Qu’est-ce que AWS CloudTrail ?

AWS CloudTrail est un service AWS qui vous aide à assurer l’audit opérationnel et des risques, la gouvernance et la conformité de votre compte AWS. Les actions effectuées par un utilisateur, un rôle ou un service AWS sont enregistrées en tant qu’événements dans CloudTrail. Les événements incluent les actions réalisées dans la AWS Management Console, la AWS Command Line Interface et AWS SDK et API.

CloudTrail est actif dans votre Compte AWS dès sa création et ne nécessite aucune configuration manuelle. Lorsqu’une activité se produit dans votre Compte AWS, elle est enregistrée dans un événement CloudTrail.

CloudTrail propose trois méthodes pour enregistrer des événements :

Historique des événements : l'Historique des événements fournit un enregistrement consultable, interrogeable, téléchargeable et immuable des événements de gestion des 90 derniers jours dans une Région AWS. Vous pouvez effectuer des recherches d'événement en filtrant sur un seul attribut. Vous avez automatiquement accès à l'Historique des événements lorsque vous créez votre compte. Pour de plus amples informations, veuillez consulter Utilisation de l'historique des CloudTrail événements.

La consultation de l'Historique des événements ne génère aucuns frais CloudTrail.
CloudTrail Lake : AWS CloudTrail Lake est un lac de données géré permettant de capturer, de stocker, d'accéder et d'analyser l'activité des utilisateurs et des API sur AWS à des fins d'audit et de sécurité. CloudTrail Lake convertit les événements existants au format JSON basé sur des lignes au format Apache ORC. ORC est un format de stockage en colonnes qui est optimisé pour une récupération rapide des données. Les événements sont agrégés dans des magasins de données d’événement, qui sont des ensembles inaltérables d’événements basés sur des critères que vous sélectionnez en appliquant les sélecteurs d’événements avancés. Vous pouvez conserver les données d’événement dans une banque de données d’événement jusqu’à 3 653 jours (environ 10 ans) si vous choisissez l’option de tarification de rétention extensible d’un an, ou jusqu’à 2 557 jours (environ 7 ans) si vous choisissez l’option de tarification de rétention de sept ans. Vous pouvez créer un magasin de données d’événement pour un seul Compte AWS ou plusieurs Comptes AWS en utilisant AWS Organizations. Vous pouvez importer tous les journaux CloudTrail existants de vos compartiments S3 vers un entrepôt de données d'événement existant ou nouveau. Vous pouvez également visualiser les principales tendances en matière d'événements CloudTrail à l'aide des tableaux de bord Lake. Pour plus d’informations, consultez Travailler avec AWS CloudTrail Lake et Créer un magasin de données d’événement.

Les magasins de données d’événement CloudTrail Lake et les requêtes entraînent des frais. Lorsque vous créez un magasin de données d’événement, vous choisissez l’option de tarification que vous voulez utiliser pour le magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Lorsque vous exécutez des requêtes dans Lake, vous payez en fonction de la quantité de données analysées. Pour plus d’informations sur la tarification CloudTrail et la gestion des coûts de Lake, veuillez consulter Tarification d’AWS CloudTrail et Gestion des coûts CloudTrail du lac.
Journaux de suivi : les journaux de suivi capturent un enregistrement des activités AWS, diffusent et stockent ces événements dans un compartiment Amazon S3, avec une diffusion optionnelle vers Amazon CloudWatch Logs et Amazon EventBridge. Vous pouvez saisir ces événements dans vos solutions de surveillance de la sécurité. Vous pouvez également utiliser vos propres solutions tierces ou des solutions telles qu'Amazon Athena pour rechercher et analyser vos journaux CloudTrail. Vous pouvez créer des journaux de suivi pour un seul Compte AWS ou plusieurs Comptes AWS en utilisant AWS Organizations. Vous pouvez journaliser les événements Insights pour analyser vos événements de gestion afin de détecter tout comportement anormal en termes de volumes d'appels d'API et de taux d'erreur. Pour de plus amples informations, veuillez consulter Création d'un journal de suivi pour votre Compte AWS.

Vous pouvez diffuser une copie de vos événements de gestion en cours à votre compartiment Amazon S3 sans frais depuis CloudTrail en créant un suivi. Toutefois, des frais de stockage Amazon S3 sont facturés. Pour en savoir plus sur la tarification CloudTrail, consultez Tarification d’AWS CloudTrail. Pour obtenir des informations sur la tarification Amazon S3, consultez Tarification Amazon S3.

La visibilité sur l’activité de votre compte AWS est un aspect essentiel des bonnes pratiques de sécurité et opérationnelles. Vous pouvez utiliser CloudTrail pour afficher, rechercher, télécharger, archiver, analyser et traiter l'activité de compte sur votre infrastructure AWS. Vous pouvez identifier la personne ou le service à l’origine de l’action, les ressources qui ont été impactées, le moment où l’événement s’est produit, et d’autres détails pour vous aider à analyser et traiter l’activité de votre compte AWS.

Vous pouvez intégrer CloudTrail dans des applications à l'aide de l'API, automatiser la création du journal de suivi ou de l'entrepôt de données d'événement pour votre organisation, vérifier le statut des entrepôts de données d'événement et des journaux de suivi que vous créez et contrôler de quelle manière les utilisateurs accèdent aux événements CloudTrail.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Comment CloudTrail fonctionne