Activation du transfert de CloudWatch journaux Amazon Logs pour AWS Managed Microsoft AD - AWS Directory Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation du transfert de CloudWatch journaux Amazon Logs pour AWS Managed Microsoft AD

Vous pouvez utiliser la AWS Directory Service console ou APIs pour transférer les journaux des événements de sécurité du contrôleur de domaine vers Amazon CloudWatch Logs pour votre AWS compte Microsoft AD géré. Cela vous aide à répondre à vos exigences en matière de sécurité, d'audit et de conservation des journaux en assurant la transparence des événements de sécurité dans votre annuaire.

CloudWatch Les journaux peuvent également transmettre ces événements à d'autres AWS comptes, AWS services ou applications tierces. Cela facilite la surveillance et la configuration centralisées des alertes afin de détecter et de réagir de manière proactive aux activités inhabituelles en temps quasi réel.

Une fois activé, vous pouvez utiliser la console CloudWatch Logs pour récupérer les données du groupe de journaux que vous avez spécifié lorsque vous avez activé le service. Ce groupe de journaux contient les journaux de sécurité de vos contrôleurs de domaine.

Pour plus d'informations sur les groupes de journaux et sur la façon de lire leurs données, consultez la section Utilisation des groupes de journaux et des flux de CloudWatch journaux dans le guide de l'utilisateur Amazon Logs.

Note

Le transfert de journal est une fonctionnalité régionale de AWS Managed Microsoft AD. Si vous utilisez la réplication multirégionale, les procédures suivantes doivent être appliquées séparément dans chaque région. Pour de plus amples informations, veuillez consulter Caractéristiques mondiales et régionales.

Une fois activée, la fonctionnalité de transfert de journaux commencera à transmettre les journaux de vos contrôleurs de domaine au groupe de CloudWatch journaux spécifié. Les journaux créés avant l'activation du transfert de journaux ne seront pas transférés vers le groupe de CloudWatch journaux.

Utilisation du AWS Management Console pour activer le transfert de CloudWatch journaux Amazon Logs

Vous pouvez activer le transfert CloudWatch des journaux Amazon Logs pour votre AWS Managed Microsoft AD dans le AWS Management Console.

  1. Dans le panneau de navigation de la console AWS Directory Service, choisissez Annuaires.

  2. Choisissez l'ID de répertoire du répertoire Microsoft AD AWS géré que vous souhaitez partager.

  3. Sur la page Détails de l'annuaire, procédez de l'une des manières suivantes :

    • Si plusieurs régions apparaissent sous Multi-Region replication (Réplication multi-régions), sélectionnez la région dans laquelle vous souhaitez activer le transfert de journaux, puis cliquez sur l'onglet Mise en réseau et sécurité. Pour de plus amples informations, veuillez consulter Régions principales et régions supplémentaires.

    • Si aucune région n'apparaît sous Multi-Regions replication (Réplication multi-régions), choisissez l'onglet Networking & security (Réseau et sécurité).

  4. Dans la section Transfert de journaux, choisissez Activer.

  5. Dans la boîte de CloudWatch dialogue Activer le transfert du journal vers, choisissez l'une des options suivantes :

    1. Sélectionnez Créer un nouveau groupe de CloudWatch journaux, sous Nom du groupe de CloudWatch journaux, spécifiez un nom auquel vous pouvez faire référence dans CloudWatch Logs.

    2. Sélectionnez Choisir un groupe de CloudWatch journaux existant, puis sous Groupes de CloudWatch journaux existants, sélectionnez un groupe de journaux dans le menu.

  6. Passez en revue les informations de tarification et le lien, puis choisissez Activer.

Utilisation du CLI ou PowerShell pour activer le transfert de CloudWatch journaux Amazon Logs

Avant de pouvoir utiliser la ds create-log-subscriptioncommande, vous devez d'abord créer un groupe de CloudWatch journaux Amazon, puis créer une politique de IAM ressources qui accordera les autorisations nécessaires à ce groupe. Pour activer le transfert du journal à l'aide du CLI ou PowerShell, procédez comme suit.

Étape 1 : créer un groupe de CloudWatch journaux dans Logs

Créez un groupe de journaux qui servira à recevoir les journaux de sécurité de vos contrôleurs de domaine. Nous vous conseillons de faire précéder le nom de /aws/directoryservice/, mais ce n'est pas obligatoire. Par exemple :

CLI Command
aws logs create-log-group --log-group-name '/aws/directoryservice/d-1111111111'
PowerShell Command
New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-1111111111'

Pour savoir comment créer un groupe de CloudWatch journaux, consultez la section Créer un groupe de CloudWatch journaux dans la section Logs du guide de l'utilisateur Amazon CloudWatch Logs.

Étape 2 : créer une politique de ressources pour CloudWatch les journaux dans IAM

Créez une politique de ressources de CloudWatch journaux accordant le AWS Directory Service droit d'ajouter des journaux dans le nouveau groupe de journaux que vous avez créé à l'étape 1. Vous pouvez soit spécifier l'adresse exacte ARN du groupe de journaux pour limiter AWS Directory Service l'accès à d'autres groupes de journaux, soit utiliser un caractère générique pour inclure tous les groupes de journaux. L'exemple de politique suivant utilise la méthode des caractères génériques pour identifier que tous les groupes de journaux commençant /aws/directoryservice/ par le AWS compte où réside votre répertoire seront inclus.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ds.amazonaws.com" }, "Action": [ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*" } ] }

Vous devrez enregistrer cette politique dans un fichier texte (par exemple DSPolicy .json) sur votre poste de travail local car vous devrez l'exécuter à partir duCLI. Par exemple :

CLI Command
aws logs put-resource-policy --policy-name DSLogSubscription --policy-document file://DSPolicy.json
PowerShell Command
$PolicyDocument = Get-Content .\DSPolicy.json –Raw
Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument

Étape 3 : créer un abonnement au AWS Directory Service journal

Dans cette étape finale, vous pouvez maintenant passer à l'activation du transfert de journaux en créant l'abonnement aux journaux. Par exemple :

CLI Command
aws ds create-log-subscription --directory-id 'd-1111111111' --log-group-name '/aws/directoryservice/d-1111111111'
PowerShell Command
New-DSLogSubscription -DirectoryId 'd-1111111111' -LogGroupName '/aws/directoryservice/d-1111111111'