Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
CloudTrail concepts
Cette section résume les concepts de base liés à. CloudTrail
Concepts :
CloudTrail événements
Un événement dans CloudTrail est l'enregistrement d'une activité sur un AWS compte. Cette activité peut être une action entreprise par une identité IAM ou un service contrôlable par. CloudTrail CloudTrailles événements fournissent un historique de l'activité des comptes API et non-API effectuée via les AWS SDK AWS Management Console, les outils de ligne de commande et d'autres AWS services.
CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des appels d'API publics. Les événements n'apparaissent donc pas dans un ordre spécifique.
CloudTrail enregistre trois types d'événements :
Tous les types d'événements utilisent un format de journal CloudTrail JSON.
Par défaut, les journaux de suivi et les entrepôts de données d'événement consignent les événements de gestion, mais pas les événements de données ou les événements Insights.
Pour plus d'informations sur le mode Services AWS d'intégration avec CloudTrail, consultezAWS sujets de service pour CloudTrail.
Événements de gestion
Les événements de gestion fournissent des informations sur les opérations de gestion effectuées sur les ressources de votre AWS compte. Ils sont également connus sous le nom opérations de plan de contrôle.
Les événements de gestion sont notamment les suivants :
-
Configuration de la sécurité (par exemple, les opérations d' AWS Identity and Access Management
AttachRolePolicyAPI). -
Enregistrement des appareils (par exemple, les opérations d'API
CreateDefaultVpcAmazon EC2). -
Configuration des règles de routage des données (par exemple, les opérations d'API
CreateSubnetAmazon EC2). -
Configuration de la journalisation (par exemple, les opérations d' AWS CloudTrail
CreateTrailAPI).
Les événements de gestion peuvent aussi inclure les événements non API qui se produisent dans votre compte. Par exemple, lorsqu'un utilisateur se connecte à votre compte, CloudTrail enregistre l'ConsoleLoginévénement. Pour plus d’informations, consultez Événements non liés à l'API capturés par CloudTrail.
Par défaut, les données relatives aux événements relatifs aux CloudTrail sentiers et aux CloudTrail lacs stockent les événements de gestion des journaux. Pour plus d'informations sur la journalisation des événements de gestion, consultezJournalisation des événements de gestion.
Événements de données
Les événements de données fournissent des informations sur les opérations de ressource exécutées sur ou dans une ressource. Ils sont également connus sous le nom opérations de plans de données. Les événements de données sont souvent des activités dont le volume est élevé.
Les événements de données incluent notamment :
-
Activité de l'API au niveau des objets Amazon S3 (par exemple,
GetObjectDeleteObject, et opérations d'PutObjectAPI) sur des objets dans des compartiments S3. -
AWS Lambda activité d'exécution de fonctions (l'
InvokeAPI). -
CloudTrail
PutAuditEventsactivité sur un chenal CloudTrail lacustre utilisé pour enregistrer des événements provenant de l'extérieur AWS. -
Opérations d'API
PublishetPublishBatchd'Amazon SNS sur des rubriques.
Le tableau suivant indique les types d'événements de données disponibles pour les journaux de suivi et les entrepôts de données d'événement. La colonne Type d’événement de données (console) indique la sélection appropriée dans la console. La colonne de valeur resources.type indique la resources.type valeur que vous devez spécifier pour inclure les événements de données de ce type dans votre magasin de données de suivi ou d'événement à l' AWS CLI aide des API or. CloudTrail
Pour les traces, vous pouvez utiliser des sélecteurs d'événements de base ou avancés pour enregistrer les événements de données relatifs aux objets Amazon S3 dans des compartiments à usage général, des fonctions Lambda et des tables DynamoDB (illustrés dans les trois premières lignes du tableau). Vous ne pouvez utiliser que des sélecteurs d'événements avancés pour enregistrer les types d'événements de données indiqués dans les lignes restantes.
Pour les entrepôts de données d'événement, vous ne pouvez utiliser que des sélecteurs d'événements avancés pour inclure les événements de données.
| Service AWS | Description | Type d’événement de données (console) | valeur resources.type |
|---|---|---|---|
| Amazon DynamoDB | Activité de l'API au niveau des éléments Amazon DynamoDB sur les tables (par exemple NotePour les tables ayant les flux activés, le champ |
DynamoDB |
|
| AWS Lambda | AWS Lambda activité d'exécution de fonctions (l' |
Lambda | AWS::Lambda::Function |
| Amazon S3 | Activité d'API au niveau des objets Amazon S3 (par exemple, |
S3 | AWS::S3::Object |
| AWS AppConfig | AWS AppConfig Activité de l'API pour les opérations de configuration telles que les appels vers |
AWS AppConfig | AWS::AppConfig::Configuration |
| AWS Échange de données B2B | Activité de l’API d’échange de données B2B pour les opérations du transformateur telles que les appels vers |
Échange de données B2B | AWS::B2BI::Transformer |
| Amazon Bedrock | Activité de l’API Amazon Bedrock sur un alias d’agent. | Alias d’agent Bedrock | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | Activité de l’API Amazon Bedrock sur une base de connaissances. | Base de connaissances Bedrock | AWS::Bedrock::KnowledgeBase |
| Amazon CloudFront | CloudFront Activité de l'API sur un KeyValueStore. |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| AWS Cloud Map | AWS Cloud Map Activité de l'API sur un espace de noms. | AWS Cloud Map espace de nom | |
| AWS Cloud Map | AWS Cloud Map Activité de l'API sur un service. | AWS Cloud Map web | |
| AWS CloudTrail | CloudTrail |
CloudTrail canal | AWS::CloudTrail::Channel |
| Amazon CloudWatch | Activité de CloudWatch l'API Amazon sur les métriques. |
CloudWatch métrique | AWS::CloudWatch::Metric |
| Amazon CodeWhisperer | Activité de CodeWhisperer l'API Amazon sur une personnalisation. | CodeWhisperer personnalisation | AWS::CodeWhisperer::Customization |
| Amazon CodeWhisperer | Activité de CodeWhisperer l'API Amazon sur un profil. | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | Activité de l'API Amazon Cognito sur les réserves d'identités Amazon Cognito. |
Réserves d’identités Cognito | AWS::Cognito::IdentityPool |
| Amazon DynamoDB | Activité de l'API Amazon DynamoDB sur les flux. |
DynamoDB Streams | AWS::DynamoDB::Stream |
| Amazon Elastic Block Store | API directes Amazon Elastic Block Store (EBS) telles que |
API directes Amazon EBS | AWS::EC2::Snapshot |
| Amazon EMR | Activité de l’API Amazon EMR sur un espace de travail de journalisation à écriture anticipée. | Espace de travail de journalisation à écriture anticipée EMR | AWS::EMRWAL::Workspace |
| Amazon FinSpace | Activité de l'API Amazon FinSpace sur les environnements. |
FinSpace | AWS::FinSpace::Environment |
| AWS Glue | AWS Glue Activité de l'API sur les tables créées par Lake Formation. |
Lake Formation | AWS::Glue::Table |
| Amazon GuardDuty | Activité de GuardDuty l'API Amazon pour un détecteur. |
GuardDuty détecteur | AWS::GuardDuty::Detector |
| AWS HealthImaging | AWS HealthImaging Activité de l'API sur les magasins de données. |
MedicalImaging magasin de données | AWS::MedicalImaging::Datastore |
| AWS IoT | Certificat IoT | AWS::IoT::Certificate |
|
| AWS IoT | Un truc lié à l'IoT | AWS::IoT::Thing |
|
| AWS IoT Greengrass Version 2 | Activité de l'API Greengrass depuis un appareil principal de Greengrass sur une version de composant. NoteGreengrass n'enregistre pas les cas de refus d'accès. |
Version du composant IoT Greengrass | AWS::GreengrassV2::ComponentVersion |
| AWS IoT Greengrass Version 2 | Activité de l'API Greengrass depuis un appareil principal de Greengrass lors d'un déploiement. NoteGreengrass n'enregistre pas les cas de refus d'accès. |
Déploiement de Greengrass pour l'IoT | AWS::GreengrassV2::Deployment |
| AWS IoT SiteWise | SiteWise Actif IoT | AWS::IoTSiteWise::Asset |
|
| AWS IoT SiteWise | Activité de SiteWise l'API IoT sur les séries chronologiques. |
Séries SiteWise chronologiques sur l'IoT | AWS::IoTSiteWise::TimeSeries |
| AWS IoT TwinMaker | Activité de TwinMaker l'API IoT sur une entité. |
TwinMaker Entité IoT | AWS::IoTTwinMaker::Entity |
| AWS IoT TwinMaker | Activité de TwinMaker l'API IoT sur un espace de travail. |
Espace de TwinMaker travail IoT | AWS::IoTTwinMaker::Workspace |
| Amazon Kendra Intelligent Ranking (Classement intelligent Amazon Kendra) | Activité de l'API de classement intelligent Amazon Kendra sur les plans d'exécution de réévaluation. |
Classement Kendra | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces (pour Apache Cassandra) | Activité de l'API Amazon Keyspaces sur une table. | Table Cassandra | AWS::Cassandra::Table |
| Amazon Kinesis Data Streams | Activité de l'API Kinesis Data Streams sur les flux. | Kinesis Stream | AWS::Kinesis::Stream |
| Amazon Kinesis Data Streams | Activité de l'API Kinesis Data Streams sur les utilisateurs des streams. | Consommateur de Kinesis Stream | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | Activité de l'API Kinesis Video Streams sur les flux vidéo, tels que les appels GetMedia vers PutMedia et. |
Flux vidéo Kinesis | AWS::KinesisVideo::Stream |
| Amazon Machine Learning | Activité de l'API Machine Learning sur les modèles ML. | Apprentissage automatique MlModel | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | Activité de l'API Amazon Managed Blockchain sur un réseau. |
Réseau Managed Blockchain | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain | Appels Amazon Managed Blockchain JSON-RPC sur les nœuds Ethereum, tels que |
Managed Blockchain | AWS::ManagedBlockchain::Node |
| Graphe Amazon Neptune | Les activités de l’API de données, par exemple les requêtes, les algorithmes ou la recherche vectorielle, sur un graphe Neptune. |
Graphe Neptune | AWS::NeptuneGraph::Graph |
| AWS Private CA | AWS Private CA Connecteur pour l'activité de l'API Active Directory. |
AWS Private CA Connecteur pour Active Directory | AWS::PCAConnectorAD::Connector |
| AWS Private CA | AWS Private CA Connecteur pour l'activité de l'API SCEP. |
AWS Private CA Connecteur pour SCEP | AWS::PCAConnectorSCEP::Connector |
| Applications Amazon Q | Activité de l'API de données sur Amazon Q Apps. |
Applications Amazon Q | AWS::QApps:QApp |
| Amazon Q Business | Activité de l’API Amazon Q Business sur une application. |
Application Amazon Q Business | AWS::QBusiness::Application |
| Amazon Q Business | Activité de l’API Amazon Q Business sur une source de données. |
Source de données Amazon Q Business | AWS::QBusiness::DataSource |
| Amazon Q Business | Activité de l’API Amazon Q Business sur un index. |
Indice Amazon Q Business | AWS::QBusiness::Index |
| Amazon Q Business | Activité de l’API Amazon Q Business dans le cadre d’une expérience Web. |
Expérience Web Amazon Q Business | AWS::QBusiness::WebExperience |
| Amazon RDS | Activité de l'API Amazon RDS sur un cluster de base de données. |
API de données RDS - Cluster de bases de données | AWS::RDS::DBCluster |
| Amazon S3 | Activité de l'API Amazon S3 sur les points d'accès. |
Points d’accès S3 | AWS::S3::AccessPoint |
| Amazon S3 | Activité de l'API des points d'accès Amazon S3 Object Lambda, comme les appels vers |
S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
| Amazon S3 on Outposts | Activité de l'API au niveau de l'objet Amazon S3 on Outposts. |
S3 Outposts | AWS::S3Outposts::Object |
| Amazon SageMaker | SageMaker InvokeEndpointWithResponseStreamActivité d'Amazon sur les terminaux. |
SageMaker point final | AWS::SageMaker::Endpoint |
| Amazon SageMaker | Activité de SageMaker l'API Amazon sur les magasins de fonctionnalités. |
SageMaker feature store | AWS::SageMaker::FeatureGroup |
| Amazon SageMaker | Activité de SageMaker l'API Amazon sur les composants des essais expérimentaux. |
SageMaker composant d'essai expérimental sur les métriques | AWS::SageMaker::ExperimentTrialComponent |
| Amazon SNS | Opérations d'API |
Point de terminaison de la plateforme SNS | AWS::SNS::PlatformEndpoint |
| Amazon SNS | Opérations d'API |
Rubrique SNS | AWS::SNS::Topic |
| Amazon SQS | Activité de l’API Amazon SQS sur les messages. |
SQS | AWS::SQS::Queue |
| AWS Step Functions | Activité de l'API Step Functions sur une machine à états. |
Machine d’état Step Functions | AWS::StepFunctions::StateMachine |
| AWS Supply Chain | AWS Supply Chain Activité de l'API sur une instance. |
Chaîne d'approvisionnement | AWS::SCN::Instance |
| Amazon SWF | Domaine SWF | AWS::SWF::Domain |
|
| AWS Systems Manager | Activité de l'API Systems Manager sur les canaux de contrôle. | Systems Manager | AWS::SSMMessages::ControlChannel |
| AWS Systems Manager | Activité de l'API Systems Manager sur les nœuds gérés. | Nœud géré par Systems Manager | AWS::SSM::ManagedNode |
| Amazon Timestream | Activité de l'API Query d'Amazon Timestream sur des bases de données. |
Base de données Timestream | AWS::Timestream::Database |
| Amazon Timestream | Activité de l'API Query d'Amazon Timestream sur des tables. |
Table Timestream | AWS::Timestream::Table |
| Amazon Verified Permissions | Activité de l'API Amazon Verified Permissions sur un magasin de politiques. |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Amazon WorkSpaces Thin Client | WorkSpaces Activité de l'API Thin Client sur un appareil. | Appareil client léger | AWS::ThinClient::Device |
| Amazon WorkSpaces Thin Client | WorkSpaces Activité de l'API Thin Client dans un environnement. | Client léger d’environnement | AWS::ThinClient::Environment |
| AWS X-Ray | X-Ray Trace | AWS::XRay::Trace |
Les événements de données ne sont pas journalisés par défaut lorsque vous créez un magasin de données d’événement. Pour enregistrer CloudTrail les événements liés aux données, vous devez ajouter explicitement les ressources prises en charge ou les types de ressources pour lesquels vous souhaitez collecter des activités. Pour plus d'informations sur la journalisation des événements de données, veuillez consulter Journalisation des événements de données.
Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour les CloudTrail tarifs, voir AWS CloudTrail Tarification
Événements Insights
CloudTrail Les événements Insights capturent le taux d'appels d'API ou les taux d'erreur inhabituels de votre AWS compte en analysant les activités CloudTrail de gestion. Les événements Insights fournissent des informations pertinentes, telles que l’API associée, le code d’erreur, l’heure de l’incident et les statistiques, ce qui vous aide à comprendre et à agir par rapport à l’activité inhabituelle. Contrairement aux autres types d'événements enregistrés dans un CloudTrail magasin de données de suivi ou d'événements, les événements Insights sont enregistrés uniquement lorsque des modifications sont CloudTrail détectées dans l'utilisation de l'API de votre compte ou dans la journalisation du taux d'erreur qui diffèrent considérablement des modèles d'utilisation habituels du compte.
Voici des exemples d’activité susceptibles de générer des événements Insights :
-
Votre compte ne consigne généralement pas plus de 20 appels d'API
deleteBucketAmazon S3 par minute, mais commence à consigner une moyenne de 100 appels d'APIdeleteBucketpar minute. Un événement Insights est enregistré au début de l’activité inhabituelle, et un autre événement Insights est enregistré pour marquer la fin de l’activité inhabituelle. -
Votre compte enregistre généralement 20 appels par minute à l'API
AuthorizeSecurityGroupIngressAmazon EC2, mais commence à ne consigner aucun appel àAuthorizeSecurityGroupIngress. Un événement Insights est enregistré au début de l'activité inhabituelle, et dix minutes plus tard, lorsque l'activité inhabituelle se termine, un autre événement Insights est journalisé pour marquer la fin de l'activité inhabituelle. -
En règle générale, votre compte se connecte à moins d'une erreur
AccessDeniedExceptionsur une période de sept jours sur AWS Identity and Access Management l’API,DeleteInstanceProfile. Votre compte commence à journaliser en moyenne 12 erreursAccessDeniedExceptionpar minute surDeleteInstanceProfilel’appel API. Un événement Insights est journalisé au début de l'activité de taux d’erreur inhabituelle, et un autre événement Insights est journalisé pour marquer la fin de l'activité inhabituelle.
Ces exemples sont fournis à titre d’illustration seulement. Vos résultats peuvent varier en fonction de votre cas d’utilisation.
Pour enregistrer les événements CloudTrail Insights, vous devez activer explicitement les événements Insights sur un magasin de données de parcours ou d'événements nouveau ou existant. Pour plus d’informations sur la création d’un journal de suivi, consultez Création d'un parcours à l'aide de la CloudTrail console. Pour plus d'informations concernant la création d'un entrepôt de données d'événement, veuillez consulter Créez un magasin de données d'événements pour les événements Insights à l'aide de la console.
Des frais supplémentaires s'appliquent pour les événements Insights. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour plus d’informations, consultez Tarification d’AWS CloudTrail
Historique des événements
CloudTrail l'historique des événements fournit un enregistrement consultable, consultable, téléchargeable et immuable des 90 derniers jours d'événements de CloudTrail gestion dans un. Région AWS Vous pouvez utiliser cet historique pour obtenir de la visibilité sur les actions effectuées dans votre AWS compte dans les AWS SDK AWS Management Console, les outils de ligne de commande et d'autres AWS services. Vous pouvez personnaliser l'affichage de l'historique des événements dans la CloudTrail console en sélectionnant les colonnes à afficher. Pour plus d’informations, consultez Utilisation de l'historique des CloudTrail événements.
Journaux de suivi
Un suivi est une configuration qui permet de transmettre des CloudTrail événements à un compartiment S3, avec une livraison facultative à CloudWatch Logs et Amazon EventBridge. Vous pouvez utiliser un suivi pour choisir les CloudTrail événements que vous souhaitez diffuser, chiffrer vos fichiers journaux d' CloudTrail événements à l'aide d'une AWS KMS clé et configurer les notifications Amazon SNS pour la livraison des fichiers journaux. Pour plus d'informations sur la création et la gestion d'un journal de suivi, consultez Création d'un parcours pour votre Compte AWS.
Sentiers multirégionaux et monorégionaux
Vous pouvez créer deux types de sentiers pour un Compte AWS : les sentiers multirégionaux et les sentiers monorégionaux.
- Sentiers multirégionaux
-
Lorsque vous créez un journal multirégional, enregistrez CloudTrail les événements dans l'ensemble Régions AWS de la AWS partition sur laquelle vous travaillez et délivre les fichiers journaux d' CloudTrail événements dans un compartiment S3 que vous spécifiez. Si un Région AWS est ajouté après avoir créé un parcours multirégional, cette nouvelle région est automatiquement incluse et les événements de cette région sont enregistrés. La création d'un journal de suivi multi-régions est une bonne pratique recommandée, car vous pouvez journaliser l'activité dans toutes les régions dans votre compte. Tous les sentiers que vous créez à l'aide de la CloudTrail console sont multirégionaux. Vous pouvez convertir un parcours à région unique en un parcours multirégional à l'aide du. AWS CLI Pour plus d’informations, consultez Créer un journal de suivi dans la console et Convertir un journal de suivi qui s'applique à une région de sorte qu'il s'applique à toutes les régions.
- Sentiers d'une seule région
-
Lorsque vous créez un parcours d'une seule région, CloudTrail enregistre les événements de cette région uniquement. Il fournit ensuite les fichiers journaux d' CloudTrail événements à un compartiment Amazon S3 que vous spécifiez. Vous ne pouvez créer un journal de suivi à région unique qu'à l'aide de l' AWS CLI. Si vous créez des pistes uniques supplémentaires, vous pouvez faire en sorte que ces pistes fournissent des fichiers journaux d' CloudTrail événements dans le même compartiment S3 ou dans des compartiments séparés. Il s'agit de l'option par défaut lorsque vous créez un parcours à l'aide de l'API AWS CLI ou de l' CloudTrail API. Pour plus d’informations, consultez Création, mise à jour et gestion de sentiers à l'aide du AWS CLI.
Note
Pour les deux types de journaux de suivi, vous pouvez spécifier un compartiment Amazon S3 de n'importe quelle région.
Un sentier multirégional présente les avantages suivants :
-
Les paramètres de configuration du sentier s'appliquent de manière cohérente à tous Régions AWS.
-
Vous recevez les CloudTrail événements de tous Régions AWS dans un seul compartiment Amazon S3 et, éventuellement, dans un groupe de CloudWatch journaux Logs.
-
Vous gérez la configuration des sentiers pour tous Régions AWS à partir d'un seul endroit.
Lorsque vous appliquez une piste à toutes les AWS régions, CloudTrail utilisez la piste que vous créez dans une région particulière pour créer des pistes avec des configurations identiques dans toutes les autres régions de la AWS partition dans laquelle vous travaillez.
Cela a les effets suivants :
-
CloudTrail fournit des fichiers journaux pour l'activité du compte provenant de toutes les AWS régions vers le compartiment Amazon S3 unique que vous spécifiez et, éventuellement, vers un groupe de CloudWatch journaux de journaux.
-
Si vous avez configuré une rubrique Amazon SNS pour le suivi, les notifications SNS concernant les livraisons de fichiers journaux dans toutes les AWS régions sont envoyées à cette rubrique SNS unique.
Qu'il s'agisse d'un parcours multirégional ou mono-régional, les événements envoyés à Amazon EventBridge sont reçus dans le bus d'événements de chaque région, plutôt que dans un seul bus d'événements.
Plusieurs journaux de suivi par région
Si vous avez des groupes d'utilisateurs différents mais associés, comme des développeurs, du personnel de sécurité et des auditeurs informatiques, vous pouvez créer plusieurs journaux de suivi par région. Cela permet à chaque groupe de recevoir son propre exemplaire des fichiers journaux.
CloudTrail prend en charge cinq sentiers par région. Un sentier multirégional compte pour un sentier par région.
Voici un exemple de région comportant cinq sentiers :
-
Vous créez deux journaux de suivi dans la région USA Ouest (Californie du Nord) qui s'appliquent uniquement à cette région.
-
Vous créez deux autres sentiers multirégionaux dans la région de l'ouest des États-Unis (Californie du Nord).
-
Vous créez un autre parcours multirégional dans la région Asie-Pacifique (Sydney). Ce journal de suivi existe aussi comme journal de suivi dans la région USA Ouest (Californie du Nord).
Vous pouvez consulter la liste des sentiers Région AWS dans une page des sentiers de la CloudTrail console. Pour plus d’informations, consultez Mettre à jour un parcours avec la CloudTrail console. Pour les CloudTrail tarifs, voir AWS CloudTrail
Tarification
Sentiers d'organisation
Un suivi d'organisation est une configuration qui permet de transférer les CloudTrail événements du compte de gestion et de tous les comptes membres d'une AWS Organizations organisation vers le même compartiment Amazon S3, CloudWatch les mêmes journaux et Amazon EventBridge. La création d’un journal de suivi d’organisation vous permet de définir une stratégie de journalisation des événements uniforme pour votre organisation.
Tous les parcours d'organisation créés à l'aide de la console sont des journaux d'organisation multirégionaux qui enregistrent les événements associés aux comptes activés Régions AWS dans chaque compte membre de l'organisation. Pour enregistrer les événements dans toutes les AWS partitions de votre organisation, créez un journal d'organisation multirégional dans chaque partition. Vous pouvez créer un journal d'organisation à région unique ou multirégionale à l'aide du. AWS CLI Si vous créez un sentier à région unique, vous enregistrez l'activité uniquement dans le sentier Région AWS (également appelé région d'origine).
Bien que la plupart Régions AWS soient activées par défaut pour vous Compte AWS, vous devez activer manuellement certaines régions (également appelées régions optionnelles). Pour plus d'informations sur les régions activées par défaut, consultez la section Considérations relatives à l'activation et à la désactivation des régions dans le Guide de AWS Account Management référence. Pour la liste des régions prises CloudTrail en charge, voirCloudTrail Régions prises en charge.
Lorsque vous créez un historique d'organisation, une copie du journal portant le nom que vous lui donnez est créée dans les comptes des membres appartenant à votre organisation.
-
Si le parcours de l'organisation concerne une seule région et que la région d'origine du sentier n'est pas une région OPT, une copie du parcours est créée dans la région d'origine du parcours de l'organisation dans chaque compte membre.
-
Si le parcours de l'organisation concerne une seule région et que la région d'origine du sentier est une région OPT, une copie du parcours est créée dans la région d'origine du parcours de l'organisation sur les comptes des membres qui ont activé cette région.
-
Si le parcours de l'organisation est multirégional et que la région d'origine du sentier n'est pas une région optionnelle, une copie du parcours est créée dans chaque région activée Région AWS dans chaque compte membre. Lorsqu'un compte membre active une région optionnelle, une copie du parcours multirégional est créée dans la région nouvellement inscrite pour le compte du membre une fois l'activation de cette région terminée.
-
Si le parcours de l'organisation est multirégional et que la région d'origine est une région optionnelle, les comptes membres n'enverront aucune activité au parcours de l'organisation à moins qu'ils n'aient choisi celui Région AWS où le parcours multirégional a été créé. Par exemple, si vous créez un parcours multirégional et que vous choisissez la région Europe (Espagne) comme région d'origine du parcours, seuls les comptes membres ayant activé la région Europe (Espagne) pour leur compte enverront l'activité de leur compte au parcours de l'organisation.
Note
CloudTrail crée des traces d'organisation dans les comptes des membres même en cas d'échec de la validation des ressources. Voici des exemples d'échecs de validation :
-
une politique de compartiment Amazon S3 incorrecte
-
une politique de rubrique Amazon SNS incorrecte
-
impossibilité de livrer à un groupe de CloudWatch journaux Logs
-
autorisation insuffisante pour chiffrer à l'aide d'une clé KMS
Un compte membre disposant d' CloudTrail autorisations peut voir les échecs de validation d'un journal d'organisation en consultant la page de détails du journal sur la CloudTrail console ou en exécutant la AWS CLI get-trail-statuscommande.
Les utilisateurs autorisés CloudTrail à accéder aux comptes membres pourront consulter le parcours de l'organisation (y compris l'ARN du journal) lorsqu'ils se connectent à la AWS CloudTrail console depuis leur AWS
compte ou lorsqu'ils exécutent des AWS CLI commandes telles que describe-trails (bien que les comptes membres doivent utiliser l'ARN pour le suivi de l'organisation, et non le nom, lorsqu'ils utilisent le AWS CLI). Toutefois, les utilisateurs des comptes membres ne disposeront pas des autorisations suffisantes pour supprimer les traces de l'organisation, activer ou désactiver la connexion, modifier les types d'événements enregistrés ou modifier de quelque manière que ce soit les traces de l'organisation. Pour plus d’informations sur AWS Organizations, consultez Terminologie et concepts Organizations. Pour plus d'informations sur la création et l'utilisation de journaux de suivi de l'organisation, consultez Création d'un journal de suivi pour une organisation.
CloudTrail Magasins de données sur les lacs et les événements
CloudTrail Lake vous permet d'exécuter des requêtes SQL précises sur vos événements et de consigner les événements provenant de sources extérieures AWS, notamment de vos propres applications et de partenaires intégrés à ces derniers. CloudTrail Il n'est pas nécessaire de configurer un sentier dans votre compte pour utiliser CloudTrail Lake.
Les événements sont agrégés dans des magasins de données d’événement, qui sont des ensembles inaltérables d’événements basés sur des critères que vous sélectionnez en appliquant les sélecteurs d’événements avancés. Vous pouvez conserver les données d’événement dans une banque de données d’événement jusqu’à 3 653 jours (environ 10 ans) si vous choisissez l’option de tarification de rétention extensible d’un an, ou jusqu’à 2 557 jours (environ 7 ans) si vous choisissez l’option de tarification de rétention de sept ans. Vous pouvez enregistrer les requêtes Lake pour une utilisation ultérieure et afficher les résultats des requêtes pendant sept jours au maximum. Vous pouvez également enregistrer les résultats des requêtes dans un compartiment S3. CloudTrail Lake peut également stocker les événements d'une organisation AWS Organizations dans un magasin de données d'événements, ou les événements provenant de plusieurs régions et comptes. CloudTrail Lake fait partie d'une solution d'audit qui vous aide à effectuer des enquêtes de sécurité et à résoudre des problèmes. Pour plus d’informations, consultez Travailler avec AWS CloudTrail Lake et CloudTrail Concepts et terminologie relatifs aux lacs.
CloudTrail Perspectives
CloudTrail Insights aide AWS les utilisateurs à identifier et à répondre aux volumes inhabituels d'appels d'API ou aux erreurs enregistrées lors des appels d'API en analysant en permanence les événements CloudTrail de gestion. Un événement Insights est un registre de niveaux inhabituels de l’activité de l’API de gestion write ou niveaux inhabituels d’erreurs renvoyés lors de l’activité de l’API de gestion. Par défaut, les magasins de données de parcours et d'événements n'enregistrent pas les événements CloudTrail Insights. Dans la console, vous pouvez choisir de journaliser les événements Insights lorsque vous créez ou mettez à jour un journal de suivi ou un entrepôt de données d'événement. Lorsque vous utilisez l' CloudTrail API, vous pouvez enregistrer les événements Insights en modifiant les paramètres d'un magasin de données de suivi ou d'événement existant à l'aide de l'PutInsightSelectorsAPI. Des frais supplémentaires s'appliquent pour la journalisation CloudTrail des événements Insights. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour plus d'informations, veuillez consulter les sections Journalisation des événements Insights et Tarification d'AWS CloudTrail
Balises
Une balise est une clé définie par le client et une valeur facultative qui peuvent être attribuées à AWS des ressources, telles que les CloudTrail parcours, les magasins de données d'événements et les canaux, les compartiments S3 utilisés pour stocker les fichiers CloudTrail journaux, les AWS Organizations organisations et les unités organisationnelles, etc. En ajoutant les mêmes balises aux sentiers et aux compartiments S3 que vous utilisez pour stocker les fichiers journaux des sentiers, vous pouvez faciliter la gestion, la recherche et le filtrage de ces ressources. AWS Resource Groups Vous pouvez mettre en œuvre des stratégies d'étiquette pour vous aider à trouver et gérer vos ressources uniformément, efficacement et facilement. Pour plus d'informations, consultez la section Meilleures pratiques en matière de balisage AWS des ressources.
AWS Security Token Service et CloudTrail
AWS Security Token Service (AWS STS) est un service doté d'un point de terminaison global et prenant également en charge les points de terminaison spécifiques à une région. Un point de terminaison est une URL qui constitue le point d’entrée des demandes de service Web. Par exemple, https://cloudtrail.us-west-2.amazonaws.com est le point d'entrée régional du AWS CloudTrail service dans l'ouest des États-Unis (Oregon). Les points de terminaison régionaux aident à réduire la latence dans vos applications.
Lorsque vous utilisez un point de AWS STS terminaison spécifique à une région, le parcours de cette région fournit uniquement les AWS STS événements qui se produisent dans cette région. Par exemple, si vous utilisez le point de terminaison sts.us-west-2.amazonaws.com, le journal de suivi de la région us-west-2 fournit uniquement les événements AWS STS provenant de la région us-west-2. Pour plus d'informations sur les points de terminaison AWS STS régionaux, consultez la section Activation et désactivation AWS STS dans une AWS région dans le guide de l'utilisateur IAM.
Pour une liste complète des points de terminaison AWS régionaux, voir AWS Régions et points de terminaison dans le. Références générales AWS Pour plus de détails sur les événements de points de terminaison AWS STS mondiaux, consultez Événements de services mondiaux.
Événements de services mondiaux
Important
Depuis le 22 novembre 2021, la façon dont les sentiers capturent les événements liés au service mondial AWS CloudTrail a changé. Désormais, les événements créés par Amazon CloudFront AWS STS sont enregistrés dans la région dans laquelle ils ont été créés, la région USA Est (Virginie du Nord), us-east-1. AWS Identity and Access Management Cela rend le CloudTrail traitement de ces services cohérent avec celui des autres services AWS mondiaux. Pour continuer à recevoir les événements de service global en dehors des USA Est (Virginie du Nord), veillez à convertir les journaux de suivi à région unique utilisant des événements de services mondiaux en dehors des USA Est (Virginie du Nord) en journaux de suivi multi-régions. Pour plus d’informations sur la capture des événements de services mondiaux, consultez Activation et désactivation de la journalisation des événements de services mondiaux plus loin dans cette section.
En revanche, l'historique des événements de la CloudTrail console et la aws cloudtrail lookup-events commande afficheront ces événements Région AWS là où ils se sont produits.
Pour la plupart des services, les événements sont enregistrés dans la région où l’action s’est produite. Pour les services internationaux tels que AWS Identity and Access Management (IAM) et Amazon AWS STS CloudFront, les événements sont organisés sur n'importe quel parcours incluant des services mondiaux.
Pour la plupart des services mondiaux, les événements sont journalisés comme s'ils se produisaient dans la région USA Est (Virginie du Nord), mais certains événements de service mondiaux sont journalisés comme s'ils se produisaient dans d'autres régions, comme la région USA Est (Ohio) ou la région USA Ouest (Oregon).
Pour éviter de recevoir des doublons d'événements de services globaux, n'oubliez pas les points suivants :
-
Les événements de service globaux sont transmis par défaut aux pistes créées à l'aide de la CloudTrail console. Les événements sont livrés au compartiment pour le journal de suivi.
-
Si vous avez plusieurs journaux de suivi sur une seule région, pensez à configurer vos journaux de suivi de manière à ce que les événements de services mondiaux soient diffusés dans un seul des journaux de suivi. Pour plus d'informations, consultez Activation et désactivation de la journalisation des événements de services mondiaux.
-
Si vous modifiez la configuration d'un journal de suivi afin qu'il s'applique à une région unique au lieu de s'appliquer à toutes les régions, la journalisation des événements de services mondiaux est désactivée automatiquement pour ce journal de suivi. De la même manière, si vous modifiez la configuration d'un journal de suivi afin qu'il s'applique à toutes les régions au lieu de s'appliquer à une région unique, la journalisation des événements de services mondiaux est activée automatiquement pour ce journal de suivi.
Pour plus d'informations sur la modification de la journalisation des événements de services mondiaux pour un journal de suivi, consultez Activation et désactivation de la journalisation des événements de services mondiaux.
Exemple :
-
Vous créez un parcours dans la CloudTrail console. Par défaut, ce journal de suivi consigne les événements de services mondiaux.
-
Vous avez plusieurs journaux de suivi à région unique.
-
Vous n'avez pas besoin d'inclure les services globaux pour les suivis à une région unique. Les événements de services mondiaux sont fournis pour le premier journal de suivi. Pour plus d’informations, consultez Création, mise à jour et gestion de sentiers à l'aide du AWS CLI.
Note
Lorsque vous créez ou mettez à jour un parcours à l' AWS CLI aide AWS des SDK ou de l' CloudTrail API, vous pouvez spécifier s'il convient d'inclure ou d'exclure les événements de service globaux pour les sentiers. Vous ne pouvez pas configurer la journalisation globale des événements de service depuis la CloudTrail console.
