Créez un magasin de données d'événements pour les événements Insights avec la console - AWS CloudTrail
Pour créer un entrepôt de données d'événement de destination qui journalise les événements InsightsPour créer un entrepôt de données d'événement source qui active les événements Insights

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez un magasin de données d'événements pour les événements Insights avec la console

AWS CloudTrail Les informations aident AWS les utilisateurs à identifier les activités inhabituelles associées aux API appels et aux taux API d'erreur et à y répondre en analysant en permanence les événements CloudTrail de gestion. CloudTrail Insights analyse vos modèles habituels de volume d'APIappels et de taux API d'erreur, également appelés référence, et génère des événements Insights lorsque le volume d'appels ou les taux d'erreur sont en dehors des modèles normaux. Les événements Insights sur le volume d'APIappels sont générés pour write la gestionAPIs, et les événements Insights sur le taux API d'erreur sont générés à la fois pour la write direction read et pour la directionAPIs.

Pour enregistrer les événements Insights dans CloudTrail Lake, vous avez besoin d'un magasin de données d'événements de destination qui enregistre les événements Insights et d'un magasin de données d'événements source qui active Insights et enregistre les événements de gestion.

Note

Pour enregistrer les événements Insights sur le volume d'APIappels, le magasin de données d'événements source doit enregistrer les événements write de gestion. Pour enregistrer les événements Insights sur le taux API d'erreur, le magasin de données d'événements source doit enregistrer read les événements write de gestion.

Si CloudTrail Insights est activé sur un magasin de données d'événements source et que vous CloudTrail détectez une activité inhabituelle, CloudTrail transmet les événements Insights à votre magasin de données d'événements de destination. Contrairement aux autres types d'événements capturés dans un magasin de données d' CloudTrail événements, les événements Insights sont enregistrés uniquement lorsqu'ils CloudTrail détectent des modifications de API l'utilisation de votre compte qui diffèrent considérablement des modèles d'utilisation habituels du compte.

Une fois que vous avez activé CloudTrail Insights pour la première fois dans un magasin de données d'événements, le lancement du premier événement Insights peut prendre jusqu' CloudTrail à 7 jours, si une activité inhabituelle est détectée.

CloudTrail Insights analyse les événements de gestion qui se produisent dans une seule région, et non à l'échelle mondiale. Un événement CloudTrail Insights est généré dans la même région que les événements de gestion connexes.

Dans le cas d'un magasin de données sur les événements d'une organisation, il CloudTrail analyse les événements de gestion du compte de chaque membre au lieu d'analyser l'agrégation de tous les événements de gestion de l'organisation.

Des frais supplémentaires s'appliquent pour l'ingestion d'événements Insights à CloudTrail Lake. Vous serez facturé séparément si vous activez Insights pour les magasins de données sur les événements sur les sentiers et sur le CloudTrail lac. Pour plus d'informations sur la CloudTrail tarification, consultez la section AWS CloudTrail Tarification.

Pour créer un entrepôt de données d'événement de destination qui journalise les événements Insights

Lorsque vous créez un entrepôt de données d'événement Insights, vous avez la possibilité de choisir un entrepôt de données d'événement source existant qui journalise les événements de gestion, puis de spécifier les types d'événements Insights que vous souhaitez recevoir. Vous pouvez également activer Insights sur un entrepôt de données d'événement nouveau ou existant après avoir créé votre entrepôt de données d'événement Insights, puis choisir cet entrepôt de données d'événement comme entrepôt de données d'événement de destination.

Cette procédure explique comment créer un entrepôt de données d'événement de destination qui journalise les événements Insights.

  1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudtrail/.

  2. Dans le panneau de navigation, ouvrez le sous-menu Lake, puis sélectionnez Entrepôts de données d'événement.

  3. Choisissez Créer un magasin de données d’événement.

  4. Sur la page Configure event data store (Configurer un magasin de données d'événement), dans General details (Détails généraux), saisissez un nom pour le magasin de données d'événement. Un nom est obligatoire.

  5. Choisissez l’option de tarification que vous souhaitez utiliser pour votre magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que la période de conservation par défaut et maximale pour votre magasin de données d’événement. Pour plus d’informations, veuillez consulter Tarification d’AWS CloudTrail et Gestion des coûts CloudTrail du lac.

    Les options suivantes sont disponibles :

    • Tarif de rétention extensible d’un an : généralement recommandé si vous prévoyez d’ingérer moins de 25 To de données d’événement par mois et souhaitez une période de conservation flexible allant jusqu’à 10 ans. Pendant les 366 premiers jours (période de conservation par défaut), le stockage est inclus sans frais supplémentaires dans le prix d’ingestion. Après 366 jours, la rétention prolongée est disponible moyennant un pay-as-you-go prix. Il s’agit de l’option par défaut.

      • Période de conservation par défaut : 366 jours.

      • Période de conservation maximale : 3 653 jours

    • Tarif de rétention sur sept ans : recommandé si vous prévoyez d’ingérer plus de 25 To de données d’événement par mois et que vous avez besoin d’une période de conservation allant jusqu’à 7 ans. La conservation est incluse dans le prix d’ingestion sans frais supplémentaires.

      • Période de conservation par défaut : 2 557 jours.

      • Période de conservation maximale : 2 557 jours

  6. Spécifiez une période de conservation pour le magasin de données d’événement en jours. Les périodes de conservation peuvent être comprises entre 7 jours et 3 653 jours (environ 10 ans) pour l’option de tarification de rétention extensible d’un an, ou entre 7 jours et 2 557 jours (environ sept ans) pour l’option de tarification de rétention sur sept ans. Le magasin de données d’événement conserve les données d’événement pendant le nombre de jours spécifié.

  7. (Facultatif) Pour activer le chiffrement en utilisant AWS Key Management Service, choisissez Utiliser le mien AWS KMS key. Choisissez Nouveau pour en AWS KMS key créer une pour vous, ou choisissez Existant pour utiliser une KMS clé existante. Dans Entrer un KMS alias, spécifiez un alias au format alias/MyAliasName. L'utilisation de votre propre KMS clé nécessite que vous modifiiez votre politique en matière de KMS clés pour autoriser le chiffrement et le déchiffrement des CloudTrail journaux. Pour plus d'informations, consultezConfigurer les politiques AWS KMS clés pour CloudTrail. CloudTrail prend également en charge les clés AWS KMS multirégionales. Pour plus d’informations, consultez la section Utilisation de clés multi-régions dans le Guide du développeur AWS Key Management Service .

    L'utilisation de votre propre KMS clé entraîne des AWS KMS coûts de chiffrement et de déchiffrement. Une fois que vous avez associé une banque de données d'événements à une KMS clé, la KMS clé ne peut pas être supprimée ou modifiée.

    Note

    Pour activer AWS Key Management Service le chiffrement pour le magasin de données d'événements d'une organisation, vous devez utiliser une KMS clé existante pour le compte de gestion.

  8. (Facultatif) Si vous souhaitez interroger les données de votre événement à l’aide d’Amazon Athena, choisissez Activer dans Fédération de requêtes Lake. La fédération vous permet de visualiser les métadonnées associées au magasin de données d'événements dans le catalogue de AWS Glue données et d'exécuter SQL des requêtes sur les données d'événements dans Athena. Les métadonnées des tables stockées dans le catalogue de AWS Glue données permettent au moteur de requête Athena de savoir comment rechercher, lire et traiter les données que vous souhaitez interroger. Pour de plus amples informations, veuillez consulter Fédérer un magasin de données d’événement.

    Pour activer la fédération de requêtes Lake, choisissez Activer, puis procédez comme suit :

    1. Choisissez si vous souhaitez créer un nouveau rôle ou utiliser un IAM rôle existant. AWS Lake Formationutilise ce rôle pour gérer les autorisations pour le magasin de données d'événements fédéré. Lorsque vous créez un nouveau rôle à l'aide de la CloudTrail console, il en crée CloudTrail automatiquement un avec les autorisations requises. Si vous choisissez un rôle existant, assurez-vous que la politique du rôle fournit les autorisations minimales requises.

    2. Si vous créez un rôle, saisissez un nom pour identifier le rôle.

    3. Si vous utilisez un rôle existant, choisissez le rôle que vous souhaitez utiliser. Le rôle doit exister dans votre compte.

  9. (Facultatif) Dans la zone Balises, vous pouvez ajouter jusqu’à 50 paires clé-valeur de balise pour vous aider à identifier, trier et contrôler l’accès à votre magasin de données d’événement. Pour plus d'informations sur l'utilisation des IAM politiques pour autoriser l'accès à un magasin de données d'événements en fonction de balises, consultezExemples : rejeter l'accès à la création ou à la suppression de magasins de données d'événement en fonction des identifications. Pour plus d'informations sur la manière dont vous pouvez utiliser les balises AWS, consultez la section Marquage de vos AWS ressources dans le Guide de l'utilisateur AWS des ressources de balisage.

  10. Choisissez Suivant pour configurer le magasin de données d’événement.

  11. Sur la page Choisir des événements, choisissez AWS des événements, puis choisissez CloudTraildes événements Insights.

  12. Dans les événements CloudTrail Insights, procédez comme suit.

    1. Choisissez Autoriser l'accès administrateur délégué si vous souhaitez accorder à l'administrateur délégué de votre organisation l'accès à cet entrepôt de données d'événement. Cette option n'est disponible que si vous êtes connecté avec le compte de gestion d'une AWS Organizations organisation.

    2. (Facultatif) Choisissez un entrepôt de données d'événement source existant qui journalise les événements de gestion et spécifiez les types Insights que vous souhaitez recevoir.

      Pour ajouter un entrepôt de données d'événement source, procédez comme suit.

      1. Choisissez Ajouter un entrepôt de données d'événement source.

      2. Choisissez l'entrepôt de données d'événement source.

      3. Choisissez le Type Insights que vous souhaitez recevoir.

        • ApiCallRateInsight— Le type ApiCallRateInsight Insights analyse les API appels de gestion en écriture uniquement agrégés par minute par rapport à un volume d'APIappels de référence. Pour recevoir des événements Insights de type ApiCallRateInsight, l'entrepôt de données d'événement source doit journaliser les événements de gestion Écriture.

        • ApiErrorRateInsight— Le type ApiErrorRateInsight Insights analyse les API appels de gestion qui génèrent des codes d'erreur. L'erreur s'affiche en cas d'échec de l'APIappel. Pour recevoir des événements Insights de type ApiErrorRateInsight, l'entrepôt de données d'événement source doit journaliser les événements de gestion Écriture ou Lecture.

      4. Répétez les deux étapes précédentes (ii et iii) pour ajouter les types Insights supplémentaires que vous souhaitez recevoir.

  13. Choisissez Suivant pour examiner vos préférences.

  14. Sur la page Review and create (Vérifier et créer), examinez vos choix. Choisissez Modifier (Edit) pour apporter des modifications à la section. Lorsque vous êtes prêt à créer le magasin de données d’événement, choisissez Créer un magasin de données d’événement.

  15. Le nouvel entrepôt de données d'événement est visible dans la table Entrepôts de données d'événement sur la page Entrepôts de données d'événement.

  16. Si vous n'avez pas choisi d'entrepôt de données d'événement source à l'étape 10, suivez les étapes décrites dans Pour créer un entrepôt de données d'événement source qui active les événements Insights pour créer un entrepôt de données d'événement source.

Pour créer un entrepôt de données d'événement source qui active les événements Insights

Cette procédure explique comment créer un entrepôt de données d'événement source qui active les événements Insights et journalise les événements de gestion.

  1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudtrail/.

  2. Dans le panneau de navigation, ouvrez le sous-menu Lake, puis sélectionnez Entrepôts de données d'événement.

  3. Choisissez Créer un magasin de données d’événement.

  4. Sur la page Configure event data store (Configurer un magasin de données d'événement), dans General details (Détails généraux), saisissez un nom pour le magasin de données d'événement. Un nom est obligatoire.

  5. Choisissez l’option de tarification que vous souhaitez utiliser pour votre magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que la période de conservation par défaut et maximale pour votre magasin de données d’événement. Pour plus d’informations, veuillez consulter Tarification d’AWS CloudTrail et Gestion des coûts CloudTrail du lac.

    Les options suivantes sont disponibles :

    • Tarif de rétention extensible d’un an : généralement recommandé si vous prévoyez d’ingérer moins de 25 To de données d’événement par mois et souhaitez une période de conservation flexible allant jusqu’à 10 ans. Pendant les 366 premiers jours (période de conservation par défaut), le stockage est inclus sans frais supplémentaires dans le prix d’ingestion. Après 366 jours, la rétention prolongée est disponible moyennant un pay-as-you-go prix. Il s’agit de l’option par défaut.

      • Période de conservation par défaut : 366 jours.

      • Période de conservation maximale : 3 653 jours

    • Tarif de rétention sur sept ans : recommandé si vous prévoyez d’ingérer plus de 25 To de données d’événement par mois et que vous avez besoin d’une période de conservation allant jusqu’à 7 ans. La conservation est incluse dans le prix d’ingestion sans frais supplémentaires.

      • Période de conservation par défaut : 2 557 jours.

      • Période de conservation maximale : 2 557 jours

  6. Spécifiez une période de conservation pour le magasin de données d’événement. Les périodes de conservation peuvent être comprises entre 7 jours et 3 653 jours (environ 10 ans) pour l’option de tarification de rétention extensible d’un an, ou entre 7 jours et 2 557 jours (environ sept ans) pour l’option de tarification de rétention sur sept ans.

    CloudTrail Lake détermine s'il convient de conserver un événement en vérifiant si celui-ci se situe dans la période de conservation spécifiée. eventTime Par exemple, si vous spécifiez une période de conservation de 90 jours, les événements CloudTrail seront supprimés lorsqu'ils datent eventTime de plus de 90 jours.

  7. (Facultatif) Pour activer le chiffrement en utilisant AWS Key Management Service, choisissez Utiliser le mien AWS KMS key. Choisissez Nouveau pour en AWS KMS key créer une pour vous, ou choisissez Existant pour utiliser une KMS clé existante. Dans Entrer un KMS alias, spécifiez un alias au format alias/MyAliasName. L'utilisation de votre propre KMS clé nécessite que vous modifiiez votre politique en matière de KMS clés pour autoriser le chiffrement et le déchiffrement des CloudTrail journaux. Pour plus d'informations, consultezConfigurer les politiques AWS KMS clés pour CloudTrail. CloudTrail prend également en charge les clés AWS KMS multirégionales. Pour plus d’informations, consultez la section Utilisation de clés multi-régions dans le Guide du développeur AWS Key Management Service .

    L'utilisation de votre propre KMS clé entraîne des AWS KMS coûts de chiffrement et de déchiffrement. Une fois que vous avez associé une banque de données d'événements à une KMS clé, la KMS clé ne peut pas être supprimée ou modifiée.

    Note

    Pour activer AWS Key Management Service le chiffrement pour le magasin de données d'événements d'une organisation, vous devez utiliser une KMS clé existante pour le compte de gestion.

  8. (Facultatif) Si vous souhaitez interroger les données de votre événement à l’aide d’Amazon Athena, choisissez Activer dans Fédération de requêtes Lake. La fédération vous permet de visualiser les métadonnées associées au magasin de données d'événements dans le catalogue de AWS Glue données et d'exécuter SQL des requêtes sur les données d'événements dans Athena. Les métadonnées des tables stockées dans le catalogue de AWS Glue données permettent au moteur de requête Athena de savoir comment rechercher, lire et traiter les données que vous souhaitez interroger. Pour de plus amples informations, veuillez consulter Fédérer un magasin de données d’événement.

    Pour activer la fédération de requêtes Lake, choisissez Activer, puis procédez comme suit :

    1. Choisissez si vous souhaitez créer un nouveau rôle ou utiliser un IAM rôle existant. AWS Lake Formationutilise ce rôle pour gérer les autorisations pour le magasin de données d'événements fédéré. Lorsque vous créez un nouveau rôle à l'aide de la CloudTrail console, il en crée CloudTrail automatiquement un avec les autorisations requises. Si vous choisissez un rôle existant, assurez-vous que la politique du rôle fournit les autorisations minimales requises.

    2. Si vous créez un rôle, saisissez un nom pour identifier le rôle.

    3. Si vous utilisez un rôle existant, choisissez le rôle que vous souhaitez utiliser. Le rôle doit exister dans votre compte.

  9. (Facultatif) Dans la zone Balises, vous pouvez ajouter jusqu’à 50 paires clé-valeur de balise pour vous aider à identifier, trier et contrôler l’accès à votre magasin de données d’événement. Pour plus d'informations sur l'utilisation des IAM politiques pour autoriser l'accès à un magasin de données d'événements en fonction de balises, consultezExemples : rejeter l'accès à la création ou à la suppression de magasins de données d'événement en fonction des identifications. Pour plus d'informations sur la manière dont vous pouvez utiliser les balises AWS, consultez la section Marquage de vos AWS ressources dans le Guide de l'utilisateur AWS des ressources de balisage.

  10. Choisissez Suivant pour configurer le magasin de données d’événement.

  11. Sur la page Choisir des événements, choisissez AWS des événements, puis CloudTraildes événements.

  12. Dans CloudTrail Événements, laissez la case Événements de gestion sélectionnée.

  13. Pour que votre magasin de données d’événement collecte les événements de tous les comptes d’une organisation AWS Organizations , sélectionnez Activer pour tous les comptes de mon organisation. Vous devez être connecté au compte de gestion de l'organisation pour créer un entrepôt de données d'événement qui active Insights.

  14. Développez les paramètres supplémentaires pour choisir si vous souhaitez que votre banque de données d'événements collecte les événements pour tous Régions AWS ou uniquement les événements actuels Région AWS, et choisissez si la banque de données d'événements ingère les événements. Par défaut, votre entrepôt de données d'événement collecte les événements de toutes les régions de votre compte et commence à ingérer les événements dès sa création.

    1. Choisissez Inclure uniquement la région actuelle dans mon entrepôt de données d'événement si vous souhaitez n'inclure que les événements journalisés dans la région actuelle. Si vous ne choisissez pas cette option, votre magasin de données d’événement inclura des événements de toutes les régions.

    2. Laissez l'option Ingérer les événements sélectionnée.

  15. Choisissez le type d'événements de gestion que vous souhaitez inclure dans votre entrepôt de données d'événement. Vous pouvez choisir Lecture, Écriture ou les deux. Au moins une unité est obligatoire.

    Note

    Pour enregistrer les événements Insights sur le volume d'APIappels, le magasin de données d'événements doit enregistrer les événements write de gestion. Pour enregistrer les événements Insights sur le taux API d'erreur, le magasin de données d'événements doit enregistrer read les événements write de gestion.

  16. Vous pouvez choisir d'exclure AWS Key Management Service ou d'exclure les API événements Amazon RDS Data de votre banque de données d'événements. Pour plus d’informations sur ces options, consultez Journalisation des événements de gestion.

  17. Choisissez Activer Insights.

  18. Dans Activer Insights, choisissez le stockage d'événements de destination qui enregistrera les événements Insights. L'entrepôt de données d'événement de destination collectera les événements Insights en fonction de l'activité de gestion des événements dans cet entrepôt de données d'événement. Pour plus d'informations sur la création de l'entrepôt de données événements de destination, veuillez consulter Pour créer un entrepôt de données d'événement de destination qui journalise les événements Insights.

  19. Choisissez les types Insights. Vous pouvez choisir le taux d'APIappel, le taux API d'erreur ou les deux. Vous devez enregistrer les événements de gestion de Write pour enregistrer les événements Insights relatifs au taux d'APIappels. Vous devez enregistrer les événements de gestion en lecture ou en écriture pour enregistrer les événements Insights afin de connaître le taux API d'erreur.

  20. Choisissez Suivant pour examiner vos préférences.

  21. Sur la page Review and create (Vérifier et créer), examinez vos choix. Choisissez Modifier (Edit) pour apporter des modifications à la section. Lorsque vous êtes prêt à créer le magasin de données d’événement, choisissez Créer un magasin de données d’événement.

  22. Le nouvel entrepôt de données d'événement est visible dans la table Entrepôts de données d'événement sur la page Entrepôts de données d'événement.

    À partir de ce moment, le magasin de données d’événement capture les événements qui correspondent à ses sélecteurs d’événements avancés. Une fois que vous avez activé CloudTrail Insights pour la première fois sur votre banque de données d'événements source, la transmission du premier événement Insights CloudTrail à votre banque de données d'événements de destination peut prendre jusqu'à 7 jours, si une activité inhabituelle est détectée.

    Vous pouvez consulter le tableau de bord CloudTrail Lake pour visualiser les événements Insights dans votre banque de données d'événements de destination. Pour de plus amples informations sur le tableau de bord Lake, veuillez consulter Afficher les tableaux de bord de CloudTrail Lake avec la console CloudTrail .

Des frais supplémentaires s'appliquent pour l'ingestion d'événements Insights à CloudTrail Lake. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour plus d'informations sur la CloudTrail tarification, consultez la section AWS CloudTrail Tarification.