Journalisation des actions d'AWS Control Tower avec AWS CloudTrail - AWS Control Tower
Informations sur AWS Control Tower dans CloudTrailExemple : entrées dans le fichier journal d'AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Journalisation des actions d'AWS Control Tower avec AWS CloudTrail

AWS Control Tower est intégré à AWS CloudTrailun service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans AWS Control Tower. CloudTrail capture les actions pour AWS Control Tower sous forme d'événements. Si vous créez un suivi, vous pouvez activer la diffusion continue d' CloudTrail événements vers un compartiment Amazon S3, y compris des événements pour AWS Control Tower.

Si vous ne configurez pas de suivi, vous pouvez toujours consulter les événements les plus récents dans la CloudTrail console dans Historique des événements. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande envoyée à AWS Control Tower, l'adresse IP à partir de laquelle la demande a été faite, l'auteur de la demande, la date à laquelle elle a été faite, ainsi que des informations supplémentaires.

Pour en savoir plus CloudTrail, notamment comment le configurer et l'activer, consultez le guide deAWS CloudTrail l'utilisateur.

Informations sur AWS Control Tower dans CloudTrail

CloudTrail est activé sur votre AWS compte lorsque vous le créez. Lorsqu'une activité événementielle prise en charge se produit dans AWS Control Tower, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans l'historique des événements. Vous pouvez consulter, rechercher et télécharger les événements récents dans votre AWS compte. Pour plus d'informations, consultez la section Affichage des événements avec l'historique des CloudTrail événements.

Note

Dans les versions d'AWS Control Tower antérieures à la version 3.0 de landing zone, AWS Control Tower a créé un historique des comptes de membres. Lorsque vous passez à la version 3.0, votre journal CloudTrail est mis à jour pour devenir un journal d'organisation. Pour connaître les meilleures pratiques en matière de déplacement entre les sentiers, voir Création d'un parcours organisationnel dans le guide de CloudTrail l'utilisateur.

Recommandé : créer un parcours

Pour un enregistrement continu des événements de votre AWS compte, y compris les événements relatifs à AWS Control Tower, créez un historique. Un suivi permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un journal d’activité dans la console, il s’applique à toutes les régions AWS . Le journal enregistre les événements de toutes les régions de la AWS partition et transmet les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour plus d’informations, consultez les ressources suivantes :

AWS Control Tower enregistre les actions suivantes sous forme d'événements dans des fichiers CloudTrail journaux :

API publiques
Autres API

  • SetupLandingZone

  • UpdateAccountFactoryConfig

  • ManageOrganizationalUnit

  • CreateManagedAccount

  • EnableGuardrail

  • GetLandingZoneStatus

  • GetHomeRegion

  • ListManagedAccounts

  • DescribeManagedAccount

  • DescribeAccountFactoryConfig

  • DescribeGuardrailForTarget

  • DescribeManagedOrganizationalUnit

  • ListEnabledGuardrails

  • ListGuardrailViolations

  • ListGuardrails

  • ListGuardrailsForTarget

  • ListManagedAccountsForGuardrail

  • ListManagedAccountsForParent

  • ListManagedOrganizationalUnits

  • ListManagedOrganizationalUnitsForGuardrail

  • GetGuardrailComplianceStatus

  • DescribeGuardrail

  • ListDirectoryGroups

  • DescribeSingleSignOn

  • DescribeCoreService

  • GetAvailableUpdates

Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer les éléments suivants :

  • Si la demande a été faite avec les informations d'identification de l'utilisateur root ou AWS Identity and Access Management (IAM).

  • Si la demande a été effectuée avec les informations d’identification de sécurité temporaires d’un rôle ou d’un utilisateur fédéré.

  • Si la demande a été faite par un autre AWS service.

  • Si la demande a été rejetée parce que l'accès a été refusé ou si elle a été traitée avec succès.

Pour plus d'informations, consultez la section Élément userIdentity CloudTrail .

Exemple : entrées dans le fichier journal d'AWS Control Tower

Un suivi est une configuration qui permet de transmettre des événements sous forme de fichiers journaux à un compartiment Amazon S3 que vous spécifiez. CloudTrail les fichiers journaux contiennent une ou plusieurs entrées de journal. Un événement représente une demande unique provenant de n'importe quelle source et inclut des informations sur l'action demandée, la date et l'heure de l'action, les paramètres de la demande, etc. CloudTrail les événements n'apparaissent pas dans un ordre spécifique dans les fichiers journaux.

L'exemple suivant montre une entrée de CloudTrail journal qui montre la structure d'une entrée de fichier journal typique pour un événement SetupLandingZone AWS Control Tower, y compris un enregistrement de l'identité de l'utilisateur qui a initié l'action. 

{
  "eventVersion": "1.05",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AIDACKCEVSQ6C2EXAMPLE:backend-test-assume-role-session",
    "arn": "arn:aws:sts::76543EXAMPLE;:assumed-role/AWSControlTowerTestAdmin/backend-test-assume-role-session",
    "accountId": "76543EXAMPLE",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2018-11-20T19:36:11Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::AKIAIOSFODNN7EXAMPLE:role/AWSControlTowerTestAdmin",
        "accountId": "AIDACKCEVSQ6C2EXAMPLE",
        "userName": "AWSControlTowerTestAdmin"
      }
    }
  },
  "eventTime": "2018-11-20T19:36:15Z",
  "eventSource": "controltower.amazonaws.com",
  "eventName": "SetupLandingZone",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "AWS Internal",
  "userAgent": "Coral/Netty4",
  "errorCode": "InvalidParametersException",
  "errorMessage": "Home region EU_CENTRAL_1 is unsupported",
  "requestParameters": {
    "homeRegion": "EU_CENTRAL_1",
    "logAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
    "sharedServiceAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
    "securityAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
    "securityNotificationEmail": "HIDDEN_DUE_TO_SECURITY_REASONS"
  },
  "responseElements": null,
  "requestID": "96f47b68-ed5f-4268-931c-807cd1f89a96",
  "eventID": "4ef5cf08-39e5-4fdf-9ea2-b07ced506851",
  "eventType": "AwsApiCall",
  "recipientAccountId": "76543EXAMPLE"
}