Créez une trace pour consigner les événements de gestion - AWS CloudTrail

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez une trace pour consigner les événements de gestion

Pour votre premier suivi, nous vous recommandons de créer un suivi qui enregistre tous les événements de gestion et n'enregistre aucun événement lié aux données ni aucun événement Insights. Des exemples d’événements de gestion incluent des événements liés à la sécurité, tels que les événements IAM CreateUser et AttachRolePolicy, les événements de ressource tels que RunInstances et CreateBucket, et bien plus encore. Vous allez créer un compartiment Amazon S3 dans lequel vous stockerez les fichiers journaux du journal dans le cadre de la création du journal dans la CloudTrail console.

Note

AWS Control Tower configure un nouveau journal des événements de gestion des CloudTrail sentiers lorsque vous configurez une zone d'atterrissage. Il s'agit d'un suivi au niveau de l'organisation, ce qui signifie qu'il enregistre tous les événements de gestion du compte de gestion et de tous les comptes des membres de l'organisation. Pour plus d'informations, consultez la section À propos de la connexion AWS Control Tower dans le guide de AWS CloudTrail l'utilisateur.

Ce didacticiel suppose que vous créez votre premier journal de suivi. En fonction du nombre de sentiers que vous avez sur votre AWS compte et de la façon dont ces sentiers sont configurés, la procédure suivante peut entraîner des frais ou non. CloudTrail stocke les fichiers journaux dans un compartiment Amazon S3, ce qui entraîne des coûts. Pour plus d’informations sur la tarification, consultez Tarification AWS CloudTrail et Tarification Amazon S3.

Pour créer un journal de suivi

  1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudtrail/.

  2. Dans le sélecteur de région, choisissez la AWS région dans laquelle vous souhaitez créer votre parcours. Il s'agit de la région d'origine pour le journal de suivi.

    Note

    La région d'origine est la seule Région AWS où vous pouvez mettre à jour le parcours une fois celui-ci créé.

  3. Sur la page d'accueil du CloudTrail service, sur la page des sentiers ou dans la section des sentiers de la page du tableau de bord, choisissez Créer un parcours.

  4. Dans Nom du sentier, donnez un nom à votre sentier, tel que management-events. Comme bonne pratique, utilisez un nom qui identifie rapidement l'objectif du journal de suivi. Dans ce cas, vous créez un journal de suivi qui journalise des événements de gestion.

  5. Conservez le paramètre par défaut pour Activer pour tous les comptes de mon organisation. Cette option ne pourra pas être modifiée à moins que vous ayez des comptes configurés dans Organizations.

  6. Sous Storage location (Emplacement de stockage), choisissez Create new S3 bucket (Créer un nouveau compartiment S3) pour créer un compartiment. Lorsque vous créez un bucket, il CloudTrail crée et applique les politiques de bucket requises. Si vous choisissez de créer un nouveau compartiment S3, votre politique IAM doit inclure une autorisation pour l's3:PutEncryptionConfigurationaction, car le chiffrement côté serveur est activé par défaut pour le compartiment. Donnez à votre bucket un nom qui le rende facilement identifiable.

    Pour retrouver plus facilement vos journaux, créez un nouveau dossier (également appelé préfixe) dans un compartiment existant pour stocker vos CloudTrail journaux.

    Note

    Le nom de votre compartiment Amazon S3 doit être unique globalement. Pour plus d'informations, veuillez consulter la section Règles de dénomination de compartiment dans le Guide de l'utilisateur Amazon Simple Storage Service.

  7. Supprimez la case à cocher pour désactiver le Chiffrement du fichier journal SSE-KMS. Par défaut, vos fichiers journaux sont chiffrés avec le chiffrement SSE de S3. Pour plus d'informations sur ce paramètre, consultez Utilisation du chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3).

  8. Conserver les paramètres par défaut dans la section Additional settings (Paramètres supplémentaires).

  9. Conservez les paramètres par défaut pour CloudWatch Logs. Pour le moment, n'envoyez pas de journaux à Amazon CloudWatch Logs.

  10. Dans Balises, ajoutez une ou plusieurs identifications personnalisées (paires valeur-clé) à votre journal de suivi. Les balises peuvent vous aider à identifier vos CloudTrail traces et d'autres ressources, telles que les compartiments Amazon S3 qui contiennent des fichiers CloudTrail journaux. Par exemple, il est possible d’attacher une balise portant le nom Compliance à la valeur Auditing.

    Note

    Bien que vous puissiez ajouter des balises aux pistes lorsque vous les créez dans la CloudTrail console, et que vous puissiez créer un compartiment Amazon S3 pour stocker vos fichiers journaux dans la CloudTrail console, vous ne pouvez pas ajouter de balises au compartiment Amazon S3 depuis la CloudTrail console. Pour plus d'informations sur l'affichage et la modification des propriétés d'un compartiment Amazon S3, y compris l'ajout d’identifications à un compartiment, consultez le Guide de l'utilisateur Amazon S3.

    Après la création des identifications, choisissez Suivant.

  11. Dans la page Choisir des événements du journal, sélectionnez les types d’événements à journaliser. Pour ce journal de suivi, conservez par défaut les Événements de gestion. Dans la zone Événements de gestion, choisissez de journaliser les deux événements Lecture et Écriture, s’ils ne sont pas déjà sélectionnés. Laissez les cases à cocher Exclure les AWS KMS événements et Exclure les événements de l'API de données Amazon RDS vides pour consigner tous les événements de gestion.

    La page Create trail (Créer un journal de suivi), les paramètres Event type (Type d'événement)

  12. Conserver les paramètres par défaut pour Événements de données et Événements Insights. Ce parcours n'enregistrera aucune donnée ni aucun événement CloudTrail Insights. Choisissez Next (Suivant).

  13. Dans la page Vérifier et créer, vérifiez les paramètres que vous avez choisis pour votre journal de suivi. Choisissez Modifier pour retourner à la section souhaitée et y apporter les modifications nécessaires. Lorsque vous êtes prêt à créer votre journal de suivi, choisissez Créer un journal de suivi.

  14. La page Journaux de suivi affiche votre nouveau journal fraîchement créé dans le tableau. Remarquez que le journal de suivi est défini en tant que Journal de suivi multi-régions par défaut, et cette journalisation est activée pour le journal de suivi par défaut.

    La page Créer un journal de suivi, les paramètres Type d’événement

Pour plus d'informations sur les sentiers, voirTravailler avec les CloudTrail sentiers.