Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Se préparer pour la création d'un journal de suivi pour son organisation
Avant de créer un journal de suivi pour votre organisation, assurez-vous que le compte de gestion ou le compte d'administrateur délégué de votre organisation est correctement configuré pour la création de journaux de suivi.
-
Votre organisation doit avoir toutes les fonctions activées avant de pouvoir créer un journal de suivi. Pour en savoir plus, consultez Activation de toutes les fonctions de votre organisation.
-
Le compte de gestion doit avoir AWSServiceRoleForOrganizationsRôle Ce rôle est créé automatiquement par Organizations lorsque vous créez votre organisation et est nécessaire pour CloudTrail consigner les événements d'une organisation. Pour plus d’informations, consultez Organizations et rôles liés à un service.
-
Le rôle ou l'utilisateur qui crée le journal de suivi d'organisation dans le compte de gestion ou d'administrateur délégué doit disposer d'autorisations suffisantes pour créer un journal de suivi d'organisation. Vous devez au moins appliquer soit AWSCloudTrail_FullAccesspolitique, ou une politique équivalente, pour ce rôle ou cet utilisateur. Vous devez également disposer d'autorisations suffisantes dans IAM et Organizations pour créer le rôle lié au service et activer un accès sécurisé. Si vous choisissez de créer un nouveau compartiment S3 pour un journal organisationnel à l'aide de la CloudTrail console, votre police doit également inclure le
s3:PutEncryptionConfigurationaction car le chiffrement côté serveur est activé par défaut pour le compartiment. L’exemple de politique suivant illustre les autorisations minimales requises.Note
Vous ne devriez pas partager le AWSCloudTrail_FullAccesspolitique générale dans l'ensemble de votre Compte AWS. Vous devez plutôt le limiter aux Compte AWS administrateurs en raison de la nature très sensible des informations collectées par CloudTrail. Les utilisateurs ayant ce rôle ont la possibilité de désactiver ou de reconfigurer les fonctions d'audit les plus sensibles et les plus importantes dans leur Comptes AWS. C'est pourquoi vous devez contrôler et surveiller étroitement l'accès à cette politique d'accès.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRole", "organizations:EnableAWSServiceAccess", "organizations:ListAccounts", "iam:CreateServiceLinkedRole", "organizations:DisableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization", "s3:PutEncryptionConfiguration" ], "Resource": "*" } ] } -
Pour utiliser le AWS CLI ou CloudTrail APIs pour créer un suivi d'organisation, vous devez activer l'accès sécurisé pour CloudTrail dans Organizations, et vous devez créer manuellement un compartiment Amazon S3 avec une politique autorisant la journalisation d'un journal d'organisation. Pour de plus amples informations, veuillez consulter Création d'un parcours pour une organisation à l'aide du AWS CLI.
-
Pour utiliser un IAM rôle existant afin d'ajouter la surveillance du suivi d'une organisation à Amazon CloudWatch Logs, vous devez modifier manuellement le IAM rôle afin d'autoriser la livraison des CloudWatch journaux des comptes membres au groupe des CloudWatch journaux du compte de gestion, comme illustré dans l'exemple suivant.
Note
Vous devez utiliser un IAM rôle et un groupe de CloudWatch journaux qui existent dans votre propre compte. Vous ne pouvez pas utiliser un IAM rôle ou un groupe de CloudWatch journaux appartenant à un autre compte.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] } ] }Vous pouvez en savoir plus sur Amazon CloudWatch Logs in CloudTrail et en savoir plusSurveillance des fichiers CloudTrail journaux avec Amazon CloudWatch Logs. En outre, tenez compte des limites relatives aux CloudWatch journaux et des considérations relatives à la tarification du service avant de décider d'activer l'expérience dans le cadre d'un suivi organisationnel. Pour plus d'informations, consultez CloudWatch Logs Limits et Amazon CloudWatch Pricing
. -
Pour enregistrer les événements de données dans le journal de votre organisation pour des ressources spécifiques présentes dans les comptes membres, préparez une liste des noms de ressources Amazon (ARNs) pour chacune de ces ressources. Les ressources du compte membre ne sont pas affichées dans la CloudTrail console lorsque vous créez un suivi ; vous pouvez rechercher les ressources du compte de gestion sur lesquelles la collecte d'événements de données est prise en charge, telles que les compartiments S3. De même, si vous souhaitez ajouter des ressources spécifiques aux membres lors de la création ou de la mise à jour d'un journal d'organisation sur la ligne de commande, vous avez besoin ARNs de ces ressources.
Note
Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour les CloudTrail tarifs, voir AWS CloudTrail Tarification
.
Vous devriez également envisager de vérifier combien de parcours existent déjà dans le compte de gestion et dans les comptes des membres avant de créer un parcours d'organisation. CloudTrail limite le nombre de sentiers pouvant être créés dans chaque région. Il n'est pas possible de dépasser cette limite dans la région où vous créez le journal de suivi d'organisation du compte de gestion. Cependant, le journal de suivi sera créé dans les comptes membres, même si les comptes membres ont atteint la limite des journaux de suivi dans une région. Bien que le premier journal de suivi d'une région soit gratuit, des frais s'appliquent aux journaux de suivi supplémentaires. Pour réduire le coût potentiel d'un journal de suivi d'organisation, pensez à supprimer tous les journaux de suivi superflus du compte de gestion et des comptes membres. Pour plus d'informations sur la CloudTrail tarification, consultez la section AWS CloudTrail Tarification
Bonnes pratiques de sécurité dans le journal d’activité de l'organisation
Pour des raisons de sécurité, nous vous recommandons d'ajouter la clé de aws:SourceArn condition aux politiques de ressources (telles que celles relatives aux compartiments, aux KMS clés ou aux SNS rubriques S3) que vous utilisez dans le cadre d'un suivi organisationnel. La valeur de aws:SourceArn est le journal de l'organisation ARN (ouARNs, si vous utilisez la même ressource pour plusieurs sentiers, par exemple le même compartiment S3 pour stocker les journaux de plusieurs sentiers). Cela garantit que la ressource, telle qu'un compartiment S3, n'accepte que les données associées au journal d’activité spécifique. Le parcours ARN doit utiliser l'identifiant du compte de gestion. L'extrait de politique suivant illustre un exemple dans lequel plusieurs journaux d’activité utilisent la ressource.
"Condition": { "StringEquals": { "aws:SourceArn": ["Trail_ARN_1",..., "Trail_ARN_n"] } }
Pour en savoir plus sur l'ajout de clés de condition à des politiques de ressources, consultez les points suivants:
