Journalisation des appels d’API Amazon S3 à l’aide de AWS CloudTrail
Amazon S3 est intégré avec AWS CloudTrail, un service qui fournit un registre des actions prises par un utilisateur, un rôle ou un service Service AWS. CloudTrail capture tous les appels d’API pour Amazon S3 en tant qu’événements. Ces captures incluent les appels de la console Amazon S3 et les appels de code vers les opérations d’API Amazon S3. À l’aide des informations collectées par CloudTrail, vous pouvez déterminer la demande qui a été envoyée à Amazon S3, son adresse IP de provenance, son auteur et sa date, ainsi que d’autres détails.
Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer :
-
Si la demande a été effectuée avec des informations d’identification d’utilisateur root ou d’utilisateur root.
-
Si la demande a été faite au nom d’un utilisateur d’IAM Identity Center
-
Si la demande a été effectuée avec les informations d’identification de sécurité temporaires d’un rôle ou d’un utilisateur fédéré.
-
Si la requête a été effectuée par un autre Service AWS.
CloudTrail est actif dans votre Compte AWS lorsque vous créez le compte et vous avez automatiquement accès à l’historique des événements CloudTrail. L’historique des événements CloudTrail permet de visualiser, de rechercher, de télécharger et d’enregistrer de façon immuable les événements de gestion enregistrés au cours des 90 derniers jours dans une Région AWS. Pour plus d’informations, consultez Utilisation de l’historique des événements CloudTrail dans le Guide de l’utilisateur AWS CloudTrail. La consultation de l’Historique des événements ne génère aucuns frais CloudTrail.
Pour un enregistrement continu des événements au cours des 90 derniers jours dans votre Compte AWS, créez un journal de suivi ou un stockage des données d’événement CloudTrail Lake.
- Journaux de suivi CloudTrail
-
Un journal de suivi permet à CloudTrail de livrer des fichiers journaux à compartiment Amazon S3. Tous les journaux de suivi créés à l’aide de la AWS Management Console sont multirégions. Vous pouvez créer un journal de suivi pour une seule région ou un journal de suivi multirégion à l’aide de l’AWS CLI. La création d’un journal de suivi multirégion est recommandée, car vous pouvez journaliser l’activité dans toutes les Régions AWS de votre compte. Si vous créez un journal de suivi pour une seule région, il convient de n’afficher que les événements journalisés pour la Région AWS de ce journal de suivi. Pour plus d’informations sur les journaux de suivi, consultez Création d’un journal de suivi dans votre Compte AWS et Création d’un journal de suivi pour une organisation dans le Guide de l’utilisateur AWS CloudTrail.
Vous pouvez diffuser une copie de vos événements de gestion en cours à votre compartiment Amazon S3 sans frais depuis CloudTrail en créant un suivi. Toutefois, des frais de stockage Amazon S3 sont facturés. Pour en savoir plus sur la tarification CloudTrail, consultez Tarification d’AWS CloudTrail
. Pour obtenir des informations sur la tarification Amazon S3, consultez Tarification Amazon S3 . - Magasins de données d’événement CloudTrail Lake
-
CloudTrail Lake vous permet d’exécuter des requêtes SQL sur vos événements. CloudTrail Lake convertit les événements existants au format JSON basé sur des lignes au format Apache ORC
. ORC est un format de stockage en colonnes qui est optimisé pour une récupération rapide des données. Les événements sont agrégés dans des magasins de données d’événement. Ceux-ci constituent des collections immuables d’événements basées sur des critères que vous sélectionnez en appliquant des sélecteurs d’événements avancés. Les sélecteurs que vous appliquez à un magasin de données d’événement contrôlent les événements qui persistent et que vous pouvez interroger. Pour plus d’informations sur CloudTrail Lake, consultez Utilisation de AWS CloudTrail Lake dans le Guide de l’utilisateur AWS CloudTrail. Les stockages des données d’événement et les requêtes CloudTrail Lake entraînent des coûts. Lorsque vous créez un magasin de données d’événement, vous choisissez l’option de tarification que vous voulez utiliser pour le magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Pour en savoir plus sur la tarification CloudTrail, consultez Tarification d’AWS CloudTrail
.
Vous pouvez stocker vos fichiers journaux dans votre compartiment aussi longtemps que vous le souhaitez, ou bien définir des règles de cycle de vie Amazon S3 afin de les archiver ou de les supprimer automatiquement. Par défaut, vos fichiers journaux sont chiffrés à l’aide du chiffrement côté serveur (SSE) d’Amazon S3.
Utilisation des journaux CloudTrail avec les journaux d’accès au serveur Amazon S3 et CloudWatch Logs
Les journaux AWS CloudTrail fournissent un enregistrement des actions effectuées par un utilisateur, un rôle ou un service AWS dans Amazon S3, alors que les journaux d’accès au serveur Amazon S3 fournissent des enregistrements détaillés pour les demandes adressées à un compartiment S3. Pour plus d’informations sur le fonctionnement des différents journaux ainsi que sur leurs propriétés, performances et coûts, consultez Options de journalisation pour Amazon S3.
Vous pouvez utiliser les journaux AWS CloudTrail avec les journaux d’accès au serveur pour Amazon S3. Les journaux CloudTrail vous fournissent un suivi détaillé des API pour les opérations au niveau du compartiment et de l’objet Amazon S3. Les journaux d’accès au serveur pour Amazon S3 vous donnent la visibilité nécessaire sur les opérations d’objet au niveau de vos données dans Amazon S3. Pour plus d’informations sur les journaux d’accès au serveur, consultez Enregistrement de demandes avec journalisation des accès au serveur.
Vous pouvez également utiliser les journaux de CloudTrail avec Amazon CloudWatch pour Amazon S3. L’intégration de CloudTrail à CloudWatch Logs fournit les données d’activités d’API au niveau du compartiment S3 capturées par CloudTrail à un flux de journal CloudWatch dans le groupe de journaux CloudWatch que vous spécifiez. Vous pouvez créer des alarmes CloudWatch pour superviser les activités d’API spécifiques et recevoir des notifications par e-mail lorsque ces activités d’API spécifiques surviennent. Pour plus d’informations sur les alarmes CloudWatch pour la surveillance de l’activité API spécifique, consultez le Guide de l’utilisateur AWS CloudTrail. Pour plus d’informations sur l’utilisation de CloudWatch avec Amazon S3, consultez Surveillance des métriques avec Amazon CloudWatch.
Note
S3 ne prend pas en charge la transmission des journaux CloudTrail au demandeur ou au propriétaire du compartiment pour les demandes de point de terminaison d’un VPC lorsque la politique du point de terminaison d’un VPC les refuse.
Suivi CloudTrail avec les appels d’API SOAP Amazon S3
CloudTrail suit les appels d’API SOAP Amazon S3. La prise en charge de SOAP par Amazon S3 via HTTP est obsolète, mais continue d’être disponible via HTTPS. Pour plus d’informations sur la prise en charge d’Amazon S3 SOAP, consultez Annexe : API SOAP dans la Référence d’API Amazon S3.
Important
Les nouvelles fonctions Amazon S3 ne sont pas prises en charge pour SOAP. Nous vous recommandons d’utiliser l’API REST ou les kits SDK AWS.
Le tableau suivant montre les actions SOAP Amazon S3 suivies par la journalisation CloudTrail.
| Nom d’API SOAP | Nom d’événement API utilisé dans le journal CloudTrail |
|---|---|
ListBuckets |
|
CreateBucket |
|
DeleteBucket |
|
GetBucketAcl |
|
PutBucketAcl |
|
GetBucketLogging |
|
PutBucketLogging |
Pour en savoir plus sur CloudTrail et Amazon S3, consultez les rubriques suivantes :
Rubriques
