Résolution des problèmes liés à un suivi organisationnel - AWS CloudTrail
CloudTrail n'organise pas d'événementsCloudTrail n'envoie pas de notifications Amazon SNS pour le compte d'un membre d'une organisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des problèmes liés à un suivi organisationnel

Cette section fournit des informations sur la manière de résoudre les problèmes liés à un suivi organisationnel.

CloudTrail n'organise pas d'événements

Si CloudTrail les fichiers CloudTrail journaux ne sont pas envoyés au compartiment Amazon S3

Vérifiez s'il y a un problème avec le compartiment S3.

  • Depuis la CloudTrail console, consultez la page de détails du parcours. En cas de problème avec le compartiment S3, la page de détails inclut un avertissement indiquant que la livraison au compartiment S3 a échoué.

  • À partir du AWS CLI, exécutez la get-trail-statuscommande. En cas d'échec, la sortie de commande inclut le LatestDeliveryError champ, qui affiche toute erreur Amazon S3 CloudTrail rencontrée lors de la tentative de transfert de fichiers journaux vers le compartiment désigné. Cette erreur se produit uniquement en cas de problème avec le compartiment S3 de destination et ne se produit pas pour les demandes dont le délai d'expiration est dépassé. Pour résoudre le problème, corrigez la politique du compartiment afin de CloudTrail pouvoir écrire dans le compartiment ; ou créez un nouveau compartiment, puis appelez update-trail pour spécifier le nouveau compartiment. Pour plus d'informations sur la politique de compartiment de l'organisation, consultez Créer ou mettre à jour un compartiment Amazon S3 à utiliser pour stocker les fichiers journaux d'un journal d'organisation.

Si les journaux CloudTrail ne sont pas envoyés à CloudWatch Logs

Vérifiez s'il existe un problème avec la configuration de la politique de rôle CloudWatch Logs.

  • Depuis la CloudTrail console, consultez la page de détails du parcours. En cas de problème avec CloudWatch les journaux, la page de détails inclut un avertissement indiquant que la livraison CloudWatch des journaux a échoué.

  • À partir du AWS CLI, exécutez la get-trail-statuscommande. En cas d'échec, le résultat de la commande inclut le LatestCloudWatchLogsDeliveryError champ, qui affiche toute erreur de CloudWatch journalisation CloudTrail rencontrée lors de la tentative de transfert de CloudWatch journaux à Logs. Pour résoudre le problème, corrigez la politique relative au rôle CloudWatch des journaux. Pour plus d'informations sur la politique relative au rôle des CloudWatch journaux, consultezDocument de politique de rôle pour l'utilisation CloudTrail des CloudWatch journaux à des fins de surveillance.

Si vous ne voyez aucune activité liée à un compte membre dans le journal d'une organisation

Si vous ne constatez aucune activité liée à un compte membre dans le journal d'une organisation, vérifiez les points suivants :

  • Vérifiez la région d'origine du sentier pour voir s'il s'agit d'une région optionnelle

    Bien que la plupart Régions AWS soient activées par défaut pour vous Compte AWS, vous devez activer manuellement certaines régions (également appelées régions optionnelles). Pour plus d'informations sur les régions activées par défaut, consultez la section Considérations relatives à l'activation et à la désactivation des régions dans le Guide de AWS Account Management référence. Pour la liste des régions prises CloudTrail en charge, voirCloudTrail Régions prises en charge.

    Si le parcours de l'organisation est multirégional et que la région d'origine est une région optionnelle, les comptes membres n'enverront aucune activité au parcours de l'organisation à moins qu'ils n'aient choisi celui Région AWS où le parcours multirégional a été créé. Par exemple, si vous créez un parcours multirégional et que vous choisissez la région Europe (Espagne) comme région d'origine du parcours, seuls les comptes membres ayant activé la région Europe (Espagne) pour leur compte enverront l'activité de leur compte au parcours de l'organisation. Pour résoudre le problème, activez la région opt-in dans chaque compte membre de votre organisation. Pour plus d'informations sur l'activation d'une région optionnelle, voir Activer ou désactiver une région dans votre organisation dans le Guide de AWS Account Management référence.

  • Vérifiez si la politique basée sur les ressources de l'organisation est en conflit avec la politique des rôles liés au CloudTrail service

    CloudTrail utilise le rôle lié au service nommé AWSServiceRoleForCloudTrailpour prendre en charge les traces de l'organisation. Ce rôle lié à un service permet d' CloudTrail effectuer des actions sur les ressources de l'organisation, telles que. organizations:DescribeOrganization Si la politique basée sur les ressources de l'organisation refuse une action autorisée dans la politique des rôles liés au service, elle ne CloudTrail pourra pas exécuter l'action même si elle est autorisée dans la politique des rôles liés au service. Pour résoudre le problème, corrigez la politique basée sur les ressources de l'organisation afin qu'elle ne refuse pas les actions autorisées dans la politique des rôles liés aux services.

CloudTrail n'envoie pas de notifications Amazon SNS pour le compte d'un membre d'une organisation

Lorsqu'un compte membre associé à un historique d' AWS Organizations organisation n'envoie pas de notifications Amazon SNS, il se peut que la configuration de la politique relative aux rubriques SNS pose problème. CloudTrail crée des traces d'organisation dans les comptes des membres même si la validation d'une ressource échoue. Par exemple, la rubrique SNS du journal de l'organisation n'inclut pas tous les identifiants de compte des membres. Si la politique des rubriques SNS est incorrecte, un échec d'autorisation se produit.

Pour vérifier si la politique des rubriques SNS d'un parcours présente un échec d'autorisation :

  • Depuis la CloudTrail console, consultez la page de détails du parcours. En cas d'échec de l'autorisation, la page de détails inclut un avertissement SNS authorization failed et indique qu'il faut corriger la politique des rubriques SNS.

  • À partir du AWS CLI, exécutez la get-trail-statuscommande. En cas d'échec de l'autorisation, la sortie de commande inclut le LastNotificationError champ avec une valeur deAuthorizationError. Pour résoudre le problème, corrigez la politique relative aux rubriques Amazon SNS. Pour plus d'informations sur la politique relative aux rubriques Amazon SNS, consultez. Politique relative aux rubriques Amazon SNS pour CloudTrail

Pour plus d'informations sur les sujets liés aux réseaux sociaux et sur l'abonnement à ces derniers, consultez Getting started with Amazon SNS dans le manuel du développeur Amazon Simple Notification Service.