Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Exporter les données du journal vers Amazon S3 à l'aide de la console
Dans les exemples suivants, vous utilisez la CloudWatch console Amazon pour exporter toutes les données d'un groupe de CloudWatch journaux Amazon Logs nommé `my-log-group` vers un compartiment Amazon S3 nommé`amzn-s3-demo-bucket`.
L'exportation de données de journal vers des compartiments S3 qui sont chiffrés par SSE-KMS est prise en charge. L'exportation vers les compartiments chiffrés avec DSSE-KMS n'est pas prise en charge.
Les détails de la configuration de l'exportation varient selon que le compartiment Amazon S3 vers lequel vous souhaitez exporter se trouve dans le même compte que vos journaux à exporter ou dans un compte différent.
**Topics**
+ [Exportation sur le même compte (console)](#ExportSingleAccount)
+ [Exportation entre comptes (console)](#ExportCrossAccount)
## Exportation sur le même compte (console)
Si le compartiment Amazon S3 se trouve dans le même compte que les journaux à exporter, suivez les instructions de cette section.
**Topics**
+ [Création d'un compartiment Amazon S3 (console)](#CreateS3BucketConsole)
+ [Configurer les autorisations d'accès (console)](#CreateIAMUser-With-S3-Access)
+ [Définir des autorisations sur un compartiment Amazon S3 (console)](#S3PermissionsConsole)
+ [(Facultatif) Exportation vers un compartiment Amazon S3 de destination chiffré avec SSE-KMS (console)](#S3-Export-KMSEncrypted)
+ [Création d'une tâche d'exportation (console)](#CreateExportTaskConsole)
### Création d'un compartiment Amazon S3 (console)
Nous vous recommandons d'utiliser un bucket créé spécifiquement pour CloudWatch Logs. Cependant, si vous souhaitez utiliser un compartiment existant, vous pouvez passer à l'étape 2.
**Note**
Le compartiment Amazon S3 doit résider dans la même région que les données de journal à exporter. CloudWatch Logs ne prend pas en charge l'exportation de données vers des compartiments Amazon S3 d'une autre région.
**Pour créer un compartiment Amazon S3**
1. Ouvrez la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Si nécessaire, changez la région. Dans la barre de navigation, choisissez la région dans laquelle se trouvent vos CloudWatch journaux.
1. Choisissez **Créer un compartiment**.
1. Dans **Bucket Name (Nom de compartiment)**, attribuez un nom au compartiment.
1. Pour **Région**, sélectionnez la région dans laquelle se trouvent vos données de CloudWatch journaux.
1. Choisissez **Créer**.
### Configurer les autorisations d'accès (console)
Pour créer la tâche d'exportation, vous devez être connecté avec le rôle `AmazonS3ReadOnlyAccess` IAM et disposer des autorisations suivantes :
+ `logs:CreateExportTask`
+ `logs:CancelExportTask`
+ `logs:DescribeExportTasks`
+ `logs:DescribeLogStreams`
+ `logs:DescribeLogGroups`
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
### Définir des autorisations sur un compartiment Amazon S3 (console)
Par défaut, tous les objets et les compartiments Amazon S3 sont privés. Seul le propriétaire de la ressource, Compte AWS celui qui a créé le compartiment, peut accéder au compartiment et aux objets qu'il contient. Le propriétaire de la ressource peut toutefois accorder des autorisations d'accès à d'autres ressources et à d'autres utilisateurs en créant une stratégie d'accès.
Lorsque vous définissez la stratégie, nous vous recommandons d'inclure une chaîne générée de façon aléatoire comme préfixe pour le compartiment, afin que seuls les flux de journaux prévus soient exportés vers le compartiment.
**Important**
Pour sécuriser les exportations vers les compartiments Amazon S3, nous vous demandons désormais de spécifier la liste des comptes sources autorisés à exporter les données de journal vers votre compartiment S3.
Dans l'exemple suivant, la liste des comptes figurant IDs dans la `aws:SourceAccount` clé correspond aux comptes à partir desquels un utilisateur peut exporter des données de journal vers votre compartiment Amazon S3. La clé `aws:SourceArn` correspond à la ressource pour laquelle l'action est entreprise. Vous pouvez limiter cela à un groupe de journaux spécifique ou utiliser un caractère générique, comme indiqué dans cet exemple.
Nous vous recommandons d'inclure également l'ID du compte sur lequel le compartiment S3 est créé, afin de permettre l'exportation au sein du même compte.
**Pour définir des autorisations sur un compartiment Amazon S3**
1. Dans la console Amazon S3, choisissez le compartiment que vous avez créé.
1. Choisissez **Permissions**, **Bucket policy**.
1. Dans **Bucket Policy Editor** (Éditeur de stratégie de compartiment), ajoutez la politique ci-dessous. Remplacez `amzn-s3-demo-bucket` par le nom de votre compartiment S3. Assurez-vous de spécifier le point de terminaison correct de la région, tel que `us-west-1`, pour **Principal**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCloudWatchLogsGetBucketAcl",
"Action": "s3:GetBucketAcl",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Sid": "AllowCloudWatchLogsPutObject",
"Action": "s3:PutObject",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
}
]
}
```
------
1. Choisissez **Save** pour définir la stratégie que vous venez d'ajouter en tant que stratégie d'accès à votre compartiment. Cette politique permet à CloudWatch Logs d'exporter les données des journaux vers votre compartiment Amazon S3. Le propriétaire du compartiment dispose des autorisations d'accès complet à tous les objets exportés.
**Avertissement**
Si une ou plusieurs politiques sont déjà associées au bucket existant, ajoutez les instructions pour l'accès aux CloudWatch journaux à cette ou ces politiques. Nous vous recommandons d'évaluer le jeu d'autorisations obtenu pour vérifier son adéquation pour les utilisateurs appelés à accéder au compartiment.
### (Facultatif) Exportation vers un compartiment Amazon S3 de destination chiffré avec SSE-KMS (console)
Cette étape n'est nécessaire que si vous exportez vers un compartiment Amazon S3 qui utilise le chiffrement côté serveur avec. AWS KMS keys Ce chiffrement est connu sous le nom de SSE-KMS.
**Exportation vers un compartiment chiffré avec SSE-KMS**
1. Ouvrez la AWS KMS console à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation de gauche, choisissez **Customer manages keys** (Clés gérées par le client).
Choisissez **Create key** (Créer une clé).
1. Pour **Type de clé**, choisissez **Symétrique**.
1. Pour **Key usage** (Utilisation de la clé), choisissez **Encrypt and decrypt** (Chiffrer et déchiffrer), puis choisissez **Next** (Suivant).
1. Sous **Add labels** (Ajouter des étiquettes) saisissez un alias pour la clé et ajoutez éventuellement une description ou des balises. Ensuite, sélectionnez **Suivant**.
1. Sous **Key administrators** (Administrateurs de clés), sélectionnez qui peut administrer cette clé, puis choisissez **Next** (Suivant).
1. Sous **Define key usage permissions** (Définir les autorisations d'utilisation des clés), n'apportez aucune modification et choisissez **Next** (Suivant).
1. Passez en revue vos paramètres, puis choisissez **Finish** (Terminer).
1. De retour sur la page **Customer managed keys** (Clés gérées par le client), choisissez le nom de la clé que vous venez de créer.
1. Choisissez l'onglet **Key policy** (Politique de clé) et choisissez **Switch to policy view** (Passer à la vue de la politique).
1. Dans la section **Key policy** (Politique de clé), choisissez **Edit** (Modifier).
1. Ajoutez la déclaration suivante à la liste des déclarations de politique de clé. Lorsque vous le faites, remplacez-le *Region* par la région de vos journaux et remplacez-le *account-ARN* par l'ARN du compte propriétaire de la clé KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CWL Service Principal usage",
"Effect": "Allow",
"Principal": {
"Service": "logs.Region.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "account-ARN"
},
"Action": [
"kms:GetKeyPolicy*",
"kms:PutKeyPolicy*",
"kms:DescribeKey*",
"kms:CreateAlias*",
"kms:ScheduleKeyDeletion*",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
1. Sélectionnez **Enregistrer les modifications**.
1. Ouvrez la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Trouvez le compartiment que vous avez créé dans [Création d'un compartiment S3 (CLI)](S3ExportTasks.md#CreateS3Bucket) et choisissez son nom.
1. Choisissez l’onglet **Propriétés**. Ensuite, sous **Default encryption (Chiffrement par défaut)**, choisissez **Edit (Modifier)**.
1. Sous **Server-side encryption** (Chiffrement côté serveur), choisissez **Enable** (Activer).
1. Sous **Encryption type** (Type de chiffrement), choisissez **AWS Key Management Service key (SSE-KMS)** (Clé KMS (SSE-KMS)).
1. Choisissez **Choisir parmi vos AWS KMS clés** et recherchez la clé que vous avez créée.
1. Pour **Bucket name** (Nom du compartiment), choisissez **Enable** (Activer).
1. Sélectionnez **Enregistrer les modifications**.
### Création d'une tâche d'exportation (console)
Dans cette procédure, vous créez la tâche d'exportation pour exporter les journaux à partir d'un groupe de journaux.
**Pour exporter des données vers Amazon S3 à l'aide de la CloudWatch console**
1. Connectez-vous avec les autorisations suffisantes, comme indiqué dans [Configurer les autorisations d'accès (console)](#CreateIAMUser-With-S3-Access).
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le panneau de navigation, choisissez **Groupes de journaux**.
1. Dans l'écran **Groupes de journaux** choisissez le nom du groupe de journaux.
1. Choisissez **Actions**, **Export data to Amazon S3** (Exporter les données vers Amazon S3).
1. Dans l'écran **Export data to Amazon S3** (Exporter les données vers Amazon S3), sous **Define data export** (Définir les données à exporter), définissez la plage de temps pour les données à exporter grâce aux champs **From** (De) et **To** (À).
1. Si votre groupe de journaux a plusieurs flux de journal, vous pouvez indiquer un préfixe de flux de journal pour limiter les données du groupe de journaux à un flux spécifique. Choisissez **Advanced (Avancé)**, puis indiquez le préfixe de flux de journal dans **Stream prefix (Préfixe de flux)**.
1. Sous **Choose S3 bucket** (Choisir le compartiment S3), choisissez le compte associé au compartiment S3.
1. Pour le **nom du compartiment S3**, choisissez un compartiment &S3 ;.
1. Pour **Préfixe du compartiment S3**, indiquez la chaîne générée de façon aléatoire que vous avez spécifiée dans la stratégie de compartiment.
1. Choisissez **Export** (Exporter) pour exporter les données de journal vers Amazon S3.
1. Pour afficher l'état des données de journal que vous avez exportées vers Amazon S3, choisissez **Actions**, puis **View all exports to Amazon S3** (Afficher tous les exports vers Amazon S3).
## Exportation entre comptes (console)
Si le compartiment Amazon S3 se trouve dans un compte différent de celui des journaux à exporter, suivez les instructions de cette section.
**Topics**
+ [Création d'un compartiment Amazon S3 pour l'exportation entre comptes (console)](#CreateS3BucketConsole-crossaccount)
+ [Configurer les autorisations d'accès pour l'exportation entre comptes (console)](#CreateIAMUser-With-S3-Access-crossaccount)
+ [Définir des autorisations sur un compartiment S3 pour l'exportation entre comptes (console)](#S3PermissionsConsole-crossaccount)
+ [(Facultatif) Exportation vers un compartiment Amazon S3 de destination chiffré avec SSE-KMS pour l'exportation entre comptes (console)](#S3-Export-KMSEncrypted-crossaccount)
+ [Création d'une tâche d'exportation pour l'exportation entre comptes (console)](#CreateExportTaskConsole-crossaccount)
### Création d'un compartiment Amazon S3 pour l'exportation entre comptes (console)
Nous vous recommandons d'utiliser un bucket créé spécifiquement pour CloudWatch Logs. Toutefois, si vous souhaitez utiliser un bucket existant, vous pouvez ignorer cette procédure.
**Note**
Le compartiment Amazon S3 doit résider dans la même région que les données de journal à exporter. CloudWatch Logs ne prend pas en charge l'exportation de données vers des compartiments Amazon S3 d'une autre région.
**Pour créer un compartiment Amazon S3**
1. Ouvrez la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Si nécessaire, changez la région. Dans la barre de navigation, choisissez la région dans laquelle se trouvent vos CloudWatch journaux.
1. Choisissez **Créer un compartiment**.
1. Dans **Bucket Name (Nom de compartiment)**, attribuez un nom au compartiment.
1. Pour **Région**, sélectionnez la région dans laquelle se trouvent vos données de CloudWatch journaux.
1. Choisissez **Créer**.
### Configurer les autorisations d'accès pour l'exportation entre comptes (console)
Tout d'abord, vous devez créer une nouvelle politique IAM pour permettre à CloudWatch Logs d'avoir l'`s3:PutObject`action pour le compartiment Amazon S3 de destination dans le compte de destination.
Outre les `s3:PutObject` actions, les actions supplémentaires incluses dans la politique varient selon que le compartiment de destination utilise le AWS KMS chiffrement ou qu'il a été ACLs activé à l'aide du paramètre [S3 Object Ownership](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html).
+ Si vous utilisez le chiffrement KMS, ajoutez les `kms:Decrypt` actions `kms:GenerateDataKey` et pour la ressource clé
+ Si ACLs elles sont activées sur le bucket, ajoutez l'`s3:PutObjectAcl`action pour la ressource du bucket.
Modifiez `amzn-s3-demo-bucket` le nom de votre compartiment S3 de destination dans les politiques suivantes.
**Pour créer une politique IAM afin d'exporter les journaux vers un compartiment Amazon S3**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation de gauche, choisissez **Politiques**.
1. Choisissez **Create Policy** (Créer une politique).
1. Dans la section **Éditeur de politique**, sélectionnez **JSON**.
1. Si le compartiment de destination n'utilise pas le AWS KMS chiffrement, collez la politique suivante dans l'éditeur.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
Si le compartiment de destination utilise le AWS KMS chiffrement, collez la politique suivante dans l'éditeur.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
S' ACLs ils sont activés sur le compartiment de destination, ajoutez s3 : PutObjectAcl au bloc s3 : PutObject Action dans les politiques ci-dessus.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
1. Choisissez **Suivant**.
1. Entrez un nom de stratégie. Vous utiliserez ce nom pour associer la politique à votre rôle IAM.
1. Sélectionnez **Créer une politique** pour enregistrer la nouvelle politique.
Pour créer une tâche d'exportation, vous devez être connecté avec un rôle IAM auquel est attachée la politique `AmazonS3ReadOnlyAccess` gérée, la stratégie IAM créée ci-dessus, et également avec les autorisations suivantes :
+ `logs:CreateExportTask`
+ `logs:CancelExportTask`
+ `logs:DescribeExportTasks`
+ `logs:DescribeLogStreams`
+ `logs:DescribeLogGroups`
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
### Définir des autorisations sur un compartiment S3 pour l'exportation entre comptes (console)
Par défaut, tous les objets et les compartiments S3 sont privés. Seul le propriétaire de la ressource, Compte AWS celui qui a créé le compartiment, peut accéder au compartiment et aux objets qu'il contient. Le propriétaire de la ressource peut toutefois accorder des autorisations d'accès à d'autres ressources et à d'autres utilisateurs en créant une stratégie d'accès.
Lorsque vous définissez la stratégie, nous vous recommandons d'inclure une chaîne générée de façon aléatoire comme préfixe pour le compartiment, afin que seuls les flux de journaux prévus soient exportés vers le compartiment.
**Important**
Pour sécuriser davantage les exportations vers les compartiments S3, nous vous demandons désormais de spécifier la liste des comptes sources autorisés à exporter les données des journaux vers votre compartiment S3.
Dans l'exemple suivant, la liste des comptes figurant IDs dans la `aws:SourceAccount` clé correspond aux comptes à partir desquels un utilisateur peut exporter des données de journal vers votre compartiment S3. La clé `aws:SourceArn` correspond à la ressource pour laquelle l'action est entreprise. Vous pouvez limiter cela à un groupe de journaux spécifique ou utiliser un caractère générique, comme indiqué dans cet exemple.
Nous vous recommandons d'inclure également l'ID du compte sur lequel le compartiment S3 est créé, afin de permettre l'exportation au sein du même compte.
**Pour définir des autorisations sur un compartiment Amazon S3**
1. Dans la console Amazon S3, choisissez le compartiment que vous avez créé.
1. Choisissez **Permissions**, **Bucket policy**.
1. Dans **Bucket Policy Editor** (Éditeur de stratégie de compartiment), ajoutez la politique ci-dessous. Remplacez `amzn-s3-demo-bucket` par le nom de votre compartiment S3. Assurez-vous de spécifier le point de terminaison correct de la région, tel que `us-east-1`, pour **Principal**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "s3:GetBucketAcl",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Action": "s3:PutObject",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/role_name"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
1. Choisissez **Save** pour définir la stratégie que vous venez d'ajouter en tant que stratégie d'accès à votre compartiment. Cette politique permet à CloudWatch Logs d'exporter les données des journaux vers votre compartiment S3. Le propriétaire du compartiment dispose des autorisations d'accès complet à tous les objets exportés.
**Avertissement**
Si une ou plusieurs politiques sont déjà associées au bucket existant, ajoutez les instructions pour l'accès aux CloudWatch journaux à cette ou ces politiques. Nous vous recommandons d'évaluer le jeu d'autorisations obtenu pour vérifier son adéquation pour les utilisateurs appelés à accéder au compartiment.
### (Facultatif) Exportation vers un compartiment Amazon S3 de destination chiffré avec SSE-KMS pour l'exportation entre comptes (console)
Cette procédure n'est nécessaire que si vous exportez vers un compartiment S3 qui utilise le chiffrement côté serveur avec. AWS KMS keys Ce chiffrement est connu sous le nom de SSE-KMS.
**Exportation vers un compartiment chiffré avec SSE-KMS**
1. Ouvrez la AWS KMS console à l'adresse [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
1. Dans le panneau de navigation de gauche, choisissez **Customer manages keys** (Clés gérées par le client).
Choisissez **Create key** (Créer une clé).
1. Pour **Type de clé**, choisissez **Symétrique**.
1. Pour **Key usage** (Utilisation de la clé), choisissez **Encrypt and decrypt** (Chiffrer et déchiffrer), puis choisissez **Next** (Suivant).
1. Sous **Add labels** (Ajouter des étiquettes) saisissez un alias pour la clé et ajoutez éventuellement une description ou des balises. Ensuite, sélectionnez **Suivant**.
1. Sous **Key administrators** (Administrateurs de clés), sélectionnez qui peut administrer cette clé, puis choisissez **Next** (Suivant).
1. Sous **Define key usage permissions** (Définir les autorisations d'utilisation des clés), n'apportez aucune modification et choisissez **Next** (Suivant).
1. Passez en revue vos paramètres, puis choisissez **Finish** (Terminer).
1. De retour sur la page **Customer managed keys** (Clés gérées par le client), choisissez le nom de la clé que vous venez de créer.
1. Choisissez l'onglet **Key policy** (Politique de clé) et choisissez **Switch to policy view** (Passer à la vue de la politique).
1. Dans la section **Key policy** (Politique de clé), choisissez **Edit** (Modifier).
1. Ajoutez la déclaration suivante à la liste des déclarations de politique de clé. Lorsque vous le faites, remplacez-le *us-east-1* par la région de vos journaux, *account-ARN* par l'ARN du compte propriétaire de la clé KMS, *123456789012* par le numéro de compte propriétaire de la clé KMS, *key\$1id* par l'identifiant de la clé KMS et *role\$1name* par le rôle utilisé pour créer la tâche d'exportation.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CWL Service Principal usage",
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "account-ARN"
},
"Action": [
"kms:GetKeyPolicy*",
"kms:PutKeyPolicy*",
"kms:DescribeKey*",
"kms:CreateAlias*",
"kms:ScheduleKeyDeletion*",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM Role Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/role_name"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
1. Sélectionnez **Enregistrer les modifications**.
1. Ouvrez la console Amazon S3 à l'adresse [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Trouvez le compartiment que vous avez créé dans [Création d'un compartiment S3 (CLI)](S3ExportTasks.md#CreateS3Bucket) et choisissez son nom.
1. Choisissez l’onglet **Propriétés**. Ensuite, sous **Default encryption (Chiffrement par défaut)**, choisissez **Edit (Modifier)**.
1. Sous **Server-side encryption** (Chiffrement côté serveur), choisissez **Enable** (Activer).
1. Sous **Encryption type** (Type de chiffrement), choisissez **AWS Key Management Service key (SSE-KMS)** (Clé KMS (SSE-KMS)).
1. Choisissez **Choisir parmi vos AWS KMS clés** et recherchez la clé que vous avez créée.
1. Pour **Bucket name** (Nom du compartiment), choisissez **Enable** (Activer).
1. Sélectionnez **Enregistrer les modifications**.
### Création d'une tâche d'exportation pour l'exportation entre comptes (console)
Dans cette procédure, vous créez la tâche d'exportation pour exporter les journaux à partir d'un groupe de journaux.
**Pour exporter des données vers Amazon S3 à l'aide de la CloudWatch console**
1. Connectez-vous avec les autorisations suffisantes, comme indiqué dans [Configurer les autorisations d'accès (console)](#CreateIAMUser-With-S3-Access).
1. Ouvrez la CloudWatch console à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Dans le panneau de navigation, choisissez **Groupes de journaux**.
1. Dans l'écran **Groupes de journaux** choisissez le nom du groupe de journaux.
1. Choisissez **Actions**, **Export data to Amazon S3** (Exporter les données vers Amazon S3).
1. Dans l'écran **Export data to Amazon S3** (Exporter les données vers Amazon S3), sous **Define data export** (Définir les données à exporter), définissez la plage de temps pour les données à exporter grâce aux champs **From** (De) et **To** (À).
1. Si votre groupe de journaux a plusieurs flux de journal, vous pouvez indiquer un préfixe de flux de journal pour limiter les données du groupe de journaux à un flux spécifique. Choisissez **Advanced (Avancé)**, puis indiquez le préfixe de flux de journal dans **Stream prefix (Préfixe de flux)**.
1. Sous **Choose S3 bucket** (Choisir le compartiment S3), choisissez le compte associé au compartiment S3.
1. Pour **S3 bucket name** (Nom du compartiment S3), choisissez un compartiment S3.
1. Pour **Préfixe du compartiment S3**, indiquez la chaîne générée de façon aléatoire que vous avez spécifiée dans la stratégie de compartiment.
1. Choisissez **Export** (Exporter) pour exporter les données de journal vers Amazon S3.
1. Pour afficher l'état des données de journal que vous avez exportées vers Amazon S3, choisissez **Actions**, puis **View all exports to Amazon S3** (Afficher tous les exports vers Amazon S3).