Security OU — Compte Log Archive - AWS Directives prescriptives
Stockage centralisé des journaux

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Security OU — Compte Log Archive

Nous aimerions avoir de vos nouvelles. Veuillez nous faire part de vos commentaires sur le AWS PRA en répondant à un court sondage.

Le compte Log Archive vous permet de centraliser les types de journaux d'infrastructure, de service et d'application. Pour plus d'informations sur ce compte, consultez l'architecture AWS de référence de sécurité (AWS SRA). Avec un compte dédié aux journaux, vous pouvez appliquer des alertes cohérentes à tous les types de journaux et confirmer que les intervenants en cas d'incident peuvent accéder à un ensemble de ces journaux à partir d'un seul endroit. Vous pouvez également configurer les contrôles de sécurité et les politiques de conservation des données à partir d'un seul endroit, ce qui peut simplifier les frais opérationnels liés à la confidentialité. Le schéma suivant illustre les services AWS de sécurité et de confidentialité configurés dans le compte Log Archive.

Services AWS déployé dans le compte Log Archive de l'unité organisationnelle Security.

Stockage centralisé des journaux

Les fichiers journaux (tels que AWS CloudTrail les journaux) peuvent contenir des informations pouvant être considérées comme des données personnelles. Certaines organisations choisissent d'utiliser un suivi organisationnel afin de regrouper CloudTrail les journaux des comptes en un seul emplacement central, à des fins de visibilité. Régions AWS Pour plus d’informations, consultez AWS CloudTrail dans ce guide. Lors de la mise en œuvre de la centralisation des CloudTrail journaux, ceux-ci sont généralement stockés dans un compartiment Amazon Simple Storage Service (Amazon S3) situé dans une seule région.

En fonction de la définition des données personnelles de votre organisation et des réglementations régionales applicables en matière de confidentialité, vous devrez peut-être envisager des transferts de données transfrontaliers. Si votre organisation doit satisfaire aux exigences de transfert de données en vertu des réglementations régionales en matière de confidentialité, les options suivantes peuvent vous aider :

  1. Si votre organisation fournit des services AWS Cloud à des personnes concernées dans plusieurs pays, vous pouvez choisir de regrouper tous les journaux dans le pays qui applique les exigences de résidence des données les plus strictes. Par exemple, si vous opérez en Allemagne et que ce pays est soumis aux exigences les plus strictes, vous pouvez agréger les données dans un compartiment S3 afin que eu-central-1 Région AWS les données collectées en Allemagne ne quittent pas les frontières de l'Allemagne. Pour cette option, vous pouvez configurer un suivi organisationnel unique CloudTrail qui regroupe les journaux de tous les comptes et de Régions AWS la région cible.

  2. Supprimez les données personnelles qui doivent rester dans le fichier Région AWS avant qu'elles ne soient copiées et agrégées dans une autre région. Par exemple, vous pouvez masquer les données personnelles dans la région hôte de l'application avant de transférer les journaux vers une autre région. Pour plus d'informations sur le masquage des données personnelles, consultez la Amazon Data Firehose section de ce guide.

Travaillez avec votre conseiller juridique pour déterminer quelles données personnelles sont concernées et quels AWS Region-to-Region transferts sont autorisés.