Utilisation de la update-trail commande pour mettre à jour un parcours

Important

Depuis le 22 novembre 2021, la façon dont les sentiers capturent les événements liés au service mondial AWS CloudTrail a changé. Désormais, les événements créés par Amazon CloudFront AWS STS sont enregistrés dans la région dans laquelle ils ont été créés, la région USA Est (Virginie du Nord), us-east-1. AWS Identity and Access Management Cela rend le CloudTrail traitement de ces services cohérent avec celui des autres services AWS mondiaux. Pour continuer à recevoir les événements de service global en dehors des USA Est (Virginie du Nord), veillez à convertir les journaux de suivi à région unique utilisant des événements de services mondiaux en dehors des USA Est (Virginie du Nord) en journaux de suivi multi-régions. Pour plus d’informations sur la capture des événements de services mondiaux, consultez Activation et désactivation de la journalisation des événements de services mondiaux plus loin dans cette section.

En revanche, l'historique des événements de la CloudTrail console et la aws cloudtrail lookup-events commande afficheront ces événements Région AWS là où ils se sont produits.

Vous pouvez utiliser la commande update-trail pour modifier les paramètres de configuration d’un journal de suivi. Vous pouvez également utiliser les commandes add-tags et remove-tags pour ajouter et supprimer les identifications pour un journal de suivi. Vous ne pouvez mettre à jour les sentiers que depuis la AWS région où ils ont été créés (sa région d'origine). Lorsque vous utilisez le AWS CLI, n'oubliez pas que vos commandes s'exécutent dans la AWS région configurée pour votre profil. Si vous souhaitez exécuter les commandes dans une autre région, modifiez la région par défaut pour votre profil, ou utilisez le paramètre --region avec la commande.

Si vous avez activé les événements CloudTrail de gestion dans Amazon Security Lake, vous devez gérer au moins un journal organisationnel multirégional qui enregistre à la fois les read événements de gestion et les événements write de gestion. Vous ne pouvez pas mettre à jour un journal de suivi éligible de telle sorte qu'il ne réponde pas aux exigences de Security Lake. Par exemple, en modifiant le journal de suivi pour qu’il s’applique à une région unique ou en désactivant la journalisation des événements de gestion read et write.

Note

Si vous utilisez le AWS CLI ou l'un des AWS SDK pour modifier un parcours, assurez-vous que la politique de compartiment du parcours est up-to-date conforme. Pour que votre bucket reçoive automatiquement les événements d'un nouveau Région AWS, la politique doit contenir le nom complet du service,cloudtrail.amazonaws.com. Pour plus d’informations, consultez Politique relative aux compartiments Amazon S3 pour CloudTrail.

Convertir un journal de suivi qui s'applique à une région de sorte qu'il s'applique à toutes les régions

Pour modifier un journal de suivi existant afin qu'il s'applique à toutes les régions, utilisez l'option --is-multi-region-trail.

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

Afin de confirmer que le journal de suivi s'applique maintenant à toutes les régions, l'élément IsMultiRegionTrail dans le résultat affiche true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": false,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

Convertir un journal de suivi multi-régions à un journal de suivi à région unique

Pour modifier un journal de suivi multi-régions existant afin qu'il s'applique uniquement à la région dans laquelle il a été créé, utilisez l'option --no-is-multi-region-trail.

aws cloudtrail update-trail --name my-trail --no-is-multi-region-trail

Afin de confirmer que le journal de suivi s'applique maintenant à une seule région, l'élément IsMultiRegionTrail dans le résultat affiche false.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": false, 
    "IsOrganizationTrail": false,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

Activation et désactivation de la journalisation des événements de services mondiaux

Pour modifier un journal de suivi afin qu'il ne journalise pas les événements de services mondiaux, utilisez l'option --no-include-global-service-events.

aws cloudtrail update-trail --name my-trail --no-include-global-service-events

Pour confirmer que le journal de suivi ne journaliser plus d'événements de services mondiaux, l'élément IncludeGlobalServiceEvents dans le résultat indique false.

{
    "IncludeGlobalServiceEvents": false, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": false, 
    "IsOrganizationTrail": false,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

Pour modifier un journal de suivi afin qu'il journalise les événements de services mondiaux, utilisez l'option --include-global-service-events.

Les journaux de suivi à région unique ne recevront plus d'événements de services mondiaux à partir du 22 novembre 2021, sauf si le journal de suivi apparaît déjà dans la région USA Est (Virginie du Nord), us-east-1. Pour continuer à capturer les événements de services mondiaux, mettez à jour la configuration du journal de suivi en un journal de suivi multi-régions. Par exemple, cette commande met à jour un journal de suivi à région unique dans USA Est (Ohio), us-east-2, en un journal de suivi multi-régions. Remplacez myExistingSingleRegionTrailWithGSE par le nom de piste approprié à votre configuration.

aws cloudtrail --region us-east-2 update-trail --name myExistingSingleRegionTrailWithGSE --is-multi-region-trail

Étant donné que les activités de services mondiaux ne sont disponibles dans la région USA Est (Virginie du Nord) qu'à partir du 22 novembre 2021, vous pouvez également créer un journal de suivi à région unique pour vous abonner aux activités de services mondiaux dans la région USA Est (Virginie du Nord), us-east-1. La commande suivante crée un suivi régional unique dans us-east-1 pour la réception, l'IAM et les CloudFront événements : AWS STS

aws cloudtrail --region us-east-1 create-trail --include-global-service-events --name myTrail --s3-bucket-name DOC-EXAMPLE-BUCKET

Activer la validation du fichier journal

Pour activer la validation du fichier journal pour un journal de suivi, utilisez l'option --enable-log-file-validation. Les fichiers de valeur de hachage sont livrés au compartiment Amazon S3 pour ce journal de suivi.

aws cloudtrail update-trail --name my-trail --enable-log-file-validation

Afin de confirmer que la validation de fichiers journaux est activée, l’élément LogFileValidationEnabled dans le résultat affiche true.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": true, 
    "IsMultiRegionTrail": false, 
    "IsOrganizationTrail": false,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

Désactiver la validation du fichier journal

Pour désactiver la validation du fichier journal pour un journal de suivi, utilisez l'option --no-enable-log-file-validation.

aws cloudtrail update-trail --name my-trail-name --no-enable-log-file-validation

Afin de confirmer que la validation du fichier journal est désactivée, l’élément LogFileValidationEnabled dans le résultat affiche false.

{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": false, 
    "IsOrganizationTrail": false,
    "S3BucketName": "DOC-EXAMPLE-BUCKET"
}

Pour valider les fichiers journaux à l'aide du AWS CLI, voirValidation de l'intégrité du fichier CloudTrail journal à l'aide du AWS CLI.