Création d'un journal de suivi pour une organisation - AWS CloudTrail

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un journal de suivi pour une organisation

Si vous avez créé une organisation dans AWS Organizations, vous pouvez créer un journal de suivi qui journalise tous les événements pour tous Comptes AWS les de cette organisation. Ce journal est parfois appelé journal de suivi de l’organisation.

Le compte de gestion de l'organisation peut charger un administrateur délégué de créer des journaux de suivi d'organisation ou de gérer ceux qui existent déjà. Pour plus d’informations sur l’ajout d’un administrateur délégué, consultez Ajouter un administrateur CloudTrail délégué.

Le compte de gestion de l'organisation peut modifier un journal de suivi existant dans son compte et l'appliquer à une organisation, ce qui en fait un journal de suivi d'organisation. Les journaux de suivi de l’organisation journalisent les événements pour le compte de gestion et pour tous les comptes membres de l’organisation. Pour plus d'informations sur AWS OrganizationsOrganizations Terminology and Concepts (Terminologie et concepts de Organizations).

Note

Vous devez vous connecter avec le compte de gestion ou le compte d'administrateur délégué associé à une organisation pour créer un journal de suivi d'organisation. Vous devez également disposer d'autorisations suffisantes pour le rôle ou l'utilisateur dans le compte de gestion ou d'administrateur délégué pour créer le journal de suivi. Si vous ne disposez pas des autorisations suffisantes, vous n'aurez pas la possibilité d'appliquer le journal de suivi à une organisation.

Tous les parcours d'organisation créés à l'aide de la console sont des journaux d'organisation multirégionaux qui enregistrent les événements associés aux comptes activés Régions AWS dans chaque compte membre de l'organisation. Pour journaliser des événements dans toutes les AWS partitions de votre organisation, créez un journal de suivi de l'organisation multi-régions dans chaque partition. Vous pouvez créer un journal de suivi d'organisation en une ou plusieurs régions à l'aide de l'. AWS CLI Si vous créez un journal de suivi pour une seule région, vous journalisez l'activité uniquement dans le journal de suivi Région AWS (également appelé Région d'origine).

Bien que la plupart Régions AWS soient activées par défaut pour vous Compte AWS, vous devez activer manuellement certaines régions (également appelées régions optionnelles). Pour plus d'informations sur les régions activées par défaut, consultez la section Considérations relatives à l'activation et à la désactivation des régions dans le Guide de Gestion de compte AWS référence. Pour la liste des régions prises CloudTrail en charge, voirCloudTrail Régions prises en charge.

Lorsque vous créez un journal de suivi d'organisation, une copie du journal de suivi avec le nom que vous lui attribuez est créée dans les comptes membres qui appartiennent à votre organisation.

  • Si le parcours de l'organisation concerne une seule région et que la région d'origine du sentier n'est pas une région optionnelle, une copie du parcours est créée dans la région d'origine du parcours de l'organisation sur chaque compte membre.

  • Si le parcours de l'organisation concerne une seule région et que la région d'origine du sentier est une région optionnelle, une copie du parcours est créée dans la région d'origine du parcours de l'organisation sur les comptes des membres qui ont activé cette région.

  • Si le parcours de l'organisation est multirégional et que la région d'origine du sentier n'est pas une région optionnelle, une copie du parcours est créée dans chaque région activée Région AWS dans chaque compte membre. Lorsqu'un compte membre active une région optionnelle, une copie du parcours multirégional est créée dans la région nouvellement inscrite pour le compte du membre une fois l'activation de cette région terminée.

  • Si le parcours de l'organisation est multirégional et que la région d'origine est une région optionnelle, les comptes membres n'enverront aucune activité au parcours de l'organisation à moins qu'ils n'aient choisi celui Région AWS où le parcours multirégional a été créé. Par exemple, si vous créez un parcours multirégional et que vous choisissez la région Europe (Espagne) comme région d'origine du parcours, seuls les comptes membres ayant activé la région Europe (Espagne) pour leur compte enverront l'activité de leur compte au parcours de l'organisation.

Note

CloudTrail crée des traces d'organisation dans les comptes des membres même en cas d'échec de la validation des ressources. Voici des exemples d'échecs de validation :

  • une politique de compartiment Amazon S3 incorrecte

  • une politique de rubrique Amazon SNS incorrecte

  • impossibilité de livrer à un groupe de CloudWatch journaux Logs

  • autorisation insuffisante pour chiffrer à l'aide d'une clé KMS

Un compte membre disposant d' CloudTrail autorisations peut voir les échecs de validation d'un journal d'organisation en consultant la page de détails du journal sur la CloudTrail console ou en exécutant la AWS CLI get-trail-statuscommande.

Les utilisateurs disposant CloudTrail d'autorisations dans les comptes membres sont en mesure de voir le journal de suivi de l'organisation lorsqu'ils se connectent à la CloudTrail console à partir de leur Comptes AWS ou lorsqu'ils exécutent des AWS CLI commandes telles quedescribe-trails. Cependant, les utilisateurs des comptes membres ne disposent pas des autorisations suffisantes pour supprimer les journaux d'activité d'une organisation, pour activer ou désactiver la journalisation, pour changer les types d'événements journalisés ou modifier le journal d'activité d'une organisation de quelque façon que ce soit.

Lorsque vous créez un journal de suivi d'organisation dans la console, CloudTrail crée un rôle lié à un service pour effectuer les tâches de journalisation dans les comptes membres de votre organisation. Ce rôle est nommé AWSServiceRoleForCloudTrailet est requis pour CloudTrail consigner les événements d'une organisation. Si un Compte AWS est ajoutée à une organisation, le journal d'activité de l'organisation et le rôle lié à un service sont ajoutés à cela Compte AWS, et la journalisation commence pour ce compte automatiquement dans le journal d'activité de l'organisation. Si un Compte AWS est supprimé d'une organisation, le journal d'activité de l'organisation et le Compte AWS rôle lié à un service sont supprimés de l'organisation. Toutefois, les fichiers journaux que le compte supprimé a créés avant la suppression du compte sont conservés dans le compartiment Simple Storage Service (Amazon S3) dans lequel les fichiers journaux sont stockés pour le journal de suivi.

Si le compte de gestion d'une AWS Organizations organisation crée un journal de suivi d'organisation, mais qu'il est ensuite supprimé en tant que compte de gestion de l'organisation, tout journal de suivi d'organisation créé à l'aide de ce compte devient un journal de suivi non organisationnel.

Dans l'exemple suivant, le compte de gestion 111111111111111111 de l'organisation crée un journal de suivi nommé en l'honneur de l'organisation. MyOrganizationTrail o-exampleorgid Le journal de suivi journalise l’activité de tous les comptes de l’organisation dans le même compartiment Amazon S3. Tous les comptes de l'organisation sont visibles MyOrganizationTrail dans leur liste de journaux d'activité, mais les comptes membres ne sont pas en mesure de supprimer ou de modifier le journal d'activité de l'organisation. Seuls les comptes de gestion ou d'administrateur délégué peuvent modifier ou supprimer le journal de suivi pour l'organisation. Seul le compte de gestion peut supprimer un compte membre d'une organisation. De même, par défaut, seul le compte de gestion a accès au compartiment Amazon S3 pour le journal d'activité et les journaux qu'il contient. La structure de compartiment de haut niveau des fichiers journaux contient un dossier nommé avec l'ID de l'organisation et des sous-dossiers nommés avec le compte IDs de chaque compte de l'organisation. Les événements de chaque compte membre sont journalisés dans le dossier qui correspond à l’ID du compte membre. Si le compte membre 44444444 est supprimé de l'organisation à un moment défini dans le futur, que le rôle lié à un service ne s'affiche plus dans aucun le AWS compte 44444444 MyOrganizationTrail et qu'aucun autre événement n'est journalisé pour ce compte par le journal de suivi de l'organisation. Toutefois, le dossier 444444444444 demeure dans le compartiment Amazon S3, avec tous les journaux créés avant la suppression du compte de l’organisation.

Vue d'ensemble conceptuelle d'un exemple d'organisation dans Organizations.

Dans cet exemple, l’ARN du journal de suivi créé dans le compte de gestion est aws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail. Cet ARN est aussi l'ARN du journal de suivi de tous les comptes membres.

Les journaux de suivi d'une organisation sont similaires en de nombreux points aux journaux de suivi réguliers. Vous pouvez créer plusieurs journaux de suivi pour votre organisation et choisir de créer un journal de suivi d'organisation multi-régions ou à région unique, ainsi que les types d'événements que vous souhaitez journaliser le journal de suivi de votre organisation, tout comme dans n'importe quel autre journal de suivi. Cependant, il existe quelques différences. Par exemple, lorsque vous créez un journal d'activité dans la console et que vous choisissez de journaliser les événements de données pour des compartiments Amazon S3 ou des AWS Lambda fonctions, les seules ressources répertoriées dans la CloudTrail console sont celles du compte de gestion, mais vous pouvez ajouter les ressources ARNs pour les comptes membres. Les événements de données pour les ressources des comptes membres spécifiés sont journalisés sans avoir à configurer manuellement d'accès croisé entre comptes à ces ressources. Pour plus d'informations sur la journalisation des événements de gestion, des événements Insights et des événements de donnéesJournalisation des événements de gestion, consultezJournalisation des événements de données, etTravailler avec CloudTrail Insights.

Note

Dans la console, vous créez un journal de suivi multi-régions. Il est recommandé de consigner l'activité dans toutes les régions activées de votre région Compte AWS, car cela vous permet de renforcer la sécurité de votre AWS environnement. Pour créer un journal de suivi à région unique, utilisez l' AWS CLI.

Lorsque vous affichez des événements dans Event history (Historique des événements) pour une organisation dans AWS Organizations, il est possible d'afficher les événements uniquement pour le Compte AWS avec lequel vous êtes connecté. Par exemple, si vous êtes connecté avec le compte de gestion de l'organisation, Event history (Historique des événements) affiche les 90 derniers jours d'événements de gestion pour le compte de gestion. Les événements de compte membre de l'organisation ne sont pas affichés dans Event history (Historique des événements) pour le compte de gestion. Pour afficher les événements de compte membre dans Event history (Historique des événements), connectez-vous avec le compte membre.

Vous pouvez configurer d'autres AWS services pour analyser les données d'événement collectées dans les CloudTrail journaux du journal d'activité d'une organisation et agir sur ces données, comme vous le feriez pour tout autre journal de suivi. Par exemple, vous pouvez analyser les données du journal de suivi d'une organisation avec Amazon Athena. Pour de plus amples informations, veuillez consulter AWS intégrations de services avec journaux CloudTrail .

Rubriques