Journalisation et surveillance des applications à l'aide d'AWS CloudTrail - AWS Directives prescriptives
Utiliser CloudTrailCas d'utilisation pour CloudTrailBonnes pratiques pour CloudTrail

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Journalisation et surveillance des applications à l'aide d'AWS CloudTrail

AWS CloudTrail est un Service AWS qui vous aide à assurer la gouvernance, la conformité, ainsi que l'audit opérationnel et des risques de votre Compte AWS. Les actions effectuées par un utilisateur, un rôle ou un Service AWS sont enregistrées en tant qu'événements dans CloudTrail. Les événements peuvent inclure les actions réalisées dans l'AWS Management Console, l'AWS Command Line Interface (AWS CLI), les API et les kits SDK AWS.

Utiliser CloudTrail

CloudTrail est activé sur votre Compte AWS lors de la création de celui-ci. Lorsqu'une activité se produit dans votre Compte AWS, elle est enregistrée dans un événement CloudTrail. Vous pouvez facilement afficher des événements récents dans la console CloudTrail en accédant à l'historique des événements.

Pour un enregistrement continu des activités et des événements dans votre Compte AWS, vous créez un journal de suivi. Vous pouvez créer des journaux de suivi pour une Région AWS ou pour toutes les régions. Les journaux d'activité permettent de journaliser les fichiers journaux dans chaque région, tandis que CloudTrail peut livrer les fichiers journaux à un compartiment Amazon Simple Storage Service (Amazon S3) consolidé.

Vous pouvez configurer plusieurs journaux de suivi différemment pour que ceux-ci traitent et journalisent uniquement les événements que vous spécifiez. Cela peut être utile lorsque vous souhaitez trier les événements qui se produisent dans votre Compte AWS avec les événements qui se produisent dans votre application.

Note

CloudTrail dispose d'une fonctionnalité de validation que vous pouvez utiliser pour déterminer si un fichier journal a été modifié, supprimé ou inchangé après que CloudTrail l'a livré. Cette fonction est créée grâce à des algorithmes standard du secteur : SHA-256 pour le hachage et SHA-256 avec RSA pour la signature numérique. Elle empêche de modifier, supprimer ou falsifier des fichiers journaux CloudTrail par traitement informatique sans détection. Vous pouvez utiliser la AWS CLI pour valider les fichiers à l'emplacement où CloudTrail les a livrés. Pour plus d'informations sur cette fonctionnalité et sur la façon de l'activer, veuillez consulter Validating CloudTrail log file integrity (documentation CloudTrail).

Cas d'utilisation pour CloudTrail

  • Aide à la conformité : l'utilisation de CloudTrail peut vous aider à respecter les stratégies internes et les normes réglementaires en fournissant un historique des événements survenus dans votre Compte AWS.

  • Analyse de sécurité : vous pouvez effectuer une analyse de sécurité et détecter les modèles de comportement des utilisateurs en intégrant les fichiers journaux CloudTrail dans des solutions de gestion des journaux et analytiques, telles que CloudWatch Logs, Amazon EventBridge, Amazon Athena, Amazon OpenSearch Service ou une autre solution tierce.

  • Exfiltration de données : vous pouvez détecter l'exfiltration de données en collectant des données d'activité sur les objets Amazon S3 par le biais d'événements d'API au niveau de l'objet enregistrés dans CloudTrail. Une fois les données d'activité collectées, vous pouvez utiliser d'autres Services AWS, tels qu'EventBridge et AWS Lambda, pour déclencher une réponse automatique.

  • Résolution des problèmes opérationnels : vous pouvez résoudre les problèmes opérationnels à l'aide des fichiers journaux CloudTrail. Par exemple, vous pouvez rapidement identifier les modifications les plus récentes apportées aux ressources de votre environnement, notamment la création, la modification et la suppression de ressources AWS.

Bonnes pratiques pour CloudTrail

  • Activez CloudTrail dans toutes les Régions AWS.

  • Activez la validation de l'intégrité des fichiers journaux.

  • Chiffrez les journaux.

  • Intégrez les fichiers journaux CloudTrail dans CloudWatch Logs.

  • Centralisez les journaux de tous les Comptes AWS et de toutes les régions.

  • Appliquez des stratégies de cycle de vie aux compartiments S3 contenant des fichiers journaux.

  • Empêchez les utilisateurs de désactiver la journalisation dans CloudTrail. Appliquez les politiques de contrôle des services (SCP) suivantes dans AWS Organizations. Cette SCP définit une règle de refus explicite pour les actions StopLogging et DeleteTrail au sein de l'organisation.

    {
"Version": "2012-10-17",
"Statement":
       [ 
                 { "Action": 
                     [
                     "cloudtrail:StopLogging",
                     "cloudtrail:DeleteTrail"
                      ],
                      "Resource": "*",
                      "Effect": "Deny"
                  }
        ]
}