Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création d'un parcours à l'aide de la CloudTrail console
En guise de bonnes pratiques, créez un journal de suivi qui s'applique à toutes les Régions AWS. Il s'agit du paramètre par défaut lorsque vous créez un parcours dans la CloudTrail console. Lorsqu'un suivi s'applique à toutes les régions, CloudTrail envoie les fichiers journaux de toutes les régions de la AWS partition dans laquelle vous travaillez vers un compartiment S3 que vous spécifiez. Après avoir créé le parcours, commence AWS CloudTrail automatiquement à enregistrer les événements que vous avez spécifiés.
Note
Après avoir créé un suivi, vous pouvez en configurer un autre Services AWS pour analyser plus en profondeur les données d'événements collectées dans les CloudTrail journaux et agir en fonction de celles-ci. Pour plus d’informations, consultez AWS intégrations de services avec journaux CloudTrail .
Créer un journal de suivi dans la console
Utilisez la procédure suivante pour créer un journal qui enregistre les événements dans l'ensemble Régions AWS de la AWS partition sur laquelle vous travaillez. Il s’agit d’une bonne pratique recommandée. Pour journaliser les événements dans une région unique (non recommandé), utilisez l' AWS CLI.
Pour créer un CloudTrail parcours à l'aide du AWS Management Console
Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudtrail/
. -
Sur la page d'accueil du CloudTrail service, sur la page des sentiers ou dans la section des sentiers de la page du tableau de bord, choisissez Créer un parcours.
-
Sur la page Créer un journal de suivi, tapez un nom pour votre journal de suivi dans la zone Nom du journal de suivi. Pour plus d’informations, consultez Exigences de dénomination pour les CloudTrail ressources, les compartiments S3 et les clés KMS.
-
S'il s'agit d'un suivi d' AWS Organizations organisation, vous pouvez activer le suivi pour tous les comptes de votre organisation. Pour voir cette option, vous devez vous connecter à la console avec un utilisateur ou un rôle dans le compte de gestion ou d'administrateur délégué. Pour créer avec succès le journal de suivi d’une organisation, assurez-vous que l’utilisateur ou le rôle dispose d’autorisations suffisantes. Pour plus d'informations, consultez Création d'un journal de suivi pour une organisation.
-
Sous Emplacement de stockage, choisissez Créer un nouveau compartiment S3 pour créer un nouveau compartiment. Lorsque vous créez un bucket, il CloudTrail crée et applique les politiques de bucket requises. Si vous choisissez de créer un nouveau compartiment S3, votre politique IAM doit inclure une autorisation pour l'
s3:PutEncryptionConfiguration
action, car le chiffrement côté serveur est activé par défaut pour le compartiment.Note
Si vous avez choisi Utiliser un compartiment S3 existant, spécifiez un compartiment dans Nom du compartiment des journaux de suivi, ou sélectionnez Parcourir pour choisir un compartiment. Si vous voulez utiliser un compartiment dans un autre compte, vous devez spécifier le nom du compartiment. La politique du compartiment doit accorder CloudTrail l'autorisation d'y écrire. Pour en savoir plus sur la modification manuelle de la politique de compartiment, consultez Politique relative aux compartiments Amazon S3 pour CloudTrail.
Pour retrouver plus facilement vos journaux, créez un nouveau dossier (également appelé préfixe) dans un compartiment existant pour stocker vos CloudTrail journaux. Saisir le préfixe dans Préfixe.
-
Sous Chiffrement SSE-KMS du fichier journal, choisissez Activé si vous souhaitez chiffrer vos fichiers journaux avec SSE-KMS plutôt qu’avec SSE-S3. La valeur par défaut est Activé. Si vous n'activez pas le chiffrement SSE-KMS, vos journaux sont chiffrés à l'aide du chiffrement SSE-S3. Pour plus d'informations sur le chiffrement SSE-KMS, voir Utilisation du chiffrement côté serveur avec AWS Key Management Service (SSE-KMS). Pour plus d'informations sur SSE-S3, consultez Utilisation du chiffrement côté serveur avec les clés de chiffrement gérées par Amazon S3 (SSE-S3).
Si vous activez le chiffrement SSE-KMS, sélectionnez Nouveau ou Existant. AWS KMS key Dans AWS KMS Alias, spécifiez un alias au format
alias/
MyAliasName
. Pour plus d’informations, consultez Mise à jour d'une ressource pour qu'elle utilise votre clé KMS. CloudTrail prend également en charge les clés AWS KMS multirégionales. Pour plus d’informations, consultez la section Utilisation de clés multi-régions dans le Guide du développeur AWS Key Management Service .Note
Vous pouvez également saisir l’ARN d’une clé à partir d’un autre compte. Pour plus d’informations, consultez Mise à jour d'une ressource pour qu'elle utilise votre clé KMS. La politique de clé doit CloudTrail autoriser l'utilisation de la clé pour chiffrer vos fichiers journaux et permettre aux utilisateurs que vous spécifiez de lire les fichiers journaux sous forme non chiffrée. Pour en savoir plus sur la modification manuelle de la politique de clés, consultez Configurer les politiques AWS KMS clés pour CloudTrail.
-
Sous Paramètres supplémentaires, configurez les événements suivants.
-
Sous Validation du fichier journal, choisissez Activé pour que les fichiers de valeur de hachage soient livrés dans votre compartiment S3. Vous pouvez utiliser les fichiers de synthèse pour vérifier que vos fichiers journaux n'ont pas changé après leur CloudTrail livraison. Pour plus d’informations, consultez Validation de l' CloudTrail intégrité du fichier journal.
-
Pour l'envoi de notifications SNS, choisissez Enabled pour être averti chaque fois qu'un journal est envoyé à votre bucket. CloudTrail enregistre plusieurs événements dans un fichier journal. Des notifications SNS sont envoyées pour chaque fichier journal, non pour chaque événement. Pour plus d'informations, consultez Configuration des notifications Amazon SNS pour CloudTrail.
Si vous activez les notifications SNS, pour Créer une nouvelle rubrique SNS, choisissez Nouveau pour créer une rubrique, ou Existant, pour utiliser une rubrique existante. Si vous créez un journal de suivi qui s'applique à toutes les régions, les notifications SNS relatives à la livraison de fichiers journaux de toutes les régions sont envoyées à la rubrique SNS unique que vous créez.
Si vous choisissez Nouveau, vous CloudTrail spécifiez un nom pour le nouveau sujet ou vous pouvez saisir un nom. Si vous choisissez Existant, choisissez une rubrique SNS dans la liste déroulante. Vous pouvez également saisir l'ARN d'une rubrique provenant d'une autre région ou d'un compte disposant des autorisations appropriées. Pour plus d'informations, consultez Politique relative aux rubriques Amazon SNS pour CloudTrail.
Si vous créez une rubrique, vous devez vous abonner à la rubrique pour être averti de l'envoi de fichiers journaux. Vous pouvez vous abonner à partir de la console Amazon SNS. En raison de la fréquence des notifications, nous vous recommandons de configurer l'abonnement pour pouvoir utiliser une file d'attente Amazon SQS afin de gérer les notifications par programmation. Pour plus d'informations, consultez Prise en main d'Amazon SNS dans le Guide du développeur Amazon Simple Notification Service.
-
-
Vous pouvez éventuellement configurer CloudTrail pour envoyer des fichiers CloudWatch journaux à Logs en choisissant Enabled in CloudWatch Logs. Pour plus d’informations, consultez Envoyer des événements à CloudWatch Logs.
-
Si vous activez l'intégration aux CloudWatch journaux, choisissez Nouveau pour créer un nouveau groupe de journaux, ou Existant pour utiliser un groupe existant. Si vous choisissez Nouveau, vous CloudTrail spécifiez un nom pour le nouveau groupe de journaux ou vous pouvez saisir un nom.
-
Si vous choisissez Existant, choisissez un groupe de journaux dans la liste déroulante.
-
Choisissez Nouveau pour créer un nouveau rôle IAM afin d'obtenir les autorisations d'envoyer des CloudWatch journaux à Logs. Choisir Existant pour choisir un rôle IAM existant dans la liste déroulante. L’instruction de politique pour le rôle nouveau ou existant s’affiche lorsque vous déroulez Document de politique. Pour plus d'informations sur ce rôle, consultez Document de politique de rôle pour l'utilisation CloudTrail des CloudWatch journaux à des fins de surveillance.
Note
-
Lorsque vous configurez un journal de suivi, vous pouvez choisir un compartiment S3 et une rubrique SNS qui appartiennent à un autre compte. Toutefois, si vous souhaitez CloudTrail transmettre des événements à un groupe de CloudWatch journaux journaux, vous devez choisir un groupe de journaux existant dans votre compte actuel.
Seul le compte de gestion peut configurer un groupe de CloudWatch journaux pour un journal d'entreprise à l'aide de la console. L'administrateur délégué peut configurer un groupe de CloudWatch journaux Logs à l'aide des opérations AWS CLI CloudTrail
CreateTrail
ou deUpdateTrail
l'API.
-
-
-
Pour Balises, ajoutez une ou plusieurs identifications personnalisées (paires clé-valeur) à votre journal de suivi. Les balises peuvent vous aider à identifier à la fois vos CloudTrail traces et les compartiments Amazon S3 contenant les fichiers CloudTrail journaux. Vous pouvez ensuite utiliser des groupes de ressources pour vos CloudTrail ressources. Pour plus d’informations, consultez AWS Resource Groups et Balises.
-
Sur la page Choisir des événements du journal, choisissez les types d’événements que vous souhaitez consigner. Sous Événements de gestion, procédez comme suit.
-
Pour Activité d’API, indiquez si vous souhaitez que votre journal de suivi journalise les événements en événements Lecture ou en événements Écriture, ou les deux. Pour plus d’informations, consultez Événements de gestion.
-
Choisissez Exclure les AWS KMS événements pour filtrer AWS Key Management Service (AWS KMS) les événements de votre parcours. Le paramètre par défaut est d'inclure tous les AWS KMS événements.
L'option permettant d'enregistrer ou d'exclure AWS KMS des événements n'est disponible que si vous enregistrez des événements de gestion sur votre parcours. Si vous choisissez de ne pas consigner les événements de gestion, AWS KMS ceux-ci ne sont pas enregistrés et vous ne pouvez pas modifier les paramètres de journalisation des AWS KMS événements.
AWS KMS des actions telles que
Encrypt
Decrypt
, et génèrentGenerateDataKey
généralement un grand volume (plus de 99 %) d'événements. Ces actions sont désormais journalisées en tant qu’événements Lecture. Les AWS KMS actions pertinentes à faible volume telles queDisable
Delete
, etScheduleKey
(qui représentent généralement moins de 0,5 % du volume d' AWS KMS événements) sont enregistrées en tant qu'événements d'écriture.Pour exclure des événements importants tels que
Encrypt
, etDecrypt
GenerateDataKey
, tout en enregistrant les événements pertinents tels queDisable
,Delete
etScheduleKey
, choisissez de consigner les événements de gestion d'écriture et décochez la case Exclure les AWS KMS événements. -
Choisissez Exclure les événements API de données Amazon RDS pour filtrer les événements d’API de données Amazon Relational Database Service Data hors de votre journal de suivi. Le paramètre par défaut consiste à inclure tous les événements d'API de données Amazon RDS. Pour plus d’informations sur les événements d’API Amazon RDS Data API, consultez Journalisation des appels d’API de données avec AWS CloudTrail dans le Guide de l’utilisateur Amazon RDS pour Aurora.
-
-
Pour journaliser les événements de données, choisissez Événements de données. Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour plus d'informations, consultez Tarification AWS CloudTrail
. -
Important
Les étapes 12 à 16 concernent la configuration des événements de données à l'aide de sélecteurs d'événements avancés, ce qui est le cas par défaut. Les sélecteurs d'événements avancés vous permettent de configurer davantage de types d'événements de données et de contrôler avec précision les événements de données capturés par votre journal de suivi. Si vous avez choisi d'utiliser des sélecteurs d'événements de base, suivez les étapes décrites dans Configurer les paramètres des événements de données à l’aide de sélecteurs d’événements de base, puis revenez à l'étape 17 de cette procédure.
Pour Type d’événement de données, choisissez le type de ressource sur lequel vous souhaitez journaliser les événements de données. Pour plus d'informations sur les types d'événements de données, veuillez consulter Événements de données.
Note
Pour enregistrer les événements de données pour AWS Glue les tables créées par Lake Formation, choisissez Lake Formation.
-
Choisissez un modèle de sélecteur de journaux. CloudTrail inclut des modèles prédéfinis qui enregistrent tous les événements de données pour le type de ressource. Pour créer un modèle de sélecteur de journal personnalisé, choisissez Personnaliser.
Note
Le choix d'un modèle prédéfini pour les compartiments S3 permet de consigner les événements de données pour tous les compartiments actuellement présents dans votre AWS compte et pour tous les compartiments que vous créez une fois le suivi terminé. Il permet également de consigner l'activité des événements de données effectuée par n'importe quelle identité IAM de votre AWS compte, même si cette activité est effectuée sur un bucket appartenant à un autre AWS compte.
Si le journal de suivi s’applique à une seule région, le fait de choisir un modèle prédéfini qui journalise tous les compartiments S3 permet la journalisation des événements de données pour tous les compartiments situés dans la même région que votre journal de suivi et tous les compartiments que vous créerez ultérieurement dans cette région. Les événements de données relatifs aux compartiments Amazon S3 situés dans d'autres régions ne seront pas enregistrés dans votre AWS compte.
Si vous créez un suivi pour toutes les régions, le choix d'un modèle prédéfini pour les fonctions Lambda permet d'enregistrer les événements de données pour toutes les fonctions actuellement présentes dans votre AWS compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans n'importe quelle région une fois le suivi créé. Si vous créez un suivi pour une seule région (en utilisant le AWS CLI), cette sélection active l'enregistrement des événements de données pour toutes les fonctions actuellement présentes dans cette région sur votre AWS compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans cette région une fois que vous aurez terminé de créer le journal. Cela n’active pas la journalisation des événements de données pour les fonctions Lambda créées dans d’autres régions.
La journalisation des événements de données pour toutes les fonctions permet également de consigner l'activité des événements de données effectuée par n'importe quelle identité IAM de votre AWS compte, même si cette activité est effectuée sur une fonction appartenant à un autre AWS compte.
-
(Facultatif) Dans Nom du sélecteur, saisissez un nom pour identifier votre sélecteur. Le nom du sélecteur est un nom descriptif pour un sélecteur d'événements avancé, tel que « Journaliser les événements de données pour deux compartiments S3 uniquement ». Le nom du sélecteur est répertorié comme
Name
dans le sélecteur d'événements avancé et est visible si vous développez la Vue JSON. -
Dans Sélecteurs d’événements avancés, créez une expression pour les ressources spécifiques sur lesquelles vous souhaitez journaliser les événements de données. Vous pouvez ignorer cette étape si vous utilisez un modèle de journal prédéfini.
-
Choisissez parmi les options suivantes.
-
readOnly
-readOnly
peut être défini pour être égal à une valeur detrue
oufalse
. Les événements de données en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les événementsGet*
ouDescribe*
. Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événementsPut*
,Delete*
, ouWrite*
. Pour journaliser les deux événementsread
etwrite
, n'ajoutez pas de sélecteurreadOnly
. -
eventName
-eventName
peut utiliser n’importe quel opérateur. Vous pouvez l'utiliser pour inclure ou exclure tout événement de données enregistré CloudTrail, tel quePutBucket
PutItem
, ouGetSnapshotBlock
. -
resources.ARN
- Vous pouvez utiliser n'importe quel opérateurresources.ARN
, mais si vous utilisez égal ou non, la valeur doit correspondre exactement à l'ARN d'une ressource valide du type que vous avez spécifié dans le modèle comme valeur deresources.type
.Le tableau suivant affiche le format ARN valide de chaque
resources.type
.Note
Vous ne pouvez pas utiliser le
resources.ARN
champ pour filtrer les types de ressources dépourvus d'ARN.resources.type resources.ARN AWS::DynamoDB::Table1
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
AWS::Lambda::Function
arn:
partition
:lambda:region
:account_ID
:function:function_name
AWS::S3::Object
2arn:
partition
:s3:::DOC-EXAMPLE-BUCKET
/ arn:partition
:s3:::DOC-EXAMPLE-BUCKET
/object_or_file_name
/AWS::AppConfig::Configuration
arn:
partition
:appconfig:region
:account_ID
:application/application_ID
/environment/environment_ID
/configuration/configuration_profile_ID
AWS::B2BI::Transformer
arn:
partition
:b2bi:region
:account_ID
:transformer/transformer_ID
AWS::Bedrock::AgentAlias
arn:
partition
:bedrock:region
:account_ID
:agent-alias/agent_ID
/alias_ID
AWS::Bedrock::KnowledgeBase
arn:
partition
:bedrock:region
:account_ID
:knowledge-base/knowledge_base_ID
AWS::Cassandra::Table
arn:
partition
:cassandra:region
:account_ID
:keyspace/keyspace_name
/table/table_name
AWS::CloudFront::KeyValueStore
arn:
partition
:cloudfront:region
:account_ID
:key-value-store/KVS_name
AWS::CloudTrail::Channel
arn:
partition
:cloudtrail:region
:account_ID
:channel/channel_UUID
AWS::CodeWhisperer::Customization
arn:
partition
:codewhisperer:region
:account_ID
:customization/customization_ID
AWS::CodeWhisperer::Profile
arn:
partition
:codewhisperer:region
:account_ID
:profile/profile_ID
AWS::Cognito::IdentityPool
arn:
partition
:cognito-identity:region
:account_ID
:identitypool/identity_pool_ID
AWS::DynamoDB::Stream
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
/stream/date_time
AWS::EC2::Snapshot
arn:
partition
:ec2:region
::snapshot/snapshot_ID
AWS::EMRWAL::Workspace
arn:
partition
:emrwal:region
:account_ID
:workspace/workspace_name
AWS::FinSpace::Environment
arn:
partition
:finspace:region
:account_ID
:environment/environment_ID
AWS::Glue::Table
arn:
partition
:glue:region
:account_ID
:table/database_name
/table_name
AWS::GreengrassV2::ComponentVersion
arn:
partition
:greengrass:region
:account_ID
:components/component_name
AWS::GreengrassV2::Deployment
arn:
partition
:greengrass:region
:account_ID
:deployments/deployment_ID
AWS::GuardDuty::Detector
arn:
partition
:guardduty:region
:account_ID
:detector/detector_ID
AWS::IoT::Certificate
arn:
partition
:iot:region
:account_ID
:cert/certificate_ID
AWS::IoT::Thing
arn:
partition
:iot:region
:account_ID
:thing/thing_ID
AWS::IoTSiteWise::Asset
arn:
partition
:iotsitewise:region
:account_ID
:asset/asset_ID
AWS::IoTSiteWise::TimeSeries
arn:
partition
:iotsitewise:region
:account_ID
:timeseries/timeseries_ID
AWS::IoTTwinMaker::Entity
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
/entity/entity_ID
AWS::IoTTwinMaker::Workspace
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
AWS::KendraRanking::ExecutionPlan
arn:
partition
:kendra-ranking:region
:account_ID
:rescore-execution-plan/rescore_execution_plan_ID
AWS::Kinesis::Stream
arn:
partition
:kinesis:region
:account_ID
:stream/stream_name
AWS::Kinesis::StreamConsumer
arn:
partition
:kinesis:region
:account_ID
:stream_type
/stream_name
/consumer/consumer_name
:consumer_creation_timestamp
AWS::KinesisVideo::Stream
arn:
partition
:kinesisvideo:region
:account_ID
:stream/stream_name
/creation_time
AWS::MachineLearning::MlModel
arn:
partition
:machinelearning:region
:account_ID
:mlmodel/model_ID
AWS::ManagedBlockchain::Network
arn:
partition
:managedblockchain:::networks/network_name
AWS::ManagedBlockchain::Node
arn:
partition
:managedblockchain:region
:account_ID
:nodes/node_ID
AWS::MedicalImaging::Datastore
arn:
partition
:medical-imaging:region
:account_ID
:datastore/data_store_ID
AWS::NeptuneGraph::Graph
arn:
partition
:neptune-graph:region
:account_ID
:graph/graph_ID
AWS::PCAConnectorAD::Connector
arn:
partition
:pca-connector-ad:region
:account_ID
:connector/connector_ID
AWS::PCAConnectorSCEP::Connector
arn:
partition
:pca-connector-scep:region
:account_ID
:connector/connector_ID
AWS::QApps:QApp
arn:
partition
:qapps:region
:account_ID
:application/application_UUID
/qapp/qapp_UUID
AWS::QBusiness::Application
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
AWS::QBusiness::DataSource
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
/data-source/datasource_ID
AWS::QBusiness::Index
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
AWS::QBusiness::WebExperience
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/web-experience/web_experienc_ID
AWS::RDS::DBCluster
arn:
partition
:rds:region
:account_ID
:cluster/cluster_name
AWS::S3::AccessPoint
3arn:
partition
:s3:region
:account_ID
:accesspoint/access_point_name
AWS::S3ObjectLambda::AccessPoint
arn:
partition
:s3-object-lambda:region
:account_ID
:accesspoint/access_point_name
AWS::S3Outposts::Object
arn:
partition
:s3-outposts:region
:account_ID
:object_path
AWS::SageMaker::Endpoint
arn:
partition
:sagemaker:region
:account_ID
:endpoint/endpoint_name
AWS::SageMaker::ExperimentTrialComponent
arn:
partition
:sagemaker:region
:account_ID
:experiment-trial-component/experiment_trial_component_name
AWS::SageMaker::FeatureGroup
arn:
partition
:sagemaker:region
:account_ID
:feature-group/feature_group_name
AWS::SCN::Instance
arn:
partition
:scn:region
:account_ID
:instance/instance_ID
AWS::ServiceDiscovery::Namespace
arn:
partition
:servicediscovery:region
:account_ID
:namespace/namespace_ID
AWS::ServiceDiscovery::Service
arn:
partition
:servicediscovery:region
:account_ID
:service/service_ID
AWS::SNS::PlatformEndpoint
arn:
partition
:sns:region
:account_ID
:endpoint/endpoint_type
/endpoint_name
/endpoint_ID
AWS::SNS::Topic
arn:
partition
:sns:region
:account_ID
:topic_name
AWS::SQS::Queue
arn:
partition
:sqs:region
:account_ID
:queue_name
AWS::SSM::ManagedNode
L'ARN doit être dans l'un des formats suivants :
-
arn:
partition
:ssm:region
:account_ID
:managed-instance/instance_ID
-
arn:
partition
:ec2:region
:account_ID
:instance/instance_ID
AWS::SSMMessages::ControlChannel
arn:
partition
:ssmmessages:region
:account_ID
:control-channel/control_channel_ID
AWS::StepFunctions::StateMachine
L'ARN doit être dans l'un des formats suivants :
-
arn:
partition
:states:region
:account_ID
:stateMachine:stateMachine_name
-
arn:
partition
:states:region
:account_ID
:stateMachine:stateMachine_name
/label_name
AWS::SWF::Domain
arn:
partition
:swf:region
:account_ID
:/domain/domain_name
AWS::ThinClient::Device
arn:
partition
:thinclient:region
:account_ID
:device/device_ID
AWS::ThinClient::Environment
arn:
partition
:thinclient:region
:account_ID
:environment/environment_ID
AWS::Timestream::Database
arn:
partition
:timestream:region
:account_ID
:database/database_name
AWS::Timestream::Table
arn:
partition
:timestream:region
:account_ID
:database/database_name
/table/table_name
AWS::VerifiedPermissions::PolicyStore
arn:
partition
:verifiedpermissions:region
:account_ID
:policy-store/policy_store_ID
1 Pour les tables ayant les flux activés, le champ
resources
dans l’événement de plan de données contient à la foisAWS::DynamoDB::Stream
etAWS::DynamoDB::Table
. Si vous spécifiezAWS::DynamoDB::Table
commeresources.type
, les événements de table DynamoDB et les événements de flux DynamoDB sont journalisés par défaut. Pour exclure les événements de flux, ajoutez un filtre sur leeventName
champ.2 Pour journaliser tous les événements de données pour tous les objets d’un compartiment S3 spécifique, utilisez l’opérateur
StartsWith
et n’incluez que l’ARN du compartiment comme valeur correspondante. La barre oblique de fin est intentionnelle ; ne l’excluez pas.3 Pour journaliser les événements sur tous les objets d’un point d’accès S3, il est recommandé d’utiliser uniquement l’ARN du point d’accès, de ne pas inclure le chemin d’accès de l’objet et d’utiliser les opérateurs
StartsWith
ouNotStartsWith
. -
Pour plus d’informations sur les formats ARN des ressources d’événements de données, consultez Actions, ressources et clés de condition dans le Guide de l’utilisateur AWS Identity and Access Management .
-
-
Pour chaque champ, choisissez + Conditions pour ajouter autant de conditions que vous le souhaitez, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions. Par exemple, pour exclure les événements de données de deux compartiments S3 des événements de données enregistrés sur votre parcours, vous pouvez définir le champ sur Resources.ARN, définir l'opérateur pour ne commence pas par, puis coller l'ARN d'un compartiment S3 ou rechercher les compartiments S3 pour lesquels vous ne souhaitez pas enregistrer d'événements.
Pour ajouter le deuxième compartiment S3, choisissez + Conditions, puis répétez l'instruction précédente, en collant dans l'ARN ou en recherchant un compartiment différent.
Note
Il est possible de définir un maximum de 500 valeurs pour tous les sélecteurs d’un journal de suivi. Cela inclut des tableaux de valeurs multiples pour un sélecteur tel que
eventName
. Si vous avez défini des valeurs uniques pour tous les sélecteurs, il est possible d’ajouter un maximum de 500 conditions à un sélecteur.Si votre compte compte compte plus de 15 000 fonctions Lambda, vous ne pouvez pas afficher ou sélectionner toutes les fonctions dans la CloudTrail console lors de la création d'un journal. Il est toujours possible de journaliser toutes les fonctions à l’aide d’un modèle de sélecteur prédéfini, même si ces dernières ne sont pas affichées. Si vous souhaitez journaliser les événements de données de fonctions spécifiques, vous pouvez ajouter manuellement une fonction si vous connaissez son ARN. Vous pouvez également terminer la création du journal dans la console, puis utiliser la put-event-selectors commande AWS CLI et pour configurer la journalisation des événements de données pour des fonctions Lambda spécifiques. Pour plus d’informations, consultez Gérer les sentiers à l'aide du AWS CLI.
-
Choisir + champ pour ajouter des champs supplémentaires au besoin. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs. Par exemple, ne spécifiez pas un ARN dans un sélecteur pour être égal à une valeur, puis spécifiez que l'ARN n'est pas égal à la même valeur dans un autre sélecteur.
-
-
Pour ajouter un autre type de données sur lequel journaliser les événements de données, choisissez Ajouter un type d’événement de données. Répétez les étapes 12 à cette étape pour configurer les sélecteurs d'événements avancés pour le type d'événement de données.
-
Choisissez Insights events si vous souhaitez que votre parcours enregistre les événements CloudTrail Insights.
Dans Type d’événement, sélectionnez Événements Insights. Vous devez journaliser les événements de gestion Écriture pour journaliser les événements Insights afin de connaître le Taux d'appels d'API. Vous devez journaliser les événements de gestion Lecture ou Écriture pour journaliser les événements Insights afin de connaître le Taux d'erreur de l'API.
CloudTrail Insights analyse les événements de gestion pour détecter toute activité inhabituelle et enregistre les événements lorsque des anomalies sont détectées. Par défaut, les journaux de suivi ne journalisent pas les événements Insights. Pour plus d'informations sur les événements Insights, consultez Journalisation des événements Insights. Des frais supplémentaires s’appliquent pour la journalisation des événements Insights. Pour CloudTrail connaître les tarifs, consultez la section AWS CloudTrail Tarification
. Les événements Insights sont transmis à un dossier différent nommé
/CloudTrail-Insight
dans le même compartiment S3 spécifié dans la zone Emplacement de stockage de la page de détails du journal. CloudTrailcrée le nouveau préfixe pour vous. Par exemple, si votre compartiment S3 de destination actuel se nommeDOC-EXAMPLE-BUCKET/AWSLogs/CloudTrail/
, le nom du compartiment S3 avec un nouveau préfixe se nommeraDOC-EXAMPLE-BUCKET/AWSLogs/CloudTrail-Insight/
. -
Après avoir sélectionné les types d’événements à journaliser, choisissez Suivant.
-
Sur la page Vérifier et créer, vérifiez vos choix. Choisissez Modifier dans une section pour modifier les paramètres de journal de suivi affichés dans cette section. Lorsque vous êtes prêt à créer votre journal de suivi, choisissez Créer un journal de suivi.
-
Le nouveau journal de suivi s’affiche sur la page Journaux de suivi. En 5 minutes environ, CloudTrail publie des fichiers journaux qui indiquent les appels AWS d'API effectués dans votre compte. Les fichiers journaux se trouvent dans le compartiment S3 que vous avez spécifié. Le lancement du premier événement Insights peut prendre jusqu' CloudTrail à 36 heures si vous avez activé la journalisation des événements Insights et qu'une activité inhabituelle est détectée.
Note
CloudTrail fournit généralement des journaux dans un délai moyen d'environ 5 minutes après un appel d'API. Ce délai n’est pas garanti. Pour plus d’informations, consultez le Contrat de niveau de service (SLA)AWS CloudTrail
. Si vous configurez mal votre trace (par exemple, si le compartiment S3 est inaccessible), vous CloudTrail tenterez de remettre les fichiers journaux à votre compartiment S3 pendant 30 jours, et ces attempted-to-deliver événements seront soumis aux frais standard. CloudTrail Pour éviter des frais sur un journal de suivi mal configuré, vous devez supprimer le journal de suivi.
Configurer les paramètres des événements de données à l’aide de sélecteurs d’événements de base
Vous pouvez utiliser des sélecteurs d'événements avancés pour configurer tous les types d'événements de données. Les sélecteurs d'événements avancés vous permettent de créer des sélecteurs précis pour enregistrer uniquement les événements qui vous intéressent.
Si vous utilisez des sélecteurs d'événements de base pour enregistrer des événements de données, vous êtes limité à la journalisation des événements de données pour les compartiments, les AWS Lambda fonctions et les tables Amazon DynamoDB d'Amazon S3. Vous ne pouvez pas filtrer sur le eventName
terrain à l'aide de sélecteurs d'événements de base.
![Sélecteurs d'événements de base pour les événements de données sur un journal de suivi](images/cloudtrail-data-basic-selectors.png)
Utilisez la procédure suivante afin de configurer les paramètres des événements de données à l'aide de sélecteurs d'événements de base.
Pour configurer les paramètres des événements de données à l'aide de sélecteurs d'événements de base
-
Dans Événements, sélectionnez Événements de données pour journaliser les événements de données. Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour plus d'informations, consultez Tarification AWS CloudTrail
. -
Pour les compartiments Amazon S3 :
-
Pour Data event source (Source d'événements de données), choisissez S3.
-
Il est possible de choisir de journaliser Tous les compartiments S3 actuels et futurs ou de spécifier des compartiments ou fonctions individuels. Par défaut, les événements de données sont journalisés pour tous les compartiments S3 actuels et futurs.
Note
Le maintien de l'option par défaut Tous les compartiments S3 actuels et futurs active la journalisation des événements de données pour tous les compartiments actuellement présents dans votre AWS compte et pour tous les compartiments que vous créez une fois le suivi terminé. Il permet également de consigner l'activité des événements de données effectuée par n'importe quelle identité IAM de votre AWS compte, même si cette activité est effectuée sur un bucket appartenant à un autre AWS compte.
Si vous créez un parcours pour une seule région (à l'aide du AWS CLI), sélectionnez Tous les compartiments S3 actuels et futurs pour enregistrer les événements de données pour tous les compartiments de la même région que votre parcours et pour tous les compartiments que vous créerez ultérieurement dans cette région. Les événements de données relatifs aux compartiments Amazon S3 situés dans d'autres régions ne seront pas enregistrés dans votre AWS compte.
-
Si vous laissez l’option par défaut, Tous les compartiments S3 actuels et futurs, choisissez de journaliser les événements de lecture, les événements d’écriture, ou les deux.
-
Pour sélectionner des compartiments individuels, il convient de vider les boîtes de dialogue Lecture et Écriture pour Tous les compartiments S3 actuels et futurs. Dans Sélection du compartiment individuel, recherchez un compartiment sur lequel journaliser les événements de données. Recherchez des compartiments spécifiques en tapant un préfixe de compartiment pour le compartiment souhaité. Vous pouvez sélectionner plusieurs compartiments dans cette fenêtre. Choisissez Ajouter un compartiment pour journaliser les événements de données pour d’autres compartiments. Choisissez de journaliser les événements Lecture tels que
GetObject
, les événements Écriture tels quePutObject
, ou les deux.Ce paramètre est prioritaire par rapport aux paramètres que vous définissez pour les compartiments individuels. Par exemple, si vous spécifiez la journalisation des événements Read (Lecture) pour tous les compartiments S3, puis choisissez d'ajouter un compartiment spécifique pour la journalisation des événements de données, Read (Lecture) est déjà sélectionné pour le compartiment que vous avez ajouté. Vous ne pouvez pas effacer la sélection. Vous pouvez uniquement configurer l’option pour Écriture.
Pour supprimer un compartiment de la journalisation, choisissez X.
-
-
Pour ajouter un autre type de données sur lequel journaliser les événements de données, choisissez Add data event type (Ajouter un type d'événement de données).
-
Pour les fonctions Lambda :
-
Pour Data event source (Source d'événement de données), choisissez Lambda.
-
Dans Fonction Lambda, choisissez Toutes les régions pour journaliser toutes les fonctions Lambda, ou Fonction d’entrée en tant qu’ARN, pour consigner les événements de données sur une fonction spécifique.
Pour enregistrer les événements de données relatifs à toutes les fonctions Lambda de votre AWS compte, sélectionnez Enregistrer toutes les fonctions actuelles et futures. Ce paramètre est prioritaire par rapport aux paramètres que vous définissez pour les fonctions individuelles. Toutes les fonctions sont journalisées, même si elles ne sont pas toutes affichées.
Note
Si vous créez un journal de suivi pour toutes les régions, cette sélection active la journalisation des événements de données pour toutes les fonctions se trouvant actuellement dans votre compte AWS et pour toute fonction Lambda que vous êtes susceptible de définir dans n'importe quelle région après avoir achevé la création du journal de suivi. Si vous créez un suivi pour une seule région (en utilisant le AWS CLI), cette sélection active l'enregistrement des événements de données pour toutes les fonctions actuellement présentes dans cette région sur votre AWS compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans cette région une fois que vous aurez terminé de créer le journal. Cela n’active pas la journalisation des événements de données pour les fonctions Lambda créées dans d’autres régions.
La journalisation des événements de données pour toutes les fonctions permet également de consigner l'activité des événements de données effectuée par n'importe quelle identité IAM de votre AWS compte, même si cette activité est effectuée sur une fonction appartenant à un autre AWS compte.
-
Si vous choisissez Fonction d’entrée en tant qu’ARN, saisissez l’ARN d’une fonction Lambda.
Note
Si votre compte compte compte plus de 15 000 fonctions Lambda, vous ne pouvez pas afficher ou sélectionner toutes les fonctions dans la CloudTrail console lors de la création d'un journal. Vous pouvez toujours sélectionner l’option de journalisation de toutes les fonctions, même si elles ne sont pas affichées. Si vous souhaitez journaliser les événements de données de fonctions spécifiques, vous pouvez ajouter manuellement une fonction si vous connaissez son ARN. Vous pouvez également terminer la création du journal dans la console, puis utiliser la put-event-selectors commande AWS CLI et pour configurer la journalisation des événements de données pour des fonctions Lambda spécifiques. Pour plus d’informations, consultez Gérer les sentiers à l'aide du AWS CLI.
-
-
Pour Tables DynamoDB :
-
Pour Data event source (Source d'événement de données), choisissez DynamoDB.
-
Dans Sélection d’une table DynamoDB, choisissez Parcourir pour sélectionner une table ou coller dans l’ARN d’une table DynamoDB à laquelle vous avez accès. Un ARN de table DynamoDB utilise le format suivant :
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
Pour ajouter une autre table, choisissez Ajouter une ligne, puis recherchez un tableau ou collez dans l’ARN d’une table à laquelle vous avez accès.
-
-
Pour configurer les événements Insights et d’autres paramètres pour votre piste, revenez à la procédure précédente dans cette rubrique, Créer un journal de suivi dans la console.
Étapes suivantes
Après avoir créé le journal de suivi, vous pouvez le modifier:
-
Si ce n'est pas déjà fait, vous pouvez configurer CloudTrail pour envoyer des fichiers CloudWatch journaux à Logs. Pour plus d’informations, consultez Envoyer des événements à CloudWatch Logs.
-
Créez une table et utilisez-la pour exécuter une requête dans Amazon Athena afin d'analyser l'activité de vos services AWS . Pour plus d'informations, consultez la section Création d'une table pour les CloudTrail journaux dans la CloudTrail console dans le guide de l'utilisateur d'Amazon Athena.
-
Ajoutez des identifications personnalisées (paires clé-valeur) pour le journal de suivi.
-
Pour créer un autre journal de suivi, ouvrez la page Journaux de suivi et choisissez Créer un journal de suivi.