Journalisation des actions de la AWS Control Tower avecAWS CloudTrail

AWS Control Tower intégré à AWS Control ServiceAWS CloudTrail, service qui enregistre les actions effectuées par AWS Control AWS Control Control à AWS Control Control Control dans AWS Control Control Control Control AWS Control Control dans AWS Control Control Control Control le plusAWS possible, AWS Control le plus souvent possible. CloudTrail capture les actions pour AWS Control Tower sous forme d'événements. Si vous créez un journal de suivi, vous pouvez activer la livraison continue d' CloudTrail événements dans un compartiment Amazon S3, y compris d'événements pour AWS Control Tower

Si vous ne configurez pas de journal de suivi, vous pouvez toujours afficher les événements les plus récents dans la CloudTrail console dans Event historique des événements. Avec les informations collectées par AWS CloudTrail, vous pouvez déterminer la demande qui a été envoyée à AWS Control Tower, l'adresse IP à partir de laquelle la demande a été effectuée, l'auteur et la date de la demande, ainsi que d'autres détails.

Pour en savoir plus CloudTrail, y compris la façon de le configurer et de l'activer, consultez le Guide deAWS CloudTrail l'utilisateur.

Informations AWS Control Tower AWS de AWS Control CloudTrail

CloudTrail est activé dans votreAWS compte lors de la création de ce dernier. Quand une activité d'événement prise en charge a CloudTrail lieu dans AWS Control TowerAWS Vous pouvez afficher, rechercher et télécharger les événements récents dans votre compte AWS. Pour de plus amples informations, veuillez consulter Affichage des événements avec l'historique des CloudTrail événements.

Note

Dans les versions d'AWS Control Tower antérieures à la version 3.0 de landing zone, AWS Control Tower a créé un historique des comptes des membres. Lorsque vous effectuez la mise à jour vers la version 3.0, votre CloudTrail parcours est mis à jour pour devenir un suivi organisationnel. Pour connaître les meilleures pratiques lors du passage d'un parcours à un autre, consultez la section Création d'un suivi organisationnel dans le Guide de CloudTrail l'utilisateur.

Recommandé : créer un sentier

Pour un enregistrement continu des événements dans votreAWS compte, y compris les événements pour AWS Control Tower, créez un journal de suivi. Un journal CloudTrail de suivi permet de livrer des fichiers journaux dans un compartiment Amazon S3. Par défaut, lorsque vous créez un journal de suivi dans la console, il s'applique à toutes les régions AWS. Le journal de suivi consigne les événements de toutes les Régions dans la partition AWS et livre les fichiers journaux dans le compartiment Amazon S3 de votre choix. En outre, vous pouvez configurer d'autresAWS services pour analyser plus en profondeur les données d'événement collectées dans les CloudTrail journaux et agir sur celles-ci. Pour en savoir plus, consultez les ressources suivantes :

• Présentation de la création d'un journal d'activité

• Se préparer pour la création d'un journal d'activité.

• Gestion des CloudTrail coûts

• CloudTrail Services et intégrations pris en charge

• Configuration des Notifications de Amazon SNS pour Amazon SNS CloudTrail

• Réception des fichiers CloudTrail journaux de plusieurs comptes et Réception des fichiers CloudTrail journaux de plusieurs comptes.

AWS Control AWS Control Trail enregistre les actions suivantes en tant qu'événements dans CloudTrail AWS Control Control Tower

API publiques

• DisableControl

• EnableControl

• GetControlOperation

• ListEnabledControls

Autres APIs

• SetupLandingZone

• UpdateAccountFactoryConfig

• ManageOrganizationalUnit

• CreateManagedAccount

• EnableGuardrail

• GetLandingZoneStatus

• GetHomeRegion

• ListManagedAccounts

• DescribeManagedAccount

• DescribeAccountFactoryConfig

• DescribeGuardrailForTarget

• DescribeManagedOrganizationalUnit

• ListEnabledGuardrails

• ListGuardrailViolations

• ListGuardrails

• ListGuardrailsForTarget

• ListManagedAccountsForGuardrail

• ListManagedAccountsForParent

• ListManagedOrganizationalUnits

• ListManagedOrganizationalUnitsForGuardrail

• GetGuardrailComplianceStatus

• DescribeGuardrail

• ListDirectoryGroups

• DescribeSingleSignOn

• DescribeCoreService

• GetAvailableUpdates

Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l'identité permettent de déterminer les éléments suivants :

• Si la demande a été effectuée avec les informations d'identification utilisateur racine ou AWS Identity and Access Management (IAM).

• Si la demande a été effectuée avec les informations d'identification de sécurité temporaires d'un rôle ou d'un utilisateur fédéré.

• Si la requête a été effectuée par un autre service AWS.

• Si la demande a été rejetée en raison d'un accès refusé ou si elle a été traitée avec succès.

Pour plus d'informations, consultez la section Élément userIdentity CloudTrail .

Exemple : entrées du fichier journal AWS Control Tower

Un journal d'activité est une configuration qui permet d'envoyer des événements sous forme de fichiers journaux à un compartiment Simple Storage Service (Amazon S3) que vous spécifiez. CloudTrail les fichiers journaux peuvent contenir une ou plusieurs entrées de journal. Un événement représente une demande individuelle émise à partir d'une source quelconque et comprend des informations sur l'action demandée, la date et l'heure de l'action, les paramètres de la demande, etc. CloudTrail les événements n'apparaissent pas dans un ordre spécifique dans les fichiers journaux.

L'exemple suivant montre une entrée de CloudTrail journal qui montre la structure d'une entrée de fichier journal typique pour un événementSetupLandingZone AWS Control Tower, y compris un enregistrement de l'identité de l'utilisateur qui a initié l'action.

{
  "eventVersion": "1.05",
  "userIdentity": {
    "type": "AssumedRole",
    "principalId": "AIDACKCEVSQ6C2EXAMPLE:backend-test-assume-role-session",
    "arn": "arn:aws:sts::76543EXAMPLE;:assumed-role/AWSControlTowerTestAdmin/backend-test-assume-role-session",
    "accountId": "76543EXAMPLE",
    "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
    "sessionContext": {
      "attributes": {
        "mfaAuthenticated": "false",
        "creationDate": "2018-11-20T19:36:11Z"
      },
      "sessionIssuer": {
        "type": "Role",
        "principalId": "AIDACKCEVSQ6C2EXAMPLE",
        "arn": "arn:aws:iam::AKIAIOSFODNN7EXAMPLE:role/AWSControlTowerTestAdmin",
        "accountId": "AIDACKCEVSQ6C2EXAMPLE",
        "userName": "AWSControlTowerTestAdmin"
      }
    }
  },
  "eventTime": "2018-11-20T19:36:15Z",
  "eventSource": "controltower.amazonaws.com",
  "eventName": "SetupLandingZone",
  "awsRegion": "us-east-1",
  "sourceIPAddress": "AWS Internal",
  "userAgent": "Coral/Netty4",
  "errorCode": "InvalidParametersException",
  "errorMessage": "Home region EU_CENTRAL_1 is unsupported",
  "requestParameters": {
    "homeRegion": "EU_CENTRAL_1",
    "logAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
    "sharedServiceAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
    "securityAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
    "securityNotificationEmail": "HIDDEN_DUE_TO_SECURITY_REASONS"
  },
  "responseElements": null,
  "requestID": "96f47b68-ed5f-4268-931c-807cd1f89a96",
  "eventID": "4ef5cf08-39e5-4fdf-9ea2-b07ced506851",
  "eventType": "AwsApiCall",
  "recipientAccountId": "76543EXAMPLE"
}