Copier des événements de journal de suivi dans un magasin de données d'événement - AWS CloudTrail
Considérations pour copier les événements de journal de suiviAutorisations requises pour copier les événements de journal de suivi

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Copier des événements de journal de suivi dans un magasin de données d'événement

Vous pouvez copier les événements du sentier dans un magasin de données d'événements CloudTrail Lake pour créer un point-in-time instantané des événements enregistrés sur le sentier. La copie des événements d’un journal de suivi n’interfère pas avec la capacité du journal de suivi à journaliser des événements et ne modifie en aucune façon le journal.

Vous pouvez copier les événements de suivi dans un magasin de données d'événements existant configuré pour les CloudTrail événements, ou vous pouvez créer un nouveau magasin de données d' CloudTrail événements et choisir l'option Copier les événements de suivi dans le cadre de la création du magasin de données d'événements. Pour plus d'informations sur la copie des événements de suivi dans un entrepôt de données d'événement existant, veuillez consulter Copiez les événements de suivi dans un magasin de données d'événements existant à l'aide de la console. Pour plus d'informations sur la création d'un entrepôt de données d'événement, veuillez consulter Création d'un magasin de données d' CloudTrailévénements pour les événements à l'aide de la console.

Si vous copiez des événements de journal de suivi vers le magasin de données d’événement d’une organisation, vous devez utiliser le compte de gestion de l’organisation. Vous ne pouvez pas copier les événements de journal de suivi en utilisant le compte administrateur délégué d’une organisation.

CloudTrail Les magasins de données sur les événements de Lake sont payants. Lorsque vous créez un magasin de données d’événement, vous choisissez l’option de tarification que vous voulez utiliser pour le magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Pour plus d'informations sur la CloudTrail tarification et la gestion des coûts du lac, voir AWS CloudTrail Tarification etGestion des coûts CloudTrail du lac.

Lorsque vous copiez des événements de parcours dans un magasin de données d'événements CloudTrail Lake, vous êtes facturé en fonction de la quantité de données non compressées ingérée par le magasin de données d'événements.

Lorsque vous copiez des événements de suivi dans CloudTrail Lake, CloudTrail décompressez les journaux stockés au format gzip (compressé), puis copie les événements contenus dans les journaux dans votre magasin de données d'événements. La taille des données non compressées peut être supérieure à la taille réelle du stockage S3. Pour obtenir une estimation générale de la taille des données non compressées, vous pouvez multiplier par 10 la taille des journaux du compartiment S3.

Vous pouvez réduire les coûts en spécifiant une plage de temps plus restreinte pour les événements copiés. Si vous prévoyez de n'utiliser l'entrepôt de données d'événement que pour interroger vos événements copiés, vous pouvez désactiver l'ingestion des événements afin d'éviter d'encourir des frais lors d'événements futurs. Pour plus d'informations, veuillez consulter Tarification AWS CloudTrail et Gestion des coûts CloudTrail du lac.

Scénarios

Le tableau suivant décrit certains scénarios courants de copie d'événements de suivi et explique comment réaliser chaque scénario à l'aide de la console.

Scénario Comment puis-je y parvenir dans la console ?

Analysez et interrogez les événements historiques des sentiers dans CloudTrail le lac sans ingérer de nouveaux événements

Créez un nouveau magasin de données d’événement et choisissez l’option Copier les événements de suivi dans le cadre de la création du magasin de données d’événement. Lorsque vous créez le magasin de données d’événement, désélectionnez Ingérer les événements (étape 15 de la procédure) pour vous assurer que le magasin de données d’événement ne contient que les événements passés de votre journal de suivi et aucun événement futur.

Remplacez votre parcours existant par un magasin de données sur les événements CloudTrail Lake

Créez un entrepôt de données d'événement avec les mêmes sélecteurs d'événements que votre journal de suivi pour vous assurer que l'entrepôt de données d'événement a la même couverture que votre journal de suivi.

Pour éviter de dupliquer les événements entre le journal de suivi source et l'entrepôt de données d'événement de destination, choisissez pour les événements copiés une plage de temps antérieure à la création de l'entrepôt de données d'événement.

Une fois l'entrepôt de données d'événement créé, vous pouvez désactiver la journalisation du journal de suivi pour éviter des frais supplémentaires.
Rubriques

Considérations pour copier les événements de journal de suivi

Tenez compte des facteurs suivants lors de la copie d’événements du journal de suivi.

  • Lorsque vous copiez des événements de CloudTrail suivi, utilise l'opération d'GetObjectAPI S3 pour récupérer les événements de suivi dans le compartiment S3 source. Certaines classes de stockage S3, telles que les niveaux S3 Glacier Flexible Retrieval, S3 Glacier Deep Archive, S3 Outposts et S3 Intelligent-Tiering Deep Archive ne sont pas accessibles en utilisant GetObject. Pour copier les événements de suivi stockés dans ces classes de stockage archivées, vous devez d'abord restaurer une copie à l'aide de l'opération S3 RestoreObject. Pour plus d'informations sur la restauration d'objets archivés, veuillez consulter Restauration d'un objet archivé dans le Guide de l'utilisateur Amazon S3.

  • Lorsque vous copiez des événements de suivi dans un magasin de données d'événements, CloudTrail copie tous les événements de suivi, quelle que soit la configuration des types d'événements, des sélecteurs d'événements avancés ou Région AWS de la banque de données de destination.

  • Avant de copier les événements de suivi dans un magasin de données d’événement existant, assurez-vous que l’option de tarification et la période de conservation du magasin de données d’événement sont configurées de manière appropriée pour votre cas d’utilisation.

    • Option de tarification : l’option de tarification détermine le coût d’ingestion et de stockage des événements. Pour de plus amples informations sur les options de tarification, consultez Tarification d’AWS CloudTrail et Options de tarification du magasin de données d’événement.

    • Période de conservation : La période de conservation détermine la durée pendant laquelle les données d'événements sont conservées dans le magasin de données d'événements. CloudTrail copie uniquement les événements de suivi dont la durée de conservation est eventTime conforme à la période de conservation de la banque de données d'événements. Pour déterminer la période de conservation appropriée, additionnez l'événement le plus ancien que vous souhaitez copier en jours et le nombre de jours pendant lesquels vous souhaitez conserver les événements dans le magasin de données d'événements (période de conservation = oldest-event-in-days+ number-days-to-retain). Par exemple, si l’événement le plus ancien que vous copiez date de 45 jours et que vous souhaitez conserver les événements dans le magasin de données d’événement pendant 45 jours supplémentaires, vous devez définir la période de conservation sur 90 jours.

  • Si vous copiez des événements de journal de suivi vers un magasin de données d’événement à des fins d’investigation et que vous ne souhaitez pas ingérer d’événements futurs, vous pouvez arrêter l’ingestion dans le magasin de données d’événement. Lorsque vous créez le magasin de données d’événement, désélectionnez l’option Ingérer les événements (étape 15 de la procédure) pour vous assurer que le magasin de données d’événement ne contient que les événements passés de votre journal de suivi et aucun événement futur.

  • Avant de copier les événements du journal de suivi, désactivez toutes les listes de contrôle d’accès (ACL) associées au compartiment S3 source et mettez à jour la politique du compartiment S3 pour le magasin de données d’événement de destination. Pour plus d'informations sur la mise à jour de la politique de compartiment S3, veuillez consulter Politique de compartiment Amazon S3 pour la copie d'événements de journal de suivi. Pour plus d'informations sur la désactivation des listes ACL, veuillez consulter la rubrique Contrôle de la propriété des objets et désactivation des listes ACL pour votre compartiment.

  • CloudTrail copie uniquement les événements de suivi à partir des fichiers journaux compressés Gzip qui se trouvent dans le compartiment S3 source. CloudTrail ne copie pas les événements de suivi à partir de fichiers journaux non compressés ou de fichiers journaux compressés dans un format autre que Gzip.

  • Pour éviter de dupliquer les événements entre le journal de suivi source et le magasin de données d'événement de destination, choisissez pour les événements copiés une plage de temps antérieure à la création du magasin de données d'événement.

  • Par défaut, copie CloudTrail uniquement les CloudTrail événements contenus dans le préfixe du compartiment S3 et CloudTrail les préfixes contenus dans le CloudTrail préfixe, et ne vérifie pas les préfixes des autres services. AWS Si vous souhaitez copier CloudTrail des événements contenus dans un autre préfixe, vous devez choisir le préfixe lorsque vous copiez des événements de suivi.

  • Pour copier les événements de journal de suivi vers le magasin de données d'événement d'une organisation, vous devez utiliser le compte de gestion de l'organisation. Vous ne pouvez pas utiliser le compte d'administrateur délégué pour copier des événements de journal de suivi vers le magasin de données d'événement d'une organisation.

Autorisations requises pour copier les événements de journal de suivi

Avant de copier des événements de suivi, assurez-vous de disposer de toutes les autorisations requises pour votre rôle IAM. Vous devez uniquement mettre à jour les autorisations du rôle IAM si vous choisissez un rôle IAM existant pour copier les événements de journal de suivi. Si vous choisissez de créer un nouveau rôle IAM, CloudTrail fournit toutes les autorisations nécessaires pour ce rôle.

Si le compartiment S3 source utilise une clé KMS pour le chiffrement des données, assurez-vous que la politique de clé KMS autorise CloudTrail le déchiffrement des données du compartiment. Si le compartiment S3 source utilise plusieurs clés KMS, vous devez mettre à jour la politique de chaque clé CloudTrail pour autoriser le déchiffrement des données du compartiment.

Autorisations IAM pour copier les événements de journal de suivi

Lorsque vous copiez des événements de journal de suivi, vous pouvez créer un nouveau rôle IAM ou utiliser un rôle IAM existant. Lorsque vous choisissez un nouveau rôle IAM, vous CloudTrail créez un rôle IAM avec les autorisations requises et aucune autre action n'est requise de votre part.

Si vous choisissez un rôle existant, assurez-vous que les politiques du rôle IAM autorisent la copie CloudTrail des événements de suivi depuis le compartiment S3 source. Cette section fournit des exemples de politiques d’approbation et d’autorisation requises du rôle IAM.

L'exemple suivant fournit la politique d'autorisation, qui permet CloudTrail de copier les événements de suivi depuis le compartiment S3 source. Remplacez DOC-EXAMPLE-BUCKET, eventDataStoreMyAccountID, region, prefix et Id par les valeurs appropriées à votre configuration. Le MyAccountID est l'ID de AWS compte utilisé pour CloudTrail Lake, qui peut être différent de l'ID de AWS compte du compartiment S3.

Remplacez key-region, keyAccountID et keyID par les valeurs de la clé KMS utilisée pour chiffrer le compartiment S3 source. Vous pouvez omettre l'instruction AWSCloudTrailImportKeyAccess si le compartiment S3 source n'utilise pas de clé KMS pour le chiffrement.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailImportBucketAccess",
      "Effect": "Allow",
      "Action": ["s3:ListBucket", "s3:GetBucketAcl"],
      "Resource": [
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportObjectAccess",
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": [
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/prefix",
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/prefix/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportKeyAccess",
      "Effect": "Allow",
      "Action": ["kms:GenerateDataKey","kms:Decrypt"],
      "Resource": [
        "arn:aws:kms:key-region:keyAccountID:key/keyID"
      ]
    }
  ]
}

L'exemple suivant fournit la politique de confiance IAM, qui permet d' CloudTrail assumer un rôle IAM pour copier les événements de suivi depuis le compartiment S3 source. Remplacez MyAccountId, region et eventDataStoreArn par les valeurs appropriées à votre configuration. Le MyAccountID est l' Compte AWS ID utilisé pour CloudTrail Lake, qui peut être différent de l'ID de AWS compte pour le compartiment S3.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
        }
      }
    }
  ]
}

Politique de compartiment Amazon S3 pour la copie d'événements de journal de suivi

Par défaut, les objets et les compartiments Amazon S3 sont privés. Seul le propriétaire de la ressource (le compte AWS qui a créé le compartiment) peut accéder au compartiment et aux objets qu’il contient. Le propriétaire de la ressource peut accorder des autorisations d’accès à d’autres ressources et à d’autres utilisateurs en créant une stratégie d’accès.

Avant de copier les événements de suivi, vous devez mettre à jour la politique du compartiment S3 CloudTrail pour autoriser la copie des événements de suivi depuis le compartiment S3 source.

Vous pouvez ajouter l'instruction suivante à la politique du compartiment S3 pour accorder ces autorisations. Remplacez roLearn et DOC-EXAMPLE-BUCKET par les valeurs appropriées à votre configuration.

{
  "Sid": "AWSCloudTrailImportBucketAccess",
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetBucketAcl",
    "s3:GetObject"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": [
    "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
    "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
  ]
},

Stratégie de clé KMS pour le déchiffrement des données dans le compartiment S3 source

Si le compartiment S3 source utilise une clé KMS pour le chiffrement des données, assurez-vous que la politique de clé KMS fournit CloudTrail les kms:GenerateDataKey autorisations kms:Decrypt et les autorisations nécessaires pour copier les événements de suivi depuis un compartiment S3 avec le chiffrement SSE-KMS activé. Si votre compartiment S3 source utilise plusieurs clés KMS, vous devez mettre à jour la stratégie de chaque clé. La mise à jour de la politique des clés KMS permet CloudTrail de déchiffrer les données dans le compartiment S3 source, d'exécuter des contrôles de validation pour s'assurer que les événements sont conformes aux CloudTrail normes et de copier les événements dans le magasin de données d'événements CloudTrail Lake.

L'exemple suivant fournit la politique de clé KMS, qui permet CloudTrail de déchiffrer les données dans le compartiment S3 source. Remplacez roLearn, DOC-EXAMPLE-BUCKET, MyAccountId, region et eventDataStore Id par les valeurs appropriées à votre configuration. Le MyAccountID est l'ID de AWS compte utilisé pour CloudTrail Lake, qui peut être différent de l'ID de AWS compte du compartiment S3.

{
  "Sid": "AWSCloudTrailImportDecrypt",
  "Effect": "Allow",
  "Action": [
          "kms:Decrypt",
          "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
    },
    "StringEquals": {
      "aws:SourceAccount": "myAccountID",
      "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
    }
  }
}