Activation de la journalisation des CloudTrail événements pour les compartiments et les objets S3

Vous pouvez utiliser CloudTrail les événements de données pour obtenir des informations sur les requêtes au niveau du compartiment et de l'objet dans Amazon S3. Pour activer les événements de CloudTrail données pour tous vos compartiments ou pour une liste de compartiments spécifiques, vous devez créer un suivi manuellement dans. CloudTrail

Note

• Le paramètre par défaut pour CloudTrail est de rechercher uniquement les événements de gestion. Assurez-vous que vous avez activé les événements de données pour votre compte.

• Avec un compartiment S3 qui génère une charge de travail élevée, vous pourriez rapidement générer des milliers de journaux en un temps très court. Tenez compte de la durée pendant laquelle vous choisissez d'activer CloudTrail les événements de données pour un compartiment occupé.

CloudTrail stocke les journaux d'événements de données Amazon S3 dans un compartiment S3 de votre choix. Envisagez d'utiliser un compartiment séparé Compte AWS pour mieux organiser les événements provenant de plusieurs compartiments que vous pourriez posséder dans un emplacement central afin de faciliter les requêtes et les analyses. AWS Organizations vous permet de créer un Compte AWS compte lié au compte propriétaire du bucket que vous surveillez. Pour plus d'informations, voir Qu'est-ce que c'est AWS Organizations ? dans le guide de AWS Organizations l'utilisateur.

Lorsque vous enregistrez des événements de données pour un trail in CloudTrail, vous pouvez choisir d'utiliser des sélecteurs d'événements avancés ou des sélecteurs d'événements de base. Lorsque vous créez un suivi dans la CloudTrail console à l'aide de sélecteurs d'événements avancés, dans la section Événements de données, vous pouvez sélectionner Enregistrer tous les événements pour que le modèle de sélecteur de journal enregistre tous les événements au niveau de l'objet. Lorsque vous créez un suivi dans la CloudTrail console à l'aide de sélecteurs d'événements de base, dans la section des événements de données, vous pouvez cocher la case Sélectionner tous les compartiments S3 de votre compte pour consigner tous les événements au niveau de l'objet.

Note

• Il est recommandé de créer une configuration de cycle de vie pour votre compartiment d'événements de données AWS CloudTrail . Configurez la configuration de cycle de vie pour supprimer périodiquement les fichiers journaux après le délai à l'issue duquel vous estimez devoir les auditer. Cela permet de réduire la quantité de données analysées par Athena pour chaque requête. Pour plus d’informations, consultez Configuration du cycle de vie d'un bucket.

• Pour plus d'informations sur le format de la journalisation, veuillez consulter Journalisation des appels d'API Amazon S3 à l'aide AWS CloudTrail.

• Pour des exemples expliquant comment interroger les CloudTrail journaux, consultez le billet de blog AWS consacré au Big Data Analyze Security, Compliance, and Operational Activity Using AWS CloudTrail et Amazon Athena.

Activer la journalisation des objets d'un compartiment à l'aide de la console

Vous pouvez utiliser la console Amazon S3 pour configurer un AWS CloudTrail suivi afin de consigner les événements de données relatifs aux objets d'un compartiment S3. CloudTrail prend en charge la journalisation des opérations d'API au niveau des objets Amazon S3GetObject, telles queDeleteObject, et. PutObject Ces événements sont des événements de données.

Par défaut, les CloudTrail traces n'enregistrent pas les événements de données, mais vous pouvez configurer les pistes pour enregistrer les événements de données pour les compartiments S3 que vous spécifiez, ou pour enregistrer les événements de données pour tous les compartiments Amazon S3 de votre. Compte AWS Pour plus d’informations, consultez Journalisation des appels d'API Amazon S3 à l'aide AWS CloudTrail.

CloudTrail ne renseigne pas les événements de données dans l'historique des CloudTrail événements. De plus, les actions au niveau du bucket ne sont pas toutes renseignées dans l'historique des CloudTrail événements. Pour plus d'informations sur les actions d'API au niveau du bucket Amazon S3 suivies par CloudTrail journalisation, consultez. Actions au niveau du compartiment Amazon S3 suivies par journalisation CloudTrail Pour plus d'informations sur la manière d'interroger CloudTrail les journaux, consultez l'article du centre de AWS connaissances sur l'utilisation des modèles de filtre Amazon CloudWatch Logs et d'Amazon Athena pour interroger CloudTrail les journaux.

Pour configurer un journal de suivi afin de consigner les événements de données pour un compartiment S3, vous pouvez utiliser la console AWS CloudTrail ou la console Amazon S3. Si vous configurez un suivi pour consigner les événements de données pour tous les compartiments Amazon S3 de votre choix Compte AWS, il est plus facile d'utiliser la CloudTrail console. Pour plus d'informations sur l'utilisation de la CloudTrail console pour configurer un journal des événements liés aux données S3, consultez la section Événements liés aux données dans le guide de AWS CloudTrail l'utilisateur.

Important

Des frais supplémentaires s’appliquent pour les événements de données. Pour en savoir plus, consultez Tarification de AWS CloudTrail.

La procédure suivante explique comment utiliser la console Amazon S3 pour configurer un journal afin de CloudTrail consigner les événements de données d'un compartiment S3.

Pour activer la journalisation des événements de CloudTrail données pour les objets d'un compartiment S3

1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

2. Dans la liste Buckets (Compartiments), choisissez le nom du compartiment.

3. Choisissez Propriétés.

4. Sous Événements AWS CloudTrail liés aux données, sélectionnez Configurer dans CloudTrail.

   Vous pouvez créer une nouvelle CloudTrail trace ou réutiliser une trace existante et configurer les événements de données Amazon S3 pour qu'ils soient enregistrés dans votre trace. Pour plus d'informations sur la création de pistes dans la CloudTrail console, consultez la section Création et mise à jour d'une piste avec la console dans le guide de AWS CloudTrail l'utilisateur. Pour plus d'informations sur la configuration de la journalisation des événements de données Amazon S3 dans la CloudTrail console, consultez la section Journalisation des événements de données pour les objets Amazon S3 dans le guide de AWS CloudTrail l'utilisateur.

   Note

   Si vous utilisez la CloudTrail console ou la console Amazon S3 pour configurer un journal afin de consigner les événements de données d'un compartiment S3, la console Amazon S3 indique que la journalisation au niveau de l'objet est activée pour le compartiment.

Pour désactiver la journalisation des événements de CloudTrail données pour les objets d'un compartiment S3

1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudtrail/.

2. Dans le panneau de navigation de gauche, choisissez Journaux de suivi.

3. Choisissez le nom du journal de suivi que vous avez créé pour journaliser les événements de votre compartiment.

4. Sur la page de détails de votre journal de suivi, choisissez Arrêter la journalisation dans le coin supérieur droit.

5. Dans la boîte de dialogue qui s'affiche, cliquez sur Arrêter la journalisation.

Pour plus d'informations sur l'activation de la journalisation au niveau des objets lorsque vous créez un compartiment S3, consultez Créer un compartiment.

Pour plus d'informations sur la CloudTrail journalisation à l'aide de compartiments S3, consultez les rubriques suivantes :

• Affichage des propriétés d'un compartiment S3

• Journalisation des appels d'API Amazon S3 à l'aide AWS CloudTrail

• Utilisation des fichiers CloudTrail journaux dans le guide de AWS CloudTrail l'utilisateur