Mettre à jour un parcours avec la CloudTrail console - AWS CloudTrail
Mettre à jour les paramètres d'événements de données à l'aide de sélecteurs d'événements de base

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mettre à jour un parcours avec la CloudTrail console

Cette section décrit comment modifier les paramètres du journal de suivi.

Pour mettre à jour un suivi régional afin de consigner les événements dans l'ensemble Régions AWS de la AWS partition dans laquelle vous travaillez, ou pour mettre à jour un journal multirégional pour n'enregistrer les événements que dans une seule région, vous devez utiliser le. AWS CLI Pour plus d'informations sur la mise à jour d'un journal de suivi à région unique pour journaliser les événements dans toutes les régions, veuillez consulter Convertir un journal de suivi qui s'applique à une région de sorte qu'il s'applique à toutes les régions. Pour plus d'informations sur la mise à jour d'un journal de suivi multi-régions pour journaliser les événements dans une région unique, veuillez consulter Convertir un journal de suivi multi-régions à un journal de suivi à région unique.

Si vous avez activé les événements CloudTrail de gestion dans Amazon Security Lake, vous devez gérer au moins un journal organisationnel multirégional qui enregistre à la fois les read événements de gestion et les événements write de gestion. Vous ne pouvez pas mettre à jour un journal de suivi éligible de telle sorte qu'il ne réponde pas aux exigences de Security Lake. Par exemple, en modifiant le journal de suivi pour qu’il s’applique à une région unique ou en désactivant la journalisation des événements de gestion read et write.

Note

CloudTrail met à jour les traces de l'organisation dans les comptes des membres même en cas d'échec de la validation des ressources. Voici des exemples d'échecs de validation :

  • une politique de compartiment Amazon S3 incorrecte

  • une politique SNS thématique Amazon incorrecte

  • impossibilité de livrer à un groupe de CloudWatch journaux Logs

  • autorisation insuffisante pour chiffrer à l'aide d'une clé KMS

Un compte membre disposant d' CloudTrail autorisations peut voir les échecs de validation d'un journal d'organisation en consultant la page de détails du journal sur la CloudTrail console ou en exécutant la AWS CLI get-trail-statuscommande.

Pour mettre à jour un parcours à l'aide du AWS Management Console

  1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudtrail/.

  2. Dans le panneau de navigation de gauche, choisissez Trails (Journaux de suivi), puis le nom du journal de suivi.

  3. Dans Renseignements généraux, choisissez Modifier pour modifier les paramètres suivants. Vous ne pouvez pas modifier le nom d’un journal de suivi.

    • Appliquer le parcours à mon organisation - Indiquez si ce parcours est un parcours d' AWS Organizations organisation.

      Note

      Seul le compte de gestion de l'organisation peut convertir un journal de suivi organisationnel en journal de suivi non lié à une organisation, ou effectuer la conversion inverse.

    • Emplacement de journalisation du journal de suivi : modifiez le nom du compartiment S3 ou du préfixe dans lequel vous stockez les journaux de ce journal de suivi.

    • Fichier journal SSE - KMS chiffrement - Choisissez d'activer ou de désactiver le chiffrement des fichiers journaux avec SSE - KMS au lieu de SSE -S3.

    • Validation du fichier journal : choisissez d’activer ou de désactiver la validation de l’intégrité des fichiers journaux.

    • SNSenvoi des notifications : choisissez d'activer ou de désactiver les notifications Amazon Simple Notification Service (AmazonSNS) indiquant que des fichiers journaux ont été envoyés dans le compartiment spécifié pour le suivi.

    1. Pour transformer le suivi en suivi d' AWS Organizations organisation, vous pouvez choisir d'activer le suivi pour tous les comptes de votre organisation. Pour de plus amples informations, veuillez consulter Création d'un journal de suivi pour une organisation.

    2. Pour modifier le compartiment spécifié dans Emplacement de stockage, choisissez Création d’un compartiment S3 pour créer un compartiment. Lorsque vous créez un bucket, il CloudTrail crée et applique les politiques de bucket requises. Si vous choisissez de créer un nouveau compartiment S3, votre IAM politique doit inclure une autorisation pour l's3:PutEncryptionConfigurationaction, car le chiffrement côté serveur est activé par défaut pour le compartiment.

      Note

      Si vous avez choisi Utilisation du compartiment S3 existant, spécifiez un compartiment dans Nom du compartiment du journal de suivi, ou sélectionnez Parcourir pour choisir un compartiment. La politique du compartiment doit accorder CloudTrail l'autorisation d'y écrire. Pour en savoir plus sur la modification manuelle de la politique de compartiment, consultez Politique relative aux compartiments Amazon S3 pour CloudTrail.

      Pour retrouver plus facilement vos journaux, créez un nouveau dossier (également appelé préfixe) dans un compartiment existant pour stocker vos CloudTrail journaux. Saisir le préfixe dans Préfixe.

    3. Pour KMSChiffrement des fichiers SSE journaux, choisissez Activé si vous souhaitez chiffrer vos fichiers journaux en utilisant le KMS cryptage SSE - au lieu du cryptage SSE -S3. La valeur par défaut est Activé. Si vous n'activez SSE pas le KMS chiffrement, vos journaux sont chiffrés à l'aide du chiffrement SSE -S3. Pour plus d'informations sur SSE KMS le chiffrement, voir Utilisation du chiffrement côté serveur avec AWS Key Management Service (SSE-KMS). Pour plus d'informations sur le chiffrement SSE -S3, consultez Utilisation du chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 (-S3). SSE

      Si vous activez SSE KMS le chiffrement, sélectionnez Nouveau ou Existant AWS KMS key. Dans AWS KMS Alias, spécifiez un alias, au format alias/MyAliasName. Pour plus d'informations, consultezMettre à jour une ressource pour utiliser votre KMS clé avec la console. CloudTrail prend également en charge les clés AWS KMS multirégionales. Pour plus d’informations, consultez la section Utilisation de clés multi-régions dans le Guide du développeur AWS Key Management Service .

      Note

      Vous pouvez également saisir la clé ARN d'un autre compte. Pour de plus amples informations, veuillez consulter Mettre à jour une ressource pour utiliser votre KMS clé avec la console. La politique de clé doit CloudTrail autoriser l'utilisation de la clé pour chiffrer vos fichiers journaux et permettre aux utilisateurs que vous spécifiez de lire les fichiers journaux sous forme non chiffrée. Pour plus d'informations sur la modification manuelle de la politique de clés, consultez la page Configurer les politiques AWS KMS clés pour CloudTrail.

    4. Dans Activer la validation du fichier journal, choisissez Oui pour que les fichiers de valeur de hachage des journaux soient livrés dans votre compartiment S3. Vous pouvez utiliser les fichiers de synthèse pour vérifier que vos fichiers journaux n'ont pas changé après leur CloudTrail livraison. Pour de plus amples informations, veuillez consulter Validation de l' CloudTrail intégrité du fichier journal.

    5. Pour l'envoi des SNS notifications, choisissez Enabled pour être averti chaque fois qu'un journal est envoyé à votre bucket. CloudTrail enregistre plusieurs événements dans un fichier journal. SNSles notifications sont envoyées pour chaque fichier journal, pas pour chaque événement. Pour de plus amples informations, veuillez consulter Configuration des SNS notifications Amazon pour CloudTrail.

      Si vous activez SNS les notifications, pour Créer un nouveau SNS sujet, choisissez Nouveau pour créer un sujet, ou choisissez Existant pour utiliser un sujet existant. Si vous créez un suivi qui s'applique à toutes les régions, les SNS notifications relatives aux livraisons de fichiers journaux provenant de toutes les régions sont envoyées au SNS sujet unique que vous créez.

      Si vous choisissez Nouveau, vous CloudTrail spécifiez le nom du nouveau sujet ou vous pouvez saisir un nom. Si vous choisissez Existant, choisissez un SNS sujet dans la liste déroulante. Vous pouvez également accéder à un sujet ARN d'une autre région ou à partir d'un compte disposant des autorisations appropriées. Pour de plus amples informations, veuillez consulter Politique SNS thématique d'Amazon pour CloudTrail.

      Si vous créez une rubrique, vous devez vous abonner à la rubrique pour être averti de l'envoi de fichiers journaux. Vous pouvez vous abonner depuis la SNS console Amazon. En raison de la fréquence des notifications, nous vous recommandons de configurer l'abonnement de manière à utiliser une SQS file d'attente Amazon afin de gérer les notifications par programmation. Pour plus d'informations, consultez Getting started with Amazon SNS dans le guide du développeur Amazon Simple Notification Service.

  4. Dans CloudWatch Logs, choisissez Modifier pour modifier les paramètres d'envoi des fichiers CloudTrail CloudWatch journaux vers Logs. Choisissez Activé dans CloudWatch les journaux pour activer l'envoi de fichiers journaux. Pour de plus amples informations, veuillez consulter Envoi d'événements à CloudWatch Logs.

    1. Si vous activez l'intégration aux CloudWatch journaux, choisissez Nouveau pour créer un nouveau groupe de journaux, ou Existant pour utiliser un groupe existant. Si vous choisissez Nouveau, vous CloudTrail spécifiez un nom pour le nouveau groupe de journaux ou vous pouvez saisir un nom.

    2. Si vous choisissez Existant, choisissez un groupe de journaux dans la liste déroulante.

    3. Choisissez Nouveau pour créer un nouveau IAM rôle pour les autorisations permettant d'envoyer des CloudWatch journaux à Logs. Choisissez Existant pour choisir un IAM rôle existant dans la liste déroulante. L’instruction de politique pour le rôle nouveau ou existant s’affiche lorsque vous déroulez Document de politique. Pour plus d’informations sur ce rôle, consultez Document de politique de rôle pour l'utilisation CloudTrail des CloudWatch journaux à des fins de surveillance.

      Note

      • Lorsque vous configurez un trail, vous pouvez choisir un compartiment S3 et un SNS sujet appartenant à un autre compte. Toutefois, si vous souhaitez CloudTrail transmettre des événements à un groupe de CloudWatch journaux journaux, vous devez choisir un groupe de journaux existant dans votre compte actuel.

      • Seul le compte de gestion peut configurer un groupe de CloudWatch journaux pour un journal d'entreprise à l'aide de la console. L'administrateur délégué peut configurer un groupe de CloudWatch journaux Logs à l'aide UpdateTrail API des opérations AWS CLI CloudTrail CreateTrail ou ou.

  5. Dans Balises, choisissez Modifier pour modifier, ajouter ou supprimer des identifications dans le journal de suivi. Vous pouvez ajouter jusqu'à 50 paires de clés pour identifier, trier et contrôler l'accès à votre sentier. Les balises peuvent vous aider à identifier à la fois vos CloudTrail traces et les compartiments Amazon S3 contenant les fichiers CloudTrail journaux. Vous pouvez ensuite utiliser des groupes de ressources pour vos CloudTrail ressources. Pour plus d’informations, consultez AWS Resource Groups et Balises.

  6. Dans Événements de gestion, choisissez Modifier pour modifier les paramètres de journalisation des événements de gestion.

    1. Pour ce qui est de APIl'activité, choisissez si vous souhaitez que votre parcours enregistre les événements de lecture, les événements d'écriture ou les deux. Pour de plus amples informations, veuillez consulter Événements de gestion.

    2. Choisissez Exclure les AWS KMS événements pour filtrer AWS Key Management Service (AWS KMS) les événements de votre parcours. Le paramètre par défaut est d'inclure tous les événements AWS KMS .

      L'option permettant d'enregistrer ou d'exclure AWS KMS des événements n'est disponible que si vous enregistrez des événements de gestion sur votre parcours. Si vous choisissez de ne pas consigner les événements de gestion, AWS KMS ceux-ci ne sont pas enregistrés et vous ne pouvez pas modifier les paramètres de journalisation des AWS KMS événements.

      AWS KMS des actions telles que EncryptDecrypt, et génèrent GenerateDataKey généralement un grand volume (plus de 99 %) d'événements. Ces actions sont désormais journalisées en tant qu’événements Lecture. Les AWS KMS actions pertinentes à faible volume telles que DisableDelete, et ScheduleKey (qui représentent généralement moins de 0,5 % du volume d' AWS KMS événements) sont enregistrées en tant qu'événements d'écriture.

      Pour exclure les événements de volume important tels que Encrypt, Decrypt et GenerateDataKey, tout en continuant de journaliser les événements pertinents tels que Disable, Delete et ScheduleKey, choisissez de journaliser les événements de gestion Écriture et effacez la case à cocher pour Exclure les événements AWS KMS .

    3. Choisissez Exclure RDS les API événements Amazon Data pour exclure de votre liste les événements Amazon Relational Database Service API Data Data. Le paramètre par défaut est d'inclure tous les API événements Amazon RDS Data. Pour plus d'informations sur les API événements Amazon RDS Data, consultez la section Journalisation des API appels de données AWS CloudTrail dans le Guide de RDS l'utilisateur Amazon pour Aurora.

  7. Important

    Les étapes 7 à 11 concernent la configuration des événements de données à l'aide de sélecteurs d'événements avancés. Les sélecteurs d'événements avancés vous permettent de configurer davantage de types d'événements de données et de contrôler avec précision les événements de données capturés par votre journal de suivi. Si vous utilisez des sélecteurs d'événements de base, veuillez consulter Mettre à jour les paramètres d'événements de données à l'aide de sélecteurs d'événements de base, puis revenez à l'étape 12 de cette procédure.

    Dans Événements de données, choisissez Modifier pour modifier les paramètres de journalisation des événements de données. Par défaut, les journaux de suivi ne journalisent pas les événements de données. Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour la tarification de CloudTrail, consultez Tarification d'AWS CloudTrail.

    Pour Type d’événement de données, choisissez le type de ressource sur lequel vous souhaitez journaliser les événements de données. Pour plus d'informations sur les types d'événements de données, veuillez consulter Événements de données.

    Note

    Pour enregistrer les événements de données pour AWS Glue les tables créées par Lake Formation, choisissez Lake Formation.

  8. Choisissez un modèle de sélecteur de journaux. CloudTrail inclut des modèles prédéfinis qui enregistrent tous les événements de données pour le type de ressource. Pour créer un modèle de sélecteur de journal personnalisé, choisissez Personnaliser.

    Note

    Le choix d'un modèle prédéfini pour les compartiments S3 permet de consigner les événements de données pour tous les compartiments actuellement présents dans votre AWS compte et pour tous les compartiments que vous créez une fois le suivi terminé. Il permet également de consigner l'activité liée aux événements de données effectuée par n'importe quel utilisateur ou rôle dans votre AWS compte, même si cette activité est effectuée sur un bucket appartenant à un autre AWS compte.

    Si le journal de suivi s’applique à une seule région, le fait de choisir un modèle prédéfini qui journalise tous les compartiments S3 permet la journalisation des événements de données pour tous les compartiments situés dans la même région que votre journal de suivi et tous les compartiments que vous créerez ultérieurement dans cette région. Il ne va pas journaliser les d'événements de données pour les compartiments Amazon S3 situés dans d'autres régions de votre compte AWS .

    Si vous créez un suivi pour toutes les régions, le choix d'un modèle prédéfini pour les fonctions Lambda permet de consigner les événements de données pour toutes les fonctions actuellement présentes dans votre AWS compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans n'importe quelle région une fois le suivi créé. Si vous créez un suivi pour une seule région (en utilisant le AWS CLI), cette sélection active l'enregistrement des événements de données pour toutes les fonctions actuellement présentes dans cette région sur votre AWS compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans cette région une fois que vous aurez fini de créer le journal. Cela n’active pas la journalisation des événements de données pour les fonctions Lambda créées dans d’autres régions.

    La journalisation des événements de données pour toutes les fonctions permet également de consigner l'activité des événements de données effectués par n'importe quel utilisateur ou rôle dans votre AWS compte, même si cette activité est effectuée sur une fonction appartenant à un autre AWS compte.

  9. (Facultatif) Dans Nom du sélecteur, saisissez un nom pour identifier votre sélecteur. Le nom du sélecteur est un nom descriptif pour un sélecteur d'événements avancé, tel que « Journaliser les événements de données pour deux compartiments S3 uniquement ». Le nom du sélecteur est répertorié comme Name dans le sélecteur d'événements avancé et est visible si vous agrandissez la vue. JSON

  10. Dans Sélecteurs d’événements avancés, créez une expression pour les ressources spécifiques sur lesquelles vous souhaitez collecter des événements de données. Vous pouvez ignorer cette étape si vous utilisez un modèle de journal prédéfini.

    1. Choisissez parmi les options suivantes.

      • readOnly- readOnly peut être défini pour être égal à une valeur de true oufalse. Pour journaliser les deux événements read et write, n'ajoutez pas de sélecteur readOnly.

      • eventName - eventName peut utiliser n’importe quel opérateur. Vous pouvez l'utiliser pour inclure ou exclure tout événement de données enregistré CloudTrail, tel que PutBucket ouGetSnapshotBlock.

      • resources.ARN- Vous pouvez utiliser n'importe quel opérateurresources.ARN, mais si vous utilisez égal ou non, la valeur doit correspondre exactement à celle ARN d'une ressource valide du type que vous avez spécifié dans le modèle comme valeur deresources.type.

        Le tableau suivant indique le ARN format valide pour chacun d'entre euxresources.type.

        Note

        Vous ne pouvez pas utiliser le resources.ARN champ pour filtrer les types de ressources qui n'en ont pasARNs.

        resources.type ressources. ARN
        AWS::DynamoDB::Table1 
        arn:partition:dynamodb:region:account_ID:table/table_name
        AWS::Lambda::Function 
        arn:partition:lambda:region:account_ID:function:function_name

        AWS::S3::Object2

        		 
        arn:partition:s3:::amzn-s3-demo-bucket/
arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/
        AWS::AppConfig::Configuration 
        arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
        AWS::B2BI::Transformer 
        arn:partition:b2bi:region:account_ID:transformer/transformer_ID
        AWS::Bedrock::AgentAlias 
        arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
        AWS::Bedrock::FlowAlias 
        arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID
        AWS::Bedrock::Guardrail 
        arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID
        AWS::Bedrock::KnowledgeBase 
        arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
        AWS::Cassandra::Table 
        arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
        AWS::CloudFront::KeyValueStore 
        arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
        AWS::CloudTrail::Channel 
        arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
        AWS::CodeWhisperer::Customization 
        arn:partition:codewhisperer:region:account_ID:customization/customization_ID
        AWS::CodeWhisperer::Profile 
        arn:partition:codewhisperer:region:account_ID:profile/profile_ID
        AWS::Cognito::IdentityPool 
        arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
        AWS::DynamoDB::Stream 
        arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
        AWS::EC2::Snapshot 
        arn:partition:ec2:region::snapshot/snapshot_ID
        AWS::EMRWAL::Workspace 
        arn:partition:emrwal:region:account_ID:workspace/workspace_name
        AWS::FinSpace::Environment 
        arn:partition:finspace:region:account_ID:environment/environment_ID
        AWS::Glue::Table 
        arn:partition:glue:region:account_ID:table/database_name/table_name
        AWS::GreengrassV2::ComponentVersion 
        arn:partition:greengrass:region:account_ID:components/component_name
        AWS::GreengrassV2::Deployment 
        arn:partition:greengrass:region:account_ID:deployments/deployment_ID
        AWS::GuardDuty::Detector 
        arn:partition:guardduty:region:account_ID:detector/detector_ID
        AWS::IoT::Certificate 
        arn:partition:iot:region:account_ID:cert/certificate_ID
        AWS::IoT::Thing 
        arn:partition:iot:region:account_ID:thing/thing_ID
        AWS::IoTSiteWise::Asset 
        arn:partition:iotsitewise:region:account_ID:asset/asset_ID
        AWS::IoTSiteWise::TimeSeries 
        arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
        AWS::IoTTwinMaker::Entity 
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
        AWS::IoTTwinMaker::Workspace 
        arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
        AWS::KendraRanking::ExecutionPlan 
        arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
        AWS::Kinesis::Stream 
        arn:partition:kinesis:region:account_ID:stream/stream_name
        AWS::Kinesis::StreamConsumer 
        arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
        AWS::KinesisVideo::Stream 
        arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
        AWS::MachineLearning::MlModel 
        arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
        AWS::ManagedBlockchain::Network 
        arn:partition:managedblockchain:::networks/network_name
        AWS::ManagedBlockchain::Node 
        arn:partition:managedblockchain:region:account_ID:nodes/node_ID
        AWS::MedicalImaging::Datastore 
        arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
        AWS::NeptuneGraph::Graph 
        arn:partition:neptune-graph:region:account_ID:graph/graph_ID
        AWS::One::UKey 
        arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID
        AWS::One::User 
        arn:partition:one:region:account_ID:user/user_ID
        AWS::PaymentCryptography::Alias 
        arn:partition:payment-cryptography:region:account_ID:alias/alias
        AWS::PaymentCryptography::Key 
        arn:partition:payment-cryptography:region:account_ID:key/key_ID
        AWS::PCAConnectorAD::Connector 
        arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
        AWS::PCAConnectorSCEP::Connector 
        arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
        AWS::QApps:QApp 
        arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
        AWS::QBusiness::Application 
        arn:partition:qbusiness:region:account_ID:application/application_ID
        AWS::QBusiness::DataSource 
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
        AWS::QBusiness::Index 
        arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
        AWS::QBusiness::WebExperience 
        arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
        AWS::RDS::DBCluster 
        arn:partition:rds:region:account_ID:cluster/cluster_name
        AWS::RUM::AppMonitor 
        arn:partition:rum:region:account_ID:appmonitor/app_monitor_name

        AWS::S3::AccessPoint3

        		 
        arn:partition:s3:region:account_ID:accesspoint/access_point_name

        AWS::S3Express::Object

        		 
        arn:partition:s3express:region:account_ID:bucket/bucket_name
        AWS::S3ObjectLambda::AccessPoint 
        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
        AWS::S3Outposts::Object 
        arn:partition:s3-outposts:region:account_ID:object_path
        AWS::SageMaker::Endpoint 
        arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
        AWS::SageMaker::ExperimentTrialComponent 
        arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
        AWS::SageMaker::FeatureGroup 
        arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
        AWS::SCN::Instance 
        arn:partition:scn:region:account_ID:instance/instance_ID
        AWS::ServiceDiscovery::Namespace 
        arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
        AWS::ServiceDiscovery::Service 
        arn:partition:servicediscovery:region:account_ID:service/service_ID
        AWS::SNS::PlatformEndpoint 
        arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
        AWS::SNS::Topic 
        arn:partition:sns:region:account_ID:topic_name
        AWS::SQS::Queue 
        arn:partition:sqs:region:account_ID:queue_name
        AWS::SSM::ManagedNode

        ARNIl doit être dans l'un des formats suivants :

        • arn:partition:ssm:region:account_ID:managed-instance/instance_ID

        • arn:partition:ec2:region:account_ID:instance/instance_ID
        AWS::SSMMessages::ControlChannel 
        arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
        AWS::StepFunctions::StateMachine

        ARNIl doit être dans l'un des formats suivants :

        • arn:partition:states:region:account_ID:stateMachine:stateMachine_name

        • arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name
        AWS::SWF::Domain 
        arn:partition:swf:region:account_ID:/domain/domain_name
        AWS::ThinClient::Device 
        arn:partition:thinclient:region:account_ID:device/device_ID
        AWS::ThinClient::Environment 
        arn:partition:thinclient:region:account_ID:environment/environment_ID
        AWS::Timestream::Database 
        arn:partition:timestream:region:account_ID:database/database_name
        AWS::Timestream::Table 
        arn:partition:timestream:region:account_ID:database/database_name/table/table_name
        AWS::VerifiedPermissions::PolicyStore 
        arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

        1 Pour les tables ayant les flux activés, le champ resources dans l’événement de plan de données contient à la fois AWS::DynamoDB::Stream et AWS::DynamoDB::Table. Si vous spécifiez AWS::DynamoDB::Table comme resources.type, les événements de table DynamoDB et les événements de flux DynamoDB sont journalisés par défaut. Pour exclure les événements de flux, ajoutez un filtre sur le eventName champ.

        2 Pour enregistrer tous les événements de données pour tous les objets d'un compartiment S3 spécifique, utilisez l'StartsWithopérateur et incluez uniquement le compartiment ARN comme valeur correspondante. La barre oblique de fin est intentionnelle ; ne l’excluez pas.

        3 Pour consigner les événements relatifs à tous les objets d'un point d'accès S3, nous vous recommandons de n'utiliser que le point d'accèsARN, de ne pas inclure le chemin de l'objet et d'utiliser les NotStartsWith opérateurs StartsWith or.

      Pour plus d'informations sur les ARN formats des ressources relatives aux événements de données, consultez la section Actions, ressources et clés de condition dans le guide de AWS Identity and Access Management l'utilisateur.

    2. Pour chaque champ, choisissez + Conditions pour ajouter autant de conditions que vous le souhaitez, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions. Par exemple, pour exclure les événements de données de deux compartiments S3 des événements de données enregistrés lors de votre suivi, vous pouvez définir le champ sur les ressources. ARN, définissez l'opérateur pour ne commence pas par, puis collez-le dans un compartiment ARN S3 ou recherchez les compartiments S3 pour lesquels vous ne souhaitez pas enregistrer d'événements.

      Pour ajouter le deuxième compartiment S3, choisissez + Condition, puis répétez l'instruction précédente en collant le dossier ARN for ou en recherchant un autre compartiment.

      Note

      Il est possible de définir un maximum de 500 valeurs pour tous les sélecteurs d’un journal de suivi. Cela inclut des tableaux de valeurs multiples pour un sélecteur tel que eventName. Si vous avez défini des valeurs uniques pour tous les sélecteurs, il est possible d’ajouter un maximum de 500 conditions à un sélecteur.

      Si votre compte compte compte plus de 15 000 fonctions Lambda, vous ne pouvez pas afficher ou sélectionner toutes les fonctions dans la CloudTrail console lors de la création d'un journal. Il est toujours possible de journaliser toutes les fonctions à l’aide d’un modèle de sélecteur prédéfini, même si ces dernières ne sont pas affichées. Si vous souhaitez enregistrer des événements de données pour des fonctions spécifiques, vous pouvez ajouter manuellement une fonction si vous la connaissezARN. Vous pouvez également terminer la création du journal dans la console, puis utiliser la put-event-selectors commande AWS CLI et pour configurer la journalisation des événements de données pour des fonctions Lambda spécifiques. Pour de plus amples informations, veuillez consulter Gérer les sentiers à l'aide du AWS CLI.

    3. Choisir + champ pour ajouter des champs supplémentaires au besoin. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs. Par exemple, ne spécifiez pas qu'un sélecteur ARN dans un sélecteur soit égal à une valeur, puis spécifiez qu'il n'est ARN pas égal à la même valeur dans un autre sélecteur.

  11. Pour ajouter un autre type de données sur lequel journaliser les événements de données, choisissez Add data event type (Ajouter un type d'événement de données). Répétez les étapes de 3 à cette étape pour configurer les sélecteurs d’événements avancés pour le type d’événement de données.

  12. Dans Événements Insights, choisissez Modifier si vous souhaitez que votre parcours enregistre les événements CloudTrail Insights.

    Dans Type d’événement, sélectionnez Événements Insights.

    Dans les événements Insights, choisissez le taux d'APIappel, le taux API d'erreur ou les deux. Vous devez enregistrer les événements de gestion de Write pour enregistrer les événements Insights relatifs au taux d'APIappels. Vous devez enregistrer les événements de gestion en lecture ou en écriture pour enregistrer les événements Insights afin de connaître le taux API d'erreur.

    CloudTrail Insights analyse les événements de gestion pour détecter toute activité inhabituelle et enregistre les événements lorsque des anomalies sont détectées. Par défaut, les journaux de suivi ne journalisent pas les événements Insights. Pour plus d'informations sur les événements Insights, consultez Journalisation des événements Insights. Des frais supplémentaires s’appliquent pour la journalisation des événements Insights. Pour les CloudTrail tarifs, voir AWS CloudTrail Tarification.

    Les événements Insights sont transmis à un dossier différent nommé /CloudTrail-Insight dans le même compartiment S3 qui est spécifié dans la zone Emplacement de stockage de la page de détails du journal. CloudTrailcrée le nouveau préfixe pour vous. Par exemple, si votre compartiment S3 de destination actuel se nomme amzn-s3-demo-bucket/AWSLogs/CloudTrail/, le nom du compartiment S3 avec un nouveau préfixe se nommera amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/.

  13. Une fois que vous avez terminé de modifier les paramètres sur votre journal de suivi, choisissez Mettre à jour le journal d’activité.

Mettre à jour les paramètres d'événements de données à l'aide de sélecteurs d'événements de base

Vous pouvez utiliser des sélecteurs d'événements avancés pour configurer tous les types d'événements de données. Les sélecteurs d'événements avancés vous permettent de créer des sélecteurs précis pour enregistrer uniquement les événements qui vous intéressent.

Si vous utilisez des sélecteurs d'événements de base pour enregistrer des événements de données, vous êtes limité à la journalisation des événements de données pour les compartiments, les AWS Lambda fonctions et les tables Amazon DynamoDB d'Amazon S3. Vous ne pouvez pas filtrer sur le eventName terrain à l'aide de sélecteurs d'événements de base.

Sélecteurs d'événements de base pour les événements de données sur un journal de suivi

Utilisez la procédure suivante afin de configurer les paramètres des événements de données à l'aide de sélecteurs d'événements de base.

  1. Dans Événements de données, choisissez Modifier pour modifier les paramètres de journalisation des événements de données. Avec les sélecteurs d'événements de base, vous pouvez spécifier des événements de données de journalisation pour les compartiments Amazon S3, AWS Lambda les fonctionsynamoDBtables, D ou une combinaison de ces ressources. Des types d’événements de données supplémentaires sont pris en charge avec des sélecteurs d’événements avancés. Par défaut, les journaux de suivi ne journalisent pas les événements de données. Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour de plus amples informations, veuillez consulter Événements de données. Pour la tarification de CloudTrail, consultez Tarification d'AWS CloudTrail.

    Pour les compartiments Amazon S3 :

    1. Pour Data event source (Source d'événements de données), choisissez S3.

    2. Il est possible de choisir de journaliser Tous les compartiments S3 actuels et futurs ou de spécifier des compartiments ou fonctions individuels. Par défaut, les événements de données sont journalisés pour tous les compartiments S3 actuels et futurs.

      Note

      Le maintien de l'option par défaut Tous les compartiments S3 actuels et futurs active la journalisation des événements de données pour tous les compartiments actuellement présents dans votre AWS compte et pour tous les compartiments que vous créez une fois que vous avez terminé de créer le journal. Il permet également de consigner l'activité liée aux événements de données effectuée par n'importe quel utilisateur ou rôle dans votre AWS compte, même si cette activité est effectuée sur un bucket appartenant à un autre AWS compte.

      Si le journal de suivi s’applique à une seule région, le fait de choisir l’option Sélectionner tous les compartiments S3 de votre compte permet la journalisation des événements de données pour tous les compartiments situés dans la même région que votre journal de suivi et tous les compartiments que vous créerez ultérieurement dans cette région. Les événements de données relatifs aux compartiments Amazon S3 situés dans d'autres régions ne seront pas enregistrés dans votre AWS compte.

    3. Si vous laissez l’option par défaut, Tous les compartiments S3 actuels et futurs, choisissez de journaliser les événements de lecture, les événements d’écriture, ou les deux.

    4. Pour sélectionner des compartiments individuels, il convient de vider les boîtes de dialogue Lecture et Écriture pour Tous les compartiments S3 actuels et futurs. Dans Sélection du compartiment individuel, recherchez un compartiment sur lequel journaliser les événements de données. Pour rechercher des compartiments spécifiques, tapez un préfixe de compartiment pour le compartiment souhaité. Il est possible de sélectionner plusieurs compartiments dans cette fenêtre. Choisissez Ajouter un compartiment pour journaliser les événements de données pour d’autres compartiments. Choisissez de journaliser les événements Lecture tels que GetObject, les événements Écriture tels que PutObject, ou les deux.

      Ce paramètre est prioritaire par rapport aux paramètres que vous définissez pour les compartiments individuels. Par exemple, si vous spécifiez la journalisation des événements Read (Lecture) pour tous les compartiments S3, puis choisissez d'ajouter un compartiment spécifique pour la journalisation des événements de données, Read (Lecture) est déjà sélectionné pour le compartiment que vous avez ajouté. Vous ne pouvez pas effacer la sélection. Vous pouvez uniquement configurer l’option pour Écriture.

      Pour supprimer un compartiment de la journalisation, choisissez X.

  2. Pour ajouter un autre type de données sur lequel journaliser les événements de données, choisissez Add data event type (Ajouter un type d'événement de données).

  3. Pour les fonctions Lambda :

    1. Pour Data event source (Source d'événement de données), choisissez Lambda.

    2. Dans Fonction Lambda, sélectionnez Toutes les régions pour enregistrer toutes les fonctions Lambda, ou Fonction d'entrée ARN pour enregistrer les événements de données sur une fonction spécifique.

      Pour enregistrer les événements de données relatifs à toutes les fonctions Lambda de votre AWS compte, sélectionnez Enregistrer toutes les fonctions actuelles et futures. Ce paramètre est prioritaire par rapport aux paramètres que vous définissez pour les fonctions individuelles. Toutes les fonctions sont journalisées, même si elles ne sont pas toutes affichées.

      Note

      Si vous créez un suivi pour toutes les régions, cette sélection active l'enregistrement des événements de données pour toutes les fonctions actuellement présentes dans votre AWS compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans n'importe quelle région une fois que vous aurez fini de créer le journal. Si vous créez un suivi pour une seule région (en utilisant le AWS CLI), cette sélection active l'enregistrement des événements de données pour toutes les fonctions actuellement présentes dans cette région sur votre AWS compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans cette région une fois que vous aurez fini de créer le journal. Cela n’active pas la journalisation des événements de données pour les fonctions Lambda créées dans d’autres régions.

      La journalisation des événements de données pour toutes les fonctions permet également de consigner l'activité des événements de données effectués par n'importe quel utilisateur ou rôle dans votre AWS compte, même si cette activité est effectuée sur une fonction appartenant à un autre AWS compte.

    3. Si vous sélectionnez Fonction d'entrée comme ARN, entrez la valeur ARN d'une fonction Lambda.

      Note

      Si votre compte compte compte plus de 15 000 fonctions Lambda, vous ne pouvez pas afficher ou sélectionner toutes les fonctions dans la CloudTrail console lors de la création d'un journal. Vous pouvez toujours sélectionner l’option de journalisation de toutes les fonctions, même si elles ne sont pas affichées. Si vous souhaitez enregistrer des événements de données pour des fonctions spécifiques, vous pouvez ajouter manuellement une fonction si vous la connaissezARN. Vous pouvez également terminer la création du journal de suivi dans la console, puis utiliser la AWS CLI et la commande put-event-selectors afin de configurer la journalisation d'événements de données pour des fonctions Lambda spécifiques. Pour plus d'informations, consultez Gérer les sentiers à l'aide du AWS CLI.

  4. Pour ajouter un autre type de données sur lequel journaliser les événements de données, choisissez Add data event type (Ajouter un type d'événement de données).

  5. Pour les tables DynamoDB :

    1. Pour Data event source (Source d'événement de données), choisissez DynamoDB.

    2. Dans la sélection d'une table DynamoDB, choisissez Parcourir pour sélectionner une table ou collez le contenu ARN d'une table DynamoDB à laquelle vous avez accès. Le format d'une ARN table DynamoDB est le suivant :

      arn:partition:dynamodb:region:account_ID:table/table_name

      Pour ajouter un autre tableau, choisissez Ajouter une ligne et recherchez un tableau ou collez le ARN contenu d'un tableau auquel vous avez accès.

  6. Pour configurer les événements Insights et d’autres paramètres pour votre piste, revenez à la procédure précédente dans cette rubrique, Mettre à jour un parcours avec la CloudTrail console.