans la région Région USA Ouest (Californie duNord).
Des journaux de suivi s'affichent dans la région AWS dans laquelle ils existent. Des journaux de suivi quiconsignent des événements dans toutes les régions AWS apparaissent dans chaque région. Vous pouvezafficher une liste des journaux de suivi dans une région AWS sur la page Trails (Journaux de suivi) de la
Version 1.011
AWS CloudTrail Guide de l'utilisateurÀ propos des événements de services mondiaux
console CloudTrail. Pour plus d'informations, consultez Mise à jour d'un journal de suivi (p. 86). Pour latarification de CloudTrail, consultez Tarification d'AWS CloudTrail.
AWS Security Token Service (AWS STS) et CloudTrailAWS STS est un service qui possède un point de terminaison global et qui prend également encharge les points de terminaison spécifiques à une région. Un point de terminaison est une URL quiconstitue le point d'entrée des demandes de service Web. Par exemple, https://cloudtrail.us-west-2.amazonaws.com est le point d'entrée de la région USA Ouest (Oregon) pour le service AWSCloudTrail. Les points de terminaison régionaux aident à réduire la latence dans vos applications.
Lorsque vous utilisez un point de terminaison AWS STS propre à une région, le journal de suivi de cetterégion fournit uniquement les événements AWS STS qui se produisent dans cette région. Par exemple, sivous utilisez le point de terminaison sts.us-west-2.amazonaws.com, le journal de suivi de la régionus-west-2 fournit uniquement les événements AWS STS provenant de la région us-west-2. Pour plusd'informations sur les points de terminaison AWS STS régionaux, consultez Activation et désactivationd'AWS STS dans une région AWS dans le IAM Guide de l'utilisateur.
Pour voir la liste complète des points de terminaison AWS régionaux, consultez Régions et pointsde terminaison AWS dans le document AWS General Reference. Pour plus d'informations sur lesévénements de points de terminaison AWS STS mondiaux, consultez À propos des événements deservices mondiaux (p. 12).
À propos des événements de services mondiauxPour la plupart des services, les événements sont enregistrés dans la région où l'action s'est produite.Pour les services mondiaux tels que AWS Identity and Access Management (IAM), AWS STS et AmazonCloudFront, les événements sont livrés à n'importe quel journal de suivi qui inclut les services mondiaux.
Pour la plupart des services mondiaux, les événements sont consignés comme se produisant dans RégionUSA Est (Virginie du N.), mais certains d'entre eux sont consignés comme se produisant dans d'autresrégions, comme Région USA Est (Ohio) ou Région USA Ouest (Oregon).
Pour éviter de recevoir des doublons d'événements de services mondiaux, n'oubliez pas les pointssuivants :
• Les événements de services mondiaux sont transmis par défaut aux journaux de suivi qui sont créés àl'aide de la console CloudTrail. Les événements sont livrés au compartiment pour le journal de suivi.
• Si vous avez plusieurs journaux de suivi sur une seule région, pensez à configurer vos journaux de suivide manière à ce que les événements de services mondiaux soient livrés à un seul des journaux de suivi.Pour plus d'informations, consultez Activation et désactivation de la journalisation des événements deservices mondiaux (p. 99).
• Si vous modifiez la configuration d'un journal de suivi afin qu'il s'applique à une seule région au lieu des'appliquer à toutes les régions, la journalisation des événements de services mondiaux est désactivéeautomatiquement pour ce journal de suivi. De la même manière, si vous modifiez la configuration d'unjournal de suivi afin qu'il s'applique à toutes les régions au lieu de s'appliquer à une seule région, lajournalisation des événements de services mondiaux est activée automatiquement pour ce journal desuivi.
Pour plus d'informations sur la modification de la journalisation des événements de services mondiauxpour un journal de suivi, consultez Activation et désactivation de la journalisation des événements deservices mondiaux (p. 99).
Exemple :
1. Vous créez un journal de suivi dans la console CloudTrail. Par défaut, ce journal de suivi consigne lesévénements de services mondiaux.
Version 1.012
AWS CloudTrail Guide de l'utilisateurQuel est le lien entre CloudTrail et lesautres services de surveillance AWS ?
2. Vous avez plusieurs suivis à une seule région.3. Vous n'avez pas besoin d'inclure les services mondiaux pour les suivis à une seule région.
Les événements de services mondiaux sont fournis pour le premier journal de suivi. Pour plusd'informations, consultez Création, mise à jour et gestion des journaux de suivi avec l'AWS CommandLine Interface (p. 95).
Note
Lorsque vous créez ou mettez à jour un journal de suivi avec l'AWS CLI, l'AWS SDKs ou l'APICloudTrail, vous pouvez spécifier d'inclure ou d'exclure les événements de services mondiauxpour les journaux de suivi. Vous ne pouvez pas configurer la journalisation des événements deservice mondiaux à partir de la console CloudTrail.
Quel est le lien entre CloudTrail et les autres servicesde surveillance AWS ?CloudTrail ajoute une autre dimension à la capacité de surveillance déjà offerte par AWS. Il ne modifiepas ni ne remplace les fonctions de journalisation que vous pourriez déjà utiliser, comme celles desabonnements Amazon S3 ou Amazon CloudFront. Amazon CloudWatch se concentre sur la surveillancedes performances et l'intégrité du système, tandis que CloudTrail se concentre sur l'activité des API. Bienque CloudTrail n'établisse pas de rapport sur les performances ou l'intégrité du système, vous pouvezutiliser CloudTrail avec des alarmes CloudWatch pour qu'il vous envoie des notifications en cas d'activitésusceptible de vous intéresser.
Solutions partenairesAWS collabore avec des tiers spécialisés dans la journalisation et l'analyse pour proposer des solutions quiexploitent les sorties d'CloudTrail. Pour de plus amples informations, veuillez consulter la page de détailCloudTrail sur AWS CloudTrail.
Régions prises en charge par CloudTrailNom de larégion
Région Endpoint Protocol ID de compteAWS
Date de laprise encharge
USA Est(Ohio)
us-east-2 cloudtrail.us-east-2.amazonaws.com
HTTPS 475085895292 17-10-2016
USA Est(Virginiedu Nord)
us-east-1 cloudtrail.us-east-1.amazonaws.com
HTTPS 086441151436 13/11/2013
USA Ouest(Californiedu Nord)
us-west-1 cloudtrail.us-west-1.amazonaws.com
HTTPS 388731089494 13/05/2014
USA Ouest(Oregon)
us-west-2 cloudtrail.us-west-2.amazonaws.com
HTTPS 113285607260 13/11/2013
Canada(Centre)
ca-central-1
cloudtrail.ca-central-1.amazonaws.com
HTTPS 819402241893 12/08/2016
Version 1.013
AWS CloudTrail Guide de l'utilisateurRégions prises en charge par CloudTrail
Nom de larégion
Région Endpoint Protocol ID de compteAWS
Date de laprise encharge
Afrique (LeCap)
af-south-1 cloudtrail.af-south-1.amazonaws.com
HTTPS 525921808201 22/04/2020
Asie-Pacifique(HongKong)
ap us-east-1
cloudtrail.ap-east-1.amazonaws.com
HTTPS 119688915426 24/04/2019
Asie-Pacifique(Mumbai)
ap-south-1 cloudtrail.ap-south-1.amazonaws.com
HTTPS 977081816279 27/06/2016
Asie-Pacifique(Osaka-Local)
ap-northeast-3
cloudtrail.ap-northeast-3.amazonaws.com
HTTPS 765225791966 12/02/2018
Asie-Pacifique(Séoul)
ap-northeast-2
cloudtrail.ap-northeast-2.amazonaws.com
HTTPS 492519147666 06/01/2016
Asie-Pacifique(Singapour)
ap-southeast-1
cloudtrail.ap-southeast-1.amazonaws.com
HTTPS 903692715234 30/06/2014
Asie-Pacifique(Sydney)
ap-southeast-2
cloudtrail.ap-southeast-2.amazonaws.com
HTTPS 284668455005 13/05/2014
Asie-Pacifique(Tokyo)
ap-northeast-1
cloudtrail.ap-northeast-1.amazonaws.com
HTTPS 216624486486 30/06/2014
Chine(Pékin)
cn-north-1 cloudtrail.cn-north-1.amazonaws.com.cn
HTTPS 193415116832 01/03/2014
Chine(Ningxia)
cn-northwest-1
cloudtrail.cn-northwest-1.amazonaws.com.cn
HTTPS 681348832753 12/11/2017
Europe(Francfort)
eu-central-1
cloudtrail.eu-central-1.amazonaws.com
HTTPS 035351147821 23/10/2014
Europe(Stockholm)
eu-north-1 cloudtrail.eu-north-1.amazonaws.com
HTTPS 829690693026 12-11-2018
Europe(Irlande)
eu-west-1 cloudtrail.eu-west-1.amazonaws.com
HTTPS 859597730677 13/05/2014
Europe(Londres)
eu-west-2 cloudtrail.eu-west-2.amazonaws.com
HTTPS 282025262664 12/13/2016
Europe(Paris)
eu-west-3 cloudtrail.eu-west-3.amazonaws.com
HTTPS 262312530599 12/18/2017
UE (Milan) eu-south-1 cloudtrail.eu-south-1.amazonaws.com
HTTPS 669305197877 27/04/2020
Version 1.014
AWS CloudTrail Guide de l'utilisateurExemples de fichiers journaux CloudTrail
Nom de larégion
Région Endpoint Protocol ID de compteAWS
Date de laprise encharge
Moyen-Orient(Bahreïn)
me-south-1
cloudtrail.me-south-1.amazonaws.com
HTTPS 034638983726 29/07/2019
AWSGovCloud(US-East)
us-gov-east-1
cloudtrail.us-gov-east-1.amazonaws.com
HTTPS 886388586500 12/11/2018
AWSGovCloud(USA Ouest)
us-gov-west-1
cloudtrail.us-gov-west-1.amazonaws.com
HTTPS 608710470296 16/08/2011
Amériquedu Sud(SãoPaulo)
sa-east-1 cloudtrail.sa-east-1.amazonaws.com
HTTPS 814480443879 30/06/2014
Pour en savoir plus sur l'utilisation de CloudTrail dans la région Région AWS GovCloud (US-East),consultez AWS GovCloud (US-East) Points de terminaison dans le AWS GovCloud (US) User Guide.
Pour en savoir plus sur l'utilisation de CloudTrail dans la région AWS GovCloud (US-West), consultez AWSGovCloud (US-West) Points de terminaison dans le AWS GovCloud (US) User Guide.
Pour en savoir plus sur l'utilisation de CloudTrail dans la région Chine (Pékin), consultez Région Chine(Pékin) Points de terminaison dans le Référence générale d'Amazon Web Services.
Exemples de fichiers journaux CloudTrailCloudTrail surveille les événements pour votre compte. Si vous créez un journal de suivi, celui-ci fournit cesévénements sous forme de fichiers journaux dans votre compartiment Amazon S3. Consultez la rubriquesuivante pour en savoir plus sur les fichiers journaux.
Rubriques• Format de nom de fichier journal CloudTrail (p. 15)• Exemples de fichiers journaux (p. 16)
Format de nom de fichier journal CloudTrailCloudTrail utilise le format de nom de fichier suivant pour les objets fichiers journaux qu'il transmet à votrecompartiment Amazon S3 :
AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat
• YYYY, MM, DD, HH et mm correspondent aux chiffres de l'année, du mois, du jour, de l'heure et de la minuteoù le fichier journal a été remis. Les heures sont au format 24 heures. Z indique que l'heure est au formatUTC.
Version 1.015
AWS CloudTrail Guide de l'utilisateurExemples de fichiers journaux
Note
Un fichier journal fourni à un moment spécifique peut contenir des enregistrements écritsn'importe quand avant ce moment.
• Le composant UniqueString à 16 caractères du nom du fichier journal est destiné à empêcherl'écrasement des fichiers. Il n'a aucune signification, et doit être ignoré par les logiciels de traitement desjournaux.
• FileNameFormat correspond à l'encodage du fichier. Actuellement, c'est json.gz, qui est un fichier detexte JSON au format compressé gzip.
Exemple de nom de fichier CloudTrail journal
111122223333_CloudTrail_us-east-2_20150801T0210Z_Mu0KsOhtH1ar15ZZ.json.gz
Exemples de fichiers journauxUn fichier journal contient un ou plusieurs enregistrements. Les exemples suivants sont des extraits dejournaux qui présentent les enregistrements correspondant à une action qui a démarré la création d'unfichier journal.
Table des matières• Exemples de journaux Amazon EC2 (p. 16)• Exemples de journaux IAM (p. 18)• Exemple de code d'erreur et de journal de messages (p. 20)• Exemple de journal des événements CloudTrail Insights (p. 20)
Exemples de journaux Amazon EC2Amazon Elastic Compute Cloud (Amazon EC2) offre une capacité de calcul redimensionnable dans lecloud AWS. Vous pouvez lancer des serveurs virtuels, configurer la sécurité et la mise en réseau, et gérerle stockage. Amazon EC2 permet également de monter ou descendre en puissance rapidement afin degérer l'évolution des exigences ou des pics de popularité, ce qui permet de réduire la nécessité de prévoirle trafic du serveur. Pour de plus amples informations, consultez le Amazon EC2 Guide de l'utilisateur pourles instances Linux.
L'exemple suivant montre qu'un utilisateur IAM nommé Alice a utilisé l'AWS CLI pour appeler l'actionAmazon EC2 StartInstances en utilisant la commande ec2-start-instances pour l'instance i-ebeaf9e2.
{"Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accessKeyId": "EXAMPLE_KEY_ID", "accountId": "123456789012", "userName": "Alice" }, "eventTime": "2014-03-06T21:22:54Z", "eventSource": "ec2.amazonaws.com", "eventName": "StartInstances", "awsRegion": "us-east-2", "sourceIPAddress": "205.251.233.176",
Version 1.016
AWS CloudTrail Guide de l'utilisateurExemples de fichiers journaux
"userAgent": "ec2-api-tools 1.6.12.2", "requestParameters": {"instancesSet": {"items": [{"instanceId": "i-ebeaf9e2"}]}}, "responseElements": {"instancesSet": {"items": [{ "instanceId": "i-ebeaf9e2", "currentState": { "code": 0, "name": "pending" }, "previousState": { "code": 80, "name": "stopped" } }]}}}]}
L'exemple suivant montre qu'un utilisateur IAM nommé Alice a utilisé l'AWS CLI pour appeler l'actionAmazon EC2 StopInstances en utilisant ec2-stop-instances.
{"Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2014-03-06T21:01:59Z", "eventSource": "ec2.amazonaws.com", "eventName": "StopInstances", "awsRegion": "us-east-2", "sourceIPAddress": "205.251.233.176", "userAgent": "ec2-api-tools 1.6.12.2", "requestParameters": { "instancesSet": {"items": [{"instanceId": "i-ebeaf9e2"}]}, "force": false }, "responseElements": {"instancesSet": {"items": [{ "instanceId": "i-ebeaf9e2", "currentState": { "code": 64, "name": "stopping" }, "previousState": { "code": 16, "name": "running" } }]}}}]}
L'exemple suivant montre que le backend de la console Amazon EC2 a appelé l'action CreateKeyPairen réponse aux demandes émanant de l'utilisateur IAM Alice. Notez que responseElements contient unhachage de la paire de clés et que la clé a été supprimée par AWS.
{"Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID",
Version 1.017
AWS CloudTrail Guide de l'utilisateurExemples de fichiers journaux
"userName": "Alice", "sessionContext": {"attributes": { "mfaAuthenticated": "false", "creationDate": "2014-03-06T15:15:06Z" }} }, "eventTime": "2014-03-06T17:10:34Z", "eventSource": "ec2.amazonaws.com", "eventName": "CreateKeyPair", "awsRegion": "us-east-2", "sourceIPAddress": "72.21.198.64", "userAgent": "EC2ConsoleBackend, aws-sdk-java/Linux/x.xx.fleetxen Java_HotSpot(TM)_64-Bit_Server_VM/xx", "requestParameters": {"keyName": "mykeypair"}, "responseElements": { "keyName": "mykeypair", "keyFingerprint": "30:1d:46:d0:5b:ad:7e:1b:b6:70:62:8b:ff:38:b5:e9:ab:5d:b8:21", "keyMaterial": "\u003csensitiveDataRemoved\u003e" }}]}
Exemples de journaux IAMAWS Identity and Access Management (IAM) est un service web qui permet aux clients AWS de gérer lesutilisateurs et les autorisations utilisateur. Avec IAM, vous pouvez gérer les utilisateurs, les informationsd'identification de sécurité telles que les clés d'accès, et les autorisations qui contrôlent les ressourcesAWS auxquelles les utilisateurs peuvent accéder. Pour de plus amples informations, consultez le IAMGuide de l'utilisateur.
L'exemple suivant montre que l'utilisateur IAM Alice a utilisé l'AWS CLI pour appeler l'action CreateUserafin de créer un nouvel utilisateur nommé Bob.
{"Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2014-03-24T21:11:59Z", "eventSource": "iam.amazonaws.com", "eventName": "CreateUser", "awsRegion": "us-east-2", "sourceIPAddress": "127.0.0.1", "userAgent": "aws-cli/1.3.2 Python/2.7.5 Windows/7", "requestParameters": {"userName": "Bob"}, "responseElements": {"user": { "createDate": "Mar 24, 2014 9:11:59 PM", "userName": "Bob", "arn": "arn:aws:iam::123456789012:user/Bob", "path": "/", "userId": "EXAMPLEUSERID" }}}]}
L'exemple suivant montre que l'utilisateur IAM Alice a utilisé la AWS Management Console pour appelerl'action AddUserToGroup afin d'ajouter Bob au groupe d'administrateurs.
{"Records": [{
Version 1.018
AWS CloudTrail Guide de l'utilisateurExemples de fichiers journaux
"eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice", "sessionContext": {"attributes": { "mfaAuthenticated": "false", "creationDate": "2014-03-25T18:45:11Z" }} }, "eventTime": "2014-03-25T21:08:14Z", "eventSource": "iam.amazonaws.com", "eventName": "AddUserToGroup", "awsRegion": "us-east-2", "sourceIPAddress": "127.0.0.1", "userAgent": "AWSConsole", "requestParameters": { "userName": "Bob", "groupName": "admin" }, "responseElements": null}]}
L'exemple suivant montre que l'utilisateur IAM Alice a utilisé l'AWS CLI pour appeler l'action CreateRoleafin de créer un nouveau rôle IAM.
{ "Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2014-03-25T20:17:37Z", "eventSource": "iam.amazonaws.com", "eventName": "CreateRole", "awsRegion": "us-east-2", "sourceIPAddress": "127.0.0.1", "userAgent": "aws-cli/1.3.2 Python/2.7.5 Windows/7", "requestParameters": { "assumeRolePolicyDocument": "{\n \"Version\": \"2012-10-17\",\n \"Statement\": [\n {\n \"Sid\": \"\", \n\"Effect\": \"Allow\",\n \"Principal\": {\n \"AWS\": \"arn:aws:iam::210987654321:root\"\n },\n \"Action\": \"sts:AssumeRole\"\n }\n ]\n}", "roleName": "TestRole" }, "responseElements": { "role": { "assumeRolePolicyDocument": "%7B%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%0A%20%20%22Statement%22%3A%20%5B%0A%20%20%20%20%7B%0A%20%20%20%20%20%20%22Sid%22%3A%20%22%22%2C%0A%20%20%20%20%20%20%22Effect%22%3A%20%22Allow%22%2C%0A%20%20%20%20%20%20%22Principal%22%3A%20%7B%0A%20%20%20%20%20%20%20%20%22AWS%22%3A%20%22arn%3Aaws%3Aiam%3A%3A803981987763%3Aroot%22%0A%20%20%20%20%20%20%7D%2C%0A%20%20%20%20%20%20%22Action%22%3A%20%22sts%3AAssumeRole%22%0A%20%20%20%20%7D%0A%20%20%5D%0A%7D", "roleName": "TestRole",
Version 1.019
AWS CloudTrail Guide de l'utilisateurExemples de fichiers journaux
"roleId": "AROAIUU2EOWSWPGX2UJUO", "arn": "arn:aws:iam::123456789012:role/TestRole", "createDate": "Mar 25, 2014 8:17:37 PM", "path": "/" } } }]}
Exemple de code d'erreur et de journal de messagesL'exemple suivant montre que l'utilisateur IAM Alice a utilisé l'AWS CLI pour appeler l'action UpdateTrailafin de mettre à jour un journal de suivi nommé myTrail2, mais le nom du journal de suivi étaitintrouvable. Le journal affiche cette erreur dans les éléments errorCode et errorMessage.
{"Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2016-07-14T19:15:45Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "UpdateTrail", "awsRegion": "us-east-2", "sourceIPAddress": "205.251.233.182", "userAgent": "aws-cli/1.10.32 Python/2.7.9 Windows/7 botocore/1.4.22", "errorCode": "TrailNotFoundException", "errorMessage": "Unknown trail: myTrail2 for the user: 123456789012", "requestParameters": {"name": "myTrail2"}, "responseElements": null, "requestID": "5d40662a-49f7-11e6-97e4-d9cb6ff7d6a3", "eventID": "b7d4398e-b2f0-4faa-9c76-e2d316a8d67f", "eventType": "AwsApiCall", "recipientAccountId": "123456789012"}]}
Exemple de journal des événements CloudTrail InsightsL'exemple suivant présente un journal des événements CloudTrail Insights. Un événement Insights est enfait une paire d'événements qui marquent le début et la fin d'une période d'activité inhabituelle de l'API degestion d'écriture. Le champ state indique si l'événement a été consigné au début ou à la fin de la périoded'activité inhabituelle. Le nom de l'événement, UpdateInstanceInformation, est le même nom quecelui de l'API AWS Systems Manager pour laquelle CloudTrail a analysé les événements de gestion afinde déterminer si une activité inhabituelle s’est produite. Bien que les événements de début et de fin aientdes valeurs eventID uniques, ils ont également une valeur sharedEventID qui est utilisée par la paire.L'événement Insights affiche la valeur baseline, soit le schéma normal d’activité, la valeur insight, soitl’activité moyenne inhabituelle qui a déclenché l'événement Insights de début et, dans l'événement de fin,la valeur insight correspondant à l'activité moyenne inhabituelle pendant toute la durée de l'événementInsights. Pour plus d'informations sur CloudTrail Insights, consultez Journalisation des événements Insightspour les journaux de suivi (p. 161).
{ "Records": [ {
Version 1.020
AWS CloudTrail Guide de l'utilisateurIntégrations et services pris en charge par CloudTrail
"eventVersion": "1.07", "eventTime": "2019-11-14T00:51:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLE8-9621-4d00-b913-beca2EXAMPLE", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE2-1729-42f1-b735-5d8c0EXAMPLE", "insightDetails": { "state": "Start", "eventSource": "ssm.amazonaws.com", "eventName": "UpdateInstanceInformation", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 85.4202380952 }, "insight": { "average": 664 } } } }, "eventCategory": "Insight" }, { "eventVersion": "1.07", "eventTime": "2019-11-14T00:52:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLEc-28be-486c-8928-49ce6EXAMPLE", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE2-1729-42f1-b735-5d8c0EXAMPLE", "insightDetails": { "state": "End", "eventSource": "ssm.amazonaws.com", "eventName": "UpdateInstanceInformation", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 85.4202380952 }, "insight": { "average": 664 }, "insightDuration": 1 } } }, "eventCategory": "Insight" } ]}
Intégrations et services pris en charge parCloudTrail
CloudTrail prend en charge la journalisation des événements pour de nombreux services AWS. Voustrouverez des détails pour chaque service pris en charge dans le guide de ce service. Des liens vers des
Version 1.021
AWS CloudTrail Guide de l'utilisateurIntégrations de service AWS aux journaux CloudTrail
rubriques spécifiques à ces services sont fournis ci-dessous. En outre, certains services AWS peuventêtre utilisés pour analyser les données collectées dans les journaux CloudTrail et agir sur celles-ci. Vouspouvez consulter une présentation des intégrations de ces services ici.
Note
Pour voir la liste des régions prises en charge pour chaque service, consultez Régions et points determinaison dans le document Référence générale d'Amazon Web Services.
Rubriques• Intégrations de service AWS aux journaux CloudTrail (p. 22)• Intégration CloudTrail à AWS Organizations (p. 23)• Rubriques des services AWS pour CloudTrail (p. 23)• Services non pris en charge par CloudTrail (p. 33)
Intégrations de service AWS aux journaux CloudTrailVous pouvez configurer d'autres services AWS afin d'analyser plus en profondeur les donnéesd'événement collectées dans les journaux CloudTrail et d'agir sur celles-ci. Pour plus d'informations,consultez les rubriques suivantes.
Service AWS Rubrique Description
Amazon Athena Interrogation des journaux AWSCloudTrail
L'utilisation d'Athena avec desjournaux CloudTrail est unmoyen puissant d'améliorervotre analyse de l'activité duservice AWS. Par exemple, vouspouvez utiliser des requêtes pouridentifier des tendances et isolerdavantage l'activité par attribut,comme l'adresse IP source oul'utilisateur.
Vous pouvez créerautomatiquement des tablespour interroger des journauxdirectement à partir de la consoleCloudTrail et utiliser ces tablespour exécuter des requêtes dansAthena. Pour plus d'informations,consultez Création d'une tablepour les journaux CloudTraildans la console CloudTrail dansle .Amazon Athena Guide del'utilisateur
Note
L'exécution de requêtesdans Amazon Athenagénère des coûtssupplémentaires. Pourplus d'informations,consultez TarificationAmazon Athena.
Version 1.022
AWS CloudTrail Guide de l'utilisateurIntégration CloudTrail à AWS Organizations
Service AWS Rubrique Description
Amazon CloudWatch Logs Surveillance des fichiers journauxCloudTrail avec AmazonCloudWatch Logs (p. 167)
Vous pouvez configurerCloudTrail avec CloudWatchLogs afin de surveiller vosjournaux de suivi et de recevoirune notification lorsqu'uneactivité spécifique a lieu. Parexemple, vous pouvez définir desfiltres de métriques CloudWatchLogs qui déclenchent desalarmes CloudWatch et vousenvoient des notifications lorsqueces alarmes sont déclenchées.
Note
La tarification standardpour AmazonCloudWatch et AmazonCloudWatch Logss'applique. Pour ensavoir plus, consultezTarification AmazonCloudWatch.
Intégration CloudTrail à AWS OrganizationsVous pouvez créer un journal de suivi dans le compte de gestion d'une organisation qui collecte toutes lesdonnées d'événement pour tous les comptes AWS d'une organisation dans AWS Organizations. Ce journalest appelé journal de suivi d'une organisation. La création d'un journal de suivi d'organisation vous permetde définir une stratégie de journalisation des événements uniforme pour votre organisation. Un journal desuivi d'une organisation s'applique automatiquement à chaque compte AWS de votre organisation. Lesutilisateurs de comptes membres peuvent voir ces journaux d'activité, mais ne peuvent pas les modifier,et par défaut ne peuvent pas afficher les fichiers journaux créés pour le suivi de l'organisation. Pour plusd'informations, consultez Création d'un journal de suivi pour une organisation (p. 116).
Rubriques des services AWS pour CloudTrailVous pouvez en savoir plus sur la façon dont les événements des différents services AWS sont enregistrésdans des journaux CloudTrail, et voir des exemples d'événements de ces services dans des fichiersjournaux. Pour plus d'informations sur la façon dont des services AWS spécifiques s'intègrent à CloudTrail,consultez la rubrique sur l'intégration dans le guide spécifique de chacun de ces services.
Service AWS CloudTrail Rubriques Début dela prise encharge
Alexa for Business Journalisation des appels d'administration Alexa forBusiness à l'aide d' AWS CloudTrail
29/11/2017
Gestionnaire d'audit AWS Journalisation des appels d'API AWS Audit Manageravec AWS CloudTrail
12/07/2020
Version 1.023
AWS CloudTrail Guide de l'utilisateurRubriques des services AWS pour CloudTrail
Service AWS CloudTrail Rubriques Début dela prise encharge
Amazon API Gateway Journalisation des appels de gestion d'API àAmazon API Gateway à l'aide d' AWS CloudTrail
09/07/2015
Amazon Connect Journalisation des appels d'API Amazon Connectavec AWS CloudTrail
12/11/2019
Application Auto Scaling Journalisation des appels d'API Application AutoScaling avec AWS CloudTrail
31/10/2016
AWS Application DiscoveryService
Journalisation des appels d'API ApplicationDiscovery Service avec AWS CloudTrail
12/05/2016
Amazon AppFlow Journalisation des appels d'API Amazon AppFlowavec AWS CloudTrail
22/04/2020
AWS App Mesh Journalisation des appels d'API App Mesh avecAWS CloudTrail
Amazon AppStream 2.0 Journalisation des appels d'API Amazon AppStream2.0 avec AWS CloudTrail
25/04/2019
AWS AppSync Journalisation des appels d'API AWS AppSync avecAWS CloudTrail
13/02/2018
Amazon Athena Journalisation des appels d'API Amazon Athenaavec AWS CloudTrail
19/05/2017
AWS Auto Scaling Journalisation des appels d'API AWS Auto Scalingavec CloudTrail
15/08/2018
AWS Backup Journalisation des appels d'API AWS Backup avecAWS CloudTrail
04/02/2019
AWS Batch Journalisation des appels d'API AWS Batch avecAWS CloudTrail
10/01/2018
AWS Billing and CostManagement
Journalisation des appels d'API AWS Billing andCost Management avec AWS CloudTrail
07/06/2018
AWS Certificate Manager Utilisation d' AWS CloudTrail 25/03/2016
Autorité de certification privéeAWS Certificate Manager
Utilisation d' CloudTrail 06/06/2019
Amazon Chime Journaliser les appels d'administration AmazonChime avec AWS CloudTrail
27/09/2017
Amazon Cloud Directory Journalisation des appels d'API Amazon CloudDirectory avec AWS CloudTrail
26/01/2017
AWS Cloud9 Journalisation des appels d'API AWS Cloud9 avecAWS CloudTrail
21/01/2019
AWS CloudFormation Journalisation des appels d'API AWSCloudFormation dans AWS CloudTrail
02/04/2014
Version 1.024
AWS CloudTrail Guide de l'utilisateurRubriques des services AWS pour CloudTrail
Service AWS CloudTrail Rubriques Début dela prise encharge
Amazon CloudFront Utilisation d'AWS CloudTrail pour capturer lesdemandes envoyées à l'APICloudFront
28/05/2014
AWS CloudHSM Journalisation des appels d'API AWS CloudHSMavec AWS CloudTrail
08/01/2015
AWS Cloud Map Journalisation des appels d'API Cloud Map AWSavec AWS CloudTrail
11-28-2018
Amazon CloudSearch Journalisation des appels du service deconfiguration Amazon CloudSearch à l'aide d' AWSCloudTrail
16/10/2014
AWS CloudTrail AWS CloudTrail API Reference (Tous les appelsd'API CloudTrail sont journalisés par CloudTrail.)
13/11/2013
Amazon CloudWatch Journalisation des appels d'API AmazonCloudWatch dans AWS CloudTrail
30/04/2014
CloudWatch Events Journalisation des appels d'APIAmazon CloudWatch Events dans AWS CloudTrail
16/01/2016
CloudWatch Logs Journalisation des appels d'API AmazonCloudWatch Logs dans AWS CloudTrail
10/03/2016
AWS CodeBuild Journalisation des appels d'API AWS CodeBuildavec AWS CloudTrail
01/12/2016
AWS CodeCommit Journalisation des appels d'API AWS CodeCommitavec AWS CloudTrail
11/01/2017
AWS CodeDeploy Surveillance des déploiements avec AWS CloudTrail 16/12/2014
Amazon CodeGuru Reviewer Journalisation des appels d'API Amazon CodeGuruReviewer avec AWS CloudTrail
02/12/2019
AWS CodePipeline Journalisation des appels d'API CodePipeline àl'aide d' AWS CloudTrail
09/07/2015
AWS CodeStar Journalisation des appels d'API AWS CodeStar avecAWS CloudTrail
14/06/2017
Notifications AWS CodeStar Journalisation des appels d'API de notificationsAWS CodeStar avec AWS CloudTrail
11/05/2019
Amazon Cognito Journalisation des appels d'API Amazon Cognitoavec AWS CloudTrail
18/02/2016
Amazon Comprehend Journalisation des appels d'API AmazonComprehend avec AWS CloudTrail
17/01/2018
Amazon Comprehend Medical Journalisation des appels d'API AmazonComprehend Medical à l'aide d' AWS CloudTrail
11-27-2018
AWS Config Journalisation des appels d'API AWS Config avecAWS CloudTrail
10/02/2015
Version 1.025
AWS CloudTrail Guide de l'utilisateurRubriques des services AWS pour CloudTrail
Service AWS CloudTrail Rubriques Début dela prise encharge
AWS Control Tower Journalisation des actions AWS Control Tower avecAWS CloudTrail
12/08/2019
Gestionnaire de cycle de vie desdonnées Amazon
Journalisation des appels d'API Gestionnaire decycle de vie des données Amazon avec AWSCloudTrail
24/07/2018
AWS Data Pipeline Journalisation des appels d'API AWS Data Pipelineavec AWS CloudTrail
02/12/2014
AWS Database Migration Service(AWS DMS)
Journalisation des appels d'APIAWS Database Migration Service avec AWSCloudTrail
04/02/2016
AWS DataSync Journalisation des appels d'API AWS DataSyncavec AWS CloudTrail
11-26-2018
Amazon Detective Journalisation des appels d'API Amazon Detectiveavec AWS CloudTrail
03/31/2020
AWS Device Farm Journalisation des appels d'API AWS Device Farm àl'aide d' AWS CloudTrail
13/07/2015
AWS Direct Connect Journalisation des appels d'API AWS Direct Connectdans AWS CloudTrail
08/03/2014
AWS Directory Service Journalisation des appels d'API AWS DirectoryService à l'aide d' CloudTrail
14/05/2015
Amazon DocumentDB (aveccompatibilité MongoDB)
Journalisation des appels d'API AmazonDocumentDB avec AWS CloudTrail
09/01/2019
Amazon DynamoDB Journalisation des opérations DynamoDB à l'aide d'AWS CloudTrail
28/05/2015
Amazon Elastic ContainerRegistry (Amazon ECR)
Journalisation des appels d'API Amazon ECR avecAWS CloudTrail
21/12/2015
Amazon Elastic ContainerService (Amazon ECS)
Journalisation des appels d'API Amazon ECS avecAWS CloudTrail
09/04/2015
AWS Elastic Beanstalk (ElasticBeanstalk)
Utilisation des appels d'API Elastic Beanstalk avecAWS CloudTrail
31/03/2014
Amazon Elastic Block Store(Amazon EBS)
Journalisation des appels d'API avec AWSCloudTrail
13/11/2013
Amazon Elastic Compute Cloud(Amazon EC2)
Journalisation des appels d'API avec AWSCloudTrail
13/11/2013
Amazon EC2 Auto Scaling Journalisation des appels d'API Auto Scaling avecCloudTrail
16/07/2014
Amazon Elastic File System(Amazon EFS)
Journalisation des appels d'API Amazon EFS avecAWS CloudTrail
28/06/2016
Version 1.026
AWS CloudTrail Guide de l'utilisateurRubriques des services AWS pour CloudTrail
Service AWS CloudTrail Rubriques Début dela prise encharge
Amazon Elastic KubernetesService (Amazon EKS)
Journalisation des appels d'API Amazon EKS avecAWS CloudTrail
05/06/2018
Elastic Load Balancing Journalisation AWS CloudTrail pour votre équilibreurde charge classique et Journalisation AWSCloudTrail pour votre Equilibreur de charged'application
04/04/2014
Amazon Elastic Transcoder Journalisation des appels d'API Amazon ElasticTranscoder avec AWS CloudTrail
27/10/2014
Amazon ElastiCache Journalisation des appels d'API AmazonElastiCache avec AWS CloudTrail
15/09/2014
Amazon Elasticsearch Service Audit des domaines Amazon Elasticsearch Serviceavec AWS CloudTrail
01/10/2015
AWS Elemental MediaConnect Journalisation des appels d'API MediaConnect AWSElemental avec AWS CloudTrail
11-27-2018
AWS Elemental MediaConvert Journalisation des appels d'API MediaConvert AWSElemental avec CloudTrail
27/11/2017
AWS Elemental MediaLive Journalisation des appels d'API MediaLive avecAWS CloudTrail
19/01/2019
AWS Elemental MediaPackage Journalisation des appels d'API AWS ElementalMediaPackage avec AWS CloudTrail
12-21-2018
AWS Elemental (Élémentaire)MediaStore
Journalisation des appels d'API MediaStore AWSElemental avec CloudTrail
27/11/2017
AWS Elemental MediaTailor Journalisation des appels d'API AWS ElementalMediaTailor avec AWS CloudTrail
02/11/2019
Amazon EMR Journalisation des appels d'API Amazon EMR dansAWS CloudTrail
04/04/2014
Amazon EMR sur EKS Journalisation des appels d'API Amazon EMR surEKS avec AWS CloudTrail
12/09/2020
AWS Firewall Manager Journalisation des appels d'API AWS FirewallManager avec AWS CloudTrail
05/04/2018
Amazon Forecast Journalisation des appels d'API Amazon Forecastavec AWS CloudTrail
11-28-2018
Mises à jour OTA FreeRTOS Journalisation des appels d'API OTA AWS IoT avecAWS CloudTrail
05/22/2019
Amazon FSx for Lustre Journalisation des appels d'API Amazon FSx forLustre avec AWS CloudTrail
11/01/2019
Amazon FSx forWindows File Server
Surveillance avec AWS CloudTrail 11-28-2018
Version 1.027
AWS CloudTrail Guide de l'utilisateurRubriques des services AWS pour CloudTrail
Service AWS CloudTrail Rubriques Début dela prise encharge
Amazon GameLift Journalisation des appels d'API Amazon GameLiftavec AWS CloudTrail
27/01/2016
Amazon S3 Glacier Journalisation des appels d'API S3 Glacier avecAWS CloudTrail
11/12/2014
AWS Global Accelerator Journalisation des appels d'API AWS GlobalAccelerator avec AWS CloudTrail
11-26-2018
AWS Glue Journalisation des opérations AWS Glue avec AWSCloudTrail
07/11/2017
AWS Ground Station Journalisation des appels d'API AWS GroundStation avec AWS CloudTrail
31/05/2019
Amazon GuardDuty Journalisation des appels d'API Amazon GuardDutyavec AWS CloudTrail
12/02/2018
AWS Health Journalisation des appels d'API AWS Health avecAWS CloudTrail
21/11/2016
Amazon HealthLake Journalisation des appels d'API Amazon HealthLakeavec AWS CloudTrail
12/07/2020
Code d'affinage Amazon Journalisation des appels d'API Amazon honeycodeavec AWS CloudTrail
06/24/2020
Amazon Inspector Journalisation des appels d'API Amazon Inspectoravec AWS CloudTrail
20/04/2016
Amazon Interactive VideoService
Journalisation des appels d'API Amazon IVS avecAWS CloudTrail
07/15/2020
AWS IoT Journalisation des appels d'API AWS IoT avec AWSCloudTrail
11/04/2016
Analyse AWS IoT Journalisation des appels d'API Analytics AWS IoTavec AWS CloudTrail
23/04/2018
AWS IoT 1-Click Journalisation des appels d'API AWS IoT 1-Clickavec AWS CloudTrail
14/05/2018
Événements AWS IoT Journalisation des appels d'API AWS IoT Eventsavec AWS CloudTrail
06/11/2019
AWS IoT Greengrass Journalisation des appels d'API AWS IoTGreengrass avec AWS CloudTrail
10-29-2018
AWS IoT Greengrass V2 Journalisation des appels d'API AWS IoTGreengrass V2 avec AWS CloudTrail
12/14/2020
AWS IoT SiteWise Journalisation des appels d'API AWS IoT SiteWiseavec AWS CloudTrail
04/29/2020
AWS IoT Things Graph Journalisation des appels d'API AWS IoT ThingsGraph avec AWS CloudTrail
31/05/2019
Version 1.028
AWS CloudTrail Guide de l'utilisateurRubriques des services AWS pour CloudTrail
Service AWS CloudTrail Rubriques Début dela prise encharge
AWS Identity and AccessManagement (IAM)
Journalisation des événements IAM avec AWSCloudTrail
13/11/2013
Amazon Kendra Journalisation des appels d'API Amazon Kendraavec AWS CloudTrail
05/11/2020
AWS Key Management Service(AWS KMS)
Journalisation des appels d'API AWS KMS avecAWS CloudTrail
12/11/2014
Amazon Kinesis Data Analytics Surveillance Amazon Kinesis Data Analyticsavec AWS CloudTrail (applications SQL) etJournalisation Amazon Kinesis Data Analytics avecAWS CloudTrail (applications Apache Flink)
22/03/2019
Amazon Kinesis Data Firehose Surveillance des appels d'API Amazon Kinesis DataFirehose avec AWS CloudTrail
17/03/2016
Amazon Kinesis Data Streams Journalisation des appels d'API Amazon KinesisData Streams avec AWS CloudTrail
25/04/2014
Amazon Flux vidéo Kinesis Journalisation des appels d'API Flux vidéo Kinesisavec AWS CloudTrail
24/05/2018
AWS Lambda Journalisation des appels d'API AWS Lambda avecAWS CloudTrail
Utilisation de Lambda avec AWS CloudTrail
Événementsde gestion :09/04/2015
Événementsde données :11/30/2017
Amazon Lex Journalisation des appels d'API Amazon Lex avecCloudTrail
15/08/2017
Gestionnaire de licences AWS Journalisation des appels d'API du gestionnaire delicences AWS avec AWS CloudTrail
01/03/2019
Amazon Lightsail Journalisation des appels d'API Lightsail avec AWSCloudTrail
23/12/2016
Service d'emplacement Amazon Journalisation et surveillance avec AWS CloudTrail 12/15/2020
Recherche de vision Amazon Journalisation des appels Amazon Lookout forVision avec AWS CloudTrail
12/01/2020
Recherche d'équipement parAmazon
Surveillance de la recherche d'appels d'équipementavec AWS CloudTrail
12/01/2020
Amazon Machine Learning Journalisation des appels d'API Amazon ML avecAWS CloudTrail
10/12/2015
Amazon Macie Journalisation des appels d'API Amazon Macie avecAWS CloudTrail
13/05/2020
Amazon Keyspaces (pourApache Cassandra)
Journalisation des appels d'API Amazon Keyspacesavec AWS CloudTrail
13/01/2020
Version 1.029
AWS CloudTrail Guide de l'utilisateurRubriques des services AWS pour CloudTrail
Service AWS CloudTrail Rubriques Début dela prise encharge
AWS Managed Services AWS Services gérés 21/12/2016
Amazon Managed Streaming forApache Kafka
Journalisation des appels d'API Amazon MSK avecAWS CloudTrail
12-11-2018
AWS Marketplace Journalisation des appels d'API AWS Marketplaceavec AWS CloudTrail
02/05/2017
Metering Service AWSMarketplace
Journalisation des appels d'API AWS Marketplaceavec AWS CloudTrail
08/22/2018
Hub de migration AWS Journalisation des appels d'API du hub de migrationAWS avec AWS CloudTrail
14/08/2017
AWS Mobile Hub Journalisation des appels d'API de l'interfacede ligne de commande AWS Mobile avec AWSCloudTrail
29/06/2018
Amazon MQ Journalisation des appels d'API Amazon MQ avecAWS CloudTrail
19/07/2018
Amazon Neptune Journalisation des appels d'API Amazon Neptuneavec AWS CloudTrail
30/05/2018
Pare-feu réseau AWS Journalisation des appels à l'API AWS NetworkFirewall avec AWS CloudTrail
11/17/2020
AWS OpsWorks Journalisation des appels d'API AWS OpsWorksavec AWS CloudTrail
04/06/2014
AWS OpsWorks for ChefAutomate
Journalisation des appels d'API AWS OpsWorks forChef Automate avec AWS CloudTrail
16/07/2018
AWS OpsWorks pour PuppetEnterprise
Journalisation des appels d'API OpsWorks pourPuppet Enterprise avec AWS CloudTrail
16/07/2018
AWS OpsWorks Stacks Journalisation des appels d'API AWS OpsWorksStacks avec AWS CloudTrail
04/06/2014
AWS Organizations Journalisation des événements AWS Organizationsavec AWS CloudTrail
27/02/2017
AWS Outposts Journalisation des appels d'API AWS Outposts avecAWS CloudTrail
02/04/2020
AWS Personal Health Dashboard Journalisation des appels d'API AWS Health avecAWS CloudTrail
01/12/2016
Amazon Personalize Journalisation des appels d'API Amazon Personalizeavec AWS CloudTrail
11-28-2018
Amazon Pinpoint Journalisation des appels d'API Amazon Pinpointavec AWS CloudTrail
06/02/2018
API Amazon Pinpoint SMS andVoice
Journalisation des appels d'API Amazon Pinpointavec AWS CloudTrail
11-16-2018
Version 1.030
AWS CloudTrail Guide de l'utilisateurRubriques des services AWS pour CloudTrail
Service AWS CloudTrail Rubriques Début dela prise encharge
Amazon Polly Journalisation des appels d'API Amazon Polly avecAWS CloudTrail
30/11/2016
Amazon Quantum LedgerDatabase (Amazon QLDB)
Journalisation des appels d'API Amazon QLDB avecAWS CloudTrail
10/09/2019
Autorité de certification privéeAWS Certificate Manager
Utilisation d' CloudTrail 04/04/2018
Amazon QuickSight Journalisation des opérations avec CloudTrail 28/04/2017
Amazon Redshift Journalisation des appels d'API Amazon Redshiftavec AWS CloudTrail
10/06/2014
Amazon Rekognition Journalisation des appels d'API AmazonRekognition avec AWS CloudTrail
06/04/2018
Amazon Relational DatabaseService (Amazon RDS)
Journalisation des appels d'API Amazon RDS avecAWS CloudTrail
13/11/2013
Amazon RDS PerformanceInsights
Journalisation des appels d'API Amazon RDS avecAWS CloudTrail
L'Amazon RDSAPI Performance Insights &RDS; estun sous-ensemble de l'API Amazon RDS.
21/06/2018
AWS Resource Access Manager(AWS RAM)
Journalisation des appels d'API AWS RAM avecAWS CloudTrail
11-20-2018
Groupes de ressources AWS Journalisation des appels d'API de groupes deressources AWS avec AWS CloudTrail
29/06/2018
AWS RoboMaker Journalisation des appels d'API AWS RoboMakeravec AWS CloudTrail
16/01/2019
Amazon Route 53 Utilisation de AWS CloudTrail pour capturer desdemandes envoyées à l'API Route 53.
11/02/2015
Amazon SageMaker Journalisation des appels d'API Amazon SageMakeravec AWS CloudTrail
11/01/2018
AWS Secrets Manager Surveillance de l'utilisation de vos secrets AWSSecrets Manager
05/04/2018
AWS Security Hub Journalisation des appels d'API AWS Security Hubavec AWS CloudTrail
11-27-2018
AWS Security Token Service(AWS STS)
Journalisation des événements IAM avec AWSCloudTrail
La rubrique IAM contient des informationsconcernant AWS STS.
13/11/2013
AWS Server Migration Service Référence d'API AWS SMS 14/11/2016
AWS Serverless ApplicationRepository
Journalisation des appels d'API AWS ServerlessApplication Repository avec AWS CloudTrail
20/02/2018
Version 1.031
AWS CloudTrail Guide de l'utilisateurRubriques des services AWS pour CloudTrail
Service AWS CloudTrail Rubriques Début dela prise encharge
AWS Service Catalog Journalisation des appels d'API AWS ServiceCatalog avec AWS CloudTrail
06/07/2016
AWS Shield Journalisation des appels d'API Shield Advancedavec AWS CloudTrail
08/02/2018
Amazon Simple Email Service(Amazon SES)
Journalisation des appels d'API Amazon SES avecAWS CloudTrail
07/05/2015
Amazon Simple NotificationService (Amazon SNS)
Journalisation des appels d'API Amazon SimpleNotification Service avec AWS CloudTrail
09/10/2014
Amazon Simple Queue Service(Amazon SQS)
Journalisation des actions d'API Amazon SQS avecAWS CloudTrail
16/07/2014
Amazon Simple Storage Service Journalisation des appels d'API Amazon S3 avecAWS CloudTrail
Événementsde gestion :09/01/2015
Événementsde données :21/11/2016
Amazon Simple WorkflowService (Amazon SWF)
Journalisation des appels d'API Amazon SimpleWorkflow Service avec AWS CloudTrail
13/05/2014
Authentification unique AWS(AWS SSO)
Journalisation des appels d'API AWS SSO avecAWS CloudTrail
07/12/2017
AWS Snowball Journalisation des appels d'API AWS Snowball avecAWS CloudTrail
25/01/2019
AWS Snowball Edge Journalisation des appels d'API AWS SnowballEdge avec AWS CloudTrail
25/01/2019
AWS Step Functions Journalisation des appels d'API AWS StepFunctions avec AWS CloudTrail
01/12/2016
AWS Storage Gateway Journalisation des appels d'API AWS StorageGateway à l'aide d' AWS CloudTrail
16/12/2014
AWS Support Journalisation des appels d'API AWS Support avecAWS CloudTrail
21/04/2016
AWS Systems Manager(Systems Manager)
Journalisation des appels d'API Systems Manageravec AWS CloudTrail
13/11/2013
Amazon Textract Journalisation des appels d'API Amazon Textractavec AWS CloudTrail
05/29/2019
Amazon Transcribe Journalisation des appels d'API Amazon Transcribeavec AWS CloudTrail
28/06/2018
AWS Transfer for SFTP Journalisation des appels d'API AWS Transfer forSFTP avec AWS CloudTrail
08/01/2019
Version 1.032
AWS CloudTrail Guide de l'utilisateurServices non pris en charge par CloudTrail
Service AWS CloudTrail Rubriques Début dela prise encharge
Amazon Translate Journalisation des appels d'API Amazon Translateavec AWS CloudTrail
04/04/2018
AWS Transit Gateway Journalisation des appels d'API pour votrepasserelle de transit à l'aide d' AWS CloudTrail
11-26-2018
AWS Trusted Advisor Journalisation des actions de la console AWSTrusted Advisor avec AWS CloudTrail
10/22/2020
Amazon Virtual Private Cloud(Amazon VPC)
Journalisation des appels d'API avec AWSCloudTrail
L'API Amazon VPC est un sous-ensemble de l'APIAmazon EC2.
13/11/2013
AWS WAF Journalisation des appels d'API AWS WAF avecAWS CloudTrail
28/04/2016
AWS Well-Architected Tool Journalisation des appels d'API de l'outil AWS WAavec AWS CloudTrail
12/15/2020
Amazon WorkDocs Journalisation des appels d'API Amazon WorkDocsavec AWS CloudTrail
27/08/2014
Amazon WorkLink Journalisation des appels d'API Amazon WorkLinkavec AWS CloudTrail
23/01/2019
Amazon WorkMail Journalisation des appels d'API Amazon WorkMailavec AWS CloudTrail
12/12/2017
Amazon WorkSpaces Journalisation des appels d'API AmazonWorkSpaces à l'aide d' CloudTrail
09/04/2015
AWS X-Ray Journalisation des appels d'API AWS X-Ray avecCloudTrail
25/04/2018
Services non pris en charge par CloudTrailLes services AWS suivants ne prennent pas en charge les événements de journalisation avec AWSCloudTrail. Les raisons pour lesquelles un service ne prend pas en charge la journalisation CloudTrailpeuvent varier. Par exemple, un service qui est encore en version préliminaire, ou qui n'est pas encore misà disposition générale (GA), n'est pas considéré comme pris en charge pour la journalisation CloudTrail.
Pour obtenir la liste des services AWS pris en charge, consultez Intégrations et services pris en charge parCloudTrail (p. 21).
Service AWS Date de lancement
AWS Import/Export 17 juin 2020
Amazon Macie Classic 14 août 2017
Service AWS Price List 17 décembre 2018
Version 1.033
AWS CloudTrail Guide de l'utilisateurQuotas dans AWS CloudTrail
Les services AWS suivants n'ont pas d'opérations d'API publiques.
Service AWS Date de lancement
AWS Deep Learning AMI 15 novembre 2017
Amazon WorkSpaces Application Manager 9 avril 2015
AWS Artifact 30 novembre 2016
AWS DeepComposer 2 décembre 2019
AWS DeepLens 29 novembre 2017
AWS DeepRacer 29 avril 2019
AWS Snowmobile 30 novembre 2016
Amazon Sumerian 15 mai 2018
Quotas dans AWS CloudTrailLe tableau suivant décrit les quotas, ou limites, dans CloudTrail. CloudTrail n'a pas de quotas ajustables.Pour plus d'informations sur les autres quotas dans AWS, consultez Quotas de service AWS.
Ressource Limite par défaut Commentaires
Journaux de suivi par région 5 Cette limite ne peut pas êtreaugmentée.
Obtenir, décrire et répertorier lesAPIs
10 transactions par seconde(TPS)
Le nombre maximum dedemandes d'opérations parseconde sans être limité. L'APILookupEvents n'est pas inclusedans cette catégorie.
Cette limite ne peut pas êtreaugmentée.
API LookupEvents 2 transactions par seconde (TPS) Le nombre maximum dedemandes d'opérations parseconde sans être limité.
Cette limite ne peut pas êtreaugmentée.
Tous les autres APIs 1 transaction par seconde (TPS) Le nombre maximum dedemandes d'opérations parseconde sans être limité.
Cette limite ne peut pas êtreaugmentée.
Sélecteurs d'événements 5 par journal de suivi Cette limite ne peut pas êtreaugmentée.
Version 1.034
AWS CloudTrail Guide de l'utilisateurQuotas dans AWS CloudTrail
Ressource Limite par défaut Commentaires
Sélecteurs d'événementsavancés
500 conditions sur tous lessélecteurs d'événementsavancés
Si un journal de suivi utilisedes sélecteurs d'événementsavancés, un maximum de 500valeurs totales pour toutesles conditions dans tous lessélecteurs d'événementsavancés est autorisé. À moinsqu'un journal de suivi enregistredes événements de donnéessur toutes les ressources, tellesque tous les compartiments S3ou toutes les fonctions Lambda,un journal de suivi est limité à250 ressources de données. Lesressources de données peuventêtre réparties entre les sélecteursd'événements, mais le totalglobal ne peut pas en dépasser250.
Cette limite ne peut pas êtreaugmentée.
Version 1.035
AWS CloudTrail Guide de l'utilisateurQuotas dans AWS CloudTrail
Ressource Limite par défaut Commentaires
Ressources de données dans lessélecteurs d'événements
250 sur l'ensemble dessélecteurs d'événements d'unjournal de suivi
Si vous choisissez de limiter lesévénements de données à l'aidede sélecteurs d'événementsou de sélecteurs d'événementsavancés, le nombre total deressources de données ne peutpas dépasser 250 sur l'ensembledes sélecteurs d'événementsd'un journal de suivi. Le nombrede ressources maximal pourun sélecteur d'événements estconfigurable jusqu'à 250. Cettelimite supérieure est autoriséeuniquement si le nombre totalde ressources de données nedépasse pas 250 sur l'ensembledes sélecteurs d'événements.
Exemples :
• Un journal de suivi avec5 sélecteurs d'événements,chacun configuré avec50 ressources de données, estautorisé. (5*50=250)
• Un journal de suivi avec 5sélecteurs d'événements,dont 3 sont configurés avec50 ressources de données,1 avec 99 ressources dedonnées et 1 avec 1 ressourcede données, est égalementautorisé. ((3*50)+1+99=250)
• Un journal de suivi avec5 sélecteurs d'événements,dont tous sont configurés avec100 ressources de données,n'est pas autorisé. (5*100=500)
Cette limite ne peut pas êtreaugmentée.
La limite ne s'applique pas sivous choisissez de consignerles événements de données surtoutes les ressources, telles quetous les compartiments S3 outoutes les fonctions Lambda.
Version 1.036
AWS CloudTrail Guide de l'utilisateurQuotas dans AWS CloudTrail
Ressource Limite par défaut Commentaires
Taille de l'événement Toutes les versionsd'événements : les événementssupérieurs à 256 Ko ne peuventpas être envoyés à CloudWatchLogs.
Version d'événement 1.05 etversions ultérieures : limite detaille d'événement totale de 256Ko
et Amazon CloudWatch Logsautorisent chacun une taillemaximale d'événement de 256Ko. Amazon CloudWatch Eventsn'envoie pas d'événements deplus de 256 Ko à CloudTrail ouCloudWatch Logs.CloudWatchEvents
A partir de la versiond'événement 1.05, lesévénements ont une taillemaximale de 256 Ko. L'objectifest d'empêcher l'exploitationpar des acteurs malveillants etd'autoriser la consommationd'événements par d'autresservices AWS, tels queCloudWatch Logs et CloudWatchEvents.
Version 1.037
AWS CloudTrail Guide de l'utilisateurPrerequisites
Didacticiel Démarrez avecAWSCloudTrail
Si vous débutez avec AWS CloudTrail, ce didacticiel vous apprend à utiliser ses fonctions. Dansce didacticiel, vous examinez l'activité récente de votre compte AWS dans la console CloudTrail etexaminez un événement. Vous pouvez ensuite créer un journal de suivi, qui est un registre permanent del'activité des événements de gestion et qui est stocké dans un compartiment Amazon S3. Contrairementà l'historique des événements, cet enregistrement continu n'est pas limité à 90 jours, consigne lesévénements dans toutes les régions AWS et peut vous aider à répondre à vos besoins en matière desécurité et d'audit au fil du temps.
Rubriques• Prerequisites (p. 38)• Étape 1 : Consulter l'activité du compte AWS dans l'historique des événements (p. 38)• Étape 2 : Créer votre premier journal de suivi (p. 40)• Étape 3 : Afficher les fichiers journaux (p. 44)• Étape 4 : Planification des étapes suivantes (p. 46)
PrerequisitesAvant de commencer, vous devez suivre les prérequis suivants et la configuration :
• Créez un compte AWS si vous n'en avez pas encore un.
Si vous n'avez pas de compte AWS, suivez la procédure suivante pour en créer un.
Pour s'inscrire sur AWS
1. Ouvrez https://aws.amazon.com/, puis choisissez Create an AWS Account.2. Suivez les instructions en ligne.
• Créez un utilisateur IAM pour administrer CloudTrail. Pour plus d'informations, consultez Attribution desautorisations pour l'administration d'CloudTrail (p. 277).
Étape 1 : Consulter l'activité du compte AWS dansl'historique des événements
CloudTrail est activé sur votre compte AWS lorsque vous créez le compte. Quand une activité a lieudans un service AWS qui prend en charge CloudTrail, cette activité est enregistrée dans un événementCloudTrail avec d'autres événements de service AWS dans Event history (Historique des événements).En d'autres termes, vous pouvez afficher, rechercher et télécharger les événements récents dans votrecompte AWS avant de créer un journal de suivi, même si la création d'un journal de suivi est importantepour les enregistrements à long terme et l'audit de l'activité de votre compte AWS. Contrairement à unjournal de suivi, l'historique des événements affiche uniquement les événements qui se sont produits aucours des 90 derniers jours.
Version 1.038
AWS CloudTrail Guide de l'utilisateurÉtape 1 : Consulter l'activité du compteAWS dans l'historique des événements
1. Connectez-vous à l'AWS Management Console à l'aide de l'utilisateur IAM que vous avez configurépour l'administration de CloudTrail. Ouvrez la console CloudTrail à https://console.aws.amazon.com/cloudtrail/home/.
2. Passez en revue les informations de votre tableau de bord sur les événements les plus récents qui sesont produits dans votre compte AWS. Un événement récent doit être un événement ConsoleLogin,montrant que vous venez de vous connecter à l'AWS Management Console.
3. Pour voir plus d'informations sur un événement, développez-le.
4. Dans le volet de navigation, sélectionnez Event history (Historique des événements). Vous voyez uneliste filtrée des événements, avec les événements les plus récents affichés d'abord. Le filtre par défautpour les événements est Lecture seule, défini sur false. Vous pouvez effacer ce filtre en choisissant Xà droite du filtre.
5. Beaucoup plus d'événements sont affichés sans le filtre par défaut. Vous pouvez filtrer desévénements de nombreuses façons. Par exemple, pour afficher tous les événements de connexion àla console, vous pouvez choisir le filtre Event name (Nom de l'événement) et spécifier ConsoleLogin.Le choix des filtres dépend de vous.
Version 1.039
AWS CloudTrail Guide de l'utilisateurÉtape 2 : Créer votre premier journal de suivi
6. Vous pouvez enregistrer l'historique des événements en le téléchargeant en tant que fichier auformat JSON ou CSV. Le téléchargement de votre historique des événements peut prendre quelquesminutes.
Pour plus d'informations, consultez Affichage des événements avec l'historique des événementsCloudTrail (p. 48).
Étape 2 : Créer votre premier journal de suiviBien que les événements fournis dans l'historique des événements dans la console CloudTrail soient utilespour vérifier l'activité récente, ils sont limités à l'activité récente et ils n'incluent pas tous les événementspossibles qui peuvent être enregistrés par CloudTrail. De plus, votre affichage des événements dans laconsole est limité à la région AWS dans laquelle vous êtes connecté. Pour créer un registre permanentde l'activité dans votre compte AWS qui capture les informations pour toutes les régions AWS, créez unjournal de suivi. Par défaut, lorsque vous créez un journal de suivi dans la console CloudTrail, il consigneles événements dans toutes les régions. La journalisation des événements dans toutes les régions de votrecompte est une bonne pratique recommandée.
Pour votre premier journal de suivi, nous vous recommandons de créer un journal de suivi qui consignetous les événements de gestion (p. 6) dans toutes les régions AWS, et ne consigne pas tous lesévénements de données (p. 6). Des exemples d'événements de gestion incluent des événements liésà la sécurité, tels que des événements IAM CreateUser et AttachRolePolicy, des événementsde ressources tels que RunInstances et CreateBucket, et bien plus encore. Vous allez créer uncompartiment Amazon S3 dans lequel vous allez stocker les fichiers journaux pour le journal de suivi dansle cadre de la création du journal de suivi dans la console CloudTrail.
Note
Ce didacticiel suppose que vous créez votre premier journal de suivi. En fonction du nombre dejournaux de suivi que vous avez dans votre compte AWS et de la façon dont ces journaux desuivi sont configurés, la procédure suivante peut entraîner ou non des frais. CloudTrail stockeles fichiers journaux dans un compartiment Amazon S3, ce qui entraîne des coûts. Pour plusd'informations sur la tarification, consultez Tarification AWS CloudTrail et Tarification Amazon S3.
Version 1.040
AWS CloudTrail Guide de l'utilisateurÉtape 2 : Créer votre premier journal de suivi
1. Connectez-vous à l'AWS Management Console à l'aide de l'utilisateur IAM que vous avez configurépour l'administration de CloudTrail. Ouvrez la console CloudTrail à https://console.aws.amazon.com/cloudtrail/home/. Dans le sélecteur Region (Région), choisissez la région AWS dans laquelle vousvoulez que le journal de suivi soit créé. Il s'agit de la région d'origine du journal de suivi.
Note
La région d'accueil est la seule région AWS où vous pouvez afficher et mettre à jour le journalde suivi après sa création, même si le journal de suivi enregistre des événements dans toutesles régions AWS.
2. Sur la page d'accueil du service CloudTrail, la page Trails (Journaux de suivi) ou la section Trails(Journaux de suivi) de la page Dashboard (Tableau de bord), choisissez Create trail (Créer un journalde suivi).
3. Dans Trail name (Nom du journal de suivi), donnez à votre journal de suivi un nom, tel que My-Management-Events-Trail. La bonne pratique consiste à utiliser un nom qui identifie rapidementl'objectif du journal de suivi. Dans ce cas, vous créez un journal de suivi qui consigne des événementsde gestion.
4. Conservez les paramètres par défaut pour les journaux de suivi d'organisation AWS Organizations.Cette option ne sera pas disponible pour être modifiée, sauf si vous disposez de comptes configurésdans Organisations.
5. Pour Storage location (Emplacement de stockage), choisissez Create new S3 bucket (Créer unnouveau compartiment S3) pour créer un compartiment. Lorsque vous créez un compartiment,CloudTrail crée et applique les stratégies nécessaires. Attribuez un nom à votre compartiment, parexemple my-bucket-for-storing-cloudtrail-logs.
Pour faciliter la recherche de vos journaux, créez un dossier (également appelé préfixe) dans uncompartiment existant pour stocker vos journaux CloudTrail. Saisissez le préfixe dans Préfixe.
Note
Le nom de votre compartiment Amazon S3 doit être globalement unique. Pour plusd'informations, consultez Conditions d'attribution de noms pour des compartiments AmazonS3 (p. 137).
Version 1.041
AWS CloudTrail Guide de l'utilisateurÉtape 2 : Créer votre premier journal de suivi
6. Désactivez la case à cocher pour désactiver le Chiffrement SSE-KMS des fichiers journaux. Pardéfaut, vos fichiers journaux sont chiffrés avec le chiffrement SSE-S3. Pour plus d'informations surce paramètre, consultez Protection des données à l'aide du chiffrement côté serveur avec les clés dechiffrement gérées par Amazon S3 (SSE-S3).
7. Conservez les paramètres par défaut dans Additional settings (Paramètres supplémentaires).8. Pour l'instant, n'envoyez pas de journaux à Amazon CloudWatch Logs.9. Dans Tags (Balises), ajoutez une ou plusieurs balises personnalisées (paires clé-valeur) à votre
journal de suivi. Les balises peuvent vous aider à identifier vos journaux de suivi CloudTrail et autresressources, telles que les compartiments Amazon S3 contenant des fichiers journaux CloudTrail. Parexemple, vous pouvez attacher une balise avec le nom Compliance et la valeur Auditing.
Note
Même si vous pouvez ajouter des balises aux journaux de suivi lorsque vous les créez dansla console CloudTrail et que vous pouvez créer un compartiment Amazon S3 pour stockervos fichiers journaux dans la console CloudTrail, vous ne pouvez pas ajouter de balises aucompartiment Amazon S3 à partir de la console CloudTrail. Pour plus d'informations surl'affichage et la modification des propriétés d'un compartiment Amazon S3, y compris l'ajoutde balises à un compartiment, consultez le Guide de l'utilisateur de la console Amazon S3.
Version 1.042
AWS CloudTrail Guide de l'utilisateurÉtape 2 : Créer votre premier journal de suivi
Lorsque vous avez fini de créer des balises, choisissez Suivant.10. Sur la page Choose log events (Choisir des événements de journaux), sélectionnez les types
d'événements à consigner. Pour ce journal de suivi, conservez la valeur par défaut, Managementevents (Événements de gestion). Dans la zone Management events (Événements de gestion),choisissez d'enregistrer les événements Read (Lire) et Write (Écrire) s'ils ne sont pas déjàsélectionnés. Laissez la case à cocher Exclude AWS KMS events (Exclure les événements) vide pourconsigner tous les événements AWS Key Management Service (AWS KMS).
Version 1.043
AWS CloudTrail Guide de l'utilisateurÉtape 3 : Afficher les fichiers journaux
11. Conservez les paramètres par défaut pour Data events (Événements de données) et Insights events(Événements Insights). Ce journal de suivi n'enregistrera aucun événement de données ou InsightsCloudTrail. Choisissez Suivant.
12. Sur la page Review and create (Vérifier et créer), vérifiez les paramètres que vous avez choisispour votre journal de suivi. Choisissez Edit (Modifier) pour une section afin de revenir en arrière etd'apporter des modifications. Lorsque vous êtes prêt à créer votre journal de suivi, choisissez Createtrail (Créer un journal de suivi).
13. La page Trails (Journaux de suivi) affiche votre nouveau journal de suivi dans la table. Notez quele journal de suivi est défini sur Journal de suivi multi-régions par défaut, et que la journalisation estactivée par défaut pour le journal de suivi.
Étape 3 : Afficher les fichiers journaux15 minutes après la création de votre premier journal de suivi, CloudTrail transmet le premier ensemblede fichiers journaux au compartiment Amazon S3 pour votre journal de suivi. Vous pouvez examiner cesfichiers et en savoir plus sur les informations qu'ils contiennent.
1. Dans le volet de navigation, choisissez Trails (Journaux de suivi). Sur la page Trails (Journauxde suivi), recherchez le nom du journal de suivi que vous venez de créer (dans l'exemple, My-Management-Events-Trail).
Version 1.044
AWS CloudTrail Guide de l'utilisateurÉtape 3 : Afficher les fichiers journaux
Note
Veillez à être toujours connecté à l'aide de l'utilisateur IAM que vous avez configuré pourl'administration d'CloudTrail. Dans le cas contraire, vous pouvez ne pas disposer desautorisations suffisantes pour afficher les journaux de suivi dans la console CloudTrail ou lecompartiment Amazon S3 qui contient les fichiers journaux pour ce journal de suivi.
2. Dans la ligne du journal de suivi, choisissez la valeur du compartiment S3 (dans l'exemple, aws-cloudtrail-logs-08132020-mytrail).
3. La console Amazon S3 s'ouvre et affiche ce compartiment, au niveau supérieur pour les fichiersjournaux. Puisque vous avez créé un journal de suivi qui consigne des événements dans toutes lesrégions AWS, l'affichage s'ouvre au niveau qui vous montre chaque dossier de région. La hiérarchiede navigation du compartiment Amazon S3 à ce niveau est bucket-name/JournauxAWS/AWS-account-id/CloudTrail. Choisissez le dossier de la région AWS dans laquelle vous souhaitezconsulter les fichiers journaux. Par exemple, si vous souhaitez vérifier les fichiers journaux de la régionUSA Est (Ohio), choisissez us-east-2.
4. Accédez à la structure du dossier du compartiment de l'année, du mois et du jour pour lequel voussouhaitez consulter des journaux de suivi dans cette région. Pour ce jour, il existe un certain nombrede fichiers. Le nom des fichiers commence par votre ID de compte AWS et se termine par l'extension.gz. Par exemple, si votre ID de compte est 123456789012, vous verrez des fichiers avec des nomssimilaires à ceci : 123456789012_CloudTrail_us-east-2_20190610T1255abcdeEXAMPLE.json.gz.
Pour afficher ces fichiers, vous pouvez les télécharger, les décompresser, puis les afficher dans unéditeur de texte brut ou un lecteur de fichier JSON. Certains navigateurs prennent également encharge l'affichage .gz et les fichiers JSON directement. Nous vous recommandons d'utiliser un lecteurJSON, car il facilite l'analyse des informations contenues dans les fichiers journaux CloudTrail.
Au fur et à mesure que vous parcourez le contenu d'un fichier, vous pouvez commencer à vousdemander ce que vous voyez. CloudTrail consigne des événements pour chaque service AWSayant fait l'expérience d'une activité dans cette région AWS au moment où l'événement s'est produit.En d'autres termes, les événements pour les différents services AWS sont mélangés, uniquementbasés en fonction du temps. Pour en savoir plus sur les journaux de service AWS spécifiques avecCloudTrail, y compris des exemples d'entrées de fichier journal pour les appels d'API pour ce service,consultez la liste des services pris en charge pour CloudTrail (p. 23) et lisez la rubrique d'intégrationCloudTrail pour ce service. Vous pouvez également en savoir plus sur le contenu et la structuredes fichiers journaux CloudTrail en passant en revue la Référence des événements de journauxCloudTrail (p. 311).
Vous avez également peut-être remarqué ce que vous ne voyez pas dans les fichiers journauxdans la USA Est (Ohio). Plus précisément, vous ne verrez pas d'événements de connexion à laconsole, même si vous savez que vous vous êtes connecté à la console. En effet, la connexionà la console et les événements IAM sont des événements de services mondiaux (p. 12), qui sontgénéralement consignés dans une région AWS spécifique. Dans ce cas, ils sont consignés dans USAEst (Virginie du Nord) et se trouvent dans le dossier us-east-1. Ouvrez ce dossier, puis ouvrez l'année,
Version 1.045
AWS CloudTrail Guide de l'utilisateurÉtape 4 : Planification des étapes suivantes
le mois et le jour qui vous intéresse. Parcourez les fichiers journaux, et vous trouvez les événementsConsoleLogin qui se présentent comme suit :
{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "userName": "Mary_Major" }, "eventTime": "2019-06-10T17:14:09Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "203.0.113.67", "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0", "requestParameters": null, "responseElements": { "ConsoleLogin": "Success" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAUsed": "No" }, "eventID": "2681fc29-EXAMPLE", "eventType": "AwsConsoleSignIn", "recipientAccountId": "123456789012"}
Cette entrée de fichier journal vous indique plus que seulement l'identité de l'utilisateur IAM qui s'estconnecté (Mary_Major), la date et l'heure à laquelle elle s'est connectée, et que la connexion a réussi.Vous pouvez également connaître l'adresse IP à partir de laquelle elle s'est connectée, le systèmed'exploitation et le logiciel de navigateur de l'ordinateur qu'elle a utilisée, et qu'elle n'utilisait pas uneMulti-Factor Authentication.
Étape 4 : Planification des étapes suivantesMaintenant que vous avez un journal de suivi, vous avez accès à un registre permanent des événementset des activités dans votre compte AWS. Ce registre permanent vous aide également à répondre àvos besoins en termes de comptabilité et d'audit pour votre compte AWS. Toutefois, vous pouvez fairebeaucoup plus avec vos données CloudTrail et CloudTrail.
• Ajoutez une sécurité supplémentaire pour les données de votre journal de suivi CloudTrail appliqueautomatiquement un certain niveau de sécurité lorsque vous créez un journal de suivi. Toutefois, il existedes étapes supplémentaires que vous pouvez suivre pour aider à préserver la sécurité de vos données.• Par défaut, le compartiment Amazon S3 que vous avez créé dans le cadre de la création d'un
journal de suivi dispose d'une stratégie permettant à CloudTrail d'écrire des fichiers journaux dansce compartiment. Le compartiment n'est pas accessible publiquement, mais il peut être accessible àd'autres utilisateurs de votre compte AWS s'ils disposent des autorisations nécessaires pour lire etécrire des compartiments dans votre compte AWS. Examinez la stratégie pour votre compartimentet, si nécessaire, effectuez des modifications pour restreindre l'accès à un ensemble spécifiqued'utilisateurs IAM. Pour plus d'informations, consultez la Documentation sur la sécuritéAmazon S3 etl'exemple de procédure pour la sécurisation d'un compartiment.
Version 1.046
AWS CloudTrail Guide de l'utilisateurÉtape 4 : Planification des étapes suivantes
• Les fichiers journaux livrés par CloudTrail à votre compartiment sont chiffrés par le chiffrement côtéserveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3) d'Amazon. Pour fournir unecouche de sécurité qui soit directement gérable, vous pouvez utiliser à la place le chiffrement côtéserveur avec des clés gérées par AWS KMS (SSE-KMS) pour vos fichiers journaux CloudTrail. Pourutiliser SSE-KMS avec CloudTrail, vous devez créer et gérer une clé KMS, aussi appelée clé principaleclient (CMK). Pour plus d'informations, consultez Chiffrement des fichiers journaux CloudTrail avec desclés gérées par AWS KMS (SSE-KMS) (p. 299).
• Pour une planification supplémentaire de la sécurité, consultez les bonnes pratiques de sécurité pourCloudTrail (p. 296).
• Créez un journal de suivi afin de consigner les événements de données. Si vous souhaitez que les objetsajoutés, récupérées et supprimés dans un ou plusieurs compartiments Amazon S3 soient consignés, oulorsqu'une ou plusieurs fonctions AWS Lambda sont appelées, ce sont des événements de données.Le journal de suivi des événements de gestion que vous avez créé précédemment dans ce didacticielne consigne pas ces types d'événements. Vous pouvez créer un journal de suivi distinct spécifiquementpour consigner les événements de données pour tout ou partie des ressources Amazon S3 et Lambdaprises en charge. Pour plus d'informations, consultez Evénements de données (p. 148).
Note
Des frais supplémentaires sont facturés pour la journalisation des événements de données.Pour en savoir plus, consultez Tarification AWS CloudTrail.
• Consignez les événements CloudTrail Insights sur votre journal de suivi. CloudTrail permet d'identifierles activités inhabituelles ou anormales associées aux appels d'API write et d'y répondre en analysantcontinuellement les événements de gestion CloudTrail. CloudTrail Insights utilise des modèlesmathématiques pour déterminer les niveaux normaux d'activité des API et des événements de servicepour un compte. Il identifie un comportement en dehors des modèles normaux, génère des événementsInsights et transmet ces événements à un dossier /CloudTrail-Insight dans le compartiment S3 dedestination choisi pour votre journal de suivi. Pour plus d'informations sur CloudTrail Insights, consultezJournalisation des événements Insights pour les journaux de suivi (p. 161).
Note
Des frais supplémentaires s'appliquent pour la journalisation des événements Insights. Pour ensavoir plus, consultez Tarification AWS CloudTrail.
• Configurez des alarmes CloudWatch Logs pour vous alerter lorsque certains événements se produisent.CloudWatch Logs vous permet de surveiller et de recevoir des alertes pour des événements spécifiquescapturés par CloudTrail. Par exemple, vous pouvez surveiller des événements clés de gestion liés auréseau et à la sécurité, tels que des événements de connexion de la console AWS (p. 202), des appelsd'API qui ont échoué en raison d'échec des autorisations (p. 204) ou des modifications apportées auxinstances Amazon EC2 (p. 196). Pour plus d'informations, consultez Surveillance des fichiers journauxCloudTrail avec Amazon CloudWatch Logs (p. 167).
• Utilisez les outils d'analyse pour identifier les tendances dans vos journaux CloudTrail. Bien que les filtresdans l'historique d'événements puissent vous aider à trouver des événements spécifiques ou des typesd'événements dans votre activité récente, ils ne fournissent pas la possibilité de rechercher dans l'activitésur de plus longues périodes. Pour une analyse plus approfondie et plus sophistiquée, vous pouvezutiliser Amazon Athena. Pour plus d'informations, consultez Interrogation des journaux AWS CloudTraildans le Guide de l'utilisateur Amazon Athena.
Version 1.047
AWS CloudTrail Guide de l'utilisateurAffichage des événements avec
l'historique des événements CloudTrail
Utilisation des CloudTrailCloudTrail est activé par défaut pour votre compte AWS. Vous pouvez utiliser Event history (Historique desévénements) dans la console CloudTrail pour afficher, rechercher, télécharger, archiver, analyser et traiterl'activité de compte sur votre infrastructure AWS. Cela inclut l'activité effectuée via l' AWS ManagementConsole , et AWS Command Line Interface .AWSSDKsAPIs
Pour un registre permanent des événements de votre compte AWS, créez un journal de suivi. Un journalde suivi permet à CloudTrail de livrer les fichiers journaux dans un compartiment Amazon S3. Par défaut,lorsque vous créez un journal de suivi dans la console, il s'applique à toutes les régions AWS. Le journalde suivi consigne les événements de toutes les régions dans la partition AWS et livre les fichiers journauxdans le compartiment Amazon S3 de votre choix. En outre, vous pouvez configurer d'autres services AWSpour analyser plus en profondeur les données d'événements collectées dans les journaux CloudTrail et agirsur celles-ci.
Si vous avez créé une organisation dans AWS Organizations, vous pouvez créer un journal de suivi quienregistre tous les événements pour tous les comptes AWS de cette organisation. La création d'un journalde suivi d'organisation vous permet de définir une stratégie de journalisation des événements uniformepour votre organisation.
Rubriques• Affichage des événements avec l'historique des événements CloudTrail (p. 48)• Affichage des événements CloudTrail Insights (p. 60)• Création d'un journal de suivi pour votre AWS compte (p. 74)• Création d'un journal de suivi pour une organisation (p. 116)• Obtention et consultation des fichiers journaux CloudTrail (p. 130)• Configuration de notifications Amazon SNS pour CloudTrail (p. 133)• Contrôle des autorisations accordées aux utilisateurs pour CloudTrail (p. 134)• Conseils pour la gestion des journaux de suivi (p. 135)• Utilisation de AWS CloudTrail avec les points de terminaison d'un VPC d'interface (p. 138)
Affichage des événements avec l'historique desévénements CloudTrail
Vous pouvez résoudre les problèmes opérationnels et de sécurité des 90 derniers jours dans la consoleCloudTrail en consultant l'historique des événements. Vous pouvez rechercher des événements liés à lacréation, la modification ou la suppression de ressources (comme des utilisateurs IAM ou des instancesAmazon EC2) dans votre compte AWS en fonction de la région. Les événements peuvent être consultéset téléchargés à l'aide de la console AWS CloudTrail. Vous pouvez personnaliser l'affichage de l'historiquedes événements sur la console en sélectionnant les colonnes affichées et masquées. Vous pouvezrechercher des événements par programmation à l'aide d' AWS SDKs ou de l' AWS Command LineInterface . Vous pouvez également comparer côte à côte les détails des événements de l'historique des événements.
Note
Au fil du temps, les services AWS peuvent ajouter des événements supplémentaires. CloudTrailenregistrera ces événements dans l'historique des événements, mais un enregistrement completde 90 jours d'activité incluant les événements ajoutés ne sera pas disponible avant 90 jours àcompter de l'ajout des événements.
Version 1.048
AWS CloudTrail Guide de l'utilisateurAffichage des événements
CloudTrail dans la console CloudTrail
Cette section décrit comment rechercher des événements à l'aide de la console CloudTrail et de l'AWSCLI. Elle explique également comment télécharger un fichier d'événements. Pour plus d'informations surl'utilisation de l'API LookupEvents pour récupérer des informations à partir d'événements CloudTrail,consultez le document AWS CloudTrail API Reference.
Pour plus d'informations sur la création d'un journal de suivi pour disposer d'un enregistrementd'événements s'étendant au-delà des 90 derniers jours, consultez Création d'un journal de suivi (p. 76)et Obtention et consultation des fichiers journaux CloudTrail (p. 130).
Rubriques• Affichage des événements CloudTrail dans la console CloudTrail (p. 49)• Affichage des événements CloudTrail avec l’AWS CLI (p. 54)
Affichage des événements CloudTrail dans la consoleCloudTrailVous pouvez utiliser la console CloudTrail pour afficher l'activité d'API et les événements enregistrés dansune région AWS au cours des 90 derniers jours. Vous pouvez également télécharger un fichier avec cesinformations, ou un sous-ensemble des informations en fonction du filtre et de la plage de temps quevous choisissez. Vous pouvez personnaliser l'affichage de l'historique des événements en sélectionnantles colonnes qui seront affichées dans la console. Vous pouvez également rechercher et filtrer desévénements par les types de ressources disponibles pour un service particulier. Vous pouvez sélectionnerjusqu'à cinq événements dans l'historique des événements et comparer leurs détails côte à côte.
Après 90 jours, les événements ne sont plus affichés dans Event history (Historique des événements).Vous ne pouvez pas supprimer manuellement des événements de l'historique des événements. Lorsquevous créez un journal de suivi (p. 76), vous pouvez afficher les événements qui y sont consignés dans lamesure où vous les stockez dans le compartiment S3 configuré dans vos paramètres de suivi.
La journalisation CloudTrail peut varier selon les services AWS. Bien que la plupart des AWS servicesprennent en charge CloudTrail la journalisation de tous les événements, certains services prennentuniquement en charge la journalisation d'un sous-ensemble des événements APIs et , et quelques servicesne sont pas pris en charge. Pour en savoir plus sur la façon dont CloudTrail journalise les événementspour un service spécifique, consultez la documentation de ce service. Pour plus d’informations, consultezIntégrations et services pris en charge par CloudTrail (p. 21).
Note
Pour un registre permanent des activités et des événements, créez un journal de suivi (p. 76).La création d'un journal de suivi vous permet également de profiter des intégrations suivantes :
• Un journal de suivi vous permet de consigner les événements CloudTrail Insights, ce qui peutvous aider à identifier des activités inhabituelles associées aux appels d'API de gestion writeet à y répondre. Pour plus d’informations, consultez Journalisation des événements Insightspour les journaux de suivi (p. 161).
• Analysez l'activité de vos services AWS avec des requêtes dans Amazon Athena. Pour plusd'informations, consultez Création d'une table pour les CloudTrail journaux dans la CloudTrailconsole dans le Amazon Athena Guide de l'utilisateur , ou choisissez l'option permettant decréer une table directement à partir de l'historique des événements dans la CloudTrail console .
• Surveillez vos journaux de suivi et recevez une notification lorsqu'une activité spécifique seproduit avec Amazon CloudWatch Logs. Pour plus d’informations, consultez Surveillance desfichiers journaux CloudTrail avec Amazon CloudWatch Logs (p. 167).
• Un journal de suivi vous permet dAWS Key Management Service'exclure des événements(AWS KMS). AWS KMS Les actions telles que Encrypt , et génèrent Decrypt généralementun volume important (plus de 99 %) d'événements. GenerateDataKey Les événements ne
Version 1.049
AWS CloudTrail Guide de l'utilisateurAffichage des événements
CloudTrail dans la console CloudTrail
peuvent pas être exclus de lAWS KMS'historique des événements ; vous ne pouvez excluredes événements que si vous créez ou mettez à jour un journal de suivi pour consigner lesévénements de gestion.AWS KMS
Pour afficher les événements CloudTrail
1. Connectez-vous à AWS Management Console et ouvrez la console CloudTrail à l'adresse https://console.aws.amazon.com/cloudtrail/home/.
2. Dans le volet de navigation, sélectionnez Event history (Historique des événements).
Une liste filtrée d'événements s'affiche dans le volet de contenu avec le dernier événement en premier.Faites défiler l'écran pour afficher d'autres événements.
3. Pour comparer des événements, sélectionnez jusqu'à cinq événements en cochant leurs cases dansla marge de gauche du tableau de l'historique des événements. Affichez les détails des événementssélectionnés côte à côte dans la table Comparer les détails des événements.
Un filtre est appliqué dans l'affichage par défaut des événements de l'historique des événementsafin qu'il ne présente pas les événements en lecture seule. Pour supprimer ce filtre ou en appliquerd'autres, modifiez les paramètres du filtre. Pour plus d’informations, consultez Filtrage des événementsCloudTrail (p. 51).
Table des matières• Affichage des événements CloudTrail (p. 50)• Filtrage des événements CloudTrail (p. 51)• Afficher les détails d'un événement (p. 52)• Téléchargement des événements (p. 52)• Affichage des ressources référencées avec AWS Config (p. 53)
Affichage des événements CloudTrailVous pouvez personnaliser l'affichage de l'historique des événements en sélectionnant les colonnes àafficher dans la console CloudTrail. Par défaut, les colonnes suivantes sont affichées :
• Nom de l'événement• Heure de l'événement• Nom utilisateur• Origine de l'événement• Type de ressource• Nom de la ressource
Note
Vous ne pouvez pas modifier l'ordre des colonnes, ni supprimer manuellement les événementsdans l'historique des événements.
Pour personnaliser les colonnes affichées dans l'historique des événements
1. Connectez-vous à AWS Management Console et ouvrez la console CloudTrail à l'adresse https://console.aws.amazon.com/cloudtrail/home/.
2. Dans le volet de navigation, sélectionnez Event history (Historique des événements).
Version 1.050
AWS CloudTrail Guide de l'utilisateurAffichage des événements
CloudTrail dans la console CloudTrail
3. Choisissez l'icône d'engrenage.4. Dans Select visible columns (Sélectionner les colonnes visibles), sélectionnez les colonnes que vous
souhaitez afficher. Désactivez les colonnes que vous ne souhaitez pas afficher. Lorsque vous avezterminé, choisissez Confirm (Confirmer).
Filtrage des événements CloudTrailPar défaut, l'historique des événements utilise un filtre d'attributs pour exclure de l'affichage lesévénements en lecture seule. Ce filtre d'attributs est nommé Read-only et est défini sur false. Vouspouvez supprimer ce filtre pour afficher les événements de lecture et d'écriture. Pour afficher uniquementles événements de lecture, vous pouvez remplacer la valeur du filtre par true. Vous pouvez égalementfiltrer les événements selon d'autres attributs. Vous pouvez en outre filtrer par plage de temps.
Note
Vous ne pouvez appliquer qu'un seul filtre d'attributs et un filtre de plage de temps. Vous nepouvez pas appliquer plusieurs filtres d'attributs.
Clé d'accès AWS
ID de clé d'accès AWS utilisé pour signer la demande. Si la demande a été faite avec des informationsd'identification de sécurité temporaires, il s'agit de l'ID de clé d'accès des informations d'identificationtemporaires.
ID d'événement
ID CloudTrail de l'événement. Chaque événement présente un ID unique.Nom de l'événement
Nom de l'événement. Par exemple, vous pouvez filtrer les événements IAM, comme CreatePolicy,ou les événements Amazon EC2, comme RunInstances.
Origine de l'événement
Service auprès duquel la demande a été effectuée, tel que AWS ou iam.amazonaws.com.s3.amazonaws.com Vous pouvez faire défiler une liste de sources d'événements après avoir choisile filtre de source d'événements.
Lecture seule
Type de lecture de l'événement Les événements sont classées comme événements de lecture oud'écriture. Si cet attribut est défini sur false (faux), les événements de lecture ne sont pas inclus dansla liste des événements affichés. Par défaut, cet filtre d'attributs est appliqué et la valeur est définie surfalse (faux).
Nom de la ressource
Le nom ou l'ID de la ressource référencée par l'événement. Par exemple, le nom de la ressource peutêtre « auto-scaling-test-group » pour un Auto Scaling groupe ou « i-12345678910 » pour une instanceEC2.
Type de ressource
Le type de la ressource référencée par l'événement. Par exemple, un type de ressource peut êtreInstance pour EC2 ou DBInstance pour RDS. Les types de ressources varient pour chaque serviceAWS.
Plage de temps
La plage horaire dans laquelle vous voulez filtrer les événements. Vous pouvez filtrer les événementsdes 90 derniers jours.
Version 1.051
AWS CloudTrail Guide de l'utilisateurAffichage des événements
CloudTrail dans la console CloudTrail
Nom utilisateur
Identité de l'utilisateur référencé par l'événement. Par exemple, il peut s'agir d'un utilisateur IAM, d'unnom de rôle IAM ou d'un rôle de service.
Si aucun événement n'est journalisé pour l'attribut ou l'heure que vous avez choisi, la liste des résultats estvide. Vous pouvez appliquer un seul filtre d'attributs, en plus de la plage de temps. Si vous choisissez unautre filtre d'attribut, la plage de temps que vous avez spécifiée est conservée.
Les étapes suivantes expliquent comment filtrer sur les attributs.
Pour filtrer par attribut
1. Pour filtrer les résultats en fonction d'un attribut, choisissez un attribut dans la liste déroulante Lookupattributes, puis tapez ou choisissez une valeur pour l'attribut dans la zone de texte.
2. Pour supprimer un filtre d'attributs, cliquez sur le X à droite de la zone de filtre d'attributs.
Les étapes suivantes expliquent comment filtrer sur une date et une heure de début et de fin.
Pour filtrer selon une date et une heure de début et de fin
1. Pour affiner la plage de temps pour les événements que vous souhaitez voir, choisissez une plage detemps dans la barre de plage de temps. Les valeurs prédéfinies sont de 30 minutes, 1 heure, 3 heuresou 12 heures. Pour spécifier une plage de temps personnalisée, choisissez Personnalisé.
2. Pour supprimer un filtre de plage de temps, choisissez Effacer dans la barre de plage de temps.
Afficher les détails d'un événement1. Sélectionnez un événement dans la liste des résultats pour en afficher les détails.2. Les ressources référencées dans l'événement sont affichées dans le tableau Resources référencé
sur la page des détails de l'événement.3. Certaines ressources référencées ont des liens. Cliquez sur le lien pour ouvrir la console pour cette
ressource.4. Faites défiler jusqu'à Event record (Enregistrement d'événement) sur la page des détails pour afficher
l'enregistrement d'événement JSON, également appelé charge utile d'événement.5. Choisissez Event history (Historique des événements) dans le chemin de navigation de la page pour
fermer la page des détails de l'événement et revenir à l'historique des événements.
Téléchargement des événementsVous pouvez télécharger l'historique des événements enregistrés en tant que fichier au format JSON ouCSV. Utilisez des filtres et des plages de temps pour réduire la taille du fichier que vous téléchargez.
Note
Les fichiers d'historique des événements CloudTrail sont des fichiers de données qui contiennentdes informations (comme les noms de ressources) pouvant être configurées par des utilisateursindividuels. Certaines données peuvent éventuellement être interprétées comme des commandesdans des programmes utilisés pour lire et analyser ces données (injection CSV). Par exemple,lorsque des événements CloudTrail sont exportés vers CSV et importés dans un tableur,ce dernier peut vous avertir de problèmes de sécurité. Vous devez choisir de désactiver cecontenu afin de garantir la sécurité de votre système. Désactivez toujours les liens ou les macrosprovenant des fichiers d'historique des événements téléchargés.
Version 1.052
AWS CloudTrail Guide de l'utilisateurAffichage des événements
CloudTrail dans la console CloudTrail
1. Ajoutez un filtre et une plage de temps pour les événements de l'historique des événements que voussouhaitez télécharger. Par exemple, vous pouvez spécifier le nom d'événement, StartInstances, etindiquer une plage de temps pour les trois derniers jours d'activité.
2. Choisissez Télécharger les événements, puis Télécharger au format CSV ou Télécharger au formatJSON. Le téléchargement commence immédiatement.
Note
Le téléchargement peut prendre un certain temps. Pour des résultats plus rapides, utilisezun filtre spécifique ou une plage de temps plus courte pour affiner les résultats avant decommencer le processus de téléchargement. Vous pouvez annuler un téléchargement. Sivous annulez un téléchargement, un téléchargement partiel, y compris seulement certainesdonnées d'événement, peut se trouver sur votre ordinateur local. Pour télécharger l'historiquecomplet des événements, redémarrez le téléchargement.
3. Une fois le téléchargement terminé, ouvrez le fichier pour afficher les événements que vous avezspécifiés.
4. Pour annuler votre téléchargement, choisissez Annuler, puis confirmez en choisissant Annulerle téléchargement. Si vous avez besoin de redémarrer un téléchargement, attendez que letéléchargement précédent ait terminé son annulation.
Affichage des ressources référencées avec AWS ConfigAWS Config enregistre les détails de la configuration, les relations et les modifications apportées à vosressources AWS.
Dans le volet Resources Referenced (Ressources référencées), choisissez l'icône dans la colonne Chronologie de configuration pour afficher la ressource dans la AWS Config console .
Si l'icône est grise, n'AWS Configest pas activé, ou n'enregistre pas le type de ressource. Choisissezl'icône permettant d'accéder à la console AWS Config afin d'activer le service ou de commencerl'enregistrement de ce type de ressource. Pour plus d'informations, consultez Configuration de AWS Configà l'aide de la console dans le AWS Config Developer Guide.
Si Link not available apparaît dans la colonne, la ressource ne peut pas être consultée pour l'une desraisons suivantes :
• AWS Config ne prend pas en charge le type de ressource. Pour plus d'informations, consultezRessources, éléments de configuration et relations pris en charge dans le AWS Config Developer Guide.
• AWS Config a récemment ajouté la prise en charge du type de ressource, mais elle n'est pas encoredisponible à partir de la console CloudTrail. Vous pouvez rechercher la ressource dans la console AWSConfig pour consulter la chronologie de la ressource.
• La ressource appartient à un autre compte AWS.• La ressource appartient à un autre service AWS, par exemple une stratégie IAM gérée.• La ressource a été créée puis immédiatement supprimée.• La ressource a été créée ou mise à jour récemment.
Example
1. Configurez AWS Config pour enregistrer les ressources IAM.2. Vous créez un IAM utilisateur Bob-user , . La page de l'historique des événements affiche
l'CreateUserévénement et Bob-user sous la forme d'une IAM ressource . Vous pouvez choisirl'icône AWS Config pour afficher cette ressource IAM dans la chronologie AWS Config.
Version 1.053
AWS CloudTrail Guide de l'utilisateurAffichage des événements CloudTrail avec l’AWS CLI
3. Vous mettez à jour le nom d'utilisateur sur Bob-admin .4. La page de l'historique des événements affiche l'UpdateUserévénement et Bob-admin comme IAM
ressource mise à jour.5. Vous pouvez choisir l'icône pour afficher la Bob-admin IAM ressource dans la chronologie.
Cependant, vous ne pouvez pas choisir l'icône pour Bob-user , car le nom de la ressource a changé.AWS Config enregistre maintenant la ressource mise à jour.
Pour accorder aux utilisateurs l'autorisation d'afficher les ressources en lecture seule dans la consoleAWS Config, consultez Accorder l'autorisation d'afficher des informations d'AWS Config sur la consoleCloudTrail (p. 282).
Pour plus d'informations sur AWS Config, consultez le AWS Config Developer Guide.
Affichage des événements CloudTrail avec l’AWS CLIVous pouvez rechercher CloudTrail les événements survenus au cours des 90 derniers jours à l'aide de laaws cloudtrail lookup-events commande . lookup-eventspropose les options suivantes :
• --max-results
• --start-time
• --lookup-attributes
• --next-token
• --generate-cli-skeleton
• --cli-input-json
Ces options sont présentées dans cette rubrique. Pour obtenir des informations générales sur l'utilisationde l'interface de ligne de commande AWS, consultez le AWS Command Line Interface Guide del'utilisateur.
Table des matières• Prerequisites (p. 54)• Obtenir de l'aide de la ligne de commande (p. 55)• Recherche d'événements (p. 55)• Spécifier le nombre d'événements à renvoyer (p. 56)• Recherche d'événements par plage de temps (p. 56)
• Valide <timestamp> Formats (p. 56)• Recherche d'événements par attribut (p. 56)
• Exemples de recherche d'attribut (p. 57)• Spécifier la page de résultats suivante (p. 58)• Extraction de l'entrée JSON d'un fichier (p. 58)• Champs de résultat de la recherche (p. 59)
Prerequisites• Pour exécuter des commandes AWS CLI, vous devez installer l'AWS CLI. Pour plus d'informations,
consultez Installation de l'interface de ligne de commande AWS.• Assurez-vous que votre version de l'AWS CLI est ultérieure à la version 1.6.6. Pour vérifier la version de
l'interface de ligne de commande, exécutez aws --version sur la ligne de commande.
Version 1.054
AWS CloudTrail Guide de l'utilisateurAffichage des événements CloudTrail avec l’AWS CLI
• Pour définir le compte, la région et le format de sortie par défaut d'une session AWS CLI, utilisez lacommande aws configure. Pour plus d'informations, consultez Configuration de l'interface de ligne decommande AWS.
Note
Les commandes CloudTrail de l'AWS CLI sont sensibles à la casse.
Obtenir de l'aide de la ligne de commandePour voir l'aide de la ligne de commande pour lookup-events, tapez la commande suivante :
aws cloudtrail lookup-events help
Recherche d'événementsPour voir les dix derniers événements, tapez la commande suivante :
aws cloudtrail lookup-events
Un événement renvoyé ressemble à l'exemple fictif suivant, qui a été mis en forme pour faciliter la lecture :
{ "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juy3CIZW8=", "Events": [ { "EventId": "0ebbaee4-6e67-431d-8225-ba0d81df5972", "Username": "root", "EventTime": 1424476529.0, "CloudTrailEvent": "{ \"eventVersion\":\"1.02\", \"userIdentity\":{ \"type\":\"Root\", \"principalId\":\"111122223333\", \"arn\":\"arn:aws:iam::111122223333:root\", \"accountId\":\"111122223333\"}, \"eventTime\":\"2015-02-20T23:55:29Z\", \"eventSource\":\"signin.amazonaws.com\", \"eventName\":\"ConsoleLogin\", \"awsRegion\":\"us-east-2\", \"sourceIPAddress\":\"203.0.113.4\", \"userAgent\":\"Mozilla/5.0\", \"requestParameters\":null, \"responseElements\":{\"ConsoleLogin\":\"Success\"}, \"additionalEventData\":{ \"MobileVersion\":\"No\", \"LoginTo\":\"https://console.aws.amazon.com/console/home", \"MFAUsed\":\"No\"}, \"eventID\":\"0ebbaee4-6e67-431d-8225-ba0d81df5972\", \"eventType\":\"AwsApiCall\", \"recipientAccountId\":\"111122223333\"}", "EventName": "ConsoleLogin", "Resources": [] } ]}
Version 1.055
AWS CloudTrail Guide de l'utilisateurAffichage des événements CloudTrail avec l’AWS CLI
Pour une explication des champs liés à la recherche dans la sortie, consultez la section Champs de résultatde la recherche (p. 59) ultérieurement dans ce document. Pour voir une explication des champs del'événement CloudTrail, consultez Contenu d'un enregistrement CloudTrail (p. 313).
Spécifier le nombre d'événements à renvoyerPour spécifier le nombre d'événements à renvoyer, tapez la commande suivante :
aws cloudtrail lookup-events --max-results <integer>
La valeur par défaut pour <integer> est égal à 10. Les valeurs possibles sont 1 à 50. L'exemple suivantrenvoie un résultat.
aws cloudtrail lookup-events --max-results 1
Recherche d'événements par plage de tempsLes événements survenus au cours des 90 derniers jours sont disponibles pour la recherche. Pour spécifierune plage de temps, tapez la commande suivante :
aws cloudtrail lookup-events --start-time <timestamp> --end-time <timestamp>
--start-time <timestamp> spécifie que seuls les événements qui se produisent au moment indiquéou après sont renvoyés. Si l'heure de début spécifiée survient après l'heure de fin spécifiée, une erreur estrenvoyée.
--end-time <timestamp> spécifie que seuls les événements qui se produisent au moment indiqué ouavant sont renvoyés. Si l'heure de fin spécifiée survient avant l'heure de début spécifiée, une erreur estrenvoyée.
L'heure de début par défaut est la première date à laquelle les données sont disponibles au cours des90 derniers jours. L'heure de fin par défaut est le moment où l'événement s'est produit le plus proche del'heure actuelle.
Valide <timestamp> FormatsLes attributs --start-time et --end-time prennent des valeurs de temps UNIX ou équivalentesvalides.
Voici des exemples de formats valides. Les valeurs de date, mois et année peuvent être séparées par destirets ou des barres obliques. Des guillemets doubles doivent être utilisés si des espaces sont présents.
14223177821422317782.001-27-201501-27-2015,01:16PM"01-27-2015, 01:16 PM""01/27/2015, 13:16"2015-01-27"2015-01-27, 01:16 PM"
Recherche d'événements par attributPour filtrer selon un attribut, tapez la commande suivante :
aws cloudtrail lookup-events --lookup-attributes AttributeKey=<attribute>,AttributeValue=<string>
Version 1.056
AWS CloudTrail Guide de l'utilisateurAffichage des événements CloudTrail avec l’AWS CLI
Vous ne pouvez spécifier qu'une seule paire clé-valeur d'attribut pour chaque commande lookup-events.Les valeurs pour sont les suivantesAttributeKey. Les noms de valeur sont sensibles à la casse.
• AccessKeyId• EventId• EventName• EventSource• ReadOnly• ResourceName• ResourceType• Nom d'utilisateur
Exemples de recherche d'attributL'exemple de commande suivant renvoie les événements dans lesquels la valeur de AccessKeyId estAKIAIOSFODNN7EXAMPLE.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=AccessKeyId,AttributeValue=AKIAIOSFODNN7EXAMPLE
L'exemple de commande suivant renvoie l'événement pour le EventId CloudTrail spécifié.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventId,AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
L'exemple de commande suivant renvoie les événements dans lesquels la valeur de EventName estRunInstances.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=RunInstances
L'exemple de commande suivant renvoie les événements dans lesquels la valeur de EventSource estiam.amazonaws.com.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventSource,AttributeValue=iam.amazonaws.com
L'exemple de commande suivant renvoie des événements d'écriture. Elle exclut les événements de lecteur,tels que GetBucketLocation et DescribeStream.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ReadOnly,AttributeValue=false
L'exemple de commande suivant renvoie les événements dans lesquels la valeur de ResourceName estCloudTrail_CloudWatchLogs_Role.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceName,AttributeValue=CloudTrail_CloudWatchLogs_Role
L'exemple de commande suivant renvoie les événements dans lesquels la valeur de ResourceType estAWS::S3::Bucket.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::S3::Bucket
Version 1.057
AWS CloudTrail Guide de l'utilisateurAffichage des événements CloudTrail avec l’AWS CLI
L'exemple de commande suivant renvoie les événements dans lesquels la valeur de Username est root.
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root
Spécifier la page de résultats suivantePour obtenir la page de résultats suivante à partir d'une commande lookup-events, tapez la commandesuivante :
aws cloudtrail lookup-events <same parameters as previous command> --next-token=<token>
où la valeur de <token> est extrait du premier champ de la sortie de la commande précédente.
Lorsque vous utilisez --next-token dans une commande, vous devez utiliser les mêmes paramètres quedans la commande précédente. Par exemple, supposons que vous exécutiez la commande suivante :
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root
Pour obtenir la page de résultats suivante, votre commande suivante se présente comme suit :
aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root --next-token=kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juy3CIZW8=
Extraction de l'entrée JSON d'un fichierL'AWS CLI de certains services AWS a deux paramètres, --generate-cli-skeleton et --cli-input-json, que vous pouvez utiliser pour générer un modèle JSON que vous pouvez modifier et utilisercomme entrée du paramètre --cli-input-json. Cette section décrit comment utiliser ces paramètresavec aws cloudtrail lookup-events . Pour plus d'informations générales, consultez Génération deparamètres de squelette de CLI et JSON d'entrée de CLI.
Pour rechercher des événements CloudTrail en extrayant une entrée JSON d'un fichier
1. Créer un modèle d'entrée à utiliser avec lookup-events en redirigeant la sortie de --generate-cli-skeleton vers un fichier, comme dans l'exemple suivant.
aws cloudtrail lookup-events --generate-cli-skeleton > LookupEvents.txt
Fichier de modèle généré (dans ce cas, LookupEvents.txt) comme suit :
{ "LookupAttributes": [ { "AttributeKey": "", "AttributeValue": "" } ], "StartTime": null, "EndTime": null, "MaxResults": 0, "NextToken": ""}
Version 1.058
AWS CloudTrail Guide de l'utilisateurAffichage des événements CloudTrail avec l’AWS CLI
2. Utilisez un éditeur de texte pour modifier le code JSON le cas échéant. L''entrée JSON doit conteniruniquement des valeurs qui sont spécifiées.
Important
Toutes les valeurs vides ou null doivent être supprimées du modèle pour que vous puissiezl'utiliser.
L'exemple suivant spécifie un intervalle de temps et un nombre maximal de résultats à retourner.
{ "StartTime": "2015-01-01", "EndTime": "2015-01-27", "MaxResults": 2}
3. Pour utiliser le fichier modifié comme entrée, utilisez la syntaxe--cli-input-jsonfile://<filename>, comme dans l'exemple suivant :
aws cloudtrail lookup-events --cli-input-json file://LookupEvents.txt
Note
Vous pouvez utiliser d'autres arguments sur la même ligne de commande en tant que --cli-input-json.
Champs de résultat de la rechercheEvents
Liste des événements de recherche basée sur l'attribut de recherche et la plage de temps qui ont étéspécifiés. La liste des événements est triée par heure, le dernier événement arrivant en tête. Chaqueentrée contient des informations concernant la demande de recherche et inclut une représentationchaîne de l'événement CloudTrail qui a été extrait.
Les entrées suivantes décrivent les champs dans chaque événement de recherche.CloudTrailEvent
Chaîne JSON qui contient une représentation d'objet de l'événement renvoyé. Pour plus d'informationssur chacun des éléments renvoyés, consultez Contenu du corps d'un enregistrement.
EventId
Chaîne qui contient le GUID de l'événement retourné.EventName
Chaîne qui contient le nom de l'événement renvoyé.EventSource
Service AWS auquel la demande a été faite.EventTime
Date et heure, au format de temps UNIX, de l'événement.Resources
Liste de ressources référencées par l'événement qui a été renvoyé. Chaque entrée de ressourcespécifie un type de ressource et un nom de ressource.
Version 1.059
AWS CloudTrail Guide de l'utilisateurAffichage des événements CloudTrail Insights
ResourceName
Chaîne qui contient le nom de la ressource référencée par l'événement.ResourceType
Chaîne qui contient le type d'une ressource référencée par l'événement. Lorsque le type de ressourcene peut pas être déterminé, la valeur null est renvoyée.
Nom d'utilisateur
Chaîne qui contient le nom d'utilisateur du compte pour l'événement renvoyé.NextToken
Chaîne pour obtenir la page de résultats suivante d'une commande lookup-events précédente.Pour utiliser le jeton, les paramètres doivent être identiques à ceux de la commande d'origine. Siaucune entrée NextToken n'apparaît dans la sortie, cela signifie qu'il n'y a aucun résultat à renvoyer.
Affichage des événements CloudTrail InsightsUne fois que vous avez activé CloudTrail Insights sur un journal de suivi, vous pouvez afficher jusqu'à 90jours de à l'aide de la Insights events console ou de l' CloudTrail .AWS CLI Cette section décrit commentafficher, rechercher et télécharger un fichier de Insights events . Pour plus d'informations sur l'utilisation delLookupEvents'API pour récupérer CloudTrail des informations à partir d'événements, consultez le AWSCloudTrail API Reference . Pour plus d'informations sur CloudTrail Insights , consultez Journalisation desévénements Insights pour les journaux de suivi (p. 161) dans ce guide.
Pour plus d'informations sur la façon de créer un journal de suivi afin de disposer d'un enregistrement desévénements qui s'étendent au-delà des 90 derniers jours, consultez Création d'un journal de suivi (p. 76)et Obtention et consultation des fichiers journaux CloudTrail (p. 130) .
Rubriques• Affichage des événements CloudTrail Insights dans la console CloudTrail (p. 60)• Affichage des événements CloudTrail Insights avec l’AWS CLI (p. 67)
Affichage des événements CloudTrail Insights dans laconsole CloudTrailAprès avoir activé les événements CloudTrail Insights sur un journal de suivi, lorsque CloudTrail détecteune activité inhabituelle de l'API de gestion d'écriture, CloudTrail génère les Insights events et les affichedans les pages Dashboard (Tableau de bord) et Insights de la AWS Management Console. Vous pouvezafficher les Insights events dans la console et résoudre les problèmes liés à l'activité inhabituelle. LesInsights events des 90 derniers jours sont affichés dans la console. Vous pouvez également téléchargerles Insights events l'aide de la console AWS CloudTrail. Vous pouvez rechercher des événements parprogrammation à l'aide d' AWS SDKs ou de l' AWS Command Line Interface . Pour plus d'informations surles événements CloudTrail Insights, consultez Journalisation des événements Insights pour les journaux desuivi (p. 161) dans ce guide.
Une fois les événements Insights journalisés, les événements sont affichés sur la page Insights pendant 90jours. Vous ne pouvez pas supprimer manuellement des événements de la page Insights. Étant donné quevous devez créer un journal de suivi (p. 76) avant de pouvoir activer CloudTrail Insights, vous pouvezafficher les Insights events qui y sont consignés dans la mesure où vous les stockez dans le compartimentS3 configuré dans vos paramètres de suivi.
Version 1.060
AWS CloudTrail Guide de l'utilisateurAffichage des événements CloudTrail
Insights dans la console CloudTrail
Surveillez vos journaux de suivi et recevez une notification lorsqu'une activité d’Insights events spécifiquesse produit avec Amazon CloudWatch Logs. Pour plus d’informations, consultez Surveillance des fichiersjournaux CloudTrail avec Amazon CloudWatch Logs (p. 167).
Pour afficher les Insights events
Les événements CloudTrail Insights doivent être activés sur votre journal de suivi pour que les Insightsevents s’affichent dans la console. Prévoyez jusqu'à 36 heures avant que CloudTrail fournisse le premierInsights events, si une activité inhabituelle est détectée.
1. Connectez-vous à AWS Management Console et ouvrez la console CloudTrail à l'adresse https://console.aws.amazon.com/cloudtrail/home/.
2. Dans le volet de navigation, choisissez Dashboard (Tableau de bord) pour afficher les cinq Insightsevents les plus récents , ou Insights pour voir tous les Insights events consignés dans votre compte aucours des 90 derniers jours.
Sur la page Insights vous pouvez filtrer les Insights events par critères, dont la source de l'APId'événement, le nom de l'événement et l'ID de l'événement, mais aussi limiter les événements affichésà ceux correspondant à une plage de temps spécifique. Pour plus d'informations sur le filtrage desInsights events, consultez Filtrage des événements Insights (p. 61).
Table des matières• Filtrage des événements Insights (p. 61)• Affichage des détails d'un événement Insights (p. 52)• Zoomer, faire un panoramique et télécharger un graphique (p. 64)• Modifier les paramètres de période du graphique (p. 64)• Téléchargement d'événements Insights (p. 66)
Filtrage des événements InsightsL'affichage par défaut des événements dans Insights présente les événements dans l'ordre chronologiqueinverse. Les Insights events les plus récents, triés par heure de début de l'événement, figurent en premier.La liste suivante décrit les attributs disponibles.
Nom de l'événement
Le nom de l'événement, généralement l'API AWS sur laquelle des niveaux inhabituels d'activité ont étéenregistrés.
Origine de l'événement
Service auprès duquel la demande a été effectuée, tel que AWS ou iam.amazonaws.com.s3.amazonaws.com Vous pouvez faire défiler une liste de sources d'événements après avoir choisile filtre de source d'événements.
ID d'événement
L’ID de l'événement Insights. IDsLes événements ne sont pas affichés dans le tableau de la page Insights, mais ils sont un attribut sur lequel vous pouvez filtrer Insights events . Les événements IDs degestion qui sont analysés pour générer Insights events sont différents des événements IDs de Insightsevents .
Heure de début de l'événement
L’heure de début de l'événement Insights, mesuré sous la forme de la première minute au cours delaquelle une activité d’API inhabituelle a été enregistrée. Cet attribut est affiché dans la table Insights,mais vous ne pouvez pas filtrer l'heure de début de l'événement dans la console.
Version 1.061
AWS CloudTrail Guide de l'utilisateurAffichage des événements CloudTrail
Insights dans la console CloudTrail
Si aucun événement n'est journalisé pour l'attribut ou l'heure que vous avez choisi, la liste des résultats estvide. Vous pouvez appliquer un seul filtre d'attributs, en plus de la plage de temps. Si vous choisissez unautre filtre d'attribut, la plage de temps que vous avez spécifiée est conservée.
Les étapes suivantes expliquent comment filtrer sur les attributs.
Pour filtrer par attribut
1. Pour filtrer les résultats selon un attribut, choisissez un attribut de recherche dans le menu déroulant,puis saisissez ou choisissez une valeur dans la zone Enter a lookup value (Entrer une valeur derecherche).
2. Pour supprimer un filtre d'attributs, cliquez sur la croix à droite de la zone de filtre d'attributs.
Les étapes suivantes expliquent comment filtrer sur une date et une heure de début et de fin.
Pour filtrer selon une date et une heure de début et de fin
1. Pour affiner la plage de temps pour les événements que vous souhaitez voir, choisissez une plagede temps sur la barre de période en haut de la table. Les plages de temps prédéfinies incluent 30minutes, 1 heure, 3 heures ou 12 heures. Pour spécifier une plage de temps personnalisée, choisissezPersonnalisée.
2. Choisissez l'un des onglets suivants.
• Absolute : vous permet de choisir une heure spécifique. Passez à l'étape suivante.• Relative to selected event - Selected by default. (Par rapport à l'événement sélectionné -
Sélectionné par défaut.) Permet de choisir une période par rapport à l'heure de début d'unévénement Insights. Passez à l'étape 4.
3. Pour définir une plage de temps absolue, procédez comme suit.
a. Sous l'onglet Absolute, choisissez le jour pour lequel vous souhaitez démarrer la plage de temps.Saisissez une heure de début le jour sélectionné. Pour entrer une date manuellement, tapez ladate au format yyyy/mm/dd . Les heures de début et de fin utilisent une horloge de 24 heures, etles valeurs doivent être au format hh:mm:ss . Par exemple, pour indiquer une heure de début de18h30, entrez 18:30:00 .
b. Choisissez une date de fin pour la plage sur le calendrier, ou spécifiez une date et une heure defin sous le calendrier. Choisissez Apply (Appliquer).
4. Pour définir un relatif à la plage de temps d'événement sélectionnée, procédez comme suit.
a. Choisissez une période prédéfinie par rapport à l'heure de début d' Insights events . Les valeursprédéfinies sont disponibles en minutes, heures, jours ou semaines. La période relative maximaleest de 12 semaines.
b. Si nécessaire, personnalisez la valeur prédéfinie dans les zones sous les préréglages. Sinécessaire, choisissez Effacer pour réinitialiser vos modifications. Une fois que vous avez définil'heure relative souhaitée, choisissez Apply (Appliquer).
5. Dans To (À), choisissez le jour et spécifiez l'heure de la fin de la plage horaire. Choisissez Apply(Appliquer).
6. Pour supprimer un filtre de plage de temps, cliquez sur l'icône de calendrier à droite de la zone Timerange (Plage de temps), puis choisissez Remove (Supprimer).
Affichage des détails d'un événement Insights1. Sélectionnez un événement Insights dans la liste des résultats pour en afficher les détails. La page des
détails d'un événement Insights présente un graphique de la chronologie d'activité inhabituelle.
Version 1.062
AWS CloudTrail Guide de l'utilisateurAffichage des événements CloudTrail
Insights dans la console CloudTrail
2. Passez le curseur sur les bandes en surbrillance pour afficher l'heure de début et la durée de chaqueévénement Insights dans le graphique.
Les informations suivantes sont affichées dans la légende du graphique :
• Type d'information. Il s'agit actuellement du taux d'appel d'API.• Déclencheur. Il s'agit d'un lien vers l'onglet des événements Cloudtrail, qui répertorie les
événements de gestion qui ont été analysés pour déterminer si une activité inhabituelle s'estproduite.
• API calls per minute (Appels d'API par minute)• Moyenne de référence - Taux typique d'appels par minute vers cette API, mesuré
approximativement dans les sept jours précédents, dans une région spécifique de votre compte.• Insights average (Moyenne Insights) - Taux d'appels par minute à cette API ayant déclenché
l'événement Insights. La moyenne CloudTrail Insights de l'événement de départ est le tauxd'appels par minute vers l'API ayant déclenché l'événement Insights. Généralement il s’agit de lapremière minute d'activité inhabituelle. La moyenne Insights pour l'événement de fin est le tauxd'appels d'API par minute pendant la durée de l'activité inhabituelle, entre l'événement Insights dedébut et l'événement Insights de fin.
• Source de l'événement. Point de terminaison du service AWS sur lequel le nombreinhabituel d'appels d'API a été effectué. Dans l'image précédente, la source estmonitoring.amazonaws.com , qui est le point de terminaison de service pour AmazonCloudWatch .
• Détails sur l'événement Insights• Heure de début de l'événement - Minute au cours de laquelle une activité inhabituelle a été
enregistrée pour la première fois.• Durée de l'événement : durée, en minutes, de l'événement Insights.
3. Sélectionnez l'onglet Attributions pour afficher des informations sur les identités utilisateur, les agentsutilisateur et les codes d'erreur corrélés avec une activité inhabituelle et une activité de base. Unmaximum de cinq identités utilisateur, cinq agents utilisateur et cinq codes d'erreur sont affichésdans les tableaux de l'onglet Attributions, triés en fonction de la moyenne du nombre d'activités, parordre décroissant, de la plus élevée à la plus basse. Pour plus d'informations sur l'onglet Attributions,
Version 1.063
AWS CloudTrail Guide de l'utilisateurAffichage des événements CloudTrail
Insights dans la console CloudTrail
consultez AttributionsOnglet (p. 163) et CloudTrailÉlément insightDetails Insights (p. 327)dans ce guide.
4. Dans l'onglet CloudTrail events (Événements CloudTrail), affichez les événements associés analyséspar CloudTrail pour déterminer si une activité inhabituelle s'est produite. Par défaut, un filtre est déjàappliqué pour le nom de l'événement Insights, qui est également le nom de l'API associée. L'ongletCloudTrail events (Événements CloudTrail) affiche les événements de gestion CloudTrail liés à l'APIobjet qui se sont produits entre l'heure de début (moins une minute) et l'heure de fin (plus une minute)de l'événement Insights.
Lorsque vous sélectionnez d'autres événements Insights dans le graphique, les événements affichésdans le tableau CloudTrail events (Événements CloudTrail) changent. Ces événements vous aident àeffectuer une analyse plus approfondie afin de déterminer la cause probable d'un événement Insightset les raisons de l'activité inhabituelle de l'API.
Pour afficher tous les CloudTrail événements qui ont été consignés pendant la durée de l'événementInsights, et pas uniquement ceux de l'API associée, désactivez le filtre.
5. Choisissez l'onglet d'enregistrement d'événement Insights pour afficher les événements de début etde fin Insights au format JSON.
6. Choisir la source d'événement liée vous renvoie à la page Insights, filtrée par cette sourced'événement.
Zoomer, faire un panoramique et télécharger un graphiqueVous pouvez zoomer, faire un panoramique et réinitialiser les axes du graphique sur la page de détails del'événement Insights à l'aide d'une barre d'outils située dans le coin supérieur droit.
De gauche à droite, les boutons de commande de la barre d'outils de graphique permettent d'effectuer lesopérations suivantes :
• Download plot as a PNG (Télécharger un diagramme au format PNG) - Téléchargez l'image graphiqueaffichée sur la page des détails et enregistrez-la au format PNG.
• Zoom - Faites glisser la souris pour sélectionner une zone du graphique que vous souhaitez agrandir etvoir plus en détail.
• Pan (Faire un panoramique) - Déplacez le graphique pour voir les dates ou les heures adjacentes.• Reset axes (Réinitialiser les axes) - Replacez les axes du graphique dans leur position d’origine, en
supprimant les paramètres de zoom et de panoramique.
Modifier les paramètres de période du graphiqueVous pouvez modifier la période — (durée sélectionnée des événements affichés sur l'axe des x—)affichée dans le graphique en choisissant un paramètre dans le coin supérieur droit du graphique.
La période par défaut affichée dans le graphique dépend de la durée de l'événement Insights sélectionné.
Version 1.064
AWS CloudTrail Guide de l'utilisateurAffichage des événements CloudTrail
Insights dans la console CloudTrail
Durée de l'événement Insights Période par défaut
Moins de 4 heures 3h (trois heures)
Entre 4 et 12 heures 12h(12 heures)
Entre 12 et 24 heures 1d (un jour)
Entre 24 et 72 heures 3d (trois jours)
Plus de 72 heures 1w (une semaine)
Vous pouvez choisir des préréglages de cinq minutes, 30 minutes, une heure, trois heures, 12 heures ou personnalisés. L'image suivante montre un rapport par rapport aux périodes d'événement sélectionnéesque vous pouvez choisir dans les paramètres personnalisés. Les périodes relatives sont des périodesapproximatives entourant le début et la fin de l'événement Insights sélectionné qui s'affiche sur la page dedétails d'un événement Insights.
Pour personnaliser un préréglage sélectionné, spécifiez un nombre et une unité de temps dans les zonessituées sous les préréglages.
Pour spécifier une plage de dates et d'heures exactes, choisissez l'onglet Absolute (Absolues). Si vousdéfinissez une plage de dates et d'heures absolue, les heures de début et de fin sont obligatoires. Pourplus d'informations sur la façon de définir l'heure, consultez the section called “Filtrage des événementsInsights” (p. 61) dans cette rubrique.
Version 1.065
AWS CloudTrail Guide de l'utilisateurAffichage des événements CloudTrail
Insights dans la console CloudTrail
Téléchargement d'événements InsightsVous pouvez télécharger l'historique des événements Insights enregistrés en tant que fichier au formatJSON ou CSV. Utilisez des filtres et des plages de temps pour réduire la taille du fichier que voustéléchargez.
Note
Les fichiers d'historique des événements CloudTrail sont des fichiers de données qui contiennentdes informations (comme les noms de ressources) pouvant être configurées par des utilisateursindividuels. Certaines données peuvent éventuellement être interprétées comme des commandesdans des programmes utilisés pour lire et analyser ces données (injection CSV). Par exemple,lorsque des événements CloudTrail sont exportés vers CSV et importés dans un tableur, cedernier peut vous avertir de problèmes de sécurité. Pour des raisons de sécurité, désactivez lesliens ou les macros des fichiers d'historique des événements téléchargés.
1. Spécifiez le filtre et la plage de temps pour les événements que vous souhaitez télécharger. Parexemple, vous pouvez spécifier le nom d'événement, StartInstances, et indiquer une plage detemps pour les trois derniers jours d'activité.
2. Choisissez Télécharger les événements, puis choisissez Télécharger le CSV ou Télécharger leJSON. Vous êtes invité à choisir un emplacement pour enregistrer le fichier.
Note
Le téléchargement peut prendre un certain temps. Pour des résultats plus rapides, utilisezun filtre spécifique ou une plage de temps plus courte pour affiner les résultats avant decommencer le processus de téléchargement.
3. Une fois le téléchargement terminé, ouvrez le fichier pour afficher les événements que vous avezspécifiés.
4. Pour annuler votre téléchargement, choisissez Annuler le téléchargement. Si vous annulez untéléchargement avant qu'il ne soit terminé, un fichier JSON ou CSV sur votre ordinateur local peutcontenir uniquement une partie de vos événements.
Version 1.066
AWS CloudTrail Guide de l'utilisateurAffichage des événements
CloudTrail Insights avec l’AWS CLI
Affichage des événements CloudTrail Insights avecl’AWS CLIVous pouvez rechercher CloudTrail Insights les événements survenus au cours des 90 derniers jours enexécutant la aws cloudtrail lookup-events commande . lookup-eventspropose les options suivantes :
• --end-time
• --event-category
• --max-results
• --start-time
• --lookup-attributes
• --next-token
• --generate-cli-skeleton
• --cli-input-json
Ces options sont présentées dans cette rubrique. Pour obtenir des informations générales sur l'utilisationde l’AWS Command Line Interface, consultez le AWS Command Line Interface Guide de l'utilisateur.
Table des matières• Prerequisites (p. 67)• Obtention de l'aide de la ligne de commande (p. 67)• Recherche d’événements Insights (p. 68)• Spécification du nombre d'événements Insights à renvoyer (p. 70)• Recherche d'événements Insights par plage de temps (p. 71)
• Valide <timestamp> Formats (p. 71)• Recherche d’événements Insights par attribut (p. 71)
• Exemples de recherche d'attribut (p. 72)• Spécification de la page de résultats suivante (p. 72)• Extraction de l'entrée JSON à partir d'un fichier (p. 72)• Champs de résultat de la recherche (p. 73)
Prerequisites• Pour exécuter des commandes AWS CLI, vous devez installer l'AWS CLI. Pour plus d'informations,
consultez Installation de l'interface de ligne de commande AWS.• Assurez-vous que votre version de l'AWS CLI est ultérieure à la version 1.6.6. Pour vérifier la version de
l'interface de ligne de commande, exécutez aws --version sur la ligne de commande.• Pour définir le compte, la région et le format de sortie par défaut pour une session AWS CLI, utilisez la
commande aws configure. Pour plus d'informations, consultez Configuration de l'interface de ligne decommande AWS.
Note
Les commandes CloudTrail de l'AWS CLI sont sensibles à la casse.
Obtention de l'aide de la ligne de commandePour voir l'aide de la ligne de commande pour lookup-events, tapez la commande suivante.
Version 1.067
AWS CloudTrail Guide de l'utilisateurAffichage des événements
CloudTrail Insights avec l’AWS CLI
aws cloudtrail lookup-events help
Recherche d’événements InsightsPour voir les dix derniers Insights events, tapez la commande suivante.
aws cloudtrail lookup-events --event-category insight
Un événement renvoyé ressemble à l'exemple suivant,
{ "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=", "Events": [ { "eventVersion": "1.07", "eventTime": "2019-10-15T21:13:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLE-9b6f-45f8-bc6b-9b41c052ebc7", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE8-02b2-4e93-9aab-08ed47ea5fd3", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 0.0000882145 }, "insight": { "average": 0.6 }, "insightDuration": 5, "baselineDuration": 11336 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3", "average": 0.2 } ], "baseline": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.0000882145 } ]
Version 1.068
AWS CloudTrail Guide de l'utilisateurAffichage des événements
CloudTrail Insights avec l’AWS CLI
}, { "attribute": "userAgent", "insight": [ { "value": "codedeploy.amazonaws.com", "average": 0.6 } ], "baseline": [ { "value": "codedeploy.amazonaws.com", "average": 0.0000882145 } ] }, { "attribute": "errorCode", "insight": [ { "value": "null", "average": 0.6 } ], "baseline": [ { "value": "null", "average": 0.0000882145 } ] } ] } }, "eventCategory": "Insight" }, { "eventVersion": "1.07", "eventTime": "2019-10-15T21:14:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLEc-9eac-4af6-8e07-26a5ae8786a5", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE8-02b2-4e93-9aab-08ed47ea5fd3", "insightDetails": { "state": "End", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 0.0000882145 }, "insight": { "average": 0.6 }, "insightDuration": 5, "baselineDuration": 11336 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1",
Version 1.069
AWS CloudTrail Guide de l'utilisateurAffichage des événements
CloudTrail Insights avec l’AWS CLI
"average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3", "average": 0.2 } ], "baseline": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.0000882145 } ] }, { "attribute": "userAgent", "insight": [ { "value": "codedeploy.amazonaws.com", "average": 0.6 } ], "baseline": [ { "value": "codedeploy.amazonaws.com", "average": 0.0000882145 } ] }, { "attribute": "errorCode", "insight": [ { "value": "null", "average": 0.6 } ], "baseline": [ { "value": "null", "average": 0.0000882145 } ] } ] } }, "eventCategory": "Insight" } ]}
Pour une explication des champs liés à la recherche dans la sortie, consultez la section Champs de résultatde la recherche (p. 73) ultérieurement dans ce document. Pour une explication sur les champs del'événement Insights, consultez Contenu d'un enregistrement CloudTrail (p. 313).
Spécification du nombre d'événements Insights à renvoyerPour spécifier le nombre d'événements à renvoyer, tapez la commande suivante.
Version 1.070
AWS CloudTrail Guide de l'utilisateurAffichage des événements
CloudTrail Insights avec l’AWS CLI
aws cloudtrail lookup-events --event-category insight --max-results <integer>
La valeur par défaut pour <integer>, s'il n'est pas spécifié, est égal à 10. Les valeurs possibles sont 1 à50. L'exemple suivant renvoie un résultat.
aws cloudtrail lookup-events --event-category insight --max-results 1
Recherche d'événements Insights par plage de tempsLes Insights events survenus au cours des 90 derniers jours sont disponibles pour la recherche. Pourspécifier une plage de temps, tapez la commande suivante.
aws cloudtrail lookup-events --event-category insight --start-time <timestamp> --end-time <timestamp>
--start-time <timestamp> spécifie que seuls les Insights events qui se produisent au momentindiqué ou après sont renvoyés. Si l'heure de début spécifiée survient après l'heure de fin spécifiée, uneerreur est renvoyée.
--end-time <timestamp> spécifie que seuls les Insights events qui se produisent au moment indiquéou avant sont renvoyés. Si l'heure de fin spécifiée survient avant l'heure de début spécifiée, une erreur estrenvoyée.
L'heure de début par défaut est la première date à laquelle les données sont disponibles au cours des90 derniers jours. L'heure de fin par défaut est le moment où l'événement s'est produit le plus proche del'heure actuelle.
Valide <timestamp> FormatsLes attributs --start-time et --end-time prennent des valeurs de temps UNIX ou équivalentesvalides.
Voici des exemples de formats valides. Les valeurs de date, mois et année peuvent être séparées par destirets ou des barres obliques. Des guillemets doubles doivent être utilisés si des espaces sont présents.
14223177821422317782.001-27-201501-27-2015,01:16PM"01-27-2015, 01:16 PM""01/27/2015, 13:16"2015-01-27"2015-01-27, 01:16 PM"
Recherche d’événements Insights par attributPour filtrer selon un attribut, tapez la commande suivante.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=<attribute>,AttributeValue=<string>
Vous ne pouvez spécifier qu'une seule paire clé-valeur d'attribut pour chaque commande lookup-events.Les valeurs d'événement Insights valides pour sont les suivantesAttributeKey. Les noms de valeur sontsensibles à la casse.
• EventId
Version 1.071
AWS CloudTrail Guide de l'utilisateurAffichage des événements
CloudTrail Insights avec l’AWS CLI
• EventName• EventSource
Exemples de recherche d'attributL'exemple de commande suivant renvoie les Insights events dans lesquels la valeur de EventName estPutRule.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
L'exemple de commande suivant renvoie les Insights events dans lesquels la valeur de EventId estb5cc8c40-12ba-4d08-a8d9-2bceb9a3e002.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002
L'exemple de commande suivant renvoie les Insights events dans lesquels la valeur de EventSource estiam.amazonaws.com.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com
Spécification de la page de résultats suivantePour obtenir la page de résultats suivante à partir d'une commande lookup-events, tapez la commandesuivante.
aws cloudtrail lookup-events --event-category insight <same parameters as previous command> --next-token=<token>
Dans cette commande, la valeur de <token> est extrait du premier champ de la sortie de la commandeprécédente.
Lorsque vous utilisez --next-token dans une commande, vous devez utiliser les mêmes paramètres quedans la commande précédente. Par exemple, supposons que vous exécutiez la commande suivante.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule
Pour obtenir la page de résultats suivante, votre commande suivante se présente comme suit.
aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=
Extraction de l'entrée JSON à partir d'un fichierL’AWS CLI de certains services AWS contient deux paramètres, --generate-cli-skeleton et --cli-input-json, que vous pouvez utiliser pour générer un modèle JSON que vous pouvez modifier etutiliser comme entrée pour le paramètre --cli-input-json. Cette section décrit comment utiliser cesparamètres avec aws cloudtrail lookup-events . Pour plus d'informations, consultez Générationde paramètres de squelette de CLI et JSON d'entrée de la CLI.
Version 1.072
AWS CloudTrail Guide de l'utilisateurAffichage des événements
CloudTrail Insights avec l’AWS CLI
Pour rechercher des Insights events en extrayant une entrée JSON d'un fichier
1. Créer un modèle d'entrée à utiliser avec lookup-events en redirigeant la sortie de --generate-cli-skeleton vers un fichier, comme dans l'exemple suivant.
aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt
Fichier de modèle généré (dans ce cas, LookupEvents.txt) comme suit).
{ "LookupAttributes": [ { "AttributeKey": "", "AttributeValue": "" } ], "StartTime": null, "EndTime": null, "MaxResults": 0, "NextToken": ""}
2. Utilisez un éditeur de texte pour modifier le code JSON le cas échéant. L''entrée JSON doit conteniruniquement des valeurs qui sont spécifiées.
Important
Toutes les valeurs vides ou null doivent être supprimées du modèle pour que vous puissiezl'utiliser.
L'exemple suivant spécifie un intervalle de temps et un nombre maximal de résultats à retourner.
{ "StartTime": "2015-01-01", "EndTime": "2015-01-27", "MaxResults": 2}
3. Pour utiliser le fichier modifié comme entrée, utilisez la syntaxe--cli-input-jsonfile://<filename>, comme dans l'exemple suivant.
aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt
Note
Vous pouvez utiliser d'autres arguments sur la même ligne de commande en tant que --cli-input-json.
Champs de résultat de la rechercheEvents
Liste des événements de recherche basée sur l'attribut de recherche et la plage de temps qui ont étéspécifiés. La liste des événements est triée par heure, le dernier événement arrivant en tête. Chaque
Version 1.073
AWS CloudTrail Guide de l'utilisateurCréation d'un journal de suivi pour votre AWS compte
entrée contient des informations concernant la demande de recherche et inclut une représentationchaîne de l'événement CloudTrail qui a été extrait.
Les entrées suivantes décrivent les champs dans chaque événement de recherche.CloudTrailEvent
Chaîne JSON qui contient une représentation d'objet de l'événement renvoyé. Pour plus d'informationssur chacun des éléments renvoyés, consultez Contenu du corps d'un enregistrement.
EventId
Chaîne qui contient le GUID de l'événement retourné.EventName
Chaîne qui contient le nom de l'événement renvoyé.EventSource
Service AWS auquel la demande a été faite.EventTime
Date et heure, au format de temps UNIX, de l'événement.Resources
Liste de ressources référencées par l'événement qui a été renvoyé. Chaque entrée de ressourcespécifie un type de ressource et un nom de ressource.
ResourceName
Chaîne qui contient le nom de la ressource référencée par l'événement.ResourceType
Chaîne qui contient le type d'une ressource référencée par l'événement. Lorsque le type de ressourcene peut pas être déterminé, la valeur null est renvoyée.
Nom d'utilisateur
Chaîne qui contient le nom d'utilisateur du compte pour l'événement renvoyé.NextToken
Chaîne pour obtenir la page de résultats suivante d'une commande lookup-events précédente.Pour utiliser le jeton, les paramètres doivent être identiques à ceux de la commande d'origine. Siaucune entrée NextToken n'apparaît dans la sortie, cela signifie qu'il n'y a aucun résultat à renvoyer.
Pour plus d'informations sur les événements CloudTrail Insights, consultez Journalisation des événementsInsights pour les journaux de suivi (p. 161) dans ce guide.
Création d'un journal de suivi pour votre AWScompte
Lorsque vous créez un suivi, vous activez la livraison continue d'événements en tant que fichiers journauxà un compartiment Amazon S3 que vous spécifiez. La création d'un journal de suivi présente de nombreuxavantages, notamment :
• Un enregistrement d'événements qui s'étend au-delà des 90 derniers jours.• La possibilité de surveiller automatiquement les événements spécifiés et de déclencher une alarme en
envoyant les événements de journal à Amazon CloudWatch Logs.
Version 1.074
AWS CloudTrail Guide de l'utilisateurCréation et mise à jour d'un journal de suivi avec la console
• La possibilité d'interroger les journaux et d'analyser l'activité de service AWS avec Amazon Athena.
Depuis le 12 avril 2019, vous pouvez afficher les journaux de suivi uniquement dans les AWS régionsoù des événements sont enregistrés. Si vous créez un journal de suivi qui consigne des événementsdans toutes les AWS régions, il s'affiche dans la console dans toutes les régions. Si vous créez un journalde suivi qui consigne uniquement les événements d'une seule région, vous pouvez l'afficher et le géreruniquement dans cette région. La création d'un journal de suivi sur plusieurs régions est l'option par défautsi vous créez un journal de suivi à l'aide de la AWS CloudTrail console. Il s'agit d'une bonne pratiquerecommandée. Pour créer un journal de suivi d'une seule région, vous devez utiliser l' AWS CLI .
Si vous utilisez AWS Organizations, vous pouvez créer un journal de suivi qui enregistre tous lesévénements de tous les comptes AWS de cette organisation. Un journal de suivi avec le même nomsera créé dans chaque compte membre, et les événements de chaque journal de suivi seront livrés aucompartiment Amazon S3 que vous spécifiez.
Note
Seul le compte de gestion d'une organisation peut créer un journal de suivi pour l'organisation. Lacréation d'un journal de suivi pour une organisation permet automatiquement l'intégration entreCloudTrail et Organisations. Pour plus d’informations, consultez Création d'un journal de suivi pourune organisation (p. 116).
Rubriques• Création et mise à jour d'un journal de suivi avec la console (p. 75)• Création, mise à jour et gestion des journaux de suivi avec l'AWS Command Line Interface (p. 95)
Création et mise à jour d'un journal de suivi avec laconsoleVous pouvez créer, mettre à jour ou supprimer vos journaux de suivi à l'aide de la console CloudTrail.Lorsque vous créez un journal de suivi dans la CloudTrail console, vous créez un journal de suivi surplusieurs régions. Pour créer un journal de suivi qui consigne des événements dans une seule région, utilisez l' AWS CLI (p. 97) .
Vous pouvez créer jusqu'à cinq journaux de suivi par région. Une fois que vous avez créé un journal desuivi, CloudTrail commence automatiquement la journalisation des appels d'API et des événements liésde votre compte dans le compartiment Amazon S3 que vous spécifiez. Pour arrêter la journalisation, vouspouvez désactiver la journalisation pour le journal de suivi ou supprimer ce dernier.
La création et mise à jour des journaux de suivi dans la console CloudTrail dispose de plusieursfonctionnalités qui ne sont pas disponibles lors de la création d'un journal de suivi à l'aide de l'AWS CLI.Par exemple, si vous configurez un journal de suivi pour enregistrer les événements de données pour lescompartiments Amazon S3 ou les fonctions AWS Lambda de votre compte AWS, vous pouvez afficher uneliste de ces ressources lors de la création du journal de suivi dans la console. Si c'est la première fois quevous créez un journal suivi, sa création à l'aide de la console vous aidera à comprendre les fonctionnalitéset les options disponibles pour le journal de suivi.
Pour plus d'informations propres à la création d'un journal de suivi pour une organisation in AWSOrganizations, consultez Création d'un journal de suivi pour une organisation (p. 116).
Rubriques• Création d'un journal de suivi (p. 76)• Mise à jour d'un journal de suivi (p. 86)• Suppression d'un journal de suivi (p. 94)• Désactivation de la journalisation pour un suivi (p. 94)
Version 1.075
AWS CloudTrail Guide de l'utilisateurCréation et mise à jour d'un journal de suivi avec la console
Création d'un journal de suiviSuivez la procédure indiquée pour créer un journal de suivi qui s'applique à toutes les régions. Unjournal de suivi qui s'applique à toutes les régions livre les fichiers journaux de toutes les régions dansun compartiment S3. Une fois que vous avez créé le journal de suivi, AWS CloudTrail commenceautomatiquement la journalisation des événements que vous avez spécifiés.
Note
Une fois que vous avez créé un journal de suivi, vous pouvez configurer d'autres servicesAWS pour analyser plus en profondeur les données d'événement collectées dans les journauxCloudTrail et agir sur celles-ci. Pour plus d'informations, consultez Intégrations et services pris encharge par CloudTrail (p. 21).
Création d'un journal de suivi dans la console (sélecteurs d'événements de base)
Dans la console, vous créez un journal de suivi qui consigne les événements de toutes les régionsAWSque vous avez activées. Il s'agit d'une bonne pratique recommandée. Pour enregistrer desévénements dans une seule région (non recommandé), utilisez le AWS CLI (p. 97).
Utilisez la procédure suivante si vous n'avez pas encore activé les sélecteurs d'événements avancés. Sivous avez activé des sélecteurs d'événements avancés, consultez Création d'un journal de suivi dans laconsole (sélecteurs d'événements avancés) (p. 81) pour configurer la journalisation des événements dedonnées sur votre journal de suivi.
Pour créer un suivi CloudTrail à l'aide de l'AWS Management Console
1. Connectez-vous à la AWS Management Console et ouvrez la console CloudTrail à l'adresse https://console.aws.amazon.com/cloudtrail/.
2. Sur la page d'accueil du service CloudTrail, la page Trails (Journaux de suivi) ou la section Trails(Journaux de suivi) de la page Dashboard (Tableau de bord), choisissez Create trail (Créer un journalde suivi).
3. Sur la page Create Trail, tapez un nom pour votre journal de suivi dans la zone Trail Name. Pour plusd'informations, consultez Exigences en matière d'attribution de nom de suivi CloudTrail (p. 137).
4. S'il s'agit d'un journal de suivi d'une organisation AWS Organizations, vous pouvez choisir d'activerce journal pour tous les comptes de votre organisation. Vous ne voyez cette option que si vous êtesconnecté à la console avec un utilisateur ou un rôle IAM dans le compte de gestion. Pour créeravec succès le journal de suivi d'une organisation, assurez-vous que l'utilisateur ou le rôle disposed'autorisations suffisantes (p. 119). Pour plus d'informations, consultez Création d'un journal de suivipour une organisation (p. 116).
5. Pour Storage location (Emplacement de stockage), choisissez Create new S3 bucket (Créer unnouveau compartiment S3) pour créer un compartiment. Lorsque vous créez un compartiment,CloudTrail crée et applique les stratégies nécessaires.
Note
Si vous avez choisi Use existing S3 bucket (Utiliser un compartiment S3 existant), spécifiezun compartiment dans Trail log bucket name (Nom du compartiment du journal de suivi) ouchoisissez Browse (Parcourir) pour choisir un compartiment. La stratégie de compartimentdoit accorder à CloudTrail une autorisation d'écriture. Pour plus d'informations sur lamodification manuelle de la stratégie de compartiment, consultez Stratégie de compartimentAmazon S3 pour CloudTrail (p. 283).
Pour faciliter la recherche de vos journaux, créez un dossier (également appelé préfixe) dans uncompartiment existant pour stocker vos journaux CloudTrail. Saisissez le préfixe dans Prefix (Préfixe).
6. Pour Chiffrement des fichiers journaux SSE-KMS, choisissez Activé si vous souhaitez chiffrer vosfichiers journaux avec SSE-KMS au lieu de SSE-S3. La valeur par défaut est Activé. Pour plus
Version 1.076
AWS CloudTrail Guide de l'utilisateurCréation et mise à jour d'un journal de suivi avec la console
d'informations sur ce type de chiffrement, consultez Protection des données à l'aide du chiffrementcôté serveur avec les clés de chiffrement gérées par Amazon S3 (SSE-S3).
Si vous activez le chiffrement SSE-KMS, choisissez une clé principale client New (Nouveau)ou Existing (Existante).AWS KMS Dans Alias AWS KMS, spécifiez un alias au format.alias/MyAliasNamePour plus d'informations, consultez Mise à jour d'un suivi pour qu'il utilise votreclé CMK (p. 308)..
Note
Vous pouvez également saisir l'ARN d'une clé à partir d'un autre compte. Pour plusd'informations, consultez Mise à jour d'un suivi pour qu'il utilise votre clé CMK (p. 308). Lastratégie de clés doit autoriser CloudTrail à utiliser la clé pour chiffrer vos fichiers journaux etautoriser les utilisateurs que vous indiquez à lire les fichiers journaux sous forme non chiffrée.Pour plus d'informations sur la modification manuelle de la stratégie de clés, consultez la pageConfigurer des stratégies de clé AWS KMS pour CloudTrail (p. 301).
7. Dans Additional settings (Paramètres supplémentaires), configurez les éléments suivants.
a. Pour Log file validation (Validation des fichiers journaux), choisissez Enabled (Activé) pour queles fichiers de valeur de hachage des journaux soient livrés dans votre compartiment S3. Vouspouvez utiliser les fichiers de valeur de hachage pour vérifier que vos fichiers journaux n'ontpas changé après leur livraison par CloudTrail. Pour plus d'informations, consultez Validation del'intégrité des fichiers journaux CloudTrail (p. 233).
b. Pour SNS notification delivery (Livraison des notifications SNS), choisissez Enabled (Activé) pourêtre averti chaque fois qu'un journal est livré à votre compartiment. CloudTrail stocke plusieursévénements dans un fichier journal. Des notifications SNS sont envoyées pour chaque fichierjournal, non pour chaque événement. Pour plus d'informations, consultez Configuration denotifications Amazon SNS pour CloudTrail (p. 133).
Si vous activez les notifications SNS, pour Create a new SNS topic, choisissez New pour créerune rubrique ou Existing pour utiliser une rubrique existante. Si vous créez un journal de suivi quis'applique à toutes les régions, les notifications SNS relatives à la livraison de fichiers journaux detoutes les régions sont envoyées à la rubrique SNS unique que vous créez.
Si vous choisissez New (Nouveau), CloudTrail spécifie un nom pour la nouvelle rubrique à votreplace, ou vous pouvez saisir un nom. Si vous choisissez Existing (Existante), choisissez unerubrique SNS dans la liste déroulante. Vous pouvez également indiquer l'ARN d'une rubriqueprovenant d'une autre région ou d'un compte disposant des autorisations appropriées. Pour plusd'informations, consultez Stratégie de rubrique Amazon SNS pour CloudTrail (p. 288).
Si vous créez une rubrique, vous devez vous abonner à la rubrique pour être averti de la livraisonde fichiers journaux. Vous pouvez vous abonner à partir de la console Amazon SNS. En raisonde la fréquence des notifications, nous vous recommandons de configurer l'abonnement de sorteà utiliser une file d'attente Amazon SQS pour gérer les notifications par programmation. Pour deplus amples informations, veuillez consulter Amazon Simple Notification Service Guide de mise enroute.
8. Le cas échéant, configurez CloudTrail pour envoyer les fichiers journaux à CloudWatch Logs enchoisissant Enabled (Activé) dans CloudWatch Logs. Pour plus d'informations, consultez Envoid'événements à CloudWatch Logs (p. 168).
a. Si vous activez l'intégration à CloudWatch Logs, choisissez New (Nouveau) pour créer un groupede journaux ou Existing (Existant) pour utiliser un groupe existant. Si vous choisissez New(Nouveau), CloudTrail spécifie un nom pour le nouveau groupe de journaux pour vous ou vouspouvez saisir un nom.
b. Si vous choisissez Existing (Existant), choisissez un groupe de journaux dans la liste déroulante.c. Choisissez New (Nouveau) pour créer un nouveau rôle IAM pour les autorisations d'envoi de
journaux à CloudWatch Logs. Choisissez Existing (Existant) pour choisir un rôle IAM existantVersion 1.0
77
AWS CloudTrail Guide de l'utilisateurCréation et mise à jour d'un journal de suivi avec la console
dans la liste déroulante. La déclaration de stratégie du rôle nouveau ou existant s'affichelorsque vous développez Document de stratégie. Pour de plus amples informations sur ce rôle,consultez Document de stratégie de rôle pour que CloudTrail utilise CloudWatch Logs pour lasurveillance (p. 218).
Note
Lorsque vous configurez un journal de suivi, vous pouvez choisir un compartiment S3et une rubrique SNS qui appartiennent à un autre compte. Toutefois, si vous voulez queCloudTrail livre les événements dans un groupe de journaux CloudWatch Logs, vousdevez choisir un groupe de journaux qui existe dans votre compte actuel.
9. Pour Tags (Balises), ajoutez une ou plusieurs balises personnalisées (paires clé-valeur) à votre journalde suivi. Les balises peuvent vous aider à identifier à la fois vos journaux de suivi CloudTrail et lescompartiments Amazon S3 qui contiennent des fichiers journaux CloudTrail. Vous pouvez ensuiteutiliser les groupes de ressources pour vos ressources CloudTrail. Pour plus d'informations, consultezGroupes de ressources AWS et Pourquoi utiliser des balises pour les journaux de suivi ? (p. 9).
10. Sur la page Choose log events (Choisir les événements de journal), choisissez les types d'événementsque vous souhaitez consigner. Pour Management events (Événements de gestion), procédez commesuit.
a. Pour Activité de l'API, choisissez si vous souhaitez que votre journal de suivi consigne lesévénements Lecture, les événements Écriture ou les deux. Pour plus d'informations, consultezÉvénements de gestion (p. 143).
b. Choisissez Exclude AWS KMS events (Exclure les événements) pour filtrer les événements AWSKey Management Service (AWS KMS) hors de votre journal de suivi. Le paramètre par défautconsiste à inclure tous les événements AWS KMS.
L'option permettant de consigner ou d'exclure des événements AWS KMS n'est disponible que sivous consignez des événements de gestion sur votre journal de suivi. Si vous choisissez de nepas consigner les événements de gestion, les événements AWS KMS ne sont pas consignés etvous ne pouvez pas modifier les paramètres de journalisation des événements AWS KMS.
Les actions AWS KMS telles que Encrypt, Decrypt et GenerateDataKey génèrenthabituellement un volume important (plus de 99 %) d'événements. Ces actions sont désormaisenregistrées en tant qu'événements Read (Lecture). Les actions AWS KMS pertinentes de faiblevolume telles que Disable, Delete et ScheduleKey (qui représentent généralement moins de0,5 % du volume d'événement AWS KMS) sont consignées en tant qu'événements Write.
Pour exclure les événements à volume élevé tels que Encrypt, Decrypt et GenerateDataKey,mais toujours consigner les événements pertinents tels que Disable, Delete et ScheduleKey,choisissez d'enregistrer les événements de gestion Écriture et décochez la case pour Exclure lesévénements AWS KMS.
11. Pour Data events (Événements de données), vous pouvez spécifier la journalisation des événementsde données pour les compartiments Amazon S3, les fonctions AWS Lambda ou une combinaisonde ces types de ressources. Par défaut, les suivis ne consignent pas les événements de données.Des frais supplémentaires sont facturés pour la journalisation des événements de données. Pourplus d'informations, consultez Evénements de données (p. 148). Pour la tarification de CloudTrail,consultez Tarification d'AWS CloudTrail.
Pour les compartiments Amazon S3 :
a. Pour Source de l'événement de données, choisissez S3.b. Vous pouvez choisir de consigner All current and future S3 buckets (Tous les compartiments S3
actuels et futurs), ou vous pouvez spécifier des compartiments ou des fonctions individuels. Pardéfaut, les événements de données sont enregistrés pour tous les compartiments S3 actuels etfuturs.
Version 1.078
AWS CloudTrail Guide de l'utilisateurCréation et mise à jour d'un journal de suivi avec la console
Note
Conservez l'option par défaut All current and future S3 buckets (Tous les compartimentsS3 actuels et futurs) pour activer la journalisation des événements de données pourtous les compartiments actuellement dans votre compte AWS et tous les compartimentsque vous créez après avoir fini de créer le journal de suivi. Cela active également lajournalisation de l'activité des événements de données effectuée par tout utilisateur ourôle dans votre compte AWS, même si cette activité est effectuée sur un compartimentqui appartient à un autre compte AWS.Si vous créez un journal de suivi pour une seule région (effectue à l'aide de l'AWS CLI),l'option All current and future S3 buckets (Tous les compartiments S3 actuels et futurs)active la journalisation des événements de données pour tous les compartiments dela même région que votre journal de suivi et tous les compartiments que vous créerezultérieurement dans cette région. Il ne consignera pas d'événements de données pour lescompartiments Amazon S3 situés dans d'autres régions de votre compte AWS.
c. Si vous conservez la valeur par défaut, choisissez All current and future S3 buckets (Tous lescompartiments S3 actuels et futurs), choisissez de consigner les événements Read (Lecture), lesévénements Write (Écrire) ou les deux.
d. Pour sélectionner des compartiments individuels, videz les cases à cocher Lecture et Écrirepour Tous les compartiments S3 actuels et futurs. Dans Sélection de compartiment individuel,recherchez un compartiment sur lequel enregistrer les événements de données. Recherchez descompartiments spécifiques en saisissant un préfixe de compartiment pour le compartiment devotre choix. Vous pouvez sélectionner plusieurs compartiments dans cette fenêtre. ChoisissezAdd bucket (Ajouter un compartiment) pour enregistrer les événements de données pourd'autres compartiments. Choisissez de consigner les événements Read tels que GetObject, lesévénements Write tels que PutObject ou les deux.
Ce paramètre est prioritaire par rapport aux paramètres que vous définissez pour lescompartiments individuels. Par exemple, si vous spécifiez la journalisation des événements Readpour tous les compartiments S3, puis choisissez d'ajouter un compartiment spécifique pour lajournalisation des événements de données, Read est déjà sélectionné pour le compartiment quevous avez ajouté. Vous ne pouvez pas effacer la sélection. Vous pouvez uniquement configurerl'option pour Write.
Pour supprimer un compartiment de la journalisation, choisissez X.12. Pour ajouter un autre type de données sur lequel journaliser les événements de données, choisissez
Add data event type (Ajouter un type d'événement de données).13. Pour les fonctions Lambda :
a. Pour Data event source (Source de l'événement de données), choisissez Lambda.b. Dans Fonction Lambda, choisissez Toutes les régions pour consigner toutes les fonctions ou
LambdaFonction d'entrée en tant qu'ARN pour consigner les événements de données sur unefonction spécifique.
Pour consigner les événements de données de toutes les fonctions Lambda de votre compteAWS, sélectionnez Log all current and future functions (Consigner tous les fonctions actuelleset futures). Ce paramètre est prioritaire par rapport aux paramètres que vous définissez pour lesfonctions individuelles. Toutes les fonctions sont consignées, même si elles ne sont pas toutesaffichées.
Note
Si vous créez un journal de suivi pour toutes les régions, cette sélection active lajournalisation des événements de données pour toutes les fonctions se trouvantactuellement dans votre compte AWS et pour toute fonction Lambda que vous êtessusceptible de créer dans n'importe quelle région après avoir fini de créer le journal de
Version 1.079
AWS CloudTrail Guide de l'utilisateurCréation et mise à jour d'un journal de suivi avec la console
suivi. Si vous créez un journal de suivi pour une seule région (effectué à l'aide de l'AWSCLI), cette sélection active la journalisation des événements de données pour toutesles fonctions actuellement dans cette région de votre compte AWS et pour toutes lesfonctions Lambda que vous êtes susceptible de créer dans cette région après avoirfini de créer le journal de suivi. Cela n'active pas la journalisation des événements dedonnées pour les fonctions Lambda créées dans d'autres régions.La journalisation des événements de données pour toutes les fonctions active égalementla journalisation de l'activité des événements de données effectuée par tout utilisateur ourôle dans votre compte AWS, même si cette activité est effectuée sur une fonction quiappartient à un autre compte AWS.
c. Si vous choisissez Input function as ARN (Fonction d'entrée en tant qu'ARN), tapez l'ARN d'unefonction Lambda.
Note
Si vous avez plus de 15 000 fonctions Lambda dans votre compte, vous ne pouvez pasvoir ou sélectionner toutes les fonctions dans la console CloudTrail lors de la créationd'un journal de suivi. Vous pouvez toujours sélectionner l'option de journalisation detoutes les fonctions, même si elles ne sont pas affichées. Si vous souhaitez consigner lesévénements de données de fonctions spécifiques, vous pouvez ajouter manuellementune fonction si vous connaissez son ARN. Vous pouvez également terminer la créationdu journal de suivi dans la console, puis utiliser l'AWS CLI et la commande put-event-selectors afin de configurer la journalisation d'événements de données pour des fonctionsLambda spécifiques. Pour plus d'informations, consultez Gestion des journaux de suiviavec l'AWS CLI (p. 100).
14. Choisissez Insights events (Événements Insights) si vous souhaitez que votre journal de suivi consigneles événements Insights CloudTrail.
Dans Event type (Type d'événement), sélectionnez Insights events (Événements Insights). Vous devezjournaliser les événements de gestion Write pour journaliser les événements Insights.
CloudTrail Insights analyse les événements de gestion Écriture pour rechercher une activitéinhabituelle et consigne les événements lorsque des anomalies sont détectées. Par défaut, lesjournaux de suivi ne consignent pas les événements Insights. Pour plus d’informations sur lesévénements Insights, consultez Journalisation des événements Insights pour les journaux desuivi (p. 161). Des frais supplémentaires s'appliquent pour la journalisation des événements Insights.Pour la tarification de CloudTrail, consultez Tarification d'AWS CloudTrail.
Les Insights events sont livrés dans un autre dossier nommé /CloudTrail-Insight du mêmecompartiment S3 spécifié dans la zone Storage location (Emplacement de stockage) de la pagede détails du journal de suivi. CloudTrail crée le nouveau préfixe pour vous. Par exemple, si votrecompartiment S3 de destination actuel se nomme S3bucketName/AWSLogs/CloudTrail/, le nomdu compartiment S3 avec un nouveau préfixe se nommera S3bucketName/AWSLogs/CloudTrail-Insight/.
15. Lorsque vous avez terminé de choisir les types d'événements à consigner, choisissez Suivant.16. Sur la page Review and create (Vérifier et créer), vérifiez vos choix. Choisissez Edit (Modifier) dans
une section pour modifier les paramètres de suivi affichés dans cette section. Lorsque vous êtes prêt àcréer le journal de suivi, choisissez Create trail (Créer un journal de suivi).
17. Le nouveau journal de suivi s'affiche sur la page Trails. La page Trails (Journaux de suivi) affiche lesjournaux de suivi de votre compte pour toutes les régions. Après 15 minutes environ, CloudTrail publieles fichiers journaux qui répertorient les appels d'API AWS effectués dans votre compte. Les fichiersjournaux se trouvent dans le compartiment S3 que vous avez spécifié. CloudTrail peut nécessiterjusqu'à 36 heures pour livrer le premier événement Insights, si vous avez activé la journalisation desévénements Insights et si une activité inhabituelle est détectée.
Version 1.080
AWS CloudTrail Guide de l'utilisateurCréation et mise à jour d'un journal de suivi avec la console
Note
Vous ne pouvez pas renommer un suivi une fois qu'il a été créé. Au lieu de cela, vous pouvezsupprimer le suivi et en créer un nouveau.
Création d'un journal de suivi dans la console (sélecteurs d'événements avancés)
Dans la console, vous créez un journal de suivi qui consigne les événements dans toutes les régions AWS.Il s'agit d'une bonne pratique recommandée. Pour enregistrer des événements dans une seule région (nonrecommandé), utilisez le AWS CLI (p. 97).
Utilisez la procédure suivante si vous avez activé les sélecteurs d'événements avancés. Si vous préférezutiliser des sélecteurs d'événements de données de base, consultez Création d'un journal de suivi dans laconsole (sélecteurs d'événements de base) (p. 76) pour configurer la journalisation des événements dedonnées sur votre journal de suivi.
Pour créer un suivi CloudTrail à l'aide de l'AWS Management Console
1. Connectez-vous à la AWS Management Console et ouvrez la console CloudTrail à l'adresse https://console.aws.amazon.com/cloudtrail/.
2. Sur la page d'accueil du service CloudTrail, la page Trails (Journaux de suivi) ou la section Trails(Journaux de suivi) de la page Dashboard (Tableau de bord), choisissez Create trail (Créer un journalde suivi).
3. Sur la page Create Trail, tapez un nom pour votre journal de suivi dans la zone Trail Name. Pour plusd'informations, consultez Exigences en matière d'attribution de nom de suivi CloudTrail (p. 137).
4. S'il s'agit d'un journal de suivi d'une organisation AWS Organizations, vous pouvez choisir d'activerce journal pour tous les comptes de votre organisation. Vous ne voyez cette option que si vous êtesconnecté à la console avec un utilisateur ou un rôle IAM dans le compte de gestion. Pour créeravec succès le journal de suivi d'une organisation, assurez-vous que l'utilisateur ou le rôle disposed'autorisations suffisantes (p. 119). Pour plus d'informations, consultez Création d'un journal de suivipour une organisation (p. 116).
5. Pour Storage location (Emplacement de stockage), choisissez Create new S3 bucket (Créer unnouveau compartiment S3) pour créer un compartiment. Lorsque vous créez un compartiment,CloudTrail crée et applique les stratégies nécessaires.
Note
Si vous avez choisi Use existing S3 bucket (Utiliser un compartiment S3 existant), spécifiezun compartiment dans Trail log bucket name (Nom du compartiment du journal de suivi) ouchoisissez Browse (Parcourir) pour choisir un compartiment. La stratégie de compartimentdoit accorder à CloudTrail une autorisation d'écriture. Pour plus d'informations sur lamodification manuelle de la stratégie de compartiment, consultez Stratégie de compartimentAmazon S3 pour CloudTrail (p. 283).
Pour faciliter la recherche de vos journaux, créez un dossier (également appelé préfixe) dans uncompartiment existant pour stocker vos journaux CloudTrail. Saisissez le préfixe dans Prefix (Préfixe).
6. Pour Chiffrement des fichiers journaux SSE-KMS, choisissez Activé si vous souhaitez chiffrer vosfichiers journaux avec SSE-KMS au lieu de SSE-S3. La valeur par défaut est Activé. Pour plusd'informations sur ce type de chiffrement, consultez Protection des données à l'aide du chiffrementcôté serveur avec les clés de chiffrement gérées par Amazon S3 (SSE-S3).
Si vous activez le chiffrement SSE-KMS, choisissez une clé principale client New (Nouveau)ou Existing (Existante).AWS KMS Dans Alias AWS KMS, spécifiez un alias au format.alias/MyAliasNamePour plus d'informations, consultez Mise à jour d'un suivi pour qu'il utilise votreclé CMK (p. 308)..
Version 1.081
AWS CloudTrail Guide de l'utilisateurCréation et mise à jour d'un journal de suivi avec la console
Note
Vous pouvez également saisir l'ARN d'une clé à partir d'un autre compte. Pour plusd'informations, consultez Mise à jour d'un suivi pour qu'il utilise votre clé CMK (p. 308). Lastratégie de clés doit autoriser CloudTrail à utiliser la clé pour chiffrer vos fichiers journaux etautoriser les utilisateurs que vous indiquez à lire les fichiers journaux sous forme non chiffrée.Pour plus d'informations sur la modification manuelle de la stratégie de clés, consultez la pageConfigurer des stratégies de clé AWS KMS pour CloudTrail (p. 301).
7. Dans Additional settings (Paramètres supplémentaires), configurez les éléments suivants.
a. Pour Log file validation (Validation des fichiers journaux), choisissez Enabled (Activé) pour queles fichiers de valeur de hachage des journaux soient livrés dans votre compartiment S3. Vouspouvez utiliser les fichiers de valeur de hachage pour vérifier que vos fichiers journaux n'ontpas changé après leur livraison par CloudTrail. Pour plus d'informations, consultez Validation del'intégrité des fichiers journaux CloudTrail (p. 233).
b. Pour SNS notification delivery (Livraison des notifications SNS), choisissez Enabled (Activé) pourêtre averti chaque fois qu'un journal est livré à votre compartiment. CloudTrail stocke plusieursévénements dans un fichier journal. Des notifications SNS sont envoyées pour chaque fichierjournal, non pour chaque événement. Pour plus d'informations, consultez Configuration denotifications Amazon SNS pour CloudTrail (p. 133).
Si vous activez les notifications SNS, pour Create a new SNS topic, choisissez New pour créerune rubrique ou Existing pour utiliser une rubrique existante. Si vous créez un journal de suivi quis'applique à toutes les régions, les notifications SNS relatives à la livraison de fichiers journaux detoutes les régions sont envoyées à la rubrique SNS unique que vous créez.
Si vous choisissez New (Nouveau), CloudTrail spécifie un nom pour la nouvelle rubrique à votreplace ou vous pouvez saisir un nom. Si vous choisissez Existing (Existant), choisissez unerubrique SNS dans la liste déroulante. Vous pouvez également indiquer l'ARN d'une rubriqueprovenant d'une autre région ou d'un compte disposant des autorisations appropriées. Pour plusd'informations, consultez Stratégie de rubrique Amazon SNS pour CloudTrail (p. 288).
Si vous créez une rubrique, vous devez vous abonner à la rubrique pour être averti de la livraisonde fichiers journaux. Vous pouvez vous abonner à partir de la console Amazon SNS. En raisonde la fréquence des notifications, nous vous recommandons de configurer l'abonnement de sorteà utiliser une file d'attente Amazon SQS pour gérer les notifications par programmation. Pour deplus amples informations, veuillez consulter Amazon Simple Notification Service Guide de mise enroute.
8. Le cas échéant, configurez CloudTrail pour envoyer les fichiers journaux à CloudWatch Logs enchoisissant Activé dans CloudWatch Logs. Pour plus d'informations, consultez Envoi d'événements àCloudWatch Logs (p. 168).
a. Si vous activez l'intégration à CloudWatch Logs, choisissez New (Nouveau) pour créer un groupede journaux ou Existing (Existant) pour utiliser un groupe existant. Si vous choisissez New(Nouveau), CloudTrail spécifie un nom pour le nouveau groupe de journaux à votre place ou vouspouvez saisir un nom.
b. Si vous choisissez Existing (Existant), choisissez un groupe de journaux dans la liste déroulante.c. Choisissez New (Nouveau) pour créer un nouveau rôle IAM pour les autorisations d'envoi de
journaux à CloudWatch Logs. Choisissez Existing (Existant) pour choisir un rôle IAM existantdans la liste déroulante. La déclaration de stratégie du rôle nouveau ou existant s'affichelorsque vous développez Document de stratégie. Pour de plus amples informations sur ce rôle,consultez Document de stratégie de rôle pour que CloudTrail utilise CloudWatch Logs pour lasurveillance (p. 218).
Version 1.082
AWS CloudTrail Guide de l'utilisateurCréation et mise à jour d'un journal de suivi avec la console
Note
Lorsque vous configurez un journal de suivi, vous pouvez choisir un compartiment S3et une rubrique SNS qui appartiennent à un autre compte. Toutefois, si vous voulez queCloudTrail livre les événements dans un groupe de journaux CloudWatch Logs, vousdevez choisir un groupe de journaux qui existe dans votre compte actuel.
9. Pour Tags (Balises), ajoutez une ou plusieurs balises personnalisées (paires clé-valeur) à votre journalde suivi. Les balises peuvent vous aider à identifier à la fois vos journaux de suivi CloudTrail et lescompartiments Amazon S3 qui contiennent des fichiers journaux CloudTrail. Vous pouvez ensuiteutiliser les groupes de ressources pour vos ressources CloudTrail. Pour plus d'informations, consultezGroupes de ressources AWS et Pourquoi utiliser des balises pour les journaux de suivi ? (p. 9).
10. Sur la page Choose log events (Choisir les événements de journal), choisissez les types d'événementsque vous souhaitez consigner. Pour Management events (Événements de gestion), procédez commesuit.
a. Pour Activité de l'API, choisissez si vous souhaitez que votre journal de suivi consigne lesévénements Lecture, les événements Écriture ou les deux. Pour plus d'informations, consultezÉvénements de gestion (p. 143).
b. Choisissez Exclude AWS KMS events (Exclure les événements) pour filtrer les événements AWSKey Management Service (AWS KMS) hors de votre journal de suivi. Le paramètre par défautconsiste à inclure tous les événements AWS KMS.
L'option permettant de consigner ou d'exclure des événements AWS KMS n'est disponible que sivous consignez des événements de gestion sur votre journal de suivi. Si vous choisissez de nepas consigner les événements de gestion, les événements AWS KMS ne sont pas consignés etvous ne pouvez pas modifier les paramètres de journalisation des événements AWS KMS.
Les actions AWS KMS telles que Encrypt, Decrypt et GenerateDataKey génèrenthabituellement un volume important (plus de 99 %) d'événements. Ces actions sont désormaisenregistrées en tant qu'événements Read (Lecture). Les actions AWS KMS pertinentes de faiblevolume telles que Disable, Delete et ScheduleKey (qui représentent généralement moins de0,5 % du volume d'événement AWS KMS) sont consignées en tant qu'événements Write.
Pour exclure les événements à volume élevé tels que Encrypt, Decrypt et GenerateDataKey,mais toujours consigner les événements pertinents tels que Disable, Delete et ScheduleKey,choisissez d'enregistrer les événements de gestion Écriture et décochez la case pour Exclure lesévénements AWS KMS.
11. Pour consigner les événements de données, choisissez Data events (Événements de données).12. Pour Type d'événement de données, choisissez le type de ressource d'événement de données
(compartiments S3, objets S3 sur les fonctions AWS Outposts ou Lambda) que vous souhaitezconsigner.
13. Choisissez un modèle de sélecteur de journal. CloudTrail inclut des modèles prédéfinis qui consignenttous les événements de données pour le type de ressource. Pour créer un modèle de sélecteur dejournal personnalisé, choisissez Custom (Personnalisé).
Note
Le choix d'un modèle prédéfini pour les compartiments S3 active la journalisation desévénements de données pour tous les compartiments actuellement dans votre compte AWSet pour tous les compartiments que vous créez après avoir fini de créer le journal de suivi.Cela active également la journalisation de l'activité des événements de données effectuée partout utilisateur ou rôle dans votre compte AWS, même si cette activité est effectuée sur uncompartiment qui appartient à un autre compte AWS.Si le journal de suivi s'applique à une seule région, le choix d'un modèle prédéfini quiconsigne tous les compartiments S3 active la journalisation des événements de donnéespour tous les compartiments de la même région que votre journal de suivi et tous les
Version 1.083
AWS CloudTrail Guide de l'utilisateurCréation et mise à jour d'un journal de suivi avec la console
compartiments que vous créerez ultérieurement dans cette région. Il ne consignera pasd'événements de données pour les compartiments Amazon S3 situés dans d'autres régionsde votre compte AWS.Si vous créez un journal de suivi pour toutes les régions, le choix d'un modèle prédéfini pourles fonctions Lambda active la journalisation des événements de données pour toutes lesfonctions actuellement dans votre compte AWS et pour toute fonction Lambda que vousêtes susceptible de créer dans n'importe quelle région après avoir fini de créer le journal desuivi. Si vous créez un journal de suivi pour une seule région (effectué à l'aide de l'AWS CLI),cette sélection active la journalisation des événements de données pour toutes les fonctionsactuellement dans cette région de votre compte AWS et toutes les fonctions Lambda quevous êtes susceptible de créer dans cette région après avoir fini de créer le journal de suivi.Cela n'active pas la journalisation des événements de données pour les fonctions Lambdacréées dans d'autres régions.La journalisation des événements de données pour toutes les fonctions active également lajournalisation de l'activité des événements de données effectuée par tout utilisateur ou rôledans votre compte AWS, même si cette activité est effectuée sur une fonction qui appartient àun autre compte AWS.
14. Si vous souhaitez appliquer un modèle de sélecteur de journal prédéfini et que vous ne souhaitez pasajouter un autre type de ressource d'événement de données, passez à l'étape 18. Pour appliquer unmodèle de sélecteur de journal personnalisé, passez à l'étape suivante.
15. Pour créer un modèle de sélecteur de journaux personnalisé, dans la liste déroulante Log selectortemplate (Modèle de sélecteur de journaux), choisissez Custom (Personnalisé).
16. Saisissez un nom pour votre modèle de sélecteur de journal personnalisé.17. Dans Advanced event selectors (Sélecteurs d'événements avancés), créez une expression pour les
compartiments S3 spécifiques, les objets S3 sur AWS Outposts ou les fonctions Lambda sur lesquellesvous souhaitez journaliser les événements de données.
a. Choisissez parmi les champs suivants. Pour les champs qui acceptent un tableau (plus d'unevaleur), CloudTrail ajoute un OR entre les valeurs.
• readOnly - readOnly peut être défini sur Égal à une valeur de true ou false. Lesévénements de données en lecture seule sont des événements qui ne modifient pas l'étatd'une ressource, tels que les événements Get* ou Describe*. Les événements d'écritureajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que desévénements Put*, Delete* ou Write*.
• eventName - eventName peut utiliser n'importe quel opérateur. Vous pouvez l'utiliser pourinclure ou exclure n'importe quel événement de données consigné dans CloudTrail, tel quePutBucket ou PutItem. Vous pouvez avoir plusieurs valeurs pour ce champ, séparées pardes virgules.
• resources.type - Ce champ est obligatoire. resources.type peut uniquement utiliserl'opérateur Equals et la valeur peut être l'une des valeurs suivantes : AWS::S3::Object ,AWS::S3Outposts::Object ou AWS::Lambda::Function.
• resources.ARN : vous pouvez utiliser n'importe quel opérateur avec , mais si vous utilisezresources.ARNEquals ou NotEquals, la valeur doit correspondre exactement à l'ARNd'une ressource valide du type que vous avez spécifié dans le modèle en tant que valeur deresources.type. Par exemple, si resources.type est égal à AWS::S3::Object, l'ARN doitêtre dans l'un des formats suivants. La barre oblique de fin est intentionnelle ; ne l'excluez pas.
arn:partition:s3:::bucket_name/arn:partition:s3:::bucket_name/object_or_file_name/
Quand resources.type est égal à AWS::S3Outposts::Object et que l'opérateur est défini surEquals ou NotEquals, l'ARN doit être au format suivant :
Version 1.084
AWS CloudTrail Guide de l'utilisateurCréation et mise à jour d'un journal de suivi avec la console
arn:partition:s3-outposts:region:account_ID:object_path
Quand resources.type est égal à AWS::Lambda::Function et que l'opérateur est défini surEquals ou NotEquals, l'ARN doit être au format suivant :
arn:partition:lambda:region:account_ID:function:function_name
Pour plus d'informations sur les formats ARN des ressources d'événements de données,consultez Types de ressources définis par Amazon S3 et Types de ressources définis par AWSLambda dans le Guide de l'utilisateur AWS Identity and Access Management.
b. Pour chaque champ, choisissez + Conditions pour ajouter autant de conditions que nécessaire,jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions. Par exemple, pourexclure des événements de données pour deux compartiments S3 des événements de donnéesqui sont consignés sur votre journal de suivi, vous pouvez définir le champ sur resources.ARN,définir l'opérateur pour NotEquals, puis coller dans un ARN de compartiment S3 ou rechercher lescompartiments S3 pour lesquels vous ne souhaitez pas consigner des événements.
Pour ajouter le deuxième compartiment S3, choisissez + Conditions, puis répétez l'instructionprécédente, en collant l'ARN de ou en naviguant pour un autre compartiment.
Note
Vous pouvez avoir 500 valeurs au maximum pour tous les sélecteurs d'un journal desuivi. Cela inclut des tableaux de plusieurs valeurs pour un sélecteur tel que eventName.Si vous avez des valeurs uniques pour tous les sélecteurs, 500 conditions au maximumpeuvent être ajoutées à un sélecteur.Si vous avez plus de 15 000 fonctions Lambda dans votre compte, vous ne pouvez pasvoir ou sélectionner toutes les fonctions dans la console CloudTrail lors de la créationd'un journal de suivi. Vous pouvez toujours consigner toutes les fonctions avec unmodèle de sélecteur prédéfini, même si elles ne sont pas affichées. Si vous souhaitezconsigner les événements de données de fonctions spécifiques, vous pouvez ajoutermanuellement une fonction si vous connaissez son ARN. Vous pouvez égalementterminer la création du journal de suivi dans la console, puis utiliser l'AWS CLI et lacommande put-event-selectors afin de configurer la journalisation d'événements dedonnées pour des fonctions Lambda spécifiques. Pour plus d'informations, consultezGestion des journaux de suivi avec l'AWS CLI (p. 100).
c. Choisissez + Field pour ajouter des champs supplémentaires si nécessaire. Pour éviter leserreurs, ne définissez pas de valeurs en conflit ou en double pour les champs. Par exemple, nespécifiez pas un ARN dans un sélecteur comme égal à une valeur, puis spécifiez que l'ARN n'estpas égal à la même valeur dans un autre sélecteur.
d. Enregistrez les modifications apportées à votre modèle de sélecteur personnalisé en choisissantSuivant. Ne choisissez pas un autre modèle de sélecteur de journal, ne quittez pas cette page ouvos sélecteurs personnalisés seront perdus.
e. Pour ajouter un autre type de données sur lequel journaliser les événements de données,choisissez Add data event type (Ajouter un type d'événement de données). Répétez les étapes 12à cette étape pour configurer des sélecteurs d'événements avancés pour le type d'événement dedonnées.
18. Choisissez Insights events (Événements Insights) si vous souhaitez que votre journal de suivi consigneles événements Insights CloudTrail.
Dans Event type (Type d'événement), sélectionnez Insights events (Événements Insights). Vous devezjournaliser les événements de gestion Write pour journaliser les événements Insights.
Version 1.085
AWS CloudTrail Guide de l'utilisateurCréation et mise à jour d'un journal de suivi avec la console
CloudTrail Insights analyse les événements de gestion Écriture pour rechercher une activitéinhabituelle et consigne les événements lorsque des anomalies sont détectées. Par défaut, lesjournaux de suivi ne consignent pas les événements Insights. Pour plus d’informations sur lesévénements Insights, consultez Journalisation des événements Insights pour les journaux desuivi (p. 161). Des frais supplémentaires s'appliquent pour la journalisation des événements Insights.Pour la tarification de CloudTrail, consultez Tarification d'AWS CloudTrail.
Les Insights events sont livrés dans un autre dossier nommé /CloudTrail-Insight du mêmecompartiment S3 spécifié dans la zone Storage location (Emplacement de stockage) de la pagede détails du journal de suivi. CloudTrail crée le nouveau préfixe pour vous. Par exemple, si votrecompartiment S3 de destination actuel se nomme S3bucketName/AWSLogs/CloudTrail/, le nomdu compartiment S3 avec un nouveau préfixe se nommera S3bucketName/AWSLogs/CloudTrail-Insight/.
19. Lorsque vous avez terminé de choisir les types d'événements à consigner, choisissez Suivant.20. Sur la page Review and create (Vérifier et créer), vérifiez vos choix. Choisissez Edit (Modifier) dans
une section pour modifier les paramètres de suivi affichés dans cette section. Lorsque vous êtes prêt àcréer le journal de suivi, choisissez Create trail (Créer un journal de suivi).
21. Le nouveau journal de suivi s'affiche sur la page Trails. La page Trails (Journaux de suivi) affiche lesjournaux de suivi de votre compte pour toutes les régions. Après 15 minutes environ, CloudTrail publieles fichiers journaux qui répertorient les appels d'API AWS effectués dans votre compte. Les fichiersjournaux se trouvent dans le compartiment S3 que vous avez spécifié. CloudTrail peut nécessiterjusqu'à 36 heures pour livrer le premier événement Insights, si vous avez activé la journalisation desévénements Insights et si une activité inhabituelle est détectée.
Étapes suivantes
Après avoir créé le journal de suivi, vous pouvez le modifier :
• Si vous ne l'avez pas déjà fait, vous pouvez configurer CloudTrail pour envoyer les fichiers journauxà CloudWatch Logs. Pour plus d'informations, consultez Envoi d'événements à CloudWatchLogs (p. 168).
• Créez une table et utilisez-la pour exécuter une requête dans Amazon Athena afin d'analyser l'activité devos services AWS. Pour plus d'informations, consultez Création d'une table pour les journaux CloudTraildans la console CloudTrail dans le .Amazon Athena Guide de l'utilisateur
• Ajoutez des balises personnalisées (paires clé-valeur) pour le suivi.• Pour créer un autre journal de suivi, ouvrez la page Journaux de suivi, puis choisissez Ajouter un
nouveau journal de suivi.
Mise à jour d'un journal de suiviPour modifier les paramètres d'un journal de suivi, procédez comme suit.
Pour mettre à jour un journal de suivi d'une seule région afin de consigner les événements de toutesles régions ou mettre à jour un journal de suivi de toutes les régions pour consigner les événementsd'une seule région, vous devez utiliser l'AWS CLI. Pour plus d'informations sur la façon de mettre àjour un journal de suivi d'une seule région pour consigner les événements dans toutes les régions,consultez Convertir un journal de suivi qui s'applique à une région de sorte qu'il s'applique à toutes lesrégions (p. 99). Pour plus d'informations sur la mise à jour d'un journal de suivi pour toute la région afinde consigner les événements dans une seule région, consultez Conversion d'un suivi sur plusieurs régionsà un suivi sur une seule région (p. 99).
Version 1.086
AWS CloudTrail Guide de l'utilisateurCréation et mise à jour d'un journal de suivi avec la console
Pour mettre à jour un suivi avec AWS Management Console
1. Connectez-vous à la AWS Management Console et ouvrez la console CloudTrail à l'adresse https://console.aws.amazon.com/cloudtrail/.
2. Dans le volet de navigation, choisissez Trails (Journaux de suivi), puis choisissez un nom de journal desuivi.
3. Dans General details (Détails généraux), choisissez Edit (Modifier) pour modifier les paramètressuivants. Vous ne pouvez pas modifier le nom d'un journal de suivi.
• Apply trail to my organization (Appliquer le journal de suivi à mon organisation) - Changez si cejournal de suivi est un journal de suivi d'organisation AWS Organizations.
• Emplacement du journal de suivi - Modifiez le nom du compartiment S3 ou le préfixe dans lequelvous stockez les journaux pour ce journal de suivi.
• Chiffrement des fichiers journaux SSE-KMS - Choisissez d'activer ou de désactiver le chiffrementdes fichiers journaux avec SSE-KMS au lieu de SSE-S3.
• Log file validation (Validation des fichiers journaux) - Choisissez cette option pour activer oudésactiver la validation de l'intégrité des fichiers journaux.
• Diffusion de notifications SNS - Choisissez d'activer ou de désactiver les notifications (AmazonSimple Notification Service) selon lesquelles les fichiers journaux ont été livrés au compartimentspécifié pour le journal de suivi.Amazon SNS
a. Pour remplacer le journal de suivi par un journal de suivi d'une organisation AWS Organizations,vous pouvez choisir d'activer le journal de suivi pour tous les comptes de votre organisation. Pourplus d'informations, consultez Création d'un journal de suivi pour une organisation (p. 116).
b. Pour modifier le compartiment spécifié dans Storage location (Emplacement de stockage),choisissez Create new S3 bucket (Créer un nouveau compartiment S3) pour créer uncompartiment. Lorsque vous créez un compartiment, CloudTrail crée et applique les stratégiesnécessaires.
Note
Si vous avez choisi Use existing S3 bucket (Utiliser un compartiment S3 existant),spécifiez un compartiment dans Trail log bucket name (Nom du compartiment du journalde suivi) ou choisissez Browse (Parcourir) pour choisir un compartiment. La stratégiede compartiment doit accorder à CloudTrail une autorisation d'écriture. Pour plusd'informations sur la modification manuelle de la stratégie de compartiment, consultezStratégie de compartiment Amazon S3 pour CloudTrail (p. 283).
Pour faciliter la recherche de vos journaux, créez un dossier (également appelé préfixe) dansun compartiment existant pour stocker vos journaux CloudTrail. Saisissez le préfixe dans Prefix(Préfixe).
c. Pour Log file SSE-KMS encryption (Chiffrement des fichiers journaux SSE-KMS), choisissezEnabled (Activé) pour chiffrer vos fichiers journaux avec SSE-KMS au lieu de SSE-S3. La valeurpar défaut est Activé. Pour plus d'informations sur ce type de chiffrement, consultez Protection desdonnées à l'aide du chiffrement côté serveur avec les clés de chiffrement gérées par Amazon S3(SSE-S3).
Si vous activez le chiffrement SSE-KMS, choisissez une clé principale client New (Nouveau)ou Existing (Existante).AWS KMS Dans Alias AWS KMS, spécifiez un alias au format.alias/MyAliasNamePour plus d'informations, consultez Mise à jour d'un suivi pour qu'il utilisevotre clé CMK (p. 308)..
Note
Vous pouvez également saisir l'ARN d'une clé à partir d'un autre compte. Pour plusd'informations, consultez Mise à jour d'un suivi pour qu'il utilise votre clé CMK (p. 308).Version 1.0
87
AWS CloudTrail Guide de l'utilisateurCréation et mise à jour d'un journal de suivi avec la console
La stratégie de clés doit autoriser CloudTrail à utiliser la clé pour chiffrer vos fichiersjournaux et autoriser les utilisateurs que vous indiquez à lire les fichiers journauxsous forme non chiffrée. Pour plus d'informations sur la modification manuelle de lastratégie de clés, consultez la page Configurer des stratégies de clé AWS KMS pourCloudTrail (p. 301).
d. Pour Log file validation (Validation des fichiers journaux), choisissez Enabled (Activé) pour queles fichiers de valeur de hachage des journaux soient livrés dans votre compartiment S3. Vouspouvez utiliser les fichiers de valeur de hachage pour vérifier que vos fichiers journaux n'ontpas changé après leur livraison par CloudTrail. Pour plus d'informations, consultez Validation del'intégrité des fichiers journaux CloudTrail (p. 233).
e. Pour SNS notification delivery (Livraison des notifications SNS), choisissez Enabled (Activé) pourêtre averti chaque fois qu'un journal est livré à votre compartiment. CloudTrail stocke plusieursévénements dans un fichier journal. Des notifications SNS sont envoyées pour chaque fichierjournal, non pour chaque événement. Pour plus d'informations, consultez Configuration denotifications Amazon SNS pour CloudTrail (p. 133).
Si vous activez les notifications SNS, pour Create a new SNS topic, choisissez New pour créerune rubrique ou Existing pour utiliser une rubrique existante. Si vous créez un journal de suivi quis'applique à toutes les régions, les notifications SNS relatives à la livraison de fichiers journaux detoutes les régions sont envoyées à la rubrique SNS unique que vous créez.
Si vous choisissez New (Nouveau), CloudTrail spécifie un nom pour la nouvelle rubrique pourvous, ou vous pouvez saisir un nom. Si vous choisissez Existing (Existant), choisissez unerubrique SNS dans la liste déroulante. Vous pouvez également indiquer l'ARN d'une rubriqueprovenant d'une autre région ou d'un compte disposant des autorisations appropriées. Pour plusd'informations, consultez Stratégie de rubrique Amazon SNS pour CloudTrail (p. 288).
Si vous créez une rubrique, vous devez vous abonner à la rubrique pour être averti de la livraisonde fichiers journaux. Vous pouvez vous abonner à partir de la console Amazon SNS. En raisonde la fréquence des notifications, nous vous recommandons de configurer l'abonnement de sorteà utiliser une file d'attente Amazon SQS pour gérer les notifications par programmation. Pour deplus amples informations, veuillez consulter Amazon Simple Notification Service Guide de mise enroute.
4. Dans CloudWatch Logs, choisissez Modifier pour modifier les paramètres d'envoi des fichiersjournaux CloudTrail à CloudWatch Logs. Choisissez Activé dans CloudWatch Logs pour activerl'envoi de fichiers journaux. Pour plus d'informations, consultez Envoi d'événements à CloudWatchLogs (p. 168).
a. Si vous activez l'intégration à CloudWatch Logs, choisissez New (Nouveau) pour créer un groupede journaux ou Existing (Existant) pour utiliser un groupe existant. Si vous choisissez New(Nouveau), CloudTrail spécifie un nom pour le nouveau groupe de journaux à votre place ou vouspouvez saisir un nom.
b. Si vous choisissez Existing (Existant), choisissez un groupe de journaux dans la liste déroulante.c. Choisissez New (Nouveau) pour créer un nouveau rôle IAM pour les autorisations d'envoi de
journaux à CloudWatch Logs. Choisissez Existing (Existant) pour choisir un rôle IAM existantdans la liste déroulante. La déclaration de stratégie du rôle nouveau ou existant s'affichelorsque vous développez Document de stratégie. Pour de plus amples informations sur ce rôle,consultez Document de stratégie de rôle pour que CloudTrail utilise CloudWatch Logs pour lasurveillance (p. 218).
Note
Lorsque vous configurez un journal de suivi, vous pouvez choisir un compartiment S3et une rubrique SNS qui appartiennent à un autre compte. Toutefois, si vous voulez queCloudTrail livre les événements dans un groupe de journaux CloudWatch Logs, vousdevez choisir un groupe de journaux qui existe dans votre compte actuel.
Version 1.088
AWS CloudTrail Guide de l'utilisateurCréation et mise à jour d'un journal de suivi avec la console
5. Dans Balises, choisissez Modifier pour modifier, ajouter ou supprimer des balises dans le journal desuivi. Ajoutez une ou plusieurs balises personnalisées (paires clé-valeur) à votre journal de suivi. Lesbalises peuvent vous aider à identifier à la fois vos journaux de suivi CloudTrail et les compartimentsAmazon S3 qui contiennent des fichiers journaux CloudTrail. Vous pouvez ensuite utiliser les groupesde ressources pour vos ressources CloudTrail. Pour plus d'informations, consultez Groupes deressources AWS et Pourquoi utiliser des balises pour les journaux de suivi ? (p. 9).
6. Dans Management events (Événements de gestion), choisissez Edit (Modifier) pour modifier lesparamètres de journalisation des événements de gestion.
a. Pour Activité de l'API, choisissez si vous souhaitez que votre journal de suivi consigne lesévénements Lecture, les événements Écriture ou les deux. Pour plus d'informations, consultezÉvénements de gestion (p. 143).
b. Choisissez Exclude AWS KMS events (Exclure les événements) pour filtrer les événements AWSKey Management Service (AWS KMS) hors de votre journal de suivi. Le paramètre par défautconsiste à inclure tous les événements AWS KMS.
L'option permettant de consigner ou d'exclure des événements AWS KMS n'est disponible que sivous consignez des événements de gestion sur votre journal de suivi. Si vous choisissez de nepas consigner les événements de gestion, les événements AWS KMS ne sont pas consignés etvous ne pouvez pas modifier les paramètres de journalisation des événements AWS KMS.
Les actions AWS KMS telles que Encrypt, Decrypt et GenerateDataKey génèrenthabituellement un volume important (plus de 99 %) d'événements. Ces actions sont désormaisenregistrées en tant qu'événements Read (Lecture). Les actions AWS KMS pertinentes de faiblevolume telles que Disable, Delete et ScheduleKey (qui représentent généralement moins de0,5 % du volume d'événement AWS KMS) sont consignées en tant qu'événements Write.
Pour exclure les événements à volume élevé tels que Encrypt, Decrypt et GenerateDataKey,mais toujours consigner les événements pertinents tels que Disable, Delete et ScheduleKey,choisissez d'enregistrer les événements de gestion Write et décochez la case Exclude AWS KMSevents.
7. Important
Les étapes 7 à 9 permettent de configurer des événements de données sur votre journal desuivi si vous utilisez des sélecteurs d'événements de base. Si vous utilisez des sélecteursd'événements avancés, consultez Mise à jour des paramètres des événements de donnéesavec des sélecteurs d'événements avancés (p. 91), puis revenez à cette procédure pourl'étape 10 et suivantes.
Dans Data events (Événements de données), choisissez Edit (Modifier) pour modifier les paramètresde journalisation des événements de données. Vous pouvez spécifier la journalisation des événementsde données pour les compartiments Amazon S3, les fonctions AWS Lambda ou une combinaisonde ces ressources. Par défaut, les suivis ne consignent pas les événements de données. Desfrais supplémentaires sont facturés pour la journalisation des événements de données. Pour plusd'informations, consultez Evénements de données (p. 148). Pour la tarification de CloudTrail,consultez Tarification d'AWS CloudTrail.
Pour les compartiments Amazon S3 :
a. Pour Source de l'événement de données, choisissez S3.b. Vous pouvez choisir de consigner All current and future S3 buckets (Tous les compartiments S3
actuels et futurs), ou vous pouvez spécifier des compartiments ou des fonctions individuels. Pardéfaut, les événements de données sont enregistrés pour tous les compartiments S3 actuels etfuturs.
Version 1.089
AWS CloudTrail Guide de l'utilisateurCréation et mise à jour d'un journal de suivi avec la console
Note
Conservez l'option par défaut All current and future S3 buckets (Tous les compartimentsS3 actuels et futurs) pour activer la journalisation des événements de données pourtous les compartiments actuellement dans votre compte AWS et tous les compartimentsque vous créez après avoir fini de créer le journal de suivi. Cela active également lajournalisation de l'activité des événements de données effectuée par tout utilisateur ourôle dans votre compte AWS, même si cette activité est effectuée sur un compartimentqui appartient à un autre compte AWS.Si le journal de suivi s'applique à une seule région, choisissez All current and futureS3 buckets (Tous les compartiments S3 actuels et futurs) pour activer la journalisationdes événements de données pour tous les compartiments de la même région que votrejournal de suivi et tous les compartiments que vous créerez ultérieurement dans cetterégion. Il ne consignera pas d'événements de données pour les compartiments AmazonS3 situés dans d'autres régions de votre compte AWS.
c. Si vous conservez la valeur par défaut, choisissez All current and future S3 buckets (Tous lescompartiments S3 actuels et futurs), choisissez de consigner les événements Read (Lecture), lesévénements Write (Écrire) ou les deux.
d. Pour sélectionner des compartiments individuels, videz les cases à cocher Lecture et Écrirepour Tous les compartiments S3 actuels et futurs. Dans Sélection de compartiment individuel,recherchez un compartiment sur lequel enregistrer les événements de données. Pour rechercherdes compartiments spécifiques, tapez un préfixe de compartiment pour le compartiment que voussouhaitez. Vous pouvez sélectionner plusieurs compartiments dans cette fenêtre. ChoisissezAdd bucket (Ajouter un compartiment) pour enregistrer les événements de données pourd'autres compartiments. Choisissez de consigner les événements Read tels que GetObject, lesévénements Write tels que PutObject ou les deux.
Ce paramètre est prioritaire par rapport aux paramètres que vous définissez pour lescompartiments individuels. Par exemple, si vous spécifiez la journalisation des événements Readpour tous les compartiments S3, puis choisissez d'ajouter un compartiment spécifique pour lajournalisation des événements de données, Read est déjà sélectionné pour le compartiment quevous avez ajouté. Vous ne pouvez pas effacer la sélection. Vous pouvez uniquement configurerl'option pour Write.
Pour supprimer un compartiment de la journalisation, choisissez X.8. Pour ajouter un autre type de données sur lequel journaliser les événements de données, choisissez
Add data event type (Ajouter un type d'événement de données).9. Pour les fonctions Lambda :
a. Pour Data event source (Source de l'événement de données), choisissez Lambda.b. Dans Fonction Lambda, choisissez Toutes les régions pour consigner toutes les fonctions ou
LambdaFonction d'entrée en tant qu'ARN pour consigner les événements de données sur unefonction spécifique.
Pour consigner les événements de données de toutes les fonctions Lambda de votre compteAWS, sélectionnez Log all current and future functions (Consigner tous les fonctions actuelleset futures). Ce paramètre est prioritaire par rapport aux paramètres que vous définissez pour lesfonctions individuelles. Toutes les fonctions sont consignées, même si elles ne sont pas toutesaffichées.
Note
Si vous créez un journal de suivi pour toutes les régions, cette sélection active lajournalisation des événements de données pour toutes les fonctions se trouvantactuellement dans votre compte AWS et pour toute fonction Lambda que vous êtessusceptible de créer dans n'importe quelle région après avoir fini de créer le journal de
Version 1.090
AWS CloudTrail Guide de l'utilisateurCréation et mise à jour d'un journal de suivi avec la console
suivi. Si vous créez un journal de suivi pour une seule région (effectué à l'aide de l'AWSCLI), cette sélection active la journalisation des événements de données pour toutesles fonctions actuellement dans cette région de votre compte AWS et pour toutes lesfonctions Lambda que vous êtes susceptible de créer dans cette région après avoirfini de créer le journal de suivi. Cela n'active pas la journalisation des événements dedonnées pour les fonctions Lambda créées dans d'autres régions.La journalisation des événements de données pour toutes les fonctions active égalementla journalisation de l'activité des événements de données effectuée par tout utilisateur ourôle dans votre compte AWS, même si cette activité est effectuée sur une fonction quiappartient à un autre compte AWS.
c. Si vous choisissez Input function as ARN (Fonction d'entrée en tant qu'ARN), tapez l'ARN d'unefonction Lambda.
Note
Si vous avez plus de 15 000 fonctions Lambda dans votre compte, vous ne pouvez pasvoir ou sélectionner toutes les fonctions dans la console CloudTrail lors de la créationd'un journal de suivi. Vous pouvez toujours sélectionner l'option de journalisation detoutes les fonctions, même si elles ne sont pas affichées. Si vous souhaitez consigner lesévénements de données de fonctions spécifiques, vous pouvez ajouter manuellementune fonction si vous connaissez son ARN. Vous pouvez également terminer la créationdu journal de suivi dans la console, puis utiliser l'AWS CLI et la commande put-event-selectors afin de configurer la journalisation d'événements de données pour des fonctionsLambda spécifiques. Pour plus d'informations, consultez Gestion des journaux de suiviavec l'AWS CLI (p. 100).
10. Dans Insights events (Événements Insights), choisissez Edit (Modifier) si vous souhaitez que votrejournal de suivi consigne les événements Insights CloudTrail.
Dans Event type (Type d'événement), sélectionnez Insights events (Événements Insights). Vous devezjournaliser les événements de gestion Write pour journaliser les événements Insights.
CloudTrail Insights analyse les événements de gestion Écriture pour rechercher une activitéinhabituelle et consigne les événements lorsque des anomalies sont détectées. Par défaut, lesjournaux de suivi ne consignent pas les événements Insights. Pour plus d’informations sur lesévénements Insights, consultez Journalisation des événements Insights pour les journaux desuivi (p. 161). Des frais supplémentaires s'appliquent pour la journalisation des événements Insights.Pour la tarification de CloudTrail, consultez Tarification d'AWS CloudTrail.
Les Insights events sont livrés dans un autre dossier nommé /CloudTrail-Insight du mêmecompartiment S3 spécifié dans la zone Storage location (Emplacement de stockage) de la pagede détails du journal de suivi. CloudTrail crée le nouveau préfixe pour vous. Par exemple, si votrecompartiment S3 de destination actuel se nomme S3bucketName/AWSLogs/CloudTrail/, le nomdu compartiment S3 avec un nouveau préfixe se nommera S3bucketName/AWSLogs/CloudTrail-Insight/.
11. Lorsque vous avez terminé de modifier les paramètres de votre journal de suivi, choisissez Update trail(Mettre à jour le journal de suivi).
Mise à jour des paramètres des événements de données avec des sélecteursd'événements avancés
1. Sur la page des détails du journal de suivi, dans Data events (Événements de données), choisissezEdit (Modifier).
2. Si vous ne consignez pas déjà les événements de données, choisissez Data events (Événements dedonnées).
Version 1.091
AWS CloudTrail Guide de l'utilisateurCréation et mise à jour d'un journal de suivi avec la console
3. Pour Type d'événement de données, choisissez le type de ressource d'événement de données(compartiments S3, objets S3 sur les fonctions AWS Outposts ou Lambda) que vous souhaitezconsigner.
4. Choisissez un modèle de sélecteur de journaux. CloudTrail inclut des modèles prédéfinis quiconsignent tous les événements de données pour le type de ressource. Pour créer un modèle desélecteur de journal personnalisé, choisissez Custom (Personnalisé).
Note
Le choix d'un modèle prédéfini pour les compartiments S3 active la journalisation desévénements de données pour tous les compartiments actuellement dans votre compte AWSet pour tous les compartiments que vous créez une fois que vous avez fini de créer le journalde suivi. Cela active également la journalisation de l'activité des événements de donnéeseffectuée par tout utilisateur ou rôle dans votre compte AWS, même si cette activité esteffectuée sur un compartiment qui appartient à un autre compte AWS.Si le journal de suivi s'applique à une seule région, le choix d'un modèle prédéfini quiconsigne tous les compartiments S3 active la journalisation des événements de donnéespour tous les compartiments de la même région que votre journal de suivi et tous lescompartiments que vous créerez ultérieurement dans cette région. Il ne consignera pasd'événements de données pour les compartiments Amazon S3 situés dans d'autres régionsde votre compte AWS.Si vous créez un journal de suivi pour toutes les régions, le choix d'un modèle prédéfini pourles fonctions Lambda active la journalisation des événements de données pour toutes lesfonctions actuellement dans votre compte AWS et pour toute fonction Lambda que vousêtes susceptible de créer dans n'importe quelle région après avoir fini de créer le journal desuivi. Si vous créez un journal de suivi pour une seule région (effectué à l'aide de l'AWS CLI),cette sélection active la journalisation des événements de données pour toutes les fonctionsactuellement dans cette région de votre compte AWS et toutes les fonctions Lambda quevous êtes susceptible de créer dans cette région après avoir fini de créer le journal de suivi.Cela n'active pas la journalisation des événements de données pour les fonctions Lambdacréées dans d'autres régions.La journalisation des événements de données pour toutes les fonctions active également lajournalisation de l'activité des événements de données effectuée par tout utilisateur ou rôledans votre compte AWS, même si cette activité est effectuée sur une fonction qui appartient àun autre compte AWS.
5. Si vous souhaitez appliquer un modèle de sélecteur de journal prédéfini et que vous ne souhaitez pasajouter un autre type de ressource d'événement de données, choisissez Save changes (Enregistrerles modifications) et passez à la dernière étape de cette procédure. Pour appliquer un modèle desélecteur de journal personnalisé, passez à l'étape suivante.
6. Pour créer un modèle de sélecteur de journaux personnalisé, dans la liste déroulante Log selectortemplate (Modèle de sélecteur de journaux), choisissez Custom (Personnalisé).
7. Saisissez un nom pour votre modèle de sélecteur de journal personnalisé.8. Dans Advanced event selectors (Sélecteurs d'événements avancés), créez une expression pour les
compartiments S3 spécifiques, les objets S3 sur AWS Outposts ou les fonctions Lambda sur lesquellesvous souhaitez collecter des événements de données.
a. Choisissez parmi les champs suivants. Pour les champs qui acceptent un tableau (plus d'unevaleur), CloudTrail ajoute un OR entre les valeurs.
• readOnly - readOnly peut être défini sur Égal à une valeur de true ou false.• eventName - eventName peut utiliser n'importe quel opérateur. Vous pouvez l'utiliser pour
inclure ou exclure n'importe quel événement de données consigné dans CloudTrail, tel quePutBucket. Vous pouvez avoir plusieurs valeurs pour ce champ, séparées par des virgules.
• resources.type - Ce champ est obligatoire. resources.type peut uniquement utiliserl'opérateur Equals et la valeur peut être l'une des valeurs suivantes : AWS::S3::Object ,AWS::S3Outposts::Object ou AWS::Lambda::Function.
Version 1.092
AWS CloudTrail Guide de l'utilisateurCréation et mise à jour d'un journal de suivi avec la console
• resources.ARN - Vous pouvez utiliser n'importe quel opérateur avec resources.ARN,mais si vous utilisez Equals ou NotEquals, la valeur doit correspondre exactement à l'ARNd'une ressource valide du type que vous avez spécifié dans le modèle en tant que valeur deresources.type. Par exemple, si resources.type est égal à AWS::S3::Object, l'ARN doitêtre dans l'un des formats suivants. La barre oblique de fin est intentionnelle ; ne l'excluez pas.
arn:partition:s3:::bucket_name/arn:partition:s3:::bucket_name/object_or_file_name/
Quand resources.type est égal à AWS::S3Outposts::Object et que l'opérateur est défini surEquals ou NotEquals, l'ARN doit être au format suivant :
arn:partition:s3-outposts:region:account_ID:object_path
Quand resources.type est égal à AWS::Lambda::Function et que l'opérateur est défini surEquals ou NotEquals, l'ARN doit être au format suivant :
arn:partition:lambda:region:account_ID:function:function_name
Pour plus d'informations sur les formats ARN des ressources d'événements de données,consultez Types de ressources définis par Amazon S3 et Types de ressources définis par AWSLambda dans le Guide de l'utilisateur AWS Identity and Access Management.
b. Pour chaque champ, choisissez + Conditions pour ajouter autant de conditions que nécessaire,jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions. Par exemple, pourexclure les événements de données de deux compartiments S3 des événements de donnéesqui sont consignés sur votre journal de suivi, vous pouvez définir le champ sur resources.ARN,définir l'opérateur pour NotEquals, puis coller dans un ARN de compartiment S3 ou rechercher lescompartiments S3 pour lesquels vous ne souhaitez pas consigner les événements.
Pour ajouter le second compartiment S3, choisissez + Conditions, puis répétez les instructionsprécédentes, en collant l'ARN de ou en naviguant pour un autre compartiment.
Note
Vous pouvez avoir 500 valeurs au maximum pour tous les sélecteurs d'un journal desuivi. Cela inclut des tableaux de plusieurs valeurs pour un sélecteur tel que eventName.Si vous avez des valeurs uniques pour tous les sélecteurs, 500 conditions au maximumpeuvent être ajoutées à un sélecteur.Si vous avez plus de 15 000 fonctions Lambda dans votre compte, vous ne pouvez pasvoir ou sélectionner toutes les fonctions dans la console CloudTrail lors de la créationd'un journal de suivi. Vous pouvez toujours consigner toutes les fonctions avec unmodèle de sélecteur prédéfini, même si elles ne sont pas affichées. Si vous souhaitezconsigner les événements de données de fonctions spécifiques, vous pouvez ajoutermanuellement une fonction si vous connaissez son ARN. Vous pouvez égalementterminer la création du journal de suivi dans la console, puis utiliser l'AWS CLI et lacommande put-event-selectors afin de configurer la journalisation d'événements dedonnées pour des fonctions Lambda spécifiques. Pour plus d'informations, consultezGestion des journaux de suivi avec l'AWS CLI (p. 100).
c. Choisissez + Field pour ajouter des champs supplémentaires si nécessaire. Pour éviter leserreurs, ne définissez pas de valeurs en conflit ou en double pour les champs. Par exemple, nespécifiez pas un ARN dans un sélecteur comme égal à une valeur, puis spécifiez que l'ARN n'estpas égal à la même valeur dans un autre sélecteur.
Version 1.093
AWS CloudTrail Guide de l'utilisateurCréation et mise à jour d'un journal de suivi avec la console
d. Enregistrez les modifications apportées à votre modèle de sélecteur personnalisé en choisissantSuivant. Ne choisissez pas un autre modèle de sélecteur de journal, ne quittez pas cette page ouvos sélecteurs personnalisés seront perdus.
9. Pour ajouter un autre type de données sur lequel journaliser les événements de données, choisissezAdd data event type (Ajouter un type d'événement de données). Répétez les étapes 3 à cette étapepour configurer des sélecteurs d'événements avancés pour le type d'événement de données.
10. Une fois que vous avez choisi Suivant, dans Étape 2 : Choisissez des événements de journaux,vérifiez les options de modèle de sélecteur de journaux que vous avez choisies. Choisissez Edit(Modifier) pour revenir en arrière et apporter des modifications.
11. Pour configurer les événements Insights et d'autres paramètres de votre journal de suivi, revenez à laprocédure précédente décrite dans cette rubrique, Mise à jour d'un journal de suivi (p. 86).
Suppression d'un journal de suiviVous pouvez supprimer les suivis avec la console CloudTrail.
Pour supprimer un suivi avec la console CloudTrail
1. Connectez-vous à la AWS Management Console et ouvrez la console CloudTrail à l'adresse https://console.aws.amazon.com/cloudtrail/.
2. Ouvrez la page des journaux de suivi de la CloudTrail console .3. Choisissez le nom du suivi.4. En haut de la page des détails du journal de suivi, choisissez Delete (Supprimer).5. Lorsque vous êtes invité à confirmer, choisissez Supprimer pour supprimer le journal de suivi
définitivement. Le suivi est supprimé de la liste des suivis. Les fichiers journaux déjà livrés aucompartiment Amazon S3 ne sont pas supprimés.
Note
Le contenu délivré aux compartiments Amazon S3 peut comporter un contenu client. Pourplus d'informations sur la suppression des données sensibles, consultez Comment puis-jevider un compartiment S3 ? ou Comment puis-je supprimer un compartiment S3 ?.
Désactivation de la journalisation pour un suiviLorsque vous créez un suivi, la journalisation est activée automatiquement. Vous pouvez désactiver lajournalisation pour un suivi. Les journaux existants sont toujours stockés dans le Amazon S3 compartimentdu journal de suivi.
Pour désactiver la journalisation pour un suivi avec la console CloudTrail
1. Connectez-vous à la AWS Management Console et ouvrez la console CloudTrail à l'adresse https://console.aws.amazon.com/cloudtrail/.
2. Dans le volet de navigation, choisissez Trails (Journaux de suivi ), puis le nom du journal de suivi.3. En haut de la page des détails du journal de suivi, choisissez Stop logging (Arrêter la journalisation)
pour désactiver la journalisation pour le journal de suivi.4. Lorsque vous êtes invité à confirmer, choisissez Stop logging (Arrêter la journalisation). CloudTrail
arrête l'activité de journalisation pour ce journal de suivi.5. Pour reprendre la journalisation pour ce journal de suivi, choisissez Start logging (Démarrer la
journalisation) sur la page de configuration du journal de suivi.
Version 1.094
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
Création, mise à jour et gestion des journaux de suiviavec l'AWS Command Line InterfaceVous pouvez utiliser l'AWS CLI pour créer, mettre à jour et gérer vos journaux de suivi. Lorsque vousutilisez l'AWS CLI, n'oubliez pas que vos commandes s'exécutent dans la région AWS configurée pourvotre profil. Si vous souhaitez exécuter les commandes dans une autre région, modifiez la région par défautpour votre profil, ou utilisez le paramètre --region avec la commande.
Note
Vous devez disposer des outils de ligne de commande AWS pour exécuter les commandesde l'AWS Command Line Interface (AWS CLI) dans cette rubrique. Vérifiez que vous avez uneversion ultérieure de l'AWS CLI installée. Pour de plus amples informations, veuillez consulterAWS Command Line Interface Guide de l'utilisateur. Pour obtenir de l'aide avec les commandesCloudTrail à la ligne de commande AWS CLI, tapez aws cloudtrail help.
Commandes généralement utilisées pour la création, la gestion etl'état d'un journal de suiviCertaines des commandes les plus couramment utilisées pour la création et la mise à jour de journaux desuivi dans CloudTrail sont les suivantes :
• create-trail (p. 96) : pour créer un journal de suivi.• update-trail (p. 98) : pour modifier la configuration d'un journal de suivi existant.• add-tags (p. 101) : pour ajouter une ou plusieurs balises (paires clé-valeur) à un journal de suivi
existant.• remove-tags (p. 102) : pour supprimer une ou plusieurs balises d'un journal de suivi.• list-tags (p. 101) : pour renvoyer une liste des balises associées à un journal de suivi.• pour ajouter ou modifier des sélecteurs d'événements, ou sélecteurs d'événements avancés, pour un
journal de suivi.put-event-selectors (p. 105)• put-insight-selectors pour ajouter ou modifier des sélecteurs d'événements Insights pour un journal de
suivi existant, et activer ou désactiver les événements Insights.• start-logging (p. 97) : pour commencer à consigner les événements avec votre journal de suivi.• d'stop-logging (p. 116) : pour interrompre la journalisation des événements avec votre journal de suivi.• delete-trail (p. 116) : pour supprimer un journal de suivi. Cette commande ne supprime pas le
compartiment Amazon S3 qui contient les fichiers journaux pour ce journal de suivi, le cas échéant.• describe-trails (p. 102) : pour renvoyer des informations sur des journaux de suivi dans une même
région AWS.• get-trail (p. 102) pour renvoyer les informations sur les paramètres d'un journal de suivi.• get-trail-status (p. 102) pour renvoyer des informations sur l'état actuel d'un journal de suivi.• get-event-selectors (p. 105) pour renvoyer des informations sur les sélecteurs d'événements configurés
pour un journal de suivi.• get-insight-selectors pour renvoyer des informations sur les sélecteurs d'événements Insights configurés
pour un journal de suivi.
Les commandes prises en charge pour la création et la mise à jour de journaux desuivi : create-trail et update-trail
Les commandes update-trail et create-trail offrent une variété de fonctionnalités pour la créationet la gestion des journaux de suivi, y compris :
Version 1.095
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
• Créer un journal de suivi qui reçoit des journaux entre les régions, ou mettre à jour un journal de suiviavec l'option --is-multi-region-trail. Dans la plupart des cas, vous devez créer des journaux desuivi qui consignent des événements dans toutes les régions AWS.
• Créer un journal de suivi qui reçoit des journaux pour tous les comptes AWS d'une organisation avecl'option --is-organization-trail.
• Convertir un journal de suivi sur plusieurs régions en un journal suivi sur une seule région avec l'option--no-is-multi-region-trail.
• Activer ou désactiver le chiffrement des fichiers journaux avec l'option --kms-key-id. L'option spécifieune clé AWS KMS que vous avez déjà créée et à laquelle vous avez attaché une stratégie qui permetà CloudTrail de chiffrer vos journaux. Pour plus d'informations, consultez Activer et désactiver lechiffrement des fichiers journaux CloudTrail avec l'AWS CLI (p. 309).
• Activer ou désactiver la validation de fichiers journaux avec les options --no-enable-log-file-validation et --enable-log-file-validation. Pour plus d'informations, consultez Validation del'intégrité des fichiers journaux CloudTrail (p. 233).
• Spécifier un groupe de journaux et un rôle CloudWatch Logs pour que CloudTrail puisse livrer lesévénements à un groupe de journaux CloudWatch Logs. Pour plus d'informations, consultez Surveillancedes fichiers journaux CloudTrail avec Amazon CloudWatch Logs (p. 167).
Commandes obsolètes : create-subscription et update-subscriptionImportant
Les commandes update-subscription et create-subscription ont été utilisées pourcréer et mettre à jour des journaux de suivi, mais sont obsolètes. N'utilisez pas ces commandes.Elles n'offrent pas de fonctionnalités complètes pour la création et la gestion des journaux de suivi.Si vous avez configuré une automatisation qui utilise une ou deux de ces commandes, nous vousrecommandons de mettre à jour votre code ou vos scripts pour utiliser les commandes prises encharge, par exemple create-trail.
Utilisation de create-trailVous pouvez exécuter la commande create-trail pour créer des journaux de suivi qui sontspécifiquement configurés pour répondre aux besoins de votre entreprise. Lorsque vous utilisez l'AWS CLI,n'oubliez pas que vos commandes s'exécutent dans la région AWS configurée pour votre profil. Si voussouhaitez exécuter les commandes dans une autre région, modifiez la région par défaut pour votre profil,ou utilisez le paramètre --region avec la commande.
Création d'un journal de suivi qui s'applique à toutes les régions
Pour créer un journal de suivi qui s'applique à toutes les régions, utilisez l'option --is-multi-region-trail. Par défaut, la commande create-trail crée un journal de suivi qui consigne les événementsuniquement dans la région AWS dans laquelle le journal de suivi a été créé. Pour vous assurer deconsigner des événements de services mondiaux et de capturer toute l'activité des événements de gestiondans votre compte AWS, vous devez créer des journaux de suivi qui consignent des événements danstoutes les régions AWS.
Note
Lorsque vous créez un journal de suivi, si vous spécifiez un compartiment Amazon S3 qui n'a pasété créé avec CloudTrail, vous devez attacher la stratégie appropriée. Veuillez consulter Stratégiede compartiment Amazon S3 pour CloudTrail (p. 283).
L'exemple suivant crée un journal de suivi avec le nom my-trail et une balise avec une clé nomméeGroup avec la valeur Marketing qui livre les journaux de toutes les régions à un compartiment existantnommé my-bucket.
Version 1.096
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]
Afin de confirmer que votre journal de suivi existe dans toutes les régions, l'élémentIsMultiRegionTrail du résultat affiche true.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}
Note
Utilisez la commande start-logging pour démarrer la journalisation pour votre suivi.
Démarrer la journalisation pour le suiviUne fois la commande create-trail terminée, exécutez la commande start-logging pour démarrerla journalisation pour ce suivi.
Note
Lorsque vous créez un suivi dans la console CloudTrail, la journalisation est activéeautomatiquement.
L'exemple suivant démarre la journalisation pour un journal de suivi.
aws cloudtrail start-logging --name my-trail
Cette commande ne renvoie pas de résultat, mais vous pouvez utiliser la commande get-trail-statuspour vérifier que la journalisation a démarré.
aws cloudtrail get-trail-status --name my-trail
Afin de confirmer que le journal de suivi réalise la journalisation, l'élément IsLogging dans le résultataffiche true.
{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": ""}
Création d'un suivi sur une seule régionLa commande suivante crée un suivi sur une seule région. Le compartiment Amazon S3 spécifié doitexister et disposer des autorisations CloudTrail appropriées. Pour plus d'informations, consultez Stratégiede compartiment Amazon S3 pour CloudTrail (p. 283).
Version 1.097
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket
Pour plus d'informations, consultez Exigences en matière d'attribution de nom de suiviCloudTrail (p. 137).
Voici un exemple de sortie.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}
Créer un journal de suivi qui s'applique à toutes les régions et ayant la validationde fichiers journaux activéePour activer la validation du fichier journal lorsque vous utilisez create-trail, utilisez l'option --enable-log-file-validation.
Pour plus d'informations sur la validation de fichiers journaux, consultez Validation de l'intégrité des fichiersjournaux CloudTrail (p. 233).
L'exemple suivant crée un journal de suivi qui livre des journaux de toutes les régions au compartimentspécifié. La commande utilise l'option --enable-log-file-validation.
aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail --enable-log-file-validation
Afin de confirmer que la validation de fichiers journaux est activée, l'élémentLogFileValidationEnabled dans le résultat affiche true.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}
Utilisation d'update-trailVous pouvez utiliser la commande update-trail pour modifier les paramètres de configuration d'unsuivi. Vous pouvez également utiliser les commandes remove-tags et add-tags pour ajouter et supprimerles balises pour un journal de suivi. Vous pouvez uniquement mettre à jour des journaux de suivi à partir dela région AWS dans laquelle le journal de suivi a été créé (sa Home Region). Lorsque vous utilisez l'AWSCLI, n'oubliez pas que vos commandes s'exécutent dans la région AWS configurée pour votre profil. Sivous souhaitez exécuter les commandes dans une autre région, modifiez la région par défaut pour votreprofil, ou utilisez le paramètre --region avec la commande.
Note
Si vous utilisez l'AWS CLI ou l'un des AWS SDKs pour modifier un journal de suivi, assurez-vousque la stratégie de compartiment du journal de suivi est à jour. Pour que votre compartiment
Version 1.098
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
reçoive automatiquement les événements d'une nouvelle région AWS, la stratégie doit contenirle nom de service complet, cloudtrail.amazonaws.com. Pour plus d'informations, consultezStratégie de compartiment Amazon S3 pour CloudTrail (p. 283).
Convertir un journal de suivi qui s'applique à une région de sorte qu'il s'applique àtoutes les régionsPour modifier un journal de suivi existant afin qu'il s'applique à toutes les régions, utilisez l'option --is-multi-region-trail.
aws cloudtrail update-trail --name my-trail --is-multi-region-trail
Afin de confirmer que le journal de suivi s'applique maintenant à toutes les régions, l'élémentIsMultiRegionTrail dans le résultat affiche true.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}
Conversion d'un suivi sur plusieurs régions à un suivi sur une seule régionPour modifier un journal de suivi existant sur plusieurs régions afin qu'il s'applique uniquement à la régiondans laquelle il a été créé, utilisez l'option --no-is-multi-region-trail.
aws cloudtrail update-trail --name my-trail --no-is-multi-region-trail
Afin de confirmer que le journal de suivi s'applique maintenant à une seule région, l'élémentIsMultiRegionTrail dans le résultat affiche false.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}
Activation et désactivation de la journalisation des événements de servicesmondiauxPour modifier un journal de suivi afin qu'il ne consigne pas les événements de services mondiaux, utilisezl'option --no-include-global-service-events.
aws cloudtrail update-trail --name my-trail --no-include-global-service-events
Pour confirmer que le journal de suivi ne consigne plus d'événements de services mondiaux, l'élémentIncludeGlobalServiceEvents dans le résultat indique false.
{
Version 1.099
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
"IncludeGlobalServiceEvents": false, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}
Pour modifier un journal de suivi afin qu'il consigne les événements de services mondiaux, utilisez l'option--include-global-service-events.
Activer la validation du fichier journalPour activer la validation du fichier journal pour un suivi, utilisez l'option --enable-log-file-validation. Les fichiers de valeur de hachage sont livrés au compartiment Amazon S3 pour ce suivi.
aws cloudtrail update-trail --name my-trail --enable-log-file-validation
Afin de confirmer que la validation de fichiers journaux est activée, l'élémentLogFileValidationEnabled dans le résultat affiche true.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}
Désactiver la validation du fichier journalPour désactiver la validation du fichier journal pour un suivi, utilisez l'option --no-enable-log-file-validation.
aws cloudtrail update-trail --name my-trail-name --no-enable-log-file-validation
Afin de confirmer que la validation du fichier journal est désactivée, l'élémentLogFileValidationEnabled dans le résultat affiche false.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}
Pour valider les fichiers journaux avec l'AWS CLI, consultez Validation de l'intégrité des fichiers journauxCloudTrail avec l'AWS CLI (p. 235).
Gestion des journaux de suivi avec l'AWS CLIL'AWS CLI contient plusieurs autres commandes qui vous aident à gérer vos journaux de suivi. Cescommandes ajoutent des balises aux journaux de suivi pour obtenir le statut du journal de suivi, démarrer
Version 1.0100
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
et arrêter la journalisation pour les journaux de suivi et supprimer un journal de suivi. Vous devez exécuterces commandes à partir de la même région AWS dans laquelle le journal de suivi a été créé (sa HomeRegion). Lorsque vous utilisez l'AWS CLI, n'oubliez pas que vos commandes s'exécutent dans la régionAWS configurée pour votre profil. Si vous souhaitez exécuter les commandes dans une autre région,modifiez la région par défaut pour votre profil, ou utilisez le paramètre --region avec la commande.
Rubriques• Ajouter une ou plusieurs balises à un journal de suivi (p. 101)• Liste des balises pour un ou plusieurs journaux de suivi (p. 101)• Supprimer une ou plusieurs balises à partir d'un journal de suivi (p. 102)• Récupération des paramètres et de l'état d'un suivi (p. 102)• Configuration des sélecteurs d'événements Insights (p. 104)• Configuration des sélecteurs d'événements (p. 105)• Configuration des sélecteurs d'événements avancés (p. 108)• Arrêt et démarrage de la journalisation pour un journal de suivi (p. 116)• Suppression d'un journal de suivi (p. 116)
Ajouter une ou plusieurs balises à un journal de suiviPour ajouter une ou plusieurs balises à un journal de suivi existant, exécutez la commande add-tags.
L'exemple suivant ajoute une balise avec le nom Owner et la valeur de Mary dans un journal de suivi avecl'ARN arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail dans la région USA Est(Ohio).
aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail --tags-list Key=Owner,Value=Mary --region us-east-2
Si elle aboutit, cette commande ne renvoie rien.
Liste des balises pour un ou plusieurs journaux de suiviPour afficher les balises associées à un ou plusieurs journaux de suivi existants, utilisez la commande list-tags.
L'exemple suivant répertorie les balises pour Trail1 et Trail2.
aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2
Si elle aboutit, cette commande renvoie un résultat similaire à ce qui suit.
{ "ResourceTagList": [ { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1", "TagsList": [ { "Value": "Alice", "Key": "Name" }, { "Value": "Ohio", "Key": "Location" } ]
Version 1.0101
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
}, { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2", "TagsList": [ { "Value": "Bob", "Key": "Name" } ] } ]}
Supprimer une ou plusieurs balises à partir d'un journal de suiviPour supprimer une ou plusieurs balises d'un journal de suivi existant, exécutez la commande remove-tags.
L'exemple suivant supprime les balises portant les noms Location et Name depuis un journal de suiviavec l'ARN arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 dans la région USAEst (Ohio).
aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 --tags-list Key=Name Key=Location --region us-east-2
Si elle aboutit, cette commande ne renvoie rien.
Récupération des paramètres et de l'état d'un suiviExécutez la commande describe-trails pour récupérer des informations sur les journaux de suivi dansune région AWS. L'exemple suivant renvoie des informations sur les journaux de suivi configurés dans larégion USA Est (Ohio).
aws cloudtrail describe-trails --region us-east-2
Si la commande aboutit, vous obtenez un résultat similaire à ce qui suit.
{ "trailList": [ { "Name": "my-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, }, { "Name": "my-special-trail", "S3BucketName": "another-bucket", "S3KeyPrefix": "example-prefix", "IncludeGlobalServiceEvents": false, "IsMultiRegionTrail": false, "HomeRegion": "us-east-2", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": true,
Version 1.0102
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
"IsOrganizationTrail": false }, { "Name": "my-org-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-1" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": true } ]}
Exécutez la commande get-trail pour récupérer les informations de paramètres relatives à un journalde suivi spécifique. L'exemple suivant renvoie les informations sur les paramètres d'un journal de suivinommé my-trail.
aws cloudtrail get-trail - -name my-trail
Si elle aboutit, cette commande renvoie un résultat similaire à ce qui suit.
{ "Trail": { "Name": "my-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, }}
Exécutez la commande get-trail-status pour récupérer l'état d'un suivi. Vous devez exécuter cettecommande à partir de la région AWS dans laquelle elle a été créée (sa Home Region), ou vous devezspécifier cette région en ajoutant le paramètre --region.
Note
Si le journal de suivi est celui d'une organisation et que vous êtes un compte membre del'organisation dans AWS Organizations, vous devez fournir l'ARN complet de ce journal de suivi, etpas seulement le nom.
aws cloudtrail get-trail-status --name my-trail
Si la commande aboutit, vous obtenez un résultat similaire à ce qui suit.
{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z",
Version 1.0103
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
"IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": ""}
Outre les champs affichés dans le code JSON précédent, l'état contient les champs suivants si des erreurssont survenues dans Amazon SNS ou Amazon S3 :
• LatestNotificationError. Contient l'erreur émise par Amazon SNS en cas d'échec d'unabonnement à une rubrique.
• LatestDeliveryError. Contient l'erreur émise par Amazon S3 si CloudTrail ne parvient pas à livrerun fichier journal à un compartiment.
Configuration des sélecteurs d'événements InsightsActivez les événements Insights sur un journal de suivi en exécutant put-insight-selectors et en spécifiantApiCallRateInsight comme valeur de l'attribut InsightType. Pour afficher les paramètres dusélecteur Insights pour un journal de suivi, exécutez la commande get-insight-selectors. Vousdevez exécuter cette commande à partir de la région AWS dans laquelle le journal de suivi a été créé (sarégion d’accueil) ou spécifier cette région en ajoutant le paramètre --region à la commande.
Exemple : Un journal de suivi qui consigne les événements Insights
L'exemple suivant utilise put-insight-selectors pour créer un sélecteur d'événements Insights pourun journal de suivi nommé TrailName3. Cela active la collecte des événements Insights pour leTrailName3 Journal de suivi .
aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '{"InsightType": "ApiCallRateInsight"}'
L'exemple montre comment renvoyer le sélecteur d'événements Insights configuré pour le journal de suivi.
{ "InsightSelectors": [ { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"}
Exemple : Désactivation de la collecte d'événements Insights pour un journal de suivi
L'exemple suivant utilise put-insight-selectors pour supprimer le sélecteur d'événements Insights pour unjournal de suivi nommé TrailName3. La suppression de la chaîne JSON des sélecteurs Insights désactivela collecte des événements Insights pour TrailName3 Journal de suivi .
aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '[]'
L'exemple renvoie le sélecteur d'événement Insights maintenant vide configuré pour le journal de suivi.
{ "InsightSelectors": [ { "InsightType": ""
Version 1.0104
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
} ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"}
Configuration des sélecteurs d'événementsPour afficher les paramètres du sélecteur d'événements pour un suivi, exécutez la commande get-event-selectors. Vous devez exécuter cette commande à partir de la région AWS dans laquelle elle aété créée (sa Home Region), ou vous devez spécifier cette région en utilisant le paramètre --region.
aws cloudtrail get-event-selectors --trail-name TrailName
Note
Si le journal de suivi est celui d'une organisation et que vous êtes un compte membre del'organisation dans AWS Organizations, vous devez fournir l'ARN complet de ce journal de suivi, etpas seulement le nom.
L'exemple suivant renvoie les paramètres par défaut pour un sélecteur d'événements pour un suivi.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}
Pour créer un sélecteur d'événements, exécutez la commande put-event-selectors. Lorsqu'unévénement se produit dans votre compte, CloudTrail vérifie la configuration pour vos suivis. Si l'événementcorrespond à un sélecteur d'événements pour un suivi, il est traité et enregistré par le suivi. Vous pouvezconfigurer jusqu'à 5 sélecteurs d'événements et jusqu'à 250 ressources de données pour un suivi.Pour plus d'informations, consultez Journalisation des événements de données pour les journaux desuivi (p. 147).
Rubriques• Exemple : Un journal de suivi avec des sélecteurs d'événements spécifiques (p. 105)• Exemple : Un journal de suivi qui consigne tous les événements de gestion et de données (p. 106)• Exemple : Un journal de suivi qui ne consigne pas les événementsAWS Key Management
Service (p. 107)• Exemple : Un journal de suivi qui consigne les événements AWS Key Management Service de faible
volume pertinents (p. 108)
Exemple : Un journal de suivi avec des sélecteurs d'événements spécifiques
L'exemple suivant crée un sélecteur d'événements pour un journal de suivi nommé TrailName pourinclure des événements de gestion en lecture seule et en écriture seule, des événements de donnéespour deux combinaisons compartiment/préfixe Amazon S3 et des événements de données pour une seulefonction AWS Lambda nommée hello-world-python-function.
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources":
Version 1.0105
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
[{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix","arn:aws:s3:::mybucket2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'
L'exemple renvoie le sélecteur d'événements configuré pour le journal de suivi.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function" ], "Type": "AWS::Lambda::Function" }, ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}
Exemple : Un journal de suivi qui consigne tous les événements de gestion et de données
L'exemple suivant crée un sélecteur d'événements pour un journal de suivi nommé TrailName2 qui incluttous les événements, y compris les événements de gestion en lecture seule et en écriture seule, et tous lesévénements de données pour tous les compartiments Amazon S3 et fonctions AWS Lambda du compteAWS.
Note
Si le journal de suivi s'applique à une seule région, seuls les événements de cette région sontconsignés, même si les paramètres du sélecteur d'événements spécifient tous les compartimentsAmazon S3 et fonctions Lambda. Les sélecteurs d'événements s'appliquent uniquement auxrégions dans lesquelles le journal de suivi est créé.
aws cloudtrail put-event-selectors --trail-name TrailName2 --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]}]}]'
L'exemple renvoie les sélecteurs d'événements configurés pour le journal de suivi.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [
Version 1.0106
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
"arn:aws:s3:::" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda" ], "Type": "AWS::Lambda::Function" }, ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2"}
Exemple : Un journal de suivi qui ne consigne pas les événementsAWS Key Management Service
L'exemple suivant crée un sélecteur d'événements pour un journal de suivi nommé TrailName pourinclure les événements de gestion en lecture seule et en écriture seule, mais pour exclure les événementsAWS Key Management Service (AWS KMS). Les événements AWS KMS étant traités comme desévénements de gestion et pouvant représenter un gros volume, ils peuvent avoir un impact considérablesur votre facture CloudTrail si vous disposez de plusieurs journaux de suivi capturant les événements degestion. Dans cet exemple, l'utilisateur a choisi d'exclure les événements AWS KMS de chaque journalde suivi, sauf un. Pour exclure une source d'événement, ajoutez ExcludeManagementEventSourcesà vos sélecteurs d'événements et spécifiez une source d'événement dans la valeur de chaîne. Dans cetteversion, vous pouvez exclure des événements de kms.amazonaws.com.
Si vous choisissez de ne pas consigner les événements de gestion, les événements AWS KMS ne sont pasconsignés et vous ne pouvez pas modifier les paramètres de journalisation des événements AWS KMS.
Pour relancer la journalisation des événements AWS KMS dans un journal de suivi, transmettez une chaînevide comme valeur de ExcludeManagementEventSources.
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'
L'exemple renvoie le sélecteur d'événements configuré pour le journal de suivi.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "kms.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}
Pour relancer la journalisation des événements AWS KMS dans un journal de suivi, transmettez unechaîne vide comme valeur de ExcludeManagementEventSources, comme indiqué dans la commandesuivante.
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Version 1.0107
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
Exemple : Un journal de suivi qui consigne les événements AWS Key Management Service defaible volume pertinents
L'exemple suivant crée un sélecteur d'événements pour un journal de suivi nommé TrailName pourinclure les événements de gestion en écriture seule et les événements AWS KMS. Les événements AWSKMS étant traités comme des événements de gestion et pouvant représenter un gros volume, ils peuventavoir un impact considérable sur votre facture CloudTrail si vous disposez de plusieurs journaux de suivicapturant les événements de gestion. Dans cet exemple, l'utilisateur a choisi d'inclure les événementsAWS KMS Write (Écriture) qui incluront Disable, Delete et ScheduleKey, mais n'incluront plus lesactions à volume important telles que Encrypt, Decrypt et GenerateDataKey (désormais traitées entant qu’événements Read (Lecture)).
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
L'exemple renvoie le sélecteur d'événements configuré pour le journal de suivi. Les événements de gestionen écriture seule, y compris les événements AWS KMS, sont journalisés.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "WriteOnly" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}
Configuration des sélecteurs d'événements avancésPour utiliser les sélecteurs d'événements avancés afin d'inclure ou d'exclure des événements dedonnées au lieu des sélecteurs d'événements de base, adoptez les nouvelles fonctions d'événements dedonnées sur la page des détails d'un journal de suivi. Pour afficher les paramètres avancés du sélecteurd'événements pour un journal de suivi, exécutez la commande get-event-selectors. Vous devezexécuter cette commande à partir de la région AWS dans laquelle elle a été créée (sa Home Region), ouvous devez spécifier cette région en ajoutant le paramètre --region.
aws cloudtrail get-event-selectors --trail-name TrailName
Note
Si le journal de suivi est celui d'une organisation et que vous êtes un compte membre del'organisation dans AWS Organizations, vous devez fournir l'ARN complet de ce journal de suivi, etpas seulement le nom.
L'exemple suivant renvoie les paramètres par défaut des sélecteurs d'événements avancés pour un journalde suivi. Par défaut, aucun sélecteur d'événements avancé n'est configuré pour un journal de suivi.
{ "AdvancedEventSelectors": [], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}
Pour créer un sélecteur d'événements avancé, exécutez la commande put-event-selectors.Lorsqu'un événement de données se produit dans votre compte, CloudTrail évalue la configuration pourvos suivis. Si l'événement correspond à un sélecteur d'événements avancé pour un suivi, il est traité et
Version 1.0108
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
enregistré par le suivi. Vous pouvez configurer jusqu'à 500 conditions sur un journal de suivi, y compristoutes les valeurs spécifiées pour tous les sélecteurs d'événements avancés sur votre journal de suivi.Pour plus d'informations, consultez Journalisation des événements de données pour les journaux desuivi (p. 147).
Rubriques• Exemple : Un journal de suivi avec des sélecteurs d'événements avancés spécifiques (p. 109)• Exemple : Un journal de suivi qui utilise des sélecteurs d'événements avancés personnalisés pour
consigner tous les événements de gestion et de données (p. 111)• Exemple : Journal de suivi qui utilise des sélecteurs d'événements avancés personnalisés pour
consigner les événements de données Amazon S3 sur AWS Outposts. (p. 114)• Exemple : Un journal de suivi qui utilise des sélecteurs d'événements avancés pour exclure les
événementsAWS Key Management Service (p. 114)
Exemple : Un journal de suivi avec des sélecteurs d'événements avancés spécifiques
L'exemple suivant crée des sélecteurs d'événements avancés personnalisés pour un journal de suivinommé TrailName pour inclure les événements de gestion en lecture et en écriture, les événements dedonnées PutObject et DeleteObject pour toutes les combinaisons compartiment/préfixe Amazon S3,à l'exception d'un compartiment nommé sample_bucket_name et des événements de données pour unefonction AWS Lambda nommée MyLambdaFunction. Étant donné qu'il s'agit de sélecteurs d'événementsavancés personnalisés, chaque ensemble de sélecteurs possède un nom descriptif. Notez qu'une barreoblique de fin fait partie de la valeur ARN pour les compartiments S3.
aws cloudtrail put-event-selectors --trail-name TrailName \--advanced-event-selectors '[ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "readOnly", "Equals": ["false"] }, { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "readOnly", "Equals": ["false"] }, { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] }, { "Field": "resources.ARN", "NotEquals": ["arn:aws:s3:::sample_bucket_name/"] } ] }, { "Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "readOnly", "Equals": ["false"] }, { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] }, { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] } ] }]'
L'exemple renvoie les sélecteurs d'événements avancés configurés pour le journal de suivi.
{
Version 1.0109
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
"AdvancedEventSelectors": [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "readOnly", "Equals": [ false ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "eventCategory", "Equals": [ "Management" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] } ] }, { "Name": "Log PutObject and DeleteObject events for all but one bucket", "FieldSelectors": [ { "Field": "readOnly", "Equals": [ false ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "eventCategory", "Equals": [ "Data" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "resources.ARN", "Equals": [], "StartsWith": [], "EndsWith": [], "NotEquals": [ "arn:aws:s3:::sample_bucket_name/" ], "NotStartsWith": [], "NotEndsWith": [] }, ] },{
Version 1.0110
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
"Name": "Log data plane actions on MyLambdaFunction", "FieldSelectors": [ { "Field": "readOnly", "Equals": [ false ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "eventCategory", "Equals": [ "Data" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "resources.type", "Equals": [ "AWS::Lambda::Function" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "eventName", "Equals": [ "Invoke" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "resources.ARN", "Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}
Exemple : Un journal de suivi qui utilise des sélecteurs d'événements avancés personnalisés pourconsigner tous les événements de gestion et de données
L'exemple suivant crée des sélecteurs d'événements avancés pour un journal de suivi nomméTrailName2 qui inclut tous les événements, y compris les événements de gestion en lecture seule et enécriture seule, et tous les événements de données pour tous les compartiments S3 et fonctions Lambda ducompte AWS.
Note
Si le journal de suivi s'applique à une seule région, seuls les événements de cette région sontconsignés, même si les paramètres du sélecteur d'événements spécifient tous les compartiments
Version 1.0111
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
Amazon S3 et fonctions Lambda. Dans un journal de suivi sur une seule région, les sélecteursd'événements s'appliquent uniquement à la région dans laquelle le journal de suivi est créé.
aws cloudtrail put-event-selectors --trail-name TrailName2 \--advanced event-selectors '[ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "readOnly", "Equals": ["false"] }, { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log all events for all buckets", "FieldSelectors": [ { "Field": "readOnly", "Equals": ["false"] }, { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] } ] }, { "Name": "Log all events for Lambda functions", "FieldSelectors": [ { "Field": "readOnly", "Equals": ["false"] }, { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] } ] }]'
L'exemple renvoie les sélecteurs d'événements avancés configurés pour le journal de suivi.
{ "AdvancedEventSelectors": [ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "readOnly", "Equals": [ false ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "eventCategory", "Equals": [ "Management" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] } ] }, { "Name": "Log all events for all buckets", "FieldSelectors": [ { "Field": "readOnly", "Equals": [ false ],
Version 1.0112
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
"StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "eventCategory", "Equals": [ "Data" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] } ] },{ "Name": "Log all events for Lambda functions", "FieldSelectors": [ { "Field": "readOnly", "Equals": [ false ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "eventCategory", "Equals": [ "Data" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "resources.type", "Equals": [ "AWS::Lambda::Function" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2"}
Version 1.0113
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
Exemple : Journal de suivi qui utilise des sélecteurs d'événements avancés personnalisés pourconsigner les événements de données Amazon S3 sur AWS Outposts.
L'exemple suivant montre comment configurer votre journal de suivi pour inclure tous les événements dedonnées pour tous les Amazon S3 sur les objets AWS Outposts dans votre Outpost. Dans cette version, lavaleur prise en charge pour S3 sur les événements AWS Outposts pour le champ resources.type estAWS::S3Outposts::Object.
aws cloudtrail put-event-selectors --trail-name TrailName --region region \--advanced-event-selectors \'[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] }]'
La commande renvoie l'exemple de sortie suivant.
{ "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:region:123456789012:trail/TrailName"}
Exemple : Un journal de suivi qui utilise des sélecteurs d'événements avancés pour exclure lesévénementsAWS Key Management Service
L'exemple suivant crée un sélecteur d'événements avancé pour un journal de suivi nommé TrailNamepour inclure les événements de gestion en lecture seule et en écriture seule, mais pour exclure lesévénements AWS Key Management Service (AWS KMS). Les événements AWS KMS étant traitéscomme des événements de gestion et pouvant représenter un gros volume, ils peuvent avoir unimpact considérable sur votre facture CloudTrail si vous disposez de plusieurs journaux de suivicapturant les événements de gestion. Dans cette version, vous pouvez exclure des événements dekms.amazonaws.com.
Si vous choisissez de ne pas consigner les événements de gestion, les événements AWS KMS ne sont pasconsignés et vous ne pouvez pas modifier les paramètres de journalisation des événements AWS KMS.
Pour relancer la journalisation des événements AWS KMS dans un journal de suivi, supprimez le sélecteureventSource et exécutez à nouveau la commande.
Version 1.0114
AWS CloudTrail Guide de l'utilisateurCréation, mise à jour et gestion des journauxde suivi avec l'AWS Command Line Interface
aws cloudtrail put-event-selectors --trail-name TrailName \--advanced event-selectors '[ { "Name": "Log all management events except AWS KMS events", "FieldSelectors": [ { "Field": "readOnly", "Equals": ["false"] }, { "Field": "eventCategory", "Equals": ["Management"] }, { "Field": "eventSource", "NotEquals": ["kms.amazonaws.com"] } ] }]'
L'exemple renvoie les sélecteurs d'événements avancés configurés pour le journal de suivi.
{ "AdvancedEventSelectors": [ { "Name": "Log all management events except AWS KMS events", "FieldSelectors": [ { "Field": "readOnly", "Equals": [ false ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "eventCategory", "Equals": [ "Management" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "eventSource", "Equals": [], "StartsWith": [], "EndsWith": [], "NotEquals": [ "kms.amazonaws.com" ], "NotStartsWith": [], "NotEndsWith": [] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}
Pour relancer la journalisation des événements AWS KMS dans un journal de suivi, supprimez le sélecteureventSource, comme indiqué dans la commande suivante.
aws cloudtrail put-event-selectors --trail-name TrailName \--advanced event-selectors '[ { "Name": "Log all management events", "FieldSelectors": [ { "Field": "readOnly", "Equals": ["false"] },
Version 1.0115
AWS CloudTrail Guide de l'utilisateurCréation d'un journal de suivi pour une organisation
{ "Field": "eventCategory", "Equals": ["Management"] } ] }]'
Arrêt et démarrage de la journalisation pour un journal de suiviLes commandes suivantes arrêtent et démarrent la journalisation CloudTrail.
aws cloudtrail start-logging --name awscloudtrail-example
aws cloudtrail stop-logging --name awscloudtrail-example
Note
Avant de supprimer un compartiment, exécutez la commande stop-logging pour arrêter delivrer des événements au compartiment. Si vous n'arrêtez pas la journalisation, CloudTrail tente delivrer les fichiers journaux à un compartiment du même nom pendant une durée limitée.Si vous arrêtez la journalisation ou que vous supprimez un journal de suivi, CloudTrail Insights estdésactivé sur ce journal.
Suppression d'un journal de suiviVous pouvez supprimer un suivi avec la commande suivante. Vous pouvez supprimer un journal de suiviuniquement dans la région où il a été créé.
aws cloudtrail delete-trail --name awscloudtrail-example
Lorsque vous supprimez un suivi, vous ne supprimez pas le compartiment Amazon S3 ni la rubriqueAmazon SNS associée. Utilisez AWS Management Console, l'AWS CLI ou l'API de service pour supprimerces ressources séparément.
Création d'un journal de suivi pour une organisationSi vous avez créé une organisation dans AWS Organizations, vous pouvez créer un journal de suivi quienregistre tous les événements pour tous les comptes AWS de cette organisation. Cet élément est parfoisappelé journal de suivi d'une organisation. Vous pouvez également choisir de modifier un journal de suiviexistant dans le compte de gestion et l'appliquer à une organisation, ce qui en fait un journal de suivid'organisation. Les journaux de suivi d'organisation consignent des événements pour le compte de gestionet tous les comptes membres de l'organisation. Pour plus d'informations sur AWS Organizations, consultezTerminologie et concepts Organisations.
Note
Pour créer le journal de suivi d'une organisation, vous devez être connecté au compte degestion de l'organisation. Vous devez également disposer d'autorisations suffisantes pour quelIAM'utilisateur ou le rôle du compte de gestion puisse créer un journal de suivi d'organisation. Sivous ne disposez pas d'autorisations suffisantes, vous n'avez pas accès à la possibilité d'appliquerun journal de suivi à une organisation.
Lorsque vous créez un journal de suivi d'une organisation, un journal de suivi avec le nom que vous luiattribuez est créé dans chaque compte AWS qui appartient à votre organisation. Les utilisateurs disposantCloudTrail d'autorisations dans les comptes membres seront en mesure de voir ce journal de suivi lorsqu'ilsse connectent à la AWS CloudTrail console à partir de leurs AWS comptes ou lorsqu'ils exécutent AWSCLI des commandes telles que describe-trail . Cependant, les utilisateurs des comptes membres
Version 1.0116
AWS CloudTrail Guide de l'utilisateurCréation d'un journal de suivi pour une organisation
ne disposent pas d'autorisations suffisantes pour supprimer le journal de suivi de l'organisation, activer oudésactiver la journalisation, modifier les types d'événements enregistrés ou modifier le journal de suivi del'organisation de quelque manière que ce soit.
Lorsque vous créez un journal de suivi d'une organisation dans la console, ou lorsque vous activezCloudTrail en tant que service approuvé dans la Organisations , un rôle lié à un service est créé poureffectuer les tâches de journalisation dans les comptes membres de votre organisation. Ce rôle est nommé AWSServiceRoleForCloudTrail , et est requis pour CloudTrail que enregistre avec succès les événementsd'une organisation. Si un compte AWS est ajoutée à une organisation, le journal de suivi de l'organisationet le rôle lié à un service seront ajoutés à ce compte AWS, et la journalisation commencera pour cecompte automatiquement dans le journal de suivi de l'organisation. Si un compte AWS est supprimé d'uneorganisation, le journal de suivi de l'organisation et le rôle lié à un service seront supprimés du compteAWS qui ne fait plus partie de l'organisation. Toutefois, les fichiers journaux que le compte supprimé acréés avant la suppression du compte seront toujours présents dans le compartiment Amazon S3 danslequel les fichiers journaux sont stockés pour le suivi.
Dans l'exemple suivant, un utilisateur du compte de gestion 111111111111 crée un journal de suivi nomméMyOrganizationTrail pour l'organisation o-exampleorgid. Le journal de suivi enregistre l'activitéde tous les comptes de l'organisation dans le même Amazon S3 compartiment. Tous les comptes del'organisation peuvent voir MyOrganizationTrail dans leur liste de journaux de suivi, mais les comptesmembres ne pourront pas supprimer ou modifier le journal de suivi de l'organisation. Seul le compte degestion sera en mesure de modifier ou de supprimer le journal de suivi de l'organisation, tout comme seulle compte de gestion peut supprimer un compte membre d'une organisation. De même, par défaut, seul lecompte de gestion a accès au Amazon S3 compartiment my-organization-bucket pour le journal desuivi et les journaux qu'il contient. La structure de compartiment de haut niveau pour les fichiers journauxcontient un dossier nommé avec l'ID d'organisation, et des sous-dossiers nommés avec le compte IDs dechaque compte de l'organisation. Les événements de chaque compte membre sont enregistrés dans ledossier qui correspond à l'ID du compte membre Si un compte membre 444444444444 est supprimé del'organisation à un moment ultérieur, MyOrganizationTrail et le rôle lié à un service n'apparaîtront plusdans le AWS compte 444444444444 , et aucun autre événement ne sera consigné pour ce compte parle journal de suivi de l'organisation. Toutefois, le dossier 444444444444 demeure dans le compartimentAmazon S3, avec tous les journaux créés avant la suppression du compte de l'organisation.
Dans cet exemple, l'ARN du journal de suivi créé dans le compte de gestion est aws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail . Cet ARN est également l'ARN du journal desuivi dans tous les comptes membres.
Version 1.0117
AWS CloudTrail Guide de l'utilisateurBonnes pratiques pour passer de journaux de suivi
de compte membre à journaux de suivi d'organisation
Les journaux de suivi d'une organisation sont similaires en de nombreux points aux journaux de suiviréguliers. Vous pouvez créer plusieurs journaux de suivi pour votre organisation et choisir de créer unjournal de suivi d'organisation dans toutes les régions ou dans une seule région, ainsi que les typesd'événements que vous souhaitez enregistrer le journal de suivi de votre organisation, tout comme dansn'importe quel autre journal de suivi. Cependant, il existe quelques différences. Par exemple, lorsque vouscréez un journal de suivi dans la console et que vous choisissez d'enregistrer des événements de donnéespour des Amazon S3 compartiments ou des AWS Lambda fonctions , les seules ressources répertoriéesdans la CloudTrail console sont celles du compte de gestion, mais vous pouvez ajouter les ressourcesdes comptes membres.ARNs Les événements de données pour les ressources des comptes membresspécifiés seront enregistrés sans avoir à configurer manuellement l'accès inter-compte à ces ressources.Pour plus d'informations sur la journalisation des événements de gestion, des événements Insights et desévénements de données, consultez Utilisation des fichiers journaux CloudTrail (p. 140).
Note
Dans la console , vous créez un journal de suivi qui consigne toutes les régions. Il s'agit d'unebonne pratique recommandée ; l'activité de journalisation dans toutes les régions vous aide àpréserver la sécurité de votre environnement AWS. Pour créer un journal de suivi d'une seulerégion, utilisez l' AWS CLI (p. 97) .
Vous pouvez également configurer d'autres services AWSpour analyser les données d'événementcollectées dans les journaux CloudTrail d'un suivi d'organisation et agir sur ces données, comme vousle feriez pour tout autre suivi. Par exemple, vous pouvez analyser les données du journal de suivi d'uneorganisation avec Amazon Athena. Pour plus d’informations, consultez Intégrations de service AWS auxjournaux CloudTrail (p. 22).
Rubriques• Bonnes pratiques pour passer de journaux de suivi de compte membre à journaux de suivi
d'organisation (p. 118)• Préparation de la création d'un journal de suivi pour votre organisation (p. 119)• Création d'un journal de suivi pour votre organisation dans la console (p. 121)• Création d'un journal de suivi pour une organisation avec l'AWS Command Line Interface (p. 126)
Bonnes pratiques pour passer de journaux de suivi decompte membre à journaux de suivi d'organisationSi vous avez déjà configuré des journaux de suivi CloudTrail pour des comptes membres individuels, maisque vous souhaitez passer à un journal de suivi d'une organisation pour consigner des événements danstous les comptes, vous ne souhaitez pas perdre d'événements en supprimant des journaux de suivi decomptes membres individuels avant de créer un journal de suivi d'une organisation. Mais lorsque vousavez deux journaux de suivi, vous vous exposez à des coûts plus élevés car des copies supplémentairesd'événements sont livrées au journal de suivi de l'organisation.
Pour vous aider à gérer les coûts tout en évitant de perdre des événements avant le début de la remise auxjournaux de suivi d'une organisation, nous vous conseillons de conserver à la fois les journaux de suivi devotre compte membre individuel et de votre organisation pendant une journée. Cela garantit que le journalde suivi d'une organisation consigne tous les événements, mais que les coûts d'événement dupliqués sontlimités à une journée. Après le premier jour, vous pouvez arrêter de connecter (ou supprimer) les journauxde suivi des comptes membres individuels.
Version 1.0118
AWS CloudTrail Guide de l'utilisateurPréparation de la création d'un journal
de suivi pour votre organisation
Préparation de la création d'un journal de suivi pourvotre organisationAvant de créer un journal de suivi pour votre organisation, assurez-vous que votre organisation et votrecompte de gestion sont configurés correctement pour la création du journal de suivi.
• Votre organisation doit avoir toutes les fonctions activées avant de pouvoir créer un journal de suivi. Pourplus d'informations, consultez Activation de toutes les fonctions de votre organisation.
• Le compte de gestion doit avoir le AWSServiceRoleForOrganizations rôle. Ce rôle est crééautomatiquement par Organisations lorsque vous créez votre organisation, et il est requis pourque CloudTrail enregistre les événements d'une organisation. Pour plus d'informations, consultezOrganisations et rôles liés au service.
• LIAM'utilisateur ou le rôle qui sera utilisé pour créer le journal de suivi de l'organisation dansle compte de gestion doit disposer d'autorisations suffisantes pour créer un journal de suivid'organisation. Au minimum, pour créer le journal de suivi d'une organisation, vous devez disposer dela AWSCloudTrailFullAccess stratégie ou d'autorisations équivalentes. Vous devez également disposerd'autorisations suffisantes dans IAM et Organisations pour créer le rôle lié à un service et activer l'accèsde confiance. L'exemple de stratégie suivant illustre les autorisations minimales requises.
Note
La AWSCloudTrailFullAccess stratégie n'est pas destinée à être partagée globalement dansvotre compte AWS. Au lieu de cela, elle doit être limitée aux administrateurs de compte AWSen raison des informations hautement sensibles collectées par CloudTrail . Les utilisateurs avecce rôle ont la possibilité de désactiver ou de reconfigurer les fonctions d'audit les plus sensibleset les plus importantes dans leurs comptes AWS. C'est la raison pour laquelle l'accès à cettestratégie doit être étroitement contrôlé et surveillé.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRole", "organizations:EnableAWSServiceAccess", "organizations:ListAccounts", "iam:CreateServiceLinkedRole", "organizations:DisableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" } ]}
• Pour utiliser l' AWS CLI ou l' CloudTrail APIs pour créer un journal de suivi d'une organisation,vous devez activer l'accès approuvé pour CloudTrail dans et vous devez créer manuellement unOrganisations compartiment avec une stratégie qui autorise la journalisation du journal de suivi d'uneorganisation.Amazon S3 Pour plus d’informations, consultez Création d'un journal de suivi pour uneorganisation avec l'AWS Command Line Interface (p. 126).
• Pour utiliser un IAM rôle existant afin d'ajouter la surveillance d'un journal de suivi d'une organisationà Amazon CloudWatch Logs , vous devez modifier manuellement le IAM rôle afin d'autoriser la remisedes comptes membres au CloudWatch Logs groupe dans le compte de gestion, comme illustré dansl'exemple suivant.CloudWatch Logs
Version 1.0119
AWS CloudTrail Guide de l'utilisateurPréparation de la création d'un journal
de suivi pour votre organisation
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] } ]}
Vous pouvez en savoir plus sur CloudTrail et Amazon CloudWatch Logs dans Surveillance des fichiersjournaux CloudTrail avec Amazon CloudWatch Logs (p. 167). En outre, prenez en considération leslimites de CloudWatch Logs et les considérations de tarification du service avant de décider d'activerl'expérience d'un suivi d'organisation. Pour plus d'informations, consultez CloudWatch Logs Limites et tarification CloudWatch Amazon.
• Pour enregistrer les événements de données dans le journal de suivi de votre organisation pour desAmazon S3 fonctions ou des compartiments spécifiques dans AWS Lambda des comptes membres,préparez une liste des Amazon Resource Names (ARN) pour chacune de ces ressources. Lesressources des comptes membres ne sont pas affichées dans la CloudTrail console lors de la créationd'un journal de suivi ; seules Amazon S3 les fonctions Lambda et dans le compte de gestion peuvent êtreaffichées. De même, si vous souhaitez ajouter des ressources membres spécifiques lors de la créationou de la mise à jour d'un journal de suivi d'une organisation dans la ligne de commande, vous aurezbesoin de l' ARNs pour ces ressources.
Note
Des frais supplémentaires sont facturés pour la journalisation des événements de données.Pour la tarification de CloudTrail, consultez Tarification d'AWS CloudTrail.
Avant de créer un journal de suivi d'organisation, vous devez également examiner le nombre de journauxde suivi déjà existants dans le compte de gestion et dans les comptes membres. CloudTrail limite lenombre de journaux de suivi qui peuvent être créés dans chaque région. Vous ne pouvez pas dépassercette limite dans la région où vous créez le journal de suivi de l'organisation dans le compte de gestion.Cependant, le journal de suivi sera créé dans les comptes membres, même si les comptes membres ontatteint la limite des journaux de suivi dans une région. Bien que le premier journal de suivi d'une régionsoit gratuit, des frais s'appliquent aux journaux de suivi supplémentaires. Pour réduire le coût potentield'un journal de suivi d'une organisation, pensez à supprimer tous les journaux de suivi superflus dans
Version 1.0120
AWS CloudTrail Guide de l'utilisateurCréation d'un journal de suivi pourvotre organisation dans la console
les comptes de gestion et membres. Pour plus d'informations sur la tarification CloudTrail, consultezTarification AWS CloudTrail.
Création d'un journal de suivi pour votre organisationdans la consolePour créer un journal de suivi d'organisation dans la CloudTrail console , vous devez vous connecterà la console à l'aide d'un IAM utilisateur ou rôle dans le compte de gestion avec les autorisations suffisantes (p. 119). Si vous n'êtes pas connecté avec le compte de gestion, vous ne verrez pas l'optiond'appliquer un journal de suivi à une organisation lorsque vous créez ou modifiez un journal de suivi dans laCloudTrail console .
Vous pouvez choisir de configurer le journal de suivi d'une organisation de diverses manières. Parexemple, vous pouvez :
• Par défaut, lorsque vous créez un journal de suivi dans la console, celui-ci consigne toutes les régions.La journalisation de toutes les régions dans votre compte est une bonne pratique recommandée. Pourcréer un journal de suivi d'une seule région, utilisez l' AWS CLI (p. 97) . Pour plus d’informations,consultez Fonctionnement d'un CloudTrail (p. 1).
• Spécifiez s'il convient d'appliquer le journal de suivi à votre organisation. La valeur par défaut est de nepas le faire ; vous devez sélectionnez cette option pour créer le journal de suivi d'une organisation.
• Spécifiez le compartiment Amazon S3 à utiliser pour recevoir les fichiers journaux du suivi del'organisation. Vous pouvez choisir un Amazon S3 compartiment existant dans le compte de gestion ouen créer un spécifiquement pour le journal de suivi de l'organisation.
• Pour les événements de gestion et de données, spécifiez si vous souhaitez journaliser les événements de lecture, les événements d'écriture ou les deux.CloudTrail Les événements (p. 161) Insightssont enregistrés uniquement sur les événements d'écriture de gestion. Vous pouvez spécifier lajournalisation des événements de données pour des Amazon S3 compartiments ou AWS Lambda desfonctions spécifiques dans le compte de gestion en les choisissant dans les listes de la console , et dansles comptes membres si vous spécifiez la ARNs de chaque ressource pour laquelle vous souhaitezactiver la journalisation des événements de données. Pour plus d’informations, consultez Evénements dedonnées (p. 148).
Pour créer un journal de suivi d'organisation avec AWS Management Console
1. Connectez-vous à la AWS Management Console et ouvrez la console CloudTrail à l'adresse https://console.aws.amazon.com/cloudtrail/.
Vous devez être connecté en tant qu'utilisateur, rôle ou compte racine dans le compte de gestion avecdes autorisations suffisantes (p. 119) pour créer un journal de suivi d'organisation.
2. Sélectionnez Journaux de suivi, puis choisissez Créer un journal de suivi.3. Sur la page Create Trail, tapez un nom pour votre journal de suivi dans la zone Trail Name. Pour plus
d’informations, consultez Exigences en matière d'attribution de nom de suivi CloudTrail (p. 137).4. Sélectionnez Enable pour tous les comptes de mon organisation. Vous ne voyez cette option que
si vous êtes connecté à la console avec un IAM utilisateur ou un rôle dans le compte de gestion .Pour créer avec succès le journal de suivi d'une organisation, assurez-vous que l'utilisateur ou le rôledispose d'autorisations suffisantes (p. 119).
5. Pour l'emplacement de stockage, choisissez Create new S3 bucket (Créer un compartiment S3)pour créer un compartiment. Lorsque vous créez un compartiment, CloudTrail crée et applique lesstratégies nécessaires.
Note
Si vous avez choisi Use existing S3 bucket (Utiliser un compartiment S3 existant), spécifiezun compartiment dans le nom du compartiment du journal de suivi ou choisissez Browse
Version 1.0121
AWS CloudTrail Guide de l'utilisateurCréation d'un journal de suivi pourvotre organisation dans la console
(Parcourir) pour choisir un compartiment. La stratégie de compartiment doit accorder àCloudTrail une autorisation d'écriture. Pour plus d'informations sur la modification manuellede la stratégie de compartiment, consultez Stratégie de compartiment Amazon S3 pourCloudTrail (p. 283).
Pour faciliter la recherche de vos journaux, créez un dossier (également appelé préfixe) dans uncompartiment existant pour stocker vos CloudTrail journaux. Entrez le préfixe dans Prefix.
6. Pour le chiffrement des fichiers journaux SSE-KMS, choisissez Activé si vous souhaitez chiffrervos fichiers journaux avec SSE-KMS au lieu de SSE-S3. La valeur par défaut est Activé. Pour plusd'informations sur ce type de chiffrement, consultez Protection des données à l'aide du chiffrementcôté serveur avec les clés de chiffrement gérées par (SSE-S3)Amazon S3.
Si vous activez le chiffrement SSE-KMS, choisissez une clé principale client nouvelle ou AWSKMS existante. Dans AWS KMS Alias, spécifiez un alias, au formatalias/MyAliasNamePour plusd'informations, consultez Mise à jour d'un suivi pour qu'il utilise votre clé CMK (p. 308)..
Note
Vous pouvez également saisir l'ARN d'une clé à partir d'un autre compte. Pour plusd’informations, consultez Mise à jour d'un suivi pour qu'il utilise votre clé CMK (p. 308). Lastratégie de clés doit autoriser CloudTrail à utiliser la clé pour chiffrer vos fichiers journaux etautoriser les utilisateurs que vous indiquez à lire les fichiers journaux sous forme non chiffrée.Pour plus d'informations sur la modification manuelle de la stratégie de clés, consultez la pageConfigurer des stratégies de clé AWS KMS pour CloudTrail (p. 301).
7. Dans Paramètres supplémentaires, configurez les éléments suivants.
a. Pour Log file validation (Validation des fichiers journaux), choisissez Activé pour que les fichiersde valeur de hachage des journaux soient livrés dans votre compartiment S3. Vous pouvez utiliserles fichiers de valeur de hachage pour vérifier que vos fichiers journaux n'ont pas changé aprèsleur livraison par CloudTrail. Pour plus d’informations, consultez Validation de l'intégrité desfichiers journaux CloudTrail (p. 233).
b. Pour la remise de notifications SNS, choisissez Activé pour être averti chaque fois qu'unjournal est remis à votre compartiment . CloudTrail stocke plusieurs événements dans un fichierjournal . Des notifications SNS sont envoyées pour chaque fichier journal, non pour chaqueévénement. Pour plus d’informations, consultez Configuration de notifications Amazon SNS pourCloudTrail (p. 133).
Si vous activez les notifications SNS, pour Create a new SNS topic (Créer une rubrique SNS),choisissez New (Nouveau) pour créer une rubrique ou choisissez Existing (Existant) pourutiliser une rubrique existante. Si vous créez un journal de suivi qui s'applique à toutes lesrégions, les notifications SNS relatives à la livraison de fichiers journaux de toutes les régions sontenvoyées à la rubrique SNS unique que vous créez.
Si vous choisissez New, CloudTrail spécifie un nom pour la nouvelle rubrique à votre place ouvous pouvez saisir un nom. Si vous choisissez Existant, choisissez une rubrique SNS dans la listedéroulante. Vous pouvez également indiquer l'ARN d'une rubrique provenant d'une autre régionou d'un compte disposant des autorisations appropriées. Pour plus d’informations, consultezStratégie de rubrique Amazon SNS pour CloudTrail (p. 288).
Si vous créez une rubrique, vous devez vous abonner à la rubrique pour être averti de la livraisonde fichiers journaux. Vous pouvez vous abonner à partir de la console Amazon SNS. En raisonde la fréquence des notifications, nous vous recommandons de configurer l'abonnement de sorteà utiliser une file d'attente Amazon SQS pour gérer les notifications par programmation. Pour deplus amples informations, consultez le Amazon Simple Notification Service Guide de mise enroute.
Version 1.0122
AWS CloudTrail Guide de l'utilisateurCréation d'un journal de suivi pourvotre organisation dans la console
8. Configurez éventuellement CloudTrail pour envoyer des fichiers journaux à CloudWatch Logs enchoisissant Activé dans CloudWatch Logs . Pour plus d’informations, consultez Envoi d'événementsà CloudWatch Logs (p. 168).
a. Si vous activez l'intégration avec CloudWatch Logs , choisissez New (Nouveau) pour créer ungroupe de journaux ou Existing (Existant) pour utiliser un groupe existant. Si vous choisissez New, CloudTrail spécifie un nom pour le nouveau groupe de journaux à votre place ou vouspouvez saisir un nom.
b. Si vous choisissez Existant, choisissez un groupe de journaux dans la liste déroulante.c. Choisissez New pour créer un IAM rôle pour les autorisations d'envoi de journaux à CloudWatch
Logs . Choisissez Existant pour choisir un IAM rôle existant dans la liste déroulante. Ladéclaration de stratégie du rôle nouveau ou existant s'affiche lorsque vous développez ledocument de stratégie. Pour de plus amples informations sur ce rôle, consultez Document destratégie de rôle pour que CloudTrail utilise CloudWatch Logs pour la surveillance (p. 218).
Note
Lorsque vous configurez un journal de suivi, vous pouvez choisir un compartiment S3et une rubrique SNS qui appartiennent à un autre compte. Toutefois, si vous voulez queCloudTrail livre les événements dans un groupe de journaux CloudWatch Logs, vousdevez choisir un groupe de journaux qui existe dans votre compte actuel.
9. Pour Tags (Balises), ajoutez une ou plusieurs balises personnalisées (paires clé-valeur) à votre journalde suivi. Les balises peuvent vous aider à identifier à la fois vos journaux de suivi CloudTrail et lescompartiments Amazon S3 qui contiennent des fichiers journaux CloudTrail. Vous pouvez ensuiteutiliser les groupes de ressources pour vos ressources CloudTrail. Pour de plus amples informations,veuillez consulter Groupes de ressources AWS et Pourquoi utiliser des balises pour les journaux desuivi ? (p. 9).
10. Sur la page Choose log events (Choisir des événements de journal ), choisissez les typesd'événements que vous souhaitez consigner. Pour Management events (Événements de gestion),procédez comme suit.
a. Pour l'activité d'API, choisissez si vous souhaitez que votre journal de suivi consigne lesévénements de lecture et/ou d'écriture. Pour plus d’informations, consultez Événements degestion (p. 143).
b. Choisissez Exclure AWS KMS les événements pour filtrer les événements AWS KeyManagement Service (AWS KMS) hors de votre journal de suivi. Le paramètre par défaut consisteà inclure tous les AWS KMS événements.
L'option permettant de consigner ou AWS KMS d'exclure des événements n'est disponible que sivous consignez des événements de gestion sur votre journal de suivi. Si vous choisissez de nepas consigner les événements de gestion, AWS KMS les événements ne sont pas consignés etvous ne pouvez pas modifier les paramètres de journalisation des AWS KMS événements.
Les actions AWS KMS telles que Encrypt, Decrypt et GenerateDataKey génèrenthabituellement un volume important (plus de 99 %) d'événements. Ces actions sont désormaisenregistrées en tant qu'événements Read (Lecture). Les AWS KMS actions pertinentes de faiblevolume, telles que Disable , et Delete (qui représentent généralement moins de 0,5 % duvolume dScheduleKey'événement) sont consignées en tant qu'AWS KMSévénements d'écriture.
Pour exclure les événements à volume élevé comme Encrypt , et Decrypt , mais toujoursconsigner les événements pertinents comme GenerateDataKey et Disable , choisissez deconsigner Delete les événements ScheduleKey de gestion d'écriture et décochez la casecorrespondant aux événements à exclure.AWS KMS
11. Pour les événements de données, vous pouvez spécifier la journalisation des événements dedonnées pour les Amazon S3 compartiments , les AWS Lambda fonctions ou les deux. Par défaut, lessuivis ne consignent pas les événements de données. Des frais supplémentaires sont facturés pour
Version 1.0123
AWS CloudTrail Guide de l'utilisateurCréation d'un journal de suivi pourvotre organisation dans la console
la journalisation des événements de données. Pour plus d’informations, consultez Evénements dedonnées (p. 148). Pour la tarification de CloudTrail, consultez Tarification d'AWS CloudTrail.
Note
Si vous vous êtes inscrit pour utiliser des sélecteurs d'événements avancés, suivezles étapes de Création d'un journal de suivi dans la console (sélecteurs d'événementsavancés) (p. 81) pour configurer la journalisation des événements de données sur votrejournal de suivi.
Pour les compartiments Amazon S3 :
a. Pour Source de l'événement de données, choisissez S3.b. Vous pouvez choisir de consigner tous les compartiments S3 actuels et futurs, ou vous pouvez
spécifier des compartiments ou des fonctions individuels. Par défaut, les événements de donnéessont enregistrés pour tous les compartiments S3 actuels et futurs.
Note
Conserver la valeur par défaut – L'option Tous les compartiments S3 actuels et futursactive la journalisation des événements de données pour tous les compartimentsactuellement dans votre AWS compte et tous les compartiments que vous créez aprèsavoir fini de créer le journal de suivi. Cela active également la journalisation de l'activitédes événements de données effectuée par tout utilisateur ou rôle dans votre compteAWS, même si cette activité est effectuée sur un compartiment qui appartient à un autrecompte AWS.Si le journal de suivi s'applique à une seule région, le fait de sélectionner l'option Selectall S3 buckets in your account (Sélectionner tous les compartiments S3 de votre compte)permet la journalisation des événements de données pour tous les compartiments situésdans la même région que votre journal de suivi et tous les compartiments que vouscréerez ultérieurement dans cette région. Il ne consignera pas d'événements de donnéespour les compartiments Amazon S3 situés dans d'autres régions de votre compte AWS.
c. Si vous conservez la valeur par défaut, Tous les compartiments S3 actuels et futurs, choisissezde consigner les événements de lecture, les événements d'écriture ou les deux.
d. Pour sélectionner des compartiments individuels, videz les cases à cocher Lecture et écriture pour tous les compartiments S3 actuels et futurs. Dans la sélection de compartimentindividuel, recherchez un compartiment dans lequel enregistrer les événements de données.Pour rechercher des compartiments spécifiques, tapez un préfixe de compartiment pour lecompartiment que vous souhaitez. Vous pouvez sélectionner plusieurs compartiments dans cettefenêtre. Choisissez Ajouter un compartiment pour enregistrer des événements de donnéessupplémentaires pour les compartiments . Choisissez de journaliser les événements de lecture,tels que GetObject , les événements d'écriture, tels que PutObject , ou les deux.
Ce paramètre est prioritaire par rapport aux paramètres que vous définissez pour lescompartiments individuels. Par exemple, si vous spécifiez la journalisation des événements Readpour tous les compartiments S3, puis choisissez d'ajouter un compartiment spécifique pour lajournalisation des événements de données, Read est déjà sélectionné pour le compartiment quevous avez ajouté. Vous ne pouvez pas effacer la sélection. Vous pouvez uniquement configurerl'option pour Write.
Pour supprimer un compartiment de la journalisation, choisissez X.12. Pour ajouter un autre type de données sur lequel journaliser les événements de données, choisissez
Add data event type (Ajouter un type d'événement de données).13. Pour les fonctions Lambda :
a. Pour Source de l'événement de données, choisissez Lambda .
Version 1.0124
AWS CloudTrail Guide de l'utilisateurCréation d'un journal de suivi pourvotre organisation dans la console
b. Dans Lambda la fonction , choisissez All regions (Toutes les régions) pour consigner toutesles Lambda fonctions ou Input function (Fonction d'entrée) en tant qu'ARN pour consigner lesévénements de données sur une fonction spécifique.
Pour consigner les événements de données de toutes les fonctions Lambda de votre compteAWS, sélectionnez Log all current and future functions (Consigner tous les fonctions actuelleset futures). Ce paramètre est prioritaire par rapport aux paramètres que vous définissez pour lesfonctions individuelles. Toutes les fonctions sont consignées, même si elles ne sont pas toutesaffichées.
Note
Si vous créez un journal de suivi pour toutes les régions, cette sélection active lajournalisation des événements de données pour toutes les fonctions se trouvantactuellement dans votre AWS compte et pour toute Lambda fonction que vous êtessusceptible de créer dans n'importe quelle région après avoir fini de créer le journal desuivi. Si vous créez un journal de suivi pour une seule région (effectué à l'aide de l' AWSCLI ), cette sélection active la journalisation des événements de données pour toutes lesfonctions actuellement dans cette région de votre AWS compte et pour toutes Lambdales fonctions que vous êtes susceptible de créer dans cette région après avoir fini decréer le journal de suivi. Cela n'active pas la journalisation des événements de donnéespour les fonctions Lambda créées dans d'autres régions.La journalisation des événements de données pour toutes les fonctions active égalementla journalisation de l'activité des événements de données effectuée par tout utilisateur ourôle dans votre compte AWS, même si cette activité est effectuée sur une fonction quiappartient à un autre compte AWS.
c. Si vous choisissez Input function comme ARN, tapez l'ARN d'une Lambda fonction.
Note
Si vous avez plus de 15 000 fonctions Lambda dans votre compte, vous ne pouvez pasvoir ou sélectionner toutes les fonctions dans la console CloudTrail lors de la créationd'un journal de suivi. Vous pouvez toujours sélectionner l'option de journalisation detoutes les fonctions, même si elles ne sont pas affichées. Si vous souhaitez consigner lesévénements de données de fonctions spécifiques, vous pouvez ajouter manuellementune fonction si vous connaissez son ARN. Vous pouvez également terminer la créationdu journal de suivi dans la console, puis utiliser l'AWS CLI et la commande put-event-selectors afin de configurer la journalisation d'événements de données pour des fonctionsLambda spécifiques. Pour plus d’informations, consultez Gestion des journaux de suiviavec l'AWS CLI (p. 100).
14. Lorsque vous avez terminé de choisir les types d'événements à consigner, choisissez Next (Suivant).15. Sur la page Vérifier et créer, vérifiez vos choix. Choisissez Edit (Modifier) dans une section pour
modifier les paramètres du journal de suivi affichés dans cette section. Lorsque vous êtes prêt à créerle journal de suivi, choisissez Create trail (Créer un journal de suivi).
16. Le nouveau journal de suivi s'affiche sur la page Trails. Un journal de suivi d'une organisation peutprendre jusqu'à 24 heures pour être créé dans toutes les régions de tous les comptes membres. Lapage Trails affiche les journaux de suivi de votre compte pour toutes les régions. Après 15 minutesenviron, CloudTrail publie les fichiers journaux qui répertorient les appels d'API AWS effectués dansvotre organisation. Les fichiers journaux se trouvent dans le compartiment Amazon S3 que vous avezspécifié.
Note
Vous ne pouvez pas renommer un suivi une fois qu'il a été créé. Au lieu de cela, vous pouvezsupprimer le suivi et en créer un nouveau.
Version 1.0125
AWS CloudTrail Guide de l'utilisateurCréation d'un journal de suivi pour une
organisation avec l'AWS Command Line Interface
Étapes suivantesAprès avoir créé le journal de suivi, vous pouvez le modifier :
• Modifiez la configuration de votre journal de suivi. Pour plus d’informations, consultez Mise à jour d'unjournal de suivi (p. 86).
• Configurez le compartiment Amazon S3 pour autoriser des utilisateurs IAM spécifiques des comptesmembres à lire les fichiers journaux de l'organisation, si vous le souhaitez. Pour plus d’informations,consultez Partage de fichiers journaux CloudTrail entre comptes AWS (p. 223).
• Configurez CloudTrail de sorte à envoyer les fichiers journaux à CloudWatch Logs. Pour plusd'informations, consultez Envoi d'événements à CloudWatch Logs (p. 168) et l'élément CloudWatchLogs (p. 119) dans Préparation de la création d'un journal de suivi pour votre organisation (p. 119).
• Créez une table et utilisez-la pour exécuter une requête dans Amazon Athena afin d'analyser l'activité devos services AWS. Pour plus d'informations, consultez Création d'une table pour les CloudTrail journauxdans la CloudTrail console dans le Amazon Athena Guide de l'utilisateur .
• Ajoutez des balises personnalisées (paires clé-valeur) pour le suivi.• Pour créer un autre journal de suivi d'organisation, revenez à la page Journaux de suivi et choisissez
Créer un journal de suivi.
Note
Lorsque vous configurez un journal de suivi, vous pouvez choisir un compartiment Amazon S3 etune rubrique SNS qui appartiennent à un autre compte. Toutefois, si vous voulez que CloudTraillivre les événements dans un groupe de journaux CloudWatch Logs, vous devez choisir un groupede journaux qui existe dans votre compte actuel.
Création d'un journal de suivi pour une organisationavec l'AWS Command Line InterfaceVous pouvez créer un journal de suivi d'organisation avec l'AWS CLI. L'AWS CLI est régulièrement mise àjour avec des fonctionnalités et commandes supplémentaires. Pour garantir le succès, assurez-vous quevous avez installé une version AWS CLI récente avant de commencer.
Note
Les exemples de cette section sont spécifiques à la création et la mise à jour des journaux de suivide l'organisation. Pour obtenir des exemples d'utilisation de l'AWS CLI afin de gérer les journauxde suivi, consultez Gestion des journaux de suivi avec l'AWS CLI (p. 100). Lors de la créationou de la mise à jour du journal de suivi d'une organisation avec l' AWS CLI , vous devez utiliser unAWS CLI profil dans le compte de gestion avec les autorisations suffisantes.Vous devez configurer le compartiment Amazon S3 utilisé pour le journal de suivi d'uneorganisation avec des autorisations suffisantes.
Créez ou mettez à jour un compartiment Amazon S3 pour stockerles fichiers journaux du suivi d'une organisationVous devez spécifier un compartiment Amazon S3 pour recevoir les fichiers journaux pour le journal desuivi d'une organisation. Ce compartiment doit avoir une stratégie qui permet à CloudTrail de placer lesfichiers journaux de l'organisation dans le compartiment.
Voici un exemple de stratégie pour un Amazon S3 compartiment nommé my-organization-bucket.Ce compartiment se trouve dans un AWS compte avec l'ID 111111111111, qui est le compte de gestion
Version 1.0126
AWS CloudTrail Guide de l'utilisateurCréation d'un journal de suivi pour une
organisation avec l'AWS Command Line Interface
d'une organisation associée à l'ID o-exampleorgid qui permet la journalisation du journal de suivi d'uneorganisation. Elle permet également la journalisation pour le 111111111111 dans le cas où le journal desuivi est modifié pour passer d'un journal de suivi d'une organisation à un journal de suivi pour ce compteuniquement.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::my-organization-bucket" }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-organization-bucket/AWSLogs/111111111111/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-organization-bucket/AWSLogs/o-exampleorgid/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ]}
Cet exemple de stratégie n'autorise pas tous les utilisateurs des comptes membres à accéder aux fichiersjournaux créés pour l'organisation. Par défaut, les fichiers journaux de l'organisation sont accessiblesuniquement au compte de gestion. Pour plus d'informations sur la manière d'autoriser un accès en lectureau compartiment Amazon S3 pour les utilisateurs IAM des comptes membres, consultez Partage de fichiersjournaux CloudTrail entre comptes AWS (p. 223).
Version 1.0127
AWS CloudTrail Guide de l'utilisateurCréation d'un journal de suivi pour une
organisation avec l'AWS Command Line Interface
Activation de CloudTrail comme service approuvé dans AWSOrganizationsAvant de créer un journal de suivi d'organisation, vous devez au préalable activer toutes les fonctions dansOrganisations. Pour plus d'informations, consultez Activation de toutes les fonctions de votre organisationou exécutez la commande suivante à l'aide d'un profil avec des autorisations suffisantes dans le compte degestion :
aws organizations enable-all-features
Une fois que vous avez activé toutes les fonctions, vous devez configurer Organisations pour approuverCloudTrail comme service approuvé.
Pour créer la relation de service approuvé entre AWS Organizations et CloudTrail , ouvrez un terminalou une ligne de commande et utilisez un profil dans le compte de gestion. Entrez la commande awsorganizations enable-aws-service-access comme illustré dans l'exemple suivant.
aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com
Utilisation de create-trailCréation d'un suivi d'organisation qui s'applique à toutes les régions
Pour créer un journal de suivi d'organisation qui s'applique à toutes les régions, ajoutez les --is-organization-trail options --is-multi-region-trail et .
Note
Lorsque vous créez ou mettez à jour le journal de suivi d'une organisation avec l' AWS CLI , vousdevez utiliser un AWS CLI profil dans le compte de gestion avec les autorisations suffisantes.
L'exemple suivant crée un journal de suivi d'une organisation qui livre les journaux de toutes les régions àun compartiment existant nommé my-bucket :
aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-organization-trail --is-multi-region-trail
Afin de confirmer que votre journal de suivi existe dans toutes les régions, les IsOrganizationTrailparamètres IsMultiRegionTrail et dans la sortie sont tous deux définis sur true :
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket"}
Note
Exécutez la start-logging commande pour démarrer la journalisation pour votre journal desuivi. Pour plus d’informations, consultez Arrêt et démarrage de la journalisation pour un journal desuivi (p. 116).
Version 1.0128
AWS CloudTrail Guide de l'utilisateurCréation d'un journal de suivi pour une
organisation avec l'AWS Command Line Interface
Création d'un journal de suivi d'organisation comme journal de suivi d'une seulerégion
La commande suivante crée un suivi d'organisation qui enregistre uniquement les événements dansune seule région AWS, également appelé journal de suivi sur une seule région. La région AWS où lesévénements sont consignés est la région spécifiée dans le profil de configuration pour l' AWS CLI .
aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-organization-trail
Pour plus d’informations, consultez Exigences en matière d'attribution de nom de suiviCloudTrail (p. 137).
Exemple de sortie :
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": true, "S3BucketName": "my-bucket"}
Par défaut, la create-trail commande crée un journal de suivi d'une seule région qui n'active pas lavalidation des fichiers journaux.
Note
Exécutez la start-logging commande pour démarrer la journalisation pour votre journal desuivi.
Exécution update-trail de pour mettre à jour le journal de suivid'une organisationVous pouvez exécuter la update-trail commande pour modifier les paramètres de configuration dujournal de suivi d'une organisation ou pour appliquer un journal de suivi existant pour un AWS seul compteà l'ensemble d'une organisation. N'oubliez pas que vous pouvez exécuter la update-trail commandeuniquement à partir de la région dans laquelle le journal de suivi a été créé.
Note
Si vous utilisez l' AWS CLI ou l'un des AWS SDKs pour mettre à jour un suivi, assurez-vous quela stratégie de compartiment du suivi est à jour. Pour plus d’informations, consultez Création d'unjournal de suivi pour une organisation avec l'AWS Command Line Interface (p. 126).Lorsque vous créez ou mettez à jour le journal de suivi d'une organisation avec l' AWS CLI , vousdevez utiliser un AWS CLI profil dans le compte de gestion avec les autorisations suffisantes.
Application d'un journal de suivi existant à une organisation
Pour modifier un journal de suivi existant afin qu'il s'applique également à une organisation au lieu d'un seulAWS compte, ajoutez l'--is-organization-trailoption, comme illustré dans l'exemple suivant.
aws cloudtrail update-trail --name my-trail --is-organization-trail
Version 1.0129
AWS CloudTrail Guide de l'utilisateurObtention et consultation des fichiers journaux CloudTrail
Afin de confirmer que le journal de suivi s'applique maintenant à l'organisation, le IsOrganizationTrailparamètre dans la sortie a la valeur true .
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket"}
Dans l'exemple précédent, le journal de suivi a été configuré pour s'appliquer à toutes les régions("IsMultiRegionTrail": true). Un journal de suivi qui s'est appliqué uniquement à une seule régions'affiche "IsMultiRegionTrail": false dans la sortie.
Conversion d'un journal de suivi d'organisation qui s'applique à une région desorte qu'il s'applique à toutes les régions
Pour modifier le journal de suivi d'une organisation existante afin qu'il s'applique à toutes les régions,ajoutez l'--is-multi-region-trailoption comme indiqué dans l'exemple suivant.
aws cloudtrail update-trail --name my-trail --is-multi-region-trail
Afin de confirmer que le journal de suivi s'applique maintenant à toutes les régions, leIsMultiRegionTrail paramètre de la sortie a la valeur true .
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket"}
Obtention et consultation des fichiers journauxCloudTrail
Une fois que vous avez créé et configuré un journal de suivi pour capturer les fichiers journaux que voussouhaitez recevoir, vous devez pouvoir trouver les fichiers journaux et interpréter les informations qu'ilscontiennent.
CloudTrail livre vos fichiers journaux dans un compartiment Amazon S3, que vous spécifiez lorsquevous créez le suivi. Généralement, les fichiers journaux apparaissent dans votre compartiment dans les15 minutes suivant l'appel d'API AWS enregistré ou tout autre événement AWS. Les Insights events sontgénéralement livrés à votre compartiment dans les 30 minutes suivant une activité inhabituelle. Après avoiractivé les Insights events pour la première fois, prévoyez jusqu'à 36 heures pour voir les premiers Insightsevents, si une activité inhabituelle est détectée.
Rubriques• Rechercher vos fichiers journaux CloudTrail (p. 131)
Version 1.0130
AWS CloudTrail Guide de l'utilisateurRechercher vos fichiers journaux CloudTrail
• Téléchargement de vos fichiers journaux CloudTrail (p. 132)
Rechercher vos fichiers journaux CloudTrailCloudTrail publie les fichiers journaux dans votre compartiment S3 dans une archive gzip. Dans lecompartiment S3, le fichier journal possède un nom formaté qui comprend les éléments suivants :
• Le nom de compartiment que vous avez spécifié lorsque vous avez créé le suivi (disponible sur la pageTrails (Suivis) de la console CloudTrail)
• Le préfixe (facultatif) que vous avez spécifié lorsque vous avez créé votre suivi• La chaîne « AWSLogs »• Le numéro de compte• La chaîne « CloudTrail »• Un identifiant de région tel qu'us-west-1• L'année de publication du fichier journal au format YYYY• Le mois de publication du fichier journal au format MM• Le jour de publication du fichier journal au format DD• Une chaîne alphanumérique qui lève toute ambiguïté entre le fichier et d'autres qui couvrent la même
période
L'exemple suivant montre un nom d'objet fichier journal complet :
bucket_name/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz
Note
Pour les journaux de suivi d'une organisation, le nom de l'objet du fichier journal inclut l'ID del'unité d'organisation dans le chemin d'accès, comme suit :
bucket_name/prefix_name/AWSLogs/OU-ID/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz
Pour récupérer un fichier journal, vous pouvez utiliser la console Amazon S3, l'interface de ligne decommande (CLI) Amazon S3 ou l'API.
Pour rechercher vos fichiers journaux avec la console Amazon S3
1. Ouvrez la console Amazon S3.2. Choisissez le compartiment que vous avez spécifié.3. Parcourez la hiérarchie des objets jusqu'à trouver le fichier journal que vous voulez.
Tous les fichiers journaux possèdent une extension .gz.
Vous allez parcourir une hiérarchie d'objets qui est similaire à l'exemple suivant, mais avec un nom decompartiment, un ID de compte, une région et une date différents.
All Buckets Bucket_Name AWSLogs 123456789012 CloudTrail
Version 1.0131
AWS CloudTrail Guide de l'utilisateurTéléchargement de vos fichiers journaux CloudTrail
us-west-1 2014 06 20
Un fichier journal pour la hiérarchie des objets précédente ressemble à ce qui suit :
123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz
Note
Bien que cela arrive rarement, vous pouvez recevoir des fichiers journaux qui contiennent unou plusieurs événements dupliqués. Les événements dupliqués auront le même eventID . Pour plus d'informations sur le eventID champ, consultez Contenu d'un enregistrementCloudTrail (p. 313) .
Téléchargement de vos fichiers journaux CloudTrailLes fichiers journaux sont au format JSON. Si un complément visionneuse JSON est installé, vous pouvezafficher les fichiers directement dans votre navigateur. Double-cliquez sur le nom du fichier journal dans lecompartiment pour ouvrir une nouvelle fenêtre ou un nouvel onglet de navigateur. Le code JSON s'affichealors dans un format lisible.
Par exemple, si vous utilisez Mozilla Firefox, vous pouvez également télécharger le module JSONView complémentaire. Avec JSONView , vous pouvez double-cliquer sur le fichier .gz compressé dans votrecompartiment pour ouvrir le fichier journal au format JSON.
Les fichiers journaux CloudTrail sont des objets Amazon S3. Vous pouvez utiliser la console Amazon S3,l'AWS Command Line Interface (CLI), ou l'API Amazon S3 pour récupérer des fichiers journaux.
Pour en savoir plus, consultez Utilisation des objets Amazon S3 dans le manuel Amazon Simple StorageService Manuel du développeur.
La procédure suivante décrit comment télécharger un fichier journal à l'aide d'AWS Management Console.
Pour télécharger et consulter un fichier journal
1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.2. Choisissez le compartiment et le fichier journal à télécharger.3. Choisissez Download ou Download as et suivez les instructions pour enregistrer le fichier. Le fichier
est enregistré dans un format compressé.Note
Certains navigateurs, tels que Chrome, extraient automatiquement le fichier journal pour vous.Si c'est le cas pour votre navigateur, passez directement à l'étape 5.
4. Utilisez un outil comme 7-Zip pour extraire le fichier journal.5. Ouvrez le fichier journal dans un éditeur de texte, comme Notepad++.
Pour plus d'informations sur les champs d'événement qui peuvent apparaître dans une entrée de fichierjournal, consultez la page Référence des événements de journaux CloudTrail (p. 311).
AWS collabore avec des tiers spécialisés dans la journalisation et l'analyse pour proposer des solutions quiexploitent les sorties d'CloudTrail. Pour en savoir plus, consultez Réseau de partenaires AWS - PartenairesAWS CloudTrail.
Version 1.0132
AWS CloudTrail Guide de l'utilisateurConfiguration de notifications Amazon SNS pour CloudTrail
Note
Vous pouvez également utiliser la fonction Historique des événements pour rechercher lesévénements afin de créer, mettre à jour et supprimer les activités relatives aux API durant les90 derniers jours.Pour plus d’informations, consultez Affichage des événements avec l'historique des événementsCloudTrail (p. 48).
Configuration de notifications Amazon SNS pourCloudTrail
Vous pouvez recevoir des notifications lorsque CloudTrail publie de nouveaux fichiers journaux dans votrecompartiment Amazon S3. Vous gérez des notifications à l'aide de Amazon Simple Notification Service(Amazon SNS).
Les notifications sont facultatives. Si vous souhaitez recevoir des notifications, configurez CloudTrail desorte qu'il envoie les informations de mise à jour à une rubrique Amazon SNS chaque fois qu'un nouveaufichier journal a été envoyé. Pour recevoir ces notifications, vous pouvez utiliser Amazon SNS pour vousabonner à la rubrique. En tant qu'abonné, vous pouvez obtenir des mises à jour envoyées à une filed'attente Amazon Simple Queue Service (Amazon SQS), ce qui vous permet de gérer ces notifications parprogrammation.
Rubriques• Configuration de CloudTrail pour envoyer des notifications (p. 133)
Configuration de CloudTrail pour envoyer desnotificationsVous pouvez configurer un suivi de sorte qu'il utilise une rubrique Amazon SNS. Vous pouvez utiliser laconsole CloudTrail ou la commande d'interface de ligne de commande aws cloudtrail create-trail pour créerla rubrique. CloudTrail crée automatiquement la rubrique Amazon SNS et attache une stratégie appropriéede sorte que CloudTrail ait l'autorisation de publier dans cette rubrique.
Lorsque vous créez un nom de rubrique SNS, celui-ci doit répondre aux critères suivants :
• Contenir 1 à 256 caractères• Contenir des lettres majuscules et minuscules ASCII, des chiffres, des traits de soulignement ou de traits
d'union
Lorsque vous configurez des notifications pour un suivi qui s'applique à toutes les régions, les notificationsde toutes les régions sont envoyées à la rubrique Amazon SNS que vous spécifiez. Si vous avez un ouplusieurs suivis spécifiques à une région, vous devez créer une rubrique distincte pour chaque région etvous abonner à chacune individuellement.
Pour recevoir des notifications, abonnez-vous aux rubriques Amazon SNS que CloudTrail utilise. Pour cefaire, utilisez la console Amazon SNS ou les commandes de l'interface de ligne de commande AmazonSNS. Pour en savoir plus, consultez Abonnement à une rubrique dans le Amazon Simple NotificationService Manuel du développeur.
Note
CloudTrail envoie une notification lorsque les fichiers journaux sont écrits dans le compartimentAmazon S3. Un compte actif peut générer un grand nombre de notifications. Si vous vous
Version 1.0133
AWS CloudTrail Guide de l'utilisateurContrôle des autorisations accordées
aux utilisateurs pour CloudTrail
abonnez par e-mail ou SMS, vous pouvez recevoir un grand volume de messages. Nous vousrecommandons de vous abonner à l'aide de Amazon Simple Queue Service (Amazon SQS), cequi permet de gérer les notifications par programmation. Pour en savoir plus, consultez Abonnerune file d'attente à une rubrique Amazon SNS dans le Amazon Simple Queue Service Manuel dudéveloppeur.
La notification Amazon SNS se compose d'un objet JSON qui comprend un champ Message. Le champMessage répertorie le chemin d'accès complet au fichier journal, comme illustré dans l'exemple suivant :
{ "s3Bucket": "your-bucket-name","s3ObjectKey": ["AWSLogs/123456789012/CloudTrail/us-east-2/2013/12/13/123456789012_CloudTrail_us-west-2_20131213T1920Z_LnPgDQnpkSKEsppV.json.gz"]}
Si plusieurs fichiers journaux sont transmis au compartiment Amazon S3, une notification peut contenirplusieurs journaux, comme illustré dans l'exemple suivant :
{ "s3Bucket": "your-bucket-name", "s3ObjectKey": [ "AWSLogs/123456789012/CloudTrail/us-east-2/2016/08/11/123456789012_CloudTrail_us-east-2_20160811T2215Z_kpaMYavMQA9Ahp7L.json.gz", "AWSLogs/123456789012/CloudTrail/us-east-2/2016/08/11/123456789012_CloudTrail_us-east-2_20160811T2210Z_zqDkyQv3TK8ZdLr0.json.gz", "AWSLogs/123456789012/CloudTrail/us-east-2/2016/08/11/123456789012_CloudTrail_us-east-2_20160811T2205Z_jaMVRa6JfdLCJYHP.json.gz" ]}
Si vous choisissez de recevoir des notifications par e-mail, le corps de l'e-mail se compose du contenudu champ Message. Pour une description complète de la structure JSON, consultez la page Envoi demessages Amazon SNS aux files d'attente Amazon SQS dans le Amazon Simple Notification ServiceManuel du développeur. Seul le champ Message présente des informations relatives à CloudTrail. Lesautres champs contiennent des informations provenant du service Amazon SNS.
Si vous créez un suivi avec l'API CloudTrail, vous pouvez spécifier une rubrique Amazon SNS existanteà laquelle vous souhaitez que CloudTrail envoie des notifications avec les opérations CreateTrail ouUpdateTrail. Vous devez vous assurer que la rubrique existe et qu'elle dispose des autorisations quipermettent à CloudTrail de lui envoyer des notifications. Veuillez consulter Stratégie de rubrique AmazonSNS pour CloudTrail (p. 288).
Ressources supplémentaires concernantPour plus d'informations sur les rubriques Amazon SNS et l'abonnement à celles-ci, consultez le manuelAmazon Simple Notification Service Manuel du développeur.
Contrôle des autorisations accordées auxutilisateurs pour CloudTrail
AWS CloudTrail s'intègre dans AWS Identity and Access Management (IAM), ce qui permet de contrôlerl'accès à CloudTrail et à d'autres ressources AWS dont CloudTrail a besoin, y compris les compartimentsAmazon S3 et les rubriques Amazon Simple Notification Service (Amazon SNS). Vous pouvez utiliserAWS Identity and Access Management pour contrôler quels utilisateurs AWS peuvent créer, configurer, ousupprimer des suivis AWS CloudTrail, démarrer et arrêter la journalisation et accéder aux compartiments
Version 1.0134
AWS CloudTrail Guide de l'utilisateurConseils pour la gestion des journaux de suivi
contenant des informations de journaux. Pour en savoir plus, consultez la section Identity and AccessManagement pour AWS CloudTrail (p. 264).
Les rubriques suivantes peuvent également vous aider à comprendre les autorisations, les stratégies et lasécurité CloudTrail :
• Conditions d'attribution de noms pour des compartiments Amazon S3 (p. 137)• Stratégie de compartiment Amazon S3 pour CloudTrail (p. 283)• Voici un exemple de stratégie de compartiment pour un journal de suivi d'une organisation dans Création
d'un journal de suivi pour une organisation avec l'AWS Command Line Interface (p. 126).• Stratégie de rubrique Amazon SNS pour CloudTrail (p. 288)• Chiffrement des fichiers journaux CloudTrail avec des clés gérées par AWS KMS (SSE-KMS) (p. 299)• Stratégie de clé par défaut créée dans la console CloudTrail (p. 307)• Accorder l'autorisation d'afficher des informations d'AWS Config sur la console CloudTrail (p. 282)• Partage de fichiers journaux CloudTrail entre comptes AWS (p. 223)• Autorisations requises pour créer un journal de suivi d'organisation (p. 119)• Utilisation d'un IAM rôle existant précédemment pour ajouter la surveillance du journal de suivi d'une
organisation à Amazon CloudWatch Logs (p. 119)
Conseils pour la gestion des journaux de suivi• À compter du 12 avril 2019, les journaux de suivi seront visibles uniquement dans les régions AWS où
des événements sont enregistrés. Si vous créez un journal de suivi qui enregistre les événements danstoutes les régions AWS, il s'affichera dans la console dans toutes les régions AWS. Si vous créez unjournal de suivi qui enregistre des événements dans une seule région AWS, vous pouvez l'afficher et legérer uniquement dans cette région AWS.
• Pour modifier un journal de suivi de la liste, choisissez son nom.• Configurez au moins un journal de suivi qui s'applique à toutes les régions afin de recevoir les fichiers
journaux de toutes les régions dans votre compte.• Pour enregistrer les événements d'une région spécifique et livrer les fichiers journaux dans un
compartiment S3 de la même région, vous pouvez mettre à jour le journal de suivi afin qu'il s'appliqueà une seule région. Cela est utile si vous souhaitez distinguer vos fichiers journaux. Par exemple, vousvoulez peut-être que les utilisateurs gèrent leurs propres journaux dans des régions spécifiques, ou voussouhaitez distinguer les alarmes CloudWatch Logs par région.
• Pour enregistrer les événements à partir de plusieurs comptes AWS dans un seul suivi, envisagez decréer une organisation dans, AWS Organizations puis de créer un journal de suivi d'organisation.
• La création de plusieurs journaux de suivi entraîne des coûts supplémentaires. Pour plus d'informationssur la tarification, consultez Tarification AWS CloudTrail.
Rubriques• Gestion des coûts CloudTrail (p. 135)• Exigences en matière d'attribution de nom de suivi CloudTrail (p. 137)• Conditions d'attribution de noms pour des compartiments Amazon S3 (p. 137)• Conditions d'attribution de noms AWS KMS (p. 138)
Gestion des coûts CloudTrailLa bonne pratique consiste à utiliser des services et des outils AWS qui peuvent vous aider à gérer lescoûts CloudTrail. Vous pouvez également configurer et gérer des journaux de suivi CloudTrail de manière
Version 1.0135
AWS CloudTrail Guide de l'utilisateurGestion des coûts CloudTrail
à capturer les données dont vous avez besoin tout en faisant en sorte que cela reste rentable. Pour plusd'informations sur la tarification CloudTrail, consultez Tarification AWS CloudTrail.
Outils permettant de gérer les coûtsAWS Budgets, une fonction d'AWS Billing and Cost Management, vous permet de définir des budgetspersonnalisés afin d'être alerté lorsque votre utilisation ou vos coûts dépassent (ou sont sur le point dedépasser) le montant prévu.
Lorsque vous créez plusieurs journaux de suivi, la création d'un budget pour CloudTrail à l'aide d'AWSBudgets est une bonne pratique recommandée et peut vous aider à suivre vos dépenses CloudTrail. Lesbudgets basés sur les coûts permettent de mieux prévoir le montant qui peut vous être facturé pour votreutilisation de CloudTrail. Les alertes de budget vous avertissent lorsque votre facture atteint un seuil quevous définissez. Lorsque vous recevez une alerte de budget, vous pouvez effectuer des modificationsavant la fin du cycle de facturation pour gérer vos coûts.
Une fois que vous avez créé un budget, vous pouvez utiliser AWS Cost Explorer pour voir l'impact de voscoûts CloudTrail sur votre factureAWS globale. Dans AWS Cost Explorer, après avoir ajouté CloudTrail aufiltre Service vous pouvez comparer vos dépenses historiques CloudTrail à celles du mois actuel (MTD),par région et par compte. Cette fonction vous aide à surveiller et à détecter les coûts inattendus dans vosdépenses mensuelles CloudTrail. Des fonctions supplémentaires de Cost Explorer vous permettent decomparer les dépenses CloudTrail aux dépenses mensuelles au niveau de ressources spécifiques, enfournissant des informations sur ce qui pourrait augmenter ou diminuer les coûts dans votre facture.
Pour commencer à utiliser AWS Budgets, ouvrez AWS Billing and Cost Management, puis choisissezBudgets dans la barre de navigation de gauche. Nous vous recommandons de configurer des alertes debudget lorsque vous créez un budget pour suivre les dépenses CloudTrail. Pour plus d'informations surl'utilisation d'AWS Budgets, consultez Gestion de vos coûts avec Budgets et Bonnes pratiques pour AWSBudgets.
Configuration d'un journal de suiviCloudTrail vous offre une flexibilité quant à la façon dont vous configurez les journaux de suivi dans votrecompte. Certaines décisions que vous prenez au cours du processus de configuration nécessitent quevous en compreniez les répercussions sur votre facture CloudTrail. Voici des exemples de la façon dont lesconfigurations de journaux de suivi peuvent influer sur votre facture CloudTrail.
Création de plusieurs journaux de suivi
La première livraison de chaque événement de gestion pour un compte est gratuite. Si vous créezd'autres journaux de suivi qui fournissent les mêmes événements de gestion à d'autres destinations,ces livraisons ultérieures entraînent des coûts CloudTrail. Vous pouvez faire ceci pour permettre àdifférents groupes d'utilisateurs (par exemple, les développeurs, le personnel chargé de la sécuritéet les auditeurs informatiques) de recevoir leurs propres copies des fichiers journaux. Pour lesévénements de données, toutes les livraisons entraînent des coûts CloudTrail, y compris la première.
À mesure que vous créez des journaux de suivi supplémentaires, il est particulièrement importantd'être familiarisé avec vos journaux et de comprendre les types et volumes d'événements qui sontgénérés par des ressources dans votre compte. Cela vous aide à anticiper le volume d'événementsassociés à un compte et à planifier les coûts liés aux journaux de suivi. Par exemple, l'utilisation duchiffrement côté serveur géré par AWS KMS (SSE-KMS) sur vos compartiments S3 peut entraînerun grand nombre d'événements de gestion AWS KMS dans CloudTrail. Des volumes d'événementsimportants dans plusieurs journaux de suivi peuvent également influer sur les coûts.
Pour vous aider à limiter le nombre d'événements enregistrés dans votre journal de suivi, vous pouvezfiltrer AWS KMS les événements en choisissant Exclude AWS KMS events (Exclure les événements)sur les pages Create trail (Créer un journal de suivi) ou Update trail (Mettre à jour un journal desuivi). L'option de filtrer AWS KMS les événements n'est disponible que si votre journal de suivi
Version 1.0136
AWS CloudTrail Guide de l'utilisateurExigences en matière d'attribution
de nom de suivi CloudTrail
consigne les événements de gestion. Pour plus d'informations, consultez Création d'un journal desuivi (p. 76) ou Mise à jour d'un journal de suivi (p. 86) dans ce guide.
AWS Organizations
Lorsque vous configurez un journal de suivi Organisations avec CloudTrail, CloudTrail réplique celui-ci dans chaque compte membre dans votre organisation. Le nouveau journal de suivi est créé en plusdes journaux de suivi existants dans les comptes membres. Veillez à ce que la configuration du journalde suivi de votre compte de gestion corresponde à celle des journaux de suivi configurés pour tous lescomptes au sein d'une organisation, car la configuration du journal de suivi du compte de gestion sepropage à tous les comptes.
Comme Organisations crée un journal de suivi dans chaque compte membre, un compte membreindividuel qui crée un journal de suivi supplémentaire pour collecter les mêmes événements de gestionque le journal de suivi Organisations collecte une deuxième copie des événements. Cette deuxièmecopie est facturée au compte. De même, si un compte possède un journal de suivi sur plusieursrégions et qu'il crée un deuxième journal de suivi dans une seule région pour collecter les mêmesévénements de gestion que celui sur plusieurs régions, le journal de suivi de la région unique fournitune deuxième copie des événements. La deuxième copie entraîne des frais.
Voir aussi• AWS CloudTrail Tarification• Gestion des coûts avec Budgets• Mise en route avec Cost Explorer• Préparation de la création d'un journal de suivi pour votre organisation (p. 119)
Exigences en matière d'attribution de nom de suiviCloudTrailLes noms de suivi CloudTrail doivent respecter les critères suivants :
• Contenir uniquement des lettres ASCII (a-z, A à Z), des chiffres (0 à 9), des points (.) et des traits desoulignement (_) ou des tirets (-).
• Commencer par une lettre ou un nombre et terminer par une lettre ou un nombre.• contenir entre 3 et 128 caractères.• N'avoir aucun point, trait de soulignement ou tiret adjacent. Des noms comme mon-_namespace et mon-
\-namespace ne sont pas valides.• Ne pas être au format d'adresse IP (par exemple, 192.168.5.4).
Conditions d'attribution de noms pour descompartiments Amazon S3Le compartiment Amazon S3 que vous utilisez pour stocker les fichiers journaux CloudTrail doit porter unnom conforme aux exigences d'attribution de noms pour les régions autres qu'USA Standard. Amazon S3définit un nom de compartiment sous la forme d'une série d'une ou plusieurs étiquettes, séparées par despoints, qui respectent les règles suivantes :
• Le nom du compartiment peut compter entre 3 et 63 caractères et contenir uniquement des caractèresminuscules, des chiffres, des points et des tirets.
• Chaque étiquette dans le nom de compartiment doit commencer par une lettre minuscule ou un chiffre.
Version 1.0137
AWS CloudTrail Guide de l'utilisateurConditions d'attribution de noms AWS KMS
• Le nom de compartiment ne peut pas contenir de traits de soulignement, terminer par un tiret, avoirplusieurs points consécutives ou des tirets à côté de points.
• Le nom de compartiment ne doit pas utiliser le même format qu'une adresse IP (198.51.100.24).
Warning
Etant donné que S3 permet à votre compartiment d'être utilisé comme une URL qui accessiblepubliquement, le nom de compartiment que vous choisissez doit être globalement unique. Siun autre compte a déjà créé un compartiment avec le nom que vous avez choisi, vous devezutiliser un autre nom. Pour plus d'informations, consultez Limites et restrictions applicables auxcompartiments dans le manuel Amazon Simple Storage Service Manuel du développeur.
Conditions d'attribution de noms AWS KMSLorsque vous créez une clé principale client (CMK), vous pouvez choisir un alias pour l'identifier. Parexemple, vous pouvez choisir l'alias « KMS-CloudTrail-us-west-2 » pour chiffrer les journaux d'un suivispécifique.
L'alias doit répondre aux critères suivants :
• Compter 1 à 32 caractères, inclus• Contenir des caractères alphanumériques (A-Z, a-z, 0-9), des tirets (-), des barres obliques (/) et des
traits de soulignement (_)• Ne doit pas commencer par aws
Pour plus d'informations, consultez Création de clés dans le AWS Key Management Service DeveloperGuide.
Utilisation de AWS CloudTrail avec les points determinaison d'un VPC d'interface
Si vous utilisez Amazon Virtual Private Cloud (Amazon VPC) pour héberger vos ressources AWS, vouspouvez établir une connexion privée entre votre VPC et AWS CloudTrail. Vous pouvez utiliser cetteconnexion pour permettre à CloudTrail de communiquer avec vos ressources sur votre VPC sans passerpar le réseau Internet public.
Amazon VPC est un service AWS que vous pouvez utiliser pour lancer des ressources AWS dans unréseau virtuel que vous définissez. Avec un VPC, vous contrôlez des paramètres réseau, tels que laplage d'adresses IP, les sous-réseaux, les tables de routage et les passerelles réseau. Avec les points determinaison d'un VPC, le routage entre le VPC et les services AWS sont traités par le réseau AWS, et vouspouvez utiliser les politiques IAM pour contrôler l'accès aux ressources de service.
Pour connecter votre VPC à CloudTrail, vous définissez un point de terminaison de VPC d'interface pourCloudTrail. Un point de terminaison d'interface est une interface réseau Elastic avec une adresse IP privéequi sert de point d'entrée au trafic destiné au service AWS pris en charge. Le point de terminaison assureune connectivité scalable et fiable à CloudTrail sans qu'une passerelle Internet, une instance NAT (NetworkAddress Translation) ou une connexion VPN ne soit nécessaire. Pour plus d'informations, consultez Qu'est-ce que Amazon VPC dans le manuel Amazon VPC Guide de l'utilisateur.
Les points de terminaison de VPC d'interface reposent sur AWS PrivateLink, une technologie AWS quiactive une communication privée entre les services AWS à l'aide d'une interface réseau Elastic avec desadresses IP privées. Pour plus d'informations, consultez AWS PrivateLink.
Version 1.0138
AWS CloudTrail Guide de l'utilisateurAvailability
Les étapes suivantes s'adressent aux utilisateurs de Amazon VPC. Pour plus d'informations, consultezMise en route dans le Amazon VPC Guide de l'utilisateur.
AvailabilityCloudTrail prend actuellement en charge les points de terminaison de VPC dans les régions AWSsuivantes :
• USA Est (Ohio)• USA Est (Virginie du Nord)• USA Ouest (Californie du Nord)• USA Ouest (Oregon)• Afrique (Le Cap)• Asie-Pacifique (Mumbai)• Asie-Pacifique (Séoul)• Asie-Pacifique (Singapour)• Asie-Pacifique (Sydney)• Asie-Pacifique (Tokyo)• Asie-Pacifique (Osaka-Local)• Canada (Centre)• Europe (Francfort)• Europe (Irlande)• Europe (Londres)• UE (Milan)• Europe (Paris)• Europe (Stockholm)• Moyen-Orient (Bahreïn)• Amérique du Sud (São Paulo)• AWS GovCloud (US-East)• AWS GovCloud (US-West)
Création d'un point de terminaison VPC pourCloudTrailPour commencer à utiliser CloudTrail avec votre VPC, créez un point de terminaison VPC d'interface pourCloudTrail. Pour plus d'informations, veuillez consulter Création d'un point de terminaison d'interface dansle Amazon VPC Guide de l'utilisateur.
Vous n'avez pas besoin de modifier les paramètres pour CloudTrail. CloudTrail appelle d'autres servicesAWS à l'aide des points de terminaison publics ou privés ou de points de terminaison d'interface privée, quisont en cours d'utilisation.
Version 1.0139
AWS CloudTrail Guide de l'utilisateur
Utilisation des fichiers journauxCloudTrail
Vous pouvez effectuer des tâches plus avancées avec vos fichiers CloudTrail.
• Créer plusieurs suivis par région.• Contrôler les fichiers journaux de CloudTrail en les envoyant à CloudWatch Logs.• Partager des fichiers journaux entre les comptes.• Utilisez la bibliothèque de traitement AWS CloudTrail pour écrire des applications de traitement de
fichiers journaux en Java.• Validez vos fichiers journaux pour vérifier qu'ils n'ont pas changé après leur livraison par CloudTrail.
Lorsqu'un événement se produit dans votre compte, CloudTrail vérifie si l'événement correspond auxparamètres de vos suivis. Seuls les événements qui correspondent à vos paramètres de suivi sont livrés àvotre compartiment Amazon S3 et au groupe de journaux Amazon CloudWatch Logs.
Vous pouvez configurer plusieurs suivis différemment pour que ceux-ci traitent et consignent uniquementles événements que vous spécifiez. Par exemple, un suivi peut consigner les événements de donnéeset de gestion en lecture seule, de sorte que tous les événements en lecture seule soient livrés à uncompartiment S3. Un autre suivi peut consigner uniquement les événements de gestion et de donnéesen écriture seule, de sorte que tous les événements en écriture seule soient livrés à un compartiment S3distinct.
Vous pouvez également configurer vos suivis pour que l'un des suivis livre tous les événements degestion dans un compartiment S3 et qu'un autre suivi livre tous les événements de données dans un autrecompartiment S3.
Vous pouvez configurer vos suivis pour consigner les éléments suivants :
• Événements de données (p. 147) : Ces événements fournissent une visibilité sur les opérations deressource exécutées sur ou dans une ressource. Ils sont également connus sous le nom d'opérations deplans de données.
• Événements de gestion (p. 143) : Les événements de gestion fournissent des informations sur lesopérations de gestion exécutées sur les ressources de votre compte AWS. Ils sont également connussous le nom d'opérations de plans de contrôle. Les événements de gestion peuvent aussi inclureles événements non API qui se produisent dans votre compte. Par exemple, lorsqu'un utilisateur seconnecte à votre compte, CloudTrail enregistre l'événement ConsoleLogin. Pour plus d’informations,consultez Evénements non API enregistrés par CloudTrail (p. 333).
Note
Tous les services AWS ne prennent pas en charge les événements CloudTrail. Pour plusd'informations sur les services pris en charge, consultez Intégrations et services pris en chargepar CloudTrail (p. 21). Pour plus d'informations sur ce qui APIs est enregistré pour un servicespécifique, consultez la documentation de ce service dans Intégrations et services pris encharge par CloudTrail (p. 21) .
• Insights events (p. 161) : Insights events capture l’activité inhabituelle qui est détectée dans votrecompte. Si les Insights events sont activés et que CloudTrail détecte une activité inhabituelle, les
Version 1.0140
AWS CloudTrail Guide de l'utilisateurCréer plusieurs suivis
Insights events sont enregistrés dans le compartiment S3 de destination pour votre journal de suivi,mais dans un dossier différent. Vous pouvez également voir le type d'événement Insights et la périoded'incident lorsque vous affichez les Insights events sur la console CloudTrail. Contrairement à d'autrestypes d'événements capturés dans un journal de suivi CloudTrail, les Insights events sont enregistrésuniquement lorsque CloudTrail détecte des changements dans l'utilisation de l'API de votre compte quidiffèrent de manière significative des modèles d'utilisation typiques du compte.
Insights eventsLes sont générés uniquement pour la gestion d'écritureAPIs.
Rubriques• Créer plusieurs suivis (p. 141)• Journalisation des événements de gestion pour les journaux de suivi (p. 143)• Journalisation des événements de données pour les journaux de suivi (p. 147)• Journalisation des événements Insights pour les journaux de suivi (p. 161)• Réception de fichiers journaux CloudTrail de plusieurs régions (p. 166)• Surveillance des fichiers journaux CloudTrail avec Amazon CloudWatch Logs (p. 167)• Réception de fichiers journaux CloudTrail de plusieurs comptes (p. 220)• Partage de fichiers journaux CloudTrail entre comptes AWS (p. 223)• Validation de l'intégrité des fichiers journaux CloudTrail (p. 233)• Utilisation du CloudTrail Processing Library (p. 254)
Créer plusieurs suivisVous pouvez utiliser les fichiers journaux de CloudTrail pour résoudre des problèmes opérationnels ou desécurité dans votre compte AWS. Vous pouvez créer des suivis pour différents utilisateurs, qui eux-mêmespeuvent créer et gérer leurs propres suivis. Vous pouvez configurer les journaux de suivi de manière àlivrer les fichiers journaux dans des compartiments S3 séparés ou partagés.
Note
La création de plusieurs journaux de suivi entraîne des coûts supplémentaires. Pour de plusamples informations, veuillez consulter Tarification AWS CloudTrail.
Par exemple, vous pouvez avoir les utilisateurs suivants :
• Un administrateur de sécurité crée un suivi dans la Région Europe (Irlande) et configure le chiffrementdes fichiers journaux KMS. Le journal de suivi livre les fichiers journaux dans un compartiment S3 dans laRégion Europe (Irlande).
• Un auditeur informatique crée un suivi dans la Région Europe (Irlande) et configure la validation del'intégrité des fichiers journaux afin de s'assurer que les fichiers journaux n'ont pas changé depuisque CloudTrail les a livrés. Le journal de suivi est configuré pour livrer les fichiers journaux dans uncompartiment S3 dans la Région Europe (Francfort).
• Un développeur crée un suivi dans la Région Europe (Francfort) et configure des alarmes CloudWatchpour recevoir des notifications concernant une activité d'API spécifique. Le journal de suivi partage lemême compartiment S3 que le journal de suivi configuré pour l'intégrité des fichiers journaux.
• Un autre développeur crée un suivi dans la Région Europe (Francfort) et configure SNS. Les fichiersjournaux sont livrés dans un compartiment S3 distinct dans la Région Europe (Francfort).
L'image suivante illustre cet exemple.
Version 1.0141
AWS CloudTrail Guide de l'utilisateurCréer plusieurs suivis
Note
Vous pouvez créer jusqu'à cinq suivis par région. Un suivi qui enregistre l'activité de toutes lesrégions compte comme un suivi par région.
Vous pouvez utiliser des autorisations au niveau des ressources pour gérer la capacité d'un utilisateur àréaliser des opérations spécifiques sur CloudTrail.
Par exemple, vous pouvez accorder à un utilisateur l'autorisation d'afficher l'activité de suivi, maisl'empêcher de démarrer ou d'arrêter la journalisation pour un suivi. Vous pouvez accorder à un autreutilisateur des autorisations complètes de création et de suppression de suivis. Cela vous permet unmeilleur contrôle de vos suivis et des accès utilisateur.
Pour plus d'informations sur les autorisations au niveau des ressources, consultez Exemples : Création etapplication de stratégies pour des actions sur des journaux de suivi spécifiques (p. 275).
Pour plus d'informations sur plusieurs suivis, consultez les ressources suivantes :
• Comment CloudTrail se comporte-t-il à l'échelle régionale et à l'échelle mondiale ? (p. 10)• CloudTrail FAQs
Version 1.0142
AWS CloudTrail Guide de l'utilisateurJournalisation des événements degestion pour les journaux de suivi
Journalisation des événements de gestion pour lesjournaux de suivi
Par défaut, les journaux de suivi consignent tous les événements de gestion et n'incluent pas lesévénements de données ou les événements Insights. Des frais supplémentaires s'appliquent pour lesévénements de données ou Insights. Pour en savoir plus, consultez Tarification AWS CloudTrail.
Table des matières• Événements de gestion (p. 143)
• Journalisation des événements de gestion avec AWS Management Console (p. 144)• Événements de lecture et d'écriture (p. 144)• Consignation d'événements avec l'AWS Command Line Interface (p. 145)• Journalisation des événements avec l'AWSSDKs (p. 147)• Envoi d'événements à Amazon CloudWatch Logs (p. 147)
Événements de gestionLes événements de gestion fournissent des informations sur les opérations de gestion exécutées surles ressources de votre compte AWS. Ils sont également connus sous le nom d'opérations de plans decontrôle. Les événements de gestion sont notamment les suivants :
• Configuration de la sécurité (par exemple, opérations d'API IAM AttachRolePolicy)• Enregistrement des appareils (par exemple, opérations d'API Amazon EC2 CreateDefaultVpc)• Configuration des règles d'acheminement des données (par exemple, opérations d'API Amazon EC2CreateSubnet)
• Configuration de la journalisation (par exemple, opérations d'API AWS CloudTrail CreateTrail)
Les événements de gestion peuvent aussi inclure les événements non API qui se produisent dansvotre compte. Par exemple, lorsqu'un utilisateur se connecte à votre compte, CloudTrail enregistrel'événement ConsoleLogin. Pour plus d’informations, consultez Evénements non API enregistrés parCloudTrail (p. 333). Pour obtenir la liste des événements de gestion pris en charge que CloudTrailenregistre pour les services AWS, consultez Intégrations et services pris en charge par CloudTrail (p. 21).
Par défaut, les suivis sont configurés pour consigner les événements de gestion. Pour obtenir la listedes événements de gestion pris en charge que CloudTrail enregistre pour les services AWS, consultezIntégrations et services pris en charge par CloudTrail (p. 21).
Note
La fonction CloudTrail Event history (Historique des événements) prend en charge uniquementles événements de gestion. Tous les événements de gestion ne sont pas pris en chargedans l'historique des événements. Vous ne pouvez pas exclure des événements AWS KeyManagement Service (AWS KMS) de l'historique des événements ; les paramètres que vousappliquez à un journal de suivi ne s'appliquent pas à l'historique des événements . Pourplus d’informations, consultez Affichage des événements avec l'historique des événementsCloudTrail (p. 48).
Version 1.0143
AWS CloudTrail Guide de l'utilisateurÉvénements de lecture et d'écriture
Journalisation des événements de gestion avec AWSManagement Console1. Ouvrez la page des journaux de suivi de la CloudTrail console et choisissez le nom du journal de
suivi.2. Pour les événements de gestion, choisissez Edit (Modifier).
• Choisissez si vous voulez que votre journal de suivi consigne les événements de lecture et/ou lesévénements d'écriture.
• Choisissez Exclure AWS KMS les événements pour filtrer les événements AWS Key ManagementService (AWS KMS) hors de votre journal de suivi. Le paramètre par défaut consiste à inclure tousles AWS KMS événements.
L'option permettant de consigner ou AWS KMS d'exclure des événements n'est disponible que sivous consignez des événements de gestion sur votre journal de suivi. Si vous choisissez de ne pasconsigner les événements de gestion, AWS KMS les événements ne sont pas consignés et vous nepouvez pas modifier les paramètres de journalisation des AWS KMS événements.
Les actions AWS KMS telles que Encrypt, Decrypt et GenerateDataKey génèrenthabituellement un volume important (plus de 99 %) d'événements. Ces actions sont désormaisenregistrées en tant qu'événements Read (Lecture). Les AWS KMS actions pertinentes de faiblevolume, telles que Disable , et Delete (qui représentent généralement moins de 0,5 % du volumedScheduleKey'événement) sont consignées en tant qu'AWS KMSévénements d'écriture.
Pour exclure les événements à volume élevé tels que Encrypt , et Decrypt , mais toujoursconsigner les événements pertinents tels que GenerateDataKey et Disable , choisissez deconsigner Delete les événements ScheduleKey de gestion d'écriture et décochez la casecorrespondant aux événements à exclure.AWS KMS
Une fois que vous avez terminé, choisissez Update trail (Mettre à jour le suivi).
Événements de lecture et d'écritureLorsque vous configurez votre journal de suivi pour consigner les événements de gestion, vous pouvezspécifier si voulez les événements en lecture seule, les événements en écriture seule ou les deux.
• Lisez
Les événements en lecture seule englobent les opérations API qui lisent vos ressources, mais n'yapportent pas de modifications. Par exemple, les événements en lecture seule comprennent lesopérations d'API Amazon EC2 DescribeSecurityGroups et DescribeSubnets. Ces opérationsrenvoient uniquement les informations relatives à vos ressources Amazon EC2 et elles ne modifient pasvos configurations.
• Écrire
Les événements en écriture seule englobent les opérations API qui modifient (ou peuvent modifier) vosressources. Par exemple, les opérations d'API Amazon EC2 RunInstances et TerminateInstancesmodifient vos instances.
Version 1.0144
AWS CloudTrail Guide de l'utilisateurConsignation d'événements avecl'AWS Command Line Interface
Exemple: Journalisation des événements de lecture et d'écriture pour des journaux de suividistincts
L'exemple suivant montre comment configurer vos suivis pour fractionner l'activité de journalisation d'uncompte dans des compartiments S3 distincts : un compartiment reçoit les événements en lecture seule, etle second, les événements en écriture seule.
1. Vous créez un suivi et choisissez un compartiment S3 nommé read-only-bucket pour recevoirles fichiers journaux. Vous mettez ensuite à jour le suivi pour spécifier que vous voulez lire lesévénements de gestion.
2. Vous créez un deuxième suivi et choisissez un compartiment S3 nommé write-only-bucket pourrecevoir les fichiers journaux. Vous mettez ensuite à jour le journal de suivi pour spécifier que voussouhaitez écrire les événements de gestion.
3. Les opérations d'API Amazon EC2 DescribeInstances et TerminateInstances sont effectuéesdans votre compte.
4. L'opération d'API DescribeInstances est un événement en lecture seule et elle correspond auxparamètres du premier suivi. L'événement est enregistré et livré au read-only-bucket par le suivi.
5. L'opération d'API TerminateInstances est un événement en écriture seule et elle correspond auxparamètres du deuxième suivi. L'événement est enregistré et livré au write-only-bucket par lesuivi.
Consignation d'événements avec l'AWS CommandLine InterfaceVous pouvez configurer vos journaux de suivi pour consigner les événements de gestion à l'aide de l'AWSCLI.
Pour voir si votre journal de suivi consigne les événements de gestion, exécutez la commande get-event-selectors.
aws cloudtrail get-event-selectors --trail-name TrailName
L'exemple suivant renvoie les paramètres par défaut pour un suivi. Par défaut, les journaux de suiviconsignent tous les événements de gestion et les événements provenant de toutes les sourcesd'événement, mais ne consignent pas les événements de données.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}
Pour configurer votre suivi pour consigner les événements de gestion, exécutez la commande put-event-selectors. L'exemple suivant montre comment configurer votre suivi pour inclure tous lesévénements de gestion pour deux objets S3. Vous pouvez spécifier de 1 à 5 sélecteurs d'événements pourun journal de suivi. Vous pouvez spécifier de 1 à 250 ressources de données pour un journal de suivi.
Version 1.0145
AWS CloudTrail Guide de l'utilisateurConsignation d'événements avecl'AWS Command Line Interface
Note
Le nombre maximal de ressources de données S3 est 250, quel que soit le nombre de sélecteursd'événements.
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2"] }] }]'
L'exemple suivant renvoie le sélecteur d'événements configuré pour le suivi.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2", ], "Type": "AWS::S3::Object" } ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}
Pour exclure des événements AWS Key Management Service (AWS KMS) des journauxd'un journal de suivi, exécutez la put-event-selectors commande et ajoutez l'attributExcludeManagementEventSources avec la valeur kms.amazonaws.com . L'exemple suivant créeun sélecteur d'événements pour un journal de suivi nommé TrailName pour inclure les événementsde gestion en lecture seule et en écriture seule, mais exclure AWS KMS les événements. AWS KMSétant capable de générer un volume élevé d'événements, l'utilisateur de cet exemple peut vouloir limiterles événements pour gérer le coût d'un journal de suivi. Dans cette version, vous pouvez exclure desévénements uniquement de la source d'événement kms.amazonaws.com.
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'
L'exemple renvoie le sélecteur d'événements configuré pour le journal de suivi.
{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "kms.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}
Version 1.0146
AWS CloudTrail Guide de l'utilisateurJournalisation des événements avec l'AWSSDKs
Pour relancer la journalisation des événements AWS KMS dans un journal de suivi, transmettez unechaîne vide comme valeur de ExcludeManagementEventSources, comme indiqué dans la commandesuivante.
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Pour journaliser dans un suivi les événements AWS KMS pertinents comme Disable, Delete etScheduleKey, mais exclure les événements AWS KMS à volume important comme Encrypt, Decryptet GenerateDataKey, journalisez les événements de gestion en écriture seule, et conservez le paramètrepar défaut pour journaliser les événements AWS KMS, comme illustré dans l'exemple suivant.
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'
Journalisation des événements avec l'AWSSDKsUtilisez l'GetEventSelectorsopération pour voir si votre journal de suivi consigne les événements de gestionpour un journal de suivi. Vous pouvez configurer vos journaux de suivi pour consigner les événements degestion avec l'PutEventSelectorsopération. Pour de plus amples informations, consultez le AWS CloudTrailAPI Reference.
Envoi d'événements à Amazon CloudWatch LogsCloudTrail prend en charge l'envoi des événements de données et de gestion à CloudWatch Logs.Lorsque vous configurez votre journal de suivi pour envoyer les événements à votre groupe de journauxCloudWatch Logs, CloudTrail envoie uniquement les événements que vous spécifiez dans votre journalde suivi. Par exemple, si vous configurez votre journal de suivi pour qu'il ne consigne que les événementsde gestion, il envoie uniquement ces événements à votre groupe de journaux CloudWatch Logs. Pourplus d’informations, consultez Surveillance des fichiers journaux CloudTrail avec Amazon CloudWatchLogs (p. 167).
Journalisation des événements de données pour lesjournaux de suivi
Par défaut, les journaux de suivi ne consignent pas les événements de données. Des frais supplémentairessont facturés pour les événements de données. Pour en savoir plus, consultez Tarification AWSCloudTrail.
Note
Les événements enregistrés par vos suivis sont disponibles dans Amazon CloudWatch Events.Par exemple, si vous configurez un suivi pour consigner les événements de données pour lesobjets S3, mais pas les événements de gestion, seuls les événements de données sont traitéset enregistrés par votre suivi pour les objets S3 spécifiés. Les événements de données pour cesobjets S3 sont disponibles dans Amazon CloudWatch Events. Pour en savoir plus, consultezEvénements d'appel d'API AWS dans le Guide de l'utilisateur Amazon CloudWatch Events.
Table des matières• Evénements de données (p. 148)
Version 1.0147
AWS CloudTrail Guide de l'utilisateurEvénements de données
• Exemples : Journalisation des événements de données pour les objetsAmazon S3 (p. 153)• Journalisation des événements de données pour les objets S3 dans d'autres
comptesAWS (p. 154)• Événements en lecture seule et en écriture seule (p. 156)• Journalisation des événements avec l'AWS Command Line Interface (p. 156)
• Consigner les événements à l'aide des sélecteurs d'événements de base (p. 157)• Consigner les événements à l'aide des sélecteurs d'événements avancés (p. 158)• Consigner Amazon S3 sur des événements AWS Outposts à l'aide de sélecteurs
d'événements avancés (p. 160)• Journalisation des événements avec l'AWS SDKs (p. 160)• Envoi d'événements à Amazon CloudWatch Logs (p. 160)
Evénements de donnéesLes événements de données fournissent une visibilité sur les opérations de ressource exécutées surou dans une ressource. Ils sont également connus sous le nom d'opérations de plans de données. Lesévénements de données sont souvent des activités dont le volume est élevé.
Les types de données suivants sont enregistrés :
• Activité d'API de niveau objet Amazon S3 (par exemple, opérations d'API GetObject, DeleteObjectet PutObject)
• Activité d'exécution de la fonction AWS Lambda (l'API Invoke)
Les événements de données ne sont pas consignés par défaut lorsque vous créez un journal de suivi. Pourenregistrer les événements de données CloudTrail, vous devez explicitement ajouter les ressources oules types de ressources pour lesquels vous souhaitez collecter l'activité dans un journal de suivi. Pour plusd'informations, consultez Création d'un journal de suivi (p. 76).
Sur un journal de suivi d'une seule région, vous pouvez consigner les événements de données uniquementpour les ressources auxquelles vous pouvez accéder dans cette région. Bien que les compartiments S3soient globaux, les fonctions AWS Lambda sont régionales.
Des frais supplémentaires sont facturés pour la journalisation des événements de données. Pour latarification de CloudTrail, consultez Tarification d'AWS CloudTrail.
Les étapes de journalisation des événements de données varient selon que des sélecteurs d'événementsavancés sont activés ou non sur votre journal de suivi. Utilisez la procédure décrite dans cette section quicorrespond au type de sélecteurs d'événements que vous avez activés sur un journal de suivi.
Journalisation des événements de données avec les sélecteurs d'événements debase dans l'AWS Management Console.
1. Ouvrez la page Trails (Journaux de suivi) de la console CloudTrail et choisissez le nom du journal desuivi.
Note
Bien que vous puissiez modifier un journal de suivi existant pour ajouter la journalisationd'événements de données, comme bonne pratique, envisagez de créer un journal de suividistinct spécifiquement pour la journalisation des événements de données.
2. Pour Data events (Événements de données), choisissez Edit (Modifier).3. Pour les compartiments Amazon S3 :
Version 1.0148
AWS CloudTrail Guide de l'utilisateurEvénements de données
a. Pour Source de l'événement de données, choisissez S3.b. Vous pouvez choisir de consigner All current and future S3 buckets (Tous les compartiments S3
actuels et futurs), ou vous pouvez spécifier des compartiments ou des fonctions individuels. Pardéfaut, les événements de données sont enregistrés pour tous les compartiments S3 actuels etfuturs.
Note
Conservez l'option par défaut All current and future S3 buckets (Tous les compartimentsS3 actuels et futurs) pour activer la journalisation des événements de données pourtous les compartiments actuellement dans votre compte AWS et tous les compartimentsque vous créez après avoir fini de créer le journal de suivi. Cela active également lajournalisation de l'activité des événements de données effectuée par tout utilisateur ourôle dans votre compte AWS, même si cette activité est effectuée sur un compartimentqui appartient à un autre compte AWS.Si vous créez un journal de suivi pour une seule région (en utilisant l'interface de lignede commande AWS), la sélection de l'option Select all S3 buckets in your account(Sélectionner tous les compartiments S3 de votre compte) active la journalisation desévénements de données pour tous les compartiments de la même région que votrejournal de suivi et tous les compartiments que vous créerez ultérieurement dans cetterégion. Il ne consignera pas d'événements de données pour les compartiments AmazonS3 situés dans d'autres régions de votre compte AWS.
c. Si vous conservez la valeur par défaut, choisissez All current and future S3 buckets (Tous lescompartiments S3 actuels et futurs), choisissez de consigner les événements Read (Lecture), lesévénements Write (Écrire) ou les deux.
d. Pour sélectionner des compartiments individuels, videz les cases à cocher Lecture et Écriturepour Tous les compartiments S3 actuels et futurs. Dans Sélection de compartiment individuel,recherchez un compartiment sur lequel enregistrer les événements de données. Pour rechercherdes compartiments spécifiques, tapez un préfixe de compartiment pour le compartiment que voussouhaitez. Vous pouvez sélectionner plusieurs compartiments dans cette fenêtre. ChoisissezAdd bucket (Ajouter un compartiment) pour enregistrer les événements de données pourd'autres compartiments. Choisissez de consigner les événements Read tels que GetObject, lesévénements Write tels que PutObject ou les deux.
Ce paramètre est prioritaire par rapport aux paramètres que vous définissez pour lescompartiments individuels. Par exemple, si vous spécifiez la journalisation des événements Readpour tous les compartiments S3, puis choisissez d'ajouter un compartiment spécifique pour lajournalisation des événements de données, Read est déjà sélectionné pour le compartiment quevous avez ajouté. Vous ne pouvez pas effacer la sélection. Vous pouvez uniquement configurerl'option pour Write.
Pour supprimer un compartiment de la journalisation, choisissez X.4. Pour ajouter un autre type de données sur lequel journaliser les événements de données, choisissez
Add data event type (Ajouter un type d'événement de données).5. Pour les fonctions Lambda :
a. Pour Data event source (Source de l'événement de données), choisissez Lambda.b. Dans Fonction Lambda, choisissez Toutes les régions pour consigner toutes les fonctions ou
LambdaFonction d'entrée en tant qu'ARN pour consigner les événements de données sur unefonction spécifique.
Pour consigner les événements de données de toutes les fonctions Lambda de votre compteAWS, sélectionnez Log all current and future functions (Consigner tous les fonctions actuelleset futures). Ce paramètre est prioritaire par rapport aux paramètres que vous définissez pour lesfonctions individuelles. Toutes les fonctions sont consignées, même si elles ne sont pas toutesaffichées.
Version 1.0149
AWS CloudTrail Guide de l'utilisateurEvénements de données
Note
Si vous créez un journal de suivi pour toutes les régions, cette sélection active lajournalisation des événements de données pour toutes les fonctions se trouvantactuellement dans votre compte AWS et pour toute fonction Lambda que vous êtessusceptible de créer dans n'importe quelle région après avoir fini de créer le journal desuivi. Si vous créez un journal de suivi pour une seule région (effectué à l'aide de l'AWSCLI), cette sélection active la journalisation des événements de données pour toutesles fonctions actuellement dans cette région de votre compte AWS et pour toutes lesfonctions Lambda que vous êtes susceptible de créer dans cette région après avoirfini de créer le journal de suivi. Cela n'active pas la journalisation des événements dedonnées pour les fonctions Lambda créées dans d'autres régions.La journalisation des événements de données pour toutes les fonctions active égalementla journalisation de l'activité des événements de données effectuée par tout utilisateur ourôle dans votre compte AWS, même si cette activité est effectuée sur une fonction quiappartient à un autre compte AWS.
c. Si vous choisissez Input function as ARN (Fonction d'entrée en tant qu'ARN), tapez l'ARN d'unefonction Lambda.
Note
Si vous avez plus de 15 000 fonctions Lambda dans votre compte, vous ne pouvez pasvoir ou sélectionner toutes les fonctions dans la console CloudTrail lors de la créationd'un journal de suivi. Vous pouvez toujours sélectionner l'option de journalisation detoutes les fonctions, même si elles ne sont pas affichées. Si vous souhaitez consigner lesévénements de données de fonctions spécifiques, vous pouvez ajouter manuellementune fonction si vous connaissez son ARN. Vous pouvez également terminer la créationdu journal de suivi dans la console, puis utiliser l'AWS CLI et la commande put-event-selectors afin de configurer la journalisation d'événements de données pour des fonctionsLambda spécifiques. Pour plus d'informations, consultez Gestion des journaux de suiviavec l'AWS CLI (p. 100).
6. Sélectionnez Mettre à jour le suivi.
Journalisation des événements de données avec des sélecteurs d'événementsavancés dans l'AWS Management Console
Dans la AWS Management Console, si vous avez activé des sélecteurs d'événements avancés, vouspouvez choisir parmi des modèles prédéfinis qui consignent tous les événements de données sur uneressource sélectionnée (compartiments Amazon S3 ou fonctions Lambda). Une fois que vous avez choisiun modèle de sélecteur de journal, vous pouvez personnaliser le modèle pour inclure uniquement lesévénements de données que vous souhaitez consulter le plus.
1. Sur les pages Tableau de bord ou Journaux de suivi de la console CloudTrail, choisissez un nom pourl'ouvrir.
2. Sur la page des détails du journal de suivi, dans Data events (Événements de données), choisissezEdit (Modifier).
3. Si vous ne consignez pas déjà les événements de données, cochez la case Data events (Événementsde données).
4. Pour Type d'événement de données, choisissez le type de ressource d'événement de données(compartiments S3, objets S3 sur les fonctions AWS Outposts ou Lambda) que vous souhaitezconsigner.
5. Choisissez un modèle de sélecteur de journal. CloudTrail inclut des modèles prédéfinis qui consignenttous les événements de données pour le type de ressource. Pour créer un modèle de sélecteur dejournal personnalisé, choisissez Custom (Personnalisé).
Version 1.0150
AWS CloudTrail Guide de l'utilisateurEvénements de données
Note
Le choix d'un modèle prédéfini pour les compartiments S3 active la journalisation desévénements de données pour tous les compartiments actuellement dans votre compte AWSet pour tous les compartiments que vous créez une fois que vous avez fini de créer le journalde suivi. Cela active également la journalisation de l'activité des événements de donnéeseffectuée par tout utilisateur ou rôle dans votre compte AWS, même si cette activité esteffectuée sur un compartiment qui appartient à un autre compte AWS.Si le journal de suivi s'applique à une seule région, le choix d'un modèle prédéfini quiconsigne tous les compartiments S3 active la journalisation des événements de donnéespour tous les compartiments de la même région que votre journal de suivi et tous lescompartiments que vous créerez ultérieurement dans cette région. Il ne consignera pasd'événements de données pour les compartiments Amazon S3 situés dans d'autres régionsde votre compte AWS.Si vous créez un journal de suivi pour toutes les régions, le choix d'un modèle prédéfini pourles fonctions Lambda active la journalisation des événements de données pour toutes lesfonctions actuellement dans votre compte AWS et pour toute fonction Lambda que vousêtes susceptible de créer dans n'importe quelle région après avoir fini de créer le journal desuivi. Si vous créez un journal de suivi pour une seule région (effectué à l'aide de l'AWS CLI),cette sélection active la journalisation des événements de données pour toutes les fonctionsactuellement dans cette région de votre compte AWS et pour toutes les fonctions Lambda quevous êtes susceptible de créer dans cette région après avoir fini de créer le journal de suivi.Cela n'active pas la journalisation des événements de données pour les fonctions Lambdacréées dans d'autres régions.La journalisation des événements de données pour toutes les fonctions active également lajournalisation de l'activité des événements de données effectuée par tout utilisateur ou rôledans votre compte AWS, même si cette activité est effectuée sur une fonction qui appartient àun autre compte AWS.
6. Si vous souhaitez appliquer un modèle de sélecteur de journal prédéfini et que vous ne souhaitez pasajouter un autre type de ressource d'événement de données, choisissez Enregistrer les modifications.Vous n'avez pas besoin de suivre le reste de cette procédure. Pour appliquer un modèle de sélecteurde journal personnalisé, passez à l'étape suivante.
7. Pour créer un modèle de sélecteur de journal personnalisé, dans la liste déroulante Log selectortemplate (Modèle de sélecteur de journal), choisissez Custom (Personnalisé).
8. Saisissez un nom pour votre modèle de sélecteur de journal personnalisé.9. Dans Advanced event selectors (Sélecteurs d'événements avancés), créez une expression pour les
compartiments S3 spécifiques, les objets S3 sur AWS Outposts ou les fonctions Lambda sur lesquellesvous souhaitez collecter des événements de données.
a. Choisissez parmi les champs suivants. Pour les champs qui acceptent un tableau (plus d'unevaleur), CloudTrail ajoute un OR entre les valeurs.
• readOnly - readOnly peut être défini sur Égal à une valeur de true ou false. Lesévénements de données en lecture seule sont des événements qui ne modifient pas l'étatd'une ressource, tels que les événements Get* ou Describe*. Les événements d'écritureajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que desévénements Put*, Delete* ou Write*.
• eventName - eventName peut utiliser n'importe quel opérateur. Vous pouvez l'utiliser pourinclure ou exclure n'importe quel événement de données consigné dans CloudTrail, tel quePutBucket ou GetItem. Vous pouvez avoir plusieurs valeurs pour ce champ, séparées pardes virgules.
• resources.type - Ce champ est obligatoire. resources.type peut uniquement utiliserl'opérateur Equals et la valeur peut être l'une des valeurs suivantes : AWS::S3::Object ,AWS::S3Outposts::Object ou AWS::Lambda::Function.
Version 1.0151
AWS CloudTrail Guide de l'utilisateurEvénements de données
• resources.ARN - Vous pouvez utiliser n'importe quel opérateur avec resources.ARN,mais si vous utilisez Equals ou NotEquals, la valeur doit correspondre exactement à l'ARNd'une ressource valide du type que vous avez spécifié dans le modèle en tant que valeur deresources.type. Par exemple, si resources.type est égal à AWS::S3::Object, l'ARN doitêtre dans l'un des formats suivants. La barre oblique de fin est intentionnelle ; ne l'excluez pas.
arn:partition:s3:::bucket_name/arn:partition:s3:::bucket_name/object_or_file_name/
Quand resources.type est égal à AWS::S3Outposts::Object et que l'opérateur est défini surEquals ou NotEquals, l'ARN doit être au format suivant :
arn:partition:s3-outposts:region:account_ID:object_path
Quand resources.type est égal à AWS::Lambda::Function et que l'opérateur est défini surEquals ou NotEquals, l'ARN doit être au format suivant :
arn:partition:lambda:region:account_ID:function:function_name
Pour plus d'informations sur les formats ARN des ressources d'événements de données,consultez Types de ressources définis par Amazon S3 et Types de ressources définis par AWSLambda dans le Guide de l'utilisateur AWS Identity and Access Management.
b. Pour chaque champ, choisissez + Conditions pour ajouter autant de conditions que nécessaire,jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions. Par exemple, pourexclure des événements de données pour deux compartiments S3 des événements de donnéesqui sont consignés sur votre journal de suivi, vous pouvez définir le champ sur resources.ARN,définir l'opérateur pour NotEquals, puis coller dans un ARN de compartiment S3 ou rechercher lescompartiments S3 pour lesquels vous ne souhaitez pas consigner des événements.
Pour ajouter le deuxième compartiment S3, choisissez + Conditions, puis répétez l'instructionprécédente, en collant l'ARN de ou en naviguant pour un autre compartiment.
Note
Vous pouvez avoir 500 valeurs au maximum pour tous les sélecteurs d'un journal desuivi. Cela inclut des tableaux de plusieurs valeurs pour un sélecteur tel que eventName.Si vous avez des valeurs uniques pour tous les sélecteurs, 500 conditions au maximumpeuvent être ajoutées à un sélecteur.Si vous avez plus de 15 000 fonctions Lambda dans votre compte, vous ne pouvez pasvoir ou sélectionner toutes les fonctions dans la console CloudTrail lors de la créationd'un journal de suivi. Vous pouvez toujours consigner toutes les fonctions avec unmodèle de sélecteur prédéfini, même si elles ne sont pas affichées. Si vous souhaitezconsigner les événements de données de fonctions spécifiques, vous pouvez ajoutermanuellement une fonction si vous connaissez son ARN. Vous pouvez égalementterminer la création du journal de suivi dans la console, puis utiliser l'AWS CLI et lacommande put-event-selectors afin de configurer la journalisation d'événements dedonnées pour des fonctions Lambda spécifiques. Pour plus d'informations, consultezGestion des journaux de suivi avec l'AWS CLI (p. 100).
c. Choisissez + Field pour ajouter des champs supplémentaires si nécessaire. Pour éviter leserreurs, ne définissez pas de valeurs en conflit ou en double pour les champs. Par exemple, nespécifiez pas un ARN dans un sélecteur comme égal à une valeur, puis spécifiez que l'ARN n'estpas égal à la même valeur dans un autre sélecteur.
Version 1.0152
AWS CloudTrail Guide de l'utilisateurEvénements de données
d. Enregistrez les modifications apportées à votre modèle de sélecteur personnalisé en choisissantSuivant. Ne choisissez pas un autre modèle de sélecteur de journal, ne quittez pas cette page ouvos sélecteurs personnalisés seront perdus.
10. Pour ajouter un autre type de données sur lequel journaliser les événements de données, choisissezAdd data event type (Ajouter un type d'événement de données). Répétez les étapes 4 à cette étapepour configurer des sélecteurs d'événements avancés pour le type d'événement de données.
11. Une fois que vous avez choisi Suivant, dans Étape 2 : Choisissez des événements de journaux,vérifiez les options de modèle de sélecteur de journaux que vous avez choisies. Choisissez Edit(Modifier) pour revenir en arrière et effectuer des modifications.
12. Une fois que vous avez vérifié vos choix, choisissez Update trail (Mettre à jour le journal de suivi) s'ils'agit d'un journal de suivi existant ou Create trail (Créer un journal de suivi) si vous créez un nouveaujournal de suivi.
Exemples : Journalisation des événements de données pour lesobjetsAmazon S3Journalisation des événements de données pour les objets S3 d'un compartiment S3
L'exemple suivant montre comment la journalisation fonctionne lorsque vous configurez la journalisationde tous les événements de données pour un compartiment S3 nommé bucket-1. Dans cet exemple,l'utilisateur CloudTrail a spécifié un préfixe vide et la possibilité d'enregistrer les deux événements dedonnées Read et Write.
1. Un utilisateur charge un objet sur bucket-1.2. L'opération d'API PutObject est une API au niveau objet Amazon S3. Elle est enregistrée sous
la forme d'un événement de données dans CloudTrail. Puisque l'utilisateur CloudTrail a spécifié uncompartiment S3 avec un préfixe vide, les événements qui se produisent sur un objet du compartimentsont enregistrés. L'événement est traité et enregistré par le suivi.
3. Un autre utilisateur charge un objet sur bucket-2.4. L'opération API PutObject s'est produite sur un objet d'un compartiment S3 qui n'était pas spécifié
dans le journal de suivi. L'événement n'est pas enregistré par le suivi.
Journalisation des événements de données pour des objets S3 spécifiques
L'exemple suivant montre comment la journalisation fonctionne lorsque vous configurez un journal desuivi pour enregistrer les événements d'objets S3 spécifiques. Dans cet exemple, l'utilisateur CloudTraila spécifié un compartiment S3 nommé bucket-3, avec le préfixe my-imageset l'option permettant deconsigner uniquement les événements de données Write.
1. Un utilisateur supprime un objet qui commence par le préfixe my-images dans le compartiment, telque arn:aws:s3:::bucket-3/my-images/example.jpg.
2. L'opération d'API DeleteObject est une API au niveau objet Amazon S3. Elle est enregistréecomme événement de données Write dans CloudTrail. L'événement s'est produit sur un objet quicorrespond au préfixe et au compartiment S3 spécifiés dans le journal de suivi. L'événement est traitéet enregistré par le suivi.
3. Un autre utilisateur supprime un objet avec un préfixe différent dans le compartiment S3, tel quearn:aws:s3:::bucket-3/my-videos/example.avi.
4. L'événement s'est produit sur un objet qui ne correspond pas au préfixe spécifié dans votre journal desuivi. L'événement n'est pas enregistré par le suivi.
5. Un utilisateur appelle l'opération d'API GetObject pour l'objet arn:aws:s3:::bucket-3/my-images/example.jpg.
Version 1.0153
AWS CloudTrail Guide de l'utilisateurEvénements de données
6. L'événement est survenu sur un compartiment et un préfixe spécifiés dans le journal de suivi, maisGetObject est une API de niveau objet Amazon S3 de type lecture. Il est enregistré sous la formed'un événement de données Read dans CloudTrail et le journal de suivi n'est pas configuré pourenregistrer les événements Read. L'événement n'est pas enregistré par le suivi.
Note
Si vous consignez des événements de données pour des compartiments Amazon S3 spécifiques,nous vous déconseillons l'utilisation d'un compartiment Amazon S3 pour lequel vous consignezdes événements de données pour recevoir des fichiers journaux que vous avez spécifiés dansla section des événements de données. L'utilisation du même compartiment Amazon S3 permetà votre journal de suivi d'enregistrer un événement de données chaque fois que les fichiersjournaux sont livrés à votre compartiment Amazon S3. Les fichiers journaux sont composésd'un groupe d'événements transmis à certains intervalles, ce n'est donc pas un rapport 1:1événement-fichier journal. L'événement est consigné dans le fichier journal suivant. Par exemple,lorsque le suivi livre les journaux, l'événement PutObject se produit sur le compartiment S3.Si le compartiment S3 est également spécifié dans la section des événements de données,l'événement PutObject est traité et enregistré par le suivi en tant qu'événement de données.Cette action est un autre événement PutObject, qui est traité et enregistré à nouveau par lesuivi. Pour plus d'informations, consultez Fonctionnement d'un CloudTrail (p. 1).Pour éviter de consigner des événements de données pour le compartiment Amazon S3 danslequel vous recevez des fichiers journaux si vous configurez un journal de suivi pour consignertous les événements de données Amazon S3 dans votre compte AWS, vous pouvez configurerla transmission des fichiers journaux dans un compartiment Amazon S3 appartenant à un autrecompte AWS. Pour plus d'informations, consultez Réception de fichiers journaux CloudTrail deplusieurs comptes (p. 220).
Journalisation des événements de données pour les objets S3dans d'autres comptesAWSLorsque vous configurez votre suivi pour consigner des événements de données, vous pouvez aussispécifier les objets S3 qui appartiennent à d'autres comptes AWS. Lorsqu'un événement se produitsur un objet spécifié, CloudTrail vérifie si l'événement correspond à des suivis dans chaque compte. Sil'événement correspond aux paramètres d'un suivi, il est traité et enregistré par le suivi pour ce compte.Généralement, les appelants d’API et les propriétaires de ressources peuvent recevoir des événements.
Si vous êtes propriétaire d'un objet S3 et que vous le précisez dans votre suivi, les événements quise produisent sur l'objet dans votre compte sont enregistrés par le suivi. Etant donné que vous êtespropriétaire de l'objet, votre suivi enregistre également les événements lorsque d'autres comptes appellentl'objet.
Si vous spécifiez un objet S3 dans votre suivi, et qu'un autre compte est propriétaire de l'objet, seulsles événements qui se produisent sur cet objet dans votre compte sont enregistrés par votre suivi. Lesévénements qui se produisent dans d'autres comptes ne sont pas enregistrés par votre suivi.
Exemple : Journalisation des événements de données pour un objet S3 pour deux comptesAWS
L'exemple suivant montre comment deux comptes AWS configurent CloudTrail de sorte à enregistrer lesévénements pour le même objet S3.
1. Dans votre compte, vous voulez que votre journal de suivi consigne les événements de données pourtous les objets de votre compartiment S3 nommés owner-bucket. Vous configurez le journal de suivien spécifiant le compartiment S3 avec un préfixe d'objet vide.
2. Bob a un compte distinct qui dispose d'un accès au compartiment S3. Il souhaite égalementenregistrer les événements de données pour tous les objets dans le même compartiment S3. Pour sonsuivi, il configure le suivi et spécifie le même compartiment S3 avec un préfixe d'objet vide.
Version 1.0154
AWS CloudTrail Guide de l'utilisateurEvénements de données
3. Bob charge un objet dans le compartiment S3 avec l'opération API PutObject.4. Cet événement s'est produit dans son compte et il correspond aux paramètres pour son suivi.
L'événement est traité et enregistré par le suivi de Bob.5. Puisque vous êtes propriétaire du compartiment S3 et que l'événement correspond aux paramètres
pour votre suivi, ce même événement est également traité et enregistré par votre suivi. Étant donnéqu'il y a maintenant deux copies de l'événement (une enregistrée dans la piste de Bob et uneconnectée dans la vôtre), deux copies de l'événement de données sont facturées par CloudTrail.
6. Vous chargez un objet dans le compartiment S3.7. Cet événement se produit dans votre compte et il correspond aux paramètres pour votre suivi.
L'événement est traité et enregistré par votre suivi.8. Étant donné que l'événement ne s'est pas produit dans le compte de Bob et qu'il ne possède pas le
compartiment S3, la piste de Bob ne consigne pas l'événement. CloudTrail facture une seule copie decet événement de données.
Exemple : Journalisation des événements de données pour tous les compartiments, y compris uncompartiment S3 utilisé par deux comptesAWS
L'exemple suivant montre le comportement de journalisation lorsque Select all S3 buckets in your account(Sélectionner tous les compartiments S3 de votre compte) est activé pour les pistes qui collectent desévénements de données dans un compte AWS.
1. Dans votre compte, vous souhaitez que votre piste consigne les événements de données pour tous lescompartiments S3. Vous configurez le journal de suivi en choisissant les événements Read et Write oules deux pour All current and future S3 buckets dans Data events.
2. Bob dispose d'un compte distinct qui a été autorisé à accéder à un compartiment S3 dans votrecompte. Il veut enregistrer les événements de données pour le compartiment auquel il a accès. Ilconfigure sa piste de manière à obtenir des événements de données pour tous les compartiments S3.
3. Bob charge un objet dans le compartiment S3 avec l'opération API PutObject.4. Cet événement s'est produit dans son compte et il correspond aux paramètres pour son suivi.
L'événement est traité et enregistré par le suivi de Bob.5. Puisque vous êtes propriétaire du compartiment S3 et que l'événement correspond aux paramètres
pour votre suivi, ce même événement est également traité et enregistré par votre suivi. Étant donnéqu'il y a maintenant deux copies de l'événement (une consignée dans le suivi de Bob et une consignéedans la vôtre), CloudTrail facture à chaque compte une copie de l'événement de données.
6. Vous chargez un objet dans le compartiment S3.7. Cet événement se produit dans votre compte et il correspond aux paramètres pour votre suivi.
L'événement est traité et enregistré par votre suivi.8. Étant donné que l'événement ne s'est pas produit dans le compte de Bob et qu'il ne possède pas le
compartiment S3, le suivi de Bob ne consigne pas l'événement. CloudTrail frais pour une seule copiede cet événement de données dans votre compte.
9. Un troisième utilisateur, Mary, a accès au compartiment S3 et exécute une opération GetObjectsur le compartiment. Elle a un suivi configuré pour consigner les événements de données sur tousles compartiments S3 de son compte. Parce qu'elle est l'appelant d’API, CloudTrail enregistre unévénement de données dans son suivi. Bien que Bob ait accès au compartiment, il n'est pas lepropriétaire de la ressource, donc aucun événement n'est enregistré dans son suivi cette fois. En tantque propriétaire de la ressource, vous recevez un événement sur votre suivi au sujet de l'opérationGetObject que Mary a appelée. CloudTrail facture votre compte et le compte de Mary pour chaquecopie de l'événement de données : une dans le suivi de Mary's et une dans le vôtre.
Version 1.0155
AWS CloudTrail Guide de l'utilisateurÉvénements en lecture seule et en écriture seule
Événements en lecture seule et en écriture seuleLorsque vous configurez votre journal de suivi pour consigner les événements de données et de gestion,vous pouvez spécifier si voulez les événements en lecture seule, les événements en écriture seule ou lesdeux.
• Lisez
Les événements Read incluent les opérations d'API qui lisent vos ressources, mais n'y apportent pas demodifications. Par exemple, les événements en lecture seule comprennent les opérations d'API AmazonEC2 DescribeSecurityGroups et DescribeSubnets. Ces opérations renvoient uniquement lesinformations relatives à vos ressources Amazon EC2 et elles ne modifient pas vos configurations.
• Écrire
Les événements Write incluent les opérations d'API qui modifient (ou peuvent modifier) vos ressources.Par exemple, les opérations d'API Amazon EC2 RunInstances et TerminateInstances modifientvos instances.
Exemple : Journalisation des événements de lecture et d'écriture pour des journaux de suividistincts
L'exemple suivant montre comment configurer vos suivis pour fractionner l'activité de journalisation d'uncompte dans des compartiments S3 distincts : un compartiment reçoit les événements en lecture seule, etle second, les événements en écriture seule.
1. Vous créez un suivi et choisissez un compartiment S3 nommé read-only-bucket pour recevoirles fichiers journaux. Ensuite, vous mettez à jour le journal de suivi pour spécifier que vous voulez lesévénements de gestion et de données Read.
2. Vous créez un deuxième suivi et choisissez un compartiment S3 nommé write-only-bucket pourrecevoir les fichiers journaux. Vous mettez ensuite à jour le journal de suivi pour spécifier que voussouhaitez les événements de gestion et de données Write.
3. Les opérations d'API Amazon EC2 DescribeInstances et TerminateInstances sont effectuéesdans votre compte.
4. L'opération d'API DescribeInstances est un événement en lecture seule et elle correspond auxparamètres du premier suivi. L'événement est enregistré et livré au read-only-bucket par le suivi.
5. L'opération d'API TerminateInstances est un événement en écriture seule et elle correspond auxparamètres du deuxième suivi. L'événement est enregistré et livré au write-only-bucket par lesuivi.
Journalisation des événements avec l'AWS CommandLine InterfaceVous pouvez configurer vos suivis pour consigner les événements de gestion et de données à l'aide del'AWS CLI. Pour voir si votre journal de suivi consigne les événements de gestion et de données, exécutezla commande get-event-selectors.
Note
Sachez que si votre compte consigne plusieurs copies d'événements de gestion, des frais vousseront facturés. Il y a toujours des frais pour la journalisation des événements de données. Pourplus d'informations, consultez Tarification AWS CloudTrail.
aws cloudtrail get-event-selectors --trail-name TrailName
Version 1.0156
AWS CloudTrail Guide de l'utilisateurJournalisation des événements avec
l'AWS Command Line Interface
La commande renvoie les paramètres par défaut d'un journal de suivi.
Rubriques• Consigner les événements à l'aide des sélecteurs d'événements de base (p. 157)• Consigner les événements à l'aide des sélecteurs d'événements avancés (p. 158)• Consigner Amazon S3 sur des événements AWS Outposts à l'aide de sélecteurs d'événements
avancés (p. 160)
Consigner les événements à l'aide des sélecteurs d'événementsde baseVoici un exemple de résultat de la commande get-event-selectors affichant les sélecteurs d'événementsde base. Par défaut, lorsque vous créez un journal de suivi à l'aide de l'AWS CLI, il consigne tous lesévénements de gestion. Par défaut, les journaux de suivi ne consignent pas les événements de données.
{ "EventSelectors": [ { "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}
Pour configurer votre suivi pour consigner les événements de gestion et de données, exécutez lacommande put-event-selectors.
L'exemple suivant montre comment utiliser les sélecteurs d'événements de base pour configurer votrejournal de suivi afin d'inclure tous les événements de gestion et de données pour deux objets S3. Vouspouvez spécifier de 1 à 5 sélecteurs d'événements pour un journal de suivi. Vous pouvez spécifier de 1 à250 ressources de données pour un journal de suivi.
Note
Le nombre maximal de ressources de données S3 est de 250, si vous choisissez de limiter lesévénements de données à l'aide des sélecteurs d'événements de base.
aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2"] }] }]'
La commande renvoie les sélecteurs d'événements configurés pour le journal de suivi.
{ "EventSelectors": [ { "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2", ],
Version 1.0157
AWS CloudTrail Guide de l'utilisateurJournalisation des événements avec
l'AWS Command Line Interface
"Type": "AWS::S3::Object" } ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}
Consigner les événements à l'aide des sélecteurs d'événementsavancésSi vous avez choisi d'utiliser des sélecteurs d'événements avancés, la commande get-event-selectorsrenvoie des résultats similaires à ce qui suit. Par défaut, aucun sélecteur d'événements avancé n'estconfiguré pour un journal de suivi.
{ "AdvancedEventSelectors": [], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}
L'exemple suivant montre comment utiliser des sélecteurs d'événements avancés pour consignertous les événements de gestion (readOnly et writeOnly) et inclure les événements PutObject etDeleteObject pour les objets S3 dans les deux mêmes préfixes de compartiment S3. Comme illustré ici,vous pouvez utiliser des sélecteurs d'événements avancés pour sélectionner non seulement les noms depréfixe S3 par ARN, mais aussi les noms des événements spécifiques que vous souhaitez consigner. Vouspouvez ajouter jusqu'à 500 conditions aux sélecteurs d'événements avancés par journal de suivi, y compristoutes les valeurs du sélecteur. Vous pouvez spécifier de 1 à 250 ressources de données pour un journalde suivi.
aws cloudtrail put-event-selectors --trail-name TrailName \--advanced-event-selectors '[ { "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "readOnly", "Equals": ["false"] }, { "Field": "eventCategory", "Equals": ["Management"] } ] }, { "Name": "Log PutObject and DeleteObject events for two S3 prefixes", "FieldSelectors": [ { "Field": "readOnly", "Equals": ["false"] }, { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3::Object"] }, { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] }, { "Field": "resources.ARN", "Equals": ["arn:aws:s3:::mybucket/prefix","arn:aws:s3:::mybucket2/prefix2"] } ] }]'
Le résultat affiche les sélecteurs d'événements avancés configurés pour le journal de suivi.
{ "AdvancedEventSelectors": [
Version 1.0158
AWS CloudTrail Guide de l'utilisateurJournalisation des événements avec
l'AWS Command Line Interface
{ "Name": "Log readOnly and writeOnly management events", "FieldSelectors": [ { "Field": "readOnly", "Equals": [ false ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "eventCategory", "Equals": [ "Management" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] } ] }, { "Name": "Log PutObject and DeleteObject events for two S3 prefixes", "FieldSelectors": [ { "Field": "readOnly", "Equals": [ false ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "eventCategory", "Equals": [ "Data" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "resources.type", "Equals": [ "AWS::S3::Object" ], "StartsWith": [], "EndsWith": [], "NotEquals": [], "NotStartsWith": [], "NotEndsWith": [] }, { "Field": "resources.ARN", "Equals": [], "StartsWith": [], "EndsWith": [], "Equals": [ "arn:aws:s3:::mybucket/prefix","arn:aws:s3:::mybucket2/prefix2" ], "NotStartsWith": [], "NotEndsWith": [] } ] } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
Version 1.0159
AWS CloudTrail Guide de l'utilisateurJournalisation des événements avec l'AWS SDKs
}
Consigner Amazon S3 sur des événements AWS Outposts àl'aide de sélecteurs d'événements avancésL'exemple suivant montre comment configurer votre journal de suivi pour inclure tous les événementsde données pour tous les objets Amazon S3 sur Outposts dans votre Outpost. Dans cette version, lavaleur prise en charge pour les événements S3 sur Outposts pour le champ resources.type estAWS::S3Outposts::Object.
aws cloudtrail put-event-selectors --trail-name TrailName --region region \--advanced-event-selectors \'[ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": ["Data"] }, { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] } ] }]'
La commande renvoie l'exemple de sortie suivant.
{ "AdvancedEventSelectors": [ { "Name": "OutpostsEventSelector", "FieldSelectors": [ { "Field": "eventCategory", "Equals": [ "Data" ] }, { "Field": "resources.type", "Equals": [ "AWS::S3Outposts::Object" ] } ] } ], "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName"}
Journalisation des événements avec l'AWS SDKsExécutez l'opération GetEventSelectors pour voir si votre journal de suivi consigne les événementsde données pour un journal de suivi. Vous pouvez configurer vos journaux de suivi pour consigner lesévénements de données en exécutant l'opération PutEventSelectors. Pour de plus amples informations,veuillez consulter AWS CloudTrail API Reference.
Envoi d'événements à Amazon CloudWatch LogsCloudTrail prend en charge l'envoi d'événements de données vers CloudWatch Logs. Lorsque vousconfigurez votre journal de suivi pour envoyer les événements à votre groupe de journaux CloudWatch
Version 1.0160
AWS CloudTrail Guide de l'utilisateurJournalisation des événements
Insights pour les journaux de suivi
Logs, CloudTrail envoie uniquement les événements que vous spécifiez dans votre journal de suivi.Par exemple, si vous configurez votre journal de suivi pour qu'il ne consigne que les événements dedonnées, il envoie uniquement ces événements à votre groupe de journaux CloudWatch Logs. Pourplus d'informations, consultez Surveillance des fichiers journaux CloudTrail avec Amazon CloudWatchLogs (p. 167).
Journalisation des événements Insights pour lesjournaux de suivi
AWS CloudTrail Insights aide les utilisateurs AWS à identifier les activités inhabituelles associées auxappels d'API write et à y répondre en analysant continuellement les événements de gestion CloudTrail.
Les Insights events sont enregistrés lorsque CloudTrail détecte une activité inhabituelle de l’API degestion write dans votre compte. Si CloudTrail Insights est activé et que CloudTrail détecte une activitéinhabituelle, les Insights events sont livrés au compartiment S3 de destination pour votre journal de suivi.Vous pouvez également voir le type d'aperçu et la période d'incident lorsque vous affichez les Insightsevents sur la console CloudTrail. Contrairement à d'autres types d'événements capturés dans un journalde suivi CloudTrail, les Insights events sont enregistrés uniquement lorsque CloudTrail détecte deschangements dans l'utilisation de l'API de votre compte qui diffèrent de manière significative des modèlesd'utilisation typiques du compte.
CloudTrail Insights surveille en continu les événements de gestion write CloudTrail et utilise des modèlesmathématiques pour déterminer les niveaux normaux d'activité d'API et d'événements de service pourun compte. CloudTrail Insights identifie un comportement qui diffère des modèles normaux, génère desInsights events, et transmet ces événements à un dossier /CloudTrail-Insight dans le compartimentS3 de destination choisi pour votre journal de suivi. Vous pouvez également accéder et afficher desInsights events dans l’AWS Management Console pour CloudTrail. Pour plus d'informations sur l'accèset l'affichage des Insights events dans la console et à l'aide de l’AWS CLI, consultez Affichage desévénements CloudTrail Insights (p. 60) dans ce guide.
Par défaut, les journaux de suivi consignent tous les événements de gestion et n'incluent pas lesévénements de données ou les Insights events. Des frais supplémentaires sont facturés pour lesévénements de données et les Insights events. Pour en savoir plus, consultez Tarification AWS CloudTrail.
Lorsqu'un événement se produit dans votre compte, CloudTrail vérifie si l'événement correspond auxparamètres de vos suivis. Seuls les événements qui correspondent à vos paramètres de suivi sont livrés àvotre compartiment Amazon S3 et au groupe de journaux Amazon CloudWatch Logs.
Table des matières• Présentation d’Insights (p. 162)
• Colonne de filtre (p. 162)• Onglet de graphe Insights (p. 162)• AttributionsOnglet (p. 163)• Onglet CloudTrail des événements (p. 164)• Onglet d'enregistrement d'événement Insights (p. 164)
• Journalisation des événements Insights avec l'AWS Management Console (p. 164)• Journalisation d’événements Insights avec l’AWS Command Line Interface (p. 165)• Journalisation des événements avec l'AWSSDKs (p. 166)• Envoi d'événements à Amazon CloudWatch Logs (p. 166)
Version 1.0161
AWS CloudTrail Guide de l'utilisateurPrésentation d’Insights
Présentation d’InsightsCloudTrail Insightspeut vous aider à détecter une activité d'API inhabituelle dans votre AWS compte engénérant des mesures Insights events sur vos modèles normaux de volume d'appels d'API, égalementappelé CloudTrail Insights la référence, et génère lorsque le volume est en dehors des modèles normaux.Insights events sont générés pour la Insights events gestionwrite.APIs
Lorsque vous avez activé CloudTrail Insights pour la première fois sur un journal de suivi, CloudTrail peutnécessiter jusqu’à 36 heures avant de livrer le premier événement Insights, si une activité inhabituelle estdétectée. CloudTrail Insights analyse les événements de gestion d'écriture qui se produisent dans uneseule région, et non globalement. Un événement CloudTrail Insights est généré dans la même région queses événements de gestion connexes.
L'image suivante présente un exemple de Insights events. Vous ouvrez les pages de détails d'unévénement Insights en choisissant un nom d'événement Insights dans les pages Dashboard (Tableau debord) ou Insights.
Si vous désactivez CloudTrail Insights sur un journal de suivi, ou que vous stoppez la journalisation dansun journal de suivi (ce qui désactive CloudTrail Insights), il se peut que des Insights events soient stockésdans votre compartiment S3 de destination ou affichés sur la page Insights de la console (à la date oùInsights était activé).
Colonne de filtre
La colonne de gauche répertorie les Insights events qui sont liés à l'API objet et qui ont le même typed'événement Insights. La colonne vous permet de choisir l'événement Insights sur lequel vous souhaitezplus d'informations. Lorsque vous choisissez un événement dans cette colonne, l'événement est mis enévidence dans le graphique de l'onglet de graphique Insights. Par défaut, CloudTrail applique un filtre quilimite les événements affichés sur l'onglet CloudTrail des événements à ceux concernant l'API spécifiquequi a été appelée pendant la période d'activité inhabituelle qui a déclenché l'événement Insights. Pourafficher tous les CloudTrail événements appelés pendant la période d'activité inhabituelle, y compris lesévénements non liés à l'événement Insights, désactivez le filtre.
Onglet de graphe InsightsSur l'onglet du graphique Insights, la page des détails d'un événement Insights affiche un graphique duvolume d'appels d'une API qui s'est produit sur une période de temps avant et après qu'un ou plusieursvolumes Insights events soient consignés. Dans le graphique, les Insights events sont mis en surbrillanceavec des barres verticales, la largeur de la barre indiquant l'heure de début et de fin de l'événementInsights.
Dans cet exemple, une bande verticale de mise en surbrillance indique des nombres inhabituels d'appelsd'API DeleteAlarms Amazon CloudWatch dans un compte. Dans la zone en surbrillance, comme lenombre d'DeleteAlarmsappels est supérieur à la moyenne de référence du compte de 0,05 appels parminute, a CloudTrail enregistré un événement Insights lorsqu'il a détecté l'activité inhabituelle. L'événementInsights a enregistré jusqu'à 3 DeleteAlarms appels vers 11 h 20 Il s'agit d'environ trois appels de plusà cette API par minute que prévu pour le compte. Dans cet exemple, la période du graphique est de troisheures : 9 h 50 le 5 août 2020 à 12 h 50 le 5 août 2020 (heure d’été du Pacifique). Cet événement a uneheure de début à 11 h 20 le 5 août 2020, et une heure de fin une minute plus tard.
La référence est calculée sur les sept jours qui précèdent le début d'un événement Insights. Même sila valeur de la durée de référence — (période qui CloudTrail mesure l'activité normale sur APIs — estd'environ sept jours), CloudTrail arrondit la durée de référence à un jour entier, de sorte que la durée deréférence exacte peut varier.
Version 1.0162
AWS CloudTrail Guide de l'utilisateurPrésentation d’Insights
AttributionsOngletL'onglet Attributions affiche les informations suivantes sur un événement Insights.
• Top user identity ARNs – Ce tableau affiche jusqu'aux cinq principaux AWS utilisateurs ou IAM rôles(identités d'utilisateur) qui ont contribué aux appels d'API au cours de l'activité inhabituelle et despériodes de référence, par ordre décroissant en fonction du nombre moyen d'appels d'API qui ontcontribué. Le pourcentage des moyennes sous la forme d'un total de l'activité qui a contribué à l'activitéinhabituelle est affiché entre parenthèses. Si plus de cinq identités d'utilisateur ARNs ont contribué àl'activité inhabituelle, leur activité est additionnée dans une autre ligne.
Version 1.0163
AWS CloudTrail Guide de l'utilisateurJournalisation des événements Insights
avec l'AWS Management Console
• Principaux agents utilisateurs – Ce tableau affiche jusqu'aux cinq principaux AWS outils par lesquelsl'identité d'utilisateur a contribué aux appels d'API au cours de l'activité inhabituelle et des périodesde référence, par ordre décroissant en fonction du nombre moyen d'appels d'API apportés. Ces outilsincluent AWS Management Console, ou l' AWS CLI AWS .SDKs Par exemple, un agent utilisateurnommé ec2.amazonaws.com indique que la Amazon EC2 console faisait partie des outils utiliséspour appeler l'API. Le pourcentage des moyennes sous la forme d'un total de l'activité qui a contribuéà l'activité inhabituelle est affiché entre parenthèses. Si plus de cinq agents utilisateurs ont contribué àl'activité inhabituelle, leur activité est additionnée dans une autre ligne.
• Top error codes – Ce tableau affiche jusqu'aux cinq principaux codes d'erreur qui se sont produits surles appels d'API au cours de l'activité inhabituelle et des périodes de référence, par ordre décroissant, duplus grand nombre d'appels d'API au plus petit. Le pourcentage des moyennes sous la forme d'un totalde l'activité qui a contribué à l'activité inhabituelle est affiché entre parenthèses. Si plus de cinq codesd'erreur se sont produits au cours de l'activité inhabituelle ou de base, leur activité est additionnée dansune autre ligne.
Une valeur correspondant None à l'une des cinq valeurs de code d'erreur principales signifie qu'unpourcentage important des appels qui ont contribué à l'événement Insights n'a pas entraîné d'erreurs. Sila valeur du code d'erreur est None , et qu'il n'y a pas d'autres codes d'erreur dans la table, les valeursdes colonnes Insight moyenne et Baseline moyenne sont les mêmes que celles de l'événementInsights global. Vous pouvez également voir les valeurs affichées dans la légende moyenne etmoyenne de référence dans l'onglet du graphique Insights, sous les appels d'API par minute.
Onglet CloudTrail des événementsDans l'onglet CloudTrail events (Événements CloudTrail), affichez les événements associés analyséspar CloudTrail pour déterminer si une activité inhabituelle s'est produite. Par défaut, un filtre est déjàappliqué pour le nom de l'événement Insights, qui est également le nom de l'API associée. Pour affichertous les CloudTrail événements enregistrés pendant la période d'activité inhabituelle, désactivez Afficher uniquement les événements pour l'événement Insights sélectionné. L'onglet CloudTrail events(Événements CoudTrail) affiche les événements de gestion CloudTrail liés à l'API objet qui se sont produitsentre l'heure de début et de fin de l'événement Insights. Ces événements vous aident à effectuer uneanalyse plus approfondie afin de déterminer la cause probable d'un événement Insights et les raisons del'activité inhabituelle de l'API.
Onglet d'enregistrement d'événement InsightsComme tout CloudTrail événement , un événement CloudTrail Insights est un enregistrement auformat JSON. L'onglet d'enregistrement d'événement Insights affiche la structure JSON et le contenudes événements de début et de fin Insights, parfois appelés charge utile d'événement. Pour plusd'informations sur les champs et le contenu de l'enregistrement d'événement Insights, consultezChamps d'enregistrement d'événement Insights (p. 320) et CloudTrailÉlément insightDetailsInsights (p. 327) dans ce guide.
Journalisation des événements Insights avec l'AWSManagement ConsolePermet d'activer CloudTrail Insights events sur un journal de suivi existant. Par défaut, n'Insights eventsestpas activé.
1. Dans le volet de navigation de gauche de la CloudTrail console , ouvrez la page des journaux de suiviet choisissez un nom de journal de suivi.
2. Dans les événements Insights, choisissez Edit (Modifier).
Version 1.0164
AWS CloudTrail Guide de l'utilisateurJournalisation d’événements Insightsavec l’AWS Command Line Interface
Note
Des frais supplémentaires s'appliquent pour la journalisation des événements Insights. Pour latarification de CloudTrail, consultez Tarification d'AWS CloudTrail.
3. Dans Type d'événement, sélectionnez des événements Insights. Vous devez journaliser lesévénements de gestion d'écriture pour journaliser les événements Insights.
4. Pour enregistrer vos modifications, choisissez Update trail (Mettre à jour le suivi).
Prévoyez jusqu'à 36 heures avant que CloudTrail fournisse les premiers Insights events, si une activitéinhabituelle est détectée.
Journalisation d’événements Insights avec l’AWSCommand Line InterfaceVous pouvez configurer vos journaux de suivi pour consigner des Insights events à l'aide de l’AWS CLI.
Pour vérifier si votre journal de suivi consigne les Insights events, exécutez la commande get-insight-selectors.
aws cloudtrail get-insight-selectors --trail-name TrailName
Le résultat suivant présente les paramètres par défaut pour un journal de suivi. Par défaut, les journaux desuivi ne consignent pas les Insights events. La valeur d’attribut InsightType est vide et aucun sélecteurd'événement Insight n'est spécifié, car la collecte des événements Insights n'est pas activée.
{ "InsightSelectors": [ { "InsightType": "" } ], "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"}
Pour configurer votre journal de suivi afin qu’il consigne les Insights events, exécutez la commande put-insight-selectors. L'exemple suivant montre comment configurer votre journal de suivi pour inclureles Insights events. Dans cette version, le seul sélecteur Insights est ApiCallRateInsight.
aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight"}]'
Le résultat suivant montre le sélecteur d'événements Insights configuré pour le journal de suivi.
{ "InsightSelectors": [ { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"}
Version 1.0165
AWS CloudTrail Guide de l'utilisateurJournalisation des événements avec l'AWSSDKs
Journalisation des événements avec l'AWSSDKsExécutez l'GetInsightSelectorsopération pour voir si votre journal de suivi consigne un journal desuivi.Insights events Vous pouvez configurer vos journaux de suivi pour consigner Insights events avecl'PutInsightSelectorsopération. Pour de plus amples informations, consultez le AWS CloudTrail APIReference.
Envoi d'événements à Amazon CloudWatch LogsCloudTrail prend en charge l'envoi des Insights events vers CloudWatch Logs. Lorsque vous configurezvotre journal de suivi pour envoyer des Insights events à votre groupe de journaux CloudWatch Logs,CloudTrail Insights envoie uniquement les événements que vous spécifiez dans votre journal de suivi.Par exemple, si vous configurez votre journal de suivi de manière à ce qu’il consigne les événements degestion et les Insights events, votre journal de suivi fournit les événements de gestion et les Insights eventsà votre groupe de journaux CloudWatch Logs. Pour configurer CloudWatch Events avec la console ou l’APICloudWatch, choisissez le type d'événement AWS Insight via CloudTrail sur la page Create rule(Créer une règle) de la console CloudWatch. Pour plus d’informations, consultez Surveillance des fichiersjournaux CloudTrail avec Amazon CloudWatch Logs (p. 167).
Réception de fichiers journaux CloudTrail deplusieurs régions
Vous pouvez configurer CloudTrail de sorte à livrer les fichiers journaux provenant de plusieurs régionsdans un seul compartiment S3 pour un seul compte. Par exemple, vous avez un suivi dans la RégionUSA Ouest (Oregon) qui est configuré pour livrer les fichiers journaux dans un compartiment S3 et ungroupe de journaux CloudWatch Logs. Lorsque vous modifiez un journal de suivi d'une seule région pourconsigner toutes les régions, CloudTrail consigne les événements de toutes les régions dans votre compte.CloudTrail livre les fichiers journaux dans le même compartiment S3 et groupe de CloudWatch Logsjournaux. Tant que le service CloudTrail dispose d'autorisations pour écrire dans un compartiment S3, lecompartiment pour un journal de suivi sur plusieurs régions ne doit pas nécessairement se trouver dans larégion d'origine du journal de suivi.
Dans la console, par défaut, vous créez un journal de suivi qui consigne les événements dans toutes lesrégions.AWS Il s'agit d'une bonne pratique recommandée. Pour enregistrer des événements dans uneseule région (non recommandé), utilisez l' AWS CLI (p. 97) . Pour configurer un journal de suivi d'uneseule région existant afin qu'il se connecte dans toutes les régions, vous devez utiliser l' AWS CLI .
Pour modifier un journal de suivi existant afin qu'il s'applique à toutes les régions, ajoutez l'--is-multi-region-trailoption à la update-trail (p. 98) commande.
aws cloudtrail update-trail --name my-trail --is-multi-region-trail
Afin de confirmer que le journal de suivi s'applique maintenant à toutes les régions, l'élémentIsMultiRegionTrail dans le résultat affiche true.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"
Version 1.0166
AWS CloudTrail Guide de l'utilisateurSurveillance des fichiers journaux
CloudTrail avec Amazon CloudWatch Logs
}
Note
Lors du lancement d'une nouvelle région dans la partition aws, CloudTrail crée automatiquementun suivi dans la nouvelle région avec les mêmes paramètres que votre suivi d'origine.
Pour en savoir plus, consultez les ressources suivantes :
• Comment CloudTrail se comporte-t-il à l'échelle régionale et à l'échelle mondiale ? (p. 10)• CloudTrail FAQs
Surveillance des fichiers journaux CloudTrail avecAmazon CloudWatch Logs
Vous pouvez configurer CloudTrail avec CloudWatch Logs afin de surveiller vos journaux de suivi et derecevoir une notification lorsqu'une activité spécifique a lieu.
1. Configurez votre journal de suivi pour envoyer des événements de journaux à CloudWatch Logs.2. Définissez des filtres de métrique CloudWatch Logs pour évaluer les événements de journaux et
rechercher des correspondances de termes, d'expressions ou de valeurs. Par exemple, vous pouvezcontrôler les événements ConsoleLogin.
3. Affectez des métriques CloudWatch aux filtres de métrique.4. Créez des alarmes CloudWatch qui sont déclenchées en fonction des seuils et périodes que vous
spécifiez. Vous pouvez configurer des alarmes pour envoyer des notifications lorsqu'elles sontdéclenchées, de manière à ce que vous puissiez agir.
5. Vous pouvez également configurer CloudWatch pour effectuer automatiquement une action enréponse à une alarme.
La tarification standard pour Amazon CloudWatch et Amazon CloudWatch Logs s'applique. Pour de plusamples informations, veuillez consulter Tarification Amazon CloudWatch.
Pour plus d'informations sur les régions dans lesquelles vous pouvez configurer vos suivis pour envoyerdes journaux à CloudWatch Logs, veuillez consulter Régions et quotas Amazon CloudWatch Logs dans laréférenceAWS générale.
La région AWS GovCloud (USA Ouest) nécessite un compte distinct. Pour plus d’informations, consultezAWS GovCloud (USA Ouest).
Rubriques• Envoi d'événements à CloudWatch Logs (p. 168)• Création d'alarmes CloudWatch avec un modèle AWS CloudFormation (p. 173)• Création d'CloudWatchalarmes pour les CloudTrail événements : Exemples (p. 184)• Création d'CloudWatchalarmes pour les CloudTrail événements : Exemples supplémentaires (p. 208)• Configuration de notifications pour les alarmes CloudWatch Logs (p. 217)• Empêcher CloudTrail d'envoyer des événements à CloudWatch Logs (p. 217)• Convention de dénomination CloudWatch de groupe de journaux et de flux de journaux pour
CloudTrail (p. 218)• Document de stratégie de rôle pour que CloudTrail utilise CloudWatch Logs pour la
surveillance (p. 218)
Version 1.0167
AWS CloudTrail Guide de l'utilisateurEnvoi d'événements à CloudWatch Logs
Envoi d'événements à CloudWatch LogsLorsque vous configurez votre journal de suivi pour envoyer les événements à CloudWatch Logs,CloudTrail envoie uniquement les événements qui correspondent aux paramètres de votre journal de suivi.Par exemple, si vous configurez votre journal de suivi pour journaliser uniquement les événements dedonnées, il envoie uniquement ces événements à votre groupe de journaux CloudWatch Logs. CloudTrailprend en charge l'envoi des événements de données, Insights et de gestion à CloudWatch Logs. Pour plusd'informations, consultez Utilisation des fichiers journaux CloudTrail (p. 140).
Pour envoyer des événements à un groupe de journaux CloudWatch Logs :
• Vérifiez que vous disposez des autorisations suffisantes pour créer ou spécifier un rôle IAM. Pour plusd'informations, consultez Accorder les autorisations d'afficher et de configurer des informations AmazonCloudWatch Logs sur la console CloudTrail (p. 283).
• Créez un journal de suivi ou sélectionnez un journal de suivi existant. Pour plus d'informations, consultezCréation et mise à jour d'un journal de suivi avec la console (p. 75).
• Créez un groupe de journaux ou indiquez-en un existant.• Spécifiez un rôle IAM. Si vous modifiez un rôle IAM existant pour un journal de suivi d'organisation suivi,
vous devez mettre à jour manuellement la stratégie de façon à autoriser la journalisation du suivi del'organisation. Pour plus d'informations, consultez cet exemple de stratégie (p. 171) et Création d'unjournal de suivi pour une organisation (p. 116).
• Attachez une stratégie de rôle ou utilisez la stratégie par défaut.
Table des matières• Configuration de la surveillance CloudWatch Logs à l'aide de la console (p. 168)
• Création d'un groupe de journaux ou spécification d'un groupe de journaux existant (p. 168)• Spécification d'un rôle IAM (p. 169)• Affichage des événements dans la console CloudWatch (p. 169)
• Configuration de la surveillance CloudWatch Logs à l'aide de l'AWS CLI (p. 170)• Création d'un groupe de journaux (p. 170)• Création d'un rôle (p. 170)• Création d'un document de stratégie (p. 171)• Mise à jour du suivi (p. 172)
• Limitation (p. 172)
Configuration de la surveillance CloudWatch Logs à l'aide de laconsoleVous pouvez utiliser la AWS Management Console pour configurer votre journal de suivi afin qu'il envoieles événements à CloudWatch Logs à des fins de surveillance.
Création d'un groupe de journaux ou spécification d'un groupe de journauxexistantCloudTrail utilise un groupe de journaux CloudWatch Logs comme point de terminaison de livraison pourles événements de journaux. Vous pouvez créer un groupe de journaux ou spécifier un groupe existant.
Pour créer ou spécifier un groupe de journaux
1. Vérifiez que vous êtes connecté à un utilisateur IAM administratif ou un rôle avec des autorisationssuffisantes pour configurer l'intégration de CloudWatch Logs. Pour plus d'informations, consultez
Version 1.0168
AWS CloudTrail Guide de l'utilisateurEnvoi d'événements à CloudWatch Logs
Accorder les autorisations d'afficher et de configurer des informations Amazon CloudWatch Logs sur laconsole CloudTrail (p. 283).
2. Ouvrez la console CloudTrail à l'adresse https://console.aws.amazon.com/cloudtrail/.3. Choisissez le nom du suivi. Si vous sélectionnez un suivi qui s'applique à toutes les régions, vous
serez redirigé vers la région où la piste a été créée. Vous pouvez créer un groupe de journaux ouchoisir un groupe de journaux existant dans la même région que le suivi.
Note
Un journal de suivi qui s'applique à toutes les régions envoie les fichiers journaux de toutesles régions au groupe de journaux CloudWatch Logs que vous spécifiez.
4. Sous CloudWatch Logs, choisissez Configure (Configurer).5. Dans New or existing log group, tapez le nom du groupe de journaux, puis choisissez Continue. Pour
plus d'informations, consultez Convention de dénomination CloudWatch de groupe de journaux et deflux de journaux pour CloudTrail (p. 218).
6. Pour le rôle IAM, choisissez un rôle existant ou créez-en un. Si vous créez un rôle IAM, saisissez unnom de rôle.
7. Choisissez Allow (Autoriser) pour accorder des autorisations CloudTrail pour créer un flux de journauxCloudWatch Logs et livrer des événements.
Spécification d'un rôle IAM
Vous pouvez spécifier un rôle à endosser par CloudTrail pour livrer les événements au flux de journaux.
Pour spécifier un rôle
1. Par défaut, le CloudTrail_CloudWatchLogs_Role est spécifié pour vous. La stratégie de rôle pardéfaut dispose des autorisations requises pour créer un flux de journaux CloudWatch Logs dans ungroupe de journaux que vous spécifiez et pour transmettre les événements CloudTrail à ce flux dejournaux.
Note
Si vous souhaitez utiliser ce rôle pour un groupe de journaux d'un journal de suivid'organisation, vous devez modifier manuellement la stratégie après la création du rôle. Pourplus d'informations, consultez cet exemple de stratégie (p. 171) et Création d'un journal desuivi pour une organisation (p. 116).
a. Pour vérifier le rôle, accédez à la console AWS Identity and Access Management à l'adressehttps://console.aws.amazon.com/iam/.
b. Choisissez Rôles, puis choisissez le rôle _CloudWatchLogs_RoleCloudTrail.c. Pour afficher le contenu de la stratégie de rôle, sélectionnez View Policy Document.
2. Vous pouvez spécifier un autre rôle, mais vous devez attacher la stratégie de rôle requise au rôleexistant si vous souhaitez l'utiliser pour envoyer des événements à CloudWatch Logs. Pour plusd'informations, consultez Document de stratégie de rôle pour que CloudTrail utilise CloudWatch Logspour la surveillance (p. 218).
Affichage des événements dans la console CloudWatch
Une fois que vous avez configuré votre journal de suivi pour envoyer des événements à votre groupe dejournaux CloudWatch Logs, vous pouvez afficher les événements dans la console CloudWatch. CloudTrailtransmet généralement les événements à votre groupe de journaux dans les 15 minutes suivant un appeld'API.
Version 1.0169
AWS CloudTrail Guide de l'utilisateurEnvoi d'événements à CloudWatch Logs
Pour afficher les événements dans la console CloudWatch
1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Choisissez Journaux.3. Choisissez le groupe de journaux que vous avez spécifié pour votre journal de suivi.4. Choisissez le nom du flux de journaux.5. Pour afficher les détails de l'événement consigné par votre journal de suivi, choisissez un événement.
Note
La colonne Heure (UTC) de la console CloudWatch indique quand l'événement a été transmis àvotre groupe de journaux. Pour connaître l'heure exacte à laquelle l'événement a été consigné parCloudTrail, consultez le champ eventTime.
Configuration de la surveillance CloudWatch Logs à l'aide del'AWS CLIVous pouvez utiliser l'AWS CLI pour configurer CloudTrail pour qu'il envoie des événements à CloudWatchLogs à des fins de surveillance.
Création d'un groupe de journaux
1. Si vous ne possédez pas déjà un groupe de journaux, créez un groupe de journaux CloudWatchLogs comme point de terminaison de livraison des événements de journaux à l'aide de la commandeCloudWatch Logs create-log-group.
aws logs create-log-group --log-group-name name
L'exemple suivant crée un groupe de journaux nommé CloudTrail/logs :
aws logs create-log-group --log-group-name CloudTrail/logs
2. Récupérez l'Amazon Resource Name (ARN) du groupe de journaux.
aws logs describe-log-groups
Création d'un rôle
Créez un rôle pour CloudTrail qui lui permet d'envoyer des événements au groupe de journaux CloudWatchLogs. La commande IAM create-role prend deux paramètres : un nom de rôle et un chemin d'accèsvers un document de stratégie d'endossement de rôle au format JSON. Le document de stratégie que vousutilisez accorde les autorisations AssumeRole à CloudTrail. La commande create-role crée le rôleavec les autorisations requises.
Pour créer le fichier JSON qui contiendra le document de stratégie, ouvrez un éditeurde texte et enregistrez le contenu de la stratégie suivante dans un fichier nomméassume_role_policy_document.json.
{ "Version": "2012-10-17", "Statement": [
Version 1.0170
AWS CloudTrail Guide de l'utilisateurEnvoi d'événements à CloudWatch Logs
{ "Sid": "", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}
Exécutez la commande suivante pour créer le rôle avec les autorisations AssumeRole pour CloudTrail.
aws iam create-role --role-name role_name --assume-role-policy-document file://<path to assume_role_policy_document>.json
Lorsque la commande est terminée, prenez note de l'ARN du rôle dans la sortie.
Création d'un document de stratégie
Créez le document de stratégie de rôle suivant pour CloudTrail. Ce document accorde à CloudTrail lesautorisations requises pour créer un flux de journaux CloudWatch Logs dans le groupe de journaux quevous spécifiez et transmettre les événements CloudTrail à ce flux de journaux.
{ "Version": "2012-10-17", "Statement": [ {
"Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*" ]
}, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*" ] } ]}
Enregistrez le document de stratégie dans un fichier nommé role-policy-document.json.
Si vous créez une stratégie qui peut être utilisée pour les journaux de suivi de l'organisation, vous devrezla configurer légèrement différemment. Par exemple, la stratégie suivante accorde à CloudTrail lesautorisations requises pour créer un flux de journaux CloudWatch Logs dans le groupe de journaux quevous spécifiez et pour transmettre les événements CloudTrail à ce flux de journaux pour les journaux de
Version 1.0171
AWS CloudTrail Guide de l'utilisateurEnvoi d'événements à CloudWatch Logs
suivi du compte AWS 111111111111 et pour les journaux de suivi d'organisation créés dans le compte111111111111 qui sont appliqués à l'organisation AWS Organizations avec l'ID de l'. o-exampleorgid:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*", ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*", ] } ]}
Pour plus d'informations sur les journaux de suivi d'organisation, consultez Création d'un journal de suivipour une organisation (p. 116).
Exécutez la commande suivante pour appliquer la stratégie au rôle.
aws iam put-role-policy --role-name role_name --policy-name cloudtrail-policy --policy-document file://<path to role-policy-document>.json
Mise à jour du suiviMettez à jour le journal de suivi avec les informations de groupe de journaux et de rôle à l'aide de lacommande CloudTrail update-trail.
aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn log_group_arn --cloud-watch-logs-role-arn role_arn
Pour plus d'informations sur les commandes de l'AWS CLI, consultez la référence des commandes en ligneAWS CloudTrail.
LimitationCloudWatch Logs et CloudWatch Events autorisent chacun une taille maximale d'événement de 256 Ko.Bien que la plupart des événements de service aient une taille maximale de 256 Ko, certains services onttoujours des événements plus importants. CloudTrail n'envoie pas ces événements à CloudWatch Logs ouCloudWatch Events.
Version 1.0172
AWS CloudTrail Guide de l'utilisateurCréation d'alarmes CloudWatch avec
un modèle AWS CloudFormation
Depuis la version d'événement CloudTrail 1.05, les événements ont une taille maximale de 256 Ko.L'objectif est d'empêcher l'exploitation par des acteurs malveillants et d'autoriser la consommationd'événements par d'autres services AWS, tels que CloudWatch Logs et CloudWatch Events.
Création d'alarmes CloudWatch avec un modèle AWSCloudFormationUne fois que vous avez configuré votre journal de suivi pour livrer des fichiers journaux à votre groupe dejournaux CloudWatch, vous pouvez créer des filtres et des alarmes de métrique CloudWatch pour surveillerles événements dans les fichiers journaux. Vous pouvez par exemple spécifier un événement tel quel'opération Amazon EC2 RunInstances, de manière à ce que CloudWatch vous envoie des notificationslorsque cet événement se produit dans votre compte. Vous pouvez créer vos filtres et alarmes séparémentou utiliser un modèle AWS CloudFormation pour les définir tous simultanément.
Vous pouvez utiliser l'exemple CloudFormation de modèle tel quel ou comme référence pour créer votrepropre modèle.
Rubriques• Exemple de CloudFormation modèle (p. 173)• Création d'une CloudFormation pile avec le modèle (p. 174)• Contenu du CloudFormation modèle (p. 181)
Exemple de CloudFormation modèleLe CloudFormation modèle comporte des filtres et des alarmes de CloudWatch métriques prédéfinis quivous permettent de recevoir des notifications par e-mail lorsque des appels d'API spécifiques liés à lasécurité sont effectués dans votre AWS compte.
Le modèle est disponible dans un fichier zip à l'emplacement suivant : CloudWatch:_Alarmes_for_CloudTrail_API_Activity.zip.
Le modèle définit des filtres de métrique qui surveillent la création, la suppression et la mise à jour destypes de ressources suivants :
• Instances Amazon EC2• Stratégies IAM• Passerelles Internet• RéseauACLs• Groupes de sécurité
Lorsqu'un appel d'API se produit dans votre compte, un filtre de métrique le surveille. Si l'appel d'APIdépasse le seuil spécifié, une alarme se déclenche et CloudWatch vous envoie une notification par e-mail.
Par défaut, la plupart des filtres dans le modèle déclenchent une alarme lorsqu'un événement surveillése produit dans un délai de cinq minutes. Vous pouvez modifier ces seuils d'alarme selon vos propresbesoins. Vous pouvez, par exemple, surveiller 3 événements sur une période de 10 minutes. Pour effectuerles modifications, vous pouvez modifier le modèle ou, après son chargement, spécifier les seuils dans laconsole CloudWatch.
Note
Étant donné que CloudTrail fournit généralement des fichiers journaux toutes les cinq minutes,vous devez spécifier des périodes d'alarme de cinq minutes ou plus.
Version 1.0173
AWS CloudTrail Guide de l'utilisateurCréation d'alarmes CloudWatch avec
un modèle AWS CloudFormation
Pour une description de chacun des filtres et alarmes de métriques dans le modèle et des appelsd'API pour lesquels des notifications par e-mail sont déclenchées, consultez la section Contenu duCloudFormation modèle (p. 181).
Création d'une CloudFormation pile avec le modèleUne CloudFormation pile est un ensemble de ressources connexes que vous mettez en service et à jour entant qu'unité unique. La procédure suivante décrit comment créer la pile et valider l'adresse e-mail qui reçoitles notifications.
Pour créer une CloudFormation pile avec le modèle
1. Configurez votre journal de suivi pour livrer des fichiers journaux à votre groupe de journauxCloudWatch Logs. Veuillez consulter Envoi d'événements à CloudWatch Logs (p. 168).
2. Téléchargez le CloudFormation modèle : CloudWatch: _Alarmes_for_CloudTrail_API_Activity.zip.3. Ouvrez la console AWS CloudFormation à l'adresse https://console.aws.amazon.com/cloudformation.4. Choisissez Créer une pile.
5. Sur la page Select Template, entrez un nom pour la pile dans le champ Name. L'exemple suivantutilise CloudWatchAlarmsForCloudTrail.
Version 1.0174
AWS CloudTrail Guide de l'utilisateurCréation d'alarmes CloudWatch avec
un modèle AWS CloudFormation
6. Sous Source, choisissez Télécharger un modèle sur Amazon S3.
7. Cliquez sur Choisir un fichier, puis sélectionnez le modèle AWS CloudFormation que vous aveztéléchargé.
8. Choisissez Nex t(Suivant).9. Sur la page Specify Parameters, pour Email, tapez une adresse e-mail pour recevoir les notifications.
10. Pour LogGroupName , tapez le nom du groupe de journaux que vous avez spécifié lorsque vous avezconfiguré votre journal de suivi pour livrer des fichiers journaux à CloudWatch Logs .
Version 1.0175
AWS CloudTrail Guide de l'utilisateurCréation d'alarmes CloudWatch avec
un modèle AWS CloudFormation
11. Choisissez Nex t(Suivant).12. Pour Options, vous pouvez créer des balises ou configurer d'autres options avancées. Celles-ci ne
sont pas obligatoires.
Version 1.0176
AWS CloudTrail Guide de l'utilisateurCréation d'alarmes CloudWatch avec
un modèle AWS CloudFormation
13. Choisissez Nex t(Suivant).14. Sur la page Review, vérifiez que les paramètres sont corrects.
Version 1.0177
AWS CloudTrail Guide de l'utilisateurCréation d'alarmes CloudWatch avec
un modèle AWS CloudFormation
15. Sélectionnez Create. La pile est créée en quelques minutes.
16. Une fois la pile créée, vous recevrez un e-mail à l'adresse que vous avez spécifiée.
Version 1.0178
AWS CloudTrail Guide de l'utilisateurCréation d'alarmes CloudWatch avec
un modèle AWS CloudFormation
17. Dans l'e-mail, sélectionnez Confirm subscription. Vous recevrez des notifications par e-mail lorsque lesalarmes spécifiées par le modèle sont déclenchées.
L'exemple de notification suivant a été envoyé lorsqu'un appel d'API a modifié une stratégie IAM, cequi a déclenché l'alarme de métrique.
Version 1.0179
AWS CloudTrail Guide de l'utilisateurCréation d'alarmes CloudWatch avec
un modèle AWS CloudFormation
Version 1.0180
AWS CloudTrail Guide de l'utilisateurCréation d'alarmes CloudWatch avec
un modèle AWS CloudFormation
Contenu du CloudFormation modèleLes tableaux suivants présentent les filtres et les alarmes de métriques du modèle, leur finalité et lesappels d'API pour lesquels les notifications par e-mail sont déclenchées. Les notifications sont déclenchéeslorsqu'un ou plusieurs des appels d'API pour un filtre répertorié sont effectués dans votre compte.
Vous pouvez passer en revue les définitions de filtre ou d'alarme de métriques dans la consoleCloudWatch.
Événements de compartiments Amazon S3
Filtre et alarme de métriques Superviser etenvoyer desnotifications pour:
Notifications déclenchées par uneou plusieurs des opérations d'APIsuivantes :
S3BucketChangesMetricFilter
S3BucketChangesAlarm
Les appels d'APIqui modifientla stratégie decompartiment,le cycle de vie,la réplication ouACLs .
PutBucketAcl
DeleteBucketPolicy
PutBucketPolicy
DeleteBucketLifecycle
PutBucketLifecycle
DeleteBucketReplication
PutBucketReplication
DeleteBucketCors
PutBucketCors
Événements de réseau
Filtre et alarme de métriques Superviser etenvoyer desnotifications pour:
Notifications déclenchées par uneou plusieurs des opérations d'APIsuivantes :
SecurityGroupChangesMetricFilter
SecurityGroupChangesAlarm
Appels d'API quicréent, mettent àjour et supprimentdes groupes desécurité.
CreateSecurityGroup
DeleteSecurityGroup
AuthorizeSecurityGroupEgress
RevokeSecurityGroupEgress
AuthorizeSecurityGroupIngress
RevokeSecurityGroupIngress
NetworkAclChangesMetricFilter
NetworkAclChangesAlarm
Appels d'API quicréent, mettent àjour et supprimentle réseauACLs.
CreateNetworkAcl
DeleteNetworkAcl
CreateNetworkAclEntry
DeleteNetworkAclEntry
ReplaceNetworkAclAssociation
Version 1.0181
AWS CloudTrail Guide de l'utilisateurCréation d'alarmes CloudWatch avec
un modèle AWS CloudFormation
Filtre et alarme de métriques Superviser etenvoyer desnotifications pour:
Notifications déclenchées par uneou plusieurs des opérations d'APIsuivantes :ReplaceNetworkAclEntry
GatewayChangesMetricFilter
GatewayChangesAlarm
Appels d'API quicréent, mettent àjour et supprimentdes clients etdes passerellesInternet.
CreateCustomerGateway
DeleteCustomerGateway
AttachInternetGateway
CreateInternetGateway
DeleteInternetGateway
DetachInternetGateway
VpcChangesMetricFilter
VpcChangesAlarm
Appels d'API quicréent, mettent àjour et supprimentdes cloudsprivés virtuels(Virtual PrivateCloud, VPC),des connexionsd'appairagede VPC et desconnexions VPC àdes instances EC2classiques à l'aidede ClassicLink.
CreateVpc
DeleteVpc
ModifyVpcAttribute
AcceptVpcPeeringConnection
CreateVpcPeeringConnection
DeleteVpcPeeringConnection
RejectVpcPeeringConnection
AttachClassicLinkVpc
DetachClassicLinkVpc
DisableVpcClassicLink
EnableVpcClassicLink
Amazon EC2 Événements
Filtre et alarme de métriques Superviser etenvoyer desnotifications pour:
Notifications déclenchées par uneou plusieurs des opérations d'APIsuivantes :
EC2InstanceChangesMetricFilter
EC2InstanceChangesAlarm
Création, fin,démarrage, arrêteret redémarraged'instances EC2.
RebootInstances
RunInstances
StartInstances
StopInstances
TerminateInstances
EC2LargeInstanceChangesMetricFilter
EC2LargeInstanceChangesAlarm
Création, fin,démarrage, arrêteret redémarraged'instances EC2
Au moins l'une des opérations d'APIsuivantes :
RebootInstances
Version 1.0182
AWS CloudTrail Guide de l'utilisateurCréation d'alarmes CloudWatch avec
un modèle AWS CloudFormation
Filtre et alarme de métriques Superviser etenvoyer desnotifications pour:
Notifications déclenchées par uneou plusieurs des opérations d'APIsuivantes :
volumineuses 4x et8x.
RunInstances
StartInstances
StopInstances
TerminateInstances
et au moins l'un des types d'instancesuivants :
instancetype=*.4xlarge
instancetype=*.8xlarge
Evénements CloudTrail et IAM
Filtre et alarme de métriques Superviser etenvoyer desnotifications pour:
Notifications déclenchées par uneou plusieurs des opérations d'APIsuivantes :
CloudTrailChangesMetricFilter
CloudTrailChangesAlarm
Création,suppression etmise à jour desjournaux de suivi.La fréquencede démarrageet d'arrêt de lajournalisation pourun journal de suivi.
CreateTrail
DeleteTrail
StartLogging
StopLogging
UpdateTrail
ConsoleSignInFailuresMetricFilter
ConsoleSignInFailuresAlarm
Échecs deconnexion deconsole
eventNameestConsoleLogin
et
errorMessage est « Failedauthentication »
AuthorizationFailuresMetricFilter
AuthorizationFailuresAlarm
Échecsd'autorisation
Tout appel d'API qui se traduit par uncode d'erreur : AccessDenied
ou
*UnauthorizedOperation.
IAMPolicyChangesMetricFilter
IAMPolicyChangesAlarm
Modificationsapportées auxstratégies IAM
AttachGroupPolicy
DeleteGroupPolicy
DetachGroupPolicy
PutGroupPolicy
CreatePolicy
DeletePolicy
Version 1.0183
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Filtre et alarme de métriques Superviser etenvoyer desnotifications pour:
Notifications déclenchées par uneou plusieurs des opérations d'APIsuivantes :CreatePolicyVersion
DeletePolicyVersion
AttachRolePolicy
DeleteRolePolicy
DetachRolePolicy
PutRolePolicy
AttachUserPolicy
DeleteUserPolicy
DetachUserPolicy
PutUserPolicy
Création d'CloudWatchalarmes pour les CloudTrailévénements : ExemplesCette rubrique explique comment configurer des alarmes pour les événements CloudTrail en utilisant desexemples de scénarios.
Prerequisites
Pour pouvoir utiliser les exemples dans cette rubrique, vous devez :
• Créer un suivi avec la console ou la CLI.• Créez un groupe de journaux .• Spécifier ou créer un rôle IAM qui octroie à CloudTrail les autorisations nécessaires pour créer un flux de
journaux CloudWatch Logs dans le groupe de journaux spécifié et pour livrer des événements CloudTrailà ce flux de journaux. Le CloudTrail_CloudWatchLogs_Role par défaut s'en charge pour vous.
Pour plus d’informations, consultez Envoi d'événements à CloudWatch Logs (p. 168).
Créer un filtre de métrique et une alarme
Pour créer une alarme, vous devez d'abord créer un filtre de métrique, puis configurer une alarme baséesur le filtre. Les procédures sont affichées pour tous les exemples. Pour plus d'informations sur la syntaxedes filtres de métriques et des modèles pour les événements de journal CloudTrail, consultez les sectionsrelatives à JSON de la rubrique Syntaxe de filtre et de modèle du Amazon CloudWatch Logs User Guide.
Note
Au lieu de créer manuellement les exemples d'alarmes et de filtres de métriques suivants,vous pouvez utiliser un modèle AWS CloudFormation pour les créer tous simultanément.Pour plus d’informations, consultez Création d'alarmes CloudWatch avec un modèle AWSCloudFormation (p. 173).
Rubriques
Version 1.0184
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
• Exemple : Amazon S3 Activité de compartiment (p. 185)• Exemple: Modifications apportées à la configuration du groupe de sécurité (p. 187)• Exemple: Modifications de la liste de contrôle d'accès (ACL) réseau (p. 190)• Exemple: Modifications apportées à la passerelle réseau (p. 192)• Exemple : Amazon Virtual Private Cloud (VPC) Modifications (p. 194)• Exemple : Amazon EC2 Modifications d'instance (p. 196)• Exemple: Modifications apportées à une grande instance EC2 (p. 198)• Exemple : CloudTrail Modifications (p. 200)• Exemple: Échecs de connexion à la console (p. 202)• Exemple: Échecs d'autorisation (p. 204)• Exemple : IAM Modifications apportées à la stratégie (p. 206)
Exemple : Amazon S3 Activité de compartimentSuivez la procédure ci-dessous pour créer une alarme Amazon CloudWatch qui est déclenchée lorsqu'unappel d'API Amazon S3 est effectué pour exécuter une requête PUT ou DELETE pour la stratégie decompartiment, le cycle de vie du compartiment ou la réplication du compartiment, ou pour exécuter unerequête PUT pour l'ACL d'un compartiment.
L'alarme est également déclenchée pour le compartiment CORS (partage des ressources cross-origin) PUTet les événements de compartiment DELETE. Pour plus d'informations, consultez Partage des ressourcescross-origine (CORS) dans le Amazon Simple Storage Service Manuel du développeur.
Créer un filtre de métrique
1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le panneau de navigation, sélectionnez Journaux.3. Dans la liste des groupes de journaux, cochez la case en regard du groupe de journaux que vous avez
créé pour les événements de journal CloudTrail.4. Choisissez Create Metric Filter.5. Sur l'écran Define Logs Metric Filter, choisissez Filter Pattern, puis saisissez ce qui suit :
{ ($.eventSource = s3.amazonaws.com) && (($.eventName = PutBucketAcl) || ($.eventName = PutBucketPolicy) || ($.eventName = PutBucketCors) || ($.eventName = PutBucketLifecycle) || ($.eventName = PutBucketReplication) || ($.eventName = DeleteBucketPolicy) || ($.eventName = DeleteBucketCors) || ($.eventName = DeleteBucketLifecycle) || ($.eventName = DeleteBucketReplication)) }
6. Choisissez Affecter une métrique.7. Pour Nom du filtre, tapez S3BucketActivity.8. Dans Metric Namespace (Namespace métrique), saisissez CloudTrailMetrics.9. Dans Metric Name (Nom de la métrique), saisissez S3BucketActivityEventCount.10. Choisissez Show advanced metric settings.11. Dans Metric Value, tapez 1.12. Choisissez Create Filter.
Créer une alarme
Une fois que vous avez créé le filtre de métrique, suivez cette procédure pour créer une alarme.
Version 1.0185
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
1. Sur les filtres pour Log_Group_Name, en regard du nom du S3BucketActivity filtre, choisissez Create Alarm (Créer une alarme ).
2. Sur la page Create Alarm, renseignez les valeurs suivantes.
Version 1.0186
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Paramètre Value
Activité de compartiment S3
1
1
5 minutes
Somme
Près de la zone Select a notification list, choisissez New list, puistapez un nom de rubrique unique pour la liste.
Choisissez Email list, puis entrez l'adresse e-mail à laquelle voussouhaitez envoyer des notifications. Vous recevrez un e-mail àcette adresse afin de confirmer que vous avez créé cette alarme.
3. Sélectionnez Create Alarm.
Test de l'alarme pour l'activité de compartiment S3Vous pouvez tester l'alarme en modifiant la stratégie de compartiment S3.
Pour tester l'alarme
1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.2. Choisissez un compartiment S3 dans une région qui est journalisée par le journal de suivi. Par
exemple, si votre journal de suivi journalise la Région USA Est (Ohio) uniquement, choisissez uncompartiment dans la même région. Si votre journal de suivi s'applique à toutes les régions, choisissezun compartiment S3 dans n'importe quelle région.
3. Choisissez Permissions, puis Bucket Policy.4. Utilisez l'Editeur de stratégie de compartiment pour modifier la stratégie, puis choisissez Save.5. Votre journal de suivi enregistre l'opération PutBucketPolicy et transmet l'événement à votre
groupe de journaux CloudWatch Logs. L'événement déclenche votre alarme de métrique etCloudWatch Logs vous envoie une notification à propos de la modification.
Exemple: Modifications apportées à la configuration du groupe desécuritéSuivez cette procédure pour créer une alarme Amazon CloudWatch qui est déclenchée lorsque deschangements de configuration surviennent impliquant des groupes de sécurité.
Créer un filtre de métrique
1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le panneau de navigation, sélectionnez Journaux.3. Dans la liste des groupes de journaux, cochez la case en regard du groupe de journaux que vous avez
créé pour les événements de journal CloudTrail.
Version 1.0187
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
4. Choisissez Create Metric Filter.5. Sur l'écran Define Logs Metric Filter, choisissez Filter Pattern, puis saisissez ce qui suit :
{ ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }
6. Choisissez Affecter une métrique.7. Pour Nom du filtre, tapez SecurityGroupEvents.8. Dans Metric Namespace (Namespace métrique), saisissez CloudTrailMetrics.9. Dans Metric Name (Nom de la métrique), saisissez SecurityGroupEventCount.10. Choisissez Show advanced metric settings.11. Dans Metric Value, tapez 1.12. Choisissez Create Filter.
Créer une alarme
Une fois que vous avez créé le filtre de métrique, suivez cette procédure pour créer une alarme.
1. Sur les filtres pour Log_Group_Name, en regard du nom du filtre, choisissez Create Alarm (Créerune alarme ).
2. Sur la page Create Alarm, renseignez les valeurs suivantes.
Version 1.0188
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Paramètre Value
Modifications apportées à la configuration du groupe de sécurité
>=1
1
5 minutes
Somme
Près de la zone Select a notification list, choisissez New list, puistapez un nom de rubrique unique pour la liste.
Version 1.0189
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Paramètre Value
Choisissez Email list, puis entrez l'adresse e-mail à laquelle voussouhaitez envoyer des notifications. Vous recevrez un e-mail àcette adresse afin de confirmer que vous avez créé cette alarme.
3. Sélectionnez Create Alarm.
Exemple: Modifications de la liste de contrôle d'accès (ACL)réseauSuivez cette procédure pour créer une Amazon CloudWatch alarme qui est déclenchée lorsque deschangements de configuration surviennent impliquant le réseau ACLs .
Créer un filtre de métrique
1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le panneau de navigation, sélectionnez Journaux.3. Dans la liste des groupes de journaux, cochez la case en regard du groupe de journaux que vous avez
créé pour les événements de journal CloudTrail.4. Choisissez Create Metric Filter.5. Sur l'écran Define Logs Metric Filter, choisissez Filter Pattern, puis saisissez ce qui suit :
{ ($.eventName = CreateNetworkAcl) || ($.eventName = CreateNetworkAclEntry) || ($.eventName = DeleteNetworkAcl) || ($.eventName = DeleteNetworkAclEntry) || ($.eventName = ReplaceNetworkAclEntry) || ($.eventName = ReplaceNetworkAclAssociation) }
6. Choisissez Affecter une métrique.7. Pour Nom du filtre, tapez NetworkACLEvents.8. Dans Metric Namespace (Namespace métrique), saisissez CloudTrailMetrics.9. Dans Metric Name (Nom de la métrique), saisissez NetworkACLEventCount.10. Choisissez Show advanced metric settings.11. Dans Metric Value, tapez 1.12. Choisissez Create Filter.
Créer une alarme
Une fois que vous avez créé le filtre de métrique, suivez cette procédure pour créer une alarme.
1. Sur les filtres pour Log_Group_Name, en regard du nom du filtre, choisissez Create Alarm (Créerune alarme ).
2. Sur la page Create Alarm, renseignez les valeurs suivantes.
Version 1.0190
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Paramètre Value
Modifications apportées à la configuration des ACL réseau
>=1
1
5 minutes
Somme
Près de la zone Select a notification list, choisissez New list, puistapez un nom de rubrique unique pour la liste.
Version 1.0191
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Paramètre Value
Choisissez Email list, puis entrez l'adresse e-mail à laquelle voussouhaitez envoyer des notifications. Vous recevrez un e-mail àcette adresse afin de confirmer que vous avez créé cette alarme.
3. Sélectionnez Create Alarm.
Exemple: Modifications apportées à la passerelle réseauSuivez cette procédure pour créer une alarme Amazon CloudWatch qui est déclenchée quand un appeld'API est effectué pour créer, mettre à jour ou supprimer un client ou une passerelle Internet.
Créer un filtre de métrique
1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le panneau de navigation, sélectionnez Journaux.3. Dans la liste des groupes de journaux, cochez la case en regard du groupe de journaux que vous avez
créé pour les événements de journal CloudTrail.4. Choisissez Create Metric Filter.5. Sur l'écran Define Logs Metric Filter, choisissez Filter Pattern, puis saisissez ce qui suit :
{ ($.eventName = CreateCustomerGateway) || ($.eventName = DeleteCustomerGateway) || ($.eventName = AttachInternetGateway) || ($.eventName = CreateInternetGateway) || ($.eventName = DeleteInternetGateway) || ($.eventName = DetachInternetGateway) }
6. Choisissez Affecter une métrique.7. Pour Nom du filtre, tapez GatewayChanges.8. Dans Metric Namespace (Namespace métrique), saisissez CloudTrailMetrics.9. Dans Metric Name (Nom de la métrique), saisissez GatewayEventCount.10. Choisissez Show advanced metric settings.11. Dans Metric Value, tapez 1.12. Choisissez Create Filter.
Exemple: Créer une alarme
Une fois que vous avez créé le filtre de métrique, suivez cette procédure pour créer une alarme.
1. Sur les filtres pour Log_Group_Name, en regard du nom du filtre, choisissez Create Alarm (Créerune alarme ).
2. Sur la page Create Alarm, renseignez les valeurs suivantes.
Version 1.0192
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Paramètre Value
Modifications apportées à la passerelle réseau
1
1
5 minutes
Somme
Près de la zone Select a notification list, choisissez New list, puistapez un nom de rubrique unique pour la liste.
Version 1.0193
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Paramètre Value
Choisissez Email list, puis entrez l'adresse e-mail à laquelle voussouhaitez envoyer des notifications. Vous recevrez un e-mail àcette adresse afin de confirmer que vous avez créé cette alarme.
3. Sélectionnez Create Alarm.
Exemple : Amazon Virtual Private Cloud (VPC) ModificationsSuivez cette procédure pour créer une alarme Amazon CloudWatch qui est déclenchée quand un appeld'API est effectué pour créer, mettre à jour ou supprimer une instance Amazon VPC, une connexiond'appairage Amazon VPC ou une connexion Amazon VPC aux instances Amazon EC2 classiques.
Créer un filtre de métrique
1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le panneau de navigation, sélectionnez Journaux.3. Dans la liste des groupes de journaux, cochez la case en regard du groupe de journaux que vous avez
créé pour les événements de journal CloudTrail.4. Choisissez Create Metric Filter.5. Sur l'écran Define Logs Metric Filter, choisissez Filter Pattern, puis saisissez ce qui suit :
{ ($.eventName = CreateVpc) || ($.eventName = DeleteVpc) || ($.eventName = ModifyVpcAttribute) || ($.eventName = AcceptVpcPeeringConnection) || ($.eventName = CreateVpcPeeringConnection) || ($.eventName = DeleteVpcPeeringConnection) || ($.eventName = RejectVpcPeeringConnection) || ($.eventName = AttachClassicLinkVpc) || ($.eventName = DetachClassicLinkVpc) || ($.eventName = DisableVpcClassicLink) || ($.eventName = EnableVpcClassicLink) }
6. Choisissez Affecter une métrique.7. Pour Nom du filtre, tapez VpcChanges.8. Dans Metric Namespace (Namespace métrique), saisissez CloudTrailMetrics.9. Dans Metric Name (Nom de la métrique), saisissez VpcEventCount.10. Choisissez Show advanced metric settings.11. Dans Metric Value, tapez 1.12. Choisissez Create Filter.
Créer une alarme
Une fois que vous avez créé le filtre de métrique, suivez cette procédure pour créer une alarme.
1. Sur les filtres pour Log_Group_Name, en regard du nom du filtre, choisissez Create Alarm (Créerune alarme ).
2. Sur la page Create Alarm, renseignez les valeurs suivantes.
Version 1.0194
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Paramètre Value
Modifications apportées à la connexion VPC
1
1
5 minutes
Somme
Près de la zone Select a notification list, choisissez New list, puistapez un nom de rubrique unique pour la liste.
Version 1.0195
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Paramètre Value
Choisissez Email list, puis entrez l'adresse e-mail à laquelle voussouhaitez envoyer des notifications. Vous recevrez un e-mail àcette adresse afin de confirmer que vous avez créé cette alarme.
3. Sélectionnez Create Alarm.
Exemple : Amazon EC2 Modifications d'instanceSuivez cette procédure pour créer une alarme Amazon CloudWatch qui est déclenchée quand un appeld'API est effectué pour créer, supprimer, démarrer, arrêter ou redémarrer une instance Amazon EC2.
Créer un filtre de métrique
1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le panneau de navigation, sélectionnez Journaux.3. Dans la liste des groupes de journaux, cochez la case en regard du groupe de journaux que vous avez
créé pour les événements de journal CloudTrail.4. Choisissez Create Metric Filter.5. Sur l'écran Define Logs Metric Filter, choisissez Filter Pattern, puis saisissez ce qui suit :
{ ($.eventName = RunInstances) || ($.eventName = RebootInstances) || ($.eventName = StartInstances) || ($.eventName = StopInstances) || ($.eventName = TerminateInstances) }
6. Choisissez Affecter une métrique.7. Pour Nom du filtre, tapez EC2InstanceChanges.8. Dans Metric Namespace (Namespace métrique), saisissez CloudTrailMetrics.9. Dans Metric Name (Nom de la métrique), saisissez EC2InstanceEventCount.10. Choisissez Show advanced metric settings.11. Dans Metric Value, tapez 1.12. Choisissez Create Filter.
Créer une alarme
Une fois que vous avez créé le filtre de métrique, suivez cette procédure pour créer une alarme.
1. Sur les filtres pour Log_Group_Name, en regard du nom du filtre, choisissez Create Alarm (Créerune alarme ).
2. Sur la page Create Alarm, renseignez les valeurs suivantes.
Version 1.0196
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Paramètre Value
Modifications apportées à une instance EC2
1
1
5 minutes
Somme
Près de la zone Select a notification list, choisissez New list, puistapez un nom de rubrique unique pour la liste.
Version 1.0197
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Paramètre Value
Choisissez Email list, puis entrez l'adresse e-mail à laquelle voussouhaitez envoyer des notifications. Vous recevrez un e-mail àcette adresse afin de confirmer que vous avez créé cette alarme.
3. Sélectionnez Create Alarm.
Exemple: Modifications apportées à une grande instance EC2Suivez la procédure ci-dessous pour créer une alarme Amazon CloudWatch qui est déclenchée lorsqu'unappel d'API est effectué pour créer une grande instance Amazon EC2 4x ou 8x.
Créer un filtre de métrique
1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le panneau de navigation, sélectionnez Journaux.3. Dans la liste des groupes de journaux, cochez la case en regard du groupe de journaux que vous avez
créé pour les événements de journal CloudTrail.4. Choisissez Create Metric Filter.5. Sur l'écran Define Logs Metric Filter, choisissez Filter Pattern, puis saisissez ce qui suit :
{ ($.eventName = RunInstances) && (($.requestParameters.instanceType = *.8xlarge) || ($.requestParameters.instanceType = *.4xlarge)) }
6. Choisissez Affecter une métrique.7. Pour Nom du filtre, tapez EC2LargeInstanceChanges.8. Dans Metric Namespace (Namespace métrique), saisissez CloudTrailMetrics.9. Dans Metric Name (Nom de la métrique), saisissez EC2LargeInstanceEventCount.10. Choisissez Show advanced metric settings.11. Dans Metric Value, tapez 1.12. Choisissez Create Filter.
Créer une alarme
Une fois que vous avez créé le filtre de métrique, suivez cette procédure pour créer une alarme.
1. Sur les filtres pour Log_Group_Name, en regard du nom du filtre, choisissez Create Alarm (Créerune alarme ).
2. Sur la page Create Alarm, renseignez les valeurs suivantes.
Version 1.0198
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Paramètre Value
Modifications apportées à une grande instance EC2
1
1
5 minutes
Somme
Près de la zone Select a notification list, choisissez New list, puistapez un nom de rubrique unique pour la liste.
Version 1.0199
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Paramètre Value
Choisissez Email list, puis entrez l'adresse e-mail à laquelle voussouhaitez envoyer des notifications. Vous recevrez un e-mail àcette adresse afin de confirmer que vous avez créé cette alarme.
3. Sélectionnez Create Alarm.
Exemple : CloudTrail ModificationsSuivez cette procédure pour créer une alarme Amazon CloudWatch qui est déclenchée lorsqu'un appeld'API est effectué pour créer, mettre à jour ou supprimer un journal de suivi CloudTrail, ou pour commencerou arrêter l'enregistrement d'un journal de suivi.
Créer un filtre de métrique
1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le panneau de navigation, sélectionnez Journaux.3. Dans la liste des groupes de journaux, cochez la case en regard du groupe de journaux que vous avez
créé pour les événements de journal CloudTrail.4. Choisissez Create Metric Filter.5. Sur l'écran Define Logs Metric Filter, choisissez Filter Pattern, puis saisissez ce qui suit :
{ ($.eventName = CreateTrail) || ($.eventName = UpdateTrail) || ($.eventName = DeleteTrail) || ($.eventName = StartLogging) || ($.eventName = StopLogging) }
6. Choisissez Affecter une métrique.7. Pour Nom du filtre, tapez CloudTrailChanges.8. Dans Metric Namespace (Namespace métrique), saisissez CloudTrailMetrics.9. Dans Metric Name (Nom de la métrique), saisissez CloudTrailEventCount.10. Choisissez Show advanced metric settings.11. Dans Metric Value, tapez 1.12. Choisissez Create Filter.
Créer une alarme
Une fois que vous avez créé le filtre de métrique, suivez cette procédure pour créer une alarme.
1. Dans les filtres pour Log_Group_Name, en regard du nom du filtre, choisissez Create Alarm (Créerune alarme ).
2. Sur la page Create Alarm, renseignez les valeurs suivantes.
Version 1.0200
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Paramètre Value
CloudTrailModifications
1
1
5 minutes
Somme
Près de la zone Select a notification list, choisissez New list, puistapez un nom de rubrique unique pour la liste.
Version 1.0201
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Paramètre Value
Choisissez Email list, puis entrez l'adresse e-mail à laquelle voussouhaitez envoyer des notifications. Vous recevrez un e-mail àcette adresse afin de confirmer que vous avez créé cette alarme.
3. Sélectionnez Create Alarm.
Exemple: Échecs de connexion à la consoleSuivez cette procédure pour créer une alarme Amazon CloudWatch qui est déclenchée lorsqu'au moinstrois échecs de connexion se produisent pendant une période de cinq minutes.
Créer un filtre de métrique
1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le panneau de navigation, sélectionnez Journaux.3. Dans la liste des groupes de journaux, cochez la case en regard du groupe de journaux que vous avez
créé pour les événements de journal CloudTrail.4. Choisissez Create Metric Filter.5. Sur l'écran Define Logs Metric Filter, choisissez Filter Pattern, puis saisissez ce qui suit :
{ ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }
6. Choisissez Affecter une métrique.7. Pour Nom du filtre, tapez ConsoleSignInFailures.8. Dans Metric Namespace (Namespace métrique), saisissez CloudTrailMetrics.9. Dans Metric Name (Nom de la métrique), saisissez ConsoleSigninFailureCount.10. Choisissez Show advanced metric settings.11. Dans Metric Value, tapez 1.12. Choisissez Create Filter.
Créer une alarme
Une fois que vous avez créé le filtre de métrique, suivez cette procédure pour créer une alarme.
1. Sur les filtres pour Log_Group_Name, en regard du nom du filtre, choisissez Create Alarm (Créerune alarme ).
2. Sur la page Create Alarm, renseignez les valeurs suivantes.
Version 1.0202
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Paramètre Value
Échecs de connexion à la console
>=3
1
5 minutes
Somme
Près de la zone Select a notification list, choisissez New list, puistapez un nom de rubrique unique pour la liste.
Version 1.0203
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Paramètre Value
Choisissez Email list, puis entrez l'adresse e-mail à laquelle voussouhaitez envoyer des notifications. Vous recevrez un e-mail àcette adresse afin de confirmer que vous avez créé cette alarme.
3. Sélectionnez Create Alarm.
Exemple: Échecs d'autorisationSuivez cette procédure pour créer une alarme Amazon CloudWatch qui est déclenchée quand un appeld'API non autorisé est effectué.
Créer un filtre de métrique
1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le panneau de navigation, sélectionnez Journaux.3. Dans la liste des groupes de journaux, cochez la case en regard du groupe de journaux que vous avez
créé pour les événements de journal CloudTrail.4. Choisissez Create Metric Filter.5. Sur l'écran Define Logs Metric Filter, choisissez Filter Pattern, puis saisissez ce qui suit :
{ ($.errorCode = "*UnauthorizedOperation") || ($.errorCode = "AccessDenied*") }
6. Choisissez Affecter une métrique.7. Pour Nom du filtre, tapez AuthorizationFailures.8. Dans Metric Namespace (Namespace métrique), saisissez CloudTrailMetrics.9. Dans Metric Name (Nom de la métrique), saisissez AuthorizationFailureCount.10. Choisissez Show advanced metric settings.11. Dans Metric Value, tapez 1.12. Choisissez Create Filter.
Créer une alarme
Une fois que vous avez créé le filtre de métrique, suivez cette procédure pour créer une alarme.
1. Sur les filtres pour Log_Group_Name, en regard du nom du filtre, choisissez Create Alarm (Créerune alarme ).
2. Sur la page Create Alarm, renseignez les valeurs suivantes.
Version 1.0204
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Paramètre Value
Échecs d'autorisation
1
1
5 minutes
Somme
Près de la zone Select a notification list, choisissez New list, puistapez un nom de rubrique unique pour la liste.
Version 1.0205
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Paramètre Value
Choisissez Email list, puis entrez l'adresse e-mail à laquelle voussouhaitez envoyer des notifications. Vous recevrez un e-mail àcette adresse afin de confirmer que vous avez créé cette alarme.
3. Sélectionnez Create Alarm.
Exemple : IAM Modifications apportées à la stratégieSuivez cette procédure pour créer une alarme Amazon CloudWatch qui est déclenchée quand un appeld'API est effectué pour modifier une stratégie IAM.
Créer un filtre de métrique
1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le panneau de navigation, sélectionnez Journaux.3. Dans la liste des groupes de journaux, cochez la case en regard du groupe de journaux que vous avez
créé pour les événements de journal CloudTrail.4. Choisissez Create Metric Filter.5. Sur l'écran Define Logs Metric Filter, choisissez Filter Pattern, puis saisissez ce qui suit :
{($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}
6. Choisissez Affecter une métrique.7. Pour Nom du filtre, tapez IAMPolicyChanges.8. Dans Metric Namespace (Namespace métrique), saisissez CloudTrailMetrics.9. Dans Metric Name (Nom de la métrique), saisissez IAMPolicyEventCount.10. Choisissez Show advanced metric settings.11. Dans Metric Value, tapez 1.12. Choisissez Create Filter.
Créer une alarme
Une fois que vous avez créé le filtre de métrique, suivez cette procédure pour créer une alarme.
1. Sur les filtres pour Log_Group_Name, en regard du nom du filtre, choisissez Create Alarm (Créerune alarme ).
2. Sur la page Create Alarm, renseignez les valeurs suivantes.
Version 1.0206
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour
les CloudTrail événements : Exemples
Paramètre Value
Modifications apportées à la stratégie IAM
1
1
5 minutes
Somme
Près de la zone Select a notification list, choisissez New list, puistapez un nom de rubrique unique pour la liste.
Version 1.0207
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour les CloudTrail
événements : Exemples supplémentaires
Paramètre Value
Choisissez Email list, puis entrez l'adresse e-mail à laquelle voussouhaitez envoyer des notifications. Vous recevrez un e-mail àcette adresse afin de confirmer que vous avez créé cette alarme.
3. Sélectionnez Create Alarm.
Création d'CloudWatchalarmes pour les CloudTrailévénements : Exemples supplémentairesLes bonnes pratiques AWS Identity and Access Management (IAM) recommandent de ne pas utiliser vosinformations d'identification de compte racine pour accéder à AWS. Au lieu de cela, vous devez créerdes utilisateurs individuels IAM afin d'accorder à chaque utilisateur un ensemble unique d'informationsd'identification de sécurité. Les IAM bonnes pratiques recommandent également d'activer l'authentificationmulti-facteurs (MFA) pour les utilisateurs IAM qui sont autorisés à accéder à des ressources sensibles ou àAPIs .
Vous pouvez vérifier si l'activité de votre compte AWS respecte ces bonnes pratiques en créant les alarmesCloudWatch qui vous avertissent lorsque les informations d'identification du compte racine ont été utiliséespour accéder à AWS, ou lorsque des activités d'API ou des connexions à la console sans MFA ont eu lieu.Ces alarmes sont décrites dans le présent document.
La configuration d'une alarme implique deux étapes principales :
• Créer un filtre de métrique• Créer une alarme basée sur le filtre
Rubriques• Exemple: Surveillance de l'utilisation racine (p. 208)• Exemple: Surveillance de l'activité de l'API sans Multi-Factor Authentication (MFA) (p. 211)• Exemple: Surveillance de la connexion à la console sans Multi-Factor Authentication (MFA) (p. 214)
Exemple: Surveillance de l'utilisation racineCe scénario vous guide dans l'utilisation d'AWS Management Console pour créer une alarme AmazonCloudWatch qui est déclenchée lorsque les informations d'identification (du compte) racine sont utilisées.
Créer un filtre de métrique
1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le panneau de navigation, sélectionnez Journaux.3. Dans la liste des groupes de journaux, cochez la case en regard du groupe de journaux que vous avez
créé pour les événements de journal CloudTrail.4. Choisissez Create Metric Filter.5. Sur l'écran Define Logs Metric Filter, choisissez Filter Pattern, puis saisissez ce qui suit :
{ $.userIdentity.type = "Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }
Version 1.0208
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour les CloudTrail
événements : Exemples supplémentaires
Note
Pour plus d'informations sur la syntaxe des filtres de métriques et des modèles pour lesévénements de journal CloudTrail, consultez les sections relatives à JSON de la rubriqueSyntaxe de filtre et de modèle du Guide de l'utilisateur Amazon CloudWatch.
6. Choisissez Assign Metric, puis sur l'écran Create Metric Filter and Assign a Metric, dans la zone Filter Name, entrezRootAccountUsage
7. Sous Détails de la métrique, dans la zone Espace de nom de la métrique, entrez CloudTrailMetrics .8. Dans le champ Nom de la métrique, entrez RootAccountUsageCount .9. Choisissez Metric Value et entrez 1.
Note
Si Metric Value n'apparaît pas, choisissez Show advanced metric settings d'abord.10. Lorsque vous avez terminé, choisissez Create Filter.
Créer une alarme
Cette procédure est une continuation des étapes précédentes de création d'un filtre de métrique.
1. Sur les filtres pour Log_Group_Name, en regard du nom du filtre, choisissez Create Alarm (Créerune alarme ).
2. Sur la page Create Alarm, renseignez les valeurs suivantes.
Version 1.0209
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour les CloudTrail
événements : Exemples supplémentaires
Version 1.0210
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour les CloudTrail
événements : Exemples supplémentaires
Paramètre Value
Utilisation du compte racine
>=1
1
5 minutes
Somme
Près de la zone Select a notification list, choisissez New list, puistapez un nom de rubrique unique pour la liste.
Choisissez Email list, puis entrez l'adresse e-mail à laquelle voussouhaitez envoyer des notifications. (Vous recevrez un e-mail àcette adresse afin de confirmer que vous avez créé cette alarme).
3. Lorsque vous avez terminé, choisissez Create Alarm.
Exemple: Surveillance de l'activité de l'API sans Multi-FactorAuthentication (MFA)Ce scénario vous guide dans l'utilisation d'AWS Management Console pour créer une alarme AmazonCloudWatch qui est déclenchée lorsque des appels d'API sont effectués sans utiliser l'authentification multi-facteurs (MFA).
Créer un filtre de métrique
1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le panneau de navigation, sélectionnez Journaux.3. Dans la liste des groupes de journaux, cochez la case en regard du groupe de journaux que vous avez
créé pour les événements de journal CloudTrail.4. Choisissez Create Metric Filter.5. Sur l'écran Define Logs Metric Filter, choisissez Filter Pattern, puis saisissez ce qui suit :
{ $.userIdentity.sessionContext.attributes.mfaAuthenticated != "true" }
Note
Pour plus d'informations sur la syntaxe des filtres de métriques et des modèles pour lesévénements de journal CloudTrail, consultez les sections relatives à JSON de la rubriqueSyntaxe de filtre et de modèle du Guide de l'utilisateur Amazon CloudWatch.
6. Sélectionnez Assign Metric, puis, dans l'écran Create Metric Filter and Assign a Metric, dans la zone Filter Name, entrez ApiActivityWithoutMFA .
7. Sous Détails de la métrique, dans la zone Espace de nom de la métrique, entrez CloudTrailMetrics .8. Dans la zone Nom de la métrique, entrez ApiActivityWithoutMFACount .9. Choisissez Metric Value et entrez 1.
Version 1.0211
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour les CloudTrail
événements : Exemples supplémentaires
Note
Si Metric Value n'apparaît pas, choisissez Show advanced metric settings d'abord.10. Lorsque vous avez terminé, choisissez Create Filter.
Créer une alarme
Cette procédure est une continuation des étapes précédentes de création d'un filtre de métrique.
1. Sur les filtres pour Log_Group_Name, en regard du nom du filtre, choisissez Create Alarm (Créerune alarme ).
2. Sur la page Create Alarm, renseignez les valeurs suivantes.
Version 1.0212
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour les CloudTrail
événements : Exemples supplémentaires
Version 1.0213
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour les CloudTrail
événements : Exemples supplémentaires
Paramètre Value
Activité d'API sans MFA
>=1
1
5 minutes
Somme
Près de la zone Select a notification list, choisissez New list, puistapez un nom de rubrique unique pour la liste.
Choisissez Email list, puis entrez l'adresse e-mail à laquelle voussouhaitez envoyer des notifications. (Vous recevrez un e-mail àcette adresse afin de confirmer que vous avez créé cette alarme).
3. Lorsque vous avez terminé, choisissez Create Alarm.
Exemple: Surveillance de la connexion à la console sans Multi-Factor Authentication (MFA)Ce scénario vous guide dans l'utilisation d'AWS Management Console pour créer une alarme AmazonCloudWatch qui est déclenchée lorsqu'une connexion à la console est effectuée sans authentification multi-facteurs.
Créer un filtre de métrique
1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.2. Dans le panneau de navigation, sélectionnez Journaux.3. Dans la liste des groupes de journaux, cochez la case en regard du groupe de journaux que vous avez
créé pour les événements de journal CloudTrail.4. Choisissez Create Metric Filter.5. Sur l'écran Define Logs Metric Filter, choisissez Filter Pattern, puis saisissez ce qui suit :
{ $.eventName = "ConsoleLogin" && $.additionalEventData.MFAUsed = "No" }
Note
Pour plus d'informations sur la syntaxe des filtres de métriques et des modèles pour lesévénements de journal CloudTrail, consultez les sections relatives à JSON de la rubriqueSyntaxe de filtre et de modèle du Guide de l'utilisateur Amazon CloudWatch.
6. Choisissez Assign Metric, puis sur l'écran Create Metric Filter and Assign a Metric, dans la zone Filter Name, entrezConsoleSignInWithoutMfa
7. Sous Détails de la métrique, dans la zone Espace de nom de la métrique, entrez CloudTrailMetrics .8. Dans le champ Nom de la métrique, entrez ConsoleSignInWithoutMfaCount .9. Choisissez Metric Value et entrez 1.
Version 1.0214
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour les CloudTrail
événements : Exemples supplémentaires
Note
Si Metric Value n'apparaît pas, choisissez Show advanced metric settings d'abord.10. Lorsque vous avez terminé, choisissez Create Filter.
Exemple: Créer une alarme
Cette procédure est une continuation des étapes précédentes de création d'un filtre de métrique.
1. Sur les filtres pour Log_Group_Name, en regard du nom du filtre, choisissez Create Alarm (Créerune alarme ).
2. Sur la page Create Alarm, renseignez les valeurs suivantes.
Version 1.0215
AWS CloudTrail Guide de l'utilisateurCréation d'CloudWatchalarmes pour les CloudTrail
événements : Exemples supplémentaires
Version 1.0216
AWS CloudTrail Guide de l'utilisateurConfiguration de notifications pour
les alarmes CloudWatch Logs
Paramètre Value
Connexion à la console sans MFA
1
1
5 minutes
Somme
Près de la zone Select a notification list, choisissez New list, puistapez un nom de rubrique unique pour la liste.
Choisissez Email list, puis entrez l'adresse e-mail à laquelle voussouhaitez envoyer des notifications. (Vous recevrez un e-mail àcette adresse afin de confirmer que vous avez créé cette alarme).
3. Lorsque vous avez terminé, choisissez Create Alarm.
Configuration de notifications pour les alarmesCloudWatch LogsVous pouvez configurer CloudWatch Logs pour envoyer une notification lorsqu'une alarme est déclenchéepour CloudTrail. Cela vous permet de répondre rapidement aux événements opérationnels critiquesenregistrés dans les événements CloudTrail et détectés par CloudWatch Logs. CloudWatch utilise AmazonSimple Notification Service (SNS) pour envoyer des e-mails. Pour plus d'informations, consultez ConfigurerAmazon SNS dans le Manuel du développeur CloudWatch.
Empêcher CloudTrail d'envoyer des événements àCloudWatch LogsPour arrêter l'envoi d'AWS CloudTrailévénements à Amazon CloudWatch Logs en mettant à jour un journalde suivi afin de désactiver CloudWatch Logs les paramètres.
Arrêt de l'envoi d'événements à CloudWatch Logs (console)
Pour arrêter d'envoyer CloudTrail des événements àCloudWatch Logs
1. Connectez-vous à la AWS Management Console et ouvrez la console CloudTrail à l'adresse https://console.aws.amazon.com/cloudtrail/.
2. Dans le volet de navigation, choisissez Trails (Journaux de suivi).3. Choisissez le nom du journal de suivi pour lequel vous souhaitez désactiver CloudWatch Logs
l'intégration.4. Dans CloudWatch Logs , choisissez Edit (Modifier).5. Sur la page Update trail (Mettre à jour le suivi), dans CloudWatch Logs , décochez la case Enabled
(Activé).
Version 1.0217
AWS CloudTrail Guide de l'utilisateurConvention de dénomination CloudWatch de groupede journaux et de flux de journaux pour CloudTrail
6. Pour enregistrer vos modifications, choisissez Update trail (Mettre à jour le suivi).
Arrêt de l'envoi d'événements à CloudWatch Logs (interface deligne de commande)Vous pouvez supprimer le groupe de CloudWatch Logs journaux en tant que point de terminaison delivraison en exécutant la update-trail (p. 98) commande. La commande suivante supprime le groupe dejournaux et le rôle de la configuration du journal de suivi en remplaçant les valeurs de l'ARN du groupe dejournaux et de l'ARN du CloudWatch Logs rôle par des valeurs vides.
aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn="" --cloud-watch-logs-role-arn=""
Convention de dénomination CloudWatch de groupede journaux et de flux de journaux pour CloudTrailAmazon CloudWatch affiche le groupe de journaux que vous avez créé pour les événements CloudTrailavec tout autre groupe de journaux disponible dans une région. Nous recommandons d'utiliser un nomde groupe de journaux qui permet de distinguer facilement le groupe de journaux d'autres. Par exemple,CloudTrail/logs . Les noms de groupes de journaux peuvent comporter entre 1 et 512 caractères. Lescaractères autorisés sont : a-z, A-Z, 0-9, « _ » (trait de soulignement), « - » (tiret), « / » (barre oblique) et« . » (point).
Quand CloudTrail crée le flux de journaux pour le groupe de journaux, il nomme le flux de journaux selon leformat suivant : account_ID_CloudTrail_source_region.
Note
Si le volume des journaux CloudTrail est important, plusieurs flux de journaux peuvent être crééspour livrer les données des journaux à votre groupe de journaux.
Document de stratégie de rôle pour que CloudTrailutilise CloudWatch Logs pour la surveillanceCette section décrit la stratégie d'approbation requise pour que le rôle CloudTrail envoie des événementsde journal à CloudWatch Logs. Vous pouvez attacher un document de stratégie à un rôle lorsque vousconfigurez CloudTrail pour qu'il envoie des événements, comme décrit dans Envoi d'événements àCloudWatch Logs (p. 168). Vous pouvez également créer un rôle à l'aide d'IAM. Pour plus d'informations,consultez Création d'un rôle pour un Service AWS (AWS Management Console) ou Création d'un rôle (CLIet API).
L'exemple de document de stratégie suivant contient les autorisations requises pour créer un fluxCloudWatch de journaux dans le groupe de journaux que vous spécifiez et pour livrer CloudTrail desévénements à ce flux de journaux dans la USA Est (Ohio) région. (C'est la stratégie par défaut pour le rôleIAM par défaut CloudTrail_CloudWatchLogs_Role.)
{ "Version": "2012-10-17", "Statement": [ {
"Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow",
Version 1.0218
AWS CloudTrail Guide de l'utilisateurDocument de stratégie de rôle pour que CloudTrail
utilise CloudWatch Logs pour la surveillance
"Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ]
}, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] } ]}
Si vous créez une stratégie qui peut être utilisée aussi pour les journaux de suivi d'organisation, vous devezla modifier à partir de la stratégie par défaut créée pour le rôle. Par exemple, la stratégie suivante accordeCloudTrail les autorisations requises pour créer un flux de CloudWatch Logs journaux dans le groupe dejournaux que vous spécifiez comme valeur de log_group_nameet pour livrer CloudTrail les événements àce flux de journaux pour les journaux de suivi du compte AWS 111111111111 et pour les journaux de suivid'organisation créés dans le 111111111111 compte et appliqués à l'AWS Organizationsorganisation avecl'ID o-exampleorgid:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name:log-stream:o-exampleorgid_*" ] } ]}
Version 1.0219
AWS CloudTrail Guide de l'utilisateurRéception de fichiers journaux
CloudTrail de plusieurs comptes
Pour plus d'informations sur les journaux de suivi d'organisation, consultez Création d'un journal de suivipour une organisation (p. 116).
Réception de fichiers journaux CloudTrail deplusieurs comptes
Vous pouvez faire en sorte que CloudTrail livre les fichiers journaux de plusieurs comptes AWS dansun seul compartiment Amazon S3. Par exemple, vous avez quatre AWS comptes avec le compte IDs111111111111 , 222222222222 , et 333333333333 , et vous souhaitez configurer 444444444444pour livrer les fichiers journaux des quatre comptes vers un compartiment appartenant au compteCloudTrail .111111111111 Pour ce faire, appliquez les étapes suivantes dans l'ordre :
1. Activez CloudTrail dans le compte auquel le compartiment de destination appartient (111111111111dans cet exemple). N'activez pas encore CloudTrail dans tous les autres comptes.
Pour obtenir des instructions, consultez Création d'un journal de suivi (p. 76).2. Mettez à jour la stratégie de compartiment dans votre compartiment de destination pour octroyer des
autorisations entre comptes à CloudTrail.
Pour obtenir des instructions, consultez Configuration de la stratégie de compartiment pour plusieurscomptes (p. 220).
3. Activez CloudTrail dans les autres comptes souhaités (222222222222, 333333333333 et 444444444444dans cet exemple). Configurez CloudTrail dans ces comptes pour utiliser le même compartimentappartenant au compte que celui que vous avez spécifié à l'étape 1 (111111111111 dans cet exemple).
Pour obtenir des instructions, consultez Activer CloudTrail dans d'autres comptes (p. 221).
Rubriques• Configuration de la stratégie de compartiment pour plusieurs comptes (p. 220)• Activer CloudTrail dans d'autres comptes (p. 221)
Configuration de la stratégie de compartiment pourplusieurs comptesPour qu'un compartiment reçoive les fichiers journaux de plusieurs comptes, sa stratégie de compartimentdoit accorder une autorisation CloudTrail pour écrire des fichiers journaux à partir de tous les comptes quevous spécifiez. Cela signifie que vous devez modifier la stratégie de compartiment de votre compartimentde destination de sorte à accorder à CloudTrail l'autorisation d'écrire des fichiers journaux à partir dechaque compte spécifié.
Note
Pour des raisons de sécurité, les utilisateurs non autorisés ne peuvent pas créer un journal desuivi qui inclut AWSLogs/ comme S3KeyPrefix paramètre.
Pour modifier les autorisations de compartiment de sorte que les fichiers puissent être reçus àpartir de plusieurs comptes
1. Connectez-vous à AWS Management Console à l'aide du compte qui possède le compartiment(111111111111 dans cet exemple) et ouvrez la console Amazon S3.
2. Choisissez le compartiment où CloudTrail remet vos fichiers journaux, puis sélectionnez Propriétés.
Version 1.0220
AWS CloudTrail Guide de l'utilisateurActiver CloudTrail dans d'autres comptes
3. Choisissez Permissions.4. Choisissez Edit Bucket Policy.5. Modifiez la stratégie existante pour ajouter une ligne correspondant à chaque compte supplémentaire
dont vous voulez que les fichiers journaux soient remis à ce compartiment. Consultez l'exemple destratégie suivant, en particulier la ligne Resource soulignée qui spécifie un deuxième ID de compte.
Note
Un ID de compte AWS est un numéro à 12 chiffres ; les zéros du début ne doivent pas êtresupprimés.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::myBucketName" }, { "Sid": "AWSCloudTrailWrite20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:PutObject", "Resource": [ "arn:aws:s3:::myBucketName/[optional] myLogFilePrefix/AWSLogs/111111111111/*", "arn:aws:s3:::myBucketName/[optional] myLogFilePrefix/AWSLogs/222222222222/*" ], "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ]}
Activer CloudTrail dans d'autres comptesVous pouvez utiliser la console ou l'interface de ligne de commande pour activer CloudTrail dans d'autrescomptes AWS.
Utilisation de la console pour activer CloudTrail dans d'autrescomptes AWSVous pouvez utiliser la console CloudTrail pour activer CloudTrail dans d'autres comptes.
1. Connectez-vous à la console de gestion AWS avec les informations d'identification de compte222222222222 et ouvrez la console AWS CloudTrail. Dans la barre de navigation, sélectionnez larégion où vous souhaitez activer CloudTrail.
2. Sélectionnez Pour commencer.3. Sur la page suivante, tapez un nom pour votre suivi dans la zone Nom du suivi.
Version 1.0221
AWS CloudTrail Guide de l'utilisateurActiver CloudTrail dans d'autres comptes
4. Pour Create a new S3 bucket?, choisissez No. Utilisez la zone de texte pour entrer le nom ducompartiment que vous avez créé précédemment pour stocker les fichiers journaux lorsque vous vousêtes connecté à l'aide des 111111111111 informations d'identification de compte. CloudTrail affiche unavertissement vous demandant si vous êtes sûr de vouloir spécifier un compartiment S3 dans un autrecompte. Vérifiez que le nom du compartiment que vous avez entré.
5. Sélectionnez Advanced.6. Dans le champ Log file prefix (Préfixe du fichier journal), entrez le même préfixe que celui que
vous avez saisi pour stocker les fichiers journaux lorsque vous avez activé CloudTrail à l'aide desinformations d'identification de compte 111111111111. Si vous avez décidé d'utiliser un préfixequi est différent de celui que vous avez entré lorsque vous avez activé CloudTrail dans le premiercompte, vous devez modifier la stratégie de compartiment dans votre compartiment de destinationpour autoriser CloudTrail à écrire des fichiers journaux dans votre compartiment à l'aide de ce nouveaupréfixe.
7. (Facultatif) Choisissez Yes (Oui) ou No (Non) pour SNS notification for every log file delivery?(Notification SNS pour chaque livraison de fichier journal ?). Si vous avez choisi Yes (Oui), tapez unnom pour votre rubrique Amazon SNS dans le champ SNS topic (new) (Rubrique SNS (nouvelle)).
Note
Amazon SNS étant un service régional, si vous choisissez de créer une rubrique, cetterubrique existera dans la région où vous activez CloudTrail. Si vous avez un suivi quis'applique à toutes les régions, vous pouvez choisir une rubrique Amazon SNS dansn'importe quelle région tant que vous avez la bonne stratégie appliquée à la rubrique. Pourplus d’informations, consultez Stratégie de rubrique Amazon SNS pour CloudTrail (p. 288).
8. Sélectionnez Activer.
En environ 15 minutes, CloudTrail commence à publier les fichiers journaux montrant les appels AWSeffectués dans vos comptes dans cette région depuis que vous avez terminé les étapes précédentes.
Utilisation de l'interface de ligne de commande pour activerCloudTrail dans d'autres comptes AWSVous pouvez utiliser les outils de ligne de commande AWS pour activer CloudTrail dans d'autres compteset regrouper leurs fichiers journaux dans un seul compartiment Amazon S3. Pour plus d'informations surces outils, consultez AWS Command Line Interface Guide de l'utilisateur.
Activez CloudTrail dans vos comptes supplémentaires à l'aide de la commande create-trail, enspécifiant les éléments suivants :
• --name spécifie le nom du suivi.• --s3-bucket-name indique le compartiment Amazon S3 existant, créé lorsque vous avez activé
CloudTrail dans votre premier compte (111111111111 dans cet exemple).• --s3-prefix spécifie un préfixe pour le chemin de livraison du fichier journal (facultatif).• --is-multi-region-trail spécifie que ce journal de suivi consigne les événements de toutes les
régions AWS.
Contrairement aux suivis que vous créez à l'aide de la console, vous devez donner un nom à chaque suivique vous créez avec la AWS CLI. Vous pouvez créer un suivi pour chaque région dans laquelle un compteexécute des ressources AWS.
L'exemple de commande suivante montre comment créer un suivi pour vos autres comptes à l'aidede l'AWS CLI. Afin que les fichiers journaux pour ces comptes soient livrés dans le compartimentque vous avez créé dans votre premier compte (111111111111 dans cet exemple), spécifiez le nomdu compartiment dans l'option --s3-bucket-name. Les noms de compartiment Amazon S3 sontglobalement uniques.
Version 1.0222
AWS CloudTrail Guide de l'utilisateurPartage de fichiers journaux CloudTrail entre comptes AWS
aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail
Lorsque vous exécutez la commande, vous obtenez une sortie similaire à ce qui suit :
{ "IncludeGlobalServiceEvents": true, "Name": "AWSCloudTrailExample", "TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "MyBucketBelongingToAccount111111111111"}
Pour plus d'informations sur l'utilisation de CloudTrail à partir des outils de ligne de commande AWS,consultez la référence de la ligne de commande CloudTrail.
Partage de fichiers journaux CloudTrail entrecomptes AWS
Cette section explique comment partager des fichiers journaux CloudTrail entre plusieurs comptes AWS.Nous partons du principe que les fichiers journaux ont tous été reçus dans un seul compartiment AmazonS3, ce qui est le paramètre par défaut pour un journal de suivi créé dans la console CloudTrail. Dans lepremier scénario, vous apprendrez comment accorder l'accès en lecture seule aux comptes qui ont généréles fichiers journaux qui ont été placés dans votre compartiment Amazon S3. Dans le second scénario,vous apprendrez à accorder à tous les fichiers journaux l'accès à un compte tiers qui peut analyser lesfichiers.
Pour partager les fichiers journaux entre plusieurs comptes AWS, vous devez suivre la procédure suivante.Ces étapes sont expliquées en détail ultérieurement dans cette section.
• Créez un rôle IAM pour chaque compte avec lequel vous souhaitez partager les fichiers journaux.• Pour chacun de ces rôles IAM, créez une stratégie d'accès qui accorde l'accès en lecture seule au
compte avec lequel vous voulez partager les fichiers journaux.• Faites en sorte qu'un utilisateur IAM de chaque compte assume par programmation le rôle approprié et
récupère les fichiers journaux.
Cette section vous guide à travers la procédure précédente dans le contexte de deux différents scénariosde partages : accorder l'accès aux fichiers journaux à chaque compte qui a généré ces fichiers et partagerles fichiers journaux avec un tiers. La plupart des étapes sont identiques pour les deux scénarios ; ladifférence importante réside dans le type d'autorisations que le rôle IAM accorde à chaque compte.Autrement dit, vous pouvez accorder à un compte l'autorisation de lecture seule de ses propres fichiersjournaux ou accorder à un compte l'autorisation de lire tous les fichiers journaux. Pour plus de détails sur lagestion des autorisations pour les rôles IAM, consultez Rôles (délégation et fédération) dans IAM Guide del'utilisateur.
Scénario 1: Octroi de l'accès au compte qui a généréles fichiers journauxDans ce scénario, nous allons supposer que votre entreprise se compose de deux divisions et qu'ellepossède trois comptes AWS. Le premier compte, compte A, est le compte de niveau supérieur. Par
Version 1.0223
AWS CloudTrail Guide de l'utilisateurScénario 1: Octroi de l'accès au compte
qui a généré les fichiers journaux
exemple, il peut être géré par le service informatique de votre entreprise et par conséquent être chargé derecueillir les fichiers journaux de tous les autres services et divisions dans un compartiment unique. Lesdeux autres comptes, B et C, correspondent aux divisions de votre entreprise.
Ce scénario suppose que vous avez déjà configuré les fichiers journaux des trois comptes pour qu'ilssoient livrés dans un compartiment Amazon S3 unique et que ce compte A a un contrôle total sur cecompartiment, comme indiqué dans l'illustration suivante.
Bien que le compartiment Amazon S3 contienne les fichiers journaux générés par les comptes A, B et C,les comptes B et C n'ont initialement pas accès aux fichiers journaux que les comptes B et C ont généré.Vous allez accorder à chaque division un accès en lecture seule aux fichiers journaux qu'elle a générés,comme présenté dans l'illustration suivante.
Version 1.0224
AWS CloudTrail Guide de l'utilisateurScénario 2: Octroi d'accès à tous les journaux
Pour accorder l'accès en lecture seule aux fichiers journaux générés par les comptes B et C, vous devezprocéder comme suit dans le compte A. N'oubliez pas que le compte A a le contrôle total du compartimentAmazon S3.
• Créez un rôle IAM pour le compte B et un autre rôle IAM pour le compte C. Procédure : Création d'unrôle (p. 226)
• Pour le rôle IAM créé pour le compte B, créez une stratégie d'accès qui accorde l'accès en lectureseule aux fichiers journaux générés par le compte B. Pour le rôle IAM créé pour le compte C, créezune stratégie d'accès qui accorde l'accès en lecture seule aux fichiers journaux générés par lecompte C. Procédure : Création d'une stratégie d'accès pour accorder l'accès aux comptes que vousdétenez (p. 228)
• Faites en sorte qu'un utilisateur IAM du compte B assume par programmation le rôle créé pour lecompte B. Faites en sorte qu'un utilisateur IAM du compte C assume par programmation le rôle créépour le compte C. Chaque utilisateur IAM doit se voir accorder l'autorisation d'assumer le rôle par lepropriétaire du compte respectif. Voici comment procéder : Création de stratégies d'autorisations pour lesutilisateurs IAM (p. 231).
• Enfin, le propriétaire du compte qui accorde l'autorisation doit être un administrateur et il doitconnaître l'ARN du rôle du compte A une qui est assumé. Voici comment procéder : Appel deAssumeRole (p. 232).
Les utilisateurs IAM des comptes B et C peuvent ensuite récupérer par programmation leurs propresfichiers journaux, mais pas ceux d'un autre compte.
Scénario 2: Octroi d'accès à tous les journauxDans ce scénario, nous partons du principe que votre entreprise est structurée comme dans le scénarioprécédent, à savoir qu'elle est composée de deux divisions et qu'elle trois comptes AWS. Le premiercompte, compte A, est le compte de niveau supérieur. Il peut, par exemple, être géré par le serviceinformatique de votre entreprise et par conséquent être chargé de placer tous les autres fichiers journauxdans un compartiment unique. Les deux autres comptes, B et C, correspondent à chacune des divisions devotre entreprise.
Version 1.0225
AWS CloudTrail Guide de l'utilisateurCréation d'un rôle
À l'instar du scénario précédent, ce scénario suppose que vous avez déjà placé les fichiers journauxdes trois comptes dans un compartiment Amazon S3 unique et que le compte A a le contrôle total sur cecompartiment.
Enfin, nous allons supposer également que votre entreprise souhaite partager tous les fichiers journaux detous les comptes (A, B et C) avec un tiers. Ce tiers possède un compte AWS nommé compte Z, commeprésenté dans l'illustration suivante.
Pour partager tous les fichiers journaux de votre entreprise avec le compte Z, vous devez procéder de lamanière suivante dans le compte A, le compte qui a le contrôle total sur le compartiment Amazon S3.
• Créez un rôle IAM pour le compte Z. Procédure : Création d'un rôle (p. 226)• Pour le rôle IAM créé pour le compte Z, créez une stratégie d'accès qui accorde l'accès en lecture seule
aux fichiers journaux générés par les comptes A, B et C. Procédure : Création d'une stratégie d'accèspour accorder l'accès à un tiers (p. 230)
• Faites en sorte qu'un utilisateur IAM du compte Z assume par programmation le rôle, puis récupèreles fichiers journaux appropriés. LIAM'utilisateur doit recevoir l'autorisation d'assumer le rôle parle propriétaire du compte Z. Procédure : Création de stratégies d'autorisations pour les utilisateursIAM (p. 231). En outre, le propriétaire du compte qui accorde l'autorisation doit être un administrateuret connaître l'ARN du rôle dans le compte A qui est assumé. Voici comment procéder : Appel deAssumeRole (p. 232).
Création d'un rôleLorsque vous regroupez les fichiers journaux de plusieurs comptes dans un seul compartiment AmazonS3, seul le compte ayant le contrôle total du compartiment, le compte A dans notre exemple, dispose d'unaccès en lecture complet à tous les fichiers journaux dans le compartiment. Les comptes B, C et Z dansnotre exemple ne disposent d'aucuns droits jusqu'à ce que ceux-ci soient accordés. Par conséquent, pourpartager vos fichiers journaux AWS CloudTrail d'un compte avec un autre (autrement dit, pour terminer lescénario 1 ou le scénario 2 décrit précédemment dans cette section), vous devez autoriser l'accès entrecomptes. Pour ce faire, vous devez créer des rôles IAM et les stratégies d'accès associées.
Version 1.0226
AWS CloudTrail Guide de l'utilisateurCréation d'un rôle
RolesCréez un rôle IAM pour chaque compte auquel vous souhaitez accorder l'accès. Dans notre exemple,vous aurez trois rôles, un pour les comptes B, C et Z. Chaque rôle IAM définit une stratégie d'accès oud'autorisation qui autorise les comptes à accéder aux ressources (fichiers journaux) détenues par lecompte A. Les autorisations sont attachées à chaque rôle et associées à chaque compte (B, C ou Z)uniquement lorsque le rôle est assumé. Pour plus d'informations sur la gestion des autorisations pour lesrôles IAM, consultez Rôles IAM dans le IAM Guide de l'utilisateur. Pour plus d'informations sur la façond'assumer un rôle, consultez la section Endossement d'un rôle (p. 231).
PoliciesIl existe deux stratégies pour chaque rôle IAM que vous créez. La stratégie d'approbation spécifieune entité de confiance ou mandataire. Dans notre exemple, les comptes B, C et Z sont des entitésapprouvées, et un utilisateur IAM disposant des autorisations appropriées dans ces comptes peut assumerle rôle.
La stratégie d'approbation est créée automatiquement lorsque vous utilisez la console pour créer le rôle.Si vous utilisez le kit SDK pour créer le rôle, vous devez fournir la stratégie d'approbation en tant queparamètre de l'API CreateRole. Si vous utilisez la CLI pour créer le rôle, vous devez spécifier la stratégied'approbation dans la commande de CLI create-role.
La stratégie (ou les autorisations) d'accès du rôle que vous devez créer en tant que propriétaire ducompte A définit les actions et ressources auxquelles le mandataire ou l'entité approuvée est autorisé àaccéder (dans ce cas, les fichiers journaux CloudTrail). Dans le scénario 1 qui accorde au fichier journall'accès au compte qui a généré les fichiers journaux, comme indiqué dans Création d'une stratégie d'accèspour accorder l'accès aux comptes que vous détenez (p. 228). Dans le scénario 2 qui accorde à un tiersl'accès en lecture à tous les fichiers journaux, comme indiqué dans Création d'une stratégie d'accès pouraccorder l'accès à un tiers (p. 230).
Pour plus de détails sur la création et l'utilisation de stratégies IAM, consultez Gestion de l'accès dans leIAM Guide de l'utilisateur.
Création d'un rôlePour créer un rôle avec la console
1. Connectez-vous à AWS Management Console en tant qu'administrateur du compte A.2. Accédez à la console IAM.3. Dans le volet de navigation, choisissez Roles (Rôles).4. Choisissez Create New Role.5. Tapez un nom pour le nouveau rôle, puis sélectionnez Next Step.6. Choisissez Role for Cross-Account Access.7. Dans le scénario 1, procédez de la manière suivante pour fournir un accès entre comptes que vous
possédez :a. Choisissez Provide access between AWS accounts you own.b. Entrez l'ID de compte à 12 chiffres du compte (B, C ou Z) devant bénéficier d'un accès.c. Cochez la case Require MFA si vous souhaitez que l'utilisateur fournissent une authentification multi-
facteurs avant d'assumer le rôle.
Dans le scénario 2, procédez de la manière suivante pour fournir un accès à un compte tiers. Dans notreexemple, vous effectuez ces opérations pour le compte Z, l'analyseur de journaux tiers :a. Choisissez Allows IAM users from a 3rd party AWS account to access this account.
Version 1.0227
AWS CloudTrail Guide de l'utilisateurCréation d'une stratégie d'accès pour accorder
l'accès aux comptes que vous détenez
b. Entrez l'ID de compte à 12 chiffres du compte (compte Z) devant bénéficier d'un accès.c. Entrez un ID externe qui fournit un contrôle supplémentaire concernant les personnes pouvant
assumer le rôle. Pour plus d'informations, consultez Procédure d'utilisation d'un ID externe lorsquevous accordez l'accès à vos ressources AWS à un tiers dans le IAM Guide de l'utilisateur.
8. Sélectionnez Étape suivante pour attacher une stratégie qui définit les autorisations pour ce rôle.9. Sous Attacher la stratégie, choisissez la AmazonS3ReadOnlyAccess stratégie.
Note
Par défaut, la stratégie AmazonS3ReadOnlyAccess accorde des droits de récupération etd'inventaire de tous les compartiments Amazon S3 au sein de votre compte.
• Pour accorder un accès de compte uniquement aux fichiers journaux de ce compte (scénario 1),consultez la page Création d'une stratégie d'accès pour accorder l'accès aux comptes que vousdétenez (p. 228).
• Pour accorder à un compte l'accès à tous les fichiers journaux dans le compartiment Amazon S3(scénario 2), consultez Création d'une stratégie d'accès pour accorder l'accès à un tiers (p. 230).
10.Choisissez Next Step.11.Passez en revue les informations de rôle.
Note
Vous pouvez modifier le nom du rôle à ce stade si vous le souhaitez, mais si vous le faites,vous serez renvoyé à l'étape 2 : Sélectionnez la page Type de rôle dans laquelle vous devezentrer à nouveau les informations relatives au rôle.
12.Choisissez Créer un rôle. À la fin du processus de création de rôle, le rôle que vous avez créé s'affichedans la liste des rôles.
Création d'une stratégie d'accès pour accorder l'accèsaux comptes que vous détenezDans le scénario 1, en tant qu'administrateur du compte A, vous avez un contrôle total sur le compartimentAmazon S3 dans lequel CloudTrail écrit les fichiers journaux des comptes B et C. Vous souhaitez partagerles fichiers journaux de chaque unité commerciale avec l'unité commerciale qui les a créés. Cependant,vous ne voulez pas qu'une unité puisse lire les fichiers journaux de n'importe quelle autre unité.
Par exemple, pour partager les fichiers journaux du compte B avec le compte B, mais pas avec lecompte C, vous devez créer un nouveau rôle IAM dans le compte A qui spécifie que le compte B estun compte approuvé. Cette stratégie d'approbation de rôle spécifie que le compte B est approuvé pourassumer le rôle créé par le compte A ; elle doit ressembler à l'exemple suivant. La stratégie d'approbationest créée automatiquement si vous créez le rôle à l'aide de la console. Si vous utilisez le kit SDK pour créerle rôle, vous devez fournir la stratégie d'approbation en tant que paramètre de l'API CreateRole. Si vousutilisez la CLI pour créer le rôle, vous devez spécifier la stratégie d'approbation dans la commande de CLIcreate-role.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-B-id:root" },
Version 1.0228
AWS CloudTrail Guide de l'utilisateurCréation d'une stratégie d'accès pour accorder
l'accès aux comptes que vous détenez
"Action": "sts:AssumeRole" } ]}
Vous devez également créer une stratégie d'accès pour spécifier que le compte B peut lire uniquementl'emplacement dans lequel B a écrit ses fichiers journaux. La stratégie d'accès ressemblera à ce qui suit.Notez que l'ARN Ressource comprend l'ID de compte à 12 chiffres du compte B et le préfixe que vous avezspécifié, le cas échéant, lorsque vous avez activé CloudTrail pour le compte B pendant le processus deregroupement. Pour plus d'informations sur la spécification d'un préfixe, consultez Activer CloudTrail dansd'autres comptes (p. 221).
Important
Vous devez vous assurer que le préfixe de la stratégie d'accès est exactement le même que lepréfixe que vous avez spécifié lorsque vous avez activé CloudTrail pour le compte B. Si ce n'estpas le cas, vous devez modifier la stratégie d'accès du rôle IAM du compte A pour intégrer lepréfixe réel pour le compte B. Si le préfixe dans la stratégie d'accès du rôle n'est pas exactementle même que le préfixe que vous avez spécifié lorsque vous avez activé CloudTrail dans lecompte B, ce dernier ne pourra pas accéder à ses fichiers journaux.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/account-B-id/*" }, { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::bucket-name" } ]}
Le rôle que vous créez pour le compte C sera presque identique à celui que vous avez créé pour lecompte B. La stratégie d'accès pour chaque rôle doit inclure l'ID de compte et le préfixe appropriés pourque chaque compte puisse lire uniquement à partir de l'emplacement dans lequel CloudTrail a écrit lesfichiers journaux de ce compte.
Une fois que vous avez créé des rôles pour chaque compte et spécifié les stratégies d'approbation etd'accès appropriées, et qu'un utilisateur IAM de chaque compte s'est vu attribuer des droits d'accèspar l'administrateur de ce compte, un utilisateur IAM des comptes B ou C peut assumer le rôle parprogrammation.
Une fois que vous avez créé des rôles pour chaque compte et spécifié les stratégies d'approbation etd'accès appropriées, un utilisateur IAM d'un des comptes nouvellement approuvés (B ou C) doit assumer lerôle par programmation pour pouvoir lire les fichiers journaux à partir du compartiment Amazon S3.
Pour plus d’informations, consultez Endossement d'un rôle (p. 231).
Version 1.0229
AWS CloudTrail Guide de l'utilisateurCréation d'une stratégie d'accèspour accorder l'accès à un tiers
Création d'une stratégie d'accès pour accorder l'accèsà un tiersLe compte A doit créer un rôle IAM distinct pour le compte Z, l'analyseur tiers du scénario 2. Lorsque vouscréez le rôle, la relation d'approbation créée automatiquement par AWS spécifie que le compte Z seraapprouvé pour assumer le rôle. La stratégie d'accès pour le rôle spécifie les actions que le compte Z peutréaliser. Pour plus d'informations sur la création de rôles et de stratégies de rôle, consultez Création d'unrôle (p. 226).
Par exemple, la relation d'approbation créée par AWS spécifie que le compte Z est approuvé pour assumerle rôle créé par le compte A. Voici un exemple de stratégie d'approbation :
{ "Version": "2012-10-17", "Statement": [{ "Sid": "", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::account-Z-id:root"}, "Action": "sts:AssumeRole" }]}
Si vous avez spécifié un ID externe lorsque vous avez créé le rôle pour le compte Z, votre stratégie d'accèscontient un élément Condition ajouté qui teste l'ID unique affecté par le compte Z. L'essai est effectuélorsque le rôle est assumé. L'exemple de stratégie d'accès suivant comporte un élément Condition.
Pour plus d'informations, consultez Procédure d'utilisation d'un ID externe lorsque vous accordez l'accès àvos ressources AWS à un tiers dans le IAM Guide de l'utilisateur.
{ "Version": "2012-10-17", "Statement": [{ "Sid": "", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::account-Z-id:root"}, "Action": "sts:AssumeRole", "Condition": {"StringEquals": {"sts:ExternalId": "external-ID-issued-by-account-Z"}} }]}
Vous devez également créer une stratégie d'accès pour que le rôle du compte A spécifie que le compte Zpeut lire tous les journaux du compartiment Amazon S3. La stratégie d'accès doit ressembler à l'exemplesuivant. Le caractère générique (*) à la fin de la valeur Resource indique que le compte Z peut accéder àn'importe quel fichier journal dans le compartiment S3 auquel l'accès lui a été accordé.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::bucket-name/*" }, { "Effect": "Allow",
Version 1.0230
AWS CloudTrail Guide de l'utilisateurEndossement d'un rôle
"Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::bucket-name" } ]}
Une fois que vous avez créé un rôle pour le compte Z et précisé la relation d'approbation et la stratégied'accès appropriées, un utilisateur IAM du compte Z doit assumer le rôle par programmation pour pouvoirlire les fichiers journaux à partir du compartiment. Pour plus d’informations, consultez Endossement d'unrôle (p. 231).
Endossement d'un rôleVous devez désigner un autre utilisateur IAM pour assumer tous les rôles que vous avez créé dans chaquecompte et vous assurer que chaque utilisateur IAM dispose des autorisations adéquates.
Utilisateurs et rôles IAMUne fois que vous avez créé les rôles et les stratégies nécessaires dans le compte A pour les scénarios 1et 2, vous devez désigner un utilisateur IAM dans chacun des comptes B, C et Z. Chaque utilisateurIAM assumera par programmation le rôle approprié pour accéder aux fichiers journaux. Autrement dit,l'utilisateur du compte B assumera le rôle créé pour le compte B, l'utilisateur du compte C le rôle créé pourle compte C et l'utilisateur du compte Z le rôle créé pour le compte Z. Lorsqu'un utilisateur assume un rôle,AWS renvoie des informations d'identification de sécurité temporaires qui peuvent être utilisées pour créerdes demandes pour répertorier, extraire, copier ou supprimer les fichiers journaux selon les autorisationsaccordées par la stratégie d'accès associée au rôle.
Pour plus d'informations sur l'utilisation des utilisateurs IAM, consultez Utilisation des utilisateurs et desgroupes IAM.
La principale différence entre les scénarios 1 et 2 est la stratégie d'accès que vous créez pour chaque rôleIAM dans chaque scénario.
• Dans le scénario 1, les stratégies d'accès pour les comptes B et C limitent chaque compte à la lecture deses propres fichiers journaux. Pour plus d’informations, consultez Création d'une stratégie d'accès pouraccorder l'accès aux comptes que vous détenez (p. 228).
• Dans le scénario 2, la stratégie d'accès du compte Z l'autorise à lire tous les fichiers journaux quisont regroupés dans le compartiment Amazon S3. Pour plus d’informations, consultez Création d'unestratégie d'accès pour accorder l'accès à un tiers (p. 230).
Création de stratégies d'autorisations pour les utilisateurs IAMPour effectuer les opérations autorisées par les rôles, l'utilisateur IAM doit avoir l'autorisation d'appeler l'APIAWS STS AssumeRole . Vous devez modifier la stratégie basée sur l'utilisateur pour chaque utilisateurIAM pour lui accorder les autorisations appropriées. Autrement dit, vous définissez un élément Ressourcedans la stratégie qui est attachée à l'utilisateur IAM. L'exemple suivant montre une stratégie pour unutilisateur IAM du compte B qui autorise l'utilisateur à assumer un rôle nommé « Test » créé précédemmentpar le compte A.
Pour attacher la stratégie requise au rôle IAM
1. Connectez-vous à AWS Management Console et ouvrez la console IAM.2. Choisissez l'utilisateur dont vous voulez modifier les autorisations.
Version 1.0231
AWS CloudTrail Guide de l'utilisateurEndossement d'un rôle
3. Choisissez l'onglet Autorisations.4. Choisissez Custom Policy.5. Choisissez Use the policy editor to customize your own set of permissions.6. Tapez un nom pour la stratégie.7. Copiez la stratégie suivante dans l'espace prévu pour le document de stratégie.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["sts:AssumeRole"], "Resource": "arn:aws:iam::account-A-id:role/Test" } ]}
Important
Seuls les utilisateurs IAM peuvent assumer un rôle. Si vous essayez d'utiliser les informationsd'identification du compte racine AWS pour assumer un rôle, l'accès est refusé.
Appel de AssumeRoleUn utilisateur des comptes B, C ou Z peut assumer un rôle en créant une application qui appelle l'API AWSSTS AssumeRole et qui transmet le nom de la session de rôle, l'ARN (Amazon Resource Number) du rôleà assumer et un ID externe facultatif. Le nom de session de rôle est défini par le compte A lorsque celui-cicrée le rôle à assumer. L'ID externe, le cas échéant, est défini par le compte Z et transmise au compte Apour qu'il soit inclus lors de la création de rôle. Pour plus d'informations, consultez Procédure d'utilisationd'un ID externe lorsque vous accordez l'accès à vos ressources AWS à un tiers dans le IAM Guide del'utilisateur. Vous pouvez récupérer l'ARN du compte A en ouvrant la console IAM.
Pour rechercher la valeur de l'ARN du compte A avec la console IAM
1. Sélectionnez Roles2. Choisissez le rôle que vous souhaitez examiner.3. Recherchez Role ARN dans la section Summary.
LAssumeRole'API renvoie des informations d'identification temporaires qu'un utilisateur des comptesB, C ou Z peut utiliser pour accéder aux ressources du compte A. Dans cet exemple, les ressourcesauxquelles vous souhaitez accéder sont le Amazon S3 compartiment et les fichiers journaux que contientle compartiment. Les informations d'identification temporaires disposent des autorisations que vous avezdéfinies dans la stratégie d'accès du rôle.
L'exemple suivant de Python (qui utilise AWS SDK for Python (Boto)) montre comment appelerAssumeRole et comment utiliser les informations d'identification de sécurité temporaires renvoyées pourafficher tous les compartiments Amazon S3 contrôlés par le compte A.
def list_buckets_from_assumed_role(user_key, assume_role_arn, session_name): """ Assumes a role that grants permission to list the Amazon S3 buckets in the account. Uses the temporary credentials from the role to list the buckets that are owned by the assumed role's account.
:param user_key: The access key of a user that has permission to assume the role.
Version 1.0232
AWS CloudTrail Guide de l'utilisateurArrêt du partage de fichiers CloudTrail
journaux entre comptes AWS
:param assume_role_arn: The Amazon Resource Name (ARN) of the role that grants access to list the other account's buckets. :param session_name: The name of the STS session. """ sts_client = boto3.client( 'sts', aws_access_key_id=user_key.id, aws_secret_access_key=user_key.secret) response = sts_client.assume_role( RoleArn=assume_role_arn, RoleSessionName=session_name) temp_credentials = response['Credentials'] print(f"Assumed role {assume_role_arn} and got temporary credentials.")
# Create an S3 resource that can access the account with the temporary credentials. s3_resource = boto3.resource( 's3', aws_access_key_id=temp_credentials['AccessKeyId'], aws_secret_access_key=temp_credentials['SecretAccessKey'], aws_session_token=temp_credentials['SessionToken'])
print(f"Listing buckets for the assumed role's account:") for bucket in s3_resource.buckets.all(): print(bucket.name)
Arrêt du partage de fichiers CloudTrail journaux entrecomptes AWSPour arrêter le partage de fichiers journaux avec un autre compte AWS, il suffit de supprimer le rôle quevous avez créé pour ce compte dans Création d'un rôle (p. 226).
1. Connectez-vous à AWS Management Console en tant qu'utilisateur IAM disposant d'autorisations deniveau administratif pour le compte A.
2. Accédez à la console IAM.3. Dans le volet de navigation, cliquez sur Roles.4. Sélectionnez le rôle à supprimer.5. Effectuez un clic droit et sélectionnez Delete Role dans le menu contextuel.
Validation de l'intégrité des fichiers journauxCloudTrail
Pour déterminer si un fichier journal a été modifié ou supprimé, ou s'il reste inchangé après avoir étélivré par CloudTrail, vous pouvez utiliser la validation de l'intégrité des fichiers journaux CloudTrail. Cettefonction est générée à l'aide d'algorithmes conformes aux normes du secteur : SHA-256 pour le hachageet SHA-256 avec RSA pour la signature numérique. Elle empêche de modifier, supprimer ou falsifier desfichiers journaux CloudTrail par traitement informatique sans détection. Vous pouvez utiliser l'AWS CLIpour valider les fichiers à l'emplacement où CloudTrail les a livrés.
Pourquoi l'utiliser ?Les fichiers journaux validés s'avèrent utiles lors d'enquêtes de sécurité et légales. Par exemple, un fichierjournal validé permet d'affirmer que le fichier journal en question n'a pas été modifié ou que les informationsd'identification d'un utilisateur donné ont réalisé telle ou telle activité d'API. Le processus de validation del'intégrité des fichiers journaux CloudTrail permet également de savoir si un fichier journal a été suppriméou modifié, ou bien de s'assurer qu'aucun fichier journal n'a été livré à votre compte au cours d'une périodedonnée.
Version 1.0233
AWS CloudTrail Guide de l'utilisateurFonctionnement
FonctionnementLorsque vous activez la validation de l'intégrité des fichiers journaux, CloudTrail crée un hachage pourchaque fichier journal qu'il fournit. De plus, toutes les heures, CloudTrail crée et fournit un fichier quiréférence les fichiers journaux créés au cours de l'heure écoulée, qui contient un hachage de chacun d'eux.Ce fichier est appelé un fichier de valeur de hachage. CloudTrail signe chaque fichier de valeur de hachageà l'aide de la clé privée d'une paire de clés publique et privée. Après la livraison, vous pouvez utiliser la clépublique pour valider le fichier de valeur de hachage. CloudTrail utilise des paires de clés différentes pourchaque région AWS.
Les fichiers de valeur de hachage sont livrés dans le même compartiment Amazon S3 associé au journalde suivi que les fichiers journaux CloudTrail. Si vos fichiers journaux sont livrés dans un seul compartimentAmazon S3 à partir de toutes les régions ou de plusieurs comptes, CloudTrail livre les fichiers de valeur dehachage provenant de ces régions et comptes dans le même compartiment.
Les fichiers de valeur de hachage sont placés dans un dossier distinct de celui des fichiers-journaux. Cetteséparation des fichiers de valeur de hachage et des fichiers journaux permet de mettre en application desstratégies de sécurité granulaires et permet aux solutions de traitement de fichiers journaux existantesde continuer à fonctionner sans modification. Chaque fichier de valeur de hachage contient également lasignature numérique du fichier de valeur de hachage précédent, le cas échéant. La signature du fichier devaleur de hachage actuel se trouve dans les propriétés de métadonnées de l'objet Amazon S3 du fichier devaleur de hachage. Pour plus d'informations sur le contenu du fichier de valeur de hachage, consultez lapage Structure du fichier de valeur de hachage CloudTrail (p. 241).
Stockage des fichiers journaux et des fichiers de valeur dehachageVous pouvez stocker les fichiers CloudTrail journaux et les fichiers de valeur de hachage dans Amazon S3ou de S3 Glacier manière sécurisée, durable et économique pour une durée indéterminée. Afin d'améliorerla sécurité des fichiers de valeur de hachage stockés dans Amazon S3, vous pouvez utiliser la fonctionAmazon S3 Supprimer MFA.
Activer la validation et les fichiers de validationPour activer la validation de l'intégrité des fichiers journaux, vous pouvez utiliser AWS ManagementConsole, l'AWS CLI ou l'API CloudTrail. Pour plus d’informations, consultez Activation de la validation del'intégrité des fichiers journaux pour CloudTrail (p. 234).
Pour valider l'intégrité des fichiers journaux CloudTrail, vous pouvez utiliser l'AWS CLI ou créer votre propresolution. L'AWS CLI valide les fichiers à l'emplacement où CloudTrail les a livrés. Si vous souhaitez validerles journaux que vous avez déplacé vers un autre emplacement, dans Amazon S3 ou ailleurs, vous pouvezcréer vos propres outils de validation.
Pour plus d'informations sur la validation des journaux à l'aide de l'AWS CLI, consultez Validation del'intégrité des fichiers journaux CloudTrail avec l'AWS CLI (p. 235). Pour plus d'informations sur ledéveloppement de mises en œuvre personnalisées de la validation des fichiers journaux CloudTrail,consultez Implémentations personnalisées de la validation de l'intégrité des fichiers journaux CloudTrail (p. 246).
Activation de la validation de l'intégrité des fichiersjournaux pour CloudTrailVous pouvez activer la validation de l'intégrité des fichiers journaux à l'aide d'AWS Management Console,de l'interface de ligne de commande AWS (AWS CLI) ou de l'API CloudTrail. CloudTrailcommence à livrerles fichiers de valeur de hachage en une heure environ.
Version 1.0234
AWS CloudTrail Guide de l'utilisateurValidation de l'intégrité des fichiersjournaux CloudTrail avec l'AWS CLI
AWS Management ConsolePour activer la validation de l'intégrité des fichiers journaux avec la console CloudTrail, choisissez Yes(Oui) pour l'option Enable log file validation (Activer la validation des fichiers journaux) lorsque vous créezou mettez à jour un journal de suivi. Par défaut, cette fonctionnalité est activée pour les nouveaux suivis.Pour plus d’informations, consultez Création et mise à jour d'un journal de suivi avec la console (p. 75).
AWS CLIPour activer la validation de l'intégrité des fichiers journaux avec l'AWS CLI, utilisez l'option --enable-log-file-validation avec la commande create-trail ou update-trail. Pour désactiver la validation del'intégrité des fichiers journaux, utilisez l'option --no-enable-log-file-validation.
Exemple
La commande update-trail suivante active la validation des fichiers journaux et commence à livrer desfichiers de valeur de hachage dans le compartiment Amazon S3 pour le journal de suivi spécifié.
aws cloudtrail update-trail --name your-trail-name --enable-log-file-validation
API CloudTrailPour activer la validation de l'intégrité des fichiers journaux avec l'API CloudTrail, affectez au paramètrede demande EnableLogFileValidation la valeur true lorsque vous appelez CreateTrail ouUpdateTrail.
Pour de plus amples informations, consultez CreateTrail et UpdateTrail dans le AWS CloudTrail APIReference.
Validation de l'intégrité des fichiers journaux CloudTrailavec l'AWS CLIPour valider les journaux avec l'AWS Command Line Interface, utilisez la commande CloudTrailvalidate-logs. La commande utilise les fichiers de valeur de hachage livrés dans votre compartimentAmazon S3 pour effectuer la validation. Pour plus d'informations sur les fichiers de valeur de hachage,consultez Structure du fichier de valeur de hachage CloudTrail (p. 241).
L'AWS CLI permet de détecter les types de modifications suivants :
• Modification ou suppression des fichiers journaux CloudTrail• Modification ou suppression des fichiers de valeur de hachage CloudTrail• Modification ou suppression des deux types de fichiers ci-dessus
Note
L'AWS CLI valide uniquement les fichiers journaux qui sont référencés par les fichiers de valeur dehachage. Pour plus d’informations, consultez Vérifier si un fichier donné a été livré par CloudTrail (p. 241).
PrerequisitesPour valider l'intégrité des fichiers journaux avec l'AWS CLI, les conditions suivantes doivent être remplies :
• Vous devez avoir une connectivité en ligne à AWS.
Version 1.0235
AWS CloudTrail Guide de l'utilisateurValidation de l'intégrité des fichiersjournaux CloudTrail avec l'AWS CLI
• Vous devez disposer d'un accès en lecture au compartiment Amazon S3 qui contient les fichiers devaleur de hachage et les fichiers journaux.
• Les fichiers de valeur de hachage et les fichiers journaux doivent ne pas avoir été déplacés del'emplacement Amazon S3 initial où CloudTrail les a livrés.
Note
Les fichiers journaux qui ont été téléchargés sur le disque local ne peuvent pas être validés avecl'AWS CLI. Pour des recommandations sur la création de vos propres outils pour la validation,consultez Implémentations personnalisées de la validation de l'intégrité des fichiers journauxCloudTrail (p. 246).
validate-logsSyntax
Voici la syntaxe d' validate-logs . Les paramètres facultatifs sont affichés entre crochets.
aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time>[--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]
Options
Voici les options de ligne de commande pour validate-logs . Les --trail-arn options --start-time et sont obligatoires.
--start-time
Spécifie que les fichiers journaux livrés à la valeur d'horodatage UTC spécifiée ou après seront validés.Exemple: 2015-01-08T05:21:42Z.
--end-time
Spécifie en option que les fichiers journaux livrés à la valeur d'horodatage UTC spécifiée ouavant seront validés. La valeur par défaut est l'heure UTC actuelle (Date.now()). Exemple:2015-01-08T12:31:41Z.
Note
Pour la plage de temps spécifiée, la commande validate-logs vérifie uniquement lesfichiers journaux qui sont référencés dans les fichiers de valeur de hachage correspondants.Aucun autre fichier journal dans le compartiment Amazon S3 n'est vérifié. Pour plusd’informations, consultez Vérifier si un fichier donné a été livré par CloudTrail (p. 241).
--s3-bucket
Vous pouvez, en option, spécifier le compartiment Amazon S3 où les fichiers de valeur de hachagesont stockés. Si aucun nom de compartiment n'est spécifié, l'AWS CLI le récupère en appelantDescribeTrails().
--prefix
Vous pouvez, en option, spécifier le préfixe Amazon S3 où les fichiers de valeur de hachage sontstockés. Si celui-ci n'est pas précisé, l'AWS CLI le récupère en appelant DescribeTrails().
Version 1.0236
AWS CloudTrail Guide de l'utilisateurValidation de l'intégrité des fichiersjournaux CloudTrail avec l'AWS CLI
Note
Vous devez utiliser cette option uniquement si votre préfixe actuel est différent du préfixeutilisé au cours de la plage de temps que vous spécifiez.
--trail-arn
Spécifie le nom Amazon Resource Name (ARN) du suivi à valider. Format de l'ARN d'un suivi.
arn:aws:cloudtrail:us-east-2:111111111111:trail/MyTrailName
Note
Pour obtenir l'ARN d'un suivi, vous pouvez utiliser la commande describe-trails avantd'exécuter validate-logs.Vous pouvez spécifier le nom du compartiment et le préfixe en plus de l'ARN du suivi si lesfichiers journaux ont été livrés à plusieurs compartiments dans la plage de temps que vousavez spécifiée, et que vous souhaitez limiter la validation au fichiers journaux dans un seuldes compartiments.
--verbose
Génère, en option, des informations de validation pour chaque fichier journal ou fichier de valeur dehachage dans la plage de temps spécifiée. La sortie indique si le fichier reste inchangé ou s'il a étémodifié ou supprimé. En mode non détaillé (la valeur par défaut), les informations sont renvoyéesuniquement en cas d'échec de validation.
ExampleL'exemple suivant valide les fichiers journaux à partir de l'heure de début spécifiée jusqu'à l'heure actuelle,à l'aide du compartiment Amazon S3 configuré pour le suivi actuel et en spécifiant une sortie détaillée.
aws cloudtrail validate-logs --start-time 2015-08-27T00:00:00Z --end-time 2015-08-28T00:00:00Z --trail-arn arn:aws:cloudtrail:us-east-2:111111111111:trail/my-trail-name --verbose
Fonctionnement d'un validate-logsLa commande validate-logs commence par valider le fichier de valeur de hachage le plus récent dansla plage de temps spécifiée. Elle vérifie d'abord que le fichier de valeur de hachage a été téléchargé à partirde l'emplacement auquel il prétend appartenir. En d'autres termes, si la CLI télécharge le fichier de valeurde hachage df1 à partir de l'emplacement S3 p1, validate-logs vérifie que p1 == df1.digestS3Bucket+ '/' + df1.digestS3Object.
Si la signature du fichier de valeur de hachage est valide, elle vérifie la valeur de hachage de chacun desjournaux référencés dans le fichier de valeur de hachage. La commande remonte ensuite dans le temps etvalide les fichiers de valeur de hachage précédents ainsi que les fichiers journaux référencés dans l'ordre.Elle continue jusqu'à ce que la valeur spécifiée pour start-time soit atteinte, ou jusqu'à la fin de chaînede valeur de hachage prenne fin. Si un fichier de valeur de hachage est manquant ou non valide, la plagede temps ne pouvant pas être validée est indiquée dans la sortie.
Résultats de la validationLes résultats de la validation commencent par un en-tête récapitulatif au format suivant :
Validating log files for trail trail_ARN between time_stamp and time_stamp
Version 1.0237
AWS CloudTrail Guide de l'utilisateurValidation de l'intégrité des fichiersjournaux CloudTrail avec l'AWS CLI
Chaque ligne de la sortie principale contient les résultats de validation d'un fichier de valeur de hachage oud'un fichier journal au format suivant :
<Digest file | Log file> <S3 path> <Validation Message>
Le tableau suivant décrit les messages de validation possibles pour les fichiers journaux et les fichiers devaleur de hachage.
Type de fichier Message de validation Description
Digest file valid La signature du fichier de valeur de hachageest valide. Les fichiers journaux auxquels if faitréférence peuvent être vérifiés. Ce message estinclus uniquement en mode détaillé.
Digest file INVALID: has been movedfrom its original location
Le compartiment S3 ou l'objet S3 à partir dontle fichier de valeur de hachage été extraitne correspond pas aux emplacements decompartiment S3 ou d'objet S3 enregistréesdans le fichier de valeur de hachage.
Digest file INVALID: invalid format Le format du fichier de valeur de hachage n'estpas valide. Les fichiers journaux correspondantà la plage de temps que le fichier de valeurde hachage représente ne peuvent pas êtrevalidés.
Digest file INVALID: not found Le fichier de valeur de hachage est introuvable.Les fichiers journaux correspondant à la plagede temps que le fichier de valeur de hachagereprésente ne peuvent pas être validés.
Digest file INVALID: public key notfound for fingerprintfingerprint
La clé publique correspondant à l'empreintedigitale enregistrée dans le fichier de valeur dehachage est introuvable. Le fichier de valeur dehachage ne peut pas être validé.
Digest file INVALID: signatureverification failed
La signature du fichier de valeur de hachagen'est pas valide. Etant donné que le fichier devaleur de hachage n'est pas valide, les fichiersjournaux auxquels il fait référence ne peuventpas être validés et aucune affirmation ne peutêtre faite concernant l'activité de l'API dans cesfichiers.
Digest file INVALID: Unable toload PKCS #1 key withfingerprint fingerprint
Etant donné que la clé publique codée DER auformat PKCS #1 possédant l'empreinte spécifiéen'a pas pu être chargée, le fichier de valeur dehachage ne peut pas être validé.
Log file valid Le fichier journal a été validé et n'a pas étémodifié depuis le moment de la livraison. Cemessage est inclus uniquement en modedétaillé.
Log file INVALID: hash valuedoesn't match
Le hachage du fichier journal ne correspondpas. Le fichier journal a été modifié après lalivraison par CloudTrail.
Version 1.0238
AWS CloudTrail Guide de l'utilisateurValidation de l'intégrité des fichiersjournaux CloudTrail avec l'AWS CLI
Type de fichier Message de validation Description
Log file INVALID: invalid format Le format du fichier journal n'est pas valide. Lefichier journal ne peut pas être validé.
Log file INVALID: not found Le fichier journal est introuvable et ne peut pasêtre validé.
La sortie inclut des informations récapitulative sur les résultats retournés.
Exemples de sortiesVerboseL'exemple de validate-logs commande suivant utilise l'--verboseindicateur et produit l'exemple desortie qui suit. [...]indique que l'exemple de sortie a été abrégé.
aws cloudtrail validate-logs --trail-arn arn:aws:cloudtrail:us-east-2:111111111111:trail/example-trail-name --start-time 2015-08-31T22:00:00Z --end-time 2015-09-01T19:17:29Z --verbose
Validating log files for trail arn:aws:cloudtrail:us-east-2:111111111111:trail/example-trail-name between 2015-08-31T22:00:00Z and 2015-09-01T19:17:29Z Digest file s3://example-bucket/AWSLogs/111111111111/CloudTrail-Digest/us-east-2/2015/09/01/111111111111_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T201728Z.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1925Z_WZZw1RymnjCRjxXc.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1915Z_POuvV87nu6pfAV2W.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1930Z_l2QgXhAKVm1QXiIA.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1920Z_eQJteBBrfpBCqOqw.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1950Z_9g5A6qlR2B5KaRdq.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1920Z_i4DNCC12BuXd6Ru7.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1915Z_Sg5caf2RH6Jdx0EJ.json.gz validDigest file s3://example-bucket/AWSLogs/111111111111/CloudTrail-Digest/us-east-2/2015/09/01/111111111111_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T191728Z.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1910Z_YYSFiuFQk4nrtnEW.json.gz valid[...]Log file s3://example-bucket/AWSLogs/144218288521/CloudTrail/us-east-2/2015/09/01/144218288521_CloudTrail_us-east-2_20150901T1055Z_0Sfy6m9f6iBzmoPF.json.gz validLog file s3://example-bucket/AWSLogs/144218288521/CloudTrail/us-east-2/2015/09/01/144218288521_CloudTrail_us-east-2_20150901T1040Z_lLa3QzVLpOed7igR.json.gz valid
Version 1.0239
AWS CloudTrail Guide de l'utilisateurValidation de l'intégrité des fichiersjournaux CloudTrail avec l'AWS CLI
Digest file s3://example-bucket/AWSLogs/144218288521/CloudTrail-Digest/us-east-2/2015/09/01/144218288521_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T101728Z.json.gz INVALID: signature verification failed
Digest file s3://example-bucket/AWSLogs/144218288521/CloudTrail-Digest/us-east-2/2015/09/01/144218288521_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T091728Z.json.gz validLog file s3://example-bucket/AWSLogs/144218288521/CloudTrail/us-east-2/2015/09/01/144218288521_CloudTrail_us-east-2_20150901T0830Z_eaFvO3dwHo4NCqqc.json.gz validDigest file s3://example-bucket/AWSLogs/144218288521/CloudTrail-Digest/us-east-2/2015/09/01/144218288521_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T081728Z.json.gz validDigest file s3://example-bucket/AWSLogs/144218288521/CloudTrail-Digest/us-east-2/2015/09/01/144218288521_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T071728Z.json.gz valid[...]Log file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/08/31/111111111111_CloudTrail_us-east-2_20150831T2245Z_mbJkEO5kNcDnVhGh.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/08/31/111111111111_CloudTrail_us-east-2_20150831T2225Z_IQ6kXy8sKU03RSPr.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/08/31/111111111111_CloudTrail_us-east-2_20150831T2230Z_eRPVRTxHQ5498ROA.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/08/31/111111111111_CloudTrail_us-east-2_20150831T2255Z_IlWawYZGvTWB5vYN.json.gz validDigest file s3://example-bucket/AWSLogs/111111111111/CloudTrail-Digest/us-east-2/2015/08/31/111111111111_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150831T221728Z.json.gz valid
Results requested for 2015-08-31T22:00:00Z to 2015-09-01T19:17:29ZResults found for 2015-08-31T22:17:28Z to 2015-09-01T20:17:28Z:
22/23 digest files valid, 1/23 digest files INVALID63/63 log files valid
Non détaillée
L'exemple de commande validate-logs suivant n'utilise pas l'indicateur --verbose. Dans l'exemplede sortie qui suit, une erreur a été détectée. Seules les informations concernant l'en-tête, les erreurs et lesinformations récapitulatives sont renvoyées.
aws cloudtrail validate-logs --trail-arn arn:aws:cloudtrail:us-east-2:111111111111:trail/example-trail-name --start-time 2015-08-31T22:00:00Z --end-time 2015-09-01T19:17:29Z
Validating log files for trail arn:aws:cloudtrail:us-east-2:111111111111:trail/example-trail-name between 2015-08-31T22:00:00Z and 2015-09-01T19:17:29Z
Digest file s3://example-bucket/AWSLogs/144218288521/CloudTrail-Digest/us-east-2/2015/09/01/144218288521_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T101728Z.json.gz INVALID: signature verification failed
Results requested for 2015-08-31T22:00:00Z to 2015-09-01T19:17:29ZResults found for 2015-08-31T22:17:28Z to 2015-09-01T20:17:28Z:
22/23 digest files valid, 1/23 digest files INVALID63/63 log files valid
Version 1.0240
AWS CloudTrail Guide de l'utilisateurStructure du fichier de valeur de hachage CloudTrail
Vérifier si un fichier donné a été livré par CloudTrailPour vérifier si un fichier donné de votre compartiment a été livré par CloudTrail, exécutez validate-logs en mode détaillé pour la période qui inclut le fichier. Si le fichier figure dans la sortie de validate-logs, c'est qu'il a été livré par CloudTrail.
Structure du fichier de valeur de hachage CloudTrailChaque fichier de valeur de hachage contient les noms des fichiers journaux qui ont été livrés dans votrecompartiment Amazon S3 au cours de la dernière heure, les valeurs de hachage de ces fichiers journaux,ainsi que la signature numérique du précédent fichier de valeur de hachage. La signature du fichier devaleur de hachage est stocké dans les propriétés de métadonnées de l'objet fichier de valeur de hachage.Les signatures numériques et les hachages sont utilisés pour valider l'intégrité des fichiers journaux et dufichier de valeur de hachage même.
Emplacement du fichier de valeur de hachageLes fichiers de valeur de hachage sont livrés dans un emplacement de compartiment Amazon S3 quirespecte cette syntaxe.
s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/ region/digest-end-year/digest-end-month/digest-end-date/ aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
Note
Pour les journaux de suivi d'une organisation, la localisation du compartiment inclut également l'IDde l'unité d'organisation, comme suit :
s3://s3-bucket-name/optional-prefix/AWSLogs/OU-ID/aws-account-id/CloudTrail-Digest/ region/digest-end-year/digest-end-month/digest-end-date/ aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz
Exemple de contenu du fichier de valeur de hachageL'exemple suivant de fichier de valeur de hachage contient les informations concernant un journalCloudTrail.
{ "awsAccountId": "111122223333", "digestStartTime": "2015-08-17T14:01:31Z", "digestEndTime": "2015-08-17T15:01:31Z", "digestS3Bucket": "S3-bucket-name", "digestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/17/111122223333_CloudTrail-Digest_us-east-2_your-trail-name_us-east-2_20150817T150131Z.json.gz", "digestPublicKeyFingerprint": "31e8b5433410dfb61a9dc45cc65b22ff", "digestSignatureAlgorithm": "SHA256withRSA", "newestEventTime": "2015-08-17T14:52:27Z", "oldestEventTime": "2015-08-17T14:42:27Z", "previousDigestS3Bucket": "S3-bucket-name", "previousDigestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/17/111122223333_CloudTrail-Digest_us-east-2_your-trail-name_us-east-2_20150817T140131Z.json.gz", "previousDigestHashValue": "97fb791cf91ffc440d274f8190dbdd9aa09c34432aba82739df18b6d3c13df2d",
Version 1.0241
AWS CloudTrail Guide de l'utilisateurStructure du fichier de valeur de hachage CloudTrail
"previousDigestHashAlgorithm": "SHA-256", "previousDigestSignature": "50887ccffad4c002b97caa37cc9dc626e3c680207d41d27fa5835458e066e0d3652fc4dfc30937e4d5f4cc7f796e7a258fb50a43ac427f2237f6e505d4efaf373d156e15e3b68dea9f58111d395b62628d6bd367a9024d2183b5c5f6e19466d3a996b92df705bc997b8a0e13430f241d733cf95df4e41bb6c304c3f58363043572ea57a27085639ce187e679c0d81c7519b1184fa77fb7ab0b0e40a32dace6e1eefc3995c5ae182da49b62b26398cebb52a2201a6387b75b89c83e5570bcb9bba6c34a80f2f00a1c6ebe07d1ff149eccd812dc805bb3eeff6657db32a6cb48d2d096404eb76181877bc6ebb8cd0b23f823200155b2fd8848d428e46e8456328a", "logFiles": [ { "s3Bucket": "S3-bucket-name", "s3Object": "AWSLogs/111122223333/CloudTrail/us-east-2/2015/08/17/111122223333_CloudTrail_us-east-2_20150817T1445Z_9nYN7gp2eWAJHIfT.json.gz", "hashValue": "9bb6196fc6b84d6f075a56548feca262bd99ba3c2de41b618e5b6e22c1fc71f6", "hashAlgorithm": "SHA-256", "newestEventTime": "2015-08-17T14:52:27Z", "oldestEventTime": "2015-08-17T14:42:27Z" } ]}
Description des champs d'un fichier de valeur de hachageVoici la description de chacun des champs du fichier de valeur de hachage :
awsAccountId
ID de compte AWS pour lequel le fichier de valeur de hachage a été livré.
digestStartTime
Début de la plage de temps en heure UTC couverte par le fichier de valeur de hachage, avec commeréférence l'heure à laquelle les fichiers journaux ont été livrés par CloudTrail. Cela signifie que si laplage de temps est [Ta, Tb], la valeur de hachage contient tous les fichiers journaux livrés au cliententre Ta et Tb.
digestEndTime
Fin de la plage de temps en heure UTC couverte par le fichier de valeur de hachage, avec commeréférence l'heure à laquelle les fichiers journaux ont été livrés par CloudTrail. Cela signifie que si laplage de temps est [Ta, Tb], la valeur de hachage contient tous les fichiers journaux livrés au cliententre Ta et Tb.
digestS3Bucket
Nom du compartiment Amazon S3 dans lequel le fichier de valeur de hachage actuel a été livré.
digestS3Object
Clé d'objet Amazon S3 (autrement dit, emplacement du compartiment Amazon S3) du fichier de valeurde hachage actuel. Les deux premières régions dans la chaîne présentent la région à partir de laquellele fichier de valeur de hachage a été livré. La dernière région (après your-trail-name) est la régiond'origine du suivi. La région d'origine est celle dans laquelle le suivi a été créé. Dans le cas d'un suivisur plusieurs régions, elle peut être différente de la région à partir de laquelle le fichier de valeur dehachage a été livré.
newestEventTime
L'heure UTC de l'événement le plus récent parmi tous les événements dans les fichiers journaux dansla valeur de hachage.
Version 1.0242
AWS CloudTrail Guide de l'utilisateurStructure du fichier de valeur de hachage CloudTrail
oldestEventTime
L'heure UTC de l'événement le plus ancien parmi tous les événements dans les fichiers journaux dansla valeur de hachage.
Note
Si le fichier de valeur de hachage est livré en retard, la valeur de oldestEventTime seraantérieure à la valeur de digestStartTime.
previousDigestS3Bucket
Compartiment Amazon S3 dans lequel le fichier de valeur de hachage précédent a été livré.
previousDigestS3Object
Clé d'objet Amazon S3 (autrement dit, emplacement du compartiment Amazon S3) du fichier de valeurde hachage précédent.
previousDigestHashValue
Valeur de hachage codée hexadécimale du contenu non compressé du fichier de valeur de hachageprécédente.
previousDigestHashAlgorithm
Nom de l'algorithme de hachage utilisé pour hacher le fichier de valeur de hachage précédent.
publicKeyFingerprint
Empreinte codée au format hexadécimal de la clé publique qui correspond à la clé privée utilisée poursigner ce fichier de valeur de hachage. Vous pouvez récupérer les clés publiques pour la plage detemps correspondant au fichier de valeur de hachage à l'aide de l'AWS CLI ou de l'API CloudTrail.Parmi les clés publiques renvoyées, celle dont l'empreinte correspond à cette valeur peut être utiliséepour valider le fichier de valeur de hachage. Pour plus d'informations sur la récupération de cléspubliques pour les fichiers de valeur de hachage, consultez la commande AWS CLIlist-public-keys de l'interface de ligne de commande ou l'API CloudTrailListPublicKeys.
Note
CloudTrail utilise des paires de clés privée/publique différentes par région. Chaque fichier devaleur de hachage est signé avec une clé privée unique à sa région. Par conséquent, lorsquevous validez un fichier de valeur de hachage provenant d'une région donnée, vous devezrechercher dans la même région la clé publique correspondante.
digestSignatureAlgorithm
Algorithme utilisé pour signer le fichier de valeur de hachage.
logFiles.s3Bucket
Nom du compartiment Amazon S3 pour le fichier journal.
logFiles.s3Object
Clé d'objet Amazon S3 du fichier journal actuel.
Version 1.0243
AWS CloudTrail Guide de l'utilisateurStructure du fichier de valeur de hachage CloudTrail
logFiles.newestEventTime
Heure UTC de l'événement le plus récent dans le fichier journal. Cette heure correspond aussi àl'horodatage du fichier journal même.
logFiles.oldestEventTime
Heure UTC de l'événement le plus ancien dans le fichier journal.
logFiles.hashValue
Valeur de hachage codée au format hexadécimal du contenu du fichier journal décompressé.
logFiles.hashAlgorithm
Algorithme de hachage utilisé pour hacher le fichier journal.
Fichier de valeur de hachage de départAu démarrage de la validation de l'intégrité des fichiers journaux, un fichier de valeur de hachage de départsera généré. Un fichier de valeur de hachage de départ sera également généré au redémarrage de lavalidation de l'intégrité des fichiers journaux (soit en désactivant puis en réactivant la validation de l'intégritédes fichiers journaux ou en arrêtant puis en redémarrant la journalisation avec la validation activée). Dansun fichier de valeur de hachage de départ, les champs suivants concernant le fichier de valeur de hachageprécédent auront la valeur null :
• previousDigestS3Bucket
• previousDigestS3Object
• previousDigestHashValue
• previousDigestHashAlgorithm
• previousDigestSignature
Fichiers de valeur de hachage « vides »CloudTrail livre un fichier de valeur de hachage même lorsqu'il n'y a aucune activité d'API dans votrecompte au cours de la période d'une heure que représente le fichier de valeur de hachage. Cela peut êtreutile lorsque vous avez besoin d'affirmer qu'aucun fichier journal n'a été livré au cours de l'heure signalé parle fichier de valeur de hachage.
L'exemple suivant présente le contenu d'un fichier de valeur de hachage qui a enregistré une heure alorsqu'aucune activité d'API ne s'est produite. Notez que le champ logFiles:[ ] à la fin du contenu dufichier de valeur de hachage est vide.
{ "awsAccountId": "111122223333", "digestStartTime": "2015-08-20T17:01:31Z", "digestEndTime": "2015-08-20T18:01:31Z", "digestS3Bucket": "example-bucket-name", "digestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/20/111122223333_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150820T180131Z.json.gz", "digestPublicKeyFingerprint": "31e8b5433410dfb61a9dc45cc65b22ff", "digestSignatureAlgorithm": "SHA256withRSA", "newestEventTime": null, "oldestEventTime": null,
Version 1.0244
AWS CloudTrail Guide de l'utilisateurStructure du fichier de valeur de hachage CloudTrail
"previousDigestS3Bucket": "example-bucket-name", "previousDigestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/20/111122223333_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150820T170131Z.json.gz", "previousDigestHashValue": "ed96c4bac9eaa8fe9716ca0e515da51938be651b1db31d781956416a9d05cdfa", "previousDigestHashAlgorithm": "SHA-256", "previousDigestSignature": "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", "logFiles": []}
Signature du fichier de valeur de hachageLes informations de signature d'un fichier de valeur de hachage sont contenues dans deux propriétés demétadonnées de l'objet du fichier de valeur de hachage Amazon S3. Chaque fichier de valeur de hachagecontient les entrées de métadonnées suivantes :
• x-amz-meta-signature
Valeur codée au format hexadécimal de la signature du fichier de valeur de hachage. Voici un exemplede signature :
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
• x-amz-meta-signature-algorithm
L'exemple suivant montre un exemple de valeur de l'algorithme utilisé pour générer la signature de valeurde hachage :
SHA256withRSA
Chaînage du fichier de valeur de hachageLe fait que chaque fichier de valeur de hachage contienne une référence à son fichier de valeur dehachage précédent permet un « chaînage » qui permet aux outils de validation, comme l'AWS CLI, dedétecter si un fichier de valeur de hachage a été supprimé. Il autorise également l'inspection des fichiersde valeur de hachage contenus dans une plage de temps donnée successivement, en commençant par leplus récent.
Note
Lorsque vous désactivez la validation de l'intégrité des fichiers journaux, la chaîne des fichiersde valeur de hachage est interrompue au bout d'une heure. CloudTrail ne crée pas de fichier devaleur de hachage pour les fichiers journaux qui ont été livrés au cours d'une période pendantlaquelle la validation de l'intégrité des fichiers journaux a été désactivée. Par exemple, si vousactivez la validation de l'intégrité de fichiers journaux à midi le 1er janvier, que vous la désactivezle 2 janvier à midi, puis que vous la réactivez le 10 janvier à midi, les fichiers de valeur de hachagene seront pas créés pour les fichiers journaux livrés du 2 janvier à midi au 10 janvier à midi. Il enva de même à chaque fois que vous arrêtez la journalisation CloudTrail ou que vous supprimez unjournal de suivi.
Si la journalisation est arrêtée ou si le journal de suivi est supprimé, CloudTrail livre un fichier de valeurde hachage final. Ce fichier de valeur de hachage peut contenir des informations concernant tout fichierjournal restant qui couvre des événements jusqu'à StopLogging (compris).
Version 1.0245
AWS CloudTrail Guide de l'utilisateurImplémentations personnalisées de la validation
de l'intégrité des fichiers journaux CloudTrail
Implémentations personnalisées de la validation del'intégrité des fichiers journaux CloudTrailEtant donné que CloudTrail utilise des algorithmes de chiffrement et des fonctions de hachage standard,librement disponibles, vous pouvez créer vos propres outils pour valider l'intégrité des fichiers journauxCloudTrail. Lorsque la validation de l'intégrité des fichiers journaux est activée, CloudTrail livre les fichiersde valeur de hachage dans votre compartiment Amazon S3. Vous pouvez utiliser ces fichiers pourimplémenter votre propre solution de validation. Pour plus d'informations sur les fichiers de valeur dehachage, consultez la page Structure du fichier de valeur de hachage CloudTrail (p. 241).
Cette rubrique explique comment les fichiers de valeur de hachage sont signées, puis détaille les étapesnécessaires pour implémenter une solution qui valide les fichiers de valeur de hachage et les fichiersjournaux auxquels ils font référence.
Comprendre comment les fichiers de valeur de hachageCloudTrail sont signésLes fichiers de valeur de hachage CloudTrail sont signés avec des signatures numériques RSA. Pourchaque fichier de valeur de hachage, CloudTrail effectue les opérations suivantes :
1. Crée une chaîne pour la signature des données basée sur les champs de fichier de valeur de hachagedésignés (décrits dans la section suivante).
2. Obtient une clé privée unique pour la région.3. Transmet le hachage SHA-256 de la chaîne et la clé privée de l'algorithme de signature RSA, qui
génèrent une signature numérique.4. Code le code d'octet de la signature dans un format hexadécimal.5. Place la signature numérique dans la propriété de métadonnées x-amz-meta-signature de l'objet de
fichier de valeur de hachage Amazon S3.
Contenu de la chaîne de signature des donnéesLes objets CloudTrail suivants sont inclus dans la chaîne pour la signature de données :
• L'horodatage de fin du fichier de valeur de hachage au format UTC étendu (par exemple,2015-05-08T07:19:37Z)
• Chemin d'accès du fichier de valeur de hachage S3 actuel• Hachage SHA-256 codé au format hexadécimal du fichier de valeur de hachage actuel• Signature codée au format hexadécimal du fichier de valeur de hachage précédent
Le format pour le calcul de cette chaîne et un exemple de chaîne sont fournis ultérieurement dans cedocument.
Étapes d'implémentation de la validation personnaliséeLors de l'implémentation d'une solution de validation personnalisée, vous devez d'abord valider le fichier devaleur de hachage, puis les fichiers journaux auxquels il fait référence.
Valider le fichier de valeur de hachageAfin de valider un fichier de valeur de hachage, vous avez besoin de sa signature, de la clé publique dont laclé privée a été utilisée pour le signer et d'une chaîne de signature des données que vous calculez.
1. Obtenir le fichier de valeur de hachage.
Version 1.0246
AWS CloudTrail Guide de l'utilisateurImplémentations personnalisées de la validation
de l'intégrité des fichiers journaux CloudTrail
2. Vérifier que le fichier de valeur de hachage a été récupéré à partir de son emplacement d'origine.3. Obtenir la signature codée au format hexadécimal du fichier de valeur de hachage.4. Obtenir l'empreinte codée au format hexadécimal de la clé publique dont la clé privée a été utilisée pour
signer le fichier de valeur de hachage.5. Récupérer les clés publiques pour la plage de temps correspondant au fichier de valeur de hachage.6. Parmi les clés publiques récupérées, sélectionnez la clé publique dont l'empreinte correspond à
l'empreinte dans le fichier de valeur de hachage.7. Grâce au hachage du fichier de valeur de hachage et aux autres champs du fichier de valeur de
hachage, recréer la chaîne de signature utilisée pour vérifier la signature de fichier de valeur dehachage.
8. Valider la signature en transmettant le hachage SHA-256 de la chaîne, la clé publique et la signaturecomme paramètres de l'algorithme de vérification de signature RSA. Si le résultat est true, le fichier devaleur de hachage est valide.
Valider les fichiers-journaux
Si le fichier de valeur de hachage est valide, valider chacun des fichiers journaux auquel le fichier de valeurde hachage fait référence.
1. Afin de valider l'intégrité d'un fichier journal, calculer sa valeur de hachage SHA-256 sur son contenudécompressé et comparer les résultats avec le hachage du fichier journal enregistré au formathexadécimal dans la valeur de hachage. Si les hachages correspondent, le fichier journal est valide.
2. En utilisant les informations concernant le fichier de valeur de hachage précédent qui est inclus dansle fichier de valeur de hachage actuel, valider les fichiers de valeur de hachage précédents et leursjournaux correspondants dans l'ordre.
Les sections suivantes décrivent ces étapes en détail.
A. Obtenir le fichier de valeur de hachage
Les premières étapes consistent à obtenir le fichier de valeur de hachage le plus récent, vérifier que vousl'avez récupéré de son emplacement d'origine, vérifier sa signature numérique et obtenir l'empreinte de laclé publique.
1. À l'aide de S3 Get ou de la AmazonS3Client classe (par exemple), obtenez le fichier de valeur dehachage le plus récent à partir de votre Amazon S3 compartiment pour la plage de temps que voussouhaitez valider.
2. Vérifiez que le compartiment S3 et l'objet S3 utilisés pour récupérer le fichier correspondent auxemplacements du compartiment S3 et de l'objet S3 qui sont enregistrés dans le fichier de valeur dehachage même.
3. Obtenez ensuite la signature numérique du fichier de valeur de hachage à partir de la propriété demétadonnées x-amz-meta-signature de l'objet du fichier de valeur de hachage dans Amazon S3.
4. Dans le fichier de valeur de hachage, obtenez l'empreinte de la clé publique dont laclé privée a été utilisée pour signer le fichier de valeur de hachage à partir du champdigestPublicKeyFingerprint.
B. Récupérer la clé publique pour valider le fichier de valeur de hachage
Pour obtenir la clé publique afin de valider le fichier de valeur de hachage, vous pouvez utiliser l'AWS CLIou l'API CloudTrail. Dans les deux cas, vous spécifiez une plage de temps (c'est-à-dire, une heure dedébut et une heure de fin) pour les fichiers de valeur de hachage que vous voulez valider. Une ou plusieursclés publiques peuvent être retournées pour l'intervalle de temps que vous spécifiez. Les clés renvoyéespeuvent avoir des plages de temps de validité qui se chevauchent.
Version 1.0247
AWS CloudTrail Guide de l'utilisateurImplémentations personnalisées de la validation
de l'intégrité des fichiers journaux CloudTrail
Note
Etant donné que CloudTrail utilise des paires de clés privée/publique différentes par région,chaque fichier de valeur de hachage est signé avec une clé privée spécifique à sa région. Parconséquent, lorsque vous validez un fichier de valeur de hachage à partir d'une région donnée,vous devez récupérer sa clé publique à partir de la même région.
Utiliser l'AWS CLI pour récupérer des clés publiques
Pour récupérer les clés publiques pour les fichiers de valeur de hachage à l'aide de l'AWS CLI, utilisez lacommande cloudtrail list-public-keys. La commande a le format suivant :
aws cloudtrail list-public-keys [--start-time <start-time>] [--end-time <end-time>]
Les paramètres d'heure de début et d'heure de fin sont des horodatages UTC facultatifs. S'ils ne sont passpécifiés, l'heure actuelle est utilisée et la ou les clés publiques actives sont renvoyées.
Exemple de réponse
La réponse est une liste d'objets JSON représentant la (ou les) clé(s) renvoyées :
{ "publicKeyList": [ { "ValidityStartTime": "1436317441.0", "ValidityEndTime": "1438909441.0", "Value": "MIIBCgKCAQEAn11L2YZ9h7onug2ILi1MWyHiMRsTQjfWE+pHVRLk1QjfWhirG+lpOa8NrwQ/r7Ah5bNL6HepznOU9XTDSfmmnP97mqyc7z/upfZdS/AHhYcGaz7n6Wc/RRBU6VmiPCrAUojuSk6/GjvA8iOPFsYDuBtviXarvuLPlrT9kAd4Lb+rFfR5peEgBEkhlzc5HuWO7S0y+KunqxX6jQBnXGMtxmPBPP0FylgWGNdFtks/4YSKcgqwH0YDcawP9GGGDAeCIqPWIXDLG1jOjRRzWfCmD0iJUkz8vTsn4hq/5ZxRFE7UBAUiVcGbdnDdvVfhF9C3dQiDq3k7adQIziLT0cShgQIDAQAB", "Fingerprint": "8eba5db5bea9b640d1c96a77256fe7f2" }, { "ValidityStartTime": "1434589460.0", "ValidityEndTime": "1437181460.0", "Value": "MIIBCgKCAQEApfYL2FiZhpN74LNWVUzhR+VheYhwhYm8w0n5Gf6i95ylW5kBAWKVEmnAQG7BvS5g9SMqFDQx52fW7NWV44IvfJ2xGXT+wT+DgR6ZQ+6yxskQNqV5YcXj4Aa5Zz4jJfsYjDuO2MDTZNIzNvBNzaBJ+r2WIWAJ/Xq54kyF63B6WE38vKuDE7nSd1FqQuEoNBFLPInvgggYe2Ym1Refe2z71wNcJ2kY+q0h1BSHrSM8RWuJIw7MXwF9iQncg9jYzUlNJomozQzAG5wSRfbplcCYNY40xvGd/aAmO0m+Y+XFMrKwtLCwseHPvj843qVno6x4BJN9bpWnoPo9sdsbGoiK3QIDAQAB", "Fingerprint": "8933b39ddc64d26d8e14ffbf6566fee4" }, { "ValidityStartTime": "1434589370.0", "ValidityEndTime": "1437181370.0", "Value": "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqlzPJbvZJ42UdcmLfPUqXYNfOs6I8lCfao/tOs8CmzPOEdtLWugB9xoIUz78qVHdKIqxbaG4jWHfJBiOSSFBM0lt8cdVo4TnRa7oG9io5pysS6DJhBBAeXsicufsiFJR+wrUNh8RSLxL4k6G1+BhLX20tJkZ/erT97tDGBujAelqseGg3vPZbTx9SMfOLN65PdLFudLP7Gat0Z9p5jw/rjpclKfo9Bfc3heeBxWGKwBBOKnFAaN9V57pOaosCvPKmHd9bg7jsQkI9Xp22IzGLsTFJZYVA3KiTAElDMu80iFXPHEq9hKNbt9e4URFam+1utKVEiLkR2disdCmPTK0VQIDAQAB", "Fingerprint": "31e8b5433410dfb61a9dc45cc65b22ff" } ]}
Utiliser l'API CloudTrail pour récupérer des clés publiques
Pour récupérer les clés publiques pour les fichiers de valeur de hachage à l'aide de l'API CloudTrail,transmettez les valeurs d'heure de début et d'heure de fin à l'API ListPublicKeys. L'API
Version 1.0248
AWS CloudTrail Guide de l'utilisateurImplémentations personnalisées de la validation
de l'intégrité des fichiers journaux CloudTrail
ListPublicKeys retourne les clés publiques dont les clés privées ont été utilisés pour signer les fichiersde valeur de hachage dans la plage de temps spécifiée. Pour chaque clé publique, l'API renvoie égalementl'empreinte correspondante.
ListPublicKeys
Cette section décrit les paramètres de demande et les éléments de réponse pour l'API ListPublicKeys.
Note
L'encodage pour les champs binaires pour ListPublicKeys est susceptible d'être modifié.
Paramètres de requête
Nom Description
StartTime Spécifie le cas échéant, au format UTC, le début de la plage de temps pourrechercher les clés publiques des fichiers de valeur de hachage CloudTrail.Si nStartTime'est pas spécifié, l'heure actuelle est utilisée et la clé publiqueactuelle est renvoyée.
Type: DateTime
EndTime Spécifie le cas échéant, au format UTC, la fin de la plage de temps pourrechercher les clés publiques des fichiers de valeur de hachage CloudTrail. SinEndTime'est pas spécifié, l'heure actuelle est utilisée.
Type: DateTime
Éléments de réponse
PublicKeyList, un tableau des objets PublicKey qui contient les éléments suivants :
Nom Description
Value La valeur de clé publique codée DER au format PKCS #1.
Type: BLOB
ValidityStartTime Heure de début de validité de la clé publique.
Type: DateTime
ValidityEndTime Heure de fin de validité de la clé publique.
Type: DateTime
Fingerprint Empreinte de la clé publique. L'empreinte peut servir à identifier la clé publiqueque vous devez utiliser pour valider le fichier de valeur de hachage.
Type: String (chaîne)
C. Choisir la clé publique à utiliser pour la validation
Parmi les clés publiques récupérées par list-public-keys ou ListPublicKeys, sélectionnez la clépublique renvoyée dont l'empreinte correspond à l'empreinte enregistrée dans le champ du fichier de valeur
Version 1.0249
AWS CloudTrail Guide de l'utilisateurImplémentations personnalisées de la validation
de l'intégrité des fichiers journaux CloudTrail
de hachage digestPublicKeyFingerprint. C'est la clé publique que vous utiliserez pour valider lefichier de valeur de hachage.
D. Recréer la chaîne de signature des données
Maintenant que vous avez la signature du fichier de valeur de hachage et la clé publique associée,vous devez calculer la chaîne de signature des données. Une fois que vous aurez calculé les chaîne designature des données, vous aurez les entrées nécessaires pour vérifier la signature.
La chaîne de signature des données possède le format suivant :
Data_To_Sign_String = Digest_End_Timestamp_in_UTC_Extended_format + '\n' + Current_Digest_File_S3_Path + '\n' + Hex(Sha256(current-digest-file-content)) + '\n' + Previous_digest_signature_in_hex
Un exemple de Data_To_Sign_String suit.
2015-08-12T04:01:31ZS3-bucket-name/AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/12/111122223333_us-east-2_CloudTrail-Digest_us-east-2_20150812T040131Z.json.gz4ff08d7c6ecd6eb313257e839645d20363ee3784a2328a7d76b99b53cc9bcacd6e8540b83c3ac86a0312d971a225361d28ed0af20d70c211a2d405e32abf529a8145c2966e3bb47362383a52441545ed091fb81d4c7c09dd152b84e79099ce7a9ec35d2b264eb92eb6e090f1e5ec5d40ec8a0729c02ff57f9e30d5343a8591638f8b794972ce15bb3063a0197298b0aee2c1c8af74ec620261529265e83a9834ebef6054979d3e9a6767dfa6fdb4ae153436c567d6ae208f988047ccfc8e5e41f7d0121e54ed66b1b904f80fb2ce304458a2a6b91685b699434b946c52589e9438f8ebe5a0d80522b2f043b3710b87d2cda43e5c1e0db921d8d540b9ad5f6d4$31b1f4a8ef2d758424329583897339493a082bb36e782143ee5464b4e3eb4ef6
Une fois que vous avez recréé cette chaîne, vous pouvez valider le fichier de valeur de hachage.
E. Valider le fichier de valeur de hachage
Transmettez le hachage SHA-256 de la chaîne de signature de données recréée, la signature numériqueet la clé publique de l'algorithme de vérification de la signature RSA. Si le résultat est true, la signature dufichier de valeur de hachage est vérifiée et le fichier de valeur de hachage est valide.
F. Valider les fichiers-journaux
Une fois que vous avez validé le fichier de valeur de hachage, vous pouvez valider les fichiers-journauxauquel il fait référence. Le fichier de valeur de hachage contient les hachages SHA-256 des fichiersjournaux. Si l'un des fichiers journaux a été modifié après sa livraison par CloudTrail, les hachagesSHA-256 changent et la signature du fichier de valeur de hachage ne correspond pas.
La section suivante montre comment valider les fichiers journaux :
1. Exécutez la commande S3 Get sur le fichier journal en utilisant les informations d'emplacement S3contenues dans les champs logFiles.s3Bucket et logFiles.s3Object du fichier valeur dehachage.
2. Si l'S3 Getopération aboutit, parcourez les fichiers journaux répertoriés dans le logFiles tableau dufichier de valeur de hachage en procédant comme suit :a. Récupérez le hachage d'origine du fichier à partir du champ logFiles.hashValue du journal
correspondant dans le fichier de valeur de hachage.b. Hachez le contenu non compressé du fichier journal avec l'algorithme de hachage spécifié dans
logFiles.hashAlgorithm.c. Comparez la valeur de hachage que vous avez générée avec celle du fichier journal dans le fichier de
valeur de hachage. Si les hachages correspondent, le fichier journal est valide.
Version 1.0250
AWS CloudTrail Guide de l'utilisateurImplémentations personnalisées de la validation
de l'intégrité des fichiers journaux CloudTrail
G. Valider des fichiers de valeur de hachage et des fichiers journauxsupplémentairesDans chaque fichier de valeur de hachage, les champs suivants fournissent l'emplacement et la signaturedu fichier de valeur de hachage précédent :
• previousDigestS3Bucket
• previousDigestS3Object
• previousDigestSignature
Utilisez ces informations pour consulter les fichiers de valeur de hachage précédents dans l'ordre, envalidant la signature de chacun et les fichiers journaux auxquels ils font référence en appliquant laprocédure présentée dans les sections précédentes. La seule différence est que pour les fichiers de valeurde hachage précédents, vous n'aviez pas besoin de récupérer la signature numérique depuis les propriétésde métadonnées Amazon S3 de l'objet du fichier de valeur de hachage. La signature du fichier de valeur dehachage précédent est fournie dans le champ previousDigestSignature.
Vous pouvez retourner en arrière jusqu'au fichier de valeur de hachage de départ ou jusqu'à ce que lachaîne de fichiers de valeur de hachage soit rompue, selon la première de ces deux éventualités.
Validation des fichiers de valeur de hachage et des fichiersjournaux hors connexionLors de la validation des fichiers de valeur de hachage et des fichiers journaux hors connexion, vouspouvez généralement suivre les procédures décrites dans les sections précédentes. Cependant, vousdevez prendre en compte les points suivants :
Gestion du fichier de valeur de hachage le plus récentLa signature numérique du fichier de valeur de hachage le plus récent (c'est-à-dire, « actuel ») estcontenue dans les propriétés de métadonnées Amazon S3 de l'objet du fichier de valeur de hachage.Dans un scénario hors connexion, la signature numérique du fichier de valeur de hachage actuel n'est pasdisponible.
Il existe deux façons de gérer cette situation :
• Dans la mesure où la signature numérique du fichier de valeur de hachage précédent est contenue dansle fichier de valeur de hachage actuel, commencez la validation du fichier de valeur de hachage suivantau dernier. Avec cette méthode, le fichier de valeur de hachage le plus récent ne peut pas être validé.
• À titre d'étape préliminaire, obtenez la signature pour le fichier de valeur de hachage actuel à partirdes propriétés de métadonnées de l'objet du fichier de valeur de hachage (par exemple, en appelantlAmazon S3getObjectMetadata'API ), puis stockez-la en toute sécurité hors connexion. Cela permettraitla validation du fichier actuel de valeur de hachage en plus des fichiers précédents de la chaîne.
Résolution du cheminLes champs des fichiers de valeur de hachage téléchargés tels que s3Object etpreviousDigestS3Object continuent de pointer vers les emplacements en ligne Amazon S3 desfichiers journaux et des fichiers de valeur de hachage. Une solution hors connexion doit trouver un moyende les réacheminer vers le chemin actuel du journal et des fichiers de valeur de hachage téléchargés.
Clés publiquesPour effectuer une validation hors connexion, vous devez dans un premier temps obtenir toutes les cléspubliques dont vous avez besoin pour valider les fichiers journaux dans une plage de temps donnée (en
Version 1.0251
AWS CloudTrail Guide de l'utilisateurImplémentations personnalisées de la validation
de l'intégrité des fichiers journaux CloudTrail
appelant ListPublicKeys, par exemple), puis les stocker en toute sécurité hors connexion. Cette étapedoit être répétée chaque fois que vous souhaitez valider des fichiers supplémentaires en dehors de laplage de temps que vous avez spécifiée au départ.
Extrait de code de validationL'exemple d'extrait de code suivant fournit un squelette de code pour la validation des fichiers de valeurde hachage et des fichiers journaux de CloudTrail. Ce squelette de code peut aussi bien être implémenteravec ou sans connexion à AWS ; c'est à vous de décider. L'implémentation suggéré utilise le JavaCryptography Extension (JCE) et Bouncy Castle comme fournisseur de sécurité.
L'exemple d'extrait de code montre :
• Procédure de création de la chaine de signature de données utilisée pour valider la signature du fichierde valeur de hachage des données.
• Procédure de vérification de la signature du fichier de valeur de hachage.• Procédure de vérification des hachages de fichier journal.• Structure de code pour la validation d'une chaîne de fichiers de valeur de hachage.
import java.util.Arrays;import java.security.MessageDigest;import java.security.KeyFactory;import java.security.PublicKey;import java.security.Security;import java.security.Signature;import java.security.spec.X509EncodedKeySpec;import org.json.JSONObject;import org.bouncycastle.jce.provider.BouncyCastleProvider;import org.apache.commons.codec.binary.Hex; public class DigestFileValidator { public void validateDigestFile(String digestS3Bucket, String digestS3Object, String digestSignature) { // Using the Bouncy Castle provider as a JCE security provider - http://www.bouncycastle.org/ Security.addProvider(new BouncyCastleProvider()); // Load the digest file from S3 (using Amazon S3 Client) or from your local copy JSONObject digestFile = loadDigestFileInMemory(digestS3Bucket, digestS3Object); // Check that the digest file has been retrieved from its original location if (!digestFile.getString("digestS3Bucket").equals(digestS3Bucket) || !digestFile.getString("digestS3Object").equals(digestS3Object)) { System.err.println("Digest file has been moved from its original location."); } else { // Compute digest file hash MessageDigest messageDigest = MessageDigest.getInstance("SHA-256"); messageDigest.update(convertToByteArray(digestFile)); byte[] digestFileHash = messageDigest.digest(); messageDigest.reset(); // Compute the data to sign String dataToSign = String.format("%s%n%s/%s%n%s%n%s", digestFile.getString("digestEndTime"), digestFile.getString("digestS3Bucket"), digestFile.getString("digestS3Object"), // Constructing the S3 path of the digest file as part of the data to sign Hex.encodeHexString(digestFileHash),
Version 1.0252
AWS CloudTrail Guide de l'utilisateurImplémentations personnalisées de la validation
de l'intégrité des fichiers journaux CloudTrail
digestFile.getString("previousDigestSignature")); byte[] signatureContent = Hex.decodeHex(digestSignature); /* NOTE: To find the right public key to verify the signature, call CloudTrail ListPublicKey API to get a list of public keys, then match by the publicKeyFingerprint in the digest file. Also, the public key bytes returned from ListPublicKey API are DER encoded in PKCS#1 format: PublicKeyInfo ::= SEQUENCE { algorithm AlgorithmIdentifier, PublicKey BIT STRING } AlgorithmIdentifier ::= SEQUENCE { algorithm OBJECT IDENTIFIER, parameters ANY DEFINED BY algorithm OPTIONAL } */ pkcs1PublicKeyBytes = getPublicKey(digestFile.getString("digestPublicKeyFingerprint"))); // Transform the PKCS#1 formatted public key to x.509 format. RSAPublicKey rsaPublicKey = RSAPublicKey.getInstance(pkcs1PublicKeyBytes); AlgorithmIdentifier rsaEncryption = new AlgorithmIdentifier(PKCSObjectIdentifiers.rsaEncryption, null); SubjectPublicKeyInfo publicKeyInfo = new SubjectPublicKeyInfo(rsaEncryption, rsaPublicKey); // Create the PublicKey object needed for the signature validation PublicKey publicKey = KeyFactory.getInstance("RSA", "BC").generatePublic(new X509EncodedKeySpec(publicKeyInfo.getEncoded())); // Verify signature Signature signature = Signature.getInstance("SHA256withRSA", "BC"); signature.initVerify(publicKey); signature.update(dataToSign.getBytes("UTF-8")); if (signature.verify(signatureContent)) { System.out.println("Digest file signature is valid, validating log files…"); for (int i = 0; i < digestFile.getJSONArray("logFiles").length(); i++) { JSONObject logFileMetadata = digestFile.getJSONArray("logFiles").getJSONObject(i); // Compute log file hash byte[] logFileContent = loadUncompressedLogFileInMemory( logFileMetadata.getString("s3Bucket"), logFileMetadata.getString("s3Object") ); messageDigest.update(logFileContent); byte[] logFileHash = messageDigest.digest(); messageDigest.reset(); // Retrieve expected hash for the log file being processed byte[] expectedHash = Hex.decodeHex(logFileMetadata.getString("hashValue")); boolean signaturesMatch = Arrays.equals(expectedHash, logFileHash); if (!signaturesMatch) { System.err.println(String.format("Log file: %s/%s hash doesn't match.\tExpected: %s Actual: %s",
Version 1.0253
AWS CloudTrail Guide de l'utilisateurUtilisation du CloudTrail Processing Library
logFileMetadata.getString("s3Bucket"), logFileMetadata.getString("s3Object"), Hex.encodeHexString(expectedHash), Hex.encodeHexString(logFileHash))); } else { System.out.println(String.format("Log file: %s/%s hash match", logFileMetadata.getString("s3Bucket"), logFileMetadata.getString("s3Object"))); } } } else { System.err.println("Digest signature failed validation."); } System.out.println("Digest file validation completed."); if (chainValidationIsEnabled()) { // This enables the digests' chain validation validateDigestFile( digestFile.getString("previousDigestS3Bucket"), digestFile.getString("previousDigestS3Object"), digestFile.getString("previousDigestSignature")); } } }}
Utilisation du CloudTrail Processing LibraryLa CloudTrail Processing Library est une bibliothèque Java qui fournit un moyen simple de traiter lesjournaux AWS CloudTrail. Vous fournissez les informations de configuration concernant votre file d'attenteSQS CloudTrail et vous écrivez le code pour traiter les événements. Le kit CloudTrail Processing Libraryse charge du reste. Elle interroge votre file d'attente Amazon SQS, lit et analyse les messages de la filed'attente, télécharge les fichiers journaux CloudTrail, analyse les événements des fichiers journaux et lestransmet à votre code en tant qu'objets Java.
La CloudTrail Processing Library est hautement scalable et tolérante aux pannes. Elle gère le traitementparallèle des fichiers journaux de telle sorte que vous puissiez traiter autant de journaux que nécessaire.Elle gère les défaillances du réseau liées aux délais de réseau et aux ressources inaccessibles.
La section suivante explique comment utiliser la CloudTrail Processing Library pour traiter des journauxCloudTrail dans vos projets Java.
La bibliothèque est fournie sous la forme d'un projet open source sous licence Apache, disponible surGitHub : https://github.com/aws/aws-cloudtrail-processing-library. La source de la bibliothèque inclut unexemple de code que vous pouvez utiliser comme base pour vos propres projets.
Rubriques• Configuration requise (p. 255)• Traitement des CloudTrail journaux (p. 255)• Rubriques avancées (p. 259)• Ressources supplémentaires (p. 262)
Version 1.0254
AWS CloudTrail Guide de l'utilisateurConfiguration requise
Configuration requisePour pouvoir utiliser la CloudTrail Processing Library, vous devez disposer des éléments suivants :
• AWS SDK for Java 1.10.27• Java 1.8 (Java SE 8)
Traitement des CloudTrail journauxPour traiter les journaux CloudTrail dans votre application Java :
1. Ajout de l' CloudTrail Processing Library à votre projet (p. 255)2. Configuration de CloudTrail Processing Library (p. 256)3. Implémentation du processeur d'événements (p. 258)4. Instanciation et exécution du programme d'exécution de traitement (p. 258)
Ajout de l' CloudTrail Processing Library à votre projetPour pouvoir utiliser la CloudTrail Processing Library, vous devez l'ajouter au chemin de classe de votreprojet Java.
Table des matières• Ajout de la bibliothèque à un projet Apache Ant (p. 255)• Ajout de la bibliothèque à un projet Apache Maven (p. 255)• Ajout de la bibliothèque à un projet Eclipse (p. 256)• Ajout de la bibliothèque à un IntelliJ projet (p. 256)
Ajout de la bibliothèque à un projet Apache Ant
Pour ajouter la bibliothèque à un projet Apache Ant
1. Download or clone the CloudTrail Processing Library source code from GitHub:
• https://github.com/aws/aws-cloudtrail-processing-library2. Build the .jar file from source as described in the README:
mvn clean install -Dgpg.skip=true
3. Copiez le fichier .jar résultant dans votre projet et ajoutez-le au fichier build.xml de votre projet.Exemple :
<classpath> <pathelement path="${classpath}"/> <pathelement location="lib/aws-cloudtrail-processing-library-1.3.0.jar"/></classpath>
Ajout de la bibliothèque à un projet Apache MavenLa CloudTrail Processing Library est disponible pour Apache Maven. L'ajouter à votre projet est aussisimple que d'écrire une seule dépendance dans le fichier pom.xml de votre projet.
Version 1.0255
AWS CloudTrail Guide de l'utilisateurTraitement des CloudTrail journaux
Pour ajouter la CloudTrail Processing Library à un projet Maven
• Ouvrez le fichier pom.xml du projet Maven et ajoutez les dépendances suivantes :
<dependency> <groupId>com.amazonaws</groupId> <artifactId>aws-cloudtrail-processing-library</artifactId> <version>1.3.0</version></dependency>
Ajout de la bibliothèque à un projet Eclipse
Pour ajouter la CloudTrail Processing Library à un projet Eclipse
1. Download or clone the CloudTrail Processing Library source code from GitHub:
• https://github.com/aws/aws-cloudtrail-processing-library2. Build the .jar file from source as described in the README:
mvn clean install -Dgpg.skip=true
3. Copiez le fichier aws-cloudtrail-processing-library-1.3.0.jar créé dans un répertoire de votre projet(généralement lib).
4. Cliquez avec le bouton droit sur le nom de votre projet dans l'Explorateur de projets Eclipse, choisissezBuild Path, puisConfigure
5. Dans la fenêtre Java Build Path, cliquez sur l'onglet Libraries.6. Choisissez Ajouter JARs... et accédez au chemin où vous avez copié aws-cloudtrail-processing-
library-1.3.0.jar .7. Cliquez sur OK pour terminer l'ajout du fichier .jar à votre projet.
Ajout de la bibliothèque à un IntelliJ projet
Pour ajouter l' CloudTrail Processing Library à un IntelliJ projet
1. Download or clone the CloudTrail Processing Library source code from GitHub:
• https://github.com/aws/aws-cloudtrail-processing-library2. Build the .jar file from source as described in the README:
mvn clean install -Dgpg.skip=true
3. DansFile, choisissez Project Structure.4. Choisissez Modules , puis Dependencies.5. Choisissez + JARS or Directories, puis accédez au chemin où vous avez créé le fichieraws-
cloudtrail-processing-library-1.3.0.jar.6. Choisissez Apply, puis cliquez sur OK pour terminer l'ajout du .jar à votre projet.
Configuration de CloudTrail Processing LibraryVous pouvez configurer la CloudTrail Processing Library en créant un fichier de propriétés de chemin declasse qui est chargé à l'exécution, ou en créant un objet ClientConfiguration et en définissant lesoptions manuellement.
Version 1.0256
AWS CloudTrail Guide de l'utilisateurTraitement des CloudTrail journaux
Fourniture d'un fichier de propriétés
Vous pouvez écrire un fichier de propriétés de chemin de classe qui fournit des options de configuration àvotre application. L'exemple suivant montre les options que vous pouvez définir :
# AWS access key. (Required)accessKey = your_access_key
# AWS secret key. (Required)secretKey = your_secret_key
# The SQS URL used to pull CloudTrail notification from. (Required)sqsUrl = your_sqs_queue_url
# The SQS end point specific to a region.sqsRegion = us-east-1
# A period of time during which Amazon SQS prevents other consuming components# from receiving and processing that message.visibilityTimeout = 60
# The S3 region to use.s3Region = us-east-1
# Number of threads used to download S3 files in parallel. Callbacks can be# invoked from any thread.threadCount = 1
# The time allowed, in seconds, for threads to shut down after# AWSCloudTrailEventProcessingExecutor.stop() is called. If they are still# running beyond this time, they will be forcibly terminated.threadTerminationDelaySeconds = 60
# The maximum number of AWSCloudTrailClientEvents sent to a single invocation# of processEvents().maxEventsPerEmit = 10
# Whether to include raw event information in CloudTrailDeliveryInfo.enableRawEventInfo = false
# Whether to delete SQS message when the CloudTrail Processing Library is unable to process the notification.deleteMessageUponFailure = false
Les paramètres suivants sont obligatoires :
• sqsUrl – Fournit l'URL à partir de laquelle extraire vos notifications CloudTrail. Si vous ne spécifiez pascette valeur, AWSCloudTrailProcessingExecutor lève une IllegalStateException.
• accessKey – Identifiant unique pour votre compte, comme AKIAIOSFODNN7EXAMPLE.• secretKey – Identifiant unique pour votre compte, comme wJalrXUtnFEMI/K7MDENG/
bPxRfiCYEXAMPLEKEY.
Les paramètres accessKey et secretKey fournissent vos informations d'identification AWS à labibliothèque, ce qui lui permet d'accéder à AWS en votre nom.
Les paramètres par défaut pour les autres paramètres sont définis par la bibliothèque. Pour plusd'informations, consultez la Référence de la bibliothèque de CloudTrail traitement AWS.
Version 1.0257
AWS CloudTrail Guide de l'utilisateurTraitement des CloudTrail journaux
Création d'unClientConfigurationAu lieu de définir les options dans les propriétés de chemin de classe, vous pouvez fournir des options à laclasse AWSCloudTrailProcessingExecutor en initialisant et en définissant des options dans un objetClientConfiguration, comme indiqué dans l'exemple suivant :
ClientConfiguration basicConfig = new ClientConfiguration( "http://sqs.us-east-1.amazonaws.com/123456789012/queue2", new DefaultAWSCredentialsProviderChain());
basicConfig.setEnableRawEventInfo(true);basicConfig.setThreadCount(4);basicConfig.setnEventsPerEmit(20);
Implémentation du processeur d'événementsPour traiter les journaux CloudTrail, vous devez implémenter un objet EventsProcessor qui reçoit lesdonnées de journal CloudTrail. Voici un exemple d'implémentation :
public class SampleEventsProcessor implements EventsProcessor {
public void process(List<CloudTrailEvent> events) { int i = 0; for (CloudTrailEvent event : events) { System.out.println(String.format("Process event %d : %s", i++, event.getEventData())); } }}
Lors de l'implémentation d'un objet EventsProcessor, vous devez implémenter le rappel process()que AWSCloudTrailProcessingExecutor utilise pour envoyer des événements CloudTrail. Lesévénements sont fournis dans une liste d'objets CloudTrailClientEvent.
L'objet CloudTrailClientEvent fournit des objets CloudTrailEvent etCloudTrailEventMetadata que vous pouvez utiliser pour lire les informations d'événement et detransmission de CloudTrail.
Cet exemple simple imprime les informations d'événement pour chaque événement transmis àSampleEventsProcessor . Dans votre propre implémentation, vous pouvez traiter les journaux selonvos besoins. L'objet AWSCloudTrailProcessingExecutor continue à envoyer des événements à votreEventsProcessor tant que celui-ci contient des événements d'envoi et qu'il est en cours d'exécution.
Instanciation et exécution du programme d'exécution detraitementAprès avoir écrit un objet EventsProcessor et défini les valeurs de configuration de laCloudTrail Processing Library (soit dans un fichier de propriétés, soit en utilisant la classeClientConfiguration), vous pouvez utiliser ces éléments pour initialiser et utiliser un objetAWSCloudTrailProcessingExecutor.
Pour utiliser AWSCloudTrailProcessingExecutor pour traiter les événements CloudTrail
1. Instanciez un AWSCloudTrailProcessingExecutor.Builder objet. Le constructeur Builderprend un objet EventsProcessor et un nom de fichier de propriétés de chemin de classe.
2. Appelez la méthode factory build() de l'objet Builder pour configurer et obtenir un objetAWSCloudTrailProcessingExecutor.
Version 1.0258
AWS CloudTrail Guide de l'utilisateurRubriques avancées
3. Utilisez les méthodes start() et stop() de l'objet AWSCloudTrailProcessingExecutor pourdémarrer et arrêter le traitement des événements CloudTrail.
public class SampleApp { public static void main(String[] args) throws InterruptedException { AWSCloudTrailProcessingExecutor executor = new AWSCloudTrailProcessingExecutor.Builder(new SampleEventsProcessor(), "/myproject/cloudtrailprocessing.properties").build();
executor.start(); Thread.sleep(24 * 60 * 60 * 1000); // let it run for a while (optional) executor.stop(); // optional }}
Rubriques avancéesRubriques
• Filtrage des événements à traiter (p. 259)• Rapports d'avancement (p. 260)• Gestion des erreurs (p. 261)
Filtrage des événements à traiterPar défaut, tous les journaux contenus dans le compartiment S3 de votre Amazon SQS file d'attente et tousles événements qu'ils contiennent sont envoyés à votre EventsProcessor . fournit CloudTrail ProcessingLibrary des interfaces facultatives que vous pouvez implémenter pour filtrer les sources utilisées pourobtenir CloudTrail les journaux et filtrer les événements que vous souhaitez traiter.
SourceFilter
Vous pouvez implémenter l'SourceFilterinterface pour choisir si vous souhaitez traiter lesjournaux provenant d'une source fournie. SourceFilterdéclare une méthode de rappel unique,filterSource() , qui reçoit un CloudTrailSource objet. Pour conserver des événementsprovenant d'une source en cours de traitement, renvoyez la valeur false de filterSource().
La CloudTrail Processing Library appelle la méthode filterSource() après avoir interrogé lesjournaux de la file d'attente Amazon SQS. Cet événement se produit avant que la bibliothèquecommence le filtrage ou le traitement des journaux.
Voici un exemple d'implémentation :
public class SampleSourceFilter implements SourceFilter{ private static final int MAX_RECEIVED_COUNT = 3;
private static List<String> accountIDs ; static { accountIDs = new ArrayList<>(); accountIDs.add("123456789012"); accountIDs.add("234567890123"); }
@Override public boolean filterSource(CloudTrailSource source) throws CallbackException { source = (SQSBasedSource) source; Map<String, String> sourceAttributes = source.getSourceAttributes();
Version 1.0259
AWS CloudTrail Guide de l'utilisateurRubriques avancées
String accountId = sourceAttributes.get( SourceAttributeKeys.ACCOUNT_ID.getAttributeKey());
String receivedCount = sourceAttributes.get( SourceAttributeKeys.APPROXIMATE_RECEIVE_COUNT.getAttributeKey());
int approximateReceivedCount = Integer.parseInt(receivedCount);
return approximateReceivedCount <= MAX_RECEIVED_COUNT && accountIDs.contains(accountId); }}
Si vous ne fournissez pas votre propre SourceFilter, DefaultSourceFilter est alors utilisé, cequi permet de traiter toutes les sources (renvoie toujours la valeur true).
EventFilter
Vous pouvez implémenter l'interface EventFilter pour choisir si un événement CloudTrailest envoyé à votre objet EventsProcessor. EventFilter déclare une méthode de rappelunique, filterEvent(), qui reçoit un objet CloudTrailEvent. Pour empêcher le traitement del'événement, renvoyez la valeur false à partir de la méthode filterEvent().
La CloudTrail Processing Library appelle la méthode filterEvent() après avoir interrogé lesjournaux de la file d'attente Amazon SQS et après le filtrage de la source. Cet événement se produitavant que la bibliothèque commence le traitement des journaux.
Voir l'exemple d'implémentation suivant :
public class SampleEventFilter implements EventFilter{
private static final String EC2_EVENTS = "ec2.amazonaws.com";
@Override public boolean filterEvent(CloudTrailClientEvent clientEvent) throws CallbackException { CloudTrailEvent event = clientEvent.getEvent();
String eventSource = event.getEventSource(); String eventName = event.getEventName();
return eventSource.equals(EC2_EVENTS) && eventName.startsWith("Delete"); }}
Si vous ne fournissez pas votre propre EventFilter, DefaultEventFilter est alors utilisé, ce quipermet de traiter tous les événements (renvoie toujours la valeur true).
Rapports d'avancementImplémentez l'interface ProgressReporter pour personnaliser les rapports d'avancement de laCloudTrail Processing Library. ProgressReporterdéclare deux méthodes : reportStart()etreportEnd() , qui sont appelés au début et à la fin des opérations suivantes :
• Interrogation des messages provenant d'Amazon SQS• Analyse des messages provenant d'Amazon SQS• Traitement d'une source Amazon SQS pour les journaux CloudTrail• Suppression des messages provenant d'Amazon SQS• Téléchargement d'un fichier journal CloudTrail
Version 1.0260
AWS CloudTrail Guide de l'utilisateurRubriques avancées
• Traitement d'un fichier journal CloudTrail
Ces deux méthodes reçoivent un objet ProgressStatus qui contient des informations sur l'opérationexécutée. Le membre progressState contient un membre de l'énumération ProgressState quiidentifie l'opération en cours. Ce membre peut contenir des informations supplémentaires dans le membreprogressInfo. En outre, tout objet que vous renvoyez à partir de reportStart() est transmis àreportEnd(), de sorte que vous puissiez fournir des informations contextuelles, telles que l'heure dedébut du traitement de l'événement.
Voici un exemple d'implémentation qui fournit des informations concernant la durée d'une opération :
public class SampleProgressReporter implements ProgressReporter { private static final Log logger = LogFactory.getLog(DefaultProgressReporter.class);
@Override public Object reportStart(ProgressStatus status) { return new Date(); }
@Override public void reportEnd(ProgressStatus status, Object startDate) { System.out.println(status.getProgressState().toString() + " is " + status.getProgressInfo().isSuccess() + " , and latency is " + Math.abs(((Date) startDate).getTime()-new Date().getTime()) + " milliseconds."); }}
Si vous n'implémentez pas votre propre interface ProgressReporter, l'objetDefaultExceptionHandler, qui affiche le nom de l'état en cours d'exécution, est utilisé à la place.
Gestion des erreursLExceptionHandler'interface vous permet de fournir un traitement spécial lorsqu'une exception s'estproduite pendant le traitement des journaux. ExceptionHandler déclare une méthode de rappel unique,handleException(), qui reçoit un objet ProcessingLibraryException avec un contexte concernantl'exception qui s'est produite.
Vous pouvez utiliser la ProcessingLibraryException méthode transmise par pour déterminer quelleopération a été exécutée lorsque l'exception s'est produite et obtenir des informations supplémentaires surl'état de l'opération.getStatus() L'objet ProcessingLibraryException provient de la classe JavaException standard, vous pouvez donc également récupérer des informations sur l'exception en appelantégalement l'une des méthodes d'exception.
Voir l'exemple d'implémentation suivant :
public class SampleExceptionHandler implements ExceptionHandler{ private static final Log logger = LogFactory.getLog(DefaultProgressReporter.class);
@Override public void handleException(ProcessingLibraryException exception) { ProgressStatus status = exception.getStatus(); ProgressState state = status.getProgressState(); ProgressInfo info = status.getProgressInfo();
System.err.println(String.format( "Exception. Progress State: %s. Progress Information: %s.", state, info)); }
Version 1.0261
AWS CloudTrail Guide de l'utilisateurRessources supplémentaires
}
Si vous ne fournissez pas votre propre interface ExceptionHandler, l'objetDefaultExceptionHandler, qui imprime un message d'erreur standard, sera utilisé à la place.
Note
Si le paramètre deleteMessageUponFailure a la valeur true, la CloudTrail ProcessingLibrary ne fait pas la différence entre les exceptions générales et les erreurs de traitement, et peutsupprimer des messages de la file d'attente.
1. Vous utilisez par exemple le SourceFilter pour filtrer les messages par horodatage.2. Toutefois, vous n'avez pas les autorisations requises pour accéder au compartiment S3 qui
reçoit les fichiers journaux CloudTrail. Etant donné que vous n'avez pas les autorisationsrequises, une AmazonServiceException est renvoyée. La CloudTrail Processing Libraryl'encapsule dans une exception CallBackException.
3. L'objet DefaultExceptionHandler consigne cela comme une erreur, mais ne permet pasd'identifier la cause première, à savoir que vous n'avez pas les autorisations requises. LaCloudTrail Processing Library considère cela comme une erreur de traitement et supprime lemessage, même s'il contient un fichier journal CloudTrail valide.
Si vous souhaitez filtrer les messages avec SourceFilter, vérifiez que votre serviceExceptionHandler peut faire la distinction entre les exceptions et les erreurs de traitement.
Ressources supplémentairesPour plus d'informations sur la CloudTrail Processing Library, consultez les ressources suivantes :
• CloudTrail Processing LibraryGitHubqui inclut un exemple de code qui montre comment implémenterune CloudTrail Processing Library application.
• Documentation du package Java de la CloudTrail Processing Library.
Version 1.0262
AWS CloudTrail Guide de l'utilisateurProtection des données
Sécurité dans le AWS CloudTrailChez AWS, la sécurité dans le cloud est notre priorité numéro 1. En tant que client AWS, vousbénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences desorganisations les plus pointilleuses en termes de sécurité.
La sécurité est une responsabilité partagée entre AWS et vous-même. Le modèle de responsabilitépartagée décrit ceci comme la sécurité du cloud et la sécurité dans le cloud :
• Sécurité du cloud – AWS est responsable de la protection de l'infrastructure qui exécute des servicesAWS dans le cloud AWS. AWS vous fournit également les services que vous pouvez utiliser en toutesécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans lecadre des programmes de conformité AWS. Pour en savoir plus sur les programmes de conformité quis'appliquent à AWS CloudTrail, consultez Services AWS concernés par le programme de conformité.
• Sécurité dans le cloud – Votre responsabilité est déterminée par le service AWS que vous utilisez. Vousêtes également responsable d'autres facteurs, y compris la sensibilité de vos données, les exigences devotre entreprise,et la législation et la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lorsde l'utilisation de CloudTrail. Les rubriques suivantes vous montrent comment configurer CloudTrail pourrépondre à vos objectifs de sécurité et de conformité. Vous pouvez également apprendre à utiliser d'autresservices AWS capables de vous aider à surveiller et à sécuriser vos ressources CloudTrail.
Rubriques• Protection des données dans AWS CloudTrail (p. 263)• Identity and Access Management pour AWS CloudTrail (p. 264)• Validation de la conformité pour AWS CloudTrail (p. 294)• Résilience dans AWS CloudTrail (p. 294)• Sécurité de l'infrastructure dans AWS CloudTrail (p. 295)• Bonnes pratiques de sécurité dans AWS CloudTrail (p. 296)• Chiffrement des fichiers journaux CloudTrail avec des clés gérées par AWS KMS (SSE-KMS) (p. 299)
Protection des données dans AWS CloudTrailLe modèle de responsabilité partagée AWS s'applique à la protection des données dans AWS CloudTrail.Comme décrit dans ce modèle, AWS est responsable de la protection de l'infrastructure globale surlaquelle l'ensemble du cloud AWS s’exécute. La gestion du contrôle de votre contenu hébergé sur cetteinfrastructure est de votre responsabilité. Ce contenu comprend les tâches de configuration et de gestionde la sécurité des services AWS que vous utilisez. Pour plus d'informations sur la confidentialité desdonnées, veuillez consulter FAQ sur la confidentialité des données. Pour plus d'informations sur laprotection des données en Europe, veuillez consulter le billet de blog AWSShared Responsibility Model andGDPR sur la page AWSSecurity Blog.
À des fins de protection des données, nous vous recommandons de protéger les informationsd'identification du compte AWS et de configurer les comptes d'utilisateur individuels avec AWS Identityand Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations
Version 1.0263
AWS CloudTrail Guide de l'utilisateurIdentity and Access Management
nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos donnéescomme indiqué ci-dessous :
• Utilisez l'authentification multi-facteurs (MFA) avec chaque compte.• Utilisez SSL/TLS pour communiquer avec des ressources AWS. Nous recommandons TLS 1.2 ou
version ultérieure.• Configurez l'API et la consignation des activités utilisateur avec AWS CloudTrail.• Utilisez des solutions de chiffrement AWS, ainsi que tous les contrôles de sécurité par défaut au sein des
services AWS.• Utilisez des services de sécurité gérés comme Amazon Macie, qui contribue à la découverte et à la
sécurisation des données personnelles stockées dans Amazon S3.• Si vous avez besoin de modules cryptographiques validés FIPS 140-2 lorsque vous accédez à AWS
via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour deplus amples informations sur les points de terminaison FIPS disponibles, consultez Federal InformationProcessing Standard (FIPS) 140-2.
Nous vous recommandons vivement de ne jamais placer d'informations identifiables sensibles, telles quedes numéros de compte de vos clients, dans des champs de formulaire comme Nom. Cela inclut lorsquevous utilisez CloudTrail ou d'autres services AWS à l'aide de la console, de l'API, de l'interface de lignede commande (AWS CLI) ou des kits SDK AWS. Toutes les données que vous entrez dans CloudTrail oud'autres services peuvent être récupérées pour être insérées dans des journaux de diagnostic. Lorsquevous fournissez une URL à un serveur externe, n'incluez pas les informations d'identification non chiffréesdans l'URL pour valider votre demande adressée au serveur.
Par défaut, les fichiers journaux d'événements CloudTrail sont chiffrés à l'aide du chiffrement côté serveur(SSE) d'Amazon S3. Vous pouvez également choisir de chiffrer vos fichiers journaux avec une clé AWSKey Management Service (AWS KMS). Vous pouvez stocker vos fichiers journaux dans votre compartimentaussi longtemps que vous le souhaitez. Vous pouvez également définir des règles de cycle de vie AmazonS3 pour archiver ou supprimer les fichiers journaux automatiquement. Si vous souhaitez recevoir desnotifications lors de la transmission et de la validation des fichiers journaux, vous pouvez configurer desnotifications Amazon SNS.
Les bonnes pratiques de sécurité suivantes s'appliquent également à la protection des données dansCloudTrail :
• Chiffrement des fichiers journaux CloudTrail avec des clés gérées par AWS KMS (SSE-KMS) (p. 299)• Stratégie de compartiment Amazon S3 pour CloudTrail (p. 283)• Validation de l'intégrité des fichiers journaux CloudTrail (p. 233)• Partage de fichiers journaux CloudTrail entre comptes AWS (p. 223)
Étant donné que les fichiers journaux CloudTrail sont stockés dans un ou plusieurs compartiments dansAmazon S3, vous devez également vérifier les informations de protection des données dans le AmazonSimple Storage Service Manuel du développeur. Pour plus d'informations, consultez Protection desdonnées dans Amazon S3.
Identity and Access Management pour AWSCloudTrail
AWS Identity and Access Management (IAM) est un service AWS qui permet à un administrateur decontrôler en toute sécurité l'accès aux ressources AWS. Les administrateurs IAM contrôlent qui peut être
Version 1.0264
AWS CloudTrail Guide de l'utilisateurAudience
authentifié (connecté) et autorisé (disposant des autorisations) à utiliser les ressources CloudTrail. IAM estun service AWS que vous pouvez utiliser sans frais supplémentaires.
Rubriques• Audience (p. 265)• Authentification avec les identités (p. 265)• Gestion de l'accès à l'aide des stratégies (p. 267)• Comment AWS CloudTrail fonctionne avec IAM (p. 269)• Exemples de stratégies basées sur l'identité AWS CloudTrail (p. 273)• Stratégie de compartiment Amazon S3 pour CloudTrail (p. 283)• Stratégie de rubrique Amazon SNS pour CloudTrail (p. 288)• Résolution des problèmes liés à Identity and Access AWS CloudTrail (p. 291)• Utilisation des rôles liés à un service pour AWS CloudTrail (p. 292)
AudienceVotre utilisation d'AWS Identity and Access Management (IAM) évolue selon la tâche que vous réalisezdans CloudTrail.
Utilisateur du service – Si vous utilisez le service CloudTrail pour effectuer votre tâche, votre administrateurvous fournit les informations d'identification et les autorisations dont vous avez besoin. Plus vous utiliserezde fonctionnalités CloudTrail pour effectuer votre travail, plus vous pourrez avoir besoin d'autorisationssupplémentaires. Comprendre la gestion des accès peut vous aider à demander à votre administrateur lesautorisations appropriées. Si vous ne pouvez pas accéder à une fonctionnalité dans CloudTrail, consultezRésolution des problèmes liés à Identity and Access AWS CloudTrail (p. 291).
Administrateur du service –Si vous êtes le responsable des ressources CloudTrail de votre entreprise,vous bénéficiez probablement d'un accès total à CloudTrail. C'est à vous de déterminer les fonctionnalitéset les ressources CloudTrail auxquelles vos employés pourront accéder. Vous devez ensuite soumettreles demandes à votre administrateur IAM pour modifier les autorisations des utilisateurs de votre service.Consultez les informations sur cette page pour comprendre les concepts de base d'IAM. Pour en savoirplus sur la façon dont votre entreprise peut utiliser IAM avec CloudTrail, consultez Comment AWSCloudTrail fonctionne avec IAM (p. 269).
Administrateur IAM – Si vous êtes un administrateur IAM, vous souhaiterez peut-être obtenir des détails surla façon dont vous pouvez écrire des stratégies pour gérer l'accès à CloudTrail. Pour obtenir des exemplesde stratégies CloudTrail basées sur l'identité que vous pouvez utiliser dans IAM, consultez Exemples destratégies basées sur l'identité AWS CloudTrail (p. 273).
Authentification avec les identitésL'authentification correspond au processus par lequel vous vous connectez à AWS via vos informationsd'identification. Pour de plus amples informations sur la connexion avec AWS Management Console,veuillez consulter Connexion à AWS Management Console en tant qu'utilisateur IAM ou utilisateur racinedans le IAM Guide de l'utilisateur.
Vous devez être authentifié (connecté à AWS) en tant que Utilisateur racine d'un compte AWS ouutilisateurIAM, ou en assumant un rôle IAM. Vous pouvez également utiliser l'authentification de connexionunique de votre entreprise ou vous connecter par le biais de Google ou de Facebook. Dans ce cas, votreadministrateur aura précédemment configuré une fédération d’identités avec des rôles IAM. Lorsque vousaccédez à AWS avec des informations d’identification d’une autre entreprise, vous assumez indirectementun rôle.
Version 1.0265
AWS CloudTrail Guide de l'utilisateurAuthentification avec les identités
Pour vous connecter directement à AWS Management Console, utilisez votre mot de passe avec votree-mail utilisateur racine ou votre nom d'utilisateur IAM. Vous pouvez accéder à AWS par programmationavec vos clés d'accès utilisateur utilisateur racine ou IAM. AWS fournit un kit SDK et des outils de ligne decommande pour signer de manière chiffrée votre demande avec vos informations d'identification. Si vousn'utilisez pas les outils AWS, vous devez signer la requête vous-même. Pour ce faire, utilisez SignatureVersion 4, un protocole permettant d'authentifier les demandes d'API entrantes. Pour en savoir plus surl'authentification des demandes, consultez Processus de signature Signature Version 4 dans AWS GeneralReference.
Quelle que soit la méthode d'authentification que vous utilisez, vous devrez peut-être également fournir desinformations de sécurité supplémentaires. Par exemple, AWS vous recommande d'utiliser l'authentificationmulti-facteurs (MFA) pour améliorer la sécurité de votre compte. Pour en savoir plus, consultez Utilisationde Multi-Factor Authentication (MFA) dans AWS dans le IAM Guide de l'utilisateur.
Utilisateur racine d'un compte AWSLorsque vous créez un compte AWS, vous commencez avec une seule identité de connexion disposantd'un accès complet à tous les services et ressources AWS du compte. Cette identité est appelée lautilisateur racinedu compte AWS et elle est accessible après connexion à l'aide de l'adresse e-mail et dumot de passe utilisés pour la création du compte. Il est vivement recommandé de ne pas utiliser l'utilisateurracine pour vos tâches quotidiennes, y compris pour les tâches administratives. Au lieu de cela, respectezla bonne pratique qui consiste à avoir recours à l'utilisateur racine uniquement pour créer le premierutilisateurIAM. Ensuite, mettez en sécurité les informations d'identification de l'utilisateur racine et utilisez-les pour effectuer uniquement certaines tâches de gestion des comptes et des services.
Utilisateurs et groupes IAMUn utilisateur IAM est une identité dans votre compte AWS qui dispose d'autorisations spécifiques pourune seule personne ou application. Un utilisateur IAM peut disposer d'informations d'identification à longterme comme un nom d'utilisateur et un mot de passe ou un ensemble de clés d'accès. Pour savoircomment générer des clés d'accès, consultez Gestion des clés d’accès pour les utilisateurs IAM dans leIAM Guide de l'utilisateur. Lorsque vous générez des clés d'accès pour un utilisateur IAM, veillez à afficheret enregistrer la paire de clés de manière sécurisée. Vous ne pourrez plus récupérer la clé d'accès secrèteà l'avenir. Au lieu de cela, vous devrez générer une nouvelle paire de clés d'accès.
Un groupe IAM est une identité qui spécifie un ensemble d’utilisateurs IAM. Vous ne pouvez pas vousconnecter en tant que groupe. Vous pouvez utiliser les groupes pour spécifier des autorisations pourplusieurs utilisateurs à la fois. Les groupes permettent de gérer plus facilement les autorisations pourde grands ensembles d'utilisateurs. Par exemple, vous pouvez avoir un groupe nommé Admins IAM etaccorder à ce groupe les autorisations leur permettant d'administrer des ressources IAM.
Les utilisateurs sont différents des rôles. Un utilisateur est associé de manière unique à une personneou une application, alors qu’un rôle est conçu pour être endossé par tout utilisateur qui en a besoin.Les utilisateurs disposent d'informations d'identification permanentes, mais les rôles fournissent desinformations d'identification temporaires. Pour en savoir plus, consultez Quand créer un utilisateur IAM (aulieu d'un rôle) dans le IAM Guide de l'utilisateur.
Rôles IAMUn rôle IAM est une entité au sein de votre compte AWS qui dispose d'autorisations spécifiques. Leconcept ressemble à celui d’utilisateur IAM, mais un rôle n'est pas associé à une personne en particulier.Vous pouvez temporairement endosser un rôle IAM dans l’AWS Management Console grâce auchangement de rôle. Vous pouvez obtenir un rôle en appelant une opération d’API AWS CLI ou AWS àl'aide d'une URL personnalisée. Pour plus d'informations sur les méthodes d'utilisation des rôles, consultezUtilisation de rôles IAM dans le IAM Guide de l'utilisateur.
Les rôles IAM avec des informations d'identification temporaires sont utiles dans les cas suivants :
Version 1.0266
AWS CloudTrail Guide de l'utilisateurGestion de l'accès à l'aide des stratégies
• Autorisations utilisateur IAM temporaires – Un utilisateur IAM peut endosser un rôle IAM pour accepterdifférentes autorisations temporaires concernant une tâche spécifique.
• Accès d'utilisateurs fédérés – Au lieu de créer un utilisateur IAM, vous pouvez utiliser des identitésd'utilisateur préexistantes provenant d'AWS Directory Service, de l'annuaire d'utilisateurs de votreentreprise ou d'un fournisseur d'identité web. On parle alors d'utilisateurs fédérés. AWS attribue un rôleà un utilisateur fédéré lorsque l'accès est demandé via un fournisseur d'identité. Pour de plus amplesinformations sur les utilisateurs fédérés, veuillez consulter Utilisateurs et rôles fédérés dans le IAM Guidede l'utilisateur.
• Accès entre comptes – Vous pouvez utiliser un rôle IAM pour permettre à un utilisateur (mandatairede confiance) d'un compte différent d'accéder aux ressources de votre compte. Les rôles constituentle principal moyen d'accorder l'accès entre plusieurs comptes. Toutefois, certains services AWS vouspermettent d'attacher une stratégie directement à une ressource (au lieu d'utiliser un rôle en tant queproxy). Pour en savoir plus sur la différence entre les rôles et les stratégies basées sur les ressourcespour l'accès entre comptes, consultez Différence entre les rôles IAM et les stratégies basées sur lesressources dans le IAM Guide de l'utilisateur.
• Accès inter-service – Some AWS services use features in other AWS services. For example, when youmake a call in a service, it's common for that service to run applications in Amazon EC2 or store objectsin Amazon S3. A service might do this using the calling principal's permissions, using a service role, orusing a service-linked role.• Autorisations principales – When you use an IAM user or role to perform actions in AWS, you are
considered a principal. Policies grant permissions to a principal. When you use some services, youmight perform an action that then triggers another action in a different service. In this case, you musthave permissions to perform both actions. To see whether an action requires additional dependentactions in a policy, see Actions, Resources, and Condition Keys for AWS CloudTrail in the ServiceAuthorization Reference.
• Rôle de service –Un rôle de service est un rôle IAM qu'un service assume pour exécuter des actionsen votre nom. Les rôles de service fournissent un accès uniquement au sein de votre compteet ne peuvent pas être utilisés pour accorder l'accès à des services dans d'autres comptes. Unadministrateur IAM peut créer, modifier et supprimer un rôle de service à partir d'IAM. Pour de plusamples informations, veuillez consulter Création d'un rôle pour la délégation d'autorisations à unservice AWS dans le IAM Guide de l'utilisateur.
• Rôle lié à un service – A service-linked role is a type of service role that is linked to an AWS service.The service can assume the role to perform an action on your behalf. Service-linked roles appearin your IAM account and are owned by the service. An IAM administrator can view, but not edit thepermissions for service-linked roles.
• Applications qui s'exécutent sur Amazon EC2 –Vous pouvez utiliser un rôle IAM pour gérer desinformations d'identification temporaires pour les applications qui s'exécutent sur une instance EC2 eteffectuent des demandes d'API AWS CLI ou AWS. Cette solution est préférable au stockage des clésd'accès au sein de l'instance EC2. Pour attribuer un rôle AWS à une instance EC2 et le rendre disponibleà toutes les applications associées, vous pouvez créer un profil d'instance attaché à l'instance. Un profild'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instance EC2 d'obtenir desinformations d'identification temporaires. Pour de plus amples informations, veuillez consulter Utilisationd'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances AmazonEC2 dans le IAM Guide de l'utilisateur.
Pour savoir si vous devez utiliser les rôles IAM ou les utilisateurs IAM, veuillez consulter Quand créer unrôle IAM (au lieu d'un utilisateur) dans le IAM Guide de l'utilisateur.
Gestion de l'accès à l'aide des stratégiesVous contrôler les accès dans AWS en créant des stratégies et en les attachant à des identités IAM ouà des ressources AWS. Une stratégie est un objet dans AWS qui, lorsqu'il est associé à une identité ouà une ressource, définit ses autorisations. Vous pouvez vous connecter en tant que utilisateur racine,en tant qu'utilisateur IAM ou vous pouvez assumer un rôle IAM. Lorsque vous effectuez ensuite une
Version 1.0267
AWS CloudTrail Guide de l'utilisateurGestion de l'accès à l'aide des stratégies
demande, AWS évalue les stratégies relatives basées sur l'identité ou les ressources. Les autorisationsdans les stratégies déterminent si la demande est autorisée ou refusée. La plupart des stratégies sontstockées dans AWS en tant que documents JSON. Pour plus d'informations sur la structure et le contenudu document de stratégie JSON, consultez Présentation des stratégies JSON dans le IAM Guide del'utilisateur.
Administrators can use AWS JSON policies to specify who has access to what. That is, which principal canperform actions on what resources, and under what conditions.
Chaque entité IAM (utilisateur ou rôle) démarre sans autorisation. En d'autres termes, par défaut, lesutilisateurs ne peuvent rien faire, pas même changer leurs propres mots de passe. Pour autoriser unutilisateur à effectuer une opération, un administrateur doit associer une stratégie d'autorisations à cedernier. Il peut également ajouter l'utilisateur à un groupe disposant des autorisations prévues. Lorsqu'unadministrateur accorde des autorisations à un groupe, tous les utilisateurs de ce groupe se voient octroyerces autorisations.
Les stratégies IAM définissent les autorisations d'une action quelle que soit la méthode que vous utilisezpour exécuter l'opération. Par exemple, supposons que vous disposiez d'une stratégie qui autorise l'actioniam:GetRole. Un utilisateur avec cette stratégie peut obtenir des informations utilisateur à partir de l'AWSManagement Console, de l'AWS CLI ou de l'API AWS.
Stratégies basées sur l'identitéIdentity-based policies are JSON permissions policy documents that you can attach to an identity, such asan IAM user, group of users, or role. These policies control what actions users and roles can perform, onwhich resources, and under what conditions. To learn how to create an identity-based policy, see CreatingIAM policies in the IAM Guide de l'utilisateur.
Les stratégies basées sur l'identité peuvent être classées comme étant des stratégies en ligne ou desstratégies gérées. Les stratégies en ligne sont intégrées directement à un utilisateur, groupe ou rôle. Lesstratégies gérées sont des stratégies autonomes que vous pouvez lier à plusieurs utilisateurs, groupes etrôles de votre compte AWS. Les stratégies gérées incluent les stratégies gérées par AWS et les stratégiesgérées par le client. Pour découvrir comment choisir entre une politique gérée ou une politique en ligne,consultez Choix entre les stratégies gérées et les stratégies en ligne dans le IAM Guide de l'utilisateur.
Stratégies basées sur une ressourceResource-based policies are JSON policy documents that you attach to a resource. Examples of resource-based policies are IAM role trust policies and Amazon S3 bucket policies. In services that support resource-based policies, service administrators can use them to control access to a specific resource. For theresource where the policy is attached, the policy defines what actions a specified principal can perform onthat resource and under what conditions. You must specify a principal in a resource-based policy. Principalscan include accounts, users, roles, federated users, or AWS services.
Les stratégies basées sur les ressources sont des stratégies en ligne situées dans ce service. Vous nepouvez pas utiliser les stratégies gérées AWS depuis IAM dans une stratégie basée sur les ressources.
Listes de contrôle d'accès (ACL)Access control lists (ACLs) control which principals (account members, users, or roles) have permissions toaccess a resource. ACLs are similar to resource-based policies, although they do not use the JSON policydocument format.
Amazon S3, AWS WAF et Amazon VPC sont des exemples de services qui prennent en charge leslistes de contrôle d'accès (ACL). Pour en savoir plus sur les listes de contrôle d'accès, veuillez consulterPrésentation des listes de contrôle d'accès (ACL) dans le Guide du développeur Amazon Simple StorageService.
Version 1.0268
AWS CloudTrail Guide de l'utilisateurComment AWS CloudTrail fonctionne avec IAM
Autres types de stratégieAWS prend en charge d'autres types de stratégies moins courantes. Ces types de stratégies peuventdéfinir le nombre maximal d'autorisations qui vous sont accordées par des types de stratégies pluscourants.
• Limite d'autorisations – Une limite d'autorisations est une fonctionnalité avancée dans laquelle vousdéfinissez les autorisations maximales qu'une stratégie basée sur l'identité peut accorder à uneentité IAM (utilisateur ou rôle IAM). Vous pouvez définir une limite d'autorisations pour une entité. Lesautorisations obtenues représentent la combinaison des stratégies basées sur l'identité de l'entité et deses limites d'autorisations. Les stratégies basées sur les ressources qui spécifient l'utilisateur ou le rôledans le champ Principal ne sont pas limitées par les limites d'autorisations. Un refus explicite dansl'une de ces stratégies remplace l'autorisation. Pour plus d'informations sur les limites d'autorisations,consultez Limites d'autorisations pour des entités IAM dans le IAM Guide de l'utilisateur.
• Stratégies de contrôle de service (SCP) – Les SCP sont des stratégies JSON qui spécifient lenombre maximal d'autorisations pour une organisation ou une unité d'organisation (OU) dans AWSOrganizations. AWS Organizations est un service qui vous permet de regrouper et de gérer de façoncentralisée plusieurs comptes AWS détenus par votre entreprise. Si vous activez toutes les fonctionsd'une organisation, vous pouvez appliquer les stratégies de contrôle de service (SCP) à l'un ou àl'ensemble de vos comptes. La politique de contrôle des services limite les autorisations pour les entitésdans les comptes membres, y compris dans chaque Utilisateur racine d'un compte AWS. Pour plusd'informations sur les Organisations et les SCP, consultez Fonctionnement des stratégies de contrôle deservice dans le Manuel de l'utilisateur AWS Organizations.
• Stratégies de session – Les stratégies de session sont des stratégies avancées que vous transmettezen tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôleou un utilisateur fédéré. Les autorisations de la session obtenue sont une combinaison des stratégiesbasées sur l'identité de l'utilisateur ou du rôle et des stratégies de session. Les autorisations peuventégalement provenir d'une stratégie basée sur les ressources. Un refus explicite dans l'une de cesstratégies remplace l'autorisation. Pour plus d'informations, consultez Stratégies de session dans le IAMGuide de l'utilisateur.
Plusieurs types de stratégieLorsque plusieurs types de stratégies s'appliquent à la requête, les autorisations obtenues sont pluscompliquées à comprendre. Pour découvrir la façon dont AWS détermine s'il convient d'autoriser unerequête en présence de plusieurs types de stratégies, consultez Logique d'évaluation de stratégies dans leIAM Guide de l'utilisateur.
Comment AWS CloudTrail fonctionne avec IAMAvant d'utiliser IAM pour gérer l'accès à CloudTrail, vous devez comprendre quelles fonctions IAM sontdisponibles et peuvent être utilisées avec CloudTrail. Pour obtenir une vue d'ensemble de la façondont CloudTrail et d'autres services AWS fonctionnent avec IAM, veuillez consulter Services AWS quifonctionnent avec IAM dans le IAM Guide de l'utilisateur.
CloudTrail fonctionne avec les stratégies basées sur une identité IAM, mais ne fonctionne pas avec lesstratégies basées sur les ressources. Pour plus d'informations sur les différences entre les stratégiesbasées sur l'identité et les stratégies basées sur les ressources, consultez Stratégies basées sur l'identitéet stratégies basées sur une ressource dans le Guide de l'utilisateur IAM.
Rubriques• Stratégies basées sur l'identité CloudTrail (p. 270)• Stratégies basées sur les ressources CloudTrail (p. 272)• Listes de contrôle d'accès (ACL) (p. 272)
Version 1.0269
AWS CloudTrail Guide de l'utilisateurComment AWS CloudTrail fonctionne avec IAM
• Autorisation basée sur les balises CloudTrail (p. 272)• Rôles IAM d'CloudTrail (p. 273)
Stratégies basées sur l'identité CloudTrailAvec les stratégies basées sur une identité IAM, vous pouvez spécifier des actions et ressourcesautorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées.CloudTrail prend en charge des actions et ressources spécifiques. Il n'existe pas de clés de conditionspécifiques au service CloudTrail pouvant être utilisées dans l'élément Condition des déclarations destratégie. Pour en savoir plus sur tous les éléments que vous utilisez dans une stratégie JSON, consultezRéférences des éléments de stratégie JSON IAM dans le IAM Guide de l'utilisateur.
Actions
Administrators can use AWS JSON policies to specify who has access to what. That is, which principal canperform actions on what resources, and under what conditions.
L'élément Action d'une stratégie JSON décrit les actions que vous pouvez utiliser pour autoriser ourefuser l'accès à une stratégie. Les actions de stratégie possèdent généralement le même nom quel'opération d'API AWS associée. Il existe quelques exceptions, telles que les actions avec autorisationsuniquement qui n'ont pas d'opération API correspondante. Certaines opérations nécessitent égalementplusieurs actions dans une stratégie. Ces actions supplémentaires sont nommées actions dépendantes.
Intégration d'actions dans une stratégie afin d'accorder l'autorisation d'exécuter les opérations associées.
Les actions de stratégie dans CloudTrail utilisent le préfixe suivant avant l'action : cloudtrail:. Parexemple, pour accorder à une personne l'autorisation de répertorier les balises dListTags'un journalde suivi avec l'opération d'API, vous incluez l'cloudtrail:ListTagsaction dans sa stratégie. Lesdéclarations de stratégie doivent inclure un élément Action ou NotAction. CloudTrail définit son propreensemble d'actions qui décrivent les tâches que vous pouvez effectuer avec ce service.
Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :
"Action": [ "cloudtrail:AddTags", "cloudtrail:ListTags", "cloudtrail:RemoveTags
Vous pouvez aussi spécifier plusieurs actions à l'aide de caractères génériques (*). Par exemple, pourspécifier toutes les actions qui commencent par le mot Get, incluez l'action suivante :
"Action": "cloudtrail:Get*"
Pour afficher la liste des actions CloudTrail, veuillez consulter Actions Defined by AWS CloudTrail dans leIAM Guide de l'utilisateur.
Resources
Administrators can use AWS JSON policies to specify who has access to what. That is, which principal canperform actions on what resources, and under what conditions.
L'élément de stratégie JSON Resource indique le ou les objets pour lesquels l'action s'applique. Lesinstructions doivent inclure un élément Resource ou NotResource. Au titre de bonne pratique, il estrecommandé de définir une ressource à l'aide de son Amazon Resource Name (ARN). Vous pouvez
Version 1.0270
AWS CloudTrail Guide de l'utilisateurComment AWS CloudTrail fonctionne avec IAM
le faire pour les actions qui sont compatibles avec un type de ressource spécifique, connu sous ladénomination autorisations de niveau ressource.
Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, telles que lesopérations de liste, utilisez un caractère générique (*) afin d'indiquer que l'instruction s'applique à toutes lesressources.
"Resource": "*"
Dans CloudTrail, la ressource principale est un journal de suivi. Chaque ressource possède un AmazonResource Name (ARN) unique qui lui est associé. Dans une stratégie, vous utilisez un ARN pour identifierla ressource à laquelle s'applique la stratégie. CloudTrail ne prend actuellement pas en charge les autrestypes de ressources, qui sont parfois appelés sous-ressources.
La ressource du journal de suivi CloudTrail possède l'ARN suivant :
arn:${Partition}:cloudtrail:${Region}:${Account}:trail/{TrailName}
Pour plus d'informations sur le format de ARNs , consultez Amazon Resource Name (ARN) et Espaces denoms Service.AWS
Par exemple, pour un AWS compte avec l'ID 123456789012, pour spécifier un journal de suivi nomméMy-Trail qui existe dans la USA Est (Ohio) région dans votre instruction, utilisez l'ARN suivant :
"Resource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-Trail"
Pour spécifier tous les journaux de suivi qui appartiennent à un compte spécifique dans cette région AWS,utilisez le caractère générique (*) :
"Resource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/*"
Certaines actions CloudTrail, telles que la création de ressources, ne peuvent pas être exécutées sur uneressource précise. Dans ce cas, vous devez utiliser le caractère générique (*).
"Resource": "*"
De nombreuses actions d'API CloudTrail nécessitent plusieurs ressources. Par exemple, CreateTrailnécessite un compartiment Amazon S3 pour stocker les fichiers journaux. Un utilisateur IAM doit donc êtreautorisé à écrire dans le compartiment. Pour spécifier plusieurs ressources dans une seule instruction,séparez-les ARNs par des virgules.
"Resource": [ "resource1", "resource2"
Pour afficher une liste des types de CloudTrail ressources et de leurs ARNs , consultez Resources Definedby AWS CloudTrail dans le IAM Guide de l'utilisateur . Pour en savoir plus sur les actions avec laquellevous pouvez spécifier l'ARN de chaque ressource, consultez Actions Defined by AWS CloudTrail.
Clés de condition
Administrators can use AWS JSON policies to specify who has access to what. That is, which principal canperform actions on what resources, and under what conditions.
Version 1.0271
AWS CloudTrail Guide de l'utilisateurComment AWS CloudTrail fonctionne avec IAM
L'élément Condition (ou le bloc Condition) vous permet de spécifier des conditions lorsqu’uneinstruction est appliquée. L'élément Condition est facultatif. Vous pouvez créer des expressionsconditionnelles qui utilisent des opérateurs de condition, comme égal ou inférieur, pour faire correspondrela condition de la stratégie aux valeurs de la demande.
Si vous spécifiez plusieurs éléments Condition dans une instruction, ou plusieurs clés dans un seulélément Condition, AWS les évalue à l'aide d'une opération AND logique. Si vous spécifiez plusieursvaleurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une opération OR logique.Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soientaccordées.
Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Parexemple, vous pouvez accorder à un utilisateur IAM l'autorisation d'accéder à une ressource uniquementsi elle est balisée avec son nom d’utilisateur IAM . Pour de plus amples informations, veuillez consulterÉléments des stratégies IAM : variables et balises dans le IAM Guide de l'utilisateur.
AWS est compatible avec les clés de condition globales et les clés de condition spécifiques à un service.Pour voir toutes les clés de condition globales AWS, veuillez consulter Clés de contexte de conditionglobales AWS dans le IAM Guide de l'utilisateur.
CloudTrail ne définit pas ses propres clés de condition, mais il prend en charge l'utilisation de certaines clésde condition mondiales. Pour voir toutes les clés de condition globales AWS, consultez Clés de contexte decondition globales AWS dans le IAM Guide de l'utilisateur.
Pour voir une liste des clés de condition prises en charge pour CloudTrail, consultez Condition Keys forAWS CloudTrail dans le IAM Guide de l'utilisateur. Pour savoir avec quelles actions et ressources vouspouvez utiliser une clé de condition, consultez Actions Defined by AWS CloudTrail.
Examples
Pour voir des exemples de stratégies CloudTrail basées sur l'identité, veuillez consulter Exemples destratégies basées sur l'identité AWS CloudTrail (p. 273).
Stratégies basées sur les ressources CloudTrailCloudTrail ne prend pas en charge les stratégies basées sur les ressource.
Listes de contrôle d'accès (ACL)Les listes de contrôle d'accès (ACL) sont des listes de bénéficiaires que vous pouvez attacher auxressources. Elles accordent des autorisations aux comptes pour accéder aux ressources auxquelles ilssont associés. Bien que CloudTrail ne prenne pas en charge ACLs , Amazon S3 , le fait. Par exemple,vous pouvez attacher ACLs à une ressource Amazon S3 de compartiment où vous stockez les fichiersjournaux pour un ou plusieurs journaux de suivi. Pour plus d'informations sur l'attachement ACLs à descompartiments, consultezManaging Access with ACLs dans le Amazon Simple Storage ServiceManuel du développeur.
Autorisation basée sur les balises CloudTrailMême si vous pouvez attacher des balises aux CloudTrail ressources, CloudTrail ne prend pas en chargele contrôle d'accès basé sur des balises.
Vous pouvez attacher des balises aux ressources CloudTrail ou transmettre des balises dans une requêteà CloudTrail. Pour plus d'informations sur le balisage des ressources CloudTrail, consultez Création d'unjournal de suivi (p. 76) et Création, mise à jour et gestion des journaux de suivi avec l'AWS Command LineInterface (p. 95).
Version 1.0272
AWS CloudTrail Guide de l'utilisateurExemples de stratégie basée sur l'identité
Rôles IAM d'CloudTrailUn rôle IAM est une entité au sein de votre compte AWS qui dispose d'autorisations spécifiques.
Utilisation des informations d'identification temporaires avec CloudTrail
Vous pouvez utiliser des informations d'identification temporaires pour vous connecter avec la fédération,assumer un rôle IAM, ou encore pour assumer un rôle entre comptes. Vous obtenez des informationsd'identification de sécurité temporaires en appelant des opérations AWS STS d'API comme AssumeRole ou GetFederationToken .
CloudTrail prend en charge l'utilisation des informations d'identification temporaires.
Rôles liés à des services
Les rôles liés à un service permettent aux services AWS d'accéder à des ressources dans d'autresservices pour effectuer une action en votre nom. Les rôles liés à un service s'affichent dans votre compteIAM et sont détenus par le service. Un administrateur IAM peut consulter, mais ne peut pas modifier lesautorisations concernant les rôles liés à un service.
CloudTrail prend en charge un rôle lié à un service pour l'intégration avec AWS Organizations. Ce rôleest obligatoire pour la création d'un journal de suivi d'une organisation, un journal de suivi qui consigneles événements pour tous les comptes AWS d'une organisation. Pour de plus amples informations sur lacréation ou la gestion des rôles liés à un service CloudTrail, veuillez consulter the section called “Utilisationdes rôles liés à un service” (p. 292).
Rôles de service
Cette fonction permet à un service d'endosser un rôle de service en votre nom. Ce rôle autorise le serviceà accéder à des ressources d'autres services pour effectuer une action en votre nom. Les rôles de services'affichent dans votre compte IAM et sont la propriété du compte. Cela signifie qu'un administrateurIAM peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bonfonctionnement du service.
CloudTrail prend en charge les rôles de service.
Exemples de stratégies basées sur l'identité AWSCloudTrailPar défaut, les utilisateurs et les rôles IAM ne sont pas autorisés à créer ou à modifier les ressourcesCloudTrail. Ils ne peuvent pas non plus exécuter des tâches à l'aide de AWS Management Console, AWSCLI ou de l'API AWS. Un administrateur IAM doit créer des stratégies IAM autorisant les utilisateurs etles rôles à exécuter des opérations d'API spécifiques sur les ressources spécifiées dont ils ont besoin.L'administrateur doit ensuite attacher ces stratégies aux utilisateurs ou aux groupes IAM ayant besoin deces autorisations.
Pour apprendre à créer une stratégie basée sur l'identité IAM à l'aide de ces exemples de document destratégie JSON, consultez Création de stratégies dans l'onglet JSON dans le IAM Guide de l'utilisateur.
Rubriques• Bonnes pratiques en matière de stratégies (p. 274)• Exemple: Autorisation et refus d'actions pour un journal de suivi spécifié (p. 274)• Exemples : Création et application de stratégies pour des actions sur des journaux de suivi
spécifiques (p. 275)• Octroi d'autorisations pour l'utilisation de la console CloudTrail (p. 277)
Version 1.0273
AWS CloudTrail Guide de l'utilisateurExemples de stratégie basée sur l'identité
• Autoriser les utilisateurs à afficher leurs propres autorisations (p. 279)• Attribution d'autorisations personnalisées pour les utilisateurs de CloudTrail (p. 279)
Bonnes pratiques en matière de stratégiesLes stratégies basées sur l'identité sont très puissantes. Elles déterminent si une personne peut créer,consulter ou supprimer des ressources CloudTrail dans votre compte. Ces actions peuvent entraîner desfrais pour votre compte AWS. Lorsque vous créez ou modifiez des stratégies basées sur l'identité, suivezces instructions et recommandations :
• Commencer à utiliser les stratégies gérées AWS – Pour commencer à utiliser CloudTrail rapidement,utilisez les stratégies gérées AWS pour accorder à vos employés les autorisations dont ils ont besoin.Ces stratégies sont déjà disponibles dans votre compte et sont gérées et mises à jour par AWS. Pourplus d'informations, consultez la section Mise en route avec les autorisations à l'aide des stratégiesgérées AWS dans le IAM Guide de l'utilisateur.
• Accorder l'accès avec le moindre privilège – Lorsque vous créez des stratégies personnalisées,accordez uniquement les autorisations requises pour exécuter une seule tâche. Commencez avec unminimum d'autorisations et accordez-en d'autres si nécessaire. Cette méthode est plus sûre que decommencer avec des autorisations trop permissives et d'essayer de les restreindre plus tard. Pourplus d'informations, consultez Accorder les privilèges les plus faibles possible dans le IAM Guide del'utilisateur.
• Activer MFA pour les opérations sensibles – Pour plus de sécurité, obligez les utilisateurs IAM àutiliser l'authentification multi-facteurs (MFA) pour accéder à des ressources ou à des opérations d'APIsensibles. Pour plus d'informations, consultez Utilisation de Multi-Factor Authentication (MFA) dans AWSdans le IAM Guide de l'utilisateur.
• Utiliser des conditions de stratégie pour une plus grande sécurité – Tant que cela reste pratique pourvous, définissez les conditions dans lesquelles vos stratégies basées sur l'identité autorisent l'accès àune ressource. Par exemple, vous pouvez rédiger les conditions pour spécifier une plage d'adresses IPautorisées d'où peut provenir une demande. Vous pouvez également écrire des conditions pour autoriserles requêtes uniquement à une date ou dans une plage de temps spécifiée, ou pour imposer l'utilisationde SSL ou de MFA. Pour de plus amples informations, veuillez consulter Éléments de stratégie JSONIAM : condition dans le IAM Guide de l'utilisateur.
CloudTrail n'a pas de clés de contexte spécifiques au service pouvant être utilisées dans l'élémentCondition des déclarations de stratégie.
Exemple: Autorisation et refus d'actions pour un journal de suivispécifiéL'exemple suivant illustre une stratégie qui permet aux utilisateurs avec cette stratégie d'afficher l'étatet la configuration d'un journal de suivi et de démarrer et d'arrêter la journalisation pour un journal desuivi nommé My-First-Trail. Ce journal de suivi a été créé dans la USA Est (Ohio) région (sa régiond'origine) dans le compte AWS avec l'ID 123456789012.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors"
Version 1.0274
AWS CloudTrail Guide de l'utilisateurExemples de stratégie basée sur l'identité
], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ]}
L'exemple suivant illustre une stratégie qui refuse explicitement les CloudTrail actions pour n'importe queljournal de suivi non nommé My-First-Trail.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloudtrail:*" ], "NotResource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ]}
Exemples : Création et application de stratégies pour des actionssur des journaux de suivi spécifiquesVous pouvez utiliser des autorisations et des stratégies pour contrôler la capacité d'un utilisateur à effectuerdes actions spécifiques sur des journaux de suivi CloudTrail.
Si, par exemple, vous ne voulez pas que les utilisateurs du groupe de développeurs de votre entreprisedémarrent ou arrêtent la journalisation sur un suivi spécifique, mais que vous souhaitez leur accorderl'autorisation d'effectuer des actions DescribeTrails et GetTrailStatus sur le suivi. Vous voulez queles utilisateurs du groupe de développeur effectuent les actions StartLogging ou StopLogging sur lesjournaux de suivi qu'ils gèrent.
Vous pouvez créer deux déclarations de stratégie, puis les attacher au groupe de développeurs créédans IAM. Pour plus d'informations sur les groupes IAM, consultez Groupes IAM dans le IAM Guide del'utilisateur.
Dans la première stratégie, vous refusez les actions StartLogging et StopLogging pour l'ARNdu suivi que vous spécifiez. Dans l'exemple suivant, l'ARN du suivi est arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446057698000", "Effect": "Deny", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail" ] }
Version 1.0275
AWS CloudTrail Guide de l'utilisateurExemples de stratégie basée sur l'identité
]}
Dans la deuxième stratégie, les actions DescribeTrails et GetTrailStatus ont autorisées sur toutesles ressources CloudTrail :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446072643000", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus" ], "Resource": [ "*" ] } ]}
Si un utilisateur du groupe de développeurs tente de démarrer ou d'arrêter la journalisation sur le suivi quevous avez spécifié dans la première stratégie, cet utilisateur reçoit une exception de refus d'accès. Lesutilisateurs du groupe de développeurs peuvent commencer et arrêter la journalisation des suivis qu'ilscréent et gèrent.
Les exemples d'interface de ligne de commande suivants montrent que le groupe de développeurs a étéconfiguré dans un AWS CLI profil nommé devgroup . Tout d'abord, un utilisateur d' devgroup exécute ladescribe-trails commande.
$ aws --profile devgroup cloudtrail describe-trails
La commande aboutit :
{ "trailList": [ { "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail", "IsMultiRegionTrail": false, "S3BucketName": "myS3bucket ", "HomeRegion": "us-east-2" } ]}
L'utilisateur exécute ensuite la commande get-trail-status sur le suivi que vous avez spécifié dans lapremière stratégie.
$ aws --profile devgroup cloudtrail get-trail-status --name Example-Trail
La commande aboutit :
{ "LatestDeliveryTime": 1449517556.256,
Version 1.0276
AWS CloudTrail Guide de l'utilisateurExemples de stratégie basée sur l'identité
"LatestDeliveryAttemptTime": "2015-12-07T19:45:56Z", "LatestNotificationAttemptSucceeded": "", "LatestDeliveryAttemptSucceeded": "2015-12-07T19:45:56Z", "IsLogging": true, "TimeLoggingStarted": "2015-12-07T19:36:27Z", "StartLoggingTime": 1449516987.685, "StopLoggingTime": 1449516977.332, "LatestNotificationAttemptTime": "", "TimeLoggingStopped": "2015-12-07T19:36:17Z"}
Ensuite, un utilisateur de devgroup exécute la commande stop-logging sur le même suivi.
$ aws --profile devgroup cloudtrail stop-logging --name Example-Trail
La commande renvoie une exception de refus d'accès :
A client error (AccessDeniedException) occurred when calling the StopLogging operation: Unknown
L'utilisateur exécute la commande start-logging sur le même suivi.
$ aws --profile devgroup cloudtrail start-logging --name Example-Trail
La commande renvoie une exception de refus d'accès :
A client error (AccessDeniedException) occurred when calling the StartLogging operation: Unknown
Octroi d'autorisations pour l'utilisation de la console CloudTrailAttribution des autorisations pour l'administration d'CloudTrailPour permettre aux utilisateurs d'administrer un suivi d'CloudTrail, vous devez accorder des autorisationsexplicites aux utilisateurs IAM pour effectuer les opérations associées aux tâches CloudTrail. Dans laplupart des scénarios, vous pouvez utiliser une stratégie gérée par AWS qui contient déjà des autorisationsprédéfinies.
Note
Les autorisations que vous accordez aux utilisateurs pour effectuer des tâches d'administrationCloudTrail sont différentes de celles dont CloudTrail a besoin pour livrer les fichiers journaux dansdes compartiments Amazon S3 ou envoyer des notifications aux rubriques Amazon SNS. Pourplus d'informations sur ces autorisations, consultez Stratégie de compartiment Amazon S3 pourCloudTrail (p. 283).Si vous configurez l'intégration à Amazon CloudWatch Logs, CloudTrail nécessite égalementun rôle qu'il peut endosser pour livrer des événements à un groupe de journaux AmazonCloudWatch Logs. Cela nécessite des autorisations supplémentaires pour créer le rôle, ainsique le rôle proprement dit. Pour de plus amples informations, veuillez consulter Accorder lesautorisations d'afficher et de configurer des informations Amazon CloudWatch Logs sur la consoleCloudTrail (p. 283) et Envoi d'événements à CloudWatch Logs (p. 168).
Une approche classique consiste à créer un groupe IAM qui dispose des autorisations appropriées,puis à ajouter des utilisateurs IAM à ce groupe. Par exemple, vous pouvez créer un groupe IAM pourles utilisateurs qui doivent avoir un accès complet aux actions CloudTrail et un groupe distinct pour lesutilisateurs qui doivent être en mesure de consulter les informations de suivi mais pas de créer ou demodifier des suivis.
Version 1.0277
AWS CloudTrail Guide de l'utilisateurExemples de stratégie basée sur l'identité
Pour créer un groupe et des utilisateurs IAM pour un accès à CloudTrail
1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam.2. Dans le tableau de bord, sélectionnez Groupes dans le panneau de navigation, puis Créer un groupe.3. Saisissez un nom, puis sélectionnez Next Step.4. Sur la page Attacher la stratégie, localisez et sélectionnez l'une des stratégies suivantes pour
CloudTrail :
• AWSCloudTrailFullAccess. Cette stratégie accorde aux utilisateurs du groupe un accès complet auxCloudTrail actions . Ces utilisateurs sont autorisés à gérer le compartiment Amazon S3, le groupe dejournaux pour CloudWatch Logs et une rubrique Amazon SNS pour un journal de suivi.
Note
La AWSCloudTrailFullAccess stratégie n'est pas destinée à être partagée globalementdans votre compte AWS. Les utilisateurs ayant ce rôle ont la possibilité de désactiverou de reconfigurer les fonctions d'audit les plus sensibles et les plus importantes dansleurs comptes AWS. Pour cette raison, cette stratégie doit être appliquée uniquement auxadministrateurs de compte, et l'utilisation de cette stratégie doit être étroitement contrôlée etsurveillée.
• AWSCloudTrailReadOnlyAccess. Cette stratégie permet aux utilisateurs du groupe d'afficherla CloudTrail console , y compris les événements récents et l'historique des événements. Cesutilisateurs peuvent également consulter les journaux de suivi existants et leurs compartiments. Ilspeuvent télécharger un fichier d'historique des événements, mais ils ne peuvent pas créer ou mettreà jour des journaux de suivi.
Note
Vous pouvez également créer une stratégie personnalisée qui accorde des autorisationsà des actions individuelles. Pour plus d’informations, consultez Attribution d'autorisationspersonnalisées pour les utilisateurs de CloudTrail (p. 279).
5. Choisissez Next Step.6. Passez en revue les informations concernant le groupe que vous êtes sur le point de créer.
Note
Vous pouvez modifier le nom du groupe, mais vous devrez choisir à nouveau la stratégie.7. Choisissez Créer un groupe. Le groupe que vous avez créé s'affiche dans la liste des groupes.8. Sélectionnez le nom du groupe que vous avez créé, Actions du groupe, puis Ajouter des utilisateurs au
groupe.9. Sur la page Ajouter des utilisateurs au groupe, sélectionnez les utilisateurs IAM existants, puis Ajouter
des utilisateurs. Si vous n'avez pas encore d'utilisateurs IAM, sélectionnez Créer des utilisateurs,entrez les noms d'utilisateur, puis sélectionnez Créer.
10. Si vous avez créé des utilisateurs, sélectionnez Utilisateurs dans le panneau de navigation, puiseffectuez les actions suivantes pour chaque utilisateur :
a. Sélectionnez l'utilisateur.b. Si l'utilisateur fait appel à la console pour gérer CloudTrail, sous l'onglet Informations
d'identification de sécurité, sélectionnez Gérer le mot de passe, puis créez un mot de passe pourl'utilisateur.
c. Si l'utilisateur fait appel à l'interface de ligne de commande ou à l'API pour gérer CloudTrail etque vous n'avez pas encore créé de clés d'accès, sous l'onglet Informations d'identification desécurité, sélectionnez Gérer les clés d'accès, puis créez des clés d'accès. Stockez les clés dansun emplacement sûr. Version 1.0
278
AWS CloudTrail Guide de l'utilisateurExemples de stratégie basée sur l'identité
d. Communiquez à chaque utilisateur ses informations d'identification (clés d'accès ou mot depasse).
Ressources supplémentaires concernant
Pour en savoir plus sur la création d'utilisateurs, de groupes, de stratégies et d'autorisations IAM, consultezCréation d'un groupe d'administrateurs à l'aide de la console et Autorisations et stratégies dans le IAMGuide de l'utilisateur.
Vous n'avez pas besoin d'accorder les autorisations minimales de console aux utilisateurs qui effectuentdes appels uniquement vers l'AWS CLI ou l'API AWS. Autorisez plutôt l'accès à uniquement aux actions quicorrespondent à l'opération d'API que vous tentez d'effectuer.
Autoriser les utilisateurs à afficher leurs propres autorisationsCet exemple montre comment créer une stratégie qui permet aux utilisateurs IAM d'afficher les stratégiesen ligne et gérées attachées à leur identité d'utilisateur. Cette stratégie inclut les autorisations nécessairespour réaliser cette action sur la console ou par programmation à l'aide de l’AWS CLI ou de l'API AWS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ]}
Attribution d'autorisations personnalisées pour les utilisateurs deCloudTrailLes stratégies CloudTrail accordent des autorisations aux utilisateurs de CloudTrail. Si vous avez besoind'accorder des autorisations différentes aux utilisateurs, vous pouvez attacher une stratégie CloudTrailà un groupe ou à un utilisateur IAM. Vous pouvez modifier la stratégie de sorte à inclure ou excluredes autorisations spécifiques. Vous pouvez également créer votre propre stratégie personnalisée. Les
Version 1.0279
AWS CloudTrail Guide de l'utilisateurExemples de stratégie basée sur l'identité
stratégies sont des documents JSON qui définissent les actions qu'un utilisateur est autorisé à effectuer,ainsi que les ressources sur lesquelles il est autorisé à effectuer ces actions. Pour plus d'exemples,consultez Exemple: Autorisation et refus d'actions pour un journal de suivi spécifié (p. 274) et Exemples :Création et application de stratégies pour des actions sur des journaux de suivi spécifiques (p. 275).
Table des matières• Accès en lecture seule (p. 280)• Accès complet (p. 281)• Accorder l'autorisation d'afficher des informations d'AWS Config sur la console CloudTrail (p. 282)• Accorder les autorisations d'afficher et de configurer des informations Amazon CloudWatch Logs sur la
console CloudTrail (p. 283)• Informations supplémentaires (p. 283)
Accès en lecture seuleL'exemple suivant montre une stratégie qui accorde l'accès en lecture seule à des suivis CloudTrail. Celaéquivaut à la stratégie géréeAWSCloudTrailReadOnlyAccess. Elle accorde aux utilisateurs l'autorisation deconsulter les informations de suivi, mais pas de créer ou de mettre à jour des suivis. La stratégie accordeégalement l'autorisation de lire des objets dans des compartiments Amazon S3, mais pas de les créer oude les supprimer.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetBucketLocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus", "cloudtrail:LookupEvents", "cloudtrail:ListPublicKeys", "cloudtrail:ListTags", "s3:ListAllMyBuckets", "kms:ListAliases", "lambda:ListFunctions" ], "Resource": "*" } ]}
Dans les déclarations de stratégie, l'élément Effect spécifie si les actions sont autorisées ou refusées.L'élément Action répertorie les actions spécifiques que l'utilisateur est autorisé à effectuer. L'élémentResource répertorie les ressources AWS sur lesquelles l'utilisateur est autorisé à effectuer ces actions.Pour les stratégies qui contrôlent l'accès aux actions CloudTrail, l'élément Resource est toujours défini à lavaleur *, un caractère générique qui signifie « toutes les ressources ».
Les valeurs de l'Actionélément correspondent aux APIs que les services prennent en charge. Les actionssont précédées de cloudtrail: pour indiquer qu'elles font référence à des actions CloudTrail. Vouspouvez utiliser le caractère générique * dans l'élément Action, comme dans les exemples suivants :
Version 1.0280
AWS CloudTrail Guide de l'utilisateurExemples de stratégie basée sur l'identité
• "Action": ["cloudtrail:*Logging"]
Cela autorise toutes les actions CloudTrail qui se terminent par « Logging » (StartLogging,StopLogging).
• "Action": ["cloudtrail:*"]
Cela autorise toutes les actions CloudTrail, mais pas les actions pour d'autres services AWS.• "Action": ["*"]
Cela autorise toutes les actions AWS. Cette autorisation convient pour un utilisateur qui agit en tantqu'administrateur AWS pour votre compte.
La stratégie en lecture seule n'accorde pas la permission à l'utilisateur pour les actions CreateTrail,UpdateTrail, StartLogging et StopLogging. Utilisateurs avec cette stratégie ne sont pas autorisésà créer des suivis, mettre à jour des suivis ou activer et désactiver la journalisation. Pour obtenir la listecomplète des actions CloudTrail, consultez le AWS CloudTrail API Reference.
Accès complet
L'exemple suivant présente une stratégie qui accorde un accès total à CloudTrail. Cela équivaut à lastratégie géréeAWSCloudTrailFullAccess. Elle accorde aux utilisateurs l'autorisation d'effectuer toutes lesCloudTrail actions. Elle permet également aux utilisateurs de consigner des événements de données dansAmazon S3 et AWS Lambda, de gérer des fichiers dans des compartiments Amazon S3, de gérer commentCloudWatch Logs surveille les événements de journaux CloudTrail et de gérer des rubriques Amazon SNSdans le compte auquel est associé l'utilisateur.
Important
La AWSCloudTrailFullAccess stratégie ou les autorisations équivalentes ne sont pas destinées àêtre partagées globalement dans l'ensemble de votre compte AWS. Les utilisateurs ayant ce rôleou un accès équivalent ont la possibilité de désactiver ou de reconfigurer les fonctions d'audit lesplus sensibles et les plus importantes dans leurs comptes AWS. Pour cette raison, cette stratégiedoit être appliquée uniquement aux administrateurs de compte, et l'utilisation de cette stratégiedoit être étroitement contrôlée et surveillée.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:DeleteTopic", "sns:ListTopics", "sns:SetTopicAttributes", "sns:GetTopicAttributes" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:DeleteBucket", "s3:ListAllMyBuckets", "s3:PutBucketPolicy", "s3:ListBucket", "s3:GetObject",
Version 1.0281
AWS CloudTrail Guide de l'utilisateurExemples de stratégie basée sur l'identité
"s3:GetBucketLocation", "s3:GetBucketPolicy" ], "Resource": "*" }, { "Effect": "Allow", "Action": "cloudtrail:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "cloudtrail.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "lambda:ListFunctions" ], "Resource": "*" } ]}
Accorder l'autorisation d'afficher des informations d'AWS Config sur la consoleCloudTrailVous pouvez afficher des informations concernant les événements dans la console CloudTrail, y comprisles ressources associées à cet événement. Pour ces ressources, vous pouvez cliquer sur l'icône AWSConfig pour afficher le calendrier de cette ressource dans la console AWS Config. Attachez cette stratégieà vos utilisateurs pour leur accorder un accès à AWS Config en lecture seule. La stratégie ne leur accordepas l'autorisation de modifier les paramètres d'AWS Config.
Version 1.0282
AWS CloudTrail Guide de l'utilisateurStratégie de compartiment Amazon S3 pour CloudTrail
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "config:Get*", "config:Describe*", "config:List*" ], "Resource": "*" }]}
Pour plus d’informations, consultez Affichage des ressources référencées avec AWS Config (p. 53).
Accorder les autorisations d'afficher et de configurer des informations AmazonCloudWatch Logs sur la console CloudTrailVous pouvez afficher et configurer la livraison des événements à CloudWatch Logs dans la consoleCloudTrail si vous avez les autorisations nécessaires. Ce sont des autorisations plus importantesque celles accordées aux administrateurs CloudTrail. Attachez cette stratégie aux administrateurs quiconfigureront et gèreront l'intégration de CloudTrail à CloudWatch Logs. La stratégie ne leur accordedirectement pas d'autorisations dans CloudTrail ou CloudWatch Logs, mais elle accorde les autorisationsnécessaires pour créer et configurer le rôle que CloudTrail assumera pour réussir à livrer des événementsà votre groupe CloudWatch Logs.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:CreateRole" "iam:PutRolePolicy" "iam:ListRoles" "iam:GetRolePolicy" "iam:GetUser" ], "Resource": "*" }]}
Pour plus d’informations, consultez Surveillance des fichiers journaux CloudTrail avec Amazon CloudWatchLogs (p. 167).
Informations supplémentairesPour en savoir plus sur la création d'utilisateurs, de groupes, de stratégies et d'autorisations IAM, consultezCréation de votre premier groupe d'utilisateurs et d'administrateurs IAM et Gestion de l'accès dans le IAMGuide de l'utilisateur.
Stratégie de compartiment Amazon S3 pour CloudTrailPar défaut, les objets et les compartiments Amazon S3 sont privés. Seul le propriétaire de la ressource(le compte AWS qui a créé le compartiment) peut accéder au compartiment et aux objets qu'il contient. Lepropriétaire de la ressource peut accorder des autorisations d'accès à d'autres ressources et à d'autresutilisateurs en créant une stratégie d'accès.
Si vous souhaitez créer ou modifier un compartiment Amazon S3 pour recevoir les fichiers journaux pour lejournal de suivi d'une organisation, vous devez modifier davantage la stratégie de compartiment. Pour plus
Version 1.0283
AWS CloudTrail Guide de l'utilisateurStratégie de compartiment Amazon S3 pour CloudTrail
d’informations, consultez Création d'un journal de suivi pour une organisation avec l'AWS Command LineInterface (p. 126).
Pour livrer des fichiers journaux à un compartiment S3, CloudTrail doit disposer des autorisationsnécessaires et ne peut pas être configuré en tant que compartiment Paiement par le demandeur.CloudTrail attache automatiquement les autorisations requises à un compartiment lorsque vous créez uncompartiment Amazon S3 dans le cadre de la création ou de la mise à jour d'un journal de suivi dans laconsole CloudTrail.
CloudTrail ajoute les champs suivants à la stratégie :
• autoriséeSIDs.• Nom du compartiment .• Le nom principal du service pour CloudTrail.• Le nom du dossier dans lequel les fichiers journaux sont stockés, dont le nom du compartiment, un
préfixe (si vous en avez spécifié un) et l'ID de votre compte AWS.
La stratégie suivante permet à CloudTrail d'écrire dans le compartiment les fichiers journaux provenantdes régions prises en charge. Pour plus d’informations, consultez Régions prises en charge parCloudTrail (p. 13).
Stratégie de compartiment S3
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::myBucketName" }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix]/AWSLogs/myAccountID/*", "Condition": {"StringEquals": {"s3:x-amz-acl": "bucket-owner-full-control"}} } ]}
Table des matières• Spécification d'un compartiment existant pour la transmission des fichiers journaux
CloudTrail (p. 285)• Réception des fichiers journaux depuis d'autres comptes (p. 285)• Créez ou mettez à jour un compartiment Amazon S3 pour stocker les fichiers journaux du suivi d'une
organisation (p. 285)• Résolution des erreurs de stratégie de compartiment S3 (p. 286)
• Erreurs courantes de configuration de stratégie S3 (p. 286)• Modification d'un préfixe pour un compartiment existant (p. 287)
• Ressources supplémentaires concernant (p. 288)
Version 1.0284
AWS CloudTrail Guide de l'utilisateurStratégie de compartiment Amazon S3 pour CloudTrail
Spécification d'un compartiment existant pour la transmission desfichiers journaux CloudTrailSi vous avez spécifié un compartiment S3 existant comme emplacement de stockage de la livraison desfichiers journaux, vous devez attacher une stratégie au compartiment qui autorise CloudTrail à écrire danscelui-ci.
Note
Afin de respecter les bonnes pratiques, utilisez un compartiment S3 dédié pour les journauxCloudTrail.
Pour ajouter la stratégie CloudTrail requise à un compartiment Amazon S3
1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.2. Sélectionnez le compartiment dans lequel vous voulez que CloudTrail livre vos fichiers journaux, puis
choisissez Propriétés.3. Choisissez Permissions.4. Choisissez Edit Bucket Policy.5. Copiez la S3 bucket policy (p. 284) dans la fenêtre Bucket Policy Editor. Remplacez les espaces
réservés en italique par les nom du compartiment, le préfixe et le numéro de compte. Si vous avezspécifié un préfixe lorsque vous avez créé votre suivi, incluez-le ici. Le préfixe est un ajout facultatif àla clé d'objet S3 qui crée une organisation de type dossier dans le compartiment.
Note
Si le compartiment existant a déjà une ou plusieurs stratégies attachées, ajoutezles instructions pour que CloudTrail accède à cette ou ces stratégies. Evaluez le jeud'autorisations obtenu pour vérifier son adéquation pour les utilisateurs appelés à accéder aucompartiment.
Réception des fichiers journaux depuis d'autres comptesVous pouvez configurer CloudTrail de façon à livrer à un seul compartiment S3 les fichiers journaux deplusieurs comptes AWS. Pour plus d’informations, consultez Réception de fichiers journaux CloudTrail deplusieurs comptes (p. 220).
Créez ou mettez à jour un compartiment Amazon S3 pour stockerles fichiers journaux du suivi d'une organisationVous devez spécifier un compartiment Amazon S3 pour recevoir les fichiers journaux pour le journal desuivi d'une organisation. Ce compartiment doit avoir une stratégie qui permet à CloudTrail de placer lesfichiers journaux de l'organisation dans le compartiment.
Voici un exemple de stratégie pour un Amazon S3 compartiment nommé my-organization-bucket.Ce compartiment se trouve dans un AWS compte avec l'ID 111111111111, qui est le compte de gestiond'une organisation associée à l'ID o-exampleorgid qui permet la journalisation du journal de suivi d'uneorganisation. Elle permet également la journalisation pour le 111111111111 dans le cas où le journal desuivi est modifié pour passer d'un journal de suivi d'une organisation à un journal de suivi pour ce compteuniquement.
{ "Version": "2012-10-17", "Statement": [
Version 1.0285
AWS CloudTrail Guide de l'utilisateurStratégie de compartiment Amazon S3 pour CloudTrail
{ "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::my-organization-bucket" }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-organization-bucket/AWSLogs/111111111111/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-organization-bucket/AWSLogs/o-exampleorgid/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ]}
Cet exemple de stratégie n'autorise pas tous les utilisateurs des comptes membres à accéder aux fichiersjournaux créés pour l'organisation. Par défaut, les fichiers journaux de l'organisation sont accessiblesuniquement au compte de gestion. Pour plus d'informations sur la manière d'autoriser un accès en lectureau compartiment Amazon S3 pour les utilisateurs IAM des comptes membres, consultez Partage de fichiersjournaux CloudTrail entre comptes AWS (p. 223).
Résolution des erreurs de stratégie de compartiment S3Les sections suivantes décrivent la résolution des problèmes liés à la stratégie de compartiment S3.
Erreurs courantes de configuration de stratégie S3
Lorsque vous créez un compartiment dans le cadre de la création ou de la mise à jour d'un suivi, CloudTrailattache les autorisations requises à votre compartiment. La stratégie de compartiment utilise le nomprincipal du service, "cloudtrail.amazonaws.com", ce qui permet à CloudTrail de transmettre lesjournaux pour toutes les régions.
Version 1.0286
AWS CloudTrail Guide de l'utilisateurStratégie de compartiment Amazon S3 pour CloudTrail
Si ne livre pas de journaux pour une région, il est possible que votre compartiment dispose d'une stratégieplus ancienne qui spécifie un CloudTrail compte CloudTrail pour chaque région.IDs Cette stratégie autoriseCloudTrail à transmettre les journaux uniquement pour les régions spécifiées.
Il est recommandé de mettre à jour la stratégie de façon à utiliser une autorisation avec le nom principaldu service CloudTrail. Pour ce faire, remplacez l'ID de compte ARNs par le nom principal du service :"cloudtrail.amazonaws.com". Cela donne à CloudTrail l'autorisation de fournir des journaux pour lesnouvelles régions et les régions actuelles. Voici un exemple de configuration de stratégie recommandée :
Example Exemple de stratégie de compartiment avec le nom principal du service
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket-1" }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket-1/my-prefix/AWSLogs/123456789012/*", "Condition": {"StringEquals": {"s3:x-amz-acl": "bucket-owner-full-control"}} } ]}
Modification d'un préfixe pour un compartiment existantSi vous essayez d'ajouter, de modifier ou de supprimer un préfixe de fichier journal pour un compartimentS3 qui reçoit les journaux d'un journal de suivi, vous pouvez voir l'erreur : Il y a un problème avec lastratégie de compartiment. Une stratégie de compartiment avec un préfixe incorrect peut empêcher votresuivi de livrer les journaux au compartiment. Afin de résoudre le problème, utilisez la console Amazon S3pour mettre à jour le préfixe dans la stratégie du compartiment, puis utilisez la console CloudTrail pourspécifier le même préfixe pour le compartiment du suivi.
Pour mettre à jour le préfixe du fichier journal pour un compartiment S3
1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.2. Sélectionnez le compartiment pour lequel vous voulez modifier le préfixe, puis choisissez Propriétés.3. Choisissez Permissions.4. Choisissez Edit Bucket Policy.5. Dans la stratégie de compartiment, sous l's3:PutObjectaction, modifiez l'Resourceentrée pour
ajouter, modifier ou supprimer le fichier journal prefix selon vos besoins.
"Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*",
6. Choisissez Save.7. Ouvrez la console CloudTrail à l'adresse https://console.aws.amazon.com/cloudtrail/.8. Choisissez votre suivi et pour Storage location, cliquez sur l'icône en forme de crayon afin de modifier
les paramètres de votre compartiment.9. Dans Compartiment S3, choisissez le compartiment dont vous modifiez le préfixe.
Version 1.0287
AWS CloudTrail Guide de l'utilisateurStratégie de rubrique Amazon SNS pour CloudTrail
10. Dans Préfixe du fichier journal, mettez à jour le préfixe de manière à refléter le préfixe que vous avezsaisi dans la stratégie de compartiment.
11. Choisissez Save.
Ressources supplémentaires concernantPour de plus amples informations sur les compartiments et les stratégies S3, veuillez consulter AmazonSimple Storage Service Manuel du développeur.
Stratégie de rubrique Amazon SNS pour CloudTrailPour envoyer des notifications à une rubrique SNS, CloudTrail doit avoir les autorisations requises.CloudTrail attache automatiquement les autorisations requises à la rubrique lorsque vous créez unerubrique Amazon SNS dans le cadre de la création ou de la mise à jour d'un journal de suivi dans laconsole CloudTrail.
CloudTrail ajoute automatiquement la déclaration suivante à la stratégie avec les champs suivants :
• (AutoriséSIDs).• Le nom principal du service pour CloudTrail.• La rubrique SNS, avec la région, l'ID de compte et le nom de la rubrique.
La stratégie suivante permet à CloudTrail d'envoyer des notifications sur la transmission des fichiersjournaux provenant des régions prises en charge. Pour plus d’informations, consultez Régions prises encharge par CloudTrail (p. 13).
Stratégie de rubrique SNS
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailSNSPolicy20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:SNSTopicOwnerAccountId:SNSTopicName" } ]}
Si vous souhaitez utiliser une rubrique Amazon SNS chiffrée AWS KMS pour envoyer des notifications,vous devez également activer la compatibilité entre la source d'événement (CloudTrail) et la rubrique chiffréen ajoutant l'instruction suivante à la stratégie de la clé principale client (CMK).
Stratégie CMK
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" },
Version 1.0288
AWS CloudTrail Guide de l'utilisateurStratégie de rubrique Amazon SNS pour CloudTrail
"Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource": "*" } ]}
Pour plus d’informations, consultez Activer la compatibilité entre des sources d'événements à partir deservices AWS et de rubriques chiffrées .
Table des matières• Spécification d'une rubrique existante pour l'envoi des notifications (p. 289)• Résolution des erreurs de stratégie de rubrique SNS (p. 289)
• Erreurs courantes de configuration de stratégie SNS (p. 289)• Ressources supplémentaires concernant (p. 290)
Spécification d'une rubrique existante pour l'envoi desnotificationsVous pouvez ajouter manuellement les autorisations pour une rubrique Amazon SNS à votre stratégie derubrique dans la console Amazon SNS, puis spécifier la rubrique dans la console CloudTrail.
Pour mettre à jour manuellement une stratégie de rubrique SNS
1. Ouvrez la console Amazon SNS à l’adresse https://console.aws.amazon.com/sns/v3/home.2. Choisissez Rubriques, puis choisissez la rubrique.3. Choisissez Autres actions sur les rubriques, puis Modifier la politique de rubrique.4. Choisissez Affichage avancé, puis ajoutez l'instruction de SNS topic policy (p. 288) avec les valeurs
appropriées de la région, de l'ID de compte et du nom de la rubrique.5. Choisissez Mettre à jour une stratégie.6. Si votre rubrique est une rubrique chiffrée, vous devez accorder à CloudTrail les autorisations
kms:GenerateDataKey* et kms:Decrypt. Pour plus d’informations, consultez Encrypted SNS topicCMK policy (p. 288).
7. Revenez à la console CloudTrail et spécifiez la rubrique pour le suivi.
Résolution des erreurs de stratégie de rubrique SNSLes sections suivantes décrivent la résolution des problèmes liés à la stratégie de rubrique SNS.
Erreurs courantes de configuration de stratégie SNSLorsque vous créez une rubrique dans le cadre de la création ou de la mise à jour d'un suivi, CloudTrailattache les autorisations requises à votre rubrique. La stratégie de rubrique utilise le nom principal duservice, "cloudtrail.amazonaws.com", ce qui permet à CloudTrail d'envoyer des notifications pourtoutes les régions.
Si n'envoiCloudTraile pas de notifications pour une région, il est possible que votre rubrique dispose d'unestratégie plus ancienne qui spécifie le CloudTrail compte IDs pour chaque région. Cette stratégie autoriseCloudTrail à envoyer des notifications uniquement pour les régions spécifiées.
La stratégie de rubrique suivante autorise CloudTrail à envoyer des notifications pour les neuf régionsspécifiées uniquement :
Version 1.0289
AWS CloudTrail Guide de l'utilisateurStratégie de rubrique Amazon SNS pour CloudTrail
Example stratégie de rubrique avec compteIDs
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AWSCloudTrailSNSPolicy20131101", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::903692715234:root", "arn:aws:iam::035351147821:root", "arn:aws:iam::859597730677:root", "arn:aws:iam::814480443879:root", "arn:aws:iam::216624486486:root", "arn:aws:iam::086441151436:root", "arn:aws:iam::388731089494:root", "arn:aws:iam::284668455005:root", "arn:aws:iam::113285607260:root" ]}, "Action": "SNS:Publish", "Resource": "aws:arn:sns:us-east-1:123456789012:myTopic" }]}
Cette stratégie utilise une autorisation basée sur le CloudTrail compte individuelIDs. Pour livrer desjournaux pour une nouvelle région, vous devez mettre à jour manuellement la stratégie afin d'inclure l'ID deCloudTrail compte pour cette région. Par exemple, étant donné que CloudTrail prend désormais en chargel' Région USA Est (Ohio) , vous devez mettre à jour la stratégie pour ajouter l'ARN de l'ID de compte pourcette région : "arn:aws:iam::475085895292:root".
Il est recommandé de mettre à jour la stratégie de façon à utiliser une autorisation avec le nom principaldu service CloudTrail. Pour ce faire, remplacez l'ID de compte ARNs par le nom principal du service :"cloudtrail.amazonaws.com".
Cette opération autorise CloudTrail à envoyer des notifications pour les nouvelles régions et les régionsexistantes. Voici une version mise à jour de la stratégie précédente :
Example stratégie de rubrique avec le nom principal du service
{ "Version": "2012-10-17", "Statement": [{ "Sid": "AWSCloudTrailSNSPolicy20131101", "Effect": "Allow", "Principal": {Service": "cloudtrail.amazonaws.com"}, "Action": "SNS:Publish", "Resource": arn:aws:sns:us-west-2:123456789012:myTopic" }]}
Vérifiez que la stratégie comporte les valeurs appropriées :
• Dans le champ Resource, spécifiez le numéro de compte du propriétaire de la rubrique. Pour lesrubriques que vous créez, spécifiez votre numéro de compte.
• Spécifiez les valeurs appropriées pour la région et le nom de rubrique SNS.
Ressources supplémentaires concernantPour plus d'informations sur les rubriques SNS et l'abonnement à celles-ci, consultez le Amazon SimpleNotification Service Manuel du développeur.
Version 1.0290
AWS CloudTrail Guide de l'utilisateurDépannage
Résolution des problèmes liés à Identity and AccessAWS CloudTrailConsultez les informations suivantes pour identifier et résoudre les problèmes courants que vous pouvezrencontrer lorsque vous travaillez avec CloudTrail et IAM.
Rubriques• Je ne suis pas autorisé à effectuer une action dans CloudTrail (p. 291)• Je suis un administrateur et je veux autoriser d'autres utilisateurs à accéder à CloudTrail (p. 291)• Je veux autoriser des personnes extérieures à mon compte AWS à accéder à mes ressources
CloudTrail (p. 291)
Je ne suis pas autorisé à effectuer une action dans CloudTrailSi AWS Management Console indique que vous n'êtes pas autorisé à exécuter une action, vous devezcontacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fournivotre nom d'utilisateur et votre mot de passe.
L'exemple d'erreur suivant se produit lorsque lmateojacksonIAM'utilisateur tente d'utiliser la console pourafficher des informations détaillées concernant un journal de suivi, mais qu'il ne dispose pas de la stratégieCloudTrail gérée appropriée ( AWSCloudTrailFullAccess ou AWSCloudTrailReadOnlyAccess ) ou desautorisations équivalentes appliquées à son compte.
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:GetTrailStatus on resource: My-Trail
Dans ce cas, Mateo demande son administrateur de mettre à jour ses stratégies pour lui permettred'accéder aux informations et au statut du journal de suivi dans la console.
Si vous êtes connecté avec un IAM utilisateur ou un rôle qui dispose de la stratégie AWSCloudTrailFullAccess gérée ou de ses autorisations équivalentes, et que vous ne pouvez pasconfigurer AWS Config ou Amazon CloudWatch Logs intégrer avec un journal de suivi, il est possibleque les autorisations requises pour l'intégration avec ces services ne soient pas présentes. Pour de plusamples informations, veuillez consulter Accorder l'autorisation d'afficher des informations d'AWS Config surla console CloudTrail (p. 282) et Accorder les autorisations d'afficher et de configurer des informationsAmazon CloudWatch Logs sur la console CloudTrail (p. 283).
Je suis un administrateur et je veux autoriser d'autres utilisateursà accéder à CloudTrailPour permettre à d'autres utilisateurs d'accéder à CloudTrail, vous devez créer une entité IAM (utilisateur,groupe ou rôle) pour la personne ou l'application qui a besoin de l'accès. Ils utiliseront les informationsd'identification de cette entité pour accéder à AWS. Vous devez ensuite attacher une stratégie à l'entitéqui leur accorde les autorisations appropriées dans CloudTrail. Pour obtenir un exemple de la façon deprocéder, consultez Attribution d'autorisations personnalisées pour les utilisateurs de CloudTrail (p. 279)et Attribution des autorisations pour l'administration d'CloudTrail (p. 277).
Je veux autoriser des personnes extérieures à mon compte AWSà accéder à mes ressources CloudTrailVous pouvez créer un rôle et partager des informations CloudTrail entre plusieurs comptes AWS. Pour plusd’informations, consultez Partage de fichiers journaux CloudTrail entre comptes AWS (p. 223).
Version 1.0291
AWS CloudTrail Guide de l'utilisateurUtilisation des rôles liés à un service
Vous pouvez créer un rôle que les utilisateurs provenant d'autres comptes ou les personnes extérieures àvotre organisation peuvent utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est approuvépour assumer le rôle. Pour les services qui prennent en charge les stratégies basées sur les ressourcesou les listes de contrôle d'accès (ACL), vous pouvez utiliser ces stratégies pour accorder aux personnesl'accès à vos ressources.
Pour en savoir plus, consultez les éléments suivants :
• Pour savoir si CloudTrail prend en charge ces fonctionnalités, consultez Comment AWS CloudTrailfonctionne avec IAM (p. 269).
• Pour savoir comment fournir un accès à vos ressources sur les comptes AWS que vous détenez,consultez Octroi à un utilisateur IAM de l'autorisation d'accès à un autre compte AWS vous appartenantdans le IAM Guide de l'utilisateur.
• Pour savoir comment fournir l'accès à vos ressources à des comptes AWS tiers, consultez Octroi d'unaccès à des comptes AWS appartenant à des tiers dans le IAM Guide de l'utilisateur.
• Pour savoir comment fournir un accès par le biais de la fédération d'identité, consultez Octroi d'accès àdes utilisateurs authentifiés en externe (fédération d'identité) dans le IAM Guide de l'utilisateur.
• Pour en savoir plus sur la différence entre l'utilisation des rôles et des stratégies basées sur lesressources pour l'accès entre comptes, consultez Différence entre les rôles IAM et les stratégies baséessur les ressources dans le IAM Guide de l'utilisateur.
Utilisation des rôles liés à un service pour AWSCloudTrailAWS CloudTrail utilise les rôles liés à un service AWS Identity and Access Management (IAM). Un rôlelié à un service est un type unique de rôle IAM lié directement à CloudTrail. Les rôles liés à un servicesont prédéfinis par CloudTrail et comprennent toutes les autorisations nécessaires au service pour appelerd'autres services AWS en votre nom.
Un rôle lié à un service permet d'utiliser CloudTrail plus facilement, car vous n'avez pas besoin d'ajoutermanuellement les autorisations requises. CloudTrail définit les autorisations de ses rôles liés à unservice et, sauf définition contraire, seul CloudTrail peut endosser ses rôles. Les autorisations définiescomprennent la stratégie d'approbation et la stratégie d'autorisation. De plus, cette stratégie d'autorisationne peut pas être attachée à une autre entité IAM.
Pour de plus amples informations sur les autres services qui prennent en charge les rôles liés à un service,veuillez consulter Services AWS qui fonctionnent avec IAM et rechercher les services qui ont Oui dans lacolonne Rôle lié à un service. Choisissez un Oui ayant un lien permettant de consulter la documentation durôle lié à un service, pour ce service.
Autorisations des rôles liés à un service pour CloudTrailCloudTrail utilise le rôle lié à un service nommé AWSServiceRoleForCloudTrail – This service linked role isused for supporting the organization trail feature.
Le rôle lié à un service AWSServiceRoleForCloudTrail approuve le fait que les services suivants endossentle rôle :
• cloudtrail.amazonaws.com
Ce rôle est utilisé pour prendre en charge la création et la gestion des journaux de suivi d'uneorganisation dans CloudTrail. Pour plus d’informations, consultez Création d'un journal de suivi pour uneorganisation (p. 116).
Version 1.0292
AWS CloudTrail Guide de l'utilisateurUtilisation des rôles liés à un service
La stratégie d'autorisations liée au rôle permet à CloudTrail d'exécuter les actions suivantes sur lesressources spécifiées :
• Action : Allsur toutes les CloudTrail ressources.• Action : organizations:DescribeAccountsur toutes les Organisations ressources.• Action : organizations:DescribeOrganizationssur toutes les Organisations ressources.• Action : organizations:ListAccountssur toutes les Organisations ressources.• Action : organizations:ListAWSServiceAccessForOrganizationsur toutes les Organisations
ressources.
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur,groupe ou rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour de plus amples informations,veuillez consulter Autorisations de rôles liés à un service dans le IAM Guide de l'utilisateur.
Création d'un rôle lié à un service pour CloudTrailVous n'avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez le journalde suivi d'une organisation dans l'AWS Management Console, l'AWS CLI ou l'API AWS, CloudTrail créeautomatiquement le rôle lié au service.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvezutiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez le journal de suivid'une organisation, CloudTrail crée automatiquement le rôle lié au service.
Modification d'un rôle lié à un service pour CloudTrailCloudTrail ne vous permet pas de modifier le rôle lié à un service AWSServiceRoleForCloudTrail. Unefois que vous avez créé un rôle lié à un service, vous ne pouvez pas modifier le nom du rôle, car plusieursentités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l'aide deIAM. Pour plus d'informations, consultez la section Modification d'un rôle lié à un service du IAM Guide del'utilisateur.
Suppression d'un rôle lié à un service pour CloudTrailVous n'avez pas besoin de supprimer manuellement le rôle AWSServiceRoleForCloudTrail. Lorsque vousmodifiez un journal de suivi d'une organisation en un journal de suivi pour un seul compte AWS dans l'AWSManagement Console, l'AWS CLI, ou l'API AWS, CloudTrail nettoie les ressources et supprime pour vousle rôle lié à un service. De même, si un compte AWS est supprimé d'une organisation Organisations, le rôleAWSServiceRoleForCloudTrail est automatiquement supprimé de ce compte AWS.
Vous pouvez également utiliser la console IAM, l'AWS CLI ou l'API AWS pour supprimer manuellement lerôle lié à un service. Pour cela, vous devez commencer par nettoyer les ressources de votre rôle lié à unservice. Vous pouvez ensuite supprimer ce rôle manuellement.
Note
Si le service CloudTrail utilise le rôle lorsque vous essayez de supprimer les ressources, lasuppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.
Pour supprimer une ressource utilisée par le rôle AWSServiceRoleForCloudTrail, vous pouvez procéder del'une des manières suivantes :
• Supprimer le compte AWS de l'organisation dans Organisations.• Mettre à jour le journal de suivi afin qu'il ne soit plus le journal de suivi d'une organisation.• Supprimer le journal de suivi.
Version 1.0293
AWS CloudTrail Guide de l'utilisateurValidation de la conformité
Pour plus d'informations, consultez Création d'un journal de suivi pour une organisation (p. 116), Mise àjour d'un journal de suivi (p. 86) et Suppression d'un journal de suivi (p. 94).
Pour supprimer manuellement le rôle lié à un service à l'aide d' IAM
Utilisez la console IAM, l'AWS CLI ou l'API AWS pour supprimer le rôle lié à un serviceAWSServiceRoleForCloudTrail. Pour plus d’informations, consultez Suppression d'un rôle lié à un servicedans le IAM Guide de l'utilisateur.
Régions prises en charge pour les rôles liés à un serviceCloudTrailCloudTrail prend en charge l'utilisation des rôles liés à un service dans toutes les régions où CloudTrail etOrganisations sont disponibles. Pour plus d’informations, consultez AWS Regions and Endpoints.
Validation de la conformité pour AWS CloudTrailDes auditeurs tiers évaluent la sécurité et la conformité d'AWS CloudTrail dans le cadre de plusieursprogrammes de conformité AWS. Il s'agit notamment des certifications SOC, PCI, FedRAMP , HIPAA etautres.
Pour obtenir la liste des services AWS associés à des programmes de conformité spécifiques, veuillezconsulter Services AWS concernés par le programme de conformité. Pour obtenir des informationsgénérales, consultez Programmes de conformité AWS.
Vous pouvez télécharger les rapports de l'audit externe avec AWS Artifact. Pour de plus amplesinformations, veuillez consulter Téléchargement des rapports dans AWS Artifact.
Votre responsabilité en matière de conformité lorsque vous utilisez le CloudTrail est déterminée par lasensibilité de vos données, des objectifs de conformité de votre entreprise, ainsi que de la législationet de la réglementation en vigueur. AWS fournit les ressources suivantes pour faciliter le respect de laconformité :
• Guides de démarrage rapide de la sécurité et de la conformité – Ces guides de déploiement proposentdes considérations architecturales et indiquent les étapes à suivre pour déployer des environnements deréférence centrés sur la sécurité et la conformité sur AWS.
• Livre blanc Création d'une architecture pour la sécurité et la conformité HIPAA. Ce livre blanc décritcomment les entreprises peuvent utiliser AWS pour créer des applications conformes à la loi HIPAA.
• Ressources de conformité AWS – Cet ensemble de manuels et de guides peut s'appliquer à votresecteur et à votre emplacement.
• AWS Config – Ce service AWS permet d'évaluer le degré de conformité de vos configurations deressources par rapport aux pratiques internes, aux normes et aux directives industrielles.
• AWS Security Hub. Ce service AWS fournit une vue complète de votre état de sécurité au sein d'AWSqui vous permet de vérifier votre conformité aux normes sectorielles et aux bonnes pratiques de sécurité.
• L'inventaire Amazon S3 peut vous aider à contrôler et signaler le statut de réplication et de chiffrementde compartiments Amazon S3 que vous utilisez pour stocker des fichiers journaux et ses objets à desfins professionnelles, de conformité et d'obligations réglementaires.
Résilience dans AWS CloudTrailL'infrastructure AWS mondiale repose sur des AWS régions et des zones de disponibilité.AWS Lesrégions fournissent plusieurs zones de disponibilité physiquement séparées et isolées, reliées par un
Version 1.0294
AWS CloudTrail Guide de l'utilisateurSécurité de l'infrastructure
réseau à latence faible, à débit élevé et à forte redondance. Avec les zones de disponibilité, vous pouvezconcevoir et exploiter des applications et des bases de données qui basculent automatiquement d'unezone de disponibilité à l'autre sans interruption. Les zones de disponibilité sont plus hautement disponibles,tolérantes aux pannes et évolutives que les infrastructures traditionnelles à un ou plusieurs centres dedonnées. Si vous avez spécifiquement besoin de répliquer vos fichiers journaux CloudTrail sur de plusgrandes distances géographiques, vous pouvez utiliser la Réplication entre régions pour votre journal desuivi des compartiments Amazon S3, ce qui permet la copie automatique et asynchrone des objets entreles compartiments de différentes régions AWS.
Pour de plus amples d'informations sur les régions et les zones de disponibilité AWS, veuillez consulterInfrastructure mondiale d'AWS .
Outre l'infrastructure globale AWS, CloudTrail propose plusieurs fonctionnalités qui contribuent à la prise encharge des vos besoins en matière de résilience et de sauvegarde de données.
Journaux de suivi qui consignent des événements dans toutes les AWS régions
Lorsque vous appliquez un journal de suivi à toutes les régions AWS, CloudTrail crée des journaux desuivi avec des configurations identiques dans toutes les autres régions AWS dans votre compte. LorsqueAWS ajoute une nouvelle région, la configuration de ce journal de suivi est automatiquement créée dans lanouvelle région.
Gestion des versions, configuration du cycle de vie et protection du verrouillage d'objet pour les donnéesde CloudTrail journaux
Puisque CloudTrail utilise des compartiments Amazon S3 pour stocker des fichiers journaux, vous pouvezégalement utiliser les fonctionnalités fournies par Amazon S3 pour assurer la résilience des données et vosbesoins en sauvegarde. Pour plus d'informations, consultez Résilience dans Amazon S3.
Sécurité de l'infrastructure dans AWS CloudTrailEn tant que service géré, AWS CloudTrail est protégé par les procédures de sécurité du réseau AWSmondial qui sont décrites dans :Amazon Web Services Livre blanc Présentation des processus desécurité .
Vous utilisez les appels d'API AWS publiés pour accéder à CloudTrail via le réseau. Les clientsdoivent prendre en charge le protocole TLS (Transport Layer Security) 1.0 ou version ultérieure. Nousrecommandons TLS 1.2 ou version ultérieure. Les clients doivent également prendre en charge les suitesde chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic CurveEphemeral Diffie-Hellman (ECDHE) La plupart des systèmes modernes telles que Java 7 et versionsultérieures prennent en charge ces modes.
En outre, les demandes doivent être signées à l'aide d'un ID de clé d'accès et d'une clé d'accès secrèteassociée à un mandataire IAM. Vous pouvez également utiliser AWS Security Token Service (AWS STS)pour générer des informations d'identification de sécurité temporaires et signer les demandes.
Les bonnes pratiques de sécurité suivantes s'appliquent également à la sécurité de l'infrastructure dansCloudTrail :
• Envisager des points de terminaison d'un VPC Amazon pour l'accès au journal de suivi. (p. 138)• Envisagez des points de terminaison Amazon VPC pour l'accès au compartiment Amazon S3. Pour plus
d'informations, consultez Exemple de stratégies de compartiment pour les points de terminaison d'unVPC pour Amazon S3.
• Identifier et auditer tous les compartiments Amazon S3 contenant des fichiers journaux CloudTrail.Envisagez d'utiliser des balises pour vous aider à identifier à la fois vos journaux de suivi CloudTrail etles compartiments Amazon S3 contenant des fichiers journaux CloudTrail. Vous pouvez ensuite utiliser
Version 1.0295
AWS CloudTrail Guide de l'utilisateurBonnes pratiques de sécurité
les groupes de ressources pour vos ressources CloudTrail. Pour plus d’informations, consultez Groupesde ressources AWS.
Bonnes pratiques de sécurité dans AWS CloudTrailAWS CloudTrail fournit différentes fonctions de sécurité à prendre en compte lorsque vous développez etimplémentez vos propres stratégies de sécurité. Les bonnes pratiques suivantes doivent être considéréescomme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donnéque ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement,considérez-les comme des remarques utiles plutôt que comme des recommandations.
Rubriques• Bonnes pratiques de sécurité préventive CloudTrail (p. 296)• Bonnes pratiques de sécurité préventive pour CloudTrail (p. 297)
Bonnes pratiques de sécurité préventive CloudTrailCréer un journal de suivi
Pour un registre permanent des événements dans votre compte AWS, vous devez créer un journal desuivi. Bien que CloudTrail fournisse 90 jours d'informations sur l'historique des événements pour lesévénements de gestion dans la console CloudTrail sans créer de journal de suivi, il ne s'agit pas d'unregistre permanent, et il ne fournit pas d'informations sur tous les types d'événements possibles. Pour unregistre permanent, et pour un registre contenant tous les types d'événements que vous spécifiez, vousdevez créer un journal de suivi, qui transmet des fichiers journaux à un compartiment Amazon S3 que vousspécifiez.
Pour vous aider à gérer vos données CloudTrail, envisagez de créer un journal de suivi qui enregistre lesévénements de gestion dans toutes les régions AWS, puis créez des journaux de suivi supplémentaires quienregistrent des types d'événements spécifiques pour les ressources, telles que l'activité du compartimentAmazon S3 ou des fonctions AWS Lambda.
Voici quelques-unes des étapes que vous pouvez suivre :
• Créer un journal de suivi pour votre compte AWS (p. 76)• Créer un journal de suivi pour une organisation (p. 116)
Appliquer des journaux de suivi à toutes les AWS régions
Afin d'obtenir un registre complet des événements auxquels a pris part un utilisateur, un rôle ou un servicedans votre compte AWS, chaque journal de suivi doit être configuré pour consigner les événements danstoutes les régions AWS. En consignant des événements dans toutes les régions AWS, vous garantissezque tous les événements qui se produisent dans votre compte AWS sont enregistrés, quelle que soit larégion AWS dans laquelle ils se sont produits. Cela inclut la journalisation des événements de servicesmondiaux (p. 12), qui sont consignés dans une région AWS spécifique à ce service. Lorsque vous créezun journal de suivi qui s'applique à toutes les régions, CloudTrail enregistre les événements dans chaquerégion, puis fournit les fichiers journaux d'événements CloudTrail dans un compartiment S3 que vousspécifiez. Si une région AWS est ajoutée après la création d'un journal de suivi qui s'applique à toutesles régions, cette nouvelle région est automatiquement incluse, et les événements de cette région sontconsignés. Il s'agit de l'option par défaut lorsque vous créez un journal de suivi dans la console CloudTrail.
Voici quelques-unes des étapes que vous pouvez suivre :
• Créer un journal de suivi pour votre compte AWS (p. 76)
Version 1.0296
AWS CloudTrail Guide de l'utilisateurBonnes pratiques de sécurité préventive pour CloudTrail
• Mettre à jour un journal de suivi (p. 86)afin de consigner des événements dans toutes les régions AWS• Mettez en place des contrôles de détection continus pour garantir que tous les journaux de suivi créés
consignent des événements dans toutes les régions AWS en utilisant la règle multi-region-cloud-trail-enabled dans AWS Config.
Activer l'intégrité des fichiers CloudTrail journaux
Les fichiers journaux validés s'avèrent utiles lors d'enquêtes judiciaires et liées à la sécurité. Par exemple,un fichier journal validé permet d'affirmer que le fichier journal en question n'a pas été modifié ou que lesinformations d'identification d'un utilisateur donné ont réalisé telle ou telle activité d'API. Le processusCloudTrail de validation de l'intégrité des fichiers journaux vous permet également de savoir si un fichierjournal a été supprimé ou modifié, ou bien de vous assurer qu'aucun fichier journal n'a été livré à votrecompte au cours d'une période donnée. La validation de l'intégrité des fichiers CloudTrail journauxutilise des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour lasignature numérique. Cela rend irréalisable la modification, la suppression ou la falsification des fichiersCloudTrail journaux par traitement informatique sans détection. Pour plus d’informations, consultez Activerla validation et les fichiers de validation (p. 234).
Intégration avec Amazon CloudWatch Logs
CloudWatch Logs vous permet de surveiller et de recevoir des alertes pour des événements spécifiquescapturés par CloudTrail. Les événements envoyés à CloudWatch Logs sont ceux configurés pour êtreconsignés par votre journal de suivi. Par conséquent, assurez-vous d'avoir configuré votre ou vos journauxde suivi pour consigner les types d'événements (événements de gestion et/ou événements de données)que vous souhaitez surveiller.
Par exemple, vous pouvez surveiller des événements clés liées à la sécurité et au réseau, tels que échecdes événements de connexion à la console AWS (p. 202) et des modifications apportées aux instancesAmazon EC2 (p. 196), comme le lancement, la suppression et le redémarrage des instances.
Voici quelques-unes des étapes que vous pouvez suivre :
• Consultez des exemples d'intégrations de CloudWatch journaux pour CloudTrail (p. 184) .• Configurez votre journal de suivi pour envoyer les événements à CloudWatch Logs (p. 167).• Envisagez de mettre en œuvre des contrôles de détection continus pour aider à garantir que tous les
journaux de suivi envoient des événements à CloudWatch Logs à des fins de surveillance en utilisant larègle cloud-trail-cloud-watch-logs-enabled dans AWS Config.
Bonnes pratiques de sécurité préventive pourCloudTrailLes bonnes pratiques suivantes pour CloudTrail peuvent aider à éviter les incidents de sécurité.
Se connecter à un Amazon S3 compartiment centralisé et dédié
Les fichiers CloudTrail journaux sont un journal d'audit des actions réalisées par un utilisateur, un rôleou un service AWS. L'exhaustivité, l'intégrité et la disponibilité de ces journaux est essentielle à des finsjuridiques et d'audit. En vous connectant à un compartiment Amazon S3 centralisé et dédié, vous pouvezappliquer des contrôles de sécurité stricts, l'accès et la répartition des tâches.
Voici quelques-unes des étapes que vous pouvez suivre :
• Créez un compte AWS séparé en tant que compte d'archives de journal. Si vous utilisez AWSOrganizations, inscrivez ce compte dans l'organisation, envisagez de créer un journal de suivi d'uneorganisation (p. 116) pour consigner les données pour tous les comptes AWS dans votre organisation.
Version 1.0297
AWS CloudTrail Guide de l'utilisateurBonnes pratiques de sécurité préventive pour CloudTrail
• Si vous n'utilisez pas Organisations, mais que vous souhaitez consigner des données pour plusieurscomptes AWS, créez un journal de suivi (p. 76) afin de consigner l'activité dans ce compte d'archive desjournaux. Restreignez l'accès à ce compte uniquement aux utilisateurs administratifs de confiance quidoivent avoir accès au compte et aux données d'audit.
• Dans le cadre de la création d'un journal de suivi, qu'il s'agisse du journal de suivi d'une organisation oudu journal de suivi d'un seul compte AWS, créez un compartiment Amazon S3 dédié pour stocker lesfichiers journaux pour ce journal de suivi.
• Si vous souhaitez enregistrer l'activité pour plus d'un compte AWS, modifiez la stratégie decompartiment (p. 220) pour autoriser la journalisation et le stockage des fichiers journaux pour tous lescomptes AWS pour lesquels vous souhaitez enregistrer l'activité du compte AWS.
• Si vous n'utilisez pas de journal de suivi d'une organisation, créez des journaux de suivi dans l'ensemblede vos comptes AWS, en spécifiant le compartiment Amazon S3 dans le compte du journal d'archivage.
Utiliser le chiffrement côté serveur avec des clés AWS KMS gérées par
Par défaut, les fichiers journaux livrés par CloudTrail à votre compartiment sont chiffrés par Amazoncôté serveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3). Pour fournir une couche desécurité qui soit directement gérable, vous pouvez utiliser à la place le chiffrement côté serveur avec desclés gérées par AWS KMS (SSE-KMS) pour vos fichiers journaux CloudTrail. Pour utiliser SSE-KMS avecCloudTrail, vous devez créer et gérer une clé KMS, aussi appelée clé principale client (CMK).
Note
Si vous utilisez SSE-KMS et la validation de fichiers journaux, et que vous avez modifié votrestratégie de compartiment Amazon S3 de façon à autoriser uniquement les fichiers chiffrés SSE-KMS, vous ne serez pas en mesure de créer des journaux de suivi qui utilisent ce compartiment,sauf si vous modifiez votre stratégie de compartiment pour spécifiquement autoriser le chiffrementAES256, comme illustré dans l'exemple de stratégie suivant.
"StringNotEquals": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] }
Voici quelques-unes des étapes que vous pouvez suivre :
• Vérifier les avantages de chiffrer vos fichiers journaux avec SSE-KMS (p. 299).• Créer une clé CMK à utiliser pour le chiffrement des fichiers journaux (p. 301).• Configurer le chiffrement des fichiers journaux pour vos journaux de suivi. (p. 308)• Envisagez de mettre en œuvre des contrôles de détection continus pour garantir que les journaux de
suivi sont des fichiers journaux chiffrés avec SSE-KMS en utilisant la règle cloud-trail-encryption-enableddans AWS Config.
Implémenter un accès sur la base du moindre privilège dans les Amazon S3 compartiments où vousstockez les fichiers journaux
Les journaux de suivi CloudTrail consignent des événements de journaux dans un compartiment AmazonS3 que vous spécifiez. Ces fichiers journaux contiennent un journal d'audit de mesures prises par lesutilisateurs, les rôles et les services AWS. L'intégrité et l'exhaustivité de ces fichiers journaux sont crucialesà des fins d'audit et judiciaires. Afin de garantir cette intégrité, vous devez également respecter le principedu moindre privilège lorsque vous créez ou modifiez l'accès à n'importe quel compartiment Amazon S3utilisé pour stocker les fichiers journaux CloudTrail.
Voici quelques-unes des étapes que vous pouvez suivre :
• Examinez la stratégie du compartiment Amazon S3 (p. 283) pour tous les compartiments où vousstockez des fichiers journaux et ajustez-le au besoin pour supprimer tout accès inutile. Cette stratégie
Version 1.0298
AWS CloudTrail Guide de l'utilisateurChiffrement des fichiers journaux CloudTrail
avec des clés gérées par AWS KMS (SSE-KMS)
de compartiment sera générée automatiquement lorsque vous créez un journal de suivi à l'aide de laconsole CloudTrail, mais elle peut également être créée et gérée manuellement.
• Si vous utilisez le même compartiment Amazon S3 pour stocker des fichiers journaux pour plusieurscomptes AWS, suivez les consignes pour recevoir les fichiers journaux pour plusieurs comptes (p. 220).
• Si vous utilisez un journal de suivi d'une organisation, veillez à suivre les consignes pour les journauxde suivi d'une organisation (p. 116), et vérifiez l'exemple de stratégie pour un compartiment Amazon S3pour un journal de suivi d'une organisation dans Création d'un journal de suivi pour une organisationavec l'AWS Command Line Interface (p. 126).
• Passez en revue la documentation de sécurité Amazon S3 et l'exemple de procédure détaillée pour lasécurisation d'un compartiment.
Activer la fonction Supprimer MFA sur le Amazon S3 compartiment où vous stockez les fichiers journaux
Configurer le Multi-Factor Authentication (MFA) garantit que toute tentative de modifier l'état de gestiondes versions de votre compartiment ou de supprimer de façon définitive la version d'un objet nécessiteun niveau d'authentification supplémentaire. Cela permet d'éviter toute opération qui peut compromettrel'intégrité de vos fichiers journaux, même si un utilisateur acquiert le mot de passe d'un utilisateur IAM quidispose des autorisations pour supprimer définitivement des objets Amazon S3.
Voici quelques-unes des étapes que vous pouvez suivre :
• Passez en revue les consignes pour la fonction Supprimer MFA• Ajout d'une stratégie de compartiment Amazon S3 pour exiger une authentification MFA
Configurer la gestion du cycle de vie des objets sur le Amazon S3 compartiment où vous stockez lesfichiers journaux
Le journal de suivi CloudTrail par défaut stocke des fichiers journaux indéfiniment dans le compartimentAmazon S3 configuré pour le journal de suivi. Vous pouvez utiliser les règles de gestion du cycle de viedes objets Amazon S3 pour définir votre propre stratégie de rétention pour mieux répondre aux besoins devotre entreprise et des audits. Par exemple, vous pouvez vouloir archiver les fichiers journaux vieux de plusd'un an dans Amazon Glacier, ou supprimer des fichiers journaux après l'écoulement d'un certain délai.
Limiter l'accès à la AWSCloudTrailFullAccess stratégie
Les utilisateurs dotés de la AWSCloudTrailFullAccess (p. 281) stratégie ont la possibilité de désactiverou de reconfigurer les fonctions d'audit les plus sensibles et les plus importantes dans leurs AWS comptes.Cette stratégie n'est pas destinée à être partagée ou appliquée largement aux utilisateurs et rôles de votrecompte AWS. Limitez l'application de cette stratégie à aussi peu de personnes que possible, celles dontvous attendez qu'elles agissent en tant qu'administrateurs du compte AWS.
Chiffrement des fichiers journaux CloudTrail avecdes clés gérées par AWS KMS (SSE-KMS)
Par défaut, les fichiers journaux livrés par CloudTrail à votre compartiment sont chiffrés par Amazoncôté serveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3). Pour fournir une couche desécurité qui soit directement gérable, vous pouvez utiliser à la place le chiffrement côté serveur avec desclés gérées par AWS KMS (SSE-KMS) pour vos fichiers journaux CloudTrail.
Note
L'activation du chiffrement côté serveur chiffre les fichiers journaux, mais pas les fichiers de valeurde hachage avec SSE-KMS. Les fichiers de valeur de hachage sont chiffrés avec des clés dechiffrement gérées par Amazon S3 (SSE-S3).
Version 1.0299
AWS CloudTrail Guide de l'utilisateurActivation du chiffrement de fichier journaux
Pour utiliser SSE-KMS avec CloudTrail, vous devez créer et gérer une clé KMS, aussi appelée cléprincipale client (CMK). Vous attachez une stratégie à la clé qui détermine quels utilisateurs peuvent utiliserla clé pour chiffrer et déchiffrer les fichiers journaux CloudTrail. Le déchiffrement est transparent via S3.Lorsque les utilisateurs autorisés de la clé lisent les fichiers journaux CloudTrail, S3 gère le déchiffrementet les utilisateurs autorisés sont capables de lire les fichiers journaux sous forme non chiffrée.
Cette méthode offre les avantages suivants :
• Vous pouvez créer et gérer les clés de chiffrement CMK vous-même.• Vous pouvez utiliser une seule clé CMK pour chiffrer et déchiffrer les fichiers journaux de plusieurs
comptes dans toutes les régions.• Vous pouvez contrôler qui peut utiliser votre clé pour chiffrer et déchiffrer les fichiers journaux CloudTrail.
Vous pouvez attribuer des autorisations pour la clé aux utilisateurs de votre organisation selon vosbesoins.
• Vous bénéficiez d'une sécurité renforcée. Grâce à cette fonctionnalité, afin de lire les fichiers journaux,les autorisations suivantes sont requises :• Un utilisateur doit avoir des autorisations de lecture S3 pour le compartiment qui contient les fichiers
journaux.• Un utilisateur doit également avoir une stratégie ou un rôle permettant des autorisations de
déchiffrement par la stratégie CMK.• Puisque S3 déchiffre automatiquement les fichiers journaux de demandes émanant d'utilisateurs
autorisés à utiliser la clé CMK, le chiffrement SSE-KMS des fichiers journaux CloudTrail est compatibleavec les applications existantes qui lisent les données des journaux CloudTrail.
Note
La clé CMK que vous choisissez doit être dans la même région AWS que le compartimentAmazon S3 qui reçoit vos fichiers journaux. Par exemple, si les fichiers journaux vont être stockésdans un compartiment de la région USA Est (Ohio), vous devez créer ou choisir une clé CMK quia été créée dans cette région. Pour vérifier la région pour un compartiment Amazon S3, examinezses propriétés dans la console Amazon S3.
Activation du chiffrement de fichier journauxNote
Si vous créez une clé CMK dans la console CloudTrail, CloudTrail ajoute automatiquement lessections de stratégie CMK. Suivez ces procédures si vous avez créé une clé dans la console IAMou l'AWS CLI et que vous devez ajouter manuellement les sections de stratégie obligatoires.
Pour activer le chiffrement SSE-KMS pour les fichiers journaux CloudTrail, appliquez la procéduresuivante :
1. Créer une clé CMK.
• Pour plus d'informations sur la création d'une clé CMK avec AWS Management Console, consultezCréation de clés dans le manuel AWS Key Management Service Developer Guide.
• Pour plus d'informations sur la création d'une clé CMK avec l'AWS CLI, consultez create-key.
Note
La clé CMK que vous choisissez doit être dans la même région que le compartiment S3 quireçoit vos fichiers-journaux. Pour vérifier la région pour un compartiment S3, examinez lespropriétés du compartiment dans la console S3.
Version 1.0300
AWS CloudTrail Guide de l'utilisateurOctroi d'autorisations pour créer une clé CMK
2. Ajoutez des sections de stratégie à la clé qui autorise CloudTrail à chiffrer et les utilisateurs à déchiffrerles fichiers journaux.
• Pour plus d'informations sur ce qu'il convient d'inclure dans la stratégie, consultez la page Configurerdes stratégies de clé AWS KMS pour CloudTrail (p. 301).
Warning
Veillez à inclure les autorisations de déchiffrement dans les règles pour tous les utilisateursqui ont besoin de lire les fichiers journaux. Si vous n'effectuez pas cette étape avantd'ajouter la clé à la configuration de votre journal de suivi, les utilisateurs ne disposant pasd'autorisations de déchiffrement ne peuvent pas lire les fichiers chiffrés jusqu'à ce que vousleur accordiez ces autorisations.
• Pour plus d'informations sur la modification d'une stratégie avec la console IAM, consultezModification d'une stratégie de clé dans le manuel AWS Key Management Service Developer Guide.
• Pour plus d'informations sur l'attachement d'une stratégie à une clé CMK avec l'AWS CLI, consultezput-key-policy.
3. Mettez à jour votre suivi pour qu'il utilise la clé CMK dont vous avez modifié la stratégie pourCloudTrail.
• Pour mettre à jour votre configuration de suivi à l'aide de la console CloudTrail, consultez Mise à jourd'un suivi pour qu'il utilise votre clé CMK (p. 308).
• Pour mettre à jour votre configuration de suivi à l'aide de l'AWS CLI, consultez Activer et désactiverle chiffrement des fichiers journaux CloudTrail avec l'AWS CLI (p. 309).
La section suivante décrit les sections de stratégie dont votre stratégie CMK a besoin pour fonctionner avecCloudTrail.
Octroi d'autorisations pour créer une clé CMKVous pouvez accorder aux utilisateurs l'autorisation de créer une clé principale client (clé CMK) avec laAWSKeyManagementServicePowerUser stratégie.
Pour accorder l'autorisation de créer une clé CMK
1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam.2. Sélectionnez le groupe ou l'utilisateur auquel vous souhaitez accorder l'autorisation.3. Sélectionnez Autorisations, puis Attach Policy.4. Recherchez AWSKeyManagementServicePowerUser , choisissez la stratégie, puis choisissez
Attacher la stratégie.
L'utilisateur détient maintenant l'autorisation de créer une clé CMK. Si vous souhaitez créer desstratégies personnalisées pour vos utilisateurs, consultez Création de stratégies gérées par le clientdans le IAM Guide de l'utilisateur.
Configurer des stratégies de clé AWS KMS pourCloudTrailVous pouvez créer une clé principale client (CMK) de trois façons :
• La console CloudTrail• La console IAM• La bibliothèque AWS CLI
Version 1.0301
AWS CloudTrail Guide de l'utilisateurConfigurer des stratégies de clé AWS KMS pour CloudTrail
Note
Si vous avez créé une clé CMK dans la console CloudTrail, CloudTrail ajoute automatiquementla stratégie CMK obligatoire. Vous n'avez pas besoin d'ajouter manuellement les déclarationsde stratégie. Veuillez consulter Stratégie de clé par défaut créée dans la consoleCloudTrail (p. 307).
Si vous créez une clé CMK dans la console IAM ou l'AWS CLI, vous devez ajouter des sections destratégie à la clé afin que vous puissiez l'utiliser avec CloudTrail. La stratégie doit autoriser CloudTrailà utiliser la clé pour chiffrer vos fichiers journaux et autoriser les utilisateurs que vous indiquez à lire lesfichiers journaux sous forme non chiffrée.
Consultez les ressources suivantes :
• Pour créer une clé CMK avec l'AWS CLI, consultez create-key.• Pour modifier une stratégie CMK pour CloudTrail, consultez Modification d'une stratégie de clé dans le
AWS Key Management Service Developer Guide.• Pour plus de détails techniques sur la façon dont CloudTrail utilise AWS KMS, consultez Utilisation
d'AWS KMS par AWS CloudTrail dans le AWS Key Management Service Developer Guide.
Sections de stratégie CMK obligatoires à utiliser avec CloudTrailSi vous avez créé une clé CMK avec la console IAM ou l'AWS CLI, vous devez, au minimum, ajoutertrois déclarations à votre stratégie CMK pour qu'elle fonctionne avec CloudTrail. Vous n'avez pas besoind'ajouter manuellement des déclarations pour une clé CMK qui est créée à l'aide de la console CloudTrail.
1. Activez les autorisations de chiffrement de journaux CloudTrail. Veuillez consulter Accorder desautorisations de chiffrement (p. 302).
2. Activez les autorisations de déchiffrement de journaux CloudTrail. Veuillez consulter Accorder desautorisations de déchiffrement (p. 303).
3. Permettre à CloudTrail de décrire les propriétés de clé CMK. Veuillez consulter Permettre à CloudTrailde décrire les propriétés de clé CMK. (p. 306).
Note
Lorsque vous ajoutez les nouvelles sections à votre stratégie CMK, ne modifiez pas les sectionsexistantes dans la stratégie.Warning
Si le chiffrement est activé sur un suivi et que la clé CMK est désactivée ou que la stratégie CMKn'est pas correctement configurée pour CloudTrail, CloudTrail ne livre pas les journaux tant que leproblème de clé CMK n'est pas résolu.
Accorder des autorisations de chiffrementExample Autoriser CloudTrail à chiffrer les journaux pour le compte de comptes spécifiques
CloudTrail a besoin d'une autorisation explicite pour utiliser la clé CMK afin de chiffrer les journaux au nomde comptes spécifiques. Pour spécifier un compte, ajoutez l'instruction obligatoire suivante à votre stratégieCMK, en modifiant aws-account-id si nécessaire. Vous pouvez ajouter un compte supplémentaire IDsà la EncryptionContext section pour permettre à ces comptes d'utiliser votre clé CMK CloudTrail pourchiffrer les fichiers journaux.
{ "Sid": "Allow CloudTrail to encrypt logs", "Effect": "Allow",
Version 1.0302
AWS CloudTrail Guide de l'utilisateurConfigurer des stratégies de clé AWS KMS pour CloudTrail
"Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "kms:GenerateDataKey*", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:cloudtrail:arn": [ "arn:aws:cloudtrail:*:aws-account-id:trail/*" ] } }}
Example
Voici un exemple de déclaration de stratégie qui illustre la façon dont un autre compte peut utiliser votre cléCMK pour chiffrer les journaux CloudTrail.
Scenario
• Votre clé CMK est dans le compte 111111111111.• Vous et le compte 222222222222 chiffrerez les journaux.
Dans la stratégie, vous ajoutez un ou plusieurs comptes qu' va chiffrer avec votre clé dans l' CloudTrail EncryptionContext . pour chiffreCloudTrailr les journaux uniquement pour les comptes que vous spécifiez.Le fait d'accorder à la racine du compte 222222222222 l'autorisation de chiffrer les journaux délègueà l'administrateur de ce compte l'attribution des autorisations de chiffrement comme requis à d'autresutilisateurs du compte 222222222222 en modifiant leurs stratégies d'utilisateurs IAM.
Déclaration de stratégie CMK :
{ "Sid": "Enable CloudTrail Encrypt Permissions", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "kms:GenerateDataKey*", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:cloudtrail:arn": [ "arn:aws:cloudtrail:*:111111111111:trail/*", "arn:aws:cloudtrail:*:222222222222:trail/*" ] } }}
Pour connaître la procédure de modification d'une stratégie CMK à utiliser avec CloudTrail, consultezModification d'une stratégie de clé dans le AWS Key Management Service Developer Guide.
Accorder des autorisations de déchiffrementAvant d'ajouter votre clé CMK à votre configuration CloudTrail, il est important d'accorder des autorisationsde déchiffrement à tous les utilisateurs qui en ont besoin. Les utilisateurs détenant des autorisations dechiffrement, mais aucune autorisation de déchiffrement ne peuvent pas lire les journaux chiffrés.
Activer les autorisations de déchiffrement de journaux CloudTrail
Version 1.0303
AWS CloudTrail Guide de l'utilisateurConfigurer des stratégies de clé AWS KMS pour CloudTrail
Les utilisateurs de votre clé doivent détenir des autorisations explicites pour lire les fichiers journaux queCloudTrail a chiffrés. Pour permettre aux utilisateurs de lire les journaux chiffrés, ajoutez l'instructionobligatoire suivante à votre stratégie CMK, en modifiant la section Principal pour ajouter une ligne pourchaque mandataire (rôle ou utilisateur) que vous souhaitez pouvoir déchiffrer en utilisant votre clé CMK.
{ "Sid": "Enable CloudTrail log decrypt permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::aws-account-id:user/username" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "Null": { "kms:EncryptionContext:aws:cloudtrail:arn": "false" } }}
Autoriser les utilisateurs de votre compte à déchiffrer avec votre clé CMKExample
Cette déclaration de stratégie illustre la façon d'autoriser un utilisateur IAM ou un rôle dans votre compte àutiliser votre clé pour lire les journaux chiffrés dans le compartiment S3 de votre compte.
Example Scenario
• Votre clé CMK, votre compartiment S3 et l'utilisateur IAM Bob se trouvent dans le compte111111111111.
• Vous accordez à l'utilisateur IAM Bob l'autorisation de déchiffrer les journaux CloudTrail dans lecompartiment S3.
Dans la stratégie de clé, vous activez les autorisations de déchiffrement de journaux CloudTrail pourl'utilisateur IAM Bob.
Déclaration de stratégie CMK :
{ "Sid": "Enable CloudTrail log decrypt permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111111111111:user/Bob" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "Null": { "kms:EncryptionContext:aws:cloudtrail:arn": "false" } }}
Autoriser les utilisateurs dans d'autres comptes à déchiffrer avec votre clé CMKVous pouvez autoriser les utilisateurs dans d'autres comptes à utiliser votre clé CMK pour déchiffrer lesjournaux. Les modifications nécessaires pour votre stratégie de clé dépendent de si le compartiment S3 estdans votre compte ou dans un autre compte.
Version 1.0304
AWS CloudTrail Guide de l'utilisateurConfigurer des stratégies de clé AWS KMS pour CloudTrail
Autoriser les utilisateurs d'un compartiment dans un autre compte à déchiffrer les journaux
Example
Cette déclaration de stratégie montre comment autoriser un utilisateur IAM ou un rôle dans un autrecompte à utiliser votre clé pour lire des journaux chiffrés d'un compartiment S3 dans l'autre compte.
Scenario
• Votre clé CMK est dans le compte 111111111111.• L'utilisateur IAM Alice et le compartiment S3 sont dans le compte 222222222222.
Dans ce cas, vous accordez à CloudTrail l'autorisation de déchiffrer les journaux sous lecompte 222222222222, et à Alice l'autorisation de stratégie utilisateur IAM d'utiliser votre clé KeyA, qui estdans le compte 111111111111.
Déclaration de stratégie CMK :
{ "Sid": "Enable encrypted CloudTrail log read access", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::222222222222:root" ] }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "Null": { "kms:EncryptionContext:aws:cloudtrail:arn": "false" } }}
Déclaration de stratégie utilisateur IAM d'Alice :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-west-2:111111111111:key/keyA" } ]}
Autoriser les utilisateurs d'un autre compte à déchiffrer les journaux provenant de votrecompartiment
Example
Cette stratégie illustre la façon dont un autre compte peut utiliser votre clé pour lire les journaux chiffrés àpartir de votre compartiment S3.
Example Scenario
• Votre clé CMK et le compartiment S3 sont dans le compte 111111111111.• L'utilisateur qui lit les journaux à partir de votre compartiment est dans le compte 222222222222.
Version 1.0305
AWS CloudTrail Guide de l'utilisateurConfigurer des stratégies de clé AWS KMS pour CloudTrail
Pour activer ce scénario, vous activez les autorisations de déchiffrement pour le rôle IAM CloudTrailReadRole dans votre compte, puis vous accordez à l'autre compte l'autorisation d'assumer cerôle.
Déclaration de stratégie CMK :
{ "Sid": "Enable encrypted CloudTrail log read access", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::11111111111:role/CloudTrailReadRole" ] }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "Null": { "kms:EncryptionContext:aws:cloudtrail:arn": "false" } }}
Déclaration CloudTrailReadRole de stratégie d'entité d'approbation :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::222222222222:root" }, "Action": "sts:AssumeRole" } ] }
Pour connaître la procédure de modification d'une stratégie CMK à utiliser avec CloudTrail, consultezModification d'une stratégie de clé dans le AWS Key Management Service Developer Guide.
Permettre à CloudTrail de décrire les propriétés de clé CMK.CloudTrail nécessite la capacité à décrire les propriétés de la clé CMK. Pour activer cette fonctionnalité,ajoutez l'instruction obligatoire suivante telle quelle à votre stratégie CMK. Cette instruction n'accorde àCloudTrail aucune autorisation au-delà des autres autorisations que vous spécifiez.
{ "Sid": "Allow CloudTrail access", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*"}
Pour plus d'informations sur la modification des stratégies de clé CMK, consultez Modifier une stratégie declé dans le AWS Key Management Service Developer Guide.
Version 1.0306
AWS CloudTrail Guide de l'utilisateurConfigurer des stratégies de clé AWS KMS pour CloudTrail
Stratégie de clé par défaut créée dans la console CloudTrailSi vous créez une clé principale client (CMK) dans la console CloudTrail, la stratégie suivante est crééeautomatiquement. La stratégie permet les autorisations suivantes :
• Accorde des autorisations de compte AWS (racine) pour la clé CMK.• Autorise CloudTrail à chiffrer des fichiers journaux sous la clé CMK et à décrire la clé CMK.• Autorise tous les utilisateurs dans les comptes spécifiés à déchiffrer les fichiers journaux.• Autorise tous les utilisateurs dans le compte spécifié à créer un alias KMS pour la clé CMK.• Permet le déchiffrement de journaux entre comptes pour l'ID de compte du compte qui a créé le journal
de suivi.
{ "Version": "2012-10-17", "Id": "Key policy created by CloudTrail", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::aws-account-id:root", "arn:aws:iam::aws-account-id:user/username" ]}, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow CloudTrail to encrypt logs", "Effect": "Allow", "Principal": {"Service": ["cloudtrail.amazonaws.com"]}, "Action": "kms:GenerateDataKey*", "Resource": "*", "Condition": {"StringLike": {"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:aws-account-id:trail/*"}} }, { "Sid": "Allow CloudTrail to describe key", "Effect": "Allow", "Principal": {"Service": ["cloudtrail.amazonaws.com"]}, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Allow principals in the account to decrypt log files", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": [ "kms:Decrypt", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": {"kms:CallerAccount": "aws-account-id"}, "StringLike": {"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:aws-account-id:trail/*"} } }, { "Sid": "Allow alias creation during setup", "Effect": "Allow", "Principal": {"AWS": "*"},
Version 1.0307
AWS CloudTrail Guide de l'utilisateurMise à jour d'un suivi pour qu'il utilise votre clé CMK
"Action": "kms:CreateAlias", "Resource": "*", "Condition": {"StringEquals": { "kms:ViaService": "ec2.region.amazonaws.com", "kms:CallerAccount": "aws-account-id" }} }, { "Sid": "Enable cross account log decryption", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": [ "kms:Decrypt", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": {"kms:CallerAccount": "aws-account-id"}, "StringLike": {"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:aws-account-id:trail/*"} } } ]}
Note
La déclaration finale de la stratégie autorise les comptes croisés à déchiffrer les fichiers journauxavec la clé CMK.
Mise à jour d'un suivi pour qu'il utilise votre clé CMKPour mettre à jour un suivi de sorte qu'il utilise la clé principale client (CMK) que vous avez modifiée pourCloudTrail, appliquez la procédure suivante dans la console CloudTrail.
Note
Le fait de mettre à jour un journal de suivi selon la procédure suivante chiffre les fichiers journaux,mais pas les fichiers de valeur de hachage avec des SSE-KMS. Les fichiers de valeur de hachagesont chiffrés avec des clés de chiffrement gérées par Amazon S3 (SSE-S3).
Pour mettre à jour un suivi à l'aide de l'AWS CLI, consultez Activer et désactiver le chiffrement des fichiersjournaux CloudTrail avec l'AWS CLI (p. 309).
Pour mettre à jour un suivi de sorte qu'il utilise votre clé CMK
1. Connectez-vous à la AWS Management Console et ouvrez la console CloudTrail à l'adresse https://console.aws.amazon.com/cloudtrail/.
2. Choisissez Trails (Journaux de suivi ), puis choisissez un nom pour le journal de suivi.3. Dans General details (Détails généraux), choisissez Edit (Modifier).4. Pour le chiffrement des fichiers journaux SSE-KMS, si cette option n'est pas déjà activée, choisissez
Activé pour chiffrer vos fichiers journaux avec SSE-KMS au lieu de SSE-S3. La valeur par défaut est Activé. Pour plus d'informations sur ce type de chiffrement, consultez Protection des données à l'aidedu chiffrement côté serveur avec les clés de chiffrement gérées par (SSE-S3)Amazon S3.
Choisissez Existant pour mettre à jour votre journal de suivi avec votre clé principale AWS KMSclient. Choisissez une clé CMK située dans la même région que le compartiment S3 qui reçoit vosfichiers journaux. Pour vérifier la région pour un compartiment S3, consultez ses propriétés dans laconsole S3.
Version 1.0308
AWS CloudTrail Guide de l'utilisateurActiver et désactiver le chiffrement des
fichiers journaux CloudTrail avec l'AWS CLI
Note
Vous pouvez également saisir l'ARN d'une clé à partir d'un autre compte. Pour plusd’informations, consultez Mise à jour d'un suivi pour qu'il utilise votre clé CMK (p. 308). Lastratégie de clés doit autoriser CloudTrail à utiliser la clé pour chiffrer vos fichiers journaux etautoriser les utilisateurs que vous indiquez à lire les fichiers journaux sous forme non chiffrée.Pour plus d'informations sur la modification manuelle de la stratégie de clés, consultez la pageConfigurer des stratégies de clé AWS KMS pour CloudTrail (p. 301).
Dans AWS KMS Alias, spécifiez l'alias pour lequel vous avez modifié la stratégie à utiliser avecCloudTrail , au formatalias/MyAliasNamePour plus d'informations, consultez Mise à jour d'un suivipour qu'il utilise votre clé CMK (p. 308)..
Vous pouvez saisir le nom de l'alias, son ARN ou l'ID de clé globalement unique. Si la clé CMKappartient à un autre compte, vérifiez que la stratégie de clé dispose des autorisations qui vouspermettent de l'utiliser. La valeur peut avoir l'un des formats suivants :
• Nom d'alias : alias/MyAliasName• ARN d'alias : arn:aws:kms:region:123456789012:alias/MyAliasName• Clé ARN :arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012
• ID de clé globalement unique : 12345678-1234-1234-1234-1234567890125. Sélectionnez Update trail (Mettre à jour le suivi).
Note
Si la clé CMK que vous avez sélectionnée est désactivée ou est en attente de suppression,vous ne pouvez pas enregistrer le journal de suivi avec cette clé CMK. Vous pouvez activerla clé CMK ou en choisir une autre. Pour plus d'informations, consultez Comment l'état d'uneclé affecte l'utilisation d'une clé principale client dans le AWS Key Management ServiceManuel du développeur .
Activer et désactiver le chiffrement des fichiersjournaux CloudTrail avec l'AWS CLICette rubrique décrit comment activer et désactiver le chiffrement des fichiers journaux SSE-KMS pourCloudTrail en utilisant l'AWS CLI. Pour plus d'informations, consultez la page Chiffrement des fichiersjournaux CloudTrail avec des clés gérées par AWS KMS (SSE-KMS) (p. 299).
Activation du chiffrement de fichiers journaux CloudTrail à l'aidede l'AWS CLI1. Créez une clé avec l'AWS CLI. La clé que vous créez doit se trouver dans la même région que
le compartiment S3 qui reçoit vos fichiers journaux CloudTrail. Pour cette étape, vous utilisez lacommande KMS create-key.
2. Téléchargez la stratégie de clés existante pour pouvoir la modifier afin de l'utiliser avec CloudTrail.Vous pouvez récupérer la stratégie de clé avec la commande KMS get-key-policy.
3. Ajoutez les sections nécessaires à la stratégie de clés pour que CloudTrail puisse chiffrer et que lesutilisateurs puissent déchiffrer vos fichiers journaux. Assurez-vous que tous les utilisateurs qui lirontles fichiers-journaux détiennent des autorisations de déchiffrement. Ne modifiez pas les sectionsexistantes de la stratégie. Pour plus d'informations sur les sections de la stratégie à inclure, consultezla page Configurer des stratégies de clé AWS KMS pour CloudTrail (p. 301).
4. Attachez le fichier de stratégie .json modifié à la clé à l'aide de la commande KMS put-key-policy.
Version 1.0309
AWS CloudTrail Guide de l'utilisateurActiver et désactiver le chiffrement des
fichiers journaux CloudTrail avec l'AWS CLI
5. Exécutez la commande CloudTrail create-trail ou update-trail avec le paramètre --kms-key-id. Cette commande activera le chiffrement des journaux.
aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey
Le paramètre --kms-key-id spécifie la clé dont vous avez modifié la stratégie pour CloudTrail. Ilpeut avoir l'un des quatre formats suivants :
• Nom d'alias. Exemple :alias/MyAliasName• ARN d'alias. Exemple :arn:aws:kms:us-east-2:123456789012:alias/MyAliasName• ARN de clé. Exemple :arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012
• ID de clé globalement unique. Exemple :12345678-1234-1234-1234-123456789012
La réponse se présente comme suit :
{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", "S3BucketName": "my-bucket-name"}
La présence de l'élément KmsKeyId indique que le chiffrement de fichiers journaux a été activé. Lesfichiers-journaux chiffrés doivent apparaître dans votre compartiment en environ 10 minutes.
Désactivation du chiffrement de fichiers journaux CloudTrail àl'aide de l'AWS CLIPour arrêter le chiffrement des journaux, appelez update-trail et transmettez une chaîne vide auparamètre kms-key-id :
aws cloudtrail update-trail --name Default --kms-key-id ""
La réponse se présente comme suit :
{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "S3BucketName": "my-bucket-name"}
L'absence de l'élément KmsKeyId indique que le chiffrement des fichiers journaux n'est plus activé.
Version 1.0310
AWS CloudTrail Guide de l'utilisateur
Référence des événements dejournaux CloudTrail
Un journal CloudTrail est un enregistrement au format JSON. Le journal contient des informations sur lesdemandes pour les ressources de votre compte, par exemple qui a fait la demande, les services utilisés,les actions réalisées et les paramètres pour l'action. Les données d'événement sont enregistrées dans untableau Records.
L'exemple suivant illustre un seul enregistrement de journal d'un événement au cours duquel un utilisateurIAM nommé Mary_Major a appelé l'API CloudTrail StartLogging à partir de la console CloudTrail pourdémarrer le processus de journalisation.
{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDAJDPLRKLG7UEXAMPLE", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Mary_Major", "sessionContext": { "sessionIssuer": {}, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2019-06-18T22:28:31Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2019-06-19T00:18:31Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", "awsRegion": "us-east-2", "sourceIPAddress": "203.0.113.64", "userAgent": "signin.amazonaws.com", "requestParameters": { "name": "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" }, "responseElements": null, "requestID": "ddf5140f-EXAMPLE", "eventID": "7116c6a1-EXAMPLE", "readOnly": false, "eventType": "AwsApiCall", "recipientAccountId": "123456789012"}, ... additional entries ...
Deux événements sont enregistrés pour afficher une activité inhabituelle dans CloudTrail Insights :un événement de début et un événement de fin. L'exemple suivant montre un seul enregistrementde journal d'un événement Insights de départ qui s'est produit lorsque lApplication Auto Scaling'APICompleteLifecycleAction a été appelée un nombre inhabituel de fois. Pour les événements Insights,la valeur de eventCategory est Insight . Un insightDetails bloc identifie l'état, la source, le
Version 1.0311
AWS CloudTrail Guide de l'utilisateur
nom, le type Insights et le contexte de l'événement, y compris les statistiques et les attributions. Pourplus d'informations sur le insightDetails bloc, consultez CloudTrailÉlément insightDetailsInsights (p. 327) .
{ "eventVersion": "1.07", "eventTime": "2020-07-21T20:56:00Z", "awsRegion": "us-east-1", "eventID": "abcd00b0-ccfe-422d-961c-98a2198a408x", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "838185438692", "sharedEventID": "7bb000gg-22b3-4c03-94af-c74tj0c8m7c0", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 0.0000882145 }, "insight": { "average": 0.6 }, "insightDuration": 5, "baselineDuration": 11336 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3", "average": 0.2 } ], "baseline": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.0000882145 } ] }, { "attribute": "userAgent", "insight": [ { "value": "codedeploy.amazonaws.com", "average": 0.6 } ], "baseline": [ { "value": "codedeploy.amazonaws.com", "average": 0.0000882145 }
Version 1.0312
AWS CloudTrail Guide de l'utilisateurContenu d'un enregistrement CloudTrail
] }, { "attribute": "errorCode", "insight": [ { "value": "null", "average": 0.6 } ], "baseline": [ { "value": "null", "average": 0.0000882145 } ] } ] } }, "eventCategory": "Insight"}
Les rubriques suivantes répertorient les champs de données que CloudTrail capture pour chaque appeld'API AWS et événement de connexion.
Rubriques• Contenu d'un enregistrement CloudTrail (p. 313)• Élément CloudTrail userIdentity (p. 322)• CloudTrailÉlément insightDetails Insights (p. 327)• Evénements non API enregistrés par CloudTrail (p. 333)
Contenu d'un enregistrement CloudTrailLe corps de l'enregistrement contient les champs qui permettent de déterminer l'action demandée, ainsique le moment et l'endroit où la demande a été effectuée. Lorsque la valeur d'Optional (Facultatif) est True(Vraie), le champ est uniquement présent lorsqu'il s'applique au service, à l'API ou au type d'événement.La valeur facultative False signifie que le champ est toujours présent ou que sa présence ne dépend pasdu service, de l'API ou du type d'événement. Par exemple, responseElements , qui est présent dansles événements pour les actions qui effectuent des modifications (création, mise à jour ou suppressiond'actions).
eventTime
Date et heure de la demande, en heure UTC (Universal Coordinated Time).
Depuis : 1.0
Facultatif : FauxeventVersion
Version du format du journal des événements. La version actuelle est 1.08.
La eventVersion valeur est une version majeure et une version mineure sous formemajor_version.minor_version. Par exemple, vous pouvez avoir la eventVersion valeur 1.07 ,où 1 est la version majeure, et 07 est la version mineure.
CloudTrailincrémente la version majeure si une modification est apportée à la structure de l'événementqui n'est pas rétrocompatible. Cela inclut la suppression d'un champ JSON qui existe déjà, ou la
Version 1.0313
AWS CloudTrail Guide de l'utilisateurContenu d'un enregistrement CloudTrail
modification de la façon dont le contenu d'un champ est représenté (par exemple, un format de date).CloudTrail augmente la version mineure si une modification ajoute de nouveaux champs à la structurede l'événement. Cela peut se produire si de nouvelles informations sont disponibles pour tout ou partiedes événements existants, ou si de nouvelles informations sont disponibles uniquement pour lesnouveaux types d'événements. Les applications peuvent ignorer les nouveaux champs pour restercompatibles avec les nouvelles versions mineures de la structure de l'événement.
Si CloudTrail introduit de nouveaux types d'événements, mais que la structure de l'événement resteinchangée, la version de l'événement ne change pas.
Pour vous assurer que vos applications peuvent analyser la structure de l'événement, nous vousrecommandons d'effectuer une comparaison égale à sur le numéro de version majeure. Pourvous assurer que les champs attendus par votre application existent, nous vous recommandonségalement d'effectuer une comparaison supérieure ou égale à sur la version mineure. La versionmineure ne contient pas de zéros de début. Vous pouvez interpréter les deux major_version etminor_version sous forme de nombres et effectuer des opérations de comparaison.
Depuis : 1.0
Facultatif : FauxuserIdentity
Informations sur l'utilisateur qui a émis une demande. Pour plus d’informations, consultez ÉlémentCloudTrail userIdentity (p. 322).
Depuis : 1.0
Facultatif : Faux
eventSource
Service auquel la demande a été faite. Ce nom est généralement une forme abrégée du nom duservice sans espaces plus .amazonaws.com . Par exemple :• AWS CloudFormation est cloudformation.amazonaws.com.• Amazon EC2 est ec2.amazonaws.com.• Amazon Simple Workflow Service est swf.amazonaws.com.
Cette convention présente quelques exceptions. Par exemple, le service eventSource pour AmazonCloudWatch est monitoring.amazonaws.com.
Depuis : 1.0
Facultatif : Faux
eventName
Action demandée, qui est l'une des actions de l'API pour ce service.
Depuis : 1.0
Facultatif : Faux
awsRegion
La AWS région vers laquelle la demande a été effectuée, par exemple us-east-2 . Voir Régionsprises en charge par CloudTrail (p. 13) .
Depuis : 1.0
Version 1.0314
AWS CloudTrail Guide de l'utilisateurContenu d'un enregistrement CloudTrail
Facultatif : Faux
sourceIPAddress
Adresse IP à partir de laquelle la demande a été faite. Pour les actions qui sont créés à partir de laconsole de service, l'adresse présentée est celle de la ressource du client sous-jacent, non le serveurweb de la console. Pour les services dans AWS, seul le nom DNS est affiché.
Depuis : 1.0
Facultatif : Faux
userAgent
L'agent via lequel la demande a été effectuée, comme l' AWS Management Console , un AWSservice , l' AWS SDKs ou l' AWS CLI . Voici quelques exemples de valeurs :• signin.amazonaws.com – La demande a été effectuée par un utilisateur IAM avec AWS
Management Console.• console.amazonaws.com – La demande a été effectuée par un utilisateur racine avec AWS
Management Console.• lambda.amazonaws.com – La demande a été effectuée avec AWS Lambda.• aws-sdk-java – La demande a été effectuée avec le AWS SDK for Java.• aws-sdk-ruby – La demande a été effectuée avec le Kit SDK AWS pour Ruby.• aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5 – La demande a été effectuée avec
l'AWS CLI installée sur Linux.Note
Pour les événements émis par AWS, ce champ est généralement AWS Internal/#, où #est un nombre utilisé à des fins internes.
Depuis : 1.0
Facultatif : Faux
errorCode
Erreur de service AWS si la demande renvoie une erreur.
Depuis : 1.0
Facultatif : True
errorMessage
Si la demande renvoie une erreur, description de l'erreur. Ce message comprend les messages pourles échecs d'autorisation. CloudTrail capture le message enregistré par le service dans sa gestion desexceptions. Pour obtenir un exemple, veuillez consulter Exemple de code d'erreur et de journal demessages (p. 20).
Note
Certains services AWS fournissent errorCode et errorMessage comme champs de niveausupérieur à l'événement. D'autres services AWS fournissent des informations d'erreur dans lecadre de responseElements.
Depuis : 1.0
Version 1.0315
AWS CloudTrail Guide de l'utilisateurContenu d'un enregistrement CloudTrail
Facultatif : True
requestParameters
Les paramètres, le cas échéant, qui ont été envoyées avec la demande. Ces paramètres sontprésentés dans la documentation de référence de l'API du service AWS correspondant.
Depuis : 1.0
Facultatif : Faux
responseElements
L'élément de réponse pour les actions qui apporter des modifications (actions de création, mise à jourou suppressions). Si une action ne change pas d'état (par exemple, une demande pour obtenir ourépertorier des objets), cet élément est omis. Ces actions sont présentées dans la documentation deréférence de l'API du service AWS correspondant.
La responseElements valeur est utile pour vous aider à suivre une demande avec AWS Support .x-amz-request-idet x-amz-id-2 contiennent des informations qui vous aident à suivre unedemande avec AWS Support . Ces valeurs sont les mêmes que celles renvoyées par le servicedans la réponse à la demande qui initie les événements. Vous pouvez donc les utiliser pour fairecorrespondre l'événement à la demande.
Depuis : 1.0
Facultatif : Faux
additionalEventData
Des données supplémentaires sur l'événement qui ne faisaient pas partie de la demande ou de laréponse.
La prise en charge de ce champ commence à la version eventVersion 1.00.
Depuis : 1.0
Facultatif : True
requestID
Valeur qui identifie la demande. Le service appelé génère cette valeur.
La prise en charge de ce champ commence à la version eventVersion 1.01.
Depuis : 1.01
Facultatif : Faux
eventID
GUID généré par CloudTrail pour identifier de façon unique chaque événement. Vous pouvez utilisercette valeur pour identifier un événement unique. Par exemple, vous pouvez utiliser l'ID comme cléprimaire pour récupérer les données des journaux à partir d'une base de données dans laquelle vouspouvez effectuer des recherches.
Depuis : 1.01
Version 1.0316
AWS CloudTrail Guide de l'utilisateurContenu d'un enregistrement CloudTrail
Facultatif : Faux
eventType
Identifie le type d'événement qui a généré l'enregistrement de l'événement. Il peut s'agir de l'une desvaleurs suivantes :• AwsApiCall – Une API a été appelée.• AwsServiceEvent (p. 333) – Le service a généré un événement lié à votre journal de suivi. Par
exemple, cela peut se produire lorsqu'un autre compte a effectué un appel avec une ressource dontvous êtes propriétaire.
• AwsConsoleSignin (p. 334)–Un utilisateur de votre compte (racine, IAM , fédéré, SAML ouSwitchRole ) s'est connecté à l' AWS Management Console .
Depuis : 1.02
Facultatif : Faux
apiVersion
Identifie la version de l'API associée à la valeur AwsApiCall eventType.
Depuis : 1.01
Facultatif : True
managementEvent
Valeur booléenne qui détermine si l'événement est un événement de gestion. managementEventestaffiché dans un enregistrement d'événement si eventVersion est égal ou supérieur à 1.06, et si letype d'événement est l'un des types suivants :• AwsApiCall
• AwsConsoleAction
• AwsConsoleSignIn
• AwsServiceEvent
Depuis : 1.06
Facultatif : True
readOnly
Identifie si cette opération est en lecture seule. Il peut s'agir de l'une des valeurs suivantes :• true – L'opération est en lecture seule (par exemple, DescribeTrails).• false – L'opération est en écriture seule (par exemple, DeleteTrail).
Depuis : 1.01
Facultatif : True
resources
Une liste des ressources consultées dans l’événement. Le champ peut contenir les informationssuivantes :• RessourceARNs
Version 1.0317
AWS CloudTrail Guide de l'utilisateurContenu d'un enregistrement CloudTrail
• ID de compte du propriétaire de la ressource• Identificateur du type de ressource au format : AWS::aws-service-name::data-type-name
Par exemple, quand un événement AssumeRole est consigné, le champ resources peut apparaîtrecomme ce qui suit :• ARN: arn:aws:iam::123456789012:role/myRole• ID de compte: 123456789012• Identifiant du type de ressource : AWS::IAM::Role
Pour obtenir des exemples de journaux avec le champ resources, consultez Evénement d'API AWSSTS dans le fichier journal CloudTrail dans le IAM Guide de l'utilisateur ou Journalisation des appelsd'API AWS KMS dans le AWS Key Management Service Developer Guide.
Depuis : 1.01
Facultatif : True
recipientAccountId
Représente l'ID du compte qui a reçu cet événement. peut être différentde .recipientAccountIDÉlément CloudTrail userIdentity (p. 322)accountId Cela peut seproduire dans l'accès aux ressources entre comptes. Par exemple, si une clé KMS, également appeléeclé principale client (CMK), a été utilisée par un compte distinct pour appeler l'API de chiffrement, lesvaleurs accountId et recipientAccountID sont les mêmes pour l'événement livré au compte quia effectué l'appel, mais elles sont différentes pour l'événement qui est livré au compte qui possède laclé CMK.
Depuis : 1.02
Facultatif : True
serviceEventDetails
Identifie l'événement de service, y compris ce qui le déclenche et le résultat. Pour plus d’informations,consultez Evénements de service AWS (p. 333).
Depuis : 1.05
Facultatif : True
sharedEventID
GUID généré par CloudTrail pour identifier de façon unique les événements CloudTrail à partir de lamême action AWS que celle qui est envoyée à différents comptes AWS.
Par exemple, si un compte utilise une clé KMS, aussi appelée clé principale client (CMK), quiappartient à un autre compte, le compte qui a utilisé la clé CMK et le compte qui possède la clé CMKreçoivent des événements CloudTrail distincts pour la même action. Chaque événement CloudTraillivré pour cette action AWS partage le même sharedEventID, mais possède également un eventIDet un recipientAccountID uniques.
Pour plus d’informations, consultez sharedEventIDExemple (p. 321).Note
Le champ sharedEventID est présent uniquement lorsque des événements CloudTrail sontlivrés à plusieurs comptes. Si le mandataire et le propriétaire sont le même compte AWS,CloudTrail envoie un seul événement et le champ sharedEventID n'est pas présent.
Version 1.0318
AWS CloudTrail Guide de l'utilisateurContenu d'un enregistrement CloudTrail
Depuis : 1.03
Facultatif : True
vpcEndpointId
Identifie le point de terminaison VPC dans lequel les demandes ont été effectuées d'un VPC vers unautre service AWS, comme Amazon S3.
Depuis : 1.04
Facultatif : TrueeventCategory
Affiche la catégorie d'événement utilisée dans les appels LookupEvents.• Pour les événements de gestion, la valeur est management .• Pour les événements de données , la valeur est data .• Pour les événements Insights, la valeur est insight .
Depuis : 1.07
Facultatif : Fauxaddendum
Si une remise d'événement a été retardée, ou si des informations supplémentaires sur un événementexistant deviennent disponibles une fois l'événement consigné, un champ d'ajout affiche desinformations sur la raison pour laquelle l'événement a été retardé. Si des informations étaientmanquantes dans un événement existant, le champ addendum inclut les informations manquantes etune raison pour laquelle elles étaient manquantes. Le contenu inclut les éléments suivants.• reason- Raison pour laquelle l'événement ou une partie de son contenu était manquant. Les
valeurs peuvent être l'une des suivantes.• DELIVERY_DELAY– Il y a eu un retard de livraison des événements. Cela peut être dû à un trafic
réseau élevé, à des problèmes de connectivité ou à un problème CloudTrail de service.• UPDATED_DATA– Un champ de l'enregistrement d'événement était manquant ou a eu une valeur
incorrecte.• SERVICE_OUTAGE– Un service qui consigne les événements dans CloudTrail a eu une
interruption et n'a pas pu consigner les événements dans CloudTrail . Ceci est exceptionnellementrare.
• updatedFields- Champs d'enregistrement d'événement mis à jour par l'addendum. Ceci n'estfourni que si la raison est UPDATED_DATA .
• originalRequestID- ID unique d'origine de la demande. Ceci n'est fourni que si la raison estUPDATED_DATA .
• originalEventID- ID d'événement d'origine. Ceci n'est fourni que si la raison est UPDATED_DATA.
Depuis : 1.08
Facultatif : TruesessionCredentialFromConsole
Indique si un événement provient ou non d'une AWS Management Console session. Ce champ n'estpas affiché, sauf si la valeur est true , ce qui signifie que le client qui a été utilisé pour effectuerl'appel d'API était un proxy ou un client externe. Si un client proxy a été utilisé, le champ tlsDetailsd'événement n'est pas affiché.
Version 1.0319
AWS CloudTrail Guide de l'utilisateurChamps d'enregistrement d'événement Insights
Depuis : 1.08
Facultatif : TrueedgeDeviceDetails
Affiche des informations sur les appareils périphériques qui sont les cibles d'une demande. Lesévénements S3 Outposts d'appareil incluent actuellement ce champ.
Depuis : 1.08
Facultatif : TruetlsDetails
Affiche des informations sur la version TLS (Transport Layer Security), les suites de chiffrement etle nom de domaine complet (FQDN) du nom d'hôte fourni par le client d'un appel d'API de service.Le contenu inclut les éléments suivants. CloudTrail journalise toujours les détails TLS partiels siles informations attendues sont manquantes ou vides. Par exemple, si la version TLS et la suite dechiffrement sont présentes, mais que l'HOSTen-tête est vide, les détails TLS disponibles sont toujoursconsignés dans l'CloudTrailévénement.
sessionCredentialFromConsoleest présent avec la valeur true , tlsDetails est présent dansun enregistrement d'événement uniquement si un client externe a été utilisé pour effectuer l'appeld'API.• tlsVersion- Version TLS d'une demande.• cipherSuite- Suite de chiffrement (combinaison des algorithmes de sécurité utilisés) d'une
demande.• clientProvidedHostHeader- Nom de domaine complet du client qui a émis la demande.
Depuis : 1.08
Facultatif : True
Champs d'enregistrement d'événement InsightsLes attributs suivants sont affichés dans la structure JSON d'un événement Insights et diffèrent de ceuxd'un événement de gestion ou de données.
sharedEventId
sharedEventID pour les événements CloudTrail Insights diffère de sharedEventID pour les typesde gestion et de données des événements CloudTrail. Dans Insights events , un sharedEventIDest un GUID généré par CloudTrail Insights pour identifier de manière unique un événement Insights.sharedEventIDest commun entre les événements Insights de début et de fin, et permet de connecterles deux événements pour identifier de façon unique une activité inhabituelle. Vous pouvez considérersharedEventID comme l'ID d'événement Insights global.
Depuis : 1.07
Facultatif : Faux
insightDetails
Événements Insights uniquement. Affiche des informations sur les déclencheurs sous-jacents d'unévénement Insights, tels que la source d'événement, l'agent utilisateur, les statistiques, le nom de l'APIet si l'événement est le début ou la fin de l'événement Insights. Pour plus d'informations sur le contenudu insightDetails bloc, consultez CloudTrailÉlément insightDetails Insights (p. 327) .
Version 1.0320
AWS CloudTrail Guide de l'utilisateursharedEventIDExemple
Depuis : 1.07
Facultatif : Faux
sharedEventIDExempleVoici un exemple de la façon dont CloudTrail livre deux événements pour la même action :
1. Alice possède un compte AWS (111111111111) et crée une clé principale client (CMK). Elle estpropriétaire de cette clé CMK.
2. Bob a un compte AWS (222222222222). Alice donne à Bob l'autorisation d'utiliser la clé CMK.3. Chaque compte a un suivi et un compartiment distinct.4. Bob utilise la clé CMK pour appeler l'API Encrypt.5. CloudTrail envoie deux événements distincts.
• Un événement est envoyé à Bob. Il montre que Bob a utilisé la clé CMK.• Un deuxième événement est envoyé à Alice. Il montre que Bob a utilisé la clé CMK.• Les événements ont les mêmes sharedEventID, mais les eventID et recipientAccountID
sont uniques.
Événement partagé IDs dansCloudTrail InsightssharedEventID pour les événements CloudTrail Insights diffère de sharedEventID pour les types degestion et de données des événements CloudTrail. Dans , un Insights events est un GUID généré par
Version 1.0321
AWS CloudTrail Guide de l'utilisateurÉlément CloudTrail userIdentity
sharedEventID pour identifier de manière unique une paire début/fin d'événements Insights.CloudTrailInsights sharedEventIDest commun entre l'événement Insights de début et de fin, et permet de créer unecorrélation entre les deux événements afin d'identifier de façon unique une activité inhabituelle.
Vous pouvez considérer sharedEventID comme l'ID d'événement Insights global.
Élément CloudTrail userIdentityAWS Identity and Access Management (IAM) fournit différents types d'identités. L'élément userIdentitycontient des détails sur le type d'identité IAM ayant effectué la demande, ainsi que les informationsd'identification qui ont été utilisées. Si des informations d'identification temporaires ont été utilisées,l'élément montre comment ces informations d'identification ont été obtenues.
Table des matières• Examples (p. 322)• Fields (p. 323)• Valeurs pour AWS STS APIs avec SAML et fédération d'identité web (p. 326)
ExamplesuserIdentity avec les informations d'identification de l'utilisateurIAM
L'exemple suivant montre l'élément userIdentity d'une demande simple faite avec les informationsd'identification de l'utilisateur IAM nommé Alice.
"userIdentity": { "type": "IAMUser", "principalId": "AIDAJ45Q7YFFAREXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "", "userName": "Alice"}
userIdentity avec des informations d'identification de sécurité temporaires
L'exemple suivant présente un élément userIdentity pour une demande faite avec des informationsd'identification de sécurité temporaires obtenues en assumant un rôle IAM. L'élément contient des détailssupplémentaires concernant le rôle qui a été assumé pour obtenir des informations d'identification.
"userIdentity": { "type": "AssumedRole", "principalId": "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName", "arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName", "accountId": "123456789012", "accessKeyId": "", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "20131102T010628Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROAIDPPEZS35WEXAMPLE", "arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed", "accountId": "123456789012", "userName": "RoleToBeAssumed"
Version 1.0322
AWS CloudTrail Guide de l'utilisateurFields
} }}
FieldsLes champs suivants peuvent apparaître dans un élément userIdentity.
type
Type d'identité. Les valeurs suivantes sont possibles :• Root – La demande a été effectuée avec vos informations d'identification de compte AWS. Si le typeuserIdentity est Root et que vous définissez un alias pour votre compte, le champ userNamecontient l'alias de votre compte. Pour plus d'informations, consultez Votre ID de compte AWS et sonalias.
• IAMUser – La demande a été effectuée avec les informations d'identification d'un utilisateur IAM.• AssumedRole – La demande a été effectuée avec des informations d'identification de sécurité
temporaires qui ont été obtenues avec un rôle via un appel à l'API AWS Security Token Service(AWS STS) AssumeRole. Il peut s'agir des rôles pour Amazon EC2 et de l'accès à l'API entrecomptes.
• FederatedUser – La demande a été effectuée avec des informations d'identification de sécuritétemporaires qui ont été obtenues via un appel à l'API AWS STS GetFederationToken. L'élémentsessionIssuer indique si l'API a été appelée avec les informations d'identification utilisateurracine ou IAM.
Pour en savoir plus sur les informations d'identification de sécurité temporaires, consultezInformations d'identification de sécurité temporaires dans le IAM Guide de l'utilisateur.
• AWSAccount – La demande a été effectuée par un autre compte AWS.• AWSService – La demande a été effectuée par un compte AWS qui appartient à un service AWS.
Par exemple, AWS Elastic Beanstalk endosse un rôle IAM dans votre compte pour appeler d'autresservices AWS en votre nom.
AWSAccount et AWSService apparaissent pour type dans vos journaux lorsqu'il y a un accès entrecomptes à l'aide d'un rôle IAM que vous possédez.
Exemple : Accès entre comptes initié par un autre compteAWS
1. Vous possédez un rôle IAM dans votre compte.2. Un autre compte AWS bascule vers ce rôle pour endosser le rôle pour votre compte.3. Etant donné que vous possédez le rôle IAM, vous recevez un journal qui indique que l'autre
compte a endossé le rôle. est défini sur type.AWSAccount Pour obtenir un exemple d'entrée dejournal, consultez Événement d'API AWS STS dans le CloudTrailfichier journal .
Exemple : Accès entre comptes initié par un serviceAWS
1. Vous possédez un rôle IAM dans votre compte.2. Un compte AWS détenu par un service AWS endosse ce rôle.3. Etant donné que vous possédez le rôle IAM, vous recevez un journal qui indique que le service
AWS a endossé le rôle. est défini sur type.AWSService
userName
Nom descriptif de l'identité qui a réalisé l'appel. La valeur qui s'affiche dans userName est basée sur lavaleur dans type. Le tableau suivant illustre la relation entre type et userName :
Version 1.0323
AWS CloudTrail Guide de l'utilisateurFields
type userName Description
Root (aucun alias défini) Absent Si vous n'avez pas défini d'alias pour votre compteAWS, le champ userName n'apparaît pas. Pour plusd'informations sur les alias de compte, consultezVotre ID de compte &AWS; et son alias. Notez quele champ userName ne contiendra jamais Root, carRoot est un type d'identité, non un nom d'utilisateur.
Root (alias défini) Alias du compte Pour plus d'informations sur les alias de compteAWS, consultez Votre ID de compte AWS et sonalias.
IAMUser Nom descriptifde l'utilisateurIAM.
AssumedRole Absent Pour le type AssumedRole, vous trouverez le champuserName dans sessionContext, comme partie del'élément sessionIssuer (p. 325). Pour obtenir unexemple de saisie, consultez Examples (p. 322).
FederatedUser Absent Les sections sessionContext et sessionIssuercontiennent des informations concernant l'identité quia publié la session pour l'utilisateur fédéré.
AWSService Absent
AWSAccount Absent
Note
Le champ userName contient la chaîne HIDDEN_DUE_TO_SECURITY_REASONS lorsquel'événement enregistré est un échec de connexion à la console provoqué par la saisie d'unnom d'utilisateur incorrect. Dans ce cas, CloudTrail n'enregistre pas le contenu car le texterisque de contenir des informations sensibles, comme dans les exemples suivants :• Un utilisateur tape par erreur un mot de passe dans le champ de nom d'utilisateur.• Un utilisateur clique sur le lien pour la page de connexion d'un compte AWS, mais saisit le
numéro d'un autre compte.• Un utilisateur tape accidentellement le nom d'un compte de messagerie personnelle, un
identifiant de connexion bancaire ou un autre ID privé.principalId
Identifiant unique de l'entité qui a effectué l'appel. Pour les demandes effectuées avec des informationsd'identification de sécurité temporaires, cette valeur comprend le nom de session transmis à l'appeld'API AssumeRole, AssumeRoleWithWebIdentity ou GetFederationToken.
arn
L'Amazon Resource Name (ARN) du mandataire qui a effectué l'appel. La dernière partie de l'ARNcontient l'utilisateur ou le rôle qui a réalisé l'appel.
accountId
Compte propriétaire de l'entité qui a accordé les autorisations pour la demande. Si la demande a étéeffectuée avec des informations d'identification de sécurité temporaires, il s'agit du compte qui possèdel'utilisateur ou le rôle IAM qui a été utilisé pour obtenir les informations d'identification.
Version 1.0324
AWS CloudTrail Guide de l'utilisateurFields
accessKeyId
ID de clé d'accès utilisé pour signer la demande. Si la demande a été faite avec des informationsd'identification de sécurité temporaires, il s'agit de l'ID de clé d'accès des informations d'identificationtemporaires. Pour des raisons de sécurité, accessKeyId peut ne pas être présent ou peut être affichésous la forme d'une chaîne vide.
sessionContext
Si la demande a été effectuée avec les informations d'identification de sécurité temporaires, élémentqui fournit des informations sur la session qui a été créée pour ces informations d'identification.Les sessions sont créées lorsqu'une API est appelée qui retourne les informations d'identificationtemporaires. Les sessions sont également créées lorsque les utilisateurs travaillent dans la console etque les utilisateurs effectuent une demande auprès d'APIs qui incluent l'authentification multi-facteurs.Les attributs de cet élément sont les suivants :• creationDate – La date et l'heure auxquelles les informations d'identification de sécurité
temporaires ont été émises. Représentées en notation base ISO 8601.• mfaAuthenticated – La valeur est true si l'utilisateur racine ou l'utilisateur IAM dont les
informations d'identification ont été utilisées pour la demande a également été authentifié avec unpériphérique MFA. Dans le cas contraire, false.
invokedBy
Nom du service AWS ayant effectué la demande, par exemple Amazon EC2 Auto Scaling ou AWSElastic Beanstalk.
sessionIssuer
Si la demande a été effectuée avec des informations d'identification de sécurité temporaires, élémentqui fournit des informations sur la façon dont les informations d'identification ont été obtenues. Parexemple, si les informations d'identification de sécurité temporaires ont été obtenues en assumant unrôle, cet élément fournit des informations concernant le rôle assumé. Si les informations d'identificationont été obtenues avec des informations d'identification utilisateur racine ou IAM pour appeler AWSSTS GetFederationToken, l'élément fournit des informations concernant le compte racine oul'utilisateur IAM. Les attributs de cet élément sont les suivants :• type – Source des informations d'identification de sécurité temporaires, par exemple Root,IAMUser ou Role.
• userName – Nom descriptif de l'utilisateur ou du rôle qui a établi la session. La valeur quis'affiche dépend de l'identité sessionIssuer.type Le tableau suivant illustre la relation entresessionIssuer type et userName :
sessionIssuer type userName Description
Root (aucun alias défini) Absent Si vous n'avez pas défini d'alias pour votre compte,le champ userName n'apparaît pas. Pour plusd'informations sur les alias de compte AWS,consultez Votre ID de compte AWS et son alias.Notez que le champ userName ne contiendrajamais Root, car Root est un type d'identité, non unnom d'utilisateur.
Root (alias défini) Alias du compte Pour plus d'informations sur les alias de compteAWS, consultez Votre ID de compte AWS et sonalias.
IAMUser Nom descriptifde l'utilisateurIAM.
Cela s'applique également lorsqu'un utilisateurfédéré utilise une session établie par IAMUser.
Version 1.0325
AWS CloudTrail Guide de l'utilisateurValeurs pour AWS STS APIs avecSAML et fédération d'identité web
sessionIssuer type userName Description
Role Nom du rôle Rôle assumé par un utilisateur IAM, un service AWSou un utilisateur fédéré d'identité Web au coursd'une session de rôle.
• principalId – ID interne de l'entité qui a été utilisée pour obtenir des informations d'identification.• arn – ARN de la source (compte, utilisateur IAM ou rôle) qui a été utilisé pour obtenir des
informations d'identification de sécurité temporaires.• accountId – Compte propriétaire de l'entité qui a été utilisée pour obtenir des informations
d'identification.
webIdFederationData
Si la demande a été effectuée avec des informations d'identification de sécurité temporaires obtenuespar la fédération d'identité Web, élément qui répertorie les informations concernant le fournisseurd'identités. Les attributs de cet élément sont les suivants :• federatedProvider – Nom principal du fournisseur d'identités (par exemple, www.amazon.com
pour Login with Amazon ou accounts.google.com pour Google).• attributes – ID d'application et ID d'utilisateur tels qu'indiqués par le fournisseur (par exemple,www.amazon.com:app_id et www.amazon.com:user_id pour Login with Amazon). Pour plusd'informations, consultez Clés disponibles pour la fédération d'identité Web dans le IAM Guide del'utilisateur.
Valeurs pour AWS STS APIs avec SAML et fédérationd'identité webAWS CloudTrail prend en charge la journalisation des appels d'API AWS Security Token Service (AWSSTS) effectués avec le protocole SAML (Assertion Markup Language) et la fédération d'identité Web.Lorsqu'un appel est effectué vers les AssumeRoleWithSAML et AssumeRoleWithWebIdentity APIs,CloudTrail enregistre l'appel et transmet l'événement à votre compartiment Amazon S3.
L'élément userIdentity de ces APIs contient les valeurs suivantes.
type
Type d'identité.• SAMLUser – La demande a été effectuée avec l'assertion SAML.• WebIdentityUser – La demande a été effectuée par un fournisseur de fédération d'identité Web.
principalId
Identifiant unique de l'entité qui a effectué l'appel.• Pour SAMLUser, il s'agit d'une combinaison de clés saml:namequalifier et saml:sub.• Pour WebIdentityUser, il s'agit d'une combinaison de l'émetteur, l'ID de l'application et l'ID de
l'utilisateur.userName
Nom de l'identité qui a réalisé l'appel.• Pour SAMLUser, il s'agit de la clé saml:sub. Consultez Clés disponibles pour la fédération SAML.• Pour WebIdentityUser, il s'agit de l'ID d'utilisateur. Consultez Clés disponibles pour la fédération
d'identité Web.
Version 1.0326
AWS CloudTrail Guide de l'utilisateurinsightDetailsÉlément Insights
identityProvider
Nom principal du fournisseur d'identité externes. Ce champ s'affiche uniquement pour les typesSAMLUser ou WebIdentityUser.• Pour SAMLUser, il s'agit de la clé saml:namequalifier pour l'assertion SAML.• Pour WebIdentityUser, il s'agit du nom d'auteur du fournisseur de fédération d'identité Web. Il
peut s'agir d'un fournisseur que vous avez configuré, tel que :• cognito-identity.amazon.com pour Amazon Cognito• www.amazon.com pour Login with Amazon• accounts.google.com pour Google• graph.facebook.com pour Facebook
Voici un exemple d'élément userIdentity pour l'action AssumeRoleWithWebIdentity.
"userIdentity": { "type": "WebIdentityUser", "principalId": "accounts.google.com:application-id.apps.googleusercontent.com:user-id", "userName": "user-id", "identityProvider": "accounts.google.com" }
Pour des exemples de journaux consignant la façon dont l'élément userIdentity apparaît pour les typesSAMLUser et WebIdentityUser, consultez Consignation d'événements IAM avec AWS CloudTrail.
CloudTrailÉlément insightDetails InsightsLes enregistrements AWS CloudTrail Insights d'événements incluent des champs qui sont différents desautres CloudTrail événements dans leur structure JSON, parfois appelée charge utile. Un enregistrementCloudTrail Insights d'événement inclut un insightDetails bloc qui contient des informations sur lesdéclencheurs sous-jacents d'un événement Insights, tels que la source de l'événement, les identitésutilisateur, les agents utilisateur, les moyennes ou références historiques, les statistiques, le nom de l'APIet si l'événement correspond au début ou à la fin de l'événement Insights. Le insightDetails bloccontient les informations suivantes.
• state- Indique si l'événement est l'événement Insights de début ou de fin. La valeur peut être Start ouEnd.
Depuis : 1.07
Facultatif : Faux• eventSource- Point de terminaison de AWS service qui était à l'origine de l'activité inhabituelle, commeec2.amazonaws.com .
Depuis : 1.07
Facultatif : Faux• eventName- Nom de l'événement Insights, généralement le nom de l'API qui était la source de l'activité
inhabituelle.
Depuis : 1.07
Facultatif : Faux• insightType- Type d'événement Insights. Actuellement, cette valeur est ApiCallRateInsight .
Depuis : 1.07
Version 1.0327
AWS CloudTrail Guide de l'utilisateurinsightDetailsÉlément Insights
Facultatif : Faux• insightContext -
Informations sur les outils AWS (appelés agents utilisateur), IAM les utilisateurs et les rôles (appelésidentités utilisateur) et codes d'erreur associés aux événements qui ont été analysés pour générerl'événement Insights. Cet élément inclut également des statistiques montrant comment l'activitéinhabituelle d'un événement Insights se compare à l'activité de référence ou à l'activité normale.
Depuis : 1.07
Facultatif : Faux• statistics- Comprend les données sur le niveau de référence, ou le taux moyen typique d'appels
à l'API objet par un compte tel que mesuré pendant la période de référence, le taux moyen d'appelsayant déclenché l'événement Insights au cours de la première minute de l'événement Insights, ladurée, en minutes, de l'événement Insights et la durée, en minutes, de la période de mesure deréférence.
Depuis : 1.07
Facultatif : Faux• baseline- Nombre moyen d'appels d'API par minute pendant la durée de référence sur l'API objet
de l'événement Insights pour le compte, calculé sur les sept jours avant le début de l'événementInsights.
Depuis : 1.07
Facultatif : Faux• insight -
Pour un événement Insights de démarrage, cette valeur est le nombre moyen d'appels d'API parminute au début de l'activité inhabituelle. Pour un événement Insights de fin, cette valeur correspondau nombre moyen d'appels d'API par minute pendant la durée de l'activité inhabituelle.
Depuis : 1.07
Facultatif : Faux• insightDuration- Durée, en minutes, d'un événement Insights (période comprise entre le
début et la fin d'une activité inhabituelle sur l'API objet). insightDurationse produit dans lesévénements Insights de début et de fin.
Depuis : 1.07
Facultatif : Faux• baselineDuration- Durée, en minutes, de la période de référence (la période pendant laquelle
l'activité normale est mesurée sur l'API objet). baselineDurationest au minimum les sept jours(10080 minutes) précédant un événement Insights. Ce champ se produit à la fois au début et à lafin Insights events de . L'heure de fin de baselineDuration mesure est toujours le début d'unévénement Insights.
Depuis : 1.07
Facultatif : Faux• attributions- Ce bloc inclut des informations sur les identités utilisateur, les agents utilisateur
et les codes d'erreur corrélés avec une activité inhabituelle et une activité de base. Un maximumde cinq identités utilisateur, cinq agents utilisateur et cinq codes d'erreur sont capturés dans unattributions bloc d'événements Insights, triés en fonction de la moyenne du nombre d'activités,par ordre décroissant de la plus haute à la plus basse.Version 1.0
328
AWS CloudTrail Guide de l'utilisateurinsightDetailsÉlément Insights
Depuis : 1.07
Facultatif : True• attribute- Contient le type d'attribut. La valeur peut être userIdentityArn , ou userAgent
.errorCode• userIdentityArn- Bloc qui montre jusqu'aux cinq principaux AWS utilisateurs ou IAM rôles
ayant contribué aux appels d'API au cours de l'activité inhabituelle et des périodes de référence.Voir aussi userIdentity dans Contenu d'un enregistrement CloudTrail (p. 313) .
Depuis : 1.07
Facultatif : Faux• insight- Bloc qui montre jusqu'aux cinq principales identités d'utilisateur ARNs ayant
contribué aux appels d'API effectués au cours de la période d'activité inhabituelle, par ordredécroissant du plus grand nombre d'appels d'API au plus petit. Elle indique également lenombre moyen d'appels d'API effectués par les identités utilisateur au cours de la périoded'activité inhabituelle.
Depuis : 1.07
Facultatif : Faux• value- ARN de l'une des cinq principales identités d'utilisateur qui ont contribué aux appels
d'API effectués au cours de la période d'activité inhabituelle.
Depuis : 1.07
Facultatif : Faux• average- Nombre d'appels d'API par minute au cours de la période d'activité inhabituelle
pour l'identité de l'utilisateur dans le value champ.
Depuis : 1.07
Facultatif : Faux• baseline- Bloc qui montre jusqu'aux cinq principales identités d'utilisateur ARNs ayant le plus
contribué aux appels d'API effectués au cours de la période d'activité normale. Elle indiqueégalement le nombre moyen d'appels d'API effectués par les identités utilisateur au cours de lapériode d'activité normale.
Depuis : 1.07
Facultatif : Faux• value- ARN de l'une des cinq principales identités d'utilisateur qui ont contribué aux appels
d'API effectués au cours de la période d'activité normale.
Depuis : 1.07
Facultatif : Faux• average- Moyenne historique des appels d'API par minute au cours des sept jours précédant
l'heure de début de l'activité Insights pour l'identité de l'utilisateur dans le value champ.
Depuis : 1.07
Facultatif : Faux• userAgent- Bloc qui montre jusqu'aux cinq principaux AWS outils par lesquels l'identité de
l'utilisateur a contribué aux appels d'API au cours de l'activité inhabituelle et des périodes deVersion 1.0
329
AWS CloudTrail Guide de l'utilisateurinsightDetailsÉlément Insights
référence. Ces outils incluent AWS Management Console, l' ou l' AWS CLI AWS .SDKs Voir aussiuserAgent dans Contenu d'un enregistrement CloudTrail (p. 313) .
Depuis : 1.07
Facultatif : Faux• insight- Bloc qui montre jusqu'aux cinq principaux agents utilisateurs ayant contribué aux
appels d'API effectués au cours de la période d'activité inhabituelle, par ordre décroissantdu plus grand nombre d'appels d'API au plus petit. Elle indique également le nombre moyend'appels d'API effectués par les agents utilisateurs au cours de la période d'activité inhabituelle.
Depuis : 1.07
Facultatif : Faux• value- L'un des cinq principaux agents utilisateurs qui ont contribué aux appels d'API
effectués au cours de la période d'activité inhabituelle.
Depuis : 1.07
Facultatif : Faux• average- Nombre d'appels d'API par minute au cours de la période d'activité inhabituelle
pour l'agent utilisateur dans le value champ.
Depuis : 1.07
Facultatif : Faux• baseline- Bloc qui montre jusqu'aux cinq principaux agents utilisateurs ayant contribué le plus
aux appels d'API effectués au cours de la période d'activité normale. Elle indique égalementle nombre moyen d'appels d'API effectués par les agents utilisateurs au cours de la périoded'activité normale.
Depuis : 1.07
Facultatif : Faux• value- L'un des cinq principaux agents utilisateurs qui ont contribué aux appels d'API
effectués au cours de la période d'activité normale.
Depuis : 1.07
Facultatif : Faux• average- Moyenne historique des appels d'API par minute au cours des sept jours précédant
l'heure de début de l'activité Insights pour l'agent utilisateur dans le value champ.
Depuis : 1.07
Facultatif : Faux• errorCode- Bloc qui montre jusqu'aux cinq principaux codes d'erreur qui se sont produits sur les
appels d'API au cours de l'activité inhabituelle et des périodes de référence, par ordre décroissant,du plus grand nombre d'appels d'API au plus petit. Voir aussi errorCode dans Contenu d'unenregistrement CloudTrail (p. 313) .
Depuis : 1.07
Facultatif : Faux• insight- Un bloc qui montre jusqu'aux cinq principaux codes d'erreur qui se sont produits sur
les appels d'API effectués au cours de la période d'activité inhabituelle, par ordre décroissant,du plus grand nombre d'appels d'API associés au plus petit. Elle indique également le nombre
Version 1.0330
AWS CloudTrail Guide de l'utilisateurExemple de insightDetails bloc
moyen d'appels d'API sur lesquels les erreurs se sont produites au cours de la période d'activitéinhabituelle.
Depuis : 1.07
Facultatif : Faux• value- L'un des cinq principaux codes d'erreur qui se sont produits sur les
appels d'API effectués au cours de la période d'activité inhabituelle, par exempleAccessDeniedException .
Si aucun des appels qui ont déclenché l'événement Insights n'a entraîné d'erreurs, cettevaleur est null .
Depuis : 1.07
Facultatif : Faux• average- Nombre d'appels d'API par minute pendant la période d'activité inhabituelle pour le
code d'erreur dans le value champ.
Si la valeur du code d'erreur est null , et qu'il n'y a pas d'autres codes d'erreur dans leinsight bloc, la valeur du average code d'erreur est la même que celle du statisticsbloc pour l'événement Insights dans son ensemble.
Depuis : 1.07
Facultatif : Faux• baseline- Bloc qui affiche jusqu'aux cinq principaux codes d'erreur qui se sont produits sur
les appels d'API effectués au cours de la période d'activité normale. Elle indique égalementle nombre moyen d'appels d'API effectués par les agents utilisateurs au cours de la périoded'activité normale.
Depuis : 1.07
Facultatif : Faux• value- L'un des cinq principaux codes d'erreur qui se sont produits sur les appels d'API
effectués pendant la période d'activité normale, par exemple AccessDeniedException .
Depuis : 1.07
Facultatif : Faux• average- Moyenne historique des appels d'API par minute au cours des sept jours précédant
l'heure de début de l'activité Insights pour le code d'erreur dans le value champ.
Depuis : 1.07
Facultatif : Faux
Exemple de insightDetails blocVoici un exemple de insightDetails bloc d'événement Insights pour un événement Insights qui s'estproduit lorsque lApplication Auto Scaling'API CompleteLifecycleAction a été appelée un nombreinhabituel de fois. Pour obtenir un exemple d'événement Insights complet, consultez Référence desévénements de journaux CloudTrail (p. 311) .
Cet exemple provient d'un événement Insights de départ, indiqué par "state": "Start" . Lesprincipales identités utilisateur qui ont appelé l' APIs associé à l'événement Insights, CodeDeployRole1 ,et CodeDeployRole2 , sont affichées dans le CodeDeployRole3 bloc, ainsi que leurs taux d'appel d'APIVersion 1.0
331
AWS CloudTrail Guide de l'utilisateurExemple de insightDetails bloc
moyens pour cet événement Insights et la référence pour le attributions rôle.CodeDeployRole1 Leattributions bloc montre également que l'agent utilisateur est codedeploy.amazonaws.com , ce quisignifie que les identités utilisateur principales ont utilisé la AWS CodeDeploy console pour exécuter lesappels d'API .
Étant donné qu'il n'y a pas de codes d'erreur associés aux événements qui ont été analysés pour générerl'événement Insights (la valeur est null ), la insight moyenne du code d'erreur est identique à lainsight moyenne globale de l'événement Insights complet, affichée dans le statistics bloc.
"insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "CompleteLifecycleAction", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 0.0000882145 }, "insight": { "average": 0.6 }, "insightDuration": 5, "baselineDuration": 11336 }, "attributions": [ { "attribute": "userIdentityArn", "insight": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole2", "average": 0.2 }, { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole3", "average": 0.2 } ], "baseline": [ { "value": "arn:aws:sts::012345678901:assumed-role/CodeDeployRole1", "average": 0.0000882145 } ] }, { "attribute": "userAgent", "insight": [ { "value": "codedeploy.amazonaws.com", "average": 0.6 } ], "baseline": [ { "value": "codedeploy.amazonaws.com", "average": 0.0000882145 } ] },
Version 1.0332
AWS CloudTrail Guide de l'utilisateurEvénements non API enregistrés par CloudTrail
{ "attribute": "errorCode", "insight": [ { "value": "null", "average": 0.6 } ], "baseline": [ { "value": "null", "average": 0.0000882145 } ] } ] } }
Evénements non API enregistrés par CloudTrailOutre la journalisation des appels d'API AWS, CloudTrail enregistre d'autres événements associés quipourraient avoir un impact sur la sécurité ou la conformité de votre compte AWS ou vous aider à résoudredes problèmes opérationnels.
Rubriques• Evénements de service AWS (p. 333)• Événements de connexion à AWS la console (p. 334)
Evénements de service AWSCloudTrail prend en charge la journalisation des événements de service non-API. Ces événements sontcréés par les services AWS, mais ne sont pas directement déclenchés par une demande à une API AWSpublique. Pour ces événements, le champ eventType est AwsServiceEvent.
Vous trouverez ci-dessous un exemple de scénario d'un événement de service AWS lorsqu'une clé géréepar le client (CMK) fait automatiquement l'objet d'une rotation dans AWS Key Management Service (AWSKMS). Pour plus d'informations sur la rotation des clés, consultez Rotation des clés principales du client.
{ "eventVersion": "1.05", "userIdentity": { "accountId": "123456789012", "invokedBy": "AWS Internal" }, "eventTime": "2019-06-02T00:06:08Z", "eventSource": "kms.amazonaws.com", "eventName": "RotateKey", "awsRegion": "us-east-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "requestParameters": null, "responseElements": null, "eventID": "234f004b-EXAMPLE", "readOnly": false, "resources": [ {
Version 1.0333
AWS CloudTrail Guide de l'utilisateurÉvénements de connexion à AWS la console
"ARN": "arn:aws:kms:us-east-2:123456789012:key/7944f0ec-EXAMPLE", "accountId": "123456789012", "type": "AWS::KMS::Key" } ], "eventType": "AwsServiceEvent", "recipientAccountId": "123456789012", "serviceEventDetails": { "keyId": "7944f0ec-EXAMPLE" }}
Événements de connexion à AWS la consoleCloudTrailtente de se connecter à AWS Management Console , aux forums AWS de discussion et auCentre de support.AWS Tous les utilisateurs IAM et les événements de connexion utilisateur racine, ainsique tous les événements de connexion d'utilisateur fédéré, génèrent des enregistrements dans des fichiersjournaux CloudTrail.
Rubriques• Exemples d'enregistrements pour IAM les utilisateurs (p. 334)• Exemple d'enregistrements d'événements pour les utilisateurs racine (p. 337)
Exemples d'enregistrements pour IAM les utilisateursLes exemples suivants illustrent des enregistrements d'événements pour plusieurs scénarios de connexionIAM utilisateur.
Rubriques• IAMUtilisateur , connexion réussie (p. 334)• IAMUtilisateur , se connectant avec MFA (p. 335)• IAMUtilisateur , connexion infructueuse (p. 335)• IAMUtilisateur , Vérifications du processus de connexion pour l'authentification MFA (p. 336)
IAMUtilisateur , connexion réussie
L'enregistrement suivant montre qu'un utilisateur IAM nommé Anaya s'est connecté à AWS ManagementConsole sans utiliser l'authentification multi-facteurs (Multi-Factor Authentication).
{ "Records":[ { "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"AIDACKCEVSQ6C2EXAMPLE", "arn":"arn:aws:iam::111122223333:user/anaya", "accountId":"111122223333", "userName":"anaya" }, "eventTime":"2018-08-29T16:24:34Z", "eventSource":"signin.amazonaws.com", "eventName":"ConsoleLogin", "awsRegion":"us-east-2", "sourceIPAddress":"192.0.2.0",
Version 1.0334
AWS CloudTrail Guide de l'utilisateurÉvénements de connexion à AWS la console
"userAgent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:62.0) Gecko/20100101 Firefox/62.0", "requestParameters":null, "responseElements":{ "ConsoleLogin":"Success" }, "additionalEventData":{ "MobileVersion":"No", "LoginTo":"https://console.aws.amazon.com/sns", "MFAUsed":"No" }, "eventID":"3fcfb182-98f8-4744-bd45-10a395ab61cb", "eventType": "AwsConsoleSignin" } ]}
IAMUtilisateur , se connectant avec MFA
L'enregistrement suivant montre qu'un utilisateur IAM nommé Anaya s'est connecté à AWS ManagementConsole en utilisant l'authentification multi-facteurs (Multi-Factor Authentication (MFA)).
{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/anaya", "accountId": "111122223333", "userName": "anaya" }, "eventTime": "2018-07-24T18:34:07Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36", "requestParameters": null, "responseElements": { "ConsoleLogin": "Success" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAUsed": "Yes" }, "eventID": "fed06f42-cb12-4764-8c69-121063dc79b9", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333"}
IAMUtilisateur , connexion infructueuse
L'enregistrement suivant montre l'échec d'une tentative de connexion d'un utilisateur IAM.
{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE",
Version 1.0335
AWS CloudTrail Guide de l'utilisateurÉvénements de connexion à AWS la console
"accountId": "111122223333", "accessKeyId": "", "userName": "anaya" }, "eventTime": "2018-07-24T18:32:11Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36", "errorMessage": "Failed authentication", "requestParameters": null, "responseElements": { "ConsoleLogin": "Failure" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAUsed": "Yes" }, "eventID": "d38ce1b3-4575-4cb8-a632-611b8243bfc3", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333"}
IAMUtilisateur , Vérifications du processus de connexion pour l'authentificationMFA
L'exemple suivant montre que le processus du connexion a vérifié si l'authentification multi-facteurs, Multi-Factor Authentication (MFA), est requise pour un utilisateur IAM lors de la connexion.
{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "accountId": "111122223333", "accessKeyId": "", "userName": "anaya" }, "eventTime": "2018-07-24T18:33:45Z", "eventSource": "signin.amazonaws.com", "eventName": "CheckMfa", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36", "requestParameters": null, "responseElements": { "CheckMfa": "Success" }, "additionalEventData": { "MfaType": "U2F MFA" }, "eventID": "f8ef8fc5-e3e8-4ee1-9d52-2f412ddf17e3", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333"}
Version 1.0336
AWS CloudTrail Guide de l'utilisateurÉvénements de connexion à AWS la console
Exemple d'enregistrements d'événements pour les utilisateursracineLes exemples suivants montrent des enregistrements d'événements pour plusieurs scénarios de connexionroot utilisateur.
Rubriques• Utilisateur racine, connexion réussie (p. 337)• Utilisateur racine, connexion infructueuse (p. 337)• Utilisateur racine, MFA modifié (p. 338)• Utilisateur racine, mot de passe modifié (p. 339)
Utilisateur racine, connexion réussie
L'exemple suivant illustre un événement de connexion réussie pour un utilisateur racine qui n'utilise pasMFA.
{ "eventVersion": "1.05", "userIdentity": { "type": "Root", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "" }, "eventTime": "2018-08-29T16:24:34Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:62.0) Gecko/20100101 Firefox/62.0", "requestParameters": null, "responseElements": { "ConsoleLogin": "Success" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAUsed": "No" }, "eventID": "deb1e1f9-c99b-4612-8e9f-21f93b5d79c0", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333"}
Utilisateur racine, connexion infructueuse
L'exemple suivant illustre un événement d'échec de connexion pour un utilisateur racine qui n'utilise pasMFA.
{ "eventVersion": "1.05", "userIdentity": { "type": "Root", "principalId": "AIDACKCEVSQ6C2EXAMPLE",
Version 1.0337
AWS CloudTrail Guide de l'utilisateurÉvénements de connexion à AWS la console
"arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "" }, "eventTime": "2018-08-25T18:10:29Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36", "errorMessage": "Failed authentication", "requestParameters": null, "responseElements": { "ConsoleLogin": "Failure" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAUsed": "No" }, "eventID": "a4fbbe77-91a0-4238-804a-64314184edb6", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333"}
Utilisateur racine, MFA modifié
Voici un exemple d'événement pour un utilisateur racine qui modifie les paramètres d'authentification multi-facteurs (MFA).
{ "eventVersion": "1.05", "userIdentity": { "type": "Root", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "EXAMPLE", "sessionContext": { "sessionIssuer": {}, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2020-10-13T21:05:40Z" } } }, "eventTime": "2020-10-13T21:19:09Z", "eventSource": "iam.amazonaws.com", "eventName": "EnableMFADevice", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Coral/Netty4", "requestParameters": { "userName": "AWS ROOT USER", "serialNumber": "arn:aws:iam::111122223333:mfa/root-account-mfa-device" }, "responseElements": null, "requestID": "EXAMPLE4-2cf7-4a44-af00-f61f0EXAMPLE", "eventID": "EXAMPLEb-7dae-48cb-895f-20e86EXAMPLE", "readOnly": false, "eventType": "AwsApiCall",
Version 1.0338
AWS CloudTrail Guide de l'utilisateurÉvénements de connexion à AWS la console
"recipientAccountId": "111122223333"}
Utilisateur racine, mot de passe modifié
Voici un exemple d'événement pour un utilisateur racine qui modifie son mot de passe.
{ "eventVersion": "1.05", "userIdentity": { "type": "Root", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "" }, "eventTime": "2020-10-13T21:47:13Z", "eventSource": "signin.amazonaws.com", "eventName": "PasswordUpdated", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0", "requestParameters": null, "responseElements": { "PasswordUpdated": "Success" }, "eventID": "EXAMPLEd-244c-4044-abbf-21c64EXAMPLE", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333"}
Version 1.0339
AWS CloudTrail Guide de l'utilisateur
Historique du documentLe tableau suivant décrit les modifications importantes apportées à la documentation pour AWS CloudTrail.Pour recevoir les notifications des mises à jour de cette documentation, abonnez-vous à un flux RSS.
• Version d'API : 2013-11-01• Dernière mise à jour de la documentation : 21 décembre 2020
update-history-change update-history-description update-history-date
Fonctionnalitésajoutées (p. 340)
Vous pouvez désormaisconsigner les événementsde données sur Amazon S3sur AWS Outposts. Pour plusd'informations, consultezJournalisation des événementsde données pour les journaux desuivi.
December 21, 2020
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAmazon Lookout for Equipment,AWS Well-Architected Tool etAmazon Location Service. VoirIntégrations et services pris encharge par AWS CloudTrail.
December 16, 2020
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAWS IoT Greengrass V2. VoirIntégrations et services pris encharge par AWS CloudTrail.
December 15, 2020
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAmazon EMR sur EKS. VoirIntégrations et services pris encharge par AWS CloudTrail.
December 10, 2020
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAWS Audit Manager etAmazon HealthLake. ConsultezIntégrations et services pris encharge par AWS CloudTrail.
December 8, 2020
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAmazon Lookout for Vision. VoirIntégrations et services pris encharge par AWS CloudTrail.
December 1, 2020
Fonctionnalitésajoutées (p. 340)
La version d'événement AWSCloudTrail est désormais1.08. La version 1.08 introduitde nouveaux champspour CloudTrail. Pour plusd'informations, consultezContenu de l'enregistrementCloudTrail.
November 24, 2020
Version 1.0340
AWS CloudTrail Guide de l'utilisateur
Fonctionnalitésajoutées (p. 340)
AWS CloudTrail introduit dessélecteurs d'événementsavancés pour les événementsde données. Les sélecteursd'événements avancéspermettent un contrôle plusfin sur les événements dedonnées que vous consignezdans votre journal de suivi.Vous pouvez inclure ou excluredes événements de donnéespour des ressources AWSspécifiques, et sélectionnerdes APIs spécifiques sur cesressources à consigner dansvotre journal de suivi. Pourplus d'informations, consultezJournalisation des événementsde données pour les journaux desuivi.
November 24, 2020
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAWS Network Firewall. VoirIntégrations et services pris encharge par AWS CloudTrail.
November 17, 2020
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAWS Trusted Advisor. VoirIntégrations et services pris encharge par AWS CloudTrail.
October 22, 2020
Documentation mise àjour (p. 340)
Ajout de deux nouveauxexemples d'enregistrementsd'événements pour lesévénements de connexionde l'utilisateur racine. Pourplus d'informations, consultezÉvénements de connexion à laconsole AWS.
October 13, 2020
Fonctionnalité modifiée (p. 340) Les autorisationsdans la stratégieAWSCloudTrailFullAccessont été affinées. Cette stratégiene vous permet plus desupprimer des rubriques AmazonSNS ou des compartimentsAmazon S3, et l'actiongetObject a été supprimée.
September 29, 2020
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAWS Outposts. Voir Intégrationset services pris en charge parAWS CloudTrail.
August 28, 2020
Version 1.0341
AWS CloudTrail Guide de l'utilisateur
Documentation mise àjour (p. 340)
Cette mise à jour prend encharge la version de correctifpour la bibliothèque de traitementCloudTrail : Mettez à jour lesréférences au fichier .jar dansle guide de l'utilisateur pourutiliser la dernière version,aws-cloudtrail-processing-library-1.3.0.jar. Pour plusd'informations, consultezUtilisation de la bibliothèquede traitement CloudTrail et dela Bibliothèque de traitementCloudTrail sur .GitHub
August 28, 2020
Fonctionnalitésajoutées (p. 340)
AWS CloudTrail Insights introduitdes champs d'attribution pourles événements CloudTrailInsights. Les champs d'attributionaffichent les principalesidentités utilisateur, les agentsutilisateur et les codes d'erreurassociés à l'activité anormalequi déclenche les événementsInsights. Pour comparer, leschamps d'attribution affichentégalement les principalesidentités utilisateur, les agentsutilisateur et les codes d'erreurassociés à l'activité normaleou de référence. Pour plusd'informations, consultezJournalisation des événementsInsights pour les journaux desuivi.
August 13, 2020
Fonctionnalitésajoutées (p. 340)
La console AWS CloudTrail aun nouvel aspect qui est conçupour en faciliter l'utilisation.Le Guide de l'utilisateur AWSCloudTrail a été mis à jour avecles modifications apportées auxprocédures d'exécution destâches dans la console, tellesque la création de journaux desuivi, la mise à jour de journauxde suivi et le téléchargement del'historique des événements.
August 13, 2020
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAmazon Interactive VideoService. Voir Intégrations etservices pris en charge par AWSCloudTrail.
July 15, 2020
Version 1.0342
AWS CloudTrail Guide de l'utilisateur
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAmazonmoiscode. VoirIntégrations et services pris encharge par AWS CloudTrail.
June 24, 2020
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAmazon Macie. Voir Intégrationset services pris en charge parAWS CloudTrail.
May 19, 2020
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAmazon Kendra. Voir Intégrationset services pris en charge parAWS CloudTrail.
May 13, 2020
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAWS IoT SiteWise. ConsultezIntégrations et services pris encharge par AWS CloudTrail.
April 29, 2020
Prise en charge de régionssupplémentaires (p. 340)
Cette version prend en chargeune autre région : UE (Milan).Voir Régions prises en chargepar AWS CloudTrail.
April 28, 2020
Ajout du service et de la prise encharge de la région (p. 340)
Cette version prend en chargeAmazon AppFlow. ConsultezIntégrations et services pris encharge par AWS CloudTrail.Le support a également étéajouté pour le Région Afrique (LeCap). Consultez Régions AWSCloudTrail prises en charge.
April 22, 2020
Fonctionnalitésajoutées (p. 340)
Les actions AWS KMS à volumeimportant telles que Encrypt,Decrypt et GenerateDataKeysont désormais journaliséesen tant qu'événements Read(Lecture). Si vous choisissez dejournaliser tous les événementsAWS KMS de votre suivi etde consigner les événementsde gestion Write (Écriture),votre suivi consigne les actionsAWS KMS pertinentes tellesque Disable, Delete etScheduleKey.
April 7, 2020
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAmazon CodeGuru Reviewer.Voir Intégrations et services prisen charge par AWS CloudTrail.
February 7, 2020
Version 1.0343
AWS CloudTrail Guide de l'utilisateur
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargele service Amazon ManagedApache Cassandra. VoirIntégrations et services pris encharge par AWS CloudTrail.
January 17, 2020
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend encharge Amazon Connect. VoirIntégrations et services pris encharge par AWS CloudTrail.
December 13, 2019
Documentation mise àjour (p. 340)
Cette mise à jour prend encharge la version de correctifpour la bibliothèque de traitementCloudTrail : Mettez à jour lesréférences au fichier .jar dansle guide de l'utilisateur pourutiliser la dernière version,aws-cloudtrail-processing-library-1.2.0.jar. Pour plusd'informations, consultezUtilisation de la bibliothèquede traitement CloudTrail et dela Bibliothèque de traitementCloudTrail sur .GitHub
November 21, 2019
Fonctionnalitésajoutées (p. 340)
Cette version prend en chargeAWS CloudTrail Insights pourvous aider à détecter uneactivité inhabituelle dans votrecompte. Consultez Consignationd’Insights events pour lesjournaux de suivi.
November 20, 2019
Fonctionnalitésajoutées (p. 340)
Cette version ajoute une optionpour filtrer les événements AWSKey Management Service horsd'un journal de suivi. ConsultezCréation d’un journal de suivi.
November 20, 2019
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en charge lesnotifications AWS CodeStar. VoirIntégrations et services pris encharge par AWS CloudTrail.
November 7, 2019
Fonctionnalitésajoutées (p. 340)
Cette version prend en chargel'ajout de balises lorsque vouscréez un journal de suivi dansCloudTrail, que vous utilisiezla console ou l'API CloudTrail.Cette version ajoute deuxnouveaux APIs, GetTrail etListTrails.
November 1, 2019
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAWS App Mesh. Voir Intégrationset services pris en charge parAWS CloudTrail.
October 17, 2019
Version 1.0344
AWS CloudTrail Guide de l'utilisateur
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAmazon Translate. VoirIntégrations et services pris encharge par AWS CloudTrail.
October 17, 2019
Mise à jour de ladocumentation (p. 340)
La rubrique Services non prisen charge a été restauréeet mise à jour pour inclureuniquement les services AWS quine consignent pas d'événementsdans CloudTrail actuellement.Consultez Services non pris encharge par CloudTrail.
October 7, 2019
Mise à jour de ladocumentation (p. 340)
La documentation a été mise àjour pour refléter les modificationsapportées à la stratégieAWSCloudTrailFullAccess.Un exemple destratégie qui montre desautorisations équivalentes àAWSCloudTrailFullAccessa été mis à jour pour limiterles ressources sur lesquellesl'action iam:PassRolepeut agir sur celles quicorrespondent à l'instructionde condition suivante :"iam:PassedToService":"cloudtrail.amazonaws.com".Consultez Exemples destratégies basées sur l'identitéAWS CloudTrail.
September 24, 2019
Mise à jour de ladocumentation (p. 340)
La documentation a été mise àjour avec une nouvelle rubrique,Gestion des coûts CloudTrail,pour vous aider à obtenir lesdonnées de journal dont vousavez besoin pour CloudTrail touten respectant un budget.
September 3, 2019
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAWS Control Tower. VoirIntégrations et services pris encharge par AWS CloudTrail.
August 13, 2019
Prise en charge de régionssupplémentaires (p. 340)
Cette version prend en chargeune autre région : Moyen-Orient(Bahreïn). Voir Régions prises encharge par AWS CloudTrail.
July 29, 2019
Mise à jour de ladocumentation (p. 340)
La documentation a été miseà jour avec des informationssur la sécurité pour CloudTrail.Consultez la section Securitédans AWS CloudTrail.
July 3, 2019
Version 1.0345
AWS CloudTrail Guide de l'utilisateur
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAWS Ground Station. VoirIntégrations et services pris encharge par AWS CloudTrail.
June 6, 2019
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAWS IoT Things Graph. VoirIntégrations et services pris encharge par AWS CloudTrail.
June 4, 2019
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAmazon AppStream 2.0. VoirIntégrations et services pris encharge par AWS CloudTrail.
April 25, 2019
Prise en charge de régionssupplémentaires (p. 340)
Cette version prend en chargeune autre région : Asie-Pacifique(Hong Kong). Voir Régions prisesen charge par AWS CloudTrail.
April 24, 2019
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAmazon Kinesis Data Analytics.Voir Intégrations et services prisen charge par AWS CloudTrail.
March 22, 2019
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAWS Backup. Voir Intégrations etservices pris en charge par AWSCloudTrail.
February 4, 2019
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAmazon WorkLink. VoirIntégrations et services pris encharge par AWS CloudTrail.
January 23, 2019
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAWS Cloud9. Voir Intégrations etservices pris en charge par AWSCloudTrail.
January 21, 2019
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAWS Elemental MediaLive. VoirIntégrations et services pris encharge par AWS CloudTrail.
January 19, 2019
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAmazon Comprehend. VoirIntégrations et services pris encharge par AWS CloudTrail.
January 18, 2019
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAWS Elemental MediaPackage.Voir Intégrations et services prisen charge par AWS CloudTrail.
December 21, 2018
Version 1.0346
AWS CloudTrail Guide de l'utilisateur
Prise en charge de régionssupplémentaires (p. 340)
Cette version prend encharge une autre région : UE(Stockholm). Consultez RégionsAWS CloudTrail prises encharge.
December 11, 2018
Mise à jour de ladocumentation (p. 340)
La documentation a été mise àjour avec les informations sur lesservices pris en charge et nonpris en charge. Voir Intégrationset services pris en charge parAWS CloudTrail.
December 3, 2018
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAWS Resource Access Manager(AWS RAM). Voir Intégrations etservices pris en charge par AWSCloudTrail.
November 20, 2018
Fonctionnalités mises àjour (p. 340)
Cette version prend en chargela création d'un journal d'activitéCloudTrail qui enregistre lesévénements de tous les comptesAWS d'une organisation dansAWS Organizations. ConsultezCréation d'un journal de suivipour une organisation.
November 19, 2018
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargel'API Amazon Pinpoint SMSand Voice. Voir Intégrations etservices pris en charge par AWSCloudTrail.
November 16, 2018
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAWS IoT Greengrass. VoirIntégrations et services pris encharge par AWS CloudTrail.
October 29, 2018
Fonctionnalitésajoutées (p. 340)
Cette version prend encharge l'utilisation de filtressupplémentaires dans l'historiquedes événements. ConsultezAffichage des événementsCloudTrail dans la consoleCloudTrail.
October 18, 2018
Version 1.0347
AWS CloudTrail Guide de l'utilisateurMises à jour antérieures
Documentation mise àjour (p. 340)
Cette mise à jour prend encharge la version de correctifpour la bibliothèque de traitementCloudTrail : Mettez à jour lesréférences au fichier .jar dansle guide de l'utilisateur pourutiliser la dernière version,aws-cloudtrail-processing-library-1.1.3.jar. Pour plusd'informations, consultezUtilisation de la bibliothèquede traitement CloudTrail et dela Bibliothèque de traitementCloudTrail sur .GitHub
October 18, 2018
Fonctionnalitésajoutées (p. 340)
Cette version prend en chargeAmazon Virtual Private Cloud(Amazon VPC) pour établir uneconnexion privée entre votreVPC et AWS CloudTrail. VoirUtilisation de AWS CloudTrailavec des points de terminaisonde VPC d'interface.
August 9, 2018
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeGestionnaire de cycle de viedes données Amazon. VoirIntégrations et services pris encharge par AWS CloudTrail.
July 24, 2018
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargeAmazon MQ. Voir Intégrations etservices pris en charge par AWSCloudTrail.
July 19, 2018
Prise en charge de servicessupplémentaires (p. 340)
Cette version prend en chargel'interface de ligne de commandeAWS Mobile. Voir Intégrations etservices pris en charge par AWSCloudTrail.
June 29, 2018
Notification d'historique de ladocumentation AWS CloudTraildisponible via un flux RSS (p. 340)
Vous pouvez maintenant recevoirune notification en cas de miseà jour de la documentation AWSCloudTrail en vous abonnant àun flux RSS.
June 29, 2018
Mises à jour antérieuresLe tableau suivant décrit l'historique des versions de la documentation AWS CloudTrail avant le29 juin 2018.
Version 1.0348
AWS CloudTrail Guide de l'utilisateurMises à jour antérieures
Modification Description Date deparution
Prise en charge de servicessupplémentaires
Cette version prend en charge l'API Performance InsightsAmazon RDS. Pour plus d'informations, consultezIntégrations et services pris en charge par CloudTrail.
21 juin 2018
Fonctionnalités ajoutées Cette version prend en charge la journalisation de tous lesévénements de gestion CloudTrail dans l'historique desévénements. Pour plus d'informations, consultez Affichagedes événements avec l'historique des événementsCloudTrail (p. 48).
14 juin 2018
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Billing and CostManagement. Veuillez consulter Intégrations et servicespris en charge par CloudTrail (p. 21).
7 juin 2018
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Elastic ContainerService for Kubernetes (Amazon EKS). Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
5 juin 2018
Documentation mise à jour Cette mise à jour prend en charge la version de correctifpour la bibliothèque de traitement CloudTrail :
• Mise à jour des références au fichier .jar dans le guidede l'utilisateur pour utiliser la version la plus récente,aws-cloudtrail-processing-library-1.1.2.jar.
Pour plus d'informations, consultez Utilisation duCloudTrail Processing Library (p. 254) et la bibliothèque detraitement CloudTrail sur .GitHub
16 mai 2018
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Billing and CostManagement. Veuillez consulter Intégrations et servicespris en charge par CloudTrail (p. 21).
7 juin 2018
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Elastic ContainerService for Kubernetes (Amazon EKS). Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
5 juin 2018
Documentation mise à jour Cette mise à jour prend en charge la version de correctifpour la bibliothèque de traitement CloudTrail :
• Mise à jour des références au fichier .jar dans le guidede l'utilisateur pour utiliser la version la plus récente,aws-cloudtrail-processing-library-1.1.2.jar.
Pour plus d'informations, consultez Utilisation duCloudTrail Processing Library (p. 254) et la bibliothèque detraitement CloudTrail sur .GitHub
16 mai 2018
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS X-Ray. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
25 avril 2018
Version 1.0349
AWS CloudTrail Guide de l'utilisateurMises à jour antérieures
Modification Description Date deparution
Prise en charge de servicessupplémentaires
Cette version prend en charge l'analyse AWS IoT. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
23 avril 2018
Prise en charge de servicessupplémentaires
Cette version prend en charge Secrets Manager. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
10 avril 2018
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Rekognition.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
6 avril 2018
Prise en charge de servicessupplémentaires
Cette version prend en charge l'autorité de certificationprivée (PCA) AWS. Veuillez consulter Intégrations etservices pris en charge par CloudTrail (p. 21).
4 avril 2018
Fonctionnalités ajoutées Cette version facilite la recherche les fichiers journauxCloudTrailavec Amazon Athena. Vous pouvez créerautomatiquement des tables pour interroger des journauxdirectement à partir de la console CloudTrail et utiliser cestables pour exécuter des requêtes dans Athena. Pour plusd'informations, consultez Intégrations et services pris encharge par CloudTrail (p. 21) et Création d'une table pourles journaux CloudTrail dans la console CloudTrail.
15 mars 2018
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS AppSync. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
13 février 2018
Prise en charge de régionssupplémentaires
Cette version prend en charge une autre région :Asie-Pacifique (Osaka-Local) (ap-south-1 nord-est de3). Veuillez consulter Régions prises en charge parCloudTrail (p. 13).
12 février 2018
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Shield. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
12 février 2018
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon SageMaker.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
11 janvier 2018
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Batch. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
10 janvier 2018
Fonctionnalités ajoutées Cette version prend en charge l'extension à 90 jours dunombre d'activités de compte disponibles dans l'historiquedes événements de CloudTrail. Vous pouvez aussipersonnaliser l'affichage des colonnes afin d'avoir unemeilleure visibilité de vos événements CloudTrail. Pourplus d'informations, consultez Affichage des événementsavec l'historique des événements CloudTrail (p. 48).
12 décembre2017
Version 1.0350
AWS CloudTrail Guide de l'utilisateurMises à jour antérieures
Modification Description Date deparution
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon WorkMail. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
12 décembre2017
Prise en charge de servicessupplémentaires
Cette version prend en charge Alexa for Business,AWS Elemental MediaConvert et AWS ElementalMediaStore. Voir Intégrations et services pris en chargepar CloudTrail (p. 21).
1 décembre2017
Documentationet fonctionnalitéssupplémentaires
Cette version prend en charge la journalisation desdonnées d'événements pour les fonctions AWS Lambda.
Pour plus d'informations, consultez Journalisationdes événements de données pour les journaux desuivi (p. 147).
30 novembre 2017
Documentationet fonctionnalitéssupplémentaires
Cette version prend en charge la journalisation desdonnées d'événements pour les fonctions AWS Lambda.
Pour plus d'informations, consultez Journalisationdes événements de données pour les journaux desuivi (p. 147).
30 novembre 2017
Documentationet fonctionnalitéssupplémentaires
Cette version prend en charge les mises à jour suivantesvers la bibliothèque de traitement CloudTrail :
• Ajoutez la prise en charge de l'identification booléennedes événements de gestion.
• Mettre à jour la version d'événement CloudTrail à 1.06.
Pour plus d'informations, consultez Utilisation duCloudTrail Processing Library (p. 254) et la bibliothèque detraitement CloudTrail sur .GitHub
30 novembre 2017
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Glue. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
7 novembre 2017
Nouvelle documentation Cette version ajoute une nouvelle rubrique, Quotas dansAWS CloudTrail (p. 34).
19 octobre 2017
Documentation mise à jour Cette version met à jour la documentation de APIs priseen charge dans l'historique des événements CloudTrailpour Amazon Athena, AWS CodeBuild, Amazon ElasticContainer Registry et Hub de migration AWS.
13 octobre 2017
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Chime. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
27septembre2017
Documentationet fonctionnalitéssupplémentaires
Cette version prend en charge la configuration de lajournalisation des événements de données pour tous lescompartiments Amazon S3 de votre compte AWS. Veuillezconsulter Journalisation des événements de données pourles journaux de suivi (p. 147).
20septembre2017
Version 1.0351
AWS CloudTrail Guide de l'utilisateurMises à jour antérieures
Modification Description Date deparution
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Lex. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
15 août 2017
Prise en charge de servicessupplémentaires
Cette version prend en charge le hub de migration AWS.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
14 août 2017
Documentationet fonctionnalitéssupplémentaires
Cette version prend en charge CloudTrail activé par défautpour tous les comptes AWS. Les sept derniers joursd'activité du compte sont disponibles dans l'historiquedes événements CloudTrail, et les événements les plusrécents apparaissent sur le tableau de bord de la console.La fonction appelée précédemment Historique d'activité del'API a été remplacée par Historique des événements.
Pour plus d'informations, consultez Fonctionnement d'unCloudTrail (p. 1).
14 août 2017
Documentationet fonctionnalitéssupplémentaires
Cette version prend en charge le téléchargement desévénements à partir de la console CloudTrail, sur lapage de l'historique des activités de l'API. Vous pouveztélécharger les événements au format JSON ou CSV.
Pour plus d'informations, consultez Téléchargement desévénements (p. 52).
27 juillet 2017
Fonctionnalités ajoutées Cette version prend en charge la journalisation desopérations d'API au niveau des objets Amazon S3 dansdeux régions supplémentaires, Europe (Londres) etCanada (Centre).
Pour plus d'informations, consultez Utilisation des fichiersjournaux CloudTrail (p. 140).
19 juillet 2017
Prise en charge de servicessupplémentaires
Cette version prend en charge la recherche de APIs pourAmazon CloudWatch Events dans la fonction d'historiquedes activités de l'API CloudTrail.
27 juin 2017
Documentationet fonctionnalitéssupplémentaires
Cette version prend en charge des APIs supplémentairesdans la fonction d'historique des activités de l'APICloudTrail pour les services suivants :
• AWS CloudHSM• Amazon Cognito• Amazon DynamoDB• Amazon EC2• Kinesis• AWS Storage Gateway
27 juin 2017
Version 1.0352
AWS CloudTrail Guide de l'utilisateurMises à jour antérieures
Modification Description Date deparution
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS CodeStar. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
14 juin 2017
Documentationet fonctionnalitéssupplémentaires
Cette version prend en charge les mises à jour suivantesvers la bibliothèque de traitement CloudTrail :
• Ajout de prise en charge de différents formats pourles messages SQS à partir de la même file d'attenteSQS pour identifier les fichiers journaux CloudTrail. Lesformats suivants sont pris en charge :• Notifications envoyées par CloudTrail à une rubrique
SNS• Notifications envoyées par Amazon S3 à une rubrique
SNS• Notifications envoyées par Amazon S3 directement à
une file d'attente SQS• Ajout de la prise en charge de la propriétédeleteMessageUponFailure, que vous pouvezutiliser pour supprimer les messages qui ne peuvent pasêtre traités.
Pour plus d'informations, consultez Utilisation duCloudTrail Processing Library (p. 254) et la bibliothèque detraitement CloudTrail sur .GitHub
1 juin 2017
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Athena. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
19 mai 2017
Fonctionnalités ajoutées Cette version prend en charge l'envoi d'événements dedonnées à Amazon CloudWatch Logs.
Pour plus d'informations sur la configuration de votrejournal de suivi pour la consignation des événements dedonnées, consultez Evénements de données (p. 148).
Pour plus d'informations sur l'envoi d'événementsà CloudWatch Logs, consultez Surveillance desfichiers journaux CloudTrail avec Amazon CloudWatchLogs (p. 167).
9 mai 2017
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Marketplace MeteringService. Veuillez consulter Intégrations et services pris encharge par CloudTrail (p. 21).
2 mai 2017
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon QuickSight.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
28 avril 2017
Version 1.0353
AWS CloudTrail Guide de l'utilisateurMises à jour antérieures
Modification Description Date deparution
Documentationet fonctionnalitéssupplémentaires
Cette version prend en charge une expérience de consolemise à jour pour la création de journaux de suivi. Vouspouvez désormais configurer un nouveau journal de suivipour consigner les événements de gestion et de données.Pour plus d'informations, consultez Création d'un journalde suivi (p. 76).
11 avril 2017
Ajout de documentation Si CloudTrail ne transmet pas les journaux à votrecompartiment S3 ou n'envoie pas de notifications SNSdepuis certaines régions vers votre compte, il est possibleque vous deviez mettre à jour les stratégies.
Pour en savoir plus sur la mise à jour de votre stratégiede compartiment S3, consultez Erreurs courantes deconfiguration de stratégie S3 (p. 286).
Pour en savoir plus sur la mise à jour de votre stratégiede rubrique SNS, consultez Erreurs courantes deconfiguration de stratégie SNS (p. 289).
31 mars 2017
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Organizations.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
27 février 2017
Documentationet fonctionnalitéssupplémentaires
Cette version prend en charge une expérience de consolemise à jour pour la configuration de suivis pour consignerles événements de gestion et de données. Pour plusd'informations, consultez Utilisation des fichiers journauxCloudTrail (p. 140).
10 février 2017
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Cloud Directory.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
26 janvier 2017
Documentationet fonctionnalitéssupplémentaires
Cette version prend en charge la recherche des servicesgérés APIs pour AWS CodeCommit, Amazon GameLift etAWS dans l'historique des activités de l'API CloudTrail.
26 janvier 2017
Fonctionnalités ajoutées Cette version prend en charge l'intégration à l'AWSPersonal Health Dashboard.Vous pouvez utiliser l'Tableau de bord d'état personnelpour identifier si vos suivis sont dans l'incapacité de livrerles journaux à une rubrique SNS ou à un compartiment S3.Cela peut se produire en cas de problème avec la stratégiedu compartiment S3 ou de la rubrique SNS. Tableau debord d'état personnel vous informe des suivis affectés etrecommande les solutions de correction de la stratégie.
Pour de plus amples informations, veuillez consulter Guidede l'utilisateur AWS Health.
24 janvier 2017
Version 1.0354
AWS CloudTrail Guide de l'utilisateurMises à jour antérieures
Modification Description Date deparution
Documentationet fonctionnalitéssupplémentaires
Cette version prend en charge le filtrage par sourced'événement dans la console CloudTrail. La sourced'événement affiche le service AWS auprès duquel lademande a été faite.
Pour plus d'informations, consultez Affichage desévénements CloudTrail dans la console CloudTrail (p. 49).
12 janvier 2017
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS CodeCommit. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
11 janvier 2017
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Lightsail. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
23 décembre2016
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Managed Services.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
21 décembre2016
Prise en charge de régionssupplémentaires
Cette version prend en charge Région Europe (Londres).Veuillez consulter Régions prises en charge parCloudTrail (p. 13).
13 décembre2016
Prise en charge de régionssupplémentaires
Cette version prend en charge Région Canada (Centre).Veuillez consulter Régions prises en charge parCloudTrail (p. 13).
8 décembre2016
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS CodeBuildConsultez Intégrations et services pris en charge parCloudTrail (p. 21).
Cette version prend en charge AWS Health. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
Cette version prend en charge AWS Step Functions.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
1 décembre2016
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Polly. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
30 novembre 2016
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS OpsWorks for ChefAutomate. Veuillez consulter Intégrations et services prisen charge par CloudTrail (p. 21).
23 novembre 2016
Version 1.0355
AWS CloudTrail Guide de l'utilisateurMises à jour antérieures
Modification Description Date deparution
Documentationet fonctionnalitéssupplémentaires
Cette version prend en charge la configuration de votresuivi pour journaliser des événements en lecture seule, enécriture seule, ou tous les événements.
CloudTrail prend en charge la journalisation desopérations API au niveau de l'objet Amazon S3 tellesque GetObject, PutObject et DeleteObject. Vouspouvez configurer vos journaux de suivi pour consigner lesopérations d'API au niveau de l'objet.
Pour plus d'informations, consultez Utilisation des fichiersjournaux CloudTrail (p. 140).
21 novembre 2016
Documentationet fonctionnalitéssupplémentaires
Cette version prend en charge des valeurssupplémentaires pour le champ type dans l'élémentuserIdentity : AWSAccount et AWSService. Pourplus d'informations, consultez le Fields (p. 323) pouruserIdentity.
16 novembre 2016
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Server MigrationService. Veuillez consulter Intégrations et services pris encharge par CloudTrail (p. 21).
14 novembre 2016
Prise en charge de servicessupplémentaires
Cette version prend en charge Application Auto Scaling.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
31 octobre 2016
Prise en charge de régionssupplémentaires
Cette version prend en charge Région USA Est (Ohio).Veuillez consulter Régions prises en charge parCloudTrail (p. 13).
17 octobre 2016
Documentationet fonctionnalitéssupplémentaires
Cette version prend en charge la journalisation desévénements de service AWS non-API. Pour plusd'informations, consultez Evénements de serviceAWS (p. 333).
23septembre2016
Documentationet fonctionnalitéssupplémentaires
Cette version prend en charge l'utilisation de la consoleCloudTrail pour consulter les types de ressource qui prisen charge par AWS Config. Pour plus d'informations,consultez Affichage des ressources référencées avec AWSConfig (p. 53).
7 juillet 2016
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Service Catalog.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
6 juillet 2016
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Elastic File System(Amazon EFS). Veuillez consulter Intégrations et servicespris en charge par CloudTrail (p. 21).
28 juin 2016
Prise en charge de régionssupplémentaires
Cette version prend en charge une région supplémentaire :ap-south-1 (Asie-Pacifique (Mumbai)). Veuillez consulterRégions prises en charge par CloudTrail (p. 13).
27 juin 2016
Version 1.0356
AWS CloudTrail Guide de l'utilisateurMises à jour antérieures
Modification Description Date deparution
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Application DiscoveryService. Veuillez consulter Intégrations et services pris encharge par CloudTrail (p. 21).
12 mai 2016
Prise en charge de servicessupplémentaires
Cette version prend en charge CloudWatch Logs dansla région Amérique du Sud (São Paulo). Pour plusd'informations, consultez Surveillance des fichiers journauxCloudTrail avec Amazon CloudWatch Logs (p. 167).
6 mai 2016
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS WAF. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
28 avril 2016
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Support. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
21 avril 2016
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Inspector. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
20 avril 2016
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS IoT. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
11 avril 2016
Documentationet fonctionnalitéssupplémentaires
Cette version prend en charge la journalisation des appelsd'API AWS Security Token Service (AWS STS )effectuésavec le protocole SAML (Assertion Markup Language)et la fédération d'identité Web. Pour plus d'informations,consultez Valeurs pour AWS STS APIs avec SAML etfédération d'identité web (p. 326).
28 mars 2016
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Certificate Manager.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
25 mars 2016
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Kinesis DataFirehose. Veuillez consulter Intégrations et services pris encharge par CloudTrail (p. 21).
17 mars 2016
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon CloudWatch Logs.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
10 mars 2016
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Cognito. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
18 février 2016
Prise en charge de servicessupplémentaires
Cette version prend en chargeAWS Database Migration Service. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
4 février 2016
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon GameLift(GameLift). Veuillez consulter Intégrations et services prisen charge par CloudTrail (p. 21).
27 janvier 2016
Version 1.0357
AWS CloudTrail Guide de l'utilisateurMises à jour antérieures
Modification Description Date deparution
Prise en charge de servicessupplémentaires
Cette version prend en chargeAmazon CloudWatch Events. Veuillez consulterIntégrations et services pris en charge parCloudTrail (p. 21).
16 janvier 2016
Prise en charge de régionssupplémentaires
Cette version prend en charge une autre région : ap-northeast-2 (Asie-Pacifique (Séoul)). Veuillez consulterRégions prises en charge par CloudTrail (p. 13).
6 janvier 2016
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Elastic ContainerRegistry (Amazon ECR). Veuillez consulter Intégrations etservices pris en charge par CloudTrail (p. 21).
21 décembre2015
Documentationet fonctionnalitéssupplémentaires
Cette version prend en charge l'activation de CloudTraildans toutes les régions et plusieurs suivis par région.Pour plus d'informations, consultez Comment CloudTrailse comporte-t-il à l'échelle régionale et à l'échellemondiale ? (p. 10).
17 décembre2015
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Machine Learning.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
10 décembre2015
Documentationet fonctionnalitéssupplémentaires
Cette version prend en charge le chiffrement des fichiersjournaux, la validation de l'intégrité des fichiers journauxet l'étiquetage. Pour de plus amples informations,veuillez consulter Chiffrement des fichiers journauxCloudTrail avec des clés gérées par AWS KMS (SSE-KMS) (p. 299), Validation de l'intégrité des fichiersjournaux CloudTrail (p. 233) et Mise à jour d'un journal desuivi (p. 86).
1 octobre 2015
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon ElasticsearchService. Veuillez consulter Intégrations et services pris encharge par CloudTrail (p. 21).
1 octobre 2015
Prise en charge de servicessupplémentaires
Cette version prend en charge les événementsau niveau du compartiment Amazon S3. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
1er septembre 2015
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Device Farm. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
13 juillet 2015
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon API Gateway.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
9 juillet 2015
Prise en charge de servicessupplémentaires
Cette version prend en charge CodePipeline. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
9 juillet 2015
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon DynamoDB.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
28 mai 2015
Version 1.0358
AWS CloudTrail Guide de l'utilisateurMises à jour antérieures
Modification Description Date deparution
Prise en charge de servicessupplémentaires
Cette version prend en charge CloudWatch Logs dansla région USA Ouest (Californie du Nord). Consultez lesCloudTrail Notes de mise à jour. Pour plus d'informationsconcernant la prise en charge de CloudTrail poursuperviser CloudWatch Logs, consultez Surveillance desfichiers journaux CloudTrail avec Amazon CloudWatchLogs (p. 167).
19 mai 2015
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Directory Service.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
14 mai 2015
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Simple EmailService (Amazon SES). Veuillez consulter Intégrations etservices pris en charge par CloudTrail (p. 21).
7 mai 2015
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Elastic ContainerService Consultez Intégrations et services pris en chargepar CloudTrail (p. 21).
9 avril 2015
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Lambda. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
9 avril 2015
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon WorkSpaces.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
9 avril 2015
Cette version prend en charge la recherche de l'activitéAWS capturée par CloudTrail (événements CloudTrail).Vous pouvez rechercher et filtrer les événements de votrecompte liés à la création, la modification ou la suppression.Pour rechercher ces événements, vous pouvez utiliserla console CloudTrail, la AWS Command Line Interface(AWS CLI) ou le kit SDK AWS. Pour plus d'informations,consultez Affichage des événements avec l'historique desévénements CloudTrail (p. 48).
12 mars 2015
Prise en charge de servicessupplémentaires et nouvelledocumentation
Cette version prend en charge les journaux AmazonCloudWatch dans les régions Asie-Pacifique (Singapour),Asie-Pacifique (Sydney), Asie-Pacifique (Tokyo) etEurope (Francfort). Des exemples d'alarmes CloudWatchsupplémentaires ont été ajoutés à Création d'alarmesCloudWatch pour des événements CloudTrail et unenouvelle page a été ajoutée : . Utilisation d'un modèle AWSCloudFormation pour créer des alarmes CloudWatch.
5 mars 2015
Version 1.0359
AWS CloudTrail Guide de l'utilisateurMises à jour antérieures
Modification Description Date deparution
Prise en charge d'APIsupplémentaires
Cette version prend en charge Amazon EC2 SystemsManager (SSM). SSM permet de configurer, gérer etdéployer facilement des configurations d'instancesWindows personnalisées. Pour plus d'informationsconcernant SSM, consultez la page Gestion de laconfiguration des instances Windows. Pour plusd'informations sur les appels d'API SSM enregistrés parCloudTrail, consultez Journalisation des appels d'APISSMà l'aide de AWS CloudTrail
17 février 2015
Nouvelle documentation Une nouvelle section qui décrit la prise en charge parCloudTrail des points de terminaison régionaux AWSSecurity Token Service (AWS STS) a été ajoutée à la pageConcepts CloudTrail.
17 février 2015
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Route 53. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
11 février 2015
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Config. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
10 février 2015
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS CloudHSM. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
8 janvier 2015
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS CodeDeploy. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
17 décembre2014
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Storage Gateway.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
16 décembre2014
Prise en charge de régionssupplémentaires
Cette version prend en charge une autre région : us-gov-west-1 (AWS GovCloud (US-West)). Veuillez consulterRégions prises en charge par CloudTrail (p. 13).
16 décembre2014
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon S3 Glacier.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
11 décembre2014
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Data Pipeline. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
2 décembre2014
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Key ManagementService. Veuillez consulter Intégrations et services pris encharge par CloudTrail (p. 21).
12 novembre 2014
Nouvelle documentation Une nouvelle section, Surveillance des fichiers journauxCloudTrail avec Amazon CloudWatch Logs (p. 167), a étéajoutée au guide. Elle explique comment utiliser AmazonCloudWatch Logs pour superviser les événements dejournaux de CloudTrail.
10 novembre 2014
Version 1.0360
AWS CloudTrail Guide de l'utilisateurMises à jour antérieures
Modification Description Date deparution
Nouvelle documentation Une nouvelle section, Utilisation du CloudTrail ProcessingLibrary (p. 254), a été ajoutée au guide. Elle fournitdes informations sur la façon d'écrire un processeur dejournaux CloudTrail en Java à l'aide de la bibliothèque detraitement AWS CloudTrail.
5 novembre 2014
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Elastic Transcoder.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
27 octobre 2014
Prise en charge de régionssupplémentaires
Cette version prend en charge une autre région : eu-central-1 (Europe (Francfort)). Veuillez consulter Régionsprises en charge par CloudTrail (p. 13).
23 octobre 2014
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon CloudSearch.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
16 octobre 2014
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Simple NotificationService. Veuillez consulter Intégrations et services pris encharge par CloudTrail (p. 21).
09 octobre 2014
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon ElastiCache.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
15septembre2014
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon WorkDocs.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
27 août 2014
Ajout de nouveau contenu Cette version comprend une rubrique qui décrit lajournalisation des événements de connexion. Veuillezconsulter Événements de connexion à AWS laconsole (p. 334).
24 juillet 2014
Ajout de nouveau contenu L'élément eventVersion de cette version a été mis à niveauvers la version 1.02 et trois nouveaux champs ont étéajoutés. Veuillez consulter Contenu d'un enregistrementCloudTrail (p. 313).
18 juillet 2014
Prise en charge de servicessupplémentaires
Cette version prend en charge Auto Scaling(consultez Intégrations et services pris en charge parCloudTrail (p. 21)).
17 juillet 2014
Prise en charge de régionssupplémentaires
Cette version prend en charge trois régionssupplémentaires : ap-southeast-1 (Asie-Pacifique(Singapour)), ap-northeast-1 (Asie-Pacifique (Tokyo)), sa-east-1 (Amérique du Sud (São Paulo)). Veuillez consulterRégions prises en charge par CloudTrail (p. 13).
30 juin 2014
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Redshift. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
10 juin 2014
Version 1.0361
AWS CloudTrail Guide de l'utilisateurMises à jour antérieures
Modification Description Date deparution
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS OpsWorks. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
5 juin 2014
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon CloudFront.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
28 mai 2014
Prise en charge de régionssupplémentaires
Cette version prend en charge trois régionssupplémentaires : us-west-1 (USA Ouest (Californie duNord)), eu-west-1 (Europe (Irlande)), ap-southeast-2 (Asie-Pacifique (Sydney)). Veuillez consulter Régions prises encharge par CloudTrail (p. 13).
13 mai 2014
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Simple WorkflowService. Veuillez consulter Intégrations et services pris encharge par CloudTrail (p. 21).
9 mai 2014
Ajout de nouveau contenu Cette version contient des rubriques qui évoquent lepartage de fichiers journaux entre plusieurs comptes.Veuillez consulter Partage de fichiers journaux CloudTrailentre comptes AWS (p. 223).
2 mai 2014
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon CloudWatch.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
28 avril 2014
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon Kinesis. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
22 avril 2014
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS Direct Connect.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
11 avril 2014
Prise en charge de servicessupplémentaires
Cette version prend en charge Amazon EMR. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
4 avril 2014
Prise en charge de servicessupplémentaires
Cette version prend en charge Elastic Beanstalk. Veuillezconsulter Intégrations et services pris en charge parCloudTrail (p. 21).
2 avril 2014
Prise en charge de servicessupplémentaires
Cette version prend en charge AWS CloudFormation.Veuillez consulter Intégrations et services pris en chargepar CloudTrail (p. 21).
7 mars 2014
Nouveau guide Cette version présente AWS CloudTrail. 13 novembre 2013
Version 1.0362
AWS CloudTrail Guide de l'utilisateur
Glossaire AWSPour la terminologie AWS la plus récente, consultez le Glossaire AWS dans le document AWS GeneralReference.
Version 1.0363
AWS CloudTrail Guide de l'utilisateur
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenud'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Version 1.0ccclxiv