Enregistrement des actions AWS Control TowerAWS CloudTrail - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Enregistrement des actions AWS Control TowerAWS CloudTrail

AWS Control TowerAWS CloudTrail, un service qui enregistre les actions réalisées par un utilisateur, un rôle ou unAWSdans AWS Control Tower. CloudTrail capture les actions pour AWS Control Tower Si vous créez un journal de suivi, vous pouvez diffuser en continu CloudTrail événements dans un compartiment Amazon S3, y compris les événements pour AWS Control Tower.

Si vous ne configurez pas de journal de suivi, vous pouvez toujours afficher les événements les plus récents dans la CloudTrail Console dansHistorique des événements utilisateur. Grâce aux informations collectées par CloudTrail, vous pouvez déterminer quelle demande a été envoyée à AWS Control Tower, l'adresse IP source à partir de laquelle la demande a été effectuée, qui a effectué la demande, ainsi que d'autres informations.

En savoir plus sur CloudTrail, y compris la façon de le configurer et de l'activer, consultez leAWS CloudTrailGuide de l'utilisateur.

Informations sur AWS Control Tower CloudTrail

CloudTrail est activé sur votreAWScompte lors de la création de ce dernier. Lorsqu'une activité d'événement prise en charge se produit dans AWS Control Tower, elle est enregistrée dans un CloudTrail événement ainsi que d'autresAWSEvénements de serviceHistorique des événements utilisateur. Vous pouvez afficher, rechercher et télécharger les événements récents dans votre AWS compte. Pour de plus amples informations, veuillez consulterAffichage des événements avec CloudTrail Historique des événements utilisateur.

Note

Dans les versions d'AWS Control Tower antérieures à la version 3.0 de la landing zone, AWS Control Tower créait une trace de compte de membre. Lorsque vous effectuez la mise à jour vers la version 3.0, votre CloudTrail le journal de suivi est mis à jour pour devenir un journal de suivi Pour connaître les bonnes pratiques lors de déplacements entre les sentiers, consultezCréation d'un parcours organisationneldans le CloudTrail Guide de l'utilisateur .

Recommandation : Créer un journal de suivi

Pour un enregistrement continu des événements dans votreAWScompte, y compris les événements pour AWS Control Tower. UNsentierpermet CloudTrail pour livrer des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un journal d'activité dans la console, il s'applique à toutes les régions AWS. Le journal d'activité consigne les événements de toutes les Régions dans la partition AWS et livre les fichiers journaux dans le compartiment Amazon S3 de votre choix. En outre, vous pouvez configurer d'autresAWSservices pour analyser plus en profondeur les données d'événement collectées dans CloudTrail bûches. Pour en savoir plus, consultez les ressources suivantes :

AWS Control Tower CloudTrail fichiers journaux :

  • SetupLandingZone

  • UpdateAccountFactoryConfig

  • ManageOrganizationalUnit

  • CreateManagedAccount

  • EnableGuardrail

  • GetLandingZoneStatus

  • GetHomeRegion

  • ListManagedAccounts

  • DescribeManagedAccount

  • DescribeAccountFactoryConfig

  • DescribeGuardrailForTarget

  • DescribeManagedOrganizationalUnit

  • ListEnabledGuardrails

  • ListGuardrailViolations

  • ListGuardrails

  • ListGuardrailsForTarget

  • ListManagedAccountsForGuardrail

  • ListManagedAccountsForParent

  • ListManagedOrganizationalUnits

  • ListManagedOrganizationalUnitsForGuardrail

  • GetGuardrailComplianceStatus

  • DescribeGuardrail

  • ListDirectoryGroups

  • DescribeSingleSignOn

  • DescribeCoreService

  • GetAvailableUpdates

Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l'identité permettent de déterminer les éléments suivants :

  • Si la demande a été effectuée avec les informations d'identification utilisateur racine ou AWS Identity and Access Management (IAM).

  • Si la demande a été effectuée avec les informations d'identification de sécurité temporaires d'un rôle ou d'un utilisateur fédéré.

  • Si la requête a été effectuée par un autre service AWS.

Pour plus d'informations, consultez la section Élément userIdentity CloudTrail .

Exemple : AWS Control Tower fichier

Un journal d'activité est une configuration qui permet d'envoyer des événements sous forme de fichiers journaux à un compartiment Simple Storage Service (Amazon S3) que vous spécifiez. CloudTrail Les fichiers journaux contiennent une ou plusieurs entrées de journal. Un événement représente une demande individuelle émise à partir d'une source quelconque et comprend des informations sur l'action demandée, la date et l'heure de l'action, les paramètres de la demande, etc. CloudTrail les événements n'apparaissent pas dans un ordre spécifique dans les fichiers journaux.

L'exemple suivant illustre un CloudTrail entrée de journal qui montre la structure d'une entrée de fichier journal typique pour unSetupLandingZoneAWS Control Tower, y compris un enregistrement de l'identité de l'utilisateur qui a lancé l'action.

"eventVersion": "1.05", "userIdentity": { "type": "AssumedRole", "principalId": "AIDACKCEVSQ6C2EXAMPLE:backend-test-assume-role-session", "arn": "arn:aws:sts::76543EXAMPLE;:assumed-role/AWSControlTowerTestAdmin/backend-test-assume-role-session", "accountId": "76543EXAMPLE", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "2018-11-20T19:36:11Z" }, "sessionIssuer": { "type": "Role", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::AKIAIOSFODNN7EXAMPLE:role/AWSControlTowerTestAdmin", "accountId": "AIDACKCEVSQ6C2EXAMPLE", "userName": "AWSControlTowerTestAdmin" } } }, "eventTime": "2018-11-20T19:36:15Z", "eventSource": "controltower.amazonaws.com", "eventName": "SetupLandingZone", "awsRegion": "us-east-1", "sourceIPAddress": "AWS Internal", "userAgent": "Coral/Netty4", "errorCode": "InvalidParametersException", "errorMessage": "Home region EU_CENTRAL_1 is unsupported", "requestParameters": { "homeRegion": "EU_CENTRAL_1", "logAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS", "sharedServiceAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS", "securityAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS", "securityNotificationEmail": "HIDDEN_DUE_TO_SECURITY_REASONS" }, "responseElements": null, "requestID": "96f47b68-ed5f-4268-931c-807cd1f89a96", "eventID": "4ef5cf08-39e5-4fdf-9ea2-b07ced506851", "eventType": "AwsApiCall", "recipientAccountId": "76543EXAMPLE" }