CloudTrail concepts - AWS CloudTrail
CloudTrail événementsHistorique des événementsJournaux de suiviSentiers d'organisationCloudTrail Magasins de données sur les lacs et les événementsCloudTrail PerspectivesBalisesAWS Security Token Service et CloudTrailÉvénements de services mondiaux

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

CloudTrail concepts

Cette section résume les concepts de base liés à. CloudTrail

CloudTrail événements

Un événement dans CloudTrail est l'enregistrement d'une activité sur un AWS compte. Cette activité peut être une action entreprise par une IAM identité ou un service contrôlable par. CloudTrail CloudTrailles événements fournissent un historique des activités effectuées à la fois API par le AWS Management Console biais des outils de ligne de commande et d'autres AWS services, ainsi que des activités extérieures au API compte. AWS SDKs

CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des API appels publics, de sorte que les événements n'apparaissent pas dans un ordre spécifique.

CloudTrail enregistre quatre types d'événements :

Tous les types d'événements utilisent un format CloudTrail JSON journal.

Par défaut, les journaux de suivi et les entrepôts de données d'événement consignent les événements de gestion, mais pas les événements de données ou les événements Insights.

Pour plus d'informations sur le mode Services AWS d'intégration avec CloudTrail, consultezAWS sujets de service pour CloudTrail.

Événements de gestion

Les événements de gestion fournissent des informations sur les opérations de gestion effectuées sur les ressources de votre AWS compte. Ils sont également connus sous le nom opérations de plan de contrôle.

Les événements de gestion sont notamment les suivants :

  • Configuration de la sécurité (par exemple, AWS Identity and Access Management AttachRolePolicy API opérations).

  • Enregistrement des appareils (par exemple, EC2 CreateDefaultVpc API opérations Amazon).

  • Configuration des règles pour les données de routage (par exemple, EC2 CreateSubnet API les opérations Amazon).

  • Configuration de la journalisation (par exemple, AWS CloudTrail CreateTrail API des opérations).

Les événements de gestion peuvent également inclure API des événements non liés à votre compte. Par exemple, lorsqu'un utilisateur se connecte à votre compte, CloudTrail enregistre l'ConsoleLoginévénement. Pour de plus amples informations, veuillez consulter APIÉvénements non capturés par CloudTrail.

Par défaut, les données relatives aux événements relatifs aux CloudTrail sentiers et aux CloudTrail lacs stockent les événements de gestion des journaux. Pour plus d'informations sur la journalisation des événements de gestion, consultezJournalisation des événements de gestion.

Événements de données

Les événements de données fournissent des informations sur les opérations de ressource exécutées sur ou dans une ressource. Ils sont également connus sous le nom opérations de plans de données. Les événements de données sont souvent des activités dont le volume est élevé.

Les événements de données incluent notamment :

Le tableau suivant indique les types d'événements de données disponibles pour les journaux de suivi et les entrepôts de données d'événement. La colonne Type d’événement de données (console) indique la sélection appropriée dans la console. La colonne de valeur resources.type indique la resources.type valeur que vous devez spécifier pour inclure les événements de données de ce type dans votre magasin de données de suivi ou d'événement à l'aide du ou. AWS CLI CloudTrail APIs

Pour les traces, vous pouvez utiliser des sélecteurs d'événements de base ou avancés pour enregistrer les événements de données relatifs aux objets Amazon S3 dans des compartiments à usage général, des fonctions Lambda et des tables DynamoDB (illustrés dans les trois premières lignes du tableau). Vous ne pouvez utiliser que des sélecteurs d'événements avancés pour enregistrer les types d'événements de données indiqués dans les lignes restantes.

Pour les entrepôts de données d'événement, vous ne pouvez utiliser que des sélecteurs d'événements avancés pour inclure les événements de données.

Service AWS Description Type d’événement de données (console) valeur resources.type
Amazon DynamoDB

Activité au APIniveau des éléments Amazon DynamoDB sur les tables (par exemplePutItem,, DeleteItem et les opérations). UpdateItem API

Note

Pour les tables ayant les flux activés, le champ resources dans l’événement de données contient à la fois AWS::DynamoDB::Stream et AWS::DynamoDB::Table. Si vous spécifiez AWS::DynamoDB::Table comme resources.type, les événements de table DynamoDB et les événements de flux DynamoDB sont journalisés par défaut. Pour exclure les événements de flux, ajoutez un filtre sur le eventName champ.

 DynamoDB

AWS::DynamoDB::Table
AWS Lambda

AWS Lambda activité d'exécution de la fonction (la InvokeAPI).

 Lambda AWS::Lambda::Function
Amazon S3

APIActivité au niveau des objets Amazon S3 (par exemple, GetObjectDeleteObject, et PutObject API opérations) sur des objets dans des compartiments à usage général.

 S3 AWS::S3::Object
AWS AppConfig

AWS AppConfig APIactivité pour les opérations de configuration telles que les appels vers StartConfigurationSession etGetLatestConfiguration.

 AWS AppConfig AWS::AppConfig::Configuration
AWS Échange de données B2B

APIActivité d'échange de données B2B pour les opérations du transformateur telles que les appels vers GetTransformerJob et. StartTransformerJob

 Échange de données B2B AWS::B2BI::Transformer
Amazon Bedrock APIActivité d'Amazon Bedrock sur un alias d'agent. Alias d’agent Bedrock AWS::Bedrock::AgentAlias
Amazon Bedrock APIActivité d'Amazon Bedrock sur un alias de flux. Alias de Bedrock Flow AWS::Bedrock::FlowAlias
Amazon Bedrock APIActivité d'Amazon Bedrock sur les rambardes. Rambarde Bedrock AWS::Bedrock::Guardrail
Amazon Bedrock APIActivité d'Amazon Bedrock sur une base de connaissances. Base de connaissances Bedrock AWS::Bedrock::KnowledgeBase
Amazon Bedrock APIActivité d'Amazon Bedrock sur les modèles. Modèle Bedrock AWS::Bedrock::Model
Amazon CloudFront

CloudFront APIactivité sur un KeyValueStore.

 CloudFront KeyValueStore AWS::CloudFront::KeyValueStore
AWS Cloud Map AWS Cloud Map APIactivité sur un espace de noms. AWS Cloud Map espace de nom AWS::ServiceDiscovery::Namespace
AWS Cloud Map AWS Cloud Map APIactivité sur un service. AWS Cloud Map web AWS::ServiceDiscovery::Service
AWS CloudTrail

CloudTrail PutAuditEventsactivité sur un chenal CloudTrail lacustre utilisé pour enregistrer des événements provenant de l'extérieur AWS.

 CloudTrail canal AWS::CloudTrail::Channel
Amazon CloudWatch

CloudWatch APIActivité d'Amazon sur les statistiques.

 CloudWatch métrique AWS::CloudWatch::Metric
Amazon CloudWatch RUM

CloudWatch RUMAPIActivité d'Amazon sur les moniteurs d'applications.

 RUMmoniteur d'application AWS::RUM::AppMonitor
Amazon CodeWhisperer CodeWhisperer APIActivité d'Amazon sur une personnalisation. CodeWhisperer personnalisation AWS::CodeWhisperer::Customization
Amazon CodeWhisperer CodeWhisperer APIActivité d'Amazon sur un profil. CodeWhisperer AWS::CodeWhisperer::Profile
Amazon Cognito

APIActivité d'Amazon Cognito sur les pools d'identités Amazon Cognito.

 Réserves d’identités Cognito AWS::Cognito::IdentityPool
AWS Data Exchange

AWS Data Exchange APIactivité sur les actifs.

Actif Data Exchange

AWS::DataExchange::Asset
AWS Deadline Cloud

Deadline Cloud APIactivité sur les flottes.

Deadline Cloud flotte

AWS::Deadline::Fleet
AWS Deadline Cloud

Deadline Cloud APIactivité sur les emplois.

Deadline Cloud travail

AWS::Deadline::Job
AWS Deadline Cloud

Deadline Cloud APIactivité sur les files d'attente.

Deadline Cloud queue

AWS::Deadline::Queue
AWS Deadline Cloud

Deadline Cloud APIactivité sur les travailleurs.

Deadline Cloud travailleur

AWS::Deadline::Worker
Amazon DynamoDB

Activité d'Amazon API DynamoDB sur les flux.

 DynamoDB Streams AWS::DynamoDB::Stream
AWS Messagerie sociale destinée aux utilisateurs finaux AWS Messagerie à l'utilisateur final API Activité sociale sur le numéro de téléphoneIDs. Numéro de téléphone de messagerie sociale AWS::SocialMessaging::PhoneNumberId
Amazon Elastic Block Store

Amazon Elastic Block Store (EBS) directementAPIs, tel que PutSnapshotBlockGetSnapshotBlock, et ListChangedBlocks sur les EBS instantanés Amazon.

 Amazon EBS direct APIs AWS::EC2::Snapshot
Amazon EMR EMRAPIActivité d'Amazon sur un espace de travail de journalisation à écriture anticipée. EMRespace de travail de journalisation à écriture anticipée AWS::EMRWAL::Workspace
Amazon FinSpace

Amazon FinSpaceAPIactivité sur les environnements.

 FinSpace AWS::FinSpace::Environment
AWS Glue

AWS Glue APIactivité sur des tables créées par Lake Formation.

 Lake Formation AWS::Glue::Table
Amazon GuardDuty

GuardDuty APIActivité d'Amazon pour un détecteur.

 GuardDuty détecteur AWS::GuardDuty::Detector
AWS HealthImaging

AWS HealthImaging APIactivité sur les magasins de données.

 MedicalImaging magasin de données AWS::MedicalImaging::Datastore
AWS IoT

AWS IoT APIactivité sur les certificats.

 Certificat IoT AWS::IoT::Certificate
AWS IoT

AWS IoT APIactivité sur des objets.

 Un truc lié à l'IoT AWS::IoT::Thing
AWS IoT Greengrass Version 2

APIActivité Greengrass depuis un appareil principal de Greengrass sur une version de composant.

Note

Greengrass n'enregistre pas les cas de refus d'accès.

 Version du composant IoT Greengrass AWS::GreengrassV2::ComponentVersion
AWS IoT Greengrass Version 2

APIActivité Greengrass depuis un appareil principal de Greengrass lors d'un déploiement.

Note

Greengrass n'enregistre pas les cas de refus d'accès.

 Déploiement de Greengrass pour l'IoT AWS::GreengrassV2::Deployment
AWS IoT SiteWise

SiteWise APIActivité de l'IoT sur les actifs.

 SiteWise Actif IoT AWS::IoTSiteWise::Asset
AWS IoT SiteWise

SiteWise APIActivité de l'IoT sur des séries chronologiques.

 Séries SiteWise chronologiques sur l'IoT AWS::IoTSiteWise::TimeSeries
AWS IoT TwinMaker

TwinMaker APIActivité IoT sur une entité.

 TwinMaker Entité IoT AWS::IoTTwinMaker::Entity
AWS IoT TwinMaker

TwinMaker APIActivité IoT sur un espace de travail.

 Espace de TwinMaker travail IoT AWS::IoTTwinMaker::Workspace
Amazon Kendra Intelligent Ranking (Classement intelligent Amazon Kendra)

APIActivité de classement intelligent d'Amazon Kendra sur les plans d'exécution des rescores.

 Classement Kendra AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (pour Apache Cassandra) APIActivité d'Amazon Keyspaces sur une table. Table Cassandra AWS::Cassandra::Table
Amazon Kinesis Data Streams Activité de Kinesis Data API Streams sur les flux. Kinesis Stream AWS::Kinesis::Stream
Amazon Kinesis Data Streams Activité de Kinesis Data API Streams sur les consommateurs de streams. Consommateur Kinesis Stream AWS::Kinesis::StreamConsumer
Amazon Kinesis Video Streams Activité de Kinesis Video API Streams sur les flux vidéo, tels que les appels GetMedia vers PutMedia et. Flux vidéo Kinesis AWS::KinesisVideo::Stream
Amazon Machine Learning APIActivité de Machine Learning sur les modèles de machine learning. Apprentissage automatique MlModel AWS::MachineLearning::MlModel
Amazon Managed Blockchain

APIActivité Amazon Managed Blockchain sur un réseau.

 Réseau Managed Blockchain AWS::ManagedBlockchain::Network
Amazon Managed Blockchain

Amazon Managed Blockchain JSON : RPC fait appel à des nœuds Ethereum, tels que eth_getBalance oueth_getBlockByNumber.

 Managed Blockchain AWS::ManagedBlockchain::Node
Graphe Amazon Neptune

Les API activités liées aux données, par exemple les requêtes, les algorithmes ou la recherche vectorielle, sur un graphe Neptune.

 Graphe Neptune AWS::NeptuneGraph::Graph
Amazon One Enterprise

APIActivité d'Amazon One Enterprise sur unUKey.

 Amazon One UKey AWS::One::UKey
Amazon One Enterprise

APIActivité d'Amazon One Enterprise sur les utilisateurs.

 Utilisateur Amazon One AWS::One::User
AWS Payment Cryptography AWS Payment Cryptography APIactivité sur les alias. Alias de cryptographie de paiement AWS::PaymentCryptography::Alias
AWS Payment Cryptography AWS Payment Cryptography APIactivité sur les touches. Clé de cryptographie de paiement AWS::PaymentCryptography::Key
AWS Private CA

AWS Private CA Connecteur pour l'APIactivité Active Directory.

 AWS Private CA Connecteur pour Active Directory AWS::PCAConnectorAD::Connector
AWS Private CA

AWS Private CA Connecteur pour SCEP API activité.

 AWS Private CA Connecteur pour SCEP AWS::PCAConnectorSCEP::Connector
Applications Amazon Q

APIActivité des données sur Amazon Q Apps.

 Applications Amazon Q AWS::QApps:QApp
Amazon Q Business

APIActivité Amazon Q Business sur une application.

 Application Amazon Q Business AWS::QBusiness::Application
Amazon Q Business

APIActivité Amazon Q Business sur une source de données.

 Source de données Amazon Q Business AWS::QBusiness::DataSource
Amazon Q Business

APIActivité Amazon Q Business sur un indice.

 Indice Amazon Q Business AWS::QBusiness::Index
Amazon Q Business

APIActivité Amazon Q Business dans le cadre d'une expérience Web.

 Expérience Web Amazon Q Business AWS::QBusiness::WebExperience
Amazon RDS

RDSAPIActivité d'Amazon sur un cluster de bases de données.

 RDSDonnées API - Cluster de bases de données AWS::RDS::DBCluster
Amazon S3

APIActivité d'Amazon S3 sur les points d'accès.

 Points d’accès S3 AWS::S3::AccessPoint
Amazon S3

APIActivité au niveau des objets Amazon S3 (par exemple, GetObjectDeleteObject, et PutObject API opérations) sur des objets dans des compartiments de répertoire.

 S3 Express AWS::S3Express::Object
Amazon S3

APIActivité des points d'accès Amazon S3 Object Lambda, tels que les appels vers CompleteMultipartUpload et. GetObject

 S3 Object Lambda AWS::S3ObjectLambda::AccessPoint
Amazon S3 on Outposts

Amazon S3 on Outposts : activité au niveau des objets API.

 S3 Outposts AWS::S3Outposts::Object
Amazon SageMaker SageMaker InvokeEndpointWithResponseStreamActivité d'Amazon sur les terminaux. SageMaker point final AWS::SageMaker::Endpoint
Amazon SageMaker

SageMaker APIActivité d'Amazon sur les Feature Stores.

 SageMaker feature store AWS::SageMaker::FeatureGroup
Amazon SageMaker

SageMaker APIActivité d'Amazon sur les composants des essais expérimentaux.

 SageMaker composant d'essai expérimental sur les métriques AWS::SageMaker::ExperimentTrialComponent
Amazon SNS

SNSPublishAPIOpérations Amazon sur les points de terminaison de la plateforme.

 SNSpoint final de plateforme AWS::SNS::PlatformEndpoint
Amazon SNS

Amazon SNS Publishet PublishBatchAPIses opérations sur différents sujets.

 SNSsujet AWS::SNS::Topic
Amazon SQS

SQSAPIActivité d'Amazon sur les messages.

 SQS AWS::SQS::Queue
AWS Step Functions

APIActivité Step Functions sur une machine à états.

 Machine d’état Step Functions AWS::StepFunctions::StateMachine
AWS Supply Chain

AWS Supply Chain APIactivité sur une instance.

 Chaîne d'approvisionnement AWS::SCN::Instance
Amazon SWF

SWFAPIActivité d'Amazon sur les domaines.

 SWFdomaine AWS::SWF::Domain
AWS Systems Manager APIActivité de Systems Manager sur les canaux de contrôle. Systems Manager AWS::SSMMessages::ControlChannel
AWS Systems Manager APIActivité de Systems Manager sur les nœuds gérés. Nœud géré par Systems Manager AWS::SSM::ManagedNode
Amazon Timestream Activité d'Amazon QueryAPITimestream sur les bases de données. Base de données Timestream AWS::Timestream::Database
Amazon Timestream Activité Amazon QueryAPITimestream sur les tables. Table Timestream AWS::Timestream::Table
Amazon Verified Permissions

APIActivité d'Amazon Verified Permissions sur une boutique de polices.

 Amazon Verified Permissions AWS::VerifiedPermissions::PolicyStore
Amazon WorkSpaces Thin Client WorkSpaces APIActivité du client léger sur un appareil. Appareil client léger AWS::ThinClient::Device
Amazon WorkSpaces Thin Client WorkSpaces APIActivité du client léger dans un environnement. Client léger d’environnement AWS::ThinClient::Environment
AWS X-Ray

APIActivité des rayons X sur les traces.

 X-Ray Trace AWS::XRay::Trace

Les événements de données ne sont pas journalisés par défaut lorsque vous créez un magasin de données d’événement. Pour enregistrer CloudTrail les événements liés aux données, vous devez ajouter explicitement chaque type de ressource pour lequel vous souhaitez collecter l'activité. Pour plus d'informations sur la journalisation des événements de données, veuillez consulter Journalisation des événements de données.

Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour les CloudTrail tarifs, voir AWS CloudTrail Tarification.

Événements liés à l'activité du réseau

Note

Les événements liés à l'activité réseau sont en version préliminaire CloudTrail et sont susceptibles d'être modifiés.

CloudTrail les événements d'activité réseau permettent aux propriétaires de VPC terminaux d'enregistrer les AWS API appels passés à l'aide de leurs VPC terminaux d'un point de terminaison privé VPC vers le Service AWS. Les événements d'activité réseau offrent une visibilité sur les opérations sur les ressources effectuées au sein d'unVPC.

Vous pouvez enregistrer les événements liés à l'activité réseau pour les services suivants :

  • AWS CloudTrail

  • Amazon EC2

  • AWS KMS

  • AWS Secrets Manager

Les événements liés à l'activité réseau ne sont pas enregistrés par défaut lorsque vous créez un magasin de données de suivi ou d'événement. Pour enregistrer les événements liés à l'activité du CloudTrail réseau, vous devez définir explicitement la source d'événements pour laquelle vous souhaitez collecter l'activité. Pour de plus amples informations, veuillez consulter Enregistrement des événements liés à l'activité du réseau.

Des frais supplémentaires s'appliquent pour la journalisation des événements liés à l'activité du réseau. Pour les CloudTrail tarifs, voir AWS CloudTrail Tarification.

Événements Insights

CloudTrail Les événements Insights capturent les taux d'APIappels ou les taux d'erreur inhabituels de votre AWS compte en analysant les activités CloudTrail de gestion. Les événements Insights fournissent des informations pertinentes, telles que le code d'erreur associéAPI, l'heure de l'incident et les statistiques, qui vous aident à comprendre les activités inhabituelles et à agir en cas d'activité inhabituelle. Contrairement aux autres types d'événements enregistrés dans un magasin CloudTrail de données de suivi ou d'événements, les événements Insights sont enregistrés uniquement lorsque des modifications de l'APIutilisation de votre compte ou du taux d'erreur sont CloudTrail détectées, qui diffèrent considérablement des habitudes d'utilisation habituelles du compte.

Voici des exemples d’activité susceptibles de générer des événements Insights :

  • Votre compte n'enregistre généralement pas plus de 20 deleteBucket API appels Amazon S3 par minute, mais il commence à enregistrer en moyenne 100 deleteBucket API appels par minute. Un événement Insights est enregistré au début de l’activité inhabituelle, et un autre événement Insights est enregistré pour marquer la fin de l’activité inhabituelle.

  • Votre compte enregistre généralement 20 appels par minute vers Amazon EC2 AuthorizeSecurityGroupIngressAPI, mais il commence à n'enregistrer aucun appel versAuthorizeSecurityGroupIngress. Un événement Insights est enregistré au début de l'activité inhabituelle, et dix minutes plus tard, lorsque l'activité inhabituelle se termine, un autre événement Insights est journalisé pour marquer la fin de l'activité inhabituelle.

  • Votre compte enregistre généralement moins AccessDeniedException d'une erreur sur une période de sept jours sur le AWS Identity and Access Management API,DeleteInstanceProfile. Votre compte commence à enregistrer en moyenne 12 AccessDeniedException erreurs par minute lors de l'DeleteInstanceProfileAPIappel. Un événement Insights est journalisé au début de l'activité de taux d’erreur inhabituelle, et un autre événement Insights est journalisé pour marquer la fin de l'activité inhabituelle.

Ces exemples sont fournis à titre d’illustration seulement. Vos résultats peuvent varier en fonction de votre cas d’utilisation.

Pour enregistrer les événements CloudTrail Insights, vous devez activer explicitement les événements Insights sur un magasin de données de parcours ou d'événements nouveau ou existant. Pour plus d’informations sur la création d’un journal de suivi, consultez Création d'un parcours avec la CloudTrail console. Pour plus d'informations concernant la création d'un entrepôt de données d'événement, veuillez consulter Créez un magasin de données d'événements pour les événements Insights avec la console.

Des frais supplémentaires s'appliquent pour les événements Insights. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour plus d'informations, consultez AWS CloudTrail Pricing (Tarification CTlong).

Historique des événements

CloudTrail l'historique des événements fournit un enregistrement consultable, consultable, téléchargeable et immuable des 90 derniers jours d'événements de CloudTrail gestion dans un. Région AWS Vous pouvez utiliser cet historique pour obtenir de la visibilité sur les actions effectuées sur votre AWS compte dans AWS Management Console les AWS SDKs outils de ligne de commande et dans d'autres AWS services. Vous pouvez personnaliser l'affichage de l'historique des événements dans la CloudTrail console en sélectionnant les colonnes à afficher. Pour de plus amples informations, veuillez consulter Utilisation de l'historique des CloudTrail événements.

Journaux de suivi

Un suivi est une configuration qui permet de transmettre des CloudTrail événements à un compartiment S3, avec une livraison facultative à CloudWatch Logs et Amazon EventBridge. Vous pouvez utiliser un suivi pour choisir les CloudTrail événements que vous souhaitez diffuser, crypter vos fichiers journaux d' CloudTrail événements à l'aide d'une AWS KMS clé et configurer les SNS notifications Amazon pour la livraison des fichiers journaux. Pour plus d'informations sur la création et la gestion d'un journal de suivi, consultez Création d'un parcours pour votre Compte AWS.

Sentiers multirégionaux et monorégionaux

Vous pouvez créer des sentiers multirégionaux et monorégionaux pour votre. Compte AWS

Sentiers multirégionaux

Lorsque vous créez un journal multirégional, enregistrez CloudTrail les événements dans l'ensemble Régions AWS de la AWS partition sur laquelle vous travaillez et délivre les fichiers journaux d' CloudTrail événements dans un compartiment S3 que vous spécifiez. Si un Région AWS est ajouté après avoir créé un parcours multirégional, cette nouvelle région est automatiquement incluse et les événements de cette région sont enregistrés. La création d'un journal de suivi multi-régions est une bonne pratique recommandée, car vous pouvez journaliser l'activité dans toutes les régions dans votre compte. Tous les sentiers que vous créez à l'aide de la CloudTrail console sont multirégionaux. Vous pouvez convertir un parcours à région unique en un parcours multirégional à l'aide du. AWS CLI Pour plus d’informations, consultez Créer un journal de suivi dans la console et Convertir un journal de suivi qui s'applique à une région de sorte qu'il s'applique à toutes les régions.

Sentiers d'une seule région

Lorsque vous créez un parcours d'une seule région, CloudTrail enregistre les événements de cette région uniquement. Il fournit ensuite les fichiers journaux d' CloudTrail événements à un compartiment Amazon S3 que vous spécifiez. Vous ne pouvez créer un journal de suivi à région unique qu'à l'aide de l' AWS CLI. Si vous créez des pistes uniques supplémentaires, vous pouvez faire en sorte que ces pistes fournissent des fichiers journaux d' CloudTrail événements dans le même compartiment S3 ou dans des compartiments séparés. Il s'agit de l'option par défaut lorsque vous créez un parcours à l'aide du AWS CLI ou du CloudTrail API. Pour de plus amples informations, veuillez consulter Création, mise à jour et gestion de sentiers à l'aide du AWS CLI.

Note

Pour les deux types de journaux de suivi, vous pouvez spécifier un compartiment Amazon S3 de n'importe quelle région.

Un sentier multirégional présente les avantages suivants :

  • Les paramètres de configuration du sentier s'appliquent de manière cohérente à tous Régions AWS.

  • Vous recevez les CloudTrail événements de tous Régions AWS dans un seul compartiment Amazon S3 et, éventuellement, dans un groupe de CloudWatch journaux Logs.

  • Vous gérez la configuration des sentiers pour tous Régions AWS à partir d'un seul endroit.

Lorsque vous appliquez une piste à toutes les AWS régions, CloudTrail utilisez la piste que vous créez dans une région particulière pour créer des pistes avec des configurations identiques dans toutes les autres régions de la AWS partition dans laquelle vous travaillez.

Cela a les effets suivants :

  • CloudTrail fournit des fichiers journaux pour l'activité du compte de toutes les AWS régions au compartiment Amazon S3 unique que vous spécifiez et, éventuellement, à un groupe de CloudWatch journaux de journaux.

  • Si vous avez configuré une SNS rubrique Amazon pour le parcours, SNS les notifications concernant les livraisons de fichiers journaux dans toutes les AWS régions sont envoyées à cette SNS rubrique unique.

Qu'il s'agisse d'un parcours multirégional ou mono-régional, les événements envoyés à Amazon EventBridge sont reçus dans le bus d'événements de chaque région, plutôt que dans un seul bus d'événements.

Plusieurs journaux de suivi par région

Si vous avez des groupes d'utilisateurs différents mais associés, comme des développeurs, du personnel de sécurité et des auditeurs informatiques, vous pouvez créer plusieurs journaux de suivi par région. Cela permet à chaque groupe de recevoir son propre exemplaire des fichiers journaux.

CloudTrail prend en charge cinq sentiers par région. Un sentier multirégional compte pour un sentier par région.

Voici un exemple de région comportant cinq sentiers :

  • Vous créez deux journaux de suivi dans la région USA Ouest (Californie du Nord) qui s'appliquent uniquement à cette région.

  • Vous créez deux autres sentiers multirégionaux dans la région de l'ouest des États-Unis (Californie du Nord).

  • Vous créez un autre parcours multirégional dans la région Asie-Pacifique (Sydney). Ce journal de suivi existe aussi comme journal de suivi dans la région USA Ouest (Californie du Nord).

Vous pouvez consulter la liste des sentiers Région AWS dans une page des sentiers de la CloudTrail console. Pour de plus amples informations, veuillez consulter Mettre à jour un parcours avec la CloudTrail console. Pour les CloudTrail tarifs, voir AWS CloudTrail Tarification.

Sentiers d'organisation

Un suivi d'organisation est une configuration qui permet de transférer les CloudTrail événements du compte de gestion et de tous les comptes membres d'une AWS Organizations organisation vers le même compartiment Amazon S3, CloudWatch les mêmes journaux et Amazon EventBridge. La création d’un journal de suivi d’organisation vous permet de définir une stratégie de journalisation des événements uniforme pour votre organisation.

Tous les parcours d'organisation créés à l'aide de la console sont des journaux d'organisation multirégionaux qui enregistrent les événements associés aux comptes activés Régions AWS dans chaque compte membre de l'organisation. Pour enregistrer les événements dans toutes les AWS partitions de votre organisation, créez un journal d'organisation multirégional dans chaque partition. Vous pouvez créer un journal d'organisation à région unique ou multirégionale à l'aide du. AWS CLI Si vous créez un sentier à région unique, vous enregistrez l'activité uniquement dans le sentier Région AWS (également appelé région d'origine).

Bien que la plupart Régions AWS soient activées par défaut pour vous Compte AWS, vous devez activer manuellement certaines régions (également appelées régions optionnelles). Pour plus d'informations sur les régions activées par défaut, consultez la section Considérations relatives à l'activation et à la désactivation des régions dans le Guide de AWS Account Management référence. Pour la liste des régions prises CloudTrail en charge, voirCloudTrail Régions prises en charge.

Lorsque vous créez un historique d'organisation, une copie du journal portant le nom que vous lui donnez est créée dans les comptes des membres appartenant à votre organisation.

  • Si le parcours de l'organisation concerne une seule région et que la région d'origine du sentier n'est pas une région OPT, une copie du parcours est créée dans la région d'origine du parcours de l'organisation dans chaque compte membre.

  • Si le parcours de l'organisation concerne une seule région et que la région d'origine du sentier est une région OPT, une copie du parcours est créée dans la région d'origine du parcours de l'organisation sur les comptes des membres qui ont activé cette région.

  • Si le parcours de l'organisation est multirégional et que la région d'origine du sentier n'est pas une région optionnelle, une copie du parcours est créée dans chaque région activée Région AWS dans chaque compte membre. Lorsqu'un compte membre active une région optionnelle, une copie du parcours multirégional est créée dans la région nouvellement inscrite pour le compte du membre une fois l'activation de cette région terminée.

  • Si le parcours de l'organisation est multirégional et que la région d'origine est une région optionnelle, les comptes membres n'enverront aucune activité au parcours de l'organisation à moins qu'ils n'aient choisi celui Région AWS où le parcours multirégional a été créé. Par exemple, si vous créez un parcours multirégional et que vous choisissez la région Europe (Espagne) comme région d'origine du parcours, seuls les comptes membres ayant activé la région Europe (Espagne) pour leur compte enverront l'activité de leur compte au parcours de l'organisation.

Note

CloudTrail crée des traces d'organisation dans les comptes des membres même en cas d'échec de la validation des ressources. Voici des exemples d'échecs de validation :

  • une politique de compartiment Amazon S3 incorrecte

  • une politique SNS thématique Amazon incorrecte

  • impossibilité de livrer à un groupe de CloudWatch journaux Logs

  • autorisation insuffisante pour chiffrer à l'aide d'une clé KMS

Un compte membre disposant d' CloudTrail autorisations peut voir les échecs de validation d'un parcours d'organisation en consultant la page de détails du parcours sur la CloudTrail console ou en exécutant le AWS CLI get-trail-statuscommande.

Les utilisateurs CloudTrail autorisés à accéder aux comptes membres pourront consulter le parcours de l'organisation (y compris le parcoursARN) lorsqu'ils se connectent à la AWS CloudTrail console depuis leur AWS compte ou lorsqu'ils exécutent des AWS CLI commandes telles que describe-trails (bien que les comptes membres doivent utiliser le ARN journal de l'organisation, et non le nom, lorsqu'ils utilisent le AWS CLI). Toutefois, les utilisateurs des comptes membres ne disposeront pas des autorisations suffisantes pour supprimer les traces de l'organisation, activer ou désactiver la connexion, modifier les types d'événements enregistrés ou modifier de quelque manière que ce soit les traces de l'organisation. Pour plus d’informations sur AWS Organizations, consultez Terminologie et concepts Organizations. Pour plus d'informations sur la création et l'utilisation de journaux de suivi de l'organisation, consultez Création d'un journal de suivi pour une organisation.

CloudTrail Magasins de données sur les lacs et les événements

CloudTrail Lake vous permet d'exécuter des requêtes SQL précises sur vos événements et de consigner les événements provenant de sources extérieures AWS, notamment de vos propres applications et de partenaires intégrés. CloudTrail Il n'est pas nécessaire de configurer un sentier dans votre compte pour utiliser CloudTrail Lake.

Les événements sont agrégés dans des magasins de données d’événement, qui sont des ensembles inaltérables d’événements basés sur des critères que vous sélectionnez en appliquant les sélecteurs d’événements avancés. Vous pouvez conserver les données d’événement dans une banque de données d’événement jusqu’à 3 653 jours (environ 10 ans) si vous choisissez l’option de tarification de rétention extensible d’un an, ou jusqu’à 2 557 jours (environ 7 ans) si vous choisissez l’option de tarification de rétention de sept ans. Vous pouvez enregistrer les requêtes Lake pour une utilisation ultérieure et afficher les résultats des requêtes pendant sept jours au maximum. Vous pouvez également enregistrer les résultats des requêtes dans un compartiment S3. CloudTrail Lake peut également stocker les événements d'une organisation AWS Organizations dans un magasin de données d'événements, ou les événements provenant de plusieurs régions et comptes. CloudTrail Lake fait partie d'une solution d'audit qui vous aide à effectuer des enquêtes de sécurité et à résoudre des problèmes. Pour plus d’informations, consultez Travailler avec AWS CloudTrail Lake et CloudTrail Concepts et terminologie relatifs aux lacs.

CloudTrail Perspectives

CloudTrail Les informations aident AWS les utilisateurs à identifier et à répondre aux volumes inhabituels d'APIappels ou aux erreurs enregistrées lors des API appels en analysant en permanence les événements CloudTrail de gestion. Un événement Insights est un enregistrement de niveaux inhabituels d'APIactivité de write gestion ou de niveaux inhabituels d'erreurs renvoyés lors de API l'activité de gestion. Par défaut, les magasins de données de parcours et d'événements n'enregistrent pas les événements CloudTrail Insights. Dans la console, vous pouvez choisir de journaliser les événements Insights lorsque vous créez ou mettez à jour un journal de suivi ou un entrepôt de données d'événement. Lorsque vous utilisez le CloudTrail API, vous pouvez enregistrer les événements Insights en modifiant les paramètres d'un magasin de données de parcours ou d'événements existant avec le PutInsightSelectorsAPI. Des frais supplémentaires s'appliquent pour la journalisation CloudTrail des événements Insights. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour plus d'informations, veuillez consulter les sections Journalisation des événements Insights et Tarification d'AWS CloudTrail.

Balises

Une balise est une clé définie par le client et une valeur facultative qui peuvent être attribuées à AWS des ressources, telles que les CloudTrail parcours, les magasins de données d'événements et les canaux, les compartiments S3 utilisés pour stocker les fichiers CloudTrail journaux, les AWS Organizations organisations et les unités organisationnelles, etc. En ajoutant les mêmes balises aux sentiers et aux compartiments S3 que vous utilisez pour stocker les fichiers journaux des sentiers, vous pouvez faciliter la gestion, la recherche et le filtrage de ces ressources. AWS Resource Groups Vous pouvez mettre en œuvre des stratégies d'étiquette pour vous aider à trouver et gérer vos ressources uniformément, efficacement et facilement. Pour plus d'informations, consultez la section Meilleures pratiques en matière de balisage AWS des ressources.

AWS Security Token Service et CloudTrail

AWS Security Token Service (AWS STS) est un service doté d'un point de terminaison global et prenant également en charge les points de terminaison spécifiques à une région. Un point de terminaison URL est un point d'entrée pour les demandes de service Web. Par exemple, https://cloudtrail.us-west-2.amazonaws.com est le point d'entrée régional du AWS CloudTrail service dans l'ouest des États-Unis (Oregon). Les points de terminaison régionaux aident à réduire la latence dans vos applications.

Lorsque vous utilisez un point de AWS STS terminaison spécifique à une région, le parcours de cette région fournit uniquement les AWS STS événements qui se produisent dans cette région. Par exemple, si vous utilisez le point de terminaison sts.us-west-2.amazonaws.com, le journal de suivi de la région us-west-2 fournit uniquement les événements AWS STS provenant de la région us-west-2. Pour plus d'informations sur les points de terminaison AWS STS régionaux, consultez la section Activation et désactivation AWS STS dans une AWS région dans le guide de l'IAMutilisateur.

Pour une liste complète des points de terminaison AWS régionaux, voir AWS Régions et points de terminaison dans le. Références générales AWS Pour plus de détails sur les événements de points de terminaison AWS STS mondiaux, consultez Événements de services mondiaux.

Événements de services mondiaux

Important

Depuis le 22 novembre 2021, la façon dont les sentiers capturent les événements liés au service mondial AWS CloudTrail a changé. Désormais, les événements créés par Amazon CloudFront AWS STS sont enregistrés dans la région dans laquelle ils ont été créés, la région USA Est (Virginie du Nord), us-east-1. AWS Identity and Access Management Cela rend le CloudTrail traitement de ces services cohérent avec celui des autres services AWS mondiaux. Pour continuer à recevoir les événements de service global en dehors des USA Est (Virginie du Nord), veillez à convertir les journaux de suivi à région unique utilisant des événements de services mondiaux en dehors des USA Est (Virginie du Nord) en journaux de suivi multi-régions. Pour plus d’informations sur la capture des événements de services mondiaux, consultez Activation et désactivation de la journalisation des événements de services mondiaux plus loin dans cette section.

En revanche, l'historique des événements de la CloudTrail console et la aws cloudtrail lookup-events commande afficheront ces événements Région AWS là où ils se sont produits.

Pour la plupart des services, les événements sont enregistrés dans la région où l’action s’est produite. Pour les services internationaux tels que AWS Identity and Access Management (IAM) et Amazon AWS STS CloudFront, les événements sont organisés sur n'importe quel parcours incluant des services mondiaux.

Pour la plupart des services mondiaux, les événements sont journalisés comme s'ils se produisaient dans la région USA Est (Virginie du Nord), mais certains événements de service mondiaux sont journalisés comme s'ils se produisaient dans d'autres régions, comme la région USA Est (Ohio) ou la région USA Ouest (Oregon).

Pour éviter de recevoir des doublons d'événements de services globaux, n'oubliez pas les points suivants :

  • Les événements de service globaux sont transmis par défaut aux pistes créées à l'aide de la CloudTrail console. Les événements sont livrés au compartiment pour le journal de suivi.

  • Si vous avez plusieurs journaux de suivi sur une seule région, pensez à configurer vos journaux de suivi de manière à ce que les événements de services mondiaux soient diffusés dans un seul des journaux de suivi. Pour plus d'informations, consultez Activation et désactivation de la journalisation des événements de services mondiaux.

  • Si vous modifiez la configuration d'un journal de suivi afin qu'il s'applique à une région unique au lieu de s'appliquer à toutes les régions, la journalisation des événements de services mondiaux est désactivée automatiquement pour ce journal de suivi. De la même manière, si vous modifiez la configuration d'un journal de suivi afin qu'il s'applique à toutes les régions au lieu de s'appliquer à une région unique, la journalisation des événements de services mondiaux est activée automatiquement pour ce journal de suivi.

    Pour plus d'informations sur la modification de la journalisation des événements de services mondiaux pour un journal de suivi, consultez Activation et désactivation de la journalisation des événements de services mondiaux.

Exemple :

  1. Vous créez un parcours dans la CloudTrail console. Par défaut, ce journal de suivi consigne les événements de services mondiaux.

  2. Vous avez plusieurs journaux de suivi à région unique.

  3. Vous n'avez pas besoin d'inclure les services globaux pour les suivis à une région unique. Les événements de services mondiaux sont fournis pour le premier journal de suivi. Pour de plus amples informations, veuillez consulter Création, mise à jour et gestion de sentiers à l'aide du AWS CLI.

Note

Lorsque vous créez ou mettez à jour un parcours avec le AWS CLI, ou AWS SDKs CloudTrail API, vous pouvez spécifier s'il convient d'inclure ou d'exclure les événements de service globaux pour les sentiers. Vous ne pouvez pas configurer la journalisation globale des événements de service depuis la CloudTrail console.