Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création d'un parcours pour une organisation à l'aide du AWS CLI
Vous pouvez créer un journal de suivi d'organisation avec la AWS CLI. AWS CLI Il est régulièrement mis à jour avec des fonctionnalités et des commandes supplémentaires. Pour garantir le succès, assurez-vous d'avoir installé ou mis à jour une AWS CLI version récente avant de commencer.
Note
Les exemples de cette section sont spécifiques à la création et la mise à jour des journaux de suivi de l’organisation. Pour des exemples d'utilisation du AWS CLI pour gérer les sentiers, voir Gérer les sentiers à l'aide du AWS CLI etConfiguration de la surveillance des CloudWatch journaux avec le AWS CLI. Lorsque vous créez ou mettez à jour le journal d'une organisation à l'aide du AWS CLI, vous devez utiliser un AWS CLI profil du compte de gestion ou du compte d'administrateur délégué doté des autorisations suffisantes. Si vous convertissez un journal de suivi d'organisation en un journal de suivi non lié à une organisation, vous devez utiliser le compte de gestion de l'organisation.
Vous devez configurer le compartiment Amazon S3 utilisé pour le journal de suivi d’une organisation avec des autorisations suffisantes.
Créez ou mettez à jour un compartiment Amazon S3 pour stocker les fichiers journaux du journal de suivi d'une organisation
Vous devez spécifier un compartiment Amazon S3 pour recevoir les fichiers journaux pour un journal d’activité d’une organisation. Ce compartiment doit disposer d'une politique CloudTrail permettant d'y placer les fichiers journaux de l'organisation.
Voici un exemple de politique pour un compartiment Amazon S3 nommé DOC-EXAMPLE-BUCKET, qui appartient au compte de gestion de l'organisation. Remplacez DOC-EXAMPLE-BUCKET, region, ManagementAccountID, par les valeurs de votre organisationTrailName et O-OrganizationID
Cette politique de compartiment contient trois instructions.
-
La première instruction permet CloudTrail d'appeler l'
GetBucketAclaction Amazon S3 sur le compartiment Amazon S3. -
La seconde instruction permet de se connecter dans le cas où le suivi est modifié d'un suivi d'organisation à un suivi pour ce compte uniquement.
-
La troisième instruction autorise la journalisation pour le suivi d'organisation.
L’exemple de politique inclut une clé de condition aws:SourceArn de la politique de compartiment Amazon S3. La clé de condition globale IAM aws:SourceArn permet de garantir que les CloudTrail écritures dans le compartiment S3 ne concernent qu'un ou plusieurs sentiers spécifiques. Dans un journal de suivi de l’organisation, la valeur de aws:SourceArn doit être un ARN de suivi appartenant au compte de gestion qui utilise l'ID du compte de gestion.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET", "Condition": { "StringEquals": { "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName" } } }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/AWSLogs/managementAccountID/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName" } } }, { "Sid": "AWSCloudTrailOrganizationWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/AWSLogs/o-organizationID/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control", "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName" } } } ] }
Cet exemple de politique n’autorise pas tous les utilisateurs des comptes membres à accéder aux fichiers journaux créés pour l’organisation. Par défaut, les fichiers journaux de l’organisation sont accessibles uniquement au compte de gestion. Pour plus d’informations sur la manière d’autoriser un accès en lecture au compartiment Amazon S3 pour les utilisateurs IAM des comptes membres, consultez Partage de fichiers CloudTrail journaux entre AWS comptes.
Activation CloudTrail en tant que service fiable dans AWS Organizations
Avant de créer un journal de suivi d'organisation, vous devez au préalable activer toutes les fonctions dans Organizations. Pour plus d'informations, consultez Enabling All Features in Your Organization (Activation de toutes les fonctions de votre organisation) ou exécutez la commande suivante à l'aide d'un profil bénéficiant des autorisations suffisantes dans le compte de gestion :
aws organizations enable-all-features
Après avoir activé toutes les fonctionnalités, vous devez configurer Organizations pour CloudTrail qu'elles soient considérées comme des services fiables.
Pour créer une relation de service fiable entre AWS Organizations et CloudTrail, ouvrez un terminal ou une ligne de commande et utilisez un profil dans le compte de gestion. Exécutez la commande aws organizations enable-aws-service-access comme illustré dans l'exemple suivant.
aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com
Utilisation de create-trail
Créer un journal de suivi d'organisation qui s'applique à toutes les régions
Pour créer un journal de suivi d'organisation qui s'applique à toutes les régions, ajoutez les options --is-organization-trail et --is-multi-region-trail.
Note
Lorsque vous créez un journal d'organisation à l'aide du AWS CLI, vous devez utiliser un AWS CLI profil dans le compte de gestion ou dans le compte d'administrateur délégué doté des autorisations suffisantes.
L'exemple suivant crée un journal de suivi d'organisation qui livre les journaux de toutes les régions à un compartiment existant nommé DOC-EXAMPLE-BUCKET
aws cloudtrail create-trail --namemy-trail--s3-bucket-nameDOC-EXAMPLE-BUCKET--is-organization-trail --is-multi-region-trail
Afin de confirmer que votre journal de suivi existe dans toutes les régions, les paramètres IsOrganizationTrail et IsMultiRegionTrail de la sortie sont tous deux définis sur true :
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "DOC-EXAMPLE-BUCKET" }
Note
Exécutez la commande start-logging pour démarrer la journalisation pour votre journal de suivi. Pour plus d'informations, consultez Arrêt et démarrage de la journalisation pour un journal de suivi.
Créer un journal de suivi d'organisation comme journal de suivi à région unique
La commande suivante crée un journal d'organisation qui enregistre uniquement les événements dans un seul journal Région AWS, également connu sous le nom de journal d'une seule région. La AWS région dans laquelle les événements sont enregistrés est la région spécifiée dans le profil de configuration du AWS CLI.
aws cloudtrail create-trail --namemy-trail--s3-bucket-nameDOC-EXAMPLE-BUCKET--is-organization-trail
Pour plus d’informations, consultez Exigences de dénomination pour les CloudTrail ressources, les compartiments S3 et les clés KMS.
Exemple de sortie :
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": true, "S3BucketName": "DOC-EXAMPLE-BUCKET" }
Par défaut, la commande create-trail crée un journal de suivi à région unique et ce suivi n'active pas la validation de fichiers journaux.
Note
Utilisez la commande start-logging pour démarrer la journalisation pour votre journal de suivi.
Exécution de update-trail pour effectuer la mise à jour d'un journal de suivi d'organisation
Vous pouvez utiliser la commande update-trail pour modifier les paramètres de configuration d'un journal de suivi d'organisation ou pour appliquer un journal de suivi existant d'un compte AWS
à l'intégralité d'une organisation. Souvenez-vous qu'il est possible d'exécuter la commande update-trail qu'à partir de la région dans laquelle le journal de suivi a été créé.
Note
Si vous utilisez le AWS CLI ou l'un des AWS SDK pour mettre à jour un parcours, assurez-vous que la politique relative aux compartiments du parcours le soit up-to-date. Pour plus d’informations, consultez Création d'un parcours pour une organisation à l'aide du AWS CLI.
Lorsque vous mettez à jour le journal d'une organisation avec le AWS CLI, vous devez utiliser un AWS CLI profil du compte de gestion ou du compte d'administrateur délégué doté des autorisations suffisantes. Si vous souhaitez convertir un journal d'organisation en un journal non lié à une organisation, vous devez utiliser le compte de gestion de l'organisation, car le compte de gestion est le propriétaire de toutes les ressources de l'organisation.
CloudTrail met à jour les traces de l'organisation dans les comptes des membres même en cas d'échec de la validation des ressources. Voici des exemples d'échecs de validation :
-
une politique de compartiment Amazon S3 incorrecte
-
une politique de rubrique Amazon SNS incorrecte
-
impossibilité de livrer à un groupe de CloudWatch journaux Logs
-
autorisation insuffisante pour chiffrer à l'aide d'une clé KMS
Un compte membre disposant d' CloudTrail autorisations peut voir les échecs de validation d'un journal d'organisation en consultant la page de détails du journal sur la CloudTrail console ou en exécutant la AWS CLI get-trail-statuscommande.
Application d’un journal de suivi existant à une organisation
Pour modifier un parcours existant afin qu'il s'applique également à une organisation plutôt qu'à un seul AWS compte, ajoutez l'--is-organization-trailoption, comme indiqué dans l'exemple suivant.
Note
Utilisez le compte de gestion pour transformer un journal de suivi non lié à une organisation existant en un journal d'organisation.
aws cloudtrail update-trail --namemy-trail--is-organization-trail
Afin de confirmer que le journal de suivi s’applique maintenant à l’organisation, le paramètre IsOrganizationTrail de la sortie affiche une valeur de true.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "DOC-EXAMPLE-BUCKET" }
Dans l'exemple précédent, le journal de suivi a été configuré pour s'appliquer à toutes les régions ("IsMultiRegionTrail": true). Un journal de suivi qui s'appliquait uniquement à une région unique indiquerait "IsMultiRegionTrail": false au niveau de la sortie.
Convertir un journal de suivi d'organisation qui s'applique à une région unique de sorte qu'il s'applique à toutes les régions
Pour modifier un journal de suivi d'organisation existant afin que celui-ci s'applique à toutes les régions, ajoutez l'option --is-multi-region-trail comme indiqué dans l'exemple suivant.
aws cloudtrail update-trail --namemy-trail--is-multi-region-trail
Afin de confirmer que le journal de suivi s'applique maintenant à toutes les régions, le paramètre IsMultiRegionTrail dans le résultat affiche une valeur de true.
{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "DOC-EXAMPLE-BUCKET" }
