Questions fréquentes (FAQ) sur AWS CloudTrail

CloudTrail permet l'audit, la surveillance de la sécurité et le dépannage opérationnel en suivant l'activité des utilisateurs et l'utilisation des API. CloudTrail enregistre, contrôle en permanence et conserve l’activité du compte liée aux actions effectuées sur votre infrastructure AWS, ce qui vous permet de contrôler le stockage, l’analyse et les actions de remédiation.

CloudTrail vous aide à prouver la conformité, à améliorer la posture de sécurité et à consolider les enregistrements d'activité entre les régions et les comptes. CloudTrail offre une meilleure visibilité sur l'activité des utilisateurs par le biais de l'enregistrement des actions effectuées sur le compte. CloudTrail enregistre des informations importantes pour chaque action dont l'identité de la personne ayant effectué la demande, les services utilisés, les paramètres des actions ainsi que les éléments de réponse renvoyés par le service AWS. Ces informations vous permettent de suivre les modifications apportées aux ressources AWS et de résoudre les problèmes opérationnels. CloudTrail facilite la mise en conformité avec les politiques internes et les normes réglementaires. Pour en savoir plus, consultez le livre blanc sur la conformité d’AWS, intitulé Sécurité à grande échelle : journalisation dans AWS. 

Utilisez CloudTrail si vous devez auditer l’activité, contrôler la sécurité ou résoudre des problèmes opérationnels.

Non, aucune installation n’est requise pour commencer à consulter l’activité de votre compte. Vous pouvez vous rendre sur la console AWS CloudTrail ou la CLI AWS pour afficher l’activité de votre compte au cours des 90 derniers jours.

AWS CloudTrail n’affiche que les résultats de l’historique des événements CloudTrail pour la région actuelle que vous affichez pour les 90 derniers jours et prend en charge une gamme de services AWS. Ces événements sont limités aux événements de gestion, de création, de modification et de suppression d'appels d'API et d'activité du compte. Pour un registre complet de l’activité du compte, y compris tous les événements de gestion, les événements de données et les activités en lecture seule, vous devez configurer un journal d’activité CloudTrail.

Vous pouvez préciser la plage de temps et l’un des attributs suivants : nom de l’événement, nom de l’utilisateur, nom de la ressource, source de l’événement, ID de l’événement et type de ressource.

Oui. Vous pouvez accéder à la console CloudTrail ou utiliser l’API/CLI CloudTrail pour afficher les 90 derniers jours de l’activité du compte.

Configurez un journal d'activité CloudTrail pour diffuser les événements CloudTrail vers Amazon Simple Storage Service (Amazon S3), Amazon CloudWatch Logs et Amazon CloudWatch Events. Cette approche vous permet d’utiliser ces fonctions pour archiver, analyser et répondre aux changements de ressources AWS.

Oui. CloudTrail s’intègre à AWS Identity and Access Management (IAM), ce qui permet de contrôler l’accès à CloudTrail et aux autres ressources AWS dont CloudTrail a besoin. Cela inclut la possibilité de restreindre les autorisations d'affichage et de recherche de l'activité du compte. Supprimez « cloudtrail:LookupEvents » de la politique IAM des utilisateurs pour empêcher cet utilisateur IAM de visualiser l’activité du compte.

Aucun coût n’est demandé pour afficher l’activité du compte ou effectuer une recherche dans celui-ci avec l’historique des événements CloudTrail. 

Pour chaque journal d'activités CloudTrail créé, vous pouvez arrêter la journalisation ou supprimer les journaux. Cette action arrête alors également la diffusion des activités du compte au compartiment Amazon S3 que vous avez désigné dans le cadre de la configuration de votre journal d'activité, ainsi que la diffusion vers les CloudWatch Logs s'ils sont configurés. L’activité du compte pour les 90 derniers jours continuera d’être récupérée et sera visible dans la console CloudTrail et via l’interface de la ligne de commande AWS (AWS CLI). 

La transmission directe des événements CloudTrail vers CloudWatch vous permet de bénéficier de plusieurs avantages clés. Tout d’abord, vous pouvez gérer la collecte des événements de manière centralisée dans toute votre organisation directement depuis la console CloudWatch sans devoir configurer des journaux d’activité individuels, réduisant ainsi les frais généraux opérationnels. Deuxièmement, les canaux sécurisés liés aux services garantissent une transmission fiable à des groupes de journaux immuables tout en prenant en charge des caractéristiques avancées, notamment l’enrichissement des événements et les contrôles de sécurité. Troisièmement, vous pouvez tirer parti des puissantes capacités de surveillance de CloudWatch, notamment la collecte de journaux en temps réel et la détection automatique des anomalies. Enfin, vous pouvez importer facilement les données historiques de CloudTrail Lake dans CloudWatch Logs pour analyser les événements passés parallèlement aux données actuelles. Cette intégration élimine la complexité liée à la gestion de plusieurs configurations de journaux d’activité tout en offrant une visibilité de sécurité cohérente dans toute votre organisation AWS.

CloudTrail enregistre l'activité relative au compte et les événements de service depuis la plupart des services AWS. Pour obtenir la liste des services pris en charge, consultez la section Intégrations et services pris en charge par CloudTrail du guide d’utilisation CloudTrail.

Oui. CloudTrail enregistre les appels d'API effectués par chaque client. La console de gestion AWS, les kits de développement logiciel (SDK) AWS, les outils de ligne de commande et les services AWS de plus haut niveau émettent des appels d’opérations d’API AWS, qui sont donc enregistrés.

Les informations sur l'activité des services avec des points de terminaison régionaux (comme Amazon Elastic Compute Cloud [Amazon EC2] ou Amazon Relational Database Service [Amazon RDS]) sont capturées et traitées dans la même région que l'action. Elles sont ensuite transmises à la région associée à votre compartiment S3. Les informations sur l'activité des services avec des points de terminaison uniques, tels que IAM et AWS Security Token Service (Amazon STS), sont capturées dans la région où se trouve le point de terminaison. Elles sont ensuite traitées dans la région dans laquelle le relevé CloudTrail est configuré et transférées vers la région associée à votre compartiment S3.

L'application d'un journal d'activités à toutes les régions AWS consiste à créer un journal d'activités qui enregistrera l'activité du compte AWS dans toutes les régions dans lesquelles vos données sont stockées. Ce réglage s'applique également à toutes les nouvelles régions ajoutées. Pour plus de détails sur les régions et les partitions, consultez la page Noms ARN (Amazon Resource Names) et espace de noms du service AWS.

Vous pouvez créer et gérer un journal d'activité dans toutes les régions de la partition avec un appel d'API ou en quelques sélections. Vous recevrez un journal d'activité du compte réalisées sur le compte AWS dans toutes les régions et consignées dans un compartiment S3 ou un groupe de journaux CloudWatch Logs. Au lancement d’une nouvelle région par AWS, vous recevrez automatiquement les fichiers journaux contenant l’historique des événements dans cette nouvelle région.

Dans la page de configuration du journal d'activité de la console CloudTrail, cliquez sur Yes (Oui) pour activer le paramètre Apply to all regions (Appliquer à toutes les régions). Si vous utilisez les kits SDK ou la CLI AWS, configurez IsMultiRegionTrail sur True (Vrai). 

Quand un journal d'activité est appliqué à toutes les régions, CloudTrail crée un nouveau journal d'activité en dupliquant la configuration du journal d'activité. CloudTrail enregistre et traite alors les fichiers journaux dans chaque région et envoie les fichiers journaux contenant des activités du compte de toutes les régions vers un même compartiment S3 ou un même groupe de journaux CloudWatch Logs. Si vous avez précisé une rubrique Amazon Simple Notification Service (Amazon SNS) optionnelle, CloudTrail enverra les notifications Amazon SNS pour tous les fichiers journaux adressés à une même rubrique SNS.

Oui. Oui, vous pouvez appliquer un suivi existant à toutes les régions. Quand un suivi existant est appliqué à toutes les régions, CloudTrail crée un nouveau journal d'activité dans chaque région. Si vous avez déjà créé des journaux d’activité dans d’autres régions, vous pouvez les afficher, les modifier et les supprimer depuis la console CloudTrail. 

Il faut généralement moins de 30 secondes pour dupliquer la configuration d’un journal d’activité dans toutes les régions.

Vous pouvez créer jusqu'à cinq suivis dans une même région. Si un journal d’activité est appliqué à toutes les régions, il existera dans chaque région et comptera à chaque fois comme un journal d’activité.

En créant plusieurs journaux d'activité, vous permettez à différente parties prenantes, par exemple les administrateurs de sécurité, les développeurs de logiciels et les auditeurs informatiques de créer et de gérer leurs propres journaux d'activité. Ainsi, un administrateur de sécurité peut créer un journal d'activité appliqué à toutes les régions et configurer le chiffrement avec une clé Amazon Key Management Service (Amazon KMS). Un développeur peut créer un journal d’activité appliqué à une région pour résoudre des problèmes de fonctionnement.

Oui. Vous pouvez, à l'aide des autorisations de niveau ressource, écrire des politiques détaillées de contrôle d'accès pour autoriser ou refuser l'accès à un journal d'activité spécifique pour certains utilisateurs. Pour plus de détails, consultez la documentation de CloudTrail. 

Par défaut, les fichiers journaux CloudTrail sont chiffrés avec l'option server side encryption (SSE) d'Amazon S3, puis placés dans le compartiment S3. Vous pouvez contrôler l'accès aux fichiers journaux en appliquant des stratégies IAM ou de compartiment S3. Pour ajouter un niveau de sécurité, activez la fonction Supprimer l’authentification multifactorielle (MFA) S3 pour le compartiment S3. Pour en savoir plus sur la création et la mise à jour d’un journal d’activité, consultez la documentation relative à CloudTrail.

Vous pouvez télécharger un exemple de stratégie relative aux compartiments S3 et une stratégie relative aux rubriques SNS à partir du compartiment S3 CloudTrail. Vous devez mettre à jour ces exemples de stratégies avec vos informations avant de les appliquer au compartiment S3 ou à la rubrique SNS.

Vous contrôlez les stratégies de conservation des fichiers journaux CloudTrail. Par défaut, les fichiers journaux sont stockés pendant une durée indéfinie. Vous pouvez utiliser des règles de gestion du cycle de vie des objets S3 pour définir votre propre stratégie de conservation. Par exemple, vous avez la possibilité de supprimer les anciens fichiers journaux ou de les archiver dans Amazon Simple Storage Service Glacier (Amazon S3 Glacier).

Un événement contient des informations concernant l'activité associée : qui a effectué la requête, les services utilisés, les actions réalisées et les paramètres pour cette action, ainsi que les éléments de réponse renvoyés par le service AWS. Pour en savoir plus, consultez la section Référence des événements de journaux CloudTrail du guide de l’utilisateur. 

En règle générale, CloudTrail transmet un événement dans les 5 minutes suivant l'appel d'API. Pour plus d’informations sur le fonctionnement de CloudTrail, cliquez ici.   

CloudTrail transmet les fichiers journaux au compartiment S3 toutes les cinq minutes environ. CloudTrail ne transmet pas de fichiers journaux si aucun appel d'API n'est effectué sur votre compte. 

Oui. Vous pouvez activer les notifications Amazon SNS pour réagir immédiatement lors de la transmission de nouveaux fichiers journaux. 

Bien que cela soit rare, vous pouvez recevoir des fichiers journaux contenant un ou plusieurs événements dupliqués. Les événements dupliqués porteront le même eventID. Pour plus d’informations sur le champ eventID, consultez le contenu des enregistrements CloudTrail. 

Les fichiers journaux CloudTrail sont transmis conformément aux stratégies des compartiments S3 que vous avez mises en place. Si les politiques relatives aux compartiments sont mal configurées, CloudTrail ne pourra pas transmettre les fichiers journaux. 

CloudTrail est conçu pour prendre en charge au moins une diffusion des événements auxquels vous êtes abonné vers les compartiments S3 des clients. Dans certains cas, il est possible que CloudTrail diffuse le même événement plusieurs fois. Par conséquent, les clients peuvent remarquer des événements dupliqués. 

Les événements de données donnent des informations sur les opérations de ressources (plans de données) effectuées sur ou dans les ressources. Les événements de données sont souvent des activités à fort volume et comprennent des opérations telles que les opérations de l’API de niveau d’objet S3 des Invoke API de fonctions AWS Lambda. Par défaut, les événements de données sont désactivés lorsque vous configurez un suivi. Pour enregistrer des événements de suivi CloudTrail, vous devez ajouter de manière explicite les ressources ou types de ressources pris en charge sur lesquels vous souhaitez recueillir des activités. Contrairement aux événements de gestion, les événements de données encourent des frais supplémentaires. Pour en savoir plus, consultez la page Tarification de CloudTrail. 

Les événements de données enregistrés par CloudTrail sont transmis à S3 de la même manière que les événements de gestion. Lorsqu’ils sont activés, ces événements sont également disponibles dans Amazon CloudWatch Events. 

Les événements de données S3 représentent les activités d'API sur les objets S3. Pour que CloudTrail enregistre ces actions, vous devez désigner un compartiment S3 dans la section des événements de données lorsque vous créez un nouveau suivi ou modifiez un suivi existant. Toute action d’API appliquée sur les objets dans le compartiment S3 désigné sera enregistrée par CloudTrail. 

Les événements de données Lambda enregistrent l'activité d'exécution des fonctions Lambda. Grâce aux événements de données Lambda, vous pouvez obtenir des détails sur l'exécution des fonctions Lambda. Les exemples d'exécution des fonctions Lambda incluent l'utilisateur ou le service IAM qui a effectué l'appel Invoke API, le moment où l'appel a été effectué et la fonction qui a été appliquée. Tous les événements de données Lambda sont déployés sur un compartiment S3 et CloudWatch Events. Vous pouvez activer la journalisation des événements de données Lambda à l’aide de la CLI ou de la console CloudTrail pour ensuite déterminer quelles fonctions Lambda sont ajoutées au journal en créant un nouveau journal d’activité ou en modifiant un journal d’activité existant. 

Les événements d’activité réseau enregistrent les actions de l’API AWS effectuées à l’aide de points de terminaison d’un VPC à partir d’un VPC privé vers le service AWS et vous aident à répondre aux cas d’utilisation des enquêtes de sécurité du réseau. Cela inclut les appels d’API AWS qui ont passé avec succès la stratégie de point de terminaison d’un VPC et ceux dont l’accès a été refusé. Par exemple, en tant que propriétaire de point de terminaison d’un VPC, vous pouvez consulter les journaux des actions qui ont été refusées en raison des politiques relatives aux points de terminaison d’un VPC ou déterminer si un acteur situé en dehors de votre périmètre de sécurisation des données tente d’accéder aux données de vos compartiments S3. Contrairement aux événements de gestion et de données qui sont transmis à la fois à l’appelant de l’API et au propriétaire de la ressource, les événements d’activité réseau ne sont transmis qu’au propriétaire du point de terminaison d’un VPC.

Pour enregistrer des événements d’activité réseau, vous devez les activer explicitement lors de la configuration de votre piste ou de votre magasin de données d’événements et choisir la ou les sources d’événements du ou des services AWS sur lesquels vous souhaitez collecter des activités. Vous pouvez également ajouter des filtres supplémentaires, tels que le filtrage par ID de point de terminaison d’un VPC ou l’enregistrement des seules erreurs d’accès refusé. Les événements d’activité réseau entraînent des frais supplémentaires. Pour en savoir plus, consultez la section Tarification de CloudTrail.

Les journaux de flux VPC vous permettent de collecter les informations relatives au trafic IP entrant et sortant dans les interfaces réseau de votre VPC. Les données des journaux de flux peuvent être publiées dans les emplacements suivants : Amazon CloudWatch Logs, Amazon S3 ou Amazon Data Firehose. Les événements d’activité réseau pour les points de terminaison d’un VPC capturent les actions de l’API AWS effectuées à l’aide des points terminaison d’un VPC depuis un VPC privé vers le service AWS. Vous savez ainsi qui accède aux ressources de votre réseau, ce qui vous permet de mieux identifier les actions involontaires dans votre périmètre de sécurisation des données et d’y répondre. Vous pouvez consulter les journaux des actions qui ont été refusées en raison des stratégies de point de terminaison d’un VPC ou utiliser ces événements pour valider l’impact de la mise à jour des stratégies existantes. 

Oui, CloudTrail permet désormais d’ajouter jusqu’à trois administrateurs délégués par organisation.

Le compte de gestion restera le propriétaire de tous les journaux d’activité d’organisation ou des entrepôts de données d’événements créés au niveau de l’organisation, qu’ils aient été créés par un compte administrateur délégué ou par un compte de gestion.

Actuellement, la prise en charge des administrateurs délégués pour CloudTrail est disponible dans toutes les régions où AWS CloudTrail est disponible. Pour plus d’informations, consultez le tableau des Régions AWS.

Les événements CloudTrail Insights vous aident à identifier les activités inhabituelles dans vos comptes AWS : pics d'allocation de ressources, paquets d'actions AWS Identity and Access Management (IAM) ou failles dans les activités périodiques de maintenance. CloudTrail Insights utilise des modèles de machine learning (ML) qui contrôlent en permanence les événements de gestion d'écriture CloudTrail pour détecter des activités anormales.

Lorsqu'une activité anormale est détectée, les événements CloudTrail Insights sont affichés dans la console et transmis à CloudWatch Events, à votre compartiment S3 et éventuellement au groupe CloudWatch Logs. Cela facilite la création et l’intégration des alertes aux systèmes existants de gestion d’événements et de flux de travail.

CloudTrail Insights détecte des activités inhabituelles en analysant les événements de gestion d'écriture CloudTrail dans un compte AWS et dans une région. Un événement inhabituel ou anormal est défini comme le volume d'appels de l'API AWS qui diffère de celui attendu d'un modèle de fonctionnement ou d'une ligne de base déjà établi. CloudTrail Insights s'adapte aux modifications de vos schémas d'exploitation standard en prenant en compte les tendances temporelles de vos appels API et en appliquant des lignes de base adaptatives lorsque les charges de travail évoluent.

CloudTrail Insights peut vous aider à détecter des applications ou des scripts défectueux. Il arrive parfois qu'un développeur modifie un script ou une application qui commence une boucle répétitive ou effectue un grand nombre d'appels vers des ressources non souhaitées, telles que des bases de données, des magasins de données ou d'autres fonctions. Souvent, ce comportement n'est pas remarqué avant le cycle de facturation de fin de mois, lorsque les coûts ont augmenté de manière inattendue ou en cas de panne ou de perturbation. Les événements CloudTrail Insights peuvent vous informer de ces modifications dans votre compte AWS, vous permettant ainsi de prendre rapidement des mesures correctives.

CloudTrail Insights identifie une activité opérationnelle inhabituelle dans vos comptes AWS, ce qui vous permet de résoudre les problèmes opérationnels tout en minimisant l'impact sur les opérations et les activités. Amazon GuardDuty se concentre sur l'amélioration de la sécurité de votre compte, fournissant une détection des menaces grâce à la surveillance de l'activité du compte. Amazon Macie est conçu pour améliorer la protection des données de votre compte en découvrant, en classant et en protégeant les données sensibles. Ces services offrent des protections complémentaires contre différents types de problèmes qui peuvent survenir dans votre compte.

Oui. Les événements CloudTrail Insights sont configurés sur des suivis individuels. Au moins un suivi doit donc être configuré. Lorsque vous activez des événements CloudTrail Insights pour un suivi, CloudTrail commence à surveiller les événements de gestion d'écriture capturés par ce suivi, à la recherche de modèles inhabituels. Si CloudTrail Insights détecte une activité inhabituelle, un événement CloudTrail Insights est consigné dans la destination de livraison spécifiée dans la définition du journal d’activité.

CloudTrail Insights suit les activités inhabituelles des opérations des API de gestion d’écriture.

Vous pouvez activer les événements CloudTrail Insights sur des journaux d'activité individuels de votre compte à l'aide de la console, de la CLI ou du kit SDK. Vous pouvez également activer les événements CloudTrail Insights au sein de votre organisation à l'aide d'un journal d'activité d'organisation configuré dans votre compte de gestion AWS Organizations. Vous pouvez activer les événements CloudTrail Insights en sélectionnant le bouton radio dans la définition de votre journal d’activité. 

CloudTrail Lake vous permet d’examiner les incidents en interrogeant toutes les actions enregistrées par CloudTrail, les éléments de configuration enregistrés par AWS Config, les preuves provenant d’Audit Manager ou les événements provenant de sources autres qu’AWS. Le service simplifie la journalisation des incidents en éliminant les dépendances opérationnelles et fournit des outils susceptibles d’aider à réduire votre dépendance aux pipelines complexes de processus de données qui s’étendent sur plusieurs équipes. CloudTrail Lake ne requiert pas que vous migriez ou ingériez les journaux CloudTrail ailleurs, ce qui permet de garantir la fidélité des données et de réduire les problèmes liés aux limites de débit faible de vos journaux. Le service fournit également des latences en temps quasi réel, d’autant qu’il est optimisé pour traiter des journaux structurés à volume élevé. Les enquêtes sur les incidents s’en trouvent ainsi simplifiées. Il offre une expérience de requête multiattributs bien connue qui utilise SQL, avec la possibilité de planifier et de gérer plusieurs requêtes simultanées. Pour les utilisateurs qui disposent de moins d’expérience avec SQL, la génération de requêtes en langage naturel est disponible pour faciliter la création de requêtes SQL, pour simplifier ainsi l’analyse des données. La possibilité de résumer les résultats des requêtes à l’aide de l’IA (en version préliminaire) améliore davantage votre capacité à tirer des informations pertinentes de vos journaux d’activité et à enquêter efficacement sur les incidents. En outre, des tableaux de bord prédéfinis et personnalisés offrent des moyens intuitifs de visualiser et d’analyser vos données stockées dans les magasins de données d’événements directement depuis la console CloudTrail. En combinant ces caractéristiques, CloudTrail Lake vous permet d’enquêter efficacement sur les incidents et d’obtenir des informations plus détaillées sur votre environnement AWS, tout en simplifiant les processus de gestion des données.

CloudTrail est la source canonique de journaux pour l'activité des utilisateurs et l'utilisation des API sur l'ensemble des services AWS. Vous pouvez utiliser CloudTrail Lake pour passer en revue l'activité sur les services AWS, et ce une fois que les journaux sont disponibles dans CloudTrail. Vous pouvez interroger et analyser l’activité liée à l’utilisation et les ressources impactées, et utiliser ces données pour résoudre les problèmes, comme l’identification des cybercriminels ou l’établissement d’une base de référence.

Vous pouvez rechercher et ajouter des intégrations partenaires pour commencer à recevoir des événements d’activité provenant de ces applications en quelques étapes à l’aide de la console CloudTrail, sans devoir créer et gérer des intégrations personnalisées. Pour les sources autres que les intégrations partenaires disponibles, vous pouvez utiliser les nouvelles API CloudTrail Lake pour configurer vos propres intégrations et transmettre des événements à CloudTrail Lake. Pour démarrer, consultez la section Utilisation de CloudTrail Lake du guide d’utilisation de CloudTrail.

L’interrogation avancée d’AWS Config est recommandée pour les clients qui souhaitent regrouper et interroger les éléments de configuration (CI) d’AWS Config dans leur état actuel. Cela aide les clients en matière de gestion des stocks, de sécurité et d'intelligence opérationnelle, d'optimisation des coûts et de données de conformité. La requête avancée d'AWS Config est gratuite si vous êtes un client d'AWS Config. 

CloudTrail Lake prend en charge la couverture des requêtes pour les éléments de configuration AWS Config, y compris la configuration des ressources et l'historique de conformité. L'analyse de l'historique de configuration et de conformité des ressources avec les événements CloudTrail associés permet de déduire qui, quand et ce qui a changé sur ces ressources. Cela facilite l'analyse des causes profondes des incidents liés à l'exposition à la sécurité ou à la non-conformité. CloudTrail Lake est recommandé si vous devez agréger et interroger des données sur des événements CloudTrail et des éléments de configuration historiques.  

CloudTrail Lake n’ingère pas les éléments de configuration AWS Config générés avant la configuration de CloudTrail Lake. Les éléments de configuration récemment enregistrés dans AWS Config, à l'échelle d'un compte ou de l'organisation, seront autorisés à être transférés vers le stockage de données d'événement CloudTrail Lake indiqué. Ces éléments de configuration seront disponibles dans Lake pour être interrogés pendant la période de rétention spécifiée et pourront être utilisés pour l’analyse des données historiques. 

Si de multiples changements de configuration sont tentés sur une seule ressource par plusieurs utilisateurs en succession rapide, seul un élément de configuration peut être créé qui correspondrait à la configuration de l'état final de la ressource. Dans ce cas et dans d’autres scénarios similaires, il peut être impossible de fournir une corrélation à 100 % sur l’utilisateur qui a effectué les changements de configuration en interrogeant CloudTrail et les éléments de configuration pour un intervalle de temps et un identifiant de ressource spécifiques.

Oui. La fonction d'importation de CloudTrail Lake prend en charge la copie des journaux CloudTrail à partir d'un compartiment S3 qui stocke les journaux de plusieurs comptes (à partir d'un journal d'activité d'organisation) et de plusieurs régions AWS. Vous pouvez également importer des journaux à partir de comptes individuels et de journaux d'activité sur une seule région. La fonctionnalité d'importation vous permet également de spécifier une plage de dates d'importation, afin de n'importer que le sous-ensemble de journaux nécessaires au stockage et à l'analyse à long terme dans CloudTrail Lake. Après avoir consolidé vos journaux, vous pouvez exécuter des interrogations sur vos journaux, depuis les événements les plus récents collectés après avoir activé CloudTrail Lake, jusqu’aux événements historiques transférés depuis vos journaux d’activité.

La fonction d’importation copie les informations du journal S3 vers CloudTrail Lake et laisse la copie originale dans S3 telle quelle.

Vous pouvez commencer quasi immédiatement à interroger les activités qui ont lieu après l’activation de la fonction.

Les cas d’utilisation courants sont : l’enquête sur les incidents de sécurité, comme l’accès non autorisé ou la compromission des informations d’identification d’utilisation, et l’amélioration de la posture de sécurité à travers la réalisation d’audits visant à établir régulièrement des bases de référence des autorisations d’utilisation. Vous pouvez effectuer les audits nécessaires pour vous assurer que les utilisateurs autorisés apportent des modifications à vos ressources (par exemple, les groupes de sécurité), et suivre toute modification non conforme aux bonnes pratiques de votre organisation. Par ailleurs, vous pouvez suivre les actions entreprises sur vos ressources et évaluer les modifications ou suppressions. Vous pouvez également obtenir des informations détaillées sur vos factures de services AWS, notamment l’abonnement des utilisateurs IAM aux services.

Si vous êtes un client existant ou nouveau de CloudTrail, vous pouvez immédiatement commencer à utiliser les capacités de CloudTrail Lake pour exécuter des requêtes en activant la fonctionnalité via l'API ou la console CloudTrail.

Sélectionnez l'onglet CloudTrail Lake dans le panneau de gauche de la console CloudTrail, puis cliquez sur le bouton Create Event Data Store (Créer un magasin de données d'événements). Lorsque vous créez un magasin de données d'événements, vous choisissez l'option de tarification que vous souhaitez utiliser pour le magasin de données d'événements. L’option de tarification détermine le coût d’ingestion des événements ainsi que la période de conservation maximale et par défaut pour le magasin de données des événements. Sélectionnez ensuite les catégories d’événements que vous souhaitez enregistrer (événements de gestion, de données et d’activité réseau). En outre, vous pouvez tirer parti de fonctionnalités améliorées de filtrage des événements pour contrôler les événements CloudTrail qui sont ingérés dans vos magasins de données d’événements. Cela vous permet de renforcer votre efficacité et de réduire les coûts tout en conservant une certaine visibilité sur les activités pertinentes. Une fois que votre magasin de données d’événements est configuré, vous pouvez interroger tous les magasins de données d’événements que vous possédez ou que vous gérez à l’aide de requêtes SQL. Pour les utilisateurs moins familiarisés avec SQL, la génération de requêtes en langage naturel est disponible pour faciliter la création de requêtes SQL.

En outre, les résultats des requêtes peuvent être résumés (en version préliminaire) à l’aide de l’IA générative, ce qui vous permet d’améliorer encore votre capacité à obtenir des informations de vos données CloudTrail. Pour vous aider à visualiser vos données CloudTrail Lake, vous pouvez utiliser des tableaux de bord préalablement sélectionnés disponibles directement dans la console CloudTrail, qui offrent une visibilité immédiate et des informations clés issues de vos données d’audit et de sécurité. Pour un suivi et une analyse plus ciblés, vous avez également la possibilité de créer des tableaux de bord personnalisés adaptés à vos besoins spécifiques.

Oui. Vous pouvez mettre à jour l'option de tarification, passant d'une tarification de rétention sur sept ans à une tarification de rétention extensible sur un an dans le cadre de la configuration de la banque de données des événements. Vos données existantes resteront disponibles dans le magasin de données de l'événement pendant la période de conservation configurée. Ces données n'entraîneront aucun frais de conservation prolongé. Toutefois, toutes les données nouvellement ingérées seront soumises à une tarification de rétention d’un an extensible, à la fois pour l’ingestion et la rétention prolongée. 

Non. Nous ne prenons actuellement pas en charge la migration d’un magasin de données sur les événements d’une tarification de rétention extensible d’un an à une tarification de rétention de sept ans. Cependant, vous pourrez désactiver la journalisation pour le magasin de données d'événements actuel, tout en créant un nouveau magasin de données d'événements avec un tarif de conservation de sept ans pour les données nouvellement ingérées. Vous pourrez toujours conserver et analyser les données dans les deux magasins de données d’événements avec l’option de tarification correspondante et la période de conservation configurée.

CloudTrail Lake est un lac d’audit qui aide les clients à répondre aux besoins de leurs cas d’utilisation en matière de conformité et d’audit. En fonction des mandats de leur programme de conformité, les clients doivent conserver les journaux d’audit pendant une durée spécifiée à compter de la date de leur génération, indépendamment de la date à laquelle ils ont été intégrés dans CloudTrail Lake.

Non. Comme il s’agissait d’un événement historique avec une date d’événement dans le passé, cet événement sera conservé dans CloudTrail Lake pendant une période de conservation de 1 an à compter de la date de l’événement. La durée pendant laquelle cet événement sera stocké dans CloudTrail Lake sera donc inférieure à 1 an. 

Les tableaux de bord prédéfinis de CloudTrail Lake permettent de visualiser la gestion, les données et les événements Insights de CloudTrail. En outre, vous avez la possibilité de créer des tableaux de bord personnalisés capables de visualiser tout type de données stockées dans vos magasins de données d’événements, ce qui vous permet d’adapter votre analyse à vos besoins spécifiques.

Les tableaux de bord sont actuellement activés au niveau du compte.

Les tableaux de bord CloudTrail Lake sont alimentés par les requêtes CloudTrail Lake. Lorsque vous activez les tableaux de bord CloudTrail Lake, les données analysées vous sont facturées. Consultez la page Tarification pour en savoir plus.

Oui, vous pouvez créer vos propres tableaux de bord personnalisés et également définir des calendriers pour les actualiser périodiquement.

CloudTrail Lake propose une suite de tableaux de bord prédéfinis qui répondent à divers cas d’utilisation concernant la sécurité, la conformité, les opérations et la gestion des ressources. Ces tableaux de bord prêts à l’emploi sont adaptés à des scénarios spécifiques et apportent une valeur immédiate à différents aspects de la gouvernance du cloud :

• Pour la surveillance de la sécurité, des tableaux de bord tels que le « Tableau de bord de surveillance de la sécurité » permettent de suivre les événements de sécurité critiques, notamment les événements d’accès refusé, les tentatives de connexion échouées et les actions destructrices.
• Pour soutenir les efforts de conformité, le « Tableau de bord des activités IAM » offre une visibilité sur les modifications apportées aux entités IAM, ce qui permet d’identifier les actions IAM involontaires et les problèmes de conformité potentiels.
• Les équipes chargées des opérations cloud peuvent utiliser le « Tableau de bord d’analyse des erreurs » pour identifier et résoudre les erreurs de limitation des services et autres problèmes opérationnels liés aux services.
• Pour la gestion des ressources, le « Tableau de bord des modifications des ressources » fournit une visibilité sur les tendances en matière de provisionnement, de suppression et de modification des ressources AWS, y compris les modifications apportées via CloudFormation et manuellement.
• Les organisations peuvent tirer parti du « Tableau de bord des activités des organisations », qui fournit des informations sur la gestion des comptes, les modèles d’accès et les modifications apportées aux politiques.
• Les tableaux de bord spécifiques aux services pour EC2, Lambda, DynamoDB et S3 offrent une visibilité détaillée sur les activités de gestion et de plan de données pour ces services.

Vous pouvez enrichir les événements CloudTrail par des balises de ressources sur AWS Resources. L’intégration de la stratégie d’étiquetage des ressources de votre organisation aux événements CloudTrail facilitera le classement et l’analyse des activités AWS dans le contexte des opérations, projets ou services de votre entreprise. Par exemple, supposons que vous utilisez des balises de ressources pour marquer vos compartiments S3 de production qui contiennent des données critiques. Vous pouvez désormais visualiser facilement tous les événements CloudTrail correspondant à ces balises spécifiques, car ces informations sont incluses dans l’événement lui-même. Il n’est plus nécessaire d’effectuer manuellement des références croisées entre plusieurs systèmes pour trouver ces informations.
Les clés de condition globale IAM offrent un autre moyen d’ajouter du contexte à vos événements CloudTrail en utilisant des clés, y compris des balises du principal. Lorsque cette option est activée, CloudTrail inclut des informations sur les clés de condition AWS évaluées au cours du processus d’autorisation. Cela peut fournir des informations supplémentaires sur le principal effectuant la demande ainsi que des détails sur la demande elle-même. Par exemple, vous pouvez afficher aws:SourceAccount pour les appels d’API envoyés à votre ressource directement par un principal de service AWS. Il est important de noter qu’une clé de condition apparaît uniquement dans l’événement enrichi si elle a été évaluée dans le cadre de la politique IAM au cours du processus d’autorisation.

Vous pouvez enrichir vos événements CloudTrail lors de la configuration des magasins de données d’événements CloudTrail Lake. Le processus de configuration vous offre la possibilité de spécifier les informations supplémentaires que vous souhaitez inclure dans vos événements de gestion et de données CloudTrail. Cette flexibilité vous permet d’adapter le niveau d’informations supplémentaires contenues dans vos journaux afin de mieux répondre aux besoins de votre organisation en matière d’analyse, de conformité et de surveillance de la sécurité. Cliquez ici pour en savoir plus sur l’enrichissement des événements CloudTrail.

Vous pouvez enrichir vos événements de gestion et de données par des balises de ressources et des clés de condition globale IAM. La disponibilité de ces informations supplémentaires dépend de divers facteurs, notamment l’état des ressources, la date de changement des balises et l’évaluation de la politique IAM.

CloudTrail mettra à jour les informations relatives aux balises des ressources AWS dans la mesure du possible. Lorsque les informations relatives aux balises ne sont pas disponibles pour CloudTrail au moment de la réalisation d’un appel d’API AWS sur la ressource balisée, CloudTrail n’inclura pas ces informations dans l’événement CloudTrail correspondant. CloudTrail utilise l’API de balisage de groupes de ressources (RGTA) pour récupérer les informations relatives aux balises.
Il peut arriver que les balises de ressources dans les événements CloudTrail ne contiennent pas les valeurs les plus récentes ou ne soient pas présentes.

• Une balise de ressource est ajoutée ou mise à jour sur une ressource AWS après avoir été créée. En cas de modification d’une balise sur une ressource AWS, CloudTrail capture et affiche la nouvelle valeur de la balise dans ses événements après un bref retard. Ce retard est dû à l’utilisation par CloudTrail d’un modèle de calcul distribué appelé cohérence à terme.
• Les événements CloudTrail liés à la suppression des ressources peuvent ne pas inclure des informations sur les balises. En effet, la ressource risque d’être supprimée avant que CloudTrail ne puisse récupérer les balises associées.
• Les événements CloudTrail sont décalés en raison d’un problème de service. Dans de tels cas, CloudTrail n’inclura aucune information relative aux balises de ressources. Les événements CloudTrail qui sont décalés en raison de tels problèmes incluent un champ « addendum » qui affiche les raisons pour lesquelles l’événement est décalé.

CloudTrail mettra à jour les clés de condition globale IAM, y compris les balises de principal, à mesure que les actions API seront autorisées et que les événements CloudTrail seront générés. Cependant, il est primordial de comprendre que CloudTrail inclura uniquement une clé de condition globale dans un événement si cette clé a été évaluée dans le cadre de la politique IAM pendant le processus d’autorisation. La simple configuration de CloudTrail pour inclure une clé de condition ne garantit pas sa présence dans tous les événements. Si vous avez configuré CloudTrail pour inclure une clé de condition globale spécifique, mais que vous ne la voyez pas dans un événement, cela indique que cette clé particulière n’était pas pertinente pour l’évaluation de la politique IAM pour cette action. En d’autres termes, la politique IAM évaluée n’a pas utilisé cette clé de condition dans sa logique. 

Oui. Vous pouvez configurer un compartiment S3 en tant que destination de plusieurs comptes. Pour obtenir des instructions détaillées, consultez la section relative à l’agrégation de fichiers journaux dans un seul compartiment S3 du guide d’utilisation de CloudTrail.

L’intégration de CloudTrail à CloudWatch Logs envoie les événements de gestion et de données enregistrés par CloudTrail à flux de journaux CloudWatch Logs dans le groupe de journaux CloudWatch Logs que vous indiquez.

Cette intégration vous permet de recevoir des notifications SNS sur l'activité relative au compte enregistrée par CloudTrail. Par exemple, vous pouvez créer des alarmes CloudWatch pour contrôler les appels d’API qui créent, modifient et suppriment des groupes de sécurité et des listes de contrôle d’accès (ACL) réseau.

Vous pouvez activer l'intégration de CloudTrail à CloudWatch Logs à partir de la console CloudTrail en spécifiant un groupe de journaux CloudWatch Logs et un rôle IAM. Vous pouvez également utiliser les kits SDK AWS ou l’interface de ligne de commande AWS pour activer l’intégration.

Une fois l'intégration activée, CloudTrail envoie en continu l'activité relative au compte à un flux de journaux CloudWatch Logs dans le groupe de journaux CloudWatch Logs que vous avez indiqué. CloudTrail continue également de transmettre les journaux au compartiment S3 comme auparavant.

Cette intégration est prise en charge dans les régions dans lesquelles CloudWatch Logs est pris en charge. Pour en savoir plus, consultez la section Régions et points de terminaison du document Références générales AWS.

CloudTrail endosse le rôle IAM que vous spécifiez pour envoyer l'activité relative au compte à CloudWatch Logs. Vous limitez le rôle IAM seulement aux autorisations nécessaires pour transmettre les événements au flux de journaux CloudWatch Logs. Pour consulter la politique des rôles IAM, accédez au guide d’utilisation de la documentation CloudTrail.

Une fois l'intégration de CloudTrail à CloudWatch Logs activée, des frais standard CloudWatch Logs et CloudWatch vous sont facturés. Pour plus de détails, accédez à la page Tarification de CloudWatch. 

Le chiffrement des fichiers journaux CloudTrail reposant sur des SSE-KMS vous permet d’ajouter une couche supplémentaire de sécurité aux fichiers journaux CloudTrail transmis à un compartiment S3 en les chiffrant avec une clé KMS. Par défaut, CloudTrail chiffre les fichiers journaux transmis au compartiment S3 à l’aide du chiffrement côté serveur S3.

Si vous utilisez des SSE-KMS, S3 déchiffre automatiquement les fichiers journaux. Vous n’avez donc pas à modifier votre application. Comme toujours, vous devez vérifier que votre application dispose des autorisations appropriées, à savoir S3 GetObject et AWS KMS Decrypt.

Pour configurer le chiffrement des fichiers journaux, vous pouvez utiliser AWS Management Console, la CLI AWS ou les kits SDK AWS. Pour consulter les instructions détaillées, reportez-vous à la documentation.

Après avoir configuré le chiffrement reposant sur des SSE-KMS, vous devrez vous acquitter des frais standard d'AWS KMS. Pour plus de détails, accédez à la page Tarification d’AWS KMS.

La fonction de validation de l’intégrité des fichiers journaux CloudTrail vous permet de déterminer si un fichier journal CloudTrail a été modifié ou non, ou s’il a été supprimé après avoir été transmis par CloudTrail au compartiment S3 spécifié.

Vous pouvez utiliser la validation de l’intégrité des fichiers journaux pour renforcer vos processus d’audit et de sécurité informatiques.

Vous pouvez activer la fonction de validation de l’intégrité des fichiers journaux CloudTrail depuis la console, CLI AWS ou les kits SDK AWS.

Une fois que vous avez activé la fonction de validation de l'intégrité des fichiers journaux, CloudTrail transmet des fichiers de résumé toutes les heures. Les fichiers de résumé contiennent des informations sur les fichiers journaux qui ont été transmis à votre compartiment S3 et des valeurs de hachage pour ces fichiers journaux. Ils contiennent les signatures numériques pour le fichier de résumé précédent et la signature numérique pour le ficher de résumé actuel dans la section des métadonnées S3. Pour en savoir plus sur les fichiers de résumé, les signatures numériques et les valeurs de hachage, reportez-vous à la documentation CloudTrail.

Les fichiers de résumé sont transmis au même compartiment S3 que celui dans lequel les fichiers journaux sont envoyés. Néanmoins, ils sont placés dans un dossier différent afin que vous puissiez mettre en application les politiques de contrôle d'accès détaillées. Pour plus de détails, consultez la section relative à la structure des fichiers de résumé dans la documentation CloudTrail.

Pour valider l'intégrité d'un fichier journal ou d'un fichier de résumé, vous pouvez utiliser la CLI AWS. Vous pouvez également créer vos propres outils de validation. Pour plus de détails concernant l’utilisation de la CLI AWS en vue de valider l’intégrité d’un fichier journal, consultez la documentation CloudTrail.

Oui. CloudTrail transfèrera les fichiers de résumé provenant de toutes les régions et de plusieurs comptes dans le même compartiment S3.

La bibliothèque de traitement CloudTrail est une bibliothèque Java qui permet de créer facilement une application qui lit et traite des fichiers journaux CloudTrail. Vous pouvez télécharger la bibliothèque de traitement CloudTrail depuis GitHub.

La bibliothèque de traitement CloudTrail fournit des fonctionnalités permettant de gérer des tâches telles que l'interrogation continue d'une file d'attente SQS, la lecture et l'analyse des messages Amazon Simple Queue Service (Amazon SQS). Elle peut aussi télécharger des fichiers journaux stockés dans S3, analyser et la sérialiser des événements des fichiers journaux de manière tolérante aux pannes. Pour plus d’informations, accédez au guide d’utilisation de la documentation CloudTrail. 

Vous avez besoin de aws-java-sdk version 1.9.3 et de Java 1.7 ou version ultérieure.

CloudTrail vous permet d'afficher, de rechercher et de télécharger gratuitement les événements de gestion de votre compte pour les 90 derniers jours.. Vous pouvez transmettre gratuitement une copie de vos événements de gestion en cours à S3 en créant un journal d'activité. Une fois qu’un journal d’activité CloudTrail est configuré, les frais S3 s’appliquent en fonction de votre utilisation.

Vous pouvez transmettre des copies supplémentaires d’événements, y compris des événements de données et des événements d’activité réseau, à l’aide de journaux d’activité. Vous serez facturé pour les événements de données, les événements d’activité de réseau et les copies supplémentaires d’événements de gestion. En savoir plus sur la page Tarification.

Non. La première copie des événements de gestion est transmise gratuitement dans chaque région.

Oui. Vous n'aurez que les événements de données à payer. La première copie des événements de gestion est transmise gratuitement. 

Lorsque vous utilisez CloudTrail Lake, vous payez l'ingestion et le stockage en même temps, la facturation étant basée sur la quantité de données non compressées ingérées et la quantité de données compressées stockées. Lorsque vous créez un magasin de données d'événements, vous choisissez l'option de tarification que vous souhaitez utiliser pour le magasin de données d'événements. L'option de tarification détermine le coût d'ingestion des événements ainsi que la période de conservation maximale et par défaut pour le magasin de données des événements. Les frais de requête sont basés sur les données compressées que vous choisissez d'analyser. En savoir plus sur la page Tarification.

Oui. La taille moyenne de chaque événement CloudTrail est d'environ 1 500 octets. À l’aide de cette cartographie, vous pourrez estimer l’ingestion de CloudTrail Lake sur la base de l’utilisation de CloudTrail le mois dernier dans les journaux d’activité par nombre d’événements.

Vous pouvez activer la gestion de CloudTrail et les événements de données dans CloudWatch Logs sans créer de trace. Vous serez facturé en fonction du volume de journaux en Go transmis à CloudWatch Logs. Cela entraîne à la fois des frais de diffusion d’événements CloudTrail à 0,25 USD par Go et des frais d’ingestion de CloudWatch Logs à 0,50 USD par Go, ce qui porte à 0,75 USD le coût total de l’envoi de données CloudTrail à CloudWatch Logs. Pour en savoir plus, consultez la page Tarification de CloudTrail.

Nombre de nos partenaires proposent des solutions intégrées pour l'analyse des fichiers journaux CloudTrail. Ces solutions incluent des fonctionnalités telles que le suivi des modifications, la résolution des problèmes et l'analyse de sécurité. Pour en savoir plus, consultez la section partenaires CloudTrail.

Pour lancer votre intégration, vous pouvez consulter le Guide d’intégration des partenaires. Contactez votre équipe de développement partenaire ou votre architecte de solutions partenaires pour qu’ils vous mettent en relation avec l’équipe CloudTrail Lake afin d’obtenir plus d’informations et des réponses à vos questions.

Non. L’activation de CloudTrail n’a aucun effet sur les performances des ressources AWS ou sur la latence des appels d’API.