Création d'une banque de données sur les événements d'une organisation Appliquer un magasin de données d'événements au niveau du compte à une organisation Politique de ressources par défaut pour les administrateurs délégués Ressources supplémentaires

Comprendre les banques de données sur les événements d'une organisation

Si vous avez créé une organisation dans AWS Organizations, vous pouvez créer un magasin de données d'événements d'organisation qui enregistre tous les événements pour tous Comptes AWS les membres de cette organisation. Les banques de données sur les événements de l'organisation peuvent s'appliquer à toutes les Régions AWS organisations ou à la région actuelle. Les magasins de données d’événement d’organisation ne peuvent pas être utilisés pour collecter des événements externes à AWS.

Vous pouvez créer un magasin de données d'événements d'organisation à l'aide du compte de gestion ou du compte d'administrateur délégué. Lorsqu’un administrateur délégué crée un magasin de données d’événement d’organisation, celui-ci existe dans le compte de gestion de l’organisation. Cette approche s’explique par le fait que le compte de gestion conserve la propriété de toutes les ressources de l’organisation.

Le compte de gestion d'une organisation peut mettre à jour un magasin de données d'événements au niveau du compte pour l'appliquer à une organisation.

Lorsque le magasin de données d’événement d’organisation est spécifié comme s’appliquant à une organisation, il est automatiquement appliqué à tous les comptes membres de l’organisation. Les comptes membres ne peuvent pas afficher le magasin de données d’événement d’organisation, ni le modifier ou le supprimer. Par défaut, les comptes membres n’ont pas accès au magasin de données d’événement d’organisation et ne peuvent pas exécuter de requêtes sur ce type de magasins.

Le tableau suivant présente les fonctionnalités du compte de gestion et des comptes d'administrateur délégué au sein de l' AWS Organizations organisation.

Fonctionnalités	Compte de gestion	Compte administrateur délégué
Enregistrer ou supprimer les comptes administrateur délégué.	Oui	Non
Créez un magasin de données d'événements d'organisation pour les AWS CloudTrail événements ou les éléments AWS Config de configuration.	Oui	Oui
Activer Insights sur le magasin de données d’événement d’organisation.	Oui	Non
Mettre à jour un magasin de données d’événement d’organisation.	Oui	Oui ¹
Démarrez et arrêtez l'ingestion d'événements dans le magasin de données d'événements d'une organisation.	Oui	Oui
Activer la fédération de requêtes Lake sur le magasin de données d’événement d’organisation.²	Oui	Oui
Désactiver la fédération de requêtes Lake dans un magasin de données d’événement d’organisation.	Oui	Oui
Supprimer un magasin de données d’événement d’organisation.	Oui	Oui
Copier des événements de journal de suivi dans un magasin de données d’événement.	Oui	Non
Exécuter des requêtes sur des magasins de données d’événement d’organisation.	Oui	Oui
Consultez un tableau de bord géré pour le magasin de données d'événements d'une organisation.	Oui	Non
Activez le tableau de bord Highlights pour les magasins de données sur les événements de l'organisation.	Oui	Non
Créez un widget pour un tableau de bord personnalisé qui interroge le magasin de données d'événements d'une organisation.	Oui	Non

¹ Seul le compte de gestion peut convertir un magasin de données d'événements d'organisation en un magasin de données d'événements au niveau du compte, ou convertir un magasin de données d'événements au niveau du compte en un magasin de données d'événements d'organisation. Ces actions ne sont pas autorisées pour l’administrateur délégué, car les magasins de données d’événement d’organisation n’existent que dans le compte de gestion. Lorsque le magasin de données d'événements d'une organisation est converti en un magasin de données d'événements au niveau du compte, seul le compte de gestion a accès au magasin de données d'événements. De même, seul un magasin de données d'événements au niveau du compte dans le compte de gestion peut être converti en magasin de données d'événements d'organisation.

²Un seul compte administrateur délégué ou le compte de gestion peut activer la fédération dans le magasin de données d’événement d’organisation. D’autres comptes administrateur délégué peuvent interroger et partager des informations à l’aide de la fonctionnalité de partage de données de Lake Formation. Tout compte administrateur délégué ainsi que le compte de gestion de l’organisation peuvent désactiver la fédération.

Création d'une banque de données sur les événements d'une organisation

Le compte de gestion ou le compte d'administrateur délégué d'une organisation peut créer un magasin de données d'événements d'organisation pour collecter des CloudTrail événements (événements de gestion, événements de données) ou des éléments AWS Config de configuration.

Note

Seul le compte de gestion de l'organisation peut copier les événements du parcours dans un magasin de données d'événements.

CloudTrail console

Pour créer un magasin de données d'événements d'organisation à l'aide de la console

Suivez les étapes de la procédure de création d'un magasin de données d' CloudTrail événements pour créer un magasin de données d'événements d'organisation pour CloudTrail la gestion ou les événements de données.

OU

Suivez les étapes de la procédure de création d'un magasin de données d'événements pour les éléments de AWS Config configuration afin de créer un magasin de données d'événements d'organisation pour les éléments AWS Config de configuration.
Sur la page Choisir des événements, choisissez Activer pour tous les comptes de mon organisation.

AWS CLI

Pour créer un magasin de données sur les événements d'organisation, exécutez le create-event-data-storecommande et incluez l'--organization-enabledoption.

L'exemple de AWS CLI create-event-data-store commande suivant crée un magasin de données d'événements d'organisation qui collecte tous les événements de gestion. Étant donné que CloudTrail les événements de gestion sont enregistrés par défaut, il n'est pas nécessaire de spécifier des sélecteurs d'événements avancés si votre banque de données d'événements enregistre tous les événements de gestion et ne collecte aucun événement de données.


aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled

Voici un exemple de réponse.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}

L'exemple de AWS CLI create-event-data-store commande suivant crée un magasin de données d'événements d'organisation nommé config-items-org-eds qui collecte les éléments AWS Config de configuration. Pour collecter des éléments de configuration, spécifiez que le eventCategory champ est égal ConfigurationItem dans les sélecteurs d'événements avancés.


aws cloudtrail create-event-data-store --name config-items-org-eds \
--organization-enabled \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'

Appliquer un magasin de données d'événements au niveau du compte à une organisation

Le compte de gestion de l'organisation peut convertir un magasin de données d'événements au niveau du compte pour l'appliquer à une organisation.

Politique de ressources par défaut pour les administrateurs délégués

CloudTrail génère automatiquement une politique de ressources nommée DelegatedAdminResourcePolicy pour les magasins de données d'événements de l'organisation qui répertorie les actions que les comptes d'administrateur délégué sont autorisés à effectuer sur les magasins de données d'événements de l'organisation. Les autorisations dans DelegatedAdminResourcePolicy sont dérivées des autorisations d'administrateur déléguées dans AWS Organizations.

L'objectif DelegatedAdminResourcePolicy est de garantir que les comptes d'administrateur délégué peuvent gérer le magasin de données d'événements de l'organisation pour le compte de l'organisation et ne se voient pas refuser involontairement l'accès au magasin de données d'événements de l'organisation lorsqu'une politique basée sur les ressources est attachée au magasin de données d'événements de l'organisation qui autorise ou interdit aux principaux d'effectuer une action sur le magasin de données d'événements de l'organisation.

CloudTrail évalue DelegatedAdminResourcePolicy en tandem avec toute politique basée sur les ressources fournie pour le magasin de données d'événements de l'organisation. L'accès aux comptes d'administrateur délégué ne serait refusé que si la politique basée sur les ressources fournie incluait une déclaration interdisant explicitement aux comptes d'administrateur délégué d'effectuer une action sur le magasin de données d'événements de l'organisation que les comptes d'administrateur délégué seraient autrement en mesure d'effectuer.

Cette DelegatedAdminResourcePolicy politique est mise à jour automatiquement lorsque :

Le compte de gestion convertit un magasin de données d'événements d'organisation en un magasin de données d'événements au niveau du compte, ou convertit un magasin de données d'événements au niveau du compte en un magasin de données d'événements d'organisation.
Il y a des changements d'organisation. Par exemple, le compte de gestion enregistre ou supprime un compte d'administrateur CloudTrail délégué.

Vous pouvez consulter la up-to-date politique dans la section Politique de ressources de l'administrateur délégué de la CloudTrail console, ou en exécutant la AWS CLI get-resource-policy commande et en transmettant le magasin ARN de données d'événements de l'organisation.

L'exemple suivant exécute la get-resource-policy commande sur le magasin de données d'événements d'une organisation.


aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207

L'exemple de sortie suivant montre à la fois la politique basée sur les ressources fournie et celle DelegatedAdminResourcePolicy générée pour les comptes 333333333333 d'administrateur délégué et. 111111111111


{
  "ResourceArn": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207",
  "ResourcePolicy": {
    "Version": "2012-10-17",
    "Statement": [{
      "Sid": "EdsPolicyA",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::666666666666:root"
      },
      "Action": [
        "cloudtrail:geteventdatastore",
        "cloudtrail:startquery",
        "cloudtrail:describequery",
        "cloudtrail:cancelquery",
        "cloudtrail:generatequery",
        "cloudtrail:generatequeryresultssummary"
      ],
      "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207"
    }]
  },
  "DelegatedAdminResourcePolicy": {
    "Version": "2012-10-17",
    "Statement": [{
      "Sid": "Organization-EventDataStore-Auto-Generated-Delegated-Admin-Statement",
      "Effect": "Allow",
      "Principal": {
        "AWS": ["333333333333", "111111111111"]
      },
      "Action": [
        "cloudtrail:AddTags",
        "cloudtrail:CancelQuery",
        "cloudtrail:CreateEventDataStore",
        "cloudtrail:DeleteEventDataStore",
        "cloudtrail:DescribeQuery",
        "cloudtrail:DisableFederation",
        "cloudtrail:EnableFederation",
        "cloudtrail:GenerateQuery",
        "cloudtrail:GenerateQueryResultsSummary",
        "cloudtrail:GetEventConfiguration",
        "cloudtrail:GetEventDataStore",
        "cloudtrail:GetInsightSelectors",
        "cloudtrail:GetQueryResults",
        "cloudtrail:ListEventDataStores",
        "cloudtrail:ListQueries",
        "cloudtrail:ListTags",
        "cloudtrail:RemoveTags",
        "cloudtrail:RestoreEventDataStore",
        "cloudtrail:UpdateEventDataStore",
        "cloudtrail:StartEventDataStoreIngestion",
        "cloudtrail:StartQuery",
        "cloudtrail:StopEventDataStoreIngestion",
        "cloudtrail:UpdateEventDataStore"
      ],
      "Resource": "arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207"
    }]
  }
}

Ressources supplémentaires

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gérer les ressources de la fédération des CloudTrail lacs avec AWS Lake Formation

Intégrations