Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Commencer à utiliser les AWS CloudTrail didacticiels
Si vous êtes nouveau dans ce AWS CloudTrail domaine, ces didacticiels peuvent vous aider à apprendre à utiliser ses fonctionnalités. Pour utiliser CloudTrail les fonctionnalités, vous devez disposer des autorisations appropriées. Cette page décrit les politiques gérées disponibles CloudTrail et fournit des informations sur la manière dont vous pouvez accorder des autorisations.
**Topics**
+ [Accorder des autorisations d'utilisation CloudTrail](#tutorial-grant-permissions)
+ [Afficher l'historique des événements](tutorial-event-history.md)
+ [Créez une trace pour consigner les événements de gestion](tutorial-trail.md)
+ [Création d'un magasin de données d'événements pour les événements de données S3](tutorial-lake-S3.md)
## Accorder des autorisations d'utilisation CloudTrail
Pour créer, mettre à jour et gérer CloudTrail des ressources telles que les parcours, les magasins de données d'événements et les canaux, vous devez accorder des autorisations d'utilisation CloudTrail. Cette section fournit des informations sur les politiques gérées disponibles pour CloudTrail.
**Note**
Les autorisations que vous accordez aux utilisateurs pour effectuer des tâches d' CloudTrail administration ne sont pas les mêmes que CloudTrail celles requises pour envoyer des fichiers journaux dans des compartiments Amazon S3 ou envoyer des notifications aux rubriques Amazon SNS. Pour plus d'informations sur ces autorisations, consultez [Politique relative aux compartiments Amazon S3 pour CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).
Si vous configurez l'intégration avec Amazon CloudWatch Logs, cela nécessite CloudTrail également un rôle que celui-ci peut assumer pour transmettre des événements à un groupe de CloudWatch journaux Amazon Logs. Vous devez créer le rôle qui CloudTrail utilise. Pour plus d’informations, consultez [Octroi de l'autorisation d'afficher et de configurer CloudWatch les informations Amazon Logs sur la CloudTrail console](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users) et [Envoi d'événements à CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md).
Les politiques AWS gérées suivantes sont disponibles pour CloudTrail :
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html)— Cette politique fournit un accès complet aux CloudTrail actions sur les CloudTrail ressources, telles que les sentiers, les magasins de données sur les événements et les canaux. Cette politique fournit les autorisations requises pour créer, mettre à jour et supprimer des CloudTrail traces, des banques de données d'événements et des chaînes.
Cette politique fournit également des autorisations pour gérer le compartiment Amazon S3, le groupe de CloudWatch journaux pour les journaux et une rubrique Amazon SNS pour un suivi. Cependant, la politique `AWSCloudTrail_FullAccess` gérée n'autorise pas la suppression du compartiment Amazon S3, du groupe de CloudWatch journaux pour les journaux ou d'une rubrique Amazon SNS. Pour plus d'informations sur les politiques gérées pour d'autres AWS services, consultez le [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
**Note**
La **AWSCloudTrail\$1FullAccess**politique n'est pas destinée à être largement partagée entre vous Compte AWS. Les utilisateurs ayant ce rôle peuvent désactiver ou reconfigurer les fonctions d'audit les plus sensibles et les plus importantes dans leur Comptes AWS. Pour cette raison, vous ne devez appliquer cette politique qu'aux administrateurs de compte. Vous devez contrôler et surveiller étroitement l'utilisation de cette politique.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html)— Cette politique accorde des autorisations pour consulter la CloudTrail console, y compris les événements récents et l'historique des événements. Cette politique vous permet également de consulter les journaux de suivi, les entrepôts de données d'événement et les canaux existants. Les rôles et les utilisateurs soumis à cette politique peuvent [télécharger l'historique des événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#downloading-events), mais ils ne peuvent pas créer ou mettre à jour des journaux de suivi, des entrepôts de données d'événement ou des canaux.
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
# Afficher l'historique des événements
Cette section décrit comment utiliser la page **Historique des CloudTrail événements** de la CloudTrail console pour afficher les 90 derniers jours d'événements de gestion pour vous Compte AWS pour le moment Région AWS.
**Pour consulter l'**historique des événements****
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le panneau de navigation, choisissez **Event history** (Historique des événements). Vous voyez une liste filtrée des événements, avec les événements les plus récents affichés d’abord. Le filtre par défaut pour les événements est **Lecture seule**, défini sur **false**. Il est possible d’effacer ce filtre en choisissant **X** à droite du filtre. Vous pouvez effectuer des recherches d'événement dans l'**Historique des événements** en filtrant les événements sur un seul attribut.
![\[La page CloudTrail d'historique des événements mettant en évidence le filtre en lecture seule\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/cloudtrail-event-history.png)
1. Choisissez un attribut à filtrer et entrez la valeur complète de l'attribut. CloudTrail Impossible de filtrer sur une valeur partielle. Par exemple, pour afficher tous les événements de connexion à la console, choisissez le filtre **Nom d'événement** et spécifiez **ConsoleLogin**la valeur de l'attribut.
![\[La page de l'historique des CloudTrail événements a été filtrée sur l'ConsoleLoginévénement.\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/cloudtrail-event-history-filters.png)
Ou, pour consulter les événements CloudTrail de gestion récents, choisissez **Source de l'événement** et spécifiez`cloudtrail.amazonaws.com`. Pour plus d'informations sur les événements auxquels un service se connecte CloudTrail, reportez-vous à la référence d'API du service.
![\[La page CloudTrail d'historique des événements est filtrée sur une source d'événement spécifique\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/event-history-event-source.png)
1. Pour consulter un événement de gestion spécifique, choisissez le nom de l'événement. Sur la page des détails de l'événement, vous pouvez consulter les détails de l'événement, les ressources référencées et l'enregistrement de l'événement.
1. Pour comparer des événements, sélectionnez jusqu’à cinq événements en remplissant leurs cases à cocher dans la marge gauche de la table **Historique des événements**. Vous pouvez consulter les détails des événements sélectionnés side-by-side dans le tableau **Comparer les détails des événements**.
1. Vous pouvez enregistrer l’historique des événements en le téléchargeant en tant que fichier au format JSON ou CSV. Le téléchargement de l'historique de votre événement peut prendre quelques minutes.
![\[La page CloudTrail d'historique des événements présentant les options de téléchargement\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/cloudtrail-event-history-download.png)
Pour de plus amples informations, veuillez consulter [Utilisation de l'historique des CloudTrail événements](view-cloudtrail-events.md).
# Créez une trace pour consigner les événements de gestion
Pour votre premier suivi, nous vous recommandons de créer un suivi qui enregistre tous les [événements de gestion](cloudtrail-concepts.md#cloudtrail-concepts-management-events) et n'enregistre aucun [événement lié aux données](cloudtrail-concepts.md#cloudtrail-concepts-data-events) ni aucun événement Insights. Des exemples d’événements de gestion incluent des événements liés à la sécurité, tels que les événements IAM `CreateUser` et `AttachRolePolicy`, les événements de ressource tels que `RunInstances` et `CreateBucket`, et bien plus encore. Vous allez créer un compartiment Amazon S3 dans lequel vous stockerez les fichiers journaux du journal dans le cadre de la création du journal dans la CloudTrail console.
**Note**
AWS Control Tower configure un nouveau journal des événements de gestion des CloudTrail sentiers lorsque vous configurez une zone d'atterrissage. Il s'agit d'un suivi au niveau de l'organisation, ce qui signifie qu'il enregistre tous les événements de gestion du compte de gestion et de tous les comptes des membres de l'organisation. Pour plus d'informations, voir [À propos de la connexion AWS Control Tower dans](https://docs.aws.amazon.com/controltower/latest/userguide/about-logging.html) le *guide de AWS CloudTrail l'utilisateur*.
Ce didacticiel suppose que vous créez votre premier journal de suivi. En fonction du nombre de sentiers que vous avez sur votre AWS compte et de la façon dont ces sentiers sont configurés, la procédure suivante peut entraîner des frais ou non. CloudTrail stocke les fichiers journaux dans un compartiment Amazon S3, ce qui entraîne des coûts. Pour plus d’informations sur la tarification, consultez [Tarification AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) et [Tarification Amazon S3](https://aws.amazon.com/s3/pricing/).
**Pour créer un journal de suivi**
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le sélecteur de **région**, choisissez la AWS région dans laquelle vous souhaitez créer votre parcours. Il s'agit de la région d'origine pour le journal de suivi.
**Note**
La région d'origine est la seule Région AWS où vous pouvez mettre à jour le parcours une fois celui-ci créé.
1. Sur la page d'accueil du CloudTrail service, sur la page des **sentiers** ou dans la section des **sentiers** de la page du tableau de **bord**, choisissez **Créer un parcours**.
1. Dans **Trail name (Nom du journal de suivi)**, attribuez un nom à votre journal de suivi, par exemple *management-events*. Comme bonne pratique, utilisez un nom qui identifie rapidement l'objectif du journal de suivi. Dans ce cas, vous créez un journal de suivi qui journalise des événements de gestion.
1. Conservez le paramètre par défaut pour **Activer pour tous les comptes de mon organisation**. Cette option ne pourra pas être modifiée à moins que vous ayez des comptes configurés dans Organizations.
1. Sous **Storage location** (Emplacement de stockage), choisissez **Create new S3 bucket** (Créer un nouveau compartiment S3) pour créer un compartiment. Lorsque vous créez un bucket, il CloudTrail crée et applique les politiques de bucket requises. Si vous choisissez de créer un nouveau compartiment S3, votre politique IAM doit inclure une autorisation pour l'`s3:PutEncryptionConfiguration`action, car le chiffrement côté serveur est activé par défaut pour le compartiment. Donnez à votre bucket un nom qui le rende facilement identifiable.
Pour retrouver plus facilement vos journaux, créez un nouveau dossier (également appelé *préfixe*) dans un compartiment existant pour stocker vos CloudTrail journaux.
**Note**
Le nom de votre compartiment Amazon S3 doit être unique globalement. Pour plus d'informations, veuillez consulter la section [Règles de dénomination de compartiment](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html) dans le *Guide de l'utilisateur Amazon Simple Storage Service*.
1. Supprimez la case à cocher pour désactiver le **Chiffrement du fichier journal SSE-KMS**. Par défaut, vos fichiers journaux sont chiffrés avec le chiffrement SSE de S3. Pour plus d'informations sur ce paramètre, consultez [Utilisation du chiffrement côté serveur avec des clés gérées Amazon S3 (SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)).
1. Conserver les paramètres par défaut dans la section **Additional settings** (Paramètres supplémentaires).
1. Conservez les paramètres par défaut pour **CloudWatch Logs**. Pour le moment, n'envoyez pas de journaux à Amazon CloudWatch Logs.
1. (Facultatif) Dans **Tags**, vous pouvez ajouter jusqu'à 50 paires de clés de balises pour vous aider à identifier, trier et contrôler l'accès à votre sentier. Les balises peuvent vous aider à identifier vos CloudTrail traces et d'autres ressources, telles que les compartiments Amazon S3 qui contiennent des fichiers CloudTrail journaux. Par exemple, il est possible d’attacher une balise portant le nom **Compliance** à la valeur **Auditing**.
**Note**
Bien que vous puissiez ajouter des balises aux pistes lorsque vous les créez dans la CloudTrail console, et que vous puissiez créer un compartiment Amazon S3 pour stocker vos fichiers journaux dans la CloudTrail console, vous ne pouvez pas ajouter de balises au compartiment Amazon S3 depuis la CloudTrail console. Pour plus d'informations sur l'affichage et la modification des propriétés d'un compartiment Amazon S3, y compris l'ajout d’identifications à un compartiment, consultez le [https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html).
Après la création des identifications, choisissez **Suivant**.
1. Dans la page **Choisir des événements du journal**, sélectionnez les types d’événements à journaliser. Pour ce journal de suivi, conservez par défaut les **Événements de gestion**. Dans la zone **Événements de gestion**, choisissez de journaliser les deux événements **Lecture** et **Écriture**, s’ils ne sont pas déjà sélectionnés. Laissez les cases à cocher **Exclure les AWS KMS événements** et **Exclure les événements de l'API de données Amazon RDS** vides pour consigner tous les événements de gestion.
![\[La page Créer un journal de suivi, les paramètres Type d’événement\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-event-type.png)
1. Conservez les paramètres par défaut pour **les événements de données**, **les événements Insights** et les **événements d'activité réseau**. Ce parcours n'enregistrera aucun événement lié aux données, aucun événement Insights ou aucun événement lié à l'activité du réseau. Choisissez **Next** (Suivant).
1. Dans la page **Vérifier et créer**, vérifiez les paramètres que vous avez choisis pour votre journal de suivi. Choisissez **Modifier** pour retourner à la section souhaitée et y apporter les modifications nécessaires. Lorsque vous êtes prêt à créer votre journal de suivi, choisissez **Créer un journal de suivi**.
1. La page **Journaux de suivi** affiche votre nouveau journal fraîchement créé dans le tableau. Remarquez que le journal de suivi est défini en tant que **Journal de suivi multi-régions** par défaut, et cette journalisation est activée pour le journal de suivi par défaut.
![\[La page Créer un journal de suivi, les paramètres Type d’événement\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-done.png)
Pour plus d'informations sur les sentiers, voir[Travailler avec les CloudTrail sentiers](cloudtrail-trails.md).
# Afficher les fichiers journaux
Environ 5 minutes en moyenne après la création de votre premier parcours, CloudTrail envoie le premier ensemble de fichiers journaux au compartiment Amazon S3 correspondant à votre parcours. Vous pouvez examiner ces fichiers et en savoir plus sur les informations qu’ils contiennent.
**Note**
CloudTrail fournit généralement des journaux dans un délai moyen d'environ 5 minutes après un appel d'API. Ce délai n’est pas garanti. Pour plus d’informations, consultez le [Contrat de niveau de service (SLA)AWS CloudTrail](https://aws.amazon.com/cloudtrail/sla).
Si vous configurez mal votre trace (par exemple, si le compartiment S3 est inaccessible), vous CloudTrail tenterez de remettre les fichiers journaux à votre compartiment S3 pendant 30 jours, et ces attempted-to-deliver événements seront soumis aux frais standard. CloudTrail Pour éviter des frais sur un journal de suivi mal configuré, vous devez supprimer le journal de suivi.
**Pour afficher les fichiers journaux**
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le panneau de navigation, choisissez **Journaux de suivi**. Sur la page **Sentiers**, recherchez le nom du sentier que vous venez de créer (dans l'exemple,*management-events*).
1. Dans la ligne correspondant au parcours, choisissez la valeur du compartiment S3.
1. La console Amazon S3 s'ouvre et affiche deux dossiers pour le compartiment : `CloudTrail-Digest` et`CloudTrail`. Choisissez le **CloudTrail**dossier dans lequel afficher les fichiers journaux.
1. Si vous avez créé un parcours multirégional, il existe un dossier pour chacune Région AWS d'entre elles. Choisissez le dossier dans Région AWS lequel vous souhaitez consulter les fichiers journaux. Par exemple, si vous souhaitez vérifier les fichiers journaux de la région USA Est (Ohio), choisissez **us-east-2**.
![\[Un compartiment Amazon S3 pour un journal de suivi, montrant la structure des fichiers journaux dans des régions AWS\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/cloudtrail-trail-bucket-1.png)
1. Accédez à la structure du dossier du compartiment de l'année, du mois et du jour pour lequel vous souhaitez consulter des journaux de suivi dans cette région. Pour ce jour, il existe un certain nombre de fichiers. Le nom des fichiers commence par votre Compte AWS identifiant et se termine par l'extension`.gz`. Par exemple, si votre identifiant de compte est*123456789012*, vous verrez des fichiers portant des noms similaires à celui-ci : *123456789012* \$1 \$1 CloudTrail *us-east-2* \$1 *20240512T0000Z\$1EXAMPLE* .json.gz.
Pour afficher ces fichiers, vous pouvez les télécharger, les décompresser, puis les afficher dans un éditeur de texte brut ou un utilisateur de fichier JSON. Certains navigateurs prennent également en charge l’affichage .gz et les fichiers JSON directement. Nous vous recommandons d'utiliser un lecteur JSON, car il facilite l'analyse des informations contenues dans les fichiers journaux CloudTrail .
# Création d'un magasin de données d'événements pour les événements de données S3
Vous pouvez créer un magasin de données d'événements pour enregistrer les CloudTrail événements (événements de gestion, événements de données), les [événements CloudTrail Insights](query-event-data-store-insights.md), les [AWS Audit Manager preuves](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder), [les éléments de AWS Config configuration](query-event-data-store-config.md) ou les [AWS non-événements](event-data-store-integration-events.md).
Lorsque vous créez un magasin de données d'événements pour les événements de données, vous choisissez les types de ressources Services AWS et les types de ressources pour lesquels vous souhaitez enregistrer les événements de données. Pour plus d'informations sur Services AWS les événements liés aux données de ce journal, consultez[Événements de données](logging-data-events-with-cloudtrail.md#logging-data-events).
Cette procédure pas à pas explique comment créer un magasin de données d'événements pour les événements de données Amazon S3. Dans ce didacticiel, au lieu de journaliser tous les événements liés aux données Amazon S3, nous allons choisir un modèle de sélecteur de journal personnalisé pour ne journaliser les événements que lorsqu’un objet est supprimé d’un compartiment S3 spécifique.
**Pour créer un magasin de données d’événement pour des événements S3**
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le panneau de navigation, sous **Lake**, choisissez **Entrepôts de données d'événement**.
1. Choisissez **Créer un magasin de données d’événement**.
1. Sur la page **Configurer le magasin de données d'événements**, dans **Détails généraux**, donnez un nom à votre magasin de données d'événements, tel que*s3-data-events-eds*. Comme bonne pratique, utilisez un nom qui identifie rapidement l'objectif de l'entrepôt de données d'événement. Pour plus d'informations sur les exigences en matière de CloudTrail dénomination, consultez[Exigences de dénomination pour les CloudTrail ressources, les compartiments S3 et les clés KMS](cloudtrail-trail-naming-requirements.md).
1. Choisissez l’**option de tarification** que vous souhaitez utiliser pour votre magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que la période de conservation par défaut et maximale pour votre magasin de données d’événement. Pour plus d’informations, veuillez consulter [Tarification d’AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) et [Gestion des coûts CloudTrail du lac](cloudtrail-lake-manage-costs.md).
Les options suivantes sont disponibles :
+ **Tarif de rétention extensible d’un an** : généralement recommandé si vous prévoyez d’ingérer moins de 25 To de données d’événement par mois et souhaitez une période de conservation flexible allant jusqu’à 10 ans. Pendant les 366 premiers jours (période de conservation par défaut), le stockage est inclus sans frais supplémentaires dans le prix d’ingestion. Après 366 jours, la rétention prolongée est disponible moyennant un pay-as-you-go prix. Il s’agit de l’option par défaut.
+ **Période de conservation par défaut :** 366 jours.
+ **Période de conservation maximale :** 3 653 jours
+ **Tarif de rétention sur sept ans** : recommandé si vous prévoyez d’ingérer plus de 25 To de données d’événement par mois et que vous avez besoin d’une période de conservation allant jusqu’à 7 ans. La conservation est incluse dans le prix d’ingestion sans frais supplémentaires.
+ **Période de conservation par défaut :** 2 557 jours.
+ **Période de conservation maximale :** 2 557 jours
1. Spécifiez une période de conservation pour le magasin de données d’événement. Les périodes de conservation peuvent être comprises entre 7 jours et 3 653 jours (environ 10 ans) pour l’option de **tarification de rétention extensible d’un an**, ou entre 7 jours et 2 557 jours (environ sept ans) pour l’option de **tarification de rétention sur sept ans.**
CloudTrail Lake détermine s'il convient de conserver un événement en vérifiant si celui-ci se situe dans la période de conservation spécifiée. `eventTime` Par exemple, si vous spécifiez une période de conservation de 90 jours, les événements CloudTrail seront supprimés lorsqu'ils datent `eventTime` de plus de 90 jours.
1. (Facultatif) Dans **Chiffrement**, indiquez si vous souhaitez chiffrer l'entrepôt de données d'événement à l'aide de votre propre clé KMS. Par défaut, tous les événements d'un magasin de données d'événements sont chiffrés CloudTrail à l'aide d'une clé AWS KMS détenue et gérée pour vous.
Pour activer le chiffrement à l'aide de votre propre clé KMS, choisissez **Utiliser ma propre AWS KMS key**. Choisissez **Nouveau** pour en AWS KMS key créer une pour vous, ou choisissez **Existant** pour utiliser une clé KMS existante. Dans **Enter KMS alias**, spécifiez un alias au format `alias/`*MyAliasName*. L'utilisation de votre propre clé KMS nécessite que vous modifiiez votre politique de clé KMS pour autoriser le chiffrement et le déchiffrement des CloudTrail journaux. Pour plus d'informations, consultez[Configurer les politiques AWS KMS clés pour CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail prend également en charge les clés AWS KMS multirégionales. Pour plus d’informations, consultez la section [Utilisation de clés multi-régions](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) dans le *Guide du développeur AWS Key Management Service *.
L'utilisation de votre propre clé KMS entraîne des AWS KMS coûts de chiffrement et de déchiffrement. Une fois que vous avez associé un magasin de données d’événement à une clé KMS, celle-ci ne peut être ni supprimée ni modifiée.
**Note**
Pour activer AWS Key Management Service le chiffrement pour le magasin de données d'événements d'une organisation, vous devez utiliser une clé KMS existante pour le compte de gestion.
1. (Facultatif) Si vous souhaitez interroger les données de votre événement à l’aide d’Amazon Athena, choisissez **Activer** dans **Fédération de requêtes Lake**. La fédération vous permet de visualiser les métadonnées associées au magasin de données d’événement dans le [catalogue de données](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) d’ AWS Glue et d’exécuter des requêtes SQL sur les données d’événement dans Athena. Les métadonnées des tables stockées dans le catalogue de AWS Glue données permettent au moteur de requête Athena de savoir comment rechercher, lire et traiter les données que vous souhaitez interroger. Pour de plus amples informations, veuillez consulter [Fédérer un magasin de données d’événement](query-federation.md).
Pour activer la fédération de requêtes Lake, choisissez **Activer**, puis procédez comme suit :
1. Choisissez si vous souhaitez créer un rôle ou utiliser un rôle IAM existant. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utilise ce rôle pour gérer les autorisations pour le magasin de données d’événement fédéré. Lorsque vous créez un nouveau rôle à l'aide de la CloudTrail console, il en crée CloudTrail automatiquement un avec les autorisations requises. Si vous choisissez un rôle existant, assurez-vous que la politique du rôle fournit les [autorisations minimales requises](query-federation.md#query-federation-permissions-role).
1. Si vous créez un rôle, saisissez un nom pour identifier le rôle.
1. Si vous utilisez un rôle existant, choisissez le rôle que vous souhaitez utiliser. Le rôle doit exister dans votre compte.
1. (Facultatif) Choisissez **Activer la politique de ressources** pour ajouter une politique basée sur les ressources à votre banque de données d'événements. Les politiques basées sur les ressources vous permettent de contrôler les principaux autorisés à effectuer des actions sur votre banque de données d'événements. Par exemple, vous pouvez ajouter une politique basée sur les ressources qui permet aux utilisateurs root d'autres comptes d'interroger cette banque de données d'événements et d'afficher les résultats de la requête. Pour obtenir des exemples de politiques, consultez [Exemples de politiques basées sur les ressources pour les magasins de données d'événements](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Une politique basée sur les ressources inclut une ou plusieurs instructions. Chaque déclaration de la politique définit [les principaux auxquels](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) l'accès est autorisé ou refusé au magasin de données d'événements et les actions que les principaux peuvent effectuer sur la ressource du magasin de données d'événements.
Les actions suivantes sont prises en charge dans les politiques basées sur les ressources pour les magasins de données d'événements :
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Pour les [magasins de données d'événements d'organisation](cloudtrail-lake-organizations.md), CloudTrail crée une [politique par défaut basée sur les ressources](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) qui répertorie les actions que les comptes d'administrateur délégué sont autorisés à effectuer sur les magasins de données d'événements de l'organisation. Les autorisations de cette politique sont dérivées des autorisations d'administrateur déléguées dans AWS Organizations. Cette politique est mise à jour automatiquement à la suite de modifications apportées au magasin de données d'événements de l'organisation ou à l'organisation (par exemple, un compte d'administrateur CloudTrail délégué est enregistré ou supprimé).
1. (Facultatif) Dans **Balises**, ajoutez une ou plusieurs identifications personnalisées (paires valeur-clé) à votre magasin de données d’événement. Les balises peuvent vous aider à identifier les magasins de données de vos CloudTrail événements. Par exemple, il est possible d’attacher une balise portant le nom **stage** à la valeur **prod**. Vous pouvez utiliser des balises pour limiter l'accès à votre entrepôt de données d'événement. Vous pouvez également utiliser des balises pour suivre les coûts de requête et d'ingestion pour votre entrepôt de données d'événement.
Pour plus d'informations sur l'utilisation des balises pour le suivi des coûts, veuillez consulter [Création de balises de répartition des coûts définies par l'utilisateur pour les magasins de données d'événements CloudTrail Lake](cloudtrail-budgets-tools.md#cloudtrail-lake-manage-costs-tags). Pour plus d'informations sur l'utilisation des politiques IAM pour autoriser l'accès à un entrepôt de données d'événement basé sur des balises, veuillez consulter [Exemples : rejeter l'accès à la création ou à la suppression de magasins de données d'événement en fonction des identifications](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Pour plus d'informations sur la manière dont vous pouvez utiliser les balises AWS, consultez la section [Marquage de vos AWS ressources](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) dans le Guide de l'*utilisateur AWS des ressources de balisage*.
1. Choisissez **Suivant** pour configurer le magasin de données d’événement.
1. Sur la page **Choisir des événements**, conservez les sélections par défaut pour **Type d'événement**.
![\[Choisissez un type d'événement pour l'entrepôt de données d'événement\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/lake-event-type.png)
1. Pour les **CloudTrail événements**, choisissez **Data events** et désélectionnez **Management events**. Pour plus d'informations sur les événements de données, veuillez consulter [Journalisation des événements de données](logging-data-events-with-cloudtrail.md).
![\[Choisissez CloudTrail les événements de données pour le stockage des données d'événements\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/cloudtrail-events-data.png)
1. Conservez le paramètre par défaut pour **Copier les événements de suivi**. Vous utiliseriez cette option pour copier des événements de journal de suivi existant dans votre entrepôt de données d'événement. Pour de plus amples informations, veuillez consulter [Copier des événements de journal de suivi dans un magasin de données d'événement](cloudtrail-copy-trail-to-lake-eds.md).
1. Choisissez **Activer pour tous les comptes de mon organisation** s'il s'agit d'un entrepôt de données d'événement d'organisation. Cette option ne pourra pas être modifiée à moins que vous ayez des comptes configurés dans AWS Organizations.
1. Pour **Paramètres supplémentaires**, laissez les sélections par défaut. Par défaut, un magasin de données d'événements collecte les événements pour tous Régions AWS et commence à les ingérer dès sa création.
1. Pour **Événements de données**, effectuez les sélections suivantes :
1. Dans **Type de ressource**, choisissez **S3**. Le type de ressource identifie la Service AWS ressource sur laquelle les événements de données sont enregistrés.
1. Dans **Modèle de sélecteur de journaux**, choisissez **Personnalisé**. En choisissant **Personnalisé**, vous pouvez définir un sélecteur d'événements personnalisé pour filtrer les champs `eventName`, `resources.ARN` et `readOnly`. Pour plus d'informations sur ces champs, consultez [AdvancedFieldSelector](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html)la *référence de l'AWS CloudTrail API*.
1. (Facultatif) Dans **Nom du sélecteur**, saisissez un nom pour identifier votre sélecteur. Le nom du sélecteur est le nom descriptif d'un sélecteur d'événements avancé, tel que « Log DeleteObject API calls for a specific S3 bucket ». Le nom du sélecteur est répertorié comme `Name` dans le sélecteur d'événements avancé et est visible si vous développez la **Vue JSON.**
![\[Vue JSON étendue affichant les sélecteurs d'événements avancés\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/json-view-selector-name.png)
1. Dans les **sélecteurs d'événements avancés**, nous allons créer le sélecteur d'événements personnalisé pour filtrer les champs `eventName` et`resources.ARN`. Les sélecteurs d’événements avancés pour un magasin de données d’événement fonctionnent de la même manière que les sélecteurs d’événements avancés que vous appliquez à un journal de suivi. Pour plus d’informations sur la création de sélecteurs d’événements avancés, consultez [Journalisation des événements de données à l’aide de sélecteurs d’événement avancés](logging-data-events-with-cloudtrail.md#creating-data-event-selectors-advanced).
1. Pour **Champ**, choisissez **eventName**. Pour **Opérateur**, choisissez **Égal à**. Pour le champ **Valeur**, saisissez **DeleteObject**. Choisissez **\$1 Champ** pour filtrer sur un autre champ.
1. Pour **Champ**, choisissez **resources.ARN**. Pour **Opérateur**, choisissez **StartsWith**. Dans **Value**, entrez l'ARN de votre bucket (par exemple, arn:aws:s3 : :1). *amzn-s3-demo-bucket* Pour plus d'informations sur la façon d'obtenir l'ARN, veuillez consulter les [ressources Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html) dans le *Guide de l'utilisateur d'Amazon Simple Storage Service*.
![\[Configuration des événements de données S3\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/eds-data-events.png)
1. Choisissez **Suivant** pour examiner vos préférences.
1. Sur la page **Review and create** (Vérifier et créer), examinez vos choix. Choisissez **Modifier (Edit)** pour apporter des modifications à la section. Lorsque vous êtes prêt à créer le magasin de données d’événement, choisissez **Créer un magasin de données d’événement**.
1. Le nouvel entrepôt de données d'événement est visible dans la table **Entrepôts de données d'événement** sur la page **Entrepôts de données d'événement**.
À partir de ce moment, le magasin de données d’événement capture les événements qui correspondent à ses sélecteurs d’événements avancés. Les événements s'étant produits avant la création du stockage de données d'événement ne figurent pas dans celui-ci, à moins que vous ne choisissiez de copier les événements de suivi existants.
Vous pouvez désormais exécuter des requêtes sur votre entrepôt de données d'événement. Pour plus d'informations sur la façon d'afficher et d'exécuter des exemples de requêtes, veuillez consulter [Afficher des exemples de requêtes avec la CloudTrail console](lake-console-queries.md).
Pour plus d'informations sur CloudTrail Lake, consultez[Travailler avec AWS CloudTrail Lake](cloudtrail-lake.md).