Création d’un journal de suivi pour votre organisation dans la console

Pour créer un parcours d'organisation à l'aide du AWS Management Console

1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudtrail/.

   Vous devez être connecté en utilisant une IAM identité dans le compte de gestion ou d'administrateur délégué avec des autorisations suffisantes pour créer un journal d'organisation.

2. Choisissez Journaux de suivi, puis Créer un journal de suivi.

3. Sur la page Create Trail (Créer un journal d'activité), tapez un nom pour votre journal d'activité dans la zone Trail Name (Nom du journal d'activité). Pour plus d'informations, consultez Exigences de dénomination pour les CloudTrail ressources, les compartiments S3 et les clés KMS.

4. Sélectionnez Activer pour tous les comptes de mon organisation. Cette option ne s'affiche que si vous vous connectez à la console avec un utilisateur ou un rôle du compte de gestion ou d'administrateur délégué. Pour créer avec succès le journal de suivi d'une organisation, assurez-vous que l'utilisateur ou le rôle dispose d'autorisations suffisantes.

5. Sous Storage location (Emplacement de stockage), sélectionnez Create new S3 bucket (Créer un nouveau compartiment S3) pour créer un compartiment. Lorsque vous créez un bucket, il CloudTrail crée et applique les politiques de bucket requises.

   Note

   Si vous avez choisi Utilisation du compartiment S3 existant, spécifiez un compartiment dans Nom du compartiment du journal de suivi, ou sélectionnez Parcourir pour choisir un compartiment. Vous pouvez choisir un bucket appartenant à n'importe quel compte, mais la politique du bucket doit CloudTrail autoriser l'écriture dans ce compartiment. Pour en savoir plus sur la modification manuelle de la politique de compartiment, consultez Politique relative aux compartiments Amazon S3 pour CloudTrail.

   Pour retrouver plus facilement vos journaux, créez un nouveau dossier (également appelé préfixe) dans un compartiment existant pour stocker vos CloudTrail journaux. Saisir le préfixe dans Préfixe.

6. Pour KMSChiffrement des fichiers SSE journaux, choisissez Activé si vous souhaitez chiffrer vos fichiers journaux en utilisant le KMS cryptage SSE - au lieu du cryptage SSE -S3. La valeur par défaut est Activé. Si vous n'activez SSE pas le KMS chiffrement, vos journaux sont chiffrés à l'aide du chiffrement SSE -S3. Pour plus d'informations sur SSE KMS le chiffrement, voir Utilisation du chiffrement côté serveur avec AWS Key Management Service (SSE-KMS). Pour plus d'informations sur le chiffrement SSE -S3, consultez Utilisation du chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 (-S3). SSE

   Si vous activez SSE KMS le chiffrement, sélectionnez Nouveau ou Existant AWS KMS key. Dans AWS KMS Alias, spécifiez un alias, au format alias/MyAliasName. Pour plus d'informations, consultezMettre à jour une ressource pour utiliser votre KMS clé avec la console.

   Note

   Vous pouvez également saisir la clé ARN d'un autre compte. Pour de plus amples informations, veuillez consulter Mettre à jour une ressource pour utiliser votre KMS clé avec la console. La politique de clé doit CloudTrail autoriser l'utilisation de la clé pour chiffrer vos fichiers journaux et permettre aux utilisateurs que vous spécifiez de lire les fichiers journaux sous forme non chiffrée. Pour en savoir plus sur la modification manuelle de la politique de clés, consultez Configurer les politiques AWS KMS clés pour CloudTrail.

7. Sous Paramètres supplémentaires, configurez les événements suivants.

   1. Sous Validation du fichier journal, choisissez Activé pour que les fichiers de valeur de hachage soient livrés dans votre compartiment S3. Vous pouvez utiliser les fichiers de synthèse pour vérifier que vos fichiers journaux n'ont pas changé après leur CloudTrail livraison. Pour de plus amples informations, veuillez consulter Validation de l' CloudTrail intégrité du fichier journal.

   2. Pour l'envoi des SNS notifications, choisissez Enabled pour être averti chaque fois qu'un journal est envoyé à votre bucket. CloudTrail enregistre plusieurs événements dans un fichier journal. SNSles notifications sont envoyées pour chaque fichier journal, pas pour chaque événement. Pour de plus amples informations, veuillez consulter Configuration des SNS notifications Amazon pour CloudTrail.

      Si vous activez SNS les notifications, pour Créer un nouveau SNS sujet, choisissez Nouveau pour créer un sujet, ou choisissez Existant pour utiliser un sujet existant. Si vous créez un suivi qui s'applique à toutes les régions, les SNS notifications relatives aux livraisons de fichiers journaux provenant de toutes les régions sont envoyées au SNS sujet unique que vous créez.

      Si vous choisissez Nouveau, vous CloudTrail spécifiez un nom pour le nouveau sujet ou vous pouvez saisir un nom. Si vous choisissez Existant, choisissez un SNS sujet dans la liste déroulante. Vous pouvez également accéder à un sujet ARN d'une autre région ou à partir d'un compte disposant des autorisations appropriées. Pour de plus amples informations, veuillez consulter Politique SNS thématique d'Amazon pour CloudTrail.

      Si vous créez une rubrique, vous devez vous abonner à la rubrique pour être averti de l'envoi de fichiers journaux. Vous pouvez vous abonner depuis la SNS console Amazon. En raison de la fréquence des notifications, nous vous recommandons de configurer l'abonnement de manière à utiliser une SQS file d'attente Amazon afin de gérer les notifications par programmation. Pour plus d'informations, consultez Getting started with Amazon SNS dans le guide du développeur Amazon Simple Notification Service.

8. Vous pouvez éventuellement configurer CloudTrail pour envoyer des fichiers CloudWatch journaux à Logs en choisissant Enabled in CloudWatch Logs. Pour de plus amples informations, veuillez consulter Envoi d'événements à CloudWatch Logs.

   Note

   Seul le compte de gestion peut configurer un groupe de CloudWatch journaux pour un journal d'entreprise à l'aide de la console. L'administrateur délégué peut configurer un groupe de CloudWatch journaux Logs à l'aide UpdateTrail API des opérations AWS CLI CloudTrail CreateTrail or or.

   1. Si vous activez l'intégration aux CloudWatch journaux, choisissez Nouveau pour créer un nouveau groupe de journaux, ou Existant pour utiliser un groupe existant. Si vous choisissez Nouveau, vous CloudTrail spécifiez un nom pour le nouveau groupe de journaux ou vous pouvez saisir un nom.

   2. Si vous choisissez Existant, choisissez un groupe de journaux dans la liste déroulante.

   3. Choisissez Nouveau pour créer un nouveau IAM rôle pour les autorisations permettant d'envoyer des CloudWatch journaux à Logs. Choisissez Existant pour choisir un IAM rôle existant dans la liste déroulante. L’instruction de politique pour le rôle nouveau ou existant s’affiche lorsque vous déroulez Document de politique. Pour plus d’informations sur ce rôle, consultez Document de politique de rôle pour l'utilisation CloudTrail des CloudWatch journaux à des fins de surveillance.

      Note

      Lorsque vous configurez un parcours, vous pouvez choisir un compartiment S3 et une SNS rubrique Amazon appartenant à un autre compte. Toutefois, si vous souhaitez CloudTrail transmettre des événements à un groupe de CloudWatch journaux journaux, vous devez choisir un groupe de journaux existant dans votre compte actuel.

9. Pour les balises, vous pouvez ajouter jusqu'à 50 paires de clés de balises pour vous aider à identifier, à trier et à contrôler l'accès à votre sentier. Les balises peuvent vous aider à identifier à la fois vos CloudTrail traces et les compartiments Amazon S3 contenant les fichiers CloudTrail journaux. Vous pouvez ensuite utiliser des groupes de ressources pour vos CloudTrail ressources. Pour plus d’informations, consultez AWS Resource Groups et Balises.

10. Sur la page Choisir des événements du journal, choisissez les types d’événements que vous souhaitez consigner. Sous Événements de gestion, procédez comme suit.

    1. Pour ce qui est de APIl'activité, choisissez si vous souhaitez que votre parcours enregistre les événements de lecture, les événements d'écriture ou les deux. Pour de plus amples informations, veuillez consulter Événements de gestion.

    2. Choisissez Exclure les AWS KMS événements pour filtrer AWS Key Management Service (AWS KMS) les événements de votre parcours. Le paramètre par défaut est d'inclure tous les événements AWS KMS .

       L'option permettant d'enregistrer ou d'exclure AWS KMS des événements n'est disponible que si vous enregistrez des événements de gestion sur votre parcours. Si vous choisissez de ne pas consigner les événements de gestion, AWS KMS ceux-ci ne sont pas enregistrés et vous ne pouvez pas modifier les paramètres de journalisation des AWS KMS événements.

       AWS KMS des actions telles que EncryptDecrypt, et génèrent GenerateDataKey généralement un grand volume (plus de 99 %) d'événements. Ces actions sont désormais journalisées en tant qu’événements Lecture. Les AWS KMS actions pertinentes à faible volume telles que DisableDelete, et ScheduleKey (qui représentent généralement moins de 0,5 % du volume d' AWS KMS événements) sont enregistrées en tant qu'événements d'écriture.

       Pour exclure les événements de volume important tels que Encrypt, Decrypt et GenerateDataKey, tout en continuant de journaliser les événements pertinents tels que Disable, Delete et ScheduleKey, choisissez de journaliser les événements de gestion Écriture et effacez la case à cocher pour Exclure les événements AWS KMS .

    3. Choisissez Exclure RDS les API événements Amazon Data pour exclure de votre liste les événements Amazon Relational Database Service API Data Data. Le paramètre par défaut est d'inclure tous les API événements Amazon RDS Data. Pour plus d'informations sur les API événements Amazon RDS Data, consultez la section Journalisation des API appels de données AWS CloudTrail dans le Guide de RDS l'utilisateur Amazon pour Aurora.

11. Pour journaliser les événements de données, choisissez Événements de données. Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour plus d'informations, consultez AWS CloudTrail Pricing (Tarification CTlong).

12. Important

    Les étapes 12 à 16 concernent la configuration des événements de données à l'aide de sélecteurs d'événements avancés, ce qui est le cas par défaut. Les sélecteurs d'événements avancés vous permettent de configurer davantage de types d'événements de données et de contrôler avec précision les événements de données capturés par votre journal de suivi. Si vous prévoyez de consigner les événements liés à l'activité du réseau (en version préliminaire), vous devez utiliser des sélecteurs d'événements avancés. Si vous utilisez des sélecteurs d'événements de base, suivez les étapes décrites dansConfigurer les paramètres des événements de données à l’aide de sélecteurs d’événements de base, puis revenez à l'étape 17 de cette procédure.

    Pour Type d’événement de données, choisissez le type de ressource sur lequel vous souhaitez journaliser les événements de données. Pour plus d'informations sur les types d'événements de données, veuillez consulter Événements de données.

    Note

    Pour enregistrer les événements de données pour AWS Glue les tables créées par Lake Formation, choisissez Lake Formation.

13. Choisissez un modèle de sélecteur de journaux. CloudTrail inclut des modèles prédéfinis qui enregistrent tous les événements de données pour le type de ressource. Pour créer un modèle de sélecteur de journal personnalisé, choisissez Personnaliser.

    Note

    Le choix d'un modèle prédéfini pour les compartiments S3 permet de consigner les événements de données pour tous les compartiments actuellement présents dans votre AWS compte et pour tous les compartiments que vous créez une fois le suivi terminé. Il permet également de consigner l'activité des événements de données effectuée par n'importe quelle IAM identité de votre AWS compte, même si cette activité est effectuée sur un bucket appartenant à un autre AWS compte.

    Si le journal de suivi s’applique à une seule région, le fait de choisir un modèle prédéfini qui journalise tous les compartiments S3 permet la journalisation des événements de données pour tous les compartiments situés dans la même région que votre journal de suivi et tous les compartiments que vous créerez ultérieurement dans cette région. Il ne va pas journaliser les d'événements de données pour les compartiments Amazon S3 situés dans d'autres régions de votre compte AWS .

    Si vous créez un suivi pour toutes les régions, le choix d'un modèle prédéfini pour les fonctions Lambda permet de consigner les événements de données pour toutes les fonctions actuellement présentes dans votre AWS compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans n'importe quelle région une fois le suivi créé. Si vous créez un suivi pour une seule région (en utilisant le AWS CLI), cette sélection active l'enregistrement des événements de données pour toutes les fonctions actuellement présentes dans cette région sur votre AWS compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans cette région une fois que vous aurez fini de créer le journal. Cela n’active pas la journalisation des événements de données pour les fonctions Lambda créées dans d’autres régions.

    La journalisation des événements de données pour toutes les fonctions permet également de consigner l'activité des événements de données effectuée par n'importe quelle IAM identité de votre AWS compte, même si cette activité est effectuée sur une fonction appartenant à un autre AWS compte.

14. (Facultatif) Dans Nom du sélecteur, saisissez un nom pour identifier votre sélecteur. Le nom du sélecteur est un nom descriptif pour un sélecteur d'événements avancé, tel que « Journaliser les événements de données pour deux compartiments S3 uniquement ». Le nom du sélecteur est répertorié comme Name dans le sélecteur d'événements avancé et est visible si vous agrandissez la vue. JSON

15. Dans Sélecteurs d’événements avancés, créez une expression pour les ressources spécifiques sur lesquelles vous souhaitez journaliser les événements de données. Vous pouvez ignorer cette étape si vous utilisez un modèle de journal prédéfini.

    1. Choisissez parmi les options suivantes.

       • readOnly- readOnly peut être défini pour être égal à une valeur de true oufalse. Les événements de données en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les événements Get* ou Describe*. Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements Put*, Delete*, ou Write*. Pour journaliser les deux événements read et write, n'ajoutez pas de sélecteur readOnly.

       • eventName - eventName peut utiliser n’importe quel opérateur. Vous pouvez l'utiliser pour inclure ou exclure tout événement de données enregistré CloudTrail, tel que PutBucketGetItem, ouGetSnapshotBlock.

       • resources.ARN- Vous pouvez utiliser n'importe quel opérateurresources.ARN, mais si vous utilisez égal ou non, la valeur doit correspondre exactement à celle ARN d'une ressource valide du type que vous avez spécifié dans le modèle comme valeur deresources.type.

         Le tableau suivant indique le ARN format valide pour chacun d'entre euxresources.type.

         Note

         Vous ne pouvez pas utiliser le resources.ARN champ pour filtrer les types de ressources qui n'en ont pasARNs.

         resources.type	ressources. ARN
         AWS::DynamoDB::Table1	arn:partition:dynamodb:region:account_ID:table/table_name
         AWS::Lambda::Function	arn:partition:lambda:region:account_ID:function:function_name
         AWS::S3::Object2	arn:partition:s3:::amzn-s3-demo-bucket/ arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/
         AWS::AppConfig::Configuration	arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
         AWS::B2BI::Transformer	arn:partition:b2bi:region:account_ID:transformer/transformer_ID
         AWS::Bedrock::AgentAlias	arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
         AWS::Bedrock::FlowAlias	arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID
         AWS::Bedrock::Guardrail	arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID
         AWS::Bedrock::KnowledgeBase	arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
         AWS::Bedrock::Model	ARNIl doit être dans l'un des formats suivants : arn:partition:bedrock:region::foundation-model/resource_ID arn:partition:bedrock:region:account_ID:provisioned-model/resource_ID arn:partition:bedrock:region:account_ID:custom-model/resource_ID
         AWS::Cassandra::Table	arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
         AWS::CloudFront::KeyValueStore	arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
         AWS::CloudTrail::Channel	arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
         AWS::CodeWhisperer::Customization	arn:partition:codewhisperer:region:account_ID:customization/customization_ID
         AWS::CodeWhisperer::Profile	arn:partition:codewhisperer:region:account_ID:profile/profile_ID
         AWS::Cognito::IdentityPool	arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
         AWS::DataExchange::Asset	arn:partition:dataexchange:region:account_ID:data-sets/data_set_ID/revisions/revision_ID/assets/asset_ID
         AWS::Deadline::Fleet	arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID
         AWS::Deadline::Job	arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID/job/job_ID
         AWS::Deadline::Queue	arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID
         AWS::Deadline::Worker	arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID/worker/worker_ID
         AWS::DynamoDB::Stream	arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
         AWS::EC2::Snapshot	arn:partition:ec2:region::snapshot/snapshot_ID
         AWS::EMRWAL::Workspace	arn:partition:emrwal:region:account_ID:workspace/workspace_name
         AWS::FinSpace::Environment	arn:partition:finspace:region:account_ID:environment/environment_ID
         AWS::Glue::Table	arn:partition:glue:region:account_ID:table/database_name/table_name
         AWS::GreengrassV2::ComponentVersion	arn:partition:greengrass:region:account_ID:components/component_name
         AWS::GreengrassV2::Deployment	arn:partition:greengrass:region:account_ID:deployments/deployment_ID
         AWS::GuardDuty::Detector	arn:partition:guardduty:region:account_ID:detector/detector_ID
         AWS::IoT::Certificate	arn:partition:iot:region:account_ID:cert/certificate_ID
         AWS::IoT::Thing	arn:partition:iot:region:account_ID:thing/thing_ID
         AWS::IoTSiteWise::Asset	arn:partition:iotsitewise:region:account_ID:asset/asset_ID
         AWS::IoTSiteWise::TimeSeries	arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
         AWS::IoTTwinMaker::Entity	arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
         AWS::IoTTwinMaker::Workspace	arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
         AWS::KendraRanking::ExecutionPlan	arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
         AWS::Kinesis::Stream	arn:partition:kinesis:region:account_ID:stream/stream_name
         AWS::Kinesis::StreamConsumer	arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
         AWS::KinesisVideo::Stream	arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
         AWS::MachineLearning::MlModel	arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
         AWS::ManagedBlockchain::Network	arn:partition:managedblockchain:::networks/network_name
         AWS::ManagedBlockchain::Node	arn:partition:managedblockchain:region:account_ID:nodes/node_ID
         AWS::MedicalImaging::Datastore	arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
         AWS::NeptuneGraph::Graph	arn:partition:neptune-graph:region:account_ID:graph/graph_ID
         AWS::One::UKey	arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID
         AWS::One::User	arn:partition:one:region:account_ID:user/user_ID
         AWS::PaymentCryptography::Alias	arn:partition:payment-cryptography:region:account_ID:alias/alias
         AWS::PaymentCryptography::Key	arn:partition:payment-cryptography:region:account_ID:key/key_ID
         AWS::PCAConnectorAD::Connector	arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
         AWS::PCAConnectorSCEP::Connector	arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
         AWS::QApps:QApp	arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
         AWS::QBusiness::Application	arn:partition:qbusiness:region:account_ID:application/application_ID
         AWS::QBusiness::DataSource	arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
         AWS::QBusiness::Index	arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
         AWS::QBusiness::WebExperience	arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
         AWS::RDS::DBCluster	arn:partition:rds:region:account_ID:cluster/cluster_name
         AWS::RUM::AppMonitor	arn:partition:rum:region:account_ID:appmonitor/app_monitor_name
         AWS::S3::AccessPoint3	arn:partition:s3:region:account_ID:accesspoint/access_point_name
         AWS::S3Express::Object	arn:partition:s3express:region:account_ID:bucket/bucket_name
         AWS::S3ObjectLambda::AccessPoint	arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
         AWS::S3Outposts::Object	arn:partition:s3-outposts:region:account_ID:object_path
         AWS::SageMaker::Endpoint	arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
         AWS::SageMaker::ExperimentTrialComponent	arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
         AWS::SageMaker::FeatureGroup	arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
         AWS::SCN::Instance	arn:partition:scn:region:account_ID:instance/instance_ID
         AWS::ServiceDiscovery::Namespace	arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
         AWS::ServiceDiscovery::Service	arn:partition:servicediscovery:region:account_ID:service/service_ID
         AWS::SNS::PlatformEndpoint	arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
         AWS::SNS::Topic	arn:partition:sns:region:account_ID:topic_name
         AWS::SocialMessaging::PhoneNumberId	arn:partition:social-messaging:region:account_ID:phone-number-id/phone_number_ID
         AWS::SQS::Queue	arn:partition:sqs:region:account_ID:queue_name
         AWS::SSM::ManagedNode	ARNIl doit être dans l'un des formats suivants : arn:partition:ssm:region:account_ID:managed-instance/instance_ID arn:partition:ec2:region:account_ID:instance/instance_ID
         AWS::SSMMessages::ControlChannel	arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
         AWS::StepFunctions::StateMachine	ARNIl doit être dans l'un des formats suivants : arn:partition:states:region:account_ID:stateMachine:stateMachine_name arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name
         AWS::SWF::Domain	arn:partition:swf:region:account_ID:/domain/domain_name
         AWS::ThinClient::Device	arn:partition:thinclient:region:account_ID:device/device_ID
         AWS::ThinClient::Environment	arn:partition:thinclient:region:account_ID:environment/environment_ID
         AWS::Timestream::Database	arn:partition:timestream:region:account_ID:database/database_name
         AWS::Timestream::Table	arn:partition:timestream:region:account_ID:database/database_name/table/table_name
         AWS::VerifiedPermissions::PolicyStore	arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

         ¹ Pour les tables ayant les flux activés, le champ resources dans l’événement de plan de données contient à la fois AWS::DynamoDB::Stream et AWS::DynamoDB::Table. Si vous spécifiez AWS::DynamoDB::Table comme resources.type, les événements de table DynamoDB et les événements de flux DynamoDB sont journalisés par défaut. Pour exclure les événements de flux, ajoutez un filtre sur le eventName champ.

         ² Pour enregistrer tous les événements de données pour tous les objets d'un compartiment S3 spécifique, utilisez l'StartsWithopérateur et incluez uniquement le compartiment ARN comme valeur correspondante. La barre oblique de fin est intentionnelle ; ne l’excluez pas.

         ³ Pour consigner les événements relatifs à tous les objets d'un point d'accès S3, nous vous recommandons de n'utiliser que le point d'accèsARN, de ne pas inclure le chemin de l'objet et d'utiliser les NotStartsWith opérateurs StartsWith or.

       Pour plus d'informations sur les ARN formats des ressources relatives aux événements de données, consultez la section Actions, ressources et clés de condition dans le guide de AWS Identity and Access Management l'utilisateur.

    2. Pour chaque champ, choisissez + Conditions pour ajouter autant de conditions que vous le souhaitez, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions. Par exemple, pour exclure les événements de données de deux compartiments S3 des événements de données enregistrés dans votre banque de données d'événements, vous pouvez définir le champ sur ressources. ARN, définissez l'opérateur pour ne commence pas par, puis collez-le dans un compartiment ARN S3 ou recherchez les compartiments S3 pour lesquels vous ne souhaitez pas enregistrer d'événements.

       Pour ajouter le deuxième compartiment S3, choisissez + Condition, puis répétez l'instruction précédente en collant le dossier ARN for ou en recherchant un autre compartiment.

       Pour plus d'informations sur le mode CloudTrail d'évaluation de plusieurs conditions, consultezComment CloudTrail évaluer plusieurs conditions pour un champ.

       Note

       Il est possible de définir un maximum de 500 valeurs pour tous les sélecteurs d'un entrepôt de données d'événement. Cela inclut des tableaux de valeurs multiples pour un sélecteur tel que eventName. Si vous avez défini des valeurs uniques pour tous les sélecteurs, il est possible d’ajouter un maximum de 500 conditions à un sélecteur.

    3. Choisir + champ pour ajouter des champs supplémentaires au besoin. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs. Par exemple, ne spécifiez pas qu'un sélecteur ARN dans un sélecteur soit égal à une valeur, puis spécifiez qu'il n'est ARN pas égal à la même valeur dans un autre sélecteur.

16. Pour ajouter un autre type de données sur lequel journaliser les événements de données, choisissez Ajouter un type d’événement de données. Répétez les étapes 12 à cette étape pour configurer les sélecteurs d'événements avancés pour le type d'événement de données.

17. Pour enregistrer les événements d'activité réseau, sélectionnez Événements d'activité réseau. Les événements d'activité réseau permettent aux propriétaires de VPC terminaux d'enregistrer les AWS API appels passés à l'aide de leurs VPC terminaux d'un point de terminaison privé VPC vers le Service AWS. Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour plus d'informations, consultez AWS CloudTrail Pricing (Tarification CTlong).

    Note

    Les événements liés à l'activité réseau sont en version préliminaire CloudTrail et sont susceptibles d'être modifiés.

    Pour enregistrer les événements liés à l'activité du réseau, procédez comme suit :

    1. Dans Source des événements d'activité réseau, choisissez la source des événements d'activité réseau.

    2. Dans Modèle de sélecteur de journaux, choisissez un modèle. Vous pouvez choisir de consigner tous les événements liés à l'activité réseau, de consigner tous les événements liés à l'activité réseau auxquels l'accès est refusé ou de choisir Personnaliser pour créer un sélecteur de journal personnalisé afin de filtrer sur plusieurs champs, tels que eventName etvpcEndpointId.

    3. (Facultatif) Entrez un nom pour identifier le sélecteur. Le nom du sélecteur est répertorié sous la forme Nom dans le sélecteur d'événements avancé et est visible si vous agrandissez la vue. JSON

    4. Dans les sélecteurs d'événements avancés, les sélecteurs créent des expressions en choisissant des valeurs pour Champ, Opérateur et Valeur. Vous pouvez ignorer cette étape si vous utilisez un modèle de journal prédéfini.

       1. Pour exclure ou inclure des événements liés à l'activité réseau, vous pouvez choisir l'un des champs suivants dans la console.

          • eventName— Vous pouvez utiliser n'importe quel opérateur aveceventName. Vous pouvez l'utiliser pour inclure ou exclure n'importe quel événement, tel queCreateKey.

          • errorCode— Vous pouvez l'utiliser pour filtrer un code d'erreur. Actuellement, le seul pris en charge errorCode estVpceAccessDenied.

          • vpcEndpointId— Identifie le VPC point de terminaison par lequel l'opération est passée. Vous pouvez utiliser n'importe quel opérateur avecvpcEndpointId.

       2. Pour chaque champ, choisissez + Conditions pour ajouter autant de conditions que vous le souhaitez, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions.

       3. Choisir + champ pour ajouter des champs supplémentaires au besoin. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs.

    5. Pour ajouter une autre source d'événements pour laquelle vous souhaitez enregistrer les événements d'activité réseau, choisissez Ajouter un sélecteur d'événements d'activité réseau.

    6. Vous pouvez éventuellement agrandir la JSONvue pour afficher vos sélecteurs d'événements avancés sous forme de JSON bloc.

18. Choisissez Insights events si vous souhaitez que votre parcours enregistre les événements CloudTrail Insights.

    Dans Type d’événement, sélectionnez Événements Insights. Dans les événements Insights, choisissez le taux d'APIappel, le taux API d'erreur ou les deux. Vous devez enregistrer les événements de gestion de Write pour enregistrer les événements Insights relatifs au taux d'APIappels. Vous devez enregistrer les événements de gestion en lecture ou en écriture pour enregistrer les événements Insights afin de connaître le taux API d'erreur.

    CloudTrail Insights analyse les événements de gestion pour détecter toute activité inhabituelle et enregistre les événements lorsque des anomalies sont détectées. Par défaut, les journaux de suivi ne journalisent pas les événements Insights. Pour plus d'informations sur les événements Insights, consultez Journalisation des événements Insights. Des frais supplémentaires s’appliquent pour la journalisation des événements Insights. Pour les CloudTrail tarifs, voir AWS CloudTrail Tarification.

    Les événements Insights sont transmis à un dossier différent nommé /CloudTrail-Insight dans le même compartiment S3 qui est spécifié dans la zone Emplacement de stockage de la page de détails du journal. CloudTrailcrée le nouveau préfixe pour vous. Par exemple, si votre compartiment S3 de destination actuel se nomme amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail/, le nom du compartiment S3 avec un nouveau préfixe se nommera amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail-Insight/.

19. Après avoir sélectionné les types d’événements à journaliser, choisissez Suivant.

20. Sur la page Vérifier et créer, vérifiez vos choix. Choisissez Modifier dans une section pour modifier les paramètres de journal de suivi affichés dans cette section. Lorsque vous êtes prêt à créer votre journal de suivi, choisissez Créer un journal de suivi.

21. Le nouveau journal de suivi s'affiche sur la page Trails (Journaux de suivi). Un journal de suivi d'organisation peut prendre jusqu'à 24 heures pour être créé dans toutes les régions de tous les comptes membres. La page Journaux de suivi affiche les journaux de suivi de votre compte pour toutes les Régions. En 5 minutes environ, CloudTrail publie des fichiers journaux qui indiquent les AWS API appels passés dans votre organisation. Il est possible de voir les fichiers journaux se trouvent dans le compartiment Amazon S3 que vous avez spécifiés.