AWS CloudTrail et AWS Organizations - AWS Organizations
Rôles liés à un servicePrincipaux de serviceActiver l'accès approuvéDésactiver l'accès approuvéActiver un administrateur déléguéDésactivation d'un administrateur délégué pour CloudTrail

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS CloudTrail et AWS Organizations

AWS CloudTrail est un AWS service qui vous aide à garantir la gouvernance, la conformité et l'audit opérationnel et des risques de votre entreprise Compte AWS. En utilisant AWS CloudTrail, un utilisateur d'un compte de gestion peut créer un journal d'organisation qui enregistre tous les événements pour tous Comptes AWS les membres de cette organisation. Les journaux d'activité d'organisation sont automatiquement appliqués à tous les comptes membres de l'organisation. Les comptes membres peuvent voir le journal d'activité de l'organisation, mais ne peuvent ni le modifier ni le supprimer. Par défaut, les comptes membres n'ont pas accès aux fichiers journaux correspondant au journal d'activité de l'organisation dans le compartiment Amazon S3. Cela vous aide à appliquer et faire respecter de manière uniforme votre politique de journalisation des événements dans tous les comptes de votre organisation.

Pour plus d'informations, consultez Création d'un journal d'activité pour une organisation dans le Guide de l'utilisateurAWS CloudTrail .

Utilisez les informations suivantes pour vous aider AWS CloudTrail à intégrer AWS Organizations.

Création de rôles liés à un service lors de l'activation de l'intégration

Le rôle lié à un service suivant est automatiquement créé dans le compte de gestion de votre organisation lorsque vous activez l'accès approuvé. Ce rôle permet d' CloudTrail effectuer des opérations prises en charge dans les comptes de votre organisation au sein de votre organisation.

Vous pouvez supprimer ou modifier ce rôle uniquement si vous désactivez l'accès approuvé entre CloudTrail et Organizations, ou si vous supprimez le compte membre de l'organisation.

  • AWSServiceRoleForCloudTrail

Principaux de service utilisés par les rôles liés à un service

Le rôle lié à un service dans la section précédente ne peut être assumé que par les principaux de service autorisés par les relations d'approbation définies pour le rôle. Les rôles liés aux services utilisés par CloudTrail accordent l'accès aux principaux de service suivants :

  • cloudtrail.amazonaws.com

Activation de l'accès approuvé avec CloudTrail

Pour en savoir plus sur les autorisations requises pour activer l'accès approuvé, consultez Autorisations requises pour activer l'accès approuvé.

Si vous activez l'accès sécurisé en créant une trace depuis la AWS CloudTrail console, l'accès sécurisé est configuré automatiquement pour vous (recommandé). Vous pouvez également activer l'accès sécurisé à l'aide de la AWS Organizations console. Vous devez vous connecter avec votre compte AWS Organizations de gestion pour créer un suivi de l'organisation.

Si vous choisissez de créer un journal d'organisation à l'aide de l'API AWS CLI ou de l' AWS API, vous devez configurer manuellement l'accès sécurisé. Pour plus d'informations, consultez la section Activation en CloudTrail tant que service de confiance AWS Organizationsdans le guide deAWS CloudTrail l'utilisateur.

Important

Nous vous recommandons vivement, dans la mesure du possible, d'utiliser la AWS CloudTrail console ou les outils pour permettre l'intégration avec Organizations.

Vous pouvez activer l'accès sécurisé en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDK.

AWS CLI, AWS API
Pour activer l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations

Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour activer un accès sécurisé aux services :

  • AWS CLI: enable-aws-service-access

    Vous pouvez exécuter la commande suivante pour l'activer AWS CloudTrail en tant que service fiable auprès des Organizations.

    $ aws organizations enable-aws-service-access \
    --service-principal cloudtrail.amazonaws.com

    Cette commande ne produit aucune sortie lorsqu'elle réussit.

  • AWS API : Activer AWSServiceAccess

Désactivation de l'accès approuvé avec CloudTrail

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez Autorisations requises pour désactiver l'accès approuvé.

AWS CloudTrail nécessite un accès fiable AWS Organizations pour utiliser les traces des organisations et les banques de données sur les événements de l'organisation. Si vous désactivez l'accès sécurisé AWS Organizations pendant que vous l'utilisez AWS CloudTrail, toutes les traces d'organisation relatives aux comptes des membres sont supprimées car il est CloudTrail impossible d'accéder à l'organisation. Toutes les traces d'organisation des comptes de gestion et les magasins de données sur les événements de l'organisation sont convertis en traces au niveau du compte et en magasins de données d'événements. Le AWSServiceRoleForCloudTrail rôle créé pour l'intégration entre CloudTrail et AWS Organizations reste dans le compte. Si vous réactivez l'accès sécurisé, aucune action ne CloudTrail sera entreprise sur les sentiers et les magasins de données d'événements existants. Le compte de gestion doit mettre à jour les traces et les banques de données d'événements au niveau du compte pour les appliquer à l'organisation.

Pour convertir un magasin de données de suivi ou d'événement au niveau du compte en un journal d'organisation ou un magasin de données d'événements d'organisation, procédez comme suit :

  • Depuis la CloudTrail console, mettez à jour le magasin de données de suivi ou d'événement et choisissez l'option Activer pour tous les comptes de mon organisation.

  • À partir de AWS CLI, procédez comme suit :

    • Pour mettre à jour un historique, exécutez la update-trailcommande et incluez le --is-organization-trail paramètre.

    • Pour mettre à jour un magasin de données d'événements, exécutez la update-event-data-storecommande et incluez le --organization-enabled paramètre.

Seul un administrateur du compte AWS Organizations de gestion peut désactiver l'accès sécurisé avec AWS CloudTrail. Vous pouvez désactiver l'accès sécurisé uniquement avec les outils Organizations, en utilisant la AWS Organizations console, en exécutant une commande Organizations AWS CLI ou en appelant une opération d'API Organizations dans l'un des AWS SDK.

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une opération d'API Organizations dans l'un des AWS SDK.

AWS Management Console
Pour désactiver l'accès approuvé à l'aide de la console Organizations

  1. Connectez-vous à la consoleAWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

  2. Sur la page Services, recherchez la ligne correspondant à AWS CloudTrail, puis choisissez le nom du service.

  3. Choisissez Désactiver l'accès approuvé.

  4. Dans la boîte de dialogue de confirmation, saisissez disable dans la zone, puis choisissez Disable trusted access (Désactiver l'accès approuvé).

  5. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS CloudTrail qu'il peut désormais désactiver ce service à l'aide de sa console ou des outils qu'il n'utilise pas AWS Organizations.

AWS CLI, AWS API
Pour désactiver l'accès approuvé aux services à l'aide de la CLI ou du SDK Organizations

Vous pouvez utiliser les AWS CLI commandes ou les opérations d'API suivantes pour désactiver l'accès aux services sécurisés :

  • AWS CLI: disable-aws-service-access

    Vous pouvez exécuter la commande suivante pour la désactiver AWS CloudTrail en tant que service sécurisé auprès des Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal cloudtrail.amazonaws.com

    Cette commande ne produit aucune sortie lorsqu'elle réussit.

  • AWS API : Désactiver AWSServiceAccess

Activation d'un compte d'administrateur délégué pour CloudTrail

Lorsque vous utilisez CloudTrail Organizations, vous pouvez enregistrer n'importe quel compte au sein de l'organisation pour agir en tant qu'administrateur CloudTrail délégué chargé de gérer les traces et les banques de données d'événements de l'organisation pour le compte de l'organisation. Un administrateur délégué est un compte membre d'une organisation qui peut effectuer les mêmes tâches administratives CloudTrail que le compte de gestion.

Autorisations minimales

Seul un administrateur du compte de gestion des Organizations peut enregistrer un administrateur délégué pour CloudTrail.

Vous pouvez enregistrer un compte d'administrateur délégué à l'aide de la CloudTrail console, de la RegisterDelegatedAdministrator CLI ou du SDK Organizations. Pour enregistrer un administrateur délégué à l'aide de la CloudTrail console, voir Ajouter un administrateur CloudTrail délégué.

Désactivation d'un administrateur délégué pour CloudTrail

Seul un administrateur du compte de gestion des Organizations peut supprimer un administrateur délégué pour CloudTrail. Vous pouvez supprimer l'administrateur délégué à l'aide de la CloudTrail console, de la DeregisterDelegatedAdministrator CLI ou du SDK Organizations. Pour plus d'informations sur la procédure de suppression d'un administrateur délégué à l'aide de la CloudTrail console, voir Supprimer un administrateur CloudTrail délégué.