Création d'un journal de suivi pour une organisation - AWS CloudTrail

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un journal de suivi pour une organisation

Si vous avez créé une organisation dans AWS Organizations, vous pouvez créer un parcours qui enregistre tous les événements pour tous Comptes AWS dans cette organisation. Ce journal est parfois appelé journal de suivi de l’organisation.

Le compte de gestion de l'organisation peut charger un administrateur délégué de créer des journaux de suivi d'organisation ou de gérer ceux qui existent déjà. Pour plus d’informations sur l’ajout d’un administrateur délégué, consultez Ajouter un administrateur CloudTrail délégué.

Le compte de gestion de l'organisation peut modifier un journal de suivi existant dans son compte et l'appliquer à une organisation, ce qui en fait un journal de suivi d'organisation. Les journaux de suivi de l’organisation journalisent les événements pour le compte de gestion et pour tous les comptes membres de l’organisation. Pour plus d'informations sur AWS Organizations, voir Terminologie et concepts des organisations.

Note

Vous devez vous connecter avec le compte de gestion ou le compte d'administrateur délégué associé à une organisation pour créer un journal de suivi d'organisation. Vous devez également disposer d'autorisations suffisantes pour que l'utilisateur ou le rôle du compte de gestion ou d'administrateur délégué puisse créer le journal. Si vous ne disposez pas des autorisations suffisantes, vous n'aurez pas la possibilité d'appliquer le journal de suivi à une organisation.

Tous les parcours d'organisation créés à l'aide de la console sont des journaux d'organisation multirégionaux qui enregistrent les événements depuis le Régions AWS dans chaque compte membre de l'organisation. Pour enregistrer les événements dans tous AWS partitions de votre organisation, créez un journal d'organisation multirégional dans chaque partition. Vous pouvez créer un journal d'organisation à région unique ou multirégionale à l'aide du AWS CLI. Si vous créez un sentier à région unique, vous enregistrez l'activité uniquement dans le Région AWS (également appelée « région d'origine »).

Bien que la plupart Régions AWS sont activés par défaut pour votre Compte AWS, vous devez activer manuellement certaines régions (également appelées régions optionnelles). Pour plus d'informations sur les régions activées par défaut, consultez la section Considérations à prendre en compte avant d'activer et de désactiver les régions dans AWS Account Management Guide de référence. Pour la liste des régions prises CloudTrail en charge, voirCloudTrail Régions prises en charge.

Lorsque vous créez un historique d'organisation, une copie du journal portant le nom que vous lui donnez est créée dans les comptes des membres appartenant à votre organisation.

  • Si le parcours de l'organisation concerne une seule région et que la région d'origine du sentier n'est pas une région OPT, une copie du parcours est créée dans la région d'origine du parcours de l'organisation dans chaque compte membre.

  • Si le parcours de l'organisation concerne une seule région et que la région d'origine du sentier est une région OPT, une copie du parcours est créée dans la région d'origine du parcours de l'organisation sur les comptes des membres qui ont activé cette région.

  • Si le parcours de l'organisation est multirégional et que la région d'origine du sentier n'est pas une région optionnelle, une copie du sentier est créée dans chaque région activée Région AWS dans chaque compte membre. Lorsqu'un compte membre active une région optionnelle, une copie du parcours multirégional est créée dans la région nouvellement inscrite pour le compte du membre une fois l'activation de cette région terminée.

  • Si le parcours de l'organisation est multirégional et que la région d'origine est une région optionnelle, les comptes des membres n'enverront aucune activité au parcours de l'organisation à moins qu'ils n'adhèrent au Région AWS où le sentier multirégional a été créé. Par exemple, si vous créez un parcours multirégional et que vous choisissez la région Europe (Espagne) comme région d'origine du parcours, seuls les comptes membres ayant activé la région Europe (Espagne) pour leur compte enverront l'activité de leur compte au parcours de l'organisation.

Note

CloudTrail crée des traces d'organisation dans les comptes des membres même en cas d'échec de la validation des ressources. Voici des exemples d'échecs de validation :

  • une politique de compartiment Amazon S3 incorrecte

  • une politique SNS thématique Amazon incorrecte

  • impossibilité de livrer à un groupe de CloudWatch journaux Logs

  • autorisation insuffisante pour chiffrer à l'aide d'une clé KMS

Un compte membre disposant d' CloudTrail autorisations peut voir les échecs de validation d'un parcours d'organisation en consultant la page de détails du parcours sur la CloudTrail console ou en exécutant le AWS CLI get-trail-statuscommande.

Les utilisateurs disposant CloudTrail d'autorisations dans les comptes membres peuvent consulter les traces de l'organisation lorsqu'ils se connectent au AWS CloudTrail console depuis leur Comptes AWS, ou lorsqu'ils courent AWS CLI des commandes telles quedescribe-trails. Toutefois, les utilisateurs des comptes membres ne disposent pas des autorisations suffisantes pour supprimer les traces d'une organisation, activer ou désactiver la connexion, modifier les types d'événements enregistrés ou modifier de quelque manière que ce soit le journal d'une organisation.

Lorsque vous créez un journal d'organisation dans la console, ou lorsque vous l'activez en CloudTrail tant que service fiable dans Organizations, cela crée un rôle lié au service pour effectuer des tâches de journalisation dans les comptes membres de votre organisation. Ce rôle est nommé AWSServiceRoleForCloudTrail, et est nécessaire pour CloudTrail consigner les événements d'une organisation. Si un Compte AWS est ajouté à une organisation, le parcours de l'organisation et le rôle lié au service y sont ajoutés Compte AWS, et la journalisation démarre automatiquement pour ce compte dans le journal de l'organisation. Si un Compte AWS est supprimé d'une organisation, le parcours de l'organisation et le rôle lié au service sont supprimés du Compte AWS qui ne fait plus partie de l'organisation. Toutefois, les fichiers journaux que le compte supprimé a créés avant la suppression du compte sont conservés dans le compartiment Simple Storage Service (Amazon S3) dans lequel les fichiers journaux sont stockés pour le journal de suivi.

Si le compte de gestion d'un AWS Organizations l'organisation crée un journal d'organisation, puis est ensuite supprimée en tant que compte de gestion de l'organisation. Tout journal d'organisation créé à l'aide de son compte devient un journal non organisationnel.

Dans l'exemple suivant, le compte de gestion 111111111111 de l'organisation crée un suivi nommé MyOrganizationTrail pour l'organisation o-exampleorgid. Le journal enregistre l'activité de tous les comptes de l'organisation dans le même compartiment Amazon S3. Tous les comptes de l'organisation peuvent voir MyOrganizationTrail dans leur liste de parcours, mais les comptes membres ne peuvent pas supprimer ou modifier le parcours de l'organisation. Seuls les comptes de gestion ou d'administrateur délégué peuvent modifier ou supprimer le journal de suivi pour l'organisation. Seul le compte de gestion peut supprimer un compte membre d'une organisation. De même, par défaut, seul le compte de gestion a accès au compartiment Amazon S3 pour le suivi et aux journaux qu'il contient. La structure de compartiment de haut niveau pour les fichiers journaux contient un dossier nommé avec l'ID de l'organisation et des sous-dossiers nommés avec le compte IDs pour chaque compte de l'organisation. Les événements de chaque compte membre sont journalisés dans le dossier qui correspond à l’ID du compte membre. Si le compte membre 444444444444 est supprimé de l'organisation, MyOrganizationTrail et le rôle lié au service n'apparaît plus dans AWS compte 444444444444, et aucun autre événement n'est enregistré pour ce compte par le journal de l'organisation. Toutefois, le dossier 444444444444 demeure dans le compartiment Amazon S3, avec tous les journaux créés avant la suppression du compte de l’organisation.

Vue d'ensemble conceptuelle d'un exemple d'organisation dans Organizations.

Dans cet exemple, le ARN parcours créé dans le compte de gestion estaws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail. C'ARNest également le cas ARN pour l'essai dans tous les comptes membres.

Les journaux de suivi d'une organisation sont similaires en de nombreux points aux journaux de suivi réguliers. Vous pouvez créer plusieurs journaux de suivi pour votre organisation et choisir de créer un journal de suivi d'organisation dans toutes les régions ou dans une seule région, ainsi que les types d'événements que vous souhaitez journaliser le journal de suivi de votre organisation, tout comme dans n'importe quel autre journal de suivi. Cependant, il existe quelques différences. Par exemple, lorsque vous créez un journal dans la console et que vous choisissez de consigner les événements de données pour les compartiments Amazon S3 ou AWS Lambda fonctions, les seules ressources répertoriées dans la CloudTrail console sont celles du compte de gestion, mais vous pouvez ajouter les ressources ARNs pour les comptes des membres. Les événements de données pour les ressources des comptes membres spécifiés sont journalisés sans avoir à configurer manuellement d'accès croisé entre comptes à ces ressources. Pour plus d'informations sur la journalisation des événements de gestion, des événements Insights et des événements liés aux donnéesJournalisation des événements de gestion, consultezJournalisation des événements de données, etJournalisation des événements Insights.

Note

Dans la console, vous créez un parcours multirégional. Il s'agit d'une bonne pratique recommandée ; enregistrez les activités dans toutes les régions de votre Compte AWS vous aide à conserver votre AWS environnement plus sécurisé. Pour créer un parcours à région unique, utilisez le AWS CLI.

Lorsque vous consultez les événements dans l'historique des événements d'une organisation dans AWS Organizations, vous pouvez consulter les événements uniquement pour le Compte AWS avec lequel vous êtes connecté. Par exemple, si vous êtes connecté avec le compte de gestion de l'organisation, Event history (Historique des événements) affiche les 90 derniers jours d'événements de gestion pour le compte de gestion. Les événements de compte membre de l'organisation ne sont pas affichés dans Event history (Historique des événements) pour le compte de gestion. Pour afficher les événements de compte membre dans Event history (Historique des événements), connectez-vous avec le compte membre.

Vous pouvez configurer d'autres AWS des services permettant d'analyser plus en profondeur et d'agir en fonction des données d'événements collectées dans les CloudTrail journaux pour un sentier organisé, de la même manière que vous le feriez pour tout autre sentier. Par exemple, vous pouvez analyser les données du journal de suivi d'une organisation avec Amazon Athena. Pour de plus amples informations, veuillez consulter AWS intégrations de services avec journaux CloudTrail .

Rubriques