Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre les banques de données sur les événements d'une organisation

Si vous avez créé une organisation dans AWS Organizations, vous pouvez créer une banque de données d'événements d'organisation qui enregistre tous les événements pour tous Comptes AWS dans cette organisation. Les banques de données sur les événements de l'organisation peuvent s'appliquer à tous Régions AWS, ou la région actuelle. Vous ne pouvez pas utiliser le magasin de données d'événements d'une organisation pour collecter des événements provenant de l'extérieur de AWS.

Vous pouvez créer un magasin de données d'événements d'organisation à l'aide du compte de gestion ou du compte d'administrateur délégué. Lorsqu’un administrateur délégué crée un magasin de données d’événement d’organisation, celui-ci existe dans le compte de gestion de l’organisation. Cette approche s’explique par le fait que le compte de gestion conserve la propriété de toutes les ressources de l’organisation.

Le compte de gestion d'une organisation peut mettre à jour un magasin de données d'événements au niveau du compte pour l'appliquer à une organisation.

Lorsque le magasin de données d’événement d’organisation est spécifié comme s’appliquant à une organisation, il est automatiquement appliqué à tous les comptes membres de l’organisation. Les comptes membres ne peuvent pas afficher le magasin de données d’événement d’organisation, ni le modifier ou le supprimer. Par défaut, les comptes membres n’ont pas accès au magasin de données d’événement d’organisation et ne peuvent pas exécuter de requêtes sur ce type de magasins.

Le tableau suivant présente les fonctionnalités du compte de gestion et des comptes d'administrateur délégué au sein du AWS Organizations organisation.

¹ Seul le compte de gestion peut convertir un magasin de données d'événements d'organisation en un magasin de données d'événements au niveau du compte, ou convertir un magasin de données d'événements au niveau du compte en un magasin de données d'événements d'organisation. Ces actions ne sont pas autorisées pour l’administrateur délégué, car les magasins de données d’événement d’organisation n’existent que dans le compte de gestion. Lorsque le magasin de données d'événements d'une organisation est converti en un magasin de données d'événements au niveau du compte, seul le compte de gestion a accès au magasin de données d'événements. De même, seul un magasin de données d'événements au niveau du compte dans le compte de gestion peut être converti en magasin de données d'événements d'organisation.

²Un seul compte administrateur délégué ou le compte de gestion peut activer la fédération dans le magasin de données d’événement d’organisation. D’autres comptes administrateur délégué peuvent interroger et partager des informations à l’aide de la fonctionnalité de partage de données de Lake Formation. Tout compte administrateur délégué ainsi que le compte de gestion de l’organisation peuvent désactiver la fédération.

Création d'une banque de données sur les événements d'une organisation

Le compte de gestion ou le compte d'administrateur délégué d'une organisation peut créer une banque de données d'événements d'organisation pour collecter des CloudTrail événements (événements de gestion, événements de données) ou AWS Config éléments de configuration.

CloudTrail console

Pour créer un magasin de données d'événements d'organisation à l'aide de la console

1. Suivez les étapes de la procédure de création d'un magasin de données d' CloudTrail événements pour créer un magasin de données d'événements d'organisation pour CloudTrail la gestion ou les événements de données.

   OU

   Suivez les étapes décrites dans la section Création d'un magasin de données d'événements pour AWS Configprocédure des éléments de configuration pour créer une banque de données d'événements d'organisation pour AWS Config éléments de configuration.

2. Sur la page Choisir des événements, choisissez Activer pour tous les comptes de mon organisation.

AWS CLI

Pour créer un magasin de données sur les événements d'organisation, exécutez le create-event-data-storecommande et incluez l'--organization-enabledoption.

L'exemple suivant AWS CLI create-event-data-storeCette commande crée un magasin de données sur les événements de l'organisation qui collecte tous les événements de gestion. Étant donné que CloudTrail les événements de gestion sont enregistrés par défaut, il n'est pas nécessaire de spécifier des sélecteurs d'événements avancés si votre banque de données d'événements enregistre tous les événements de gestion et ne collecte aucun événement de données.

aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled

Voici un exemple de réponse.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

L'exemple suivant AWS CLI create-event-data-storecommande crée une banque de données d'événements d'organisation nommée config-items-org-eds qui collecte AWS Config éléments de configuration. Pour collecter des éléments de configuration, spécifiez que le eventCategory champ est égal ConfigurationItem dans les sélecteurs d'événements avancés.

aws cloudtrail create-event-data-store --name config-items-org-eds \
--organization-enabled \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

Appliquer un magasin de données d'événements au niveau du compte à une organisation

Le compte de gestion de l'organisation peut convertir un magasin de données d'événements au niveau du compte pour l'appliquer à une organisation.

CloudTrail console

Pour mettre à jour un magasin de données d'événements au niveau du compte à l'aide de la console

1. Connectez-vous au AWS Management Console et ouvrez la CloudTrail console à l'adresse https://console.aws.amazon.com/cloudtrail/.

2. Dans le panneau de navigation, sous Lake, choisissez Magasins de données d’événement.

3. Choisissez le magasin de données d’événement que vous voulez mettre à jour. Cette action ouvre la page contenant les détails du magasin de données d’événement.

4. Dans General details (Détails généraux), choisissez Edit (Modifier).

5. Choisissez Activer pour tous les comptes de mon organisation.

6. Sélectionnez Enregistrer les modifications.

Pour plus d'informations sur la mise à jour d'une banque de données d'événements, consultezMettre à jour un magasin de données d'événements avec la console.

AWS CLI

Pour mettre à jour un magasin de données d'événements au niveau du compte afin de l'appliquer à une organisation, exécutez la update-event-data-storecommande et incluez l'--organization-enabledoption.

aws cloudtrail update-event-data-store --region us-east-1 \
--organization-enabled \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

Consultez aussi