FAQ sur AWS CloudTrail

Questions d'ordre général

CloudTrail permet l'audit, la surveillance de la sécurité et le dépannage opérationnel en suivant l'activité des utilisateurs et l'utilisation des API. CloudTrail enregistre, contrôle en permanence et conserve l'activité du compte liée aux actions effectuées sur votre infrastructure AWS, ce qui vous permet de contrôler le stockage, l'analyse et les actions de remédiation.

CloudTrail vous aide à prouver la conformité, à améliorer la posture de sécurité et à consolider les enregistrements d'activité entre les régions et les comptes. CloudTrail offre une meilleure visibilité sur l'activité des utilisateurs par le biais de l'enregistrement des actions effectuées sur le compte. CloudTrail enregistre des informations importantes pour chaque action dont l'identité de la personne ayant effectué la demande, les services utilisés, les paramètres des actions ainsi que les éléments de réponse renvoyés par le service AWS. Ces informations vous permettent de suivre les modifications apportées aux ressources AWS et de résoudre les problèmes opérationnels. CloudTrail facilite la mise en conformité avec les politiques internes et les normes réglementaires. Pour en savoir plus, consultez le livre blanc sur la conformité d'AWS, intitulé Sécurité à grande échelle : journalisation dans AWS

Utilisez CloudTrail si vous devez auditer l'activité, contrôler la sécurité ou résoudre des problèmes opérationnels.

Mise en route

Non, aucune installation n'est requise pour commencer à consulter l'activité de votre compte. Vous pouvez vous rendre sur la console AWS CloudTrail ou la CLI AWS pour afficher l'activité de votre compte au cours des 90 derniers jours.

AWS CloudTrail n'affiche que les résultats de l'historique des événements CloudTrail pour la région actuelle que vous affichez pour les 90 derniers jours et prend en charge une gamme de services AWS. Ces événements sont limités aux événements de gestion, de création, de modification et de suppression d'appels d'API et d'activité du compte. Pour un registre complet de l'activité du compte, y compris tous les événements de gestion, les événements de données et les activités en lecture seule, vous devez configurer un journal d'activité CloudTrail.

Vous pouvez préciser la plage de temps et l'un des attributs suivants : nom de l'événement, nom de l'utilisateur, nom de la ressource, source de l'événement, ID de l'événement et type de ressource.

Oui. Vous pouvez accéder à la console CloudTrail ou utiliser l'API/CLI CloudTrail pour afficher les 90 derniers jours de l'activité du compte.

Configurez un journal d'activité CloudTrail pour diffuser les événements CloudTrail vers Amazon Simple Storage Service (Amazon S3), Amazon CloudWatch Logs et Amazon CloudWatch Events. Cette approche vous permet d'utiliser ces fonctions pour archiver, analyser et répondre aux changements de ressources AWS.

Oui. CloudTrail s'intègre à AWS Identity and Access Management (IAM), ce qui permet de contrôler l'accès à CloudTrail et aux autres ressources AWS dont CloudTrail a besoin. Cela inclut la possibilité de restreindre les autorisations d'affichage et de recherche de l'activité du compte. Supprimez « cloudtrail:LookupEvents » de la politique IAM des utilisateurs pour empêcher cet utilisateur IAM de visualiser l'activité du compte.

Aucun coût n'est demandé pour afficher l'activité du compte ou effectuer une recherche dans celui-ci avec l'historique des événements CloudTrail. 

Pour chaque journal d'activités CloudTrail créé, vous pouvez arrêter la journalisation ou supprimer les journaux. Cette action arrête alors également la diffusion des activités du compte au compartiment Amazon S3 que vous avez désigné dans le cadre de la configuration de votre journal d'activité, ainsi que la diffusion vers les CloudWatch Logs s'ils sont configurés. L'activité du compte pour les 90 derniers jours continuera d'être récupérée et sera visible dans la console CloudTrail et via AWS Command Line Interface (AWS CLI). 

Services et régions pris en charge

CloudTrail enregistre l'activité relative au compte et les événements de service depuis la plupart des services AWS. Pour obtenir la liste des services pris en charge, consultez la section Intégrations et services pris en charge par CloudTrail du guide de l'utilisateur CloudTrail.

Oui. CloudTrail enregistre les appels d'API effectués par chaque client. AWS Management Console, les kits de développement logiciel (SDK) AWS, les outils de ligne de commande et les services AWS de plus haut niveau émettent des appels d'opérations d'API AWS, qui sont donc enregistrés.

Les informations sur l'activité des services avec des points de terminaison régionaux (comme Amazon Elastic Compute Cloud [Amazon EC2] ou Amazon Relational Database Service [Amazon RDS]) sont capturées et traitées dans la même région que l'action. Elles sont ensuite transmises à la région associée à votre compartiment S3. Les informations sur l'activité des services avec des points de terminaison uniques, tels que IAM et AWS Security Token Service (Amazon STS), sont capturées dans la région où se trouve le point de terminaison. Elles sont ensuite traitées dans la région dans laquelle le relevé CloudTrail est configuré et transmises à la région associée à votre compartiment S3.

Application d'un suivi à toutes les régions

L'application d'un journal d'activités à toutes les régions AWS consiste à créer un journal d'activités qui enregistrera l'activité du compte AWS dans toutes les régions dans lesquelles vos données sont stockées. Ce réglage s'applique également à toutes les nouvelles régions ajoutées. Pour plus de détails sur les différentes régions et partitions, consultez la page Amazon Resource Name et espaces de noms du service AWS.

Vous pouvez créer et gérer un journal d'activité dans toutes les régions de la partition avec un appel d'API ou en quelques sélections. Vous recevrez un journal d'activité du compte réalisées sur le compte AWS dans toutes les régions et consignées dans un compartiment S3 ou un groupe de journaux CloudWatch Logs. Au lancement d'une nouvelle région par AWS, vous recevrez automatiquement les fichiers journaux contenant l'historique des événements dans cette nouvelle région.

Dans la page de configuration du journal d'activité de la console CloudTrail, cliquez sur Yes (Oui) pour activer le paramètre Apply to all regions (Appliquer à toutes les régions). Si vous utilisez les kits SDK ou la CLI AWS, configurez IsMultiRegionTrail sur True (Vrai). 

Quand un journal d'activité est appliqué à toutes les régions, CloudTrail crée un nouveau journal d'activité en dupliquant la configuration du journal d'activité. CloudTrail enregistre et traite alors les fichiers journaux dans chaque région et envoie les fichiers journaux contenant des activités du compte de toutes les régions vers un même compartiment S3 ou un même groupe de journaux CloudWatch Logs. Si vous avez précisé une rubrique Amazon Simple Notification Service (Amazon SNS) optionnelle, CloudTrail enverra les notifications Amazon SNS pour tous les fichiers journaux adressés à une même rubrique SNS.

Oui. Oui, vous pouvez appliquer un suivi existant à toutes les régions. Quand un suivi existant est appliqué à toutes les régions, CloudTrail crée un nouveau journal d'activité dans chaque région. Si vous avez déjà créé des journaux d'activité dans d'autres régions, vous pouvez les afficher, les modifier et les supprimer depuis la console CloudTrail

Il faut généralement moins de 30 secondes pour dupliquer la configuration d'un journal d'activité dans toutes les régions.

Utilisation de plusieurs suivis

Vous pouvez créer jusqu'à cinq suivis dans une même région. Si un journal d'activité est appliqué à toutes les régions, il existera dans chaque région et comptera à chaque fois comme un journal d'activité.

En créant plusieurs journaux d'activité, vous permettez à différente parties prenantes, par exemple les administrateurs de sécurité, les développeurs de logiciels et les auditeurs informatiques de créer et de gérer leurs propres journaux d'activité. Ainsi, un administrateur de sécurité peut créer un journal d'activité appliqué à toutes les régions et configurer le chiffrement avec une clé Amazon Key Management Service (Amazon KMS). Un développeur peut créer un journal d'activité appliqué à une région pour résoudre des problèmes de fonctionnement.

Oui. Vous pouvez, à l'aide des autorisations de niveau ressource, écrire des politiques détaillées de contrôle d'accès pour autoriser ou refuser l'accès à un journal d'activité spécifique pour certains utilisateurs. Pour plus de détails, consultez la documentation de CloudTrail. 

Sécurité et expiration

Par défaut, les fichiers journaux CloudTrail sont chiffrés avec l'option server side encryption (SSE) d'Amazon S3, puis placés dans le compartiment S3. Vous pouvez contrôler l'accès aux fichiers journaux en appliquant des stratégies IAM ou de compartiment S3. Pour ajouter un niveau de sécurité, activez la fonction Supprimer MFA (multi-factor authentication) Amazon S3 pour le compartiment S3. Pour en savoir plus sur la création et la mise à jour d'un journal d'activité, consultez la documentation relative à CloudTrail.

Vous pouvez télécharger un exemple de stratégie relative aux compartiments S3 et une stratégie relative aux rubriques SNS à partir du compartiment S3 CloudTrail. Vous devez mettre à jour ces exemples de stratégies avec vos informations avant de les appliquer au compartiment S3 ou à la rubrique SNS.

Vous contrôlez les stratégies de conservation des fichiers journaux CloudTrail. Par défaut, les fichiers journaux sont stockés pendant une durée indéfinie. Vous pouvez utiliser des règles de gestion du cycle de vie des objets S3 pour définir votre propre stratégie de conservation. Par exemple, vous avez la possibilité de supprimer les anciens fichiers journaux ou de les archiver dans Amazon Simple Storage Service Glacier (Amazon S3 Glacier).

Message des événements, ponctualité et fréquence des transmissions

Un événement contient des informations concernant l'activité associée : qui a effectué la requête, les services utilisés, les actions réalisées et les paramètres pour cette action, ainsi que les éléments de réponse renvoyés par le service AWS. Pour en savoir plus, consultez la section Référence des événements de journaux CloudTrail du guide de l'utilisateur. 

En règle générale, CloudTrail transmet un événement dans les 5 minutes suivant l'appel d'API. Pour plus d'informations sur le fonctionnement de CloudTrail, cliquez ici.   

CloudTrail transmet les fichiers journaux au compartiment S3 toutes les cinq minutes environ. CloudTrail ne transmet pas de fichiers journaux si aucun appel d'API n'est effectué sur votre compte. 

Oui. Vous pouvez activer les notifications Amazon SNS pour réagir immédiatement lors de la transmission de nouveaux fichiers journaux. 

Bien que cela soit rare, vous pouvez recevoir des fichiers journaux contenant un ou plusieurs événements dupliqués. Les événements dupliqués porteront le même eventID. Pour plus d'informations sur le champ eventID, consultez le contenu des enregistrements CloudTrail

Les fichiers journaux CloudTrail sont transmis conformément aux stratégies des compartiments S3 que vous avez mises en place. Si les politiques relatives aux compartiments sont mal configurées, CloudTrail ne pourra pas transmettre les fichiers journaux. 

CloudTrail est conçu pour prendre en charge au moins une diffusion des événements auxquels vous êtes abonné vers les compartiments S3 des clients. Dans certains cas, il est possible que CloudTrail diffuse le même événement plusieurs fois. Par conséquent, les clients peuvent remarquer des événements dupliqués. 

Événements de données

Les événements de données donnent des informations sur les opérations de ressources (plans de données) effectuées sur ou dans les ressources. Les événements de données sont souvent des activités à fort volume et comprennent des opérations telles que les opérations de l'API de niveau d'objet S3 des Invoke API de fonctions AWS Lambda. Par défaut, les événements de données sont désactivés lorsque vous configurez un suivi. Pour enregistrer des événements de suivi CloudTrail, vous devez ajouter de manière explicite les ressources ou types de ressources pris en charge sur lesquels vous souhaitez recueillir des activités. Contrairement aux événements de gestion, les événements de données encourent des frais supplémentaires. Pour en savoir plus, consultez la page Tarification de CloudTrail. 

Les événements de données enregistrés par CloudTrail sont transmis à S3 de la même manière que les événements de gestion. Lorsqu'ils sont activés, ces événements sont également disponibles dans CloudWatch Events. 

Les événements de données S3 représentent les activités d'API sur les objets S3. Pour que CloudTrail enregistre ces actions, vous devez désigner un compartiment S3 dans la section des événements de données lorsque vous créez un nouveau suivi ou modifiez un suivi existant. Toute action d'API appliquée sur les objets dans le compartiment S3 désigné sera enregistrée par CloudTrail. 

Les événements de données Lambda enregistrent l'activité d'exécution des fonctions Lambda. Grâce aux événements de données Lambda, vous pouvez obtenir des détails sur l'exécution des fonctions Lambda. Les exemples d'exécution des fonctions Lambda incluent l'utilisateur ou le service IAM qui a effectué l'appel Invoke API, le moment où l'appel a été effectué et la fonction qui a été appliquée. Tous les événements de données Lambda sont déployés sur un compartiment S3 et CloudWatch Events. Vous pouvez activer la journalisation des événements de données Lambda à l'aide de la CLI ou de la console CloudTrail pour ensuite déterminer quelles fonctions Lambda sont ajoutées au journal en créant un nouveau journal d'activité ou en modifiant un journal d'activité existant. 

Événements d’activité du réseau (en version préliminaire)

Les événements d’activité du réseau enregistrent les actions de l’API AWS effectuées à l’aide de points de terminaison d’un VPC à partir d’un VPC privé vers le service AWS et vous aident à répondre aux cas d’utilisation des enquêtes de sécurité du réseau. Cela inclut les appels d’API AWS qui ont passé avec succès la stratégie de point de terminaison d’un VPC et ceux dont l’accès a été refusé. Contrairement aux événements de gestion et de données qui sont transmis à la fois à l’appelant de l’API et au propriétaire de la ressource, les événements d’activité réseau ne sont transmis qu’au propriétaire du point de terminaison d’un VPC. Pour enregistrer des événements d’activité réseau, vous devez les activer explicitement lors de la configuration de votre piste ou de votre magasin de données d’événements et choisir la ou les sources d’événements du ou des services AWS sur lesquels vous souhaitez collecter des activités. Vous pouvez également ajouter des filtres supplémentaires, tels que le filtrage par ID de point de terminaison d’un VPC ou l’enregistrement des seules erreurs d’accès refusé. Les événements liés à l’activité du réseau entraînent des frais supplémentaires. Pour en savoir plus, consultez la page Tarification de CloudTrail.

Les journaux de flux VPC vous permettent de collecter les informations relatives au trafic IP entrant et sortant dans les interfaces réseau de votre VPC. Les données des journaux de flux peuvent être publiées dans les emplacements suivants : Amazon CloudWatch Logs, Amazon S3 ou Amazon Data Firehose. Les événements d’activité du réseau pour les points terminaison d’un VPC capturent les actions de l’API AWS effectuées à l’aide des points terminaison d’un VPC depuis un VPC privé vers le service AWS. Vous savez ainsi qui accède aux fonctions de votre réseau, ce qui vous permet de mieux identifier les actions involontaires dans votre périmètre de données et d’y réagir. Vous pouvez consulter les journaux des actions qui ont été refusées en raison des stratégies relatives au point de terminaison d’un VPC ou utiliser ces événements pour valider l’impact de la mise à jour des stratégies existantes. 

Administrateur délégué

Oui, CloudTrail permet désormais d'ajouter jusqu'à trois administrateurs délégués par organisation.

Le compte gestionnaire restera le propriétaire de tous les journaux d'organisation ou magasins de données d'événements créés au niveau de l'organisation, qu'ils aient été créés par un compte administrateur délégué ou par un compte gestionnaire.

Actuellement, la prise en charge des administrateurs délégués pour CloudTrail est disponible dans toutes les régions où AWS CloudTrail est disponible. Pour plus d'informations, consultez le tableau des régions AWS.

CloudTrail Insights

Les événements CloudTrail Insights vous aident à identifier les activités inhabituelles dans vos comptes AWS : pics d'allocation de ressources, paquets d'actions AWS Identity and Access Management (IAM) ou failles dans les activités périodiques de maintenance. CloudTrail Insights utilise des modèles de machine learning (ML) qui contrôlent en permanence les événements de gestion d'écriture CloudTrail pour détecter des activités anormales.

Lorsqu'une activité anormale est détectée, les événements CloudTrail Insights sont affichés dans la console et transmis à CloudWatch Events, à votre compartiment S3 et éventuellement au groupe CloudWatch Logs. Cela facilite la création et l'intégration des alertes aux systèmes existants de gestion des événements et de flux de travail.

CloudTrail Insights détecte des activités inhabituelles en analysant les événements de gestion d'écriture CloudTrail dans un compte AWS et dans une région. Un événement inhabituel ou anormal est défini comme le volume d'appels de l'API AWS qui diffère de celui attendu d'un modèle de fonctionnement ou d'une ligne de base déjà établi. CloudTrail Insights s'adapte aux modifications de vos schémas d'exploitation standard en prenant en compte les tendances temporelles de vos appels API et en appliquant des lignes de base adaptatives lorsque les charges de travail évoluent.

CloudTrail Insights peut vous aider à détecter des applications ou des scripts défectueux. Il arrive parfois qu'un développeur modifie un script ou une application qui commence une boucle répétitive ou effectue un grand nombre d'appels vers des ressources non souhaitées, telles que des bases de données, des magasins de données ou d'autres fonctions. Souvent, ce comportement n'est pas remarqué avant le cycle de facturation de fin de mois, lorsque les coûts ont augmenté de manière inattendue ou en cas de panne ou de perturbation. Les événements CloudTrail Insights peuvent vous informer de ces modifications dans votre compte AWS, vous permettant ainsi de prendre rapidement des mesures correctives.

CloudTrail Insights identifie une activité opérationnelle inhabituelle dans vos comptes AWS, ce qui vous permet de résoudre les problèmes opérationnels tout en minimisant l'impact sur les opérations et les activités. Amazon GuardDuty se concentre sur l'amélioration de la sécurité de votre compte, fournissant une détection des menaces grâce à la surveillance de l'activité du compte. Amazon Macie est conçu pour améliorer la protection des données de votre compte en découvrant, en classant et en protégeant les données sensibles. Ces services offrent des protections complémentaires contre différents types de problèmes qui peuvent survenir dans votre compte.

Oui. Les événements CloudTrail Insights sont configurés sur des suivis individuels. Au moins un suivi doit donc être configuré. Lorsque vous activez des événements CloudTrail Insights pour un suivi, CloudTrail commence à surveiller les événements de gestion d'écriture capturés par ce suivi, à la recherche de modèles inhabituels. Si CloudTrail Insights détecte une activité inhabituelle, un événement CloudTrail Insights sera consigné dans la destination de livraison spécifiée dans la définition du journal d'activité.

CloudTrail Insights suit les activités inhabituelles pour les opérations API de gestion d'écriture.

Vous pouvez activer les événements CloudTrail Insights sur des journaux d'activité individuels de votre compte à l'aide de la console, de la CLI ou du kit SDK. Vous pouvez également activer les événements CloudTrail Insights au sein de votre organisation à l'aide d'un journal d'activité d'organisation configuré dans votre compte de gestion AWS Organizations. Vous pouvez activer des événements CloudTrail Insights en sélectionnant le bouton radio dans la définition de votre journal d'activité. 

CloudTrail Lake

CloudTrail Lake vous aide à examiner les incidents en interrogeant toutes les actions enregistrées par CloudTrail, les éléments de configuration enregistrés par AWS Config, les preuves provenant d'Audit Manager ou les événements provenant de sources autres que AWS. La solution simplifie la journalisation des incidents en éliminant les dépendances opérationnelles, et fournit des outils susceptibles d'aider à réduire votre dépendance aux pipelines complexes de processus de données qui couvrent plusieurs équipes. CloudTrail Lake ne requiert pas que vous migriez ou ingériez les journaux CloudTrail ailleurs, ce qui permet de garantir la fidélité des données et de réduire les problèmes liés aux limites de débit faible de vos journaux. La solution fournit également des latences quasi-temps réel, d'autant qu'elle est ajustée pour traiter des journaux structurés à volume élevé. L'investigation d'incidents s'en trouve ainsi simplifiée. Enfin, CloudTrail Lake offre une expérience familière de requêtes multi-attributs avec SQL et est capable de planifier et de gérer plusieurs requêtes simultanées. Vous pouvez également utiliser la génération de requêtes en langage naturel (en version préliminaire) pour vous aider à analyser vos événements, ce qui favorise l’autonomie des utilisateurs qui ne sont pas experts en rédaction de requêtes SQL ou qui n’ont pas une connaissance approfondie des événements CloudTrail.

CloudTrail est la source canonique de journaux pour l'activité des utilisateurs et l'utilisation des API sur l'ensemble des services AWS. Vous pouvez utiliser CloudTrail Lake pour passer en revue l'activité sur les services AWS, et ce une fois que les journaux sont disponibles dans CloudTrail. Vous pouvez interroger et analyser l'activité des utilisateurs et les ressources impactées, et utiliser ces données pour résoudre les problèmes,comme l'identification des cybercriminels ou l'établissement d'une base de référence.

Vous pouvez rechercher et ajouter des intégrations partenaires pour commencer à recevoir des événements d'activité provenant de ces applications en quelques étapes à l'aide de la console CloudTrail, sans avoir à créer et à gérer des intégrations personnalisées. Pour les sources autres que les intégrations partenaires disponibles, vous pouvez utiliser les nouvelles API CloudTrail Lake pour configurer vos propres intégrations et transmettre des événements à CloudTrail Lake. Pour démarrer, voir la section Utilisation de CloudTrail Lake du guide de l'utilisateur de CloudTrail.

La requête avancée d'AWS Config est recommandée pour les clients qui souhaitent regrouper et interroger les éléments de configuration (CI) d'AWS Config dans leur état actuel. Cela aide les clients en matière de gestion des stocks, de sécurité et d'intelligence opérationnelle, d'optimisation des coûts et de données de conformité. La requête avancée d'AWS Config est gratuite si vous êtes un client d'AWS Config. 

CloudTrail Lake prend en charge la couverture des requêtes pour les éléments de configuration AWS Config, y compris la configuration des ressources et l'historique de conformité. L'analyse de l'historique de configuration et de conformité des ressources avec les événements CloudTrail associés permet de déduire qui, quand et ce qui a changé sur ces ressources. Cela facilite l'analyse des causes profondes des incidents liés à l'exposition à la sécurité ou à la non-conformité. CloudTrail Lake est recommandé si vous devez agréger et interroger des données sur des événements CloudTrail et des éléments de configuration historiques.  

CloudTrail Lake n'ingère pas les éléments de configuration AWS Config qui ont été générés avant la configuration de CloudTrail Lake. Les éléments de configuration récemment enregistrés dans AWS Config, à l'échelle d'un compte ou de l'organisation, seront autorisés à être transférés vers le stockage de données d'événement CloudTrail Lake indiqué. Ces éléments de configuration seront disponibles dans Lake pour être interrogés pendant la période de rétention spécifiée et pourront être utilisés pour l'analyse des données historiques. 

Si de multiples changements de configuration sont tentés sur une seule ressource par plusieurs utilisateurs en succession rapide, seul un élément de configuration peut être créé qui correspondrait à la configuration de l'état final de la ressource. Dans ce cas et dans d'autres scénarios similaires, il peut être impossible de fournir une corrélation à 100 % sur l'utilisateur qui a effectué les changements de configuration en interrogeant CloudTrail et les éléments de configuration pour un intervalle de temps et un identifiant de ressource spécifiques.

Oui. La fonction d'importation de CloudTrail Lake prend en charge la copie des journaux CloudTrail à partir d'un compartiment S3 qui stocke les journaux de plusieurs comptes (à partir d'un journal d'activité d'organisation) et de plusieurs régions AWS. Vous pouvez également importer des journaux à partir de comptes individuels et de journaux d'activité sur une seule région. La fonctionnalité d'importation vous permet également de spécifier une plage de dates d'importation, afin de n'importer que le sous-ensemble de journaux nécessaires au stockage et à l'analyse à long terme dans CloudTrail Lake. Après avoir consolidé vos journaux, vous pouvez exécuter des demandes sur vos journaux, depuis les événements les plus récents collectés après avoir activé CloudTrail Lake, jusqu'aux événements historiques transférés depuis vos journaux d'activité.

La fonction d'importation copie les informations du journal S3 vers CloudTrail Lake et laisse la copie originale dans S3 telle quelle.

Vous pouvez activer CloudTrail Lake pour n'importe quelle catégorie d'événements collectés par CloudTrail, et ce en fonction de vos exigences de dépannage internes. Les catégories d’événements sont : les événements de gestion qui consignent les activités de plan de contrôle, par exemple CreateBucket et TerminateInstances, ainsi que les événements de données qui consignent les activités de plan de données, par exemple GetObject et PutObject, ainsi que les événements d’activité réseau (en version préliminaire) qui capturent les actions API effectuées à l’aide de points de terminaison VPC depuis un VPC privé vers le service AWS. Vous n'avez pas besoin d'un abonnement aux journaux d'activité distinct pour chacune de ces catégories d'événements. Pour CloudTrail Lake, vous devrez choisir entre les options tarifaires de rétention extensible d'un an et de rétention de sept ans, ce qui aura un impact sur vos coûts, ainsi que sur la durée de conservation de vos événements. Vous pouvez consulter les données à tout moment. Dans les tableaux de bord CloudTrail Lake, nous prenons en charge l'interrogation des événements CloudTrail.

Vous pouvez quasi immédiatement commencer à interroger les activités qui ont lieu après l'activation de la fonction.

Les cas d'utilisation courants sont : l'investigation des incidents de sécurité, comme l'accès non autorisés ou la compromission d'informations utilisateur, et l'amélioration de votre posture de sécurité à travers la réalisation d'audits visant à établir régulièrement des bases de référence des autorisation utilisateur. Vous pouvez effectuer les audits nécessaires pour vous assurer que les utilisateurs autorisés apportent des modifications à vos ressources (par exemple, les groupes de sécurité), et suivre toute modification non conforme aux bonnes pratiques de votre organisation. Par ailleurs, vous pouvez suivre les actions entreprises sur vos ressources et évaluer les modifications ou suppressions. Vous pouvez également obtenir des informations détaillées sur vos factures de services AWS, notamment l'abonnement des utilisateurs IAM aux services.

Si vous êtes un client existant ou nouveau de CloudTrail, vous pouvez immédiatement commencer à utiliser les capacités de CloudTrail Lake pour exécuter des requêtes en activant la fonctionnalité via l'API ou la console CloudTrail. Sélectionnez l'onglet CloudTrail Lake dans le panneau de gauche de la console CloudTrail, puis cliquez sur le bouton Create Event Data Store (Créer un magasin de données d'événements). Lorsque vous créez un magasin de données d'événements, vous choisissez l'option de tarification que vous souhaitez utiliser pour le magasin de données d'événements. L'option de tarification détermine le coût d'ingestion des événements ainsi que la période de conservation maximale et par défaut pour le magasin de données des événements. Ensuite, faites des sélections d'événements parmi toutes les catégories d'événements enregistrés par CloudTrail (événements de gestion et de données) pour commencer.

En outre, pour vous aider à visualiser vos principaux événements CloudTrail Lake, vous pouvez commencer à utiliser les tableaux de bord CloudTrail Lake. Les tableaux de bord CloudTrail Lake sont des tableaux de bord préconstruits qui offrent une visibilité prête à l'emploi et des informations de premier ordre sur vos données d'audit et de sécurité, directement dans la console CloudTrail.

Oui. Vous pouvez mettre à jour l'option de tarification, passant d'une tarification de rétention sur sept ans à une tarification de rétention extensible sur un an dans le cadre de la configuration de la banque de données des événements. Vos données existantes resteront disponibles dans le magasin de données de l'événement pendant la période de conservation configurée. Ces données n'entraîneront aucun frais de conservation prolongé. Toutefois, toutes les données nouvellement ingérées seront soumises aux frais de rétention extensibles d'un an, à la fois pour l'ingestion et la conservation prolongée. 

Non. Nous ne prenons actuellement pas en charge la migration d'un magasin de données sur les événements d'un tarif de rétention extensible d'un an à un tarif de rétention de sept ans. Cependant, vous pourrez désactiver la journalisation pour le magasin de données d'événements actuel, tout en créant un nouveau magasin de données d'événements avec un tarif de conservation de sept ans pour les données nouvellement ingérées. Vous pourrez toujours conserver et analyser les données dans les deux magasins de données d'événements avec l'option tarifaire correspondante et la période de conservation configurée.

CloudTrail Lake est un lac d'audit qui aide les clients à répondre aux besoins de leurs cas d'utilisation en matière de conformité et d'audit. En fonction des mandats de leur programme de conformité, les clients doivent conserver les journaux d'audit pendant une durée spécifiée à compter de leur génération, indépendamment de la date à laquelle ils ont été intégrés dans CloudTrail Lake.

Non. Comme il s'agissait d'un événement historique avec une date d'événement dans le passé, cet événement sera conservé dans CloudTrail Lake pendant une période de conservation de 1 an à compter de la date de l'événement. La durée pendant laquelle cet événement sera stocké dans CloudTrail Lake sera donc inférieure à 1 an. 

Aujourd'hui, les tableaux de bord CloudTrail Lake prennent en charge la gestion et les événements de données de CloudTrail.

Les tableaux de bord sont désormais activés au niveau du compte et s'appliqueront à tous les magasins de données d'événements actifs sur ce compte pour lesquels la gestion CloudTrail ou les événements de données sont activés.

Les tableaux de bord CloudTrail Lake sont alimentés par les requêtes CloudTrail Lake. Lorsque vous activez les tableaux de bord CloudTrail Lake, les données analysées vous sont facturées. Consultez la page Tarification pour en savoir plus.

Non. Aujourd'hui, tous les tableaux de bord de CloudTrail Lake sont sélectionnés et prédéfinis, et ne peuvent pas être personnalisés.

Les ingénieurs d'audit et de conformité peuvent utiliser les tableaux de bord CloudTrail Lake pour suivre la progression des mandats de conformité tels que la migration vers TLS 1.2 et versions ultérieures. Les tableaux de bord CloudTrail Lake aideront les ingénieurs de sécurité à suivre de près les activités sensibles des utilisateurs, telles que la suppression de traces ou les erreurs répétées de refus d'accès. Les ingénieurs d'exploitation du cloud peuvent obtenir une visibilité sur des problèmes tels que les principales erreurs de limitation des services à partir du tableau de bord organisé.

Agrégation des fichiers journaux

Oui. Vous pouvez configurer un compartiment S3 en tant que destination de plusieurs comptes. Pour obtenir des instructions détaillées, consultez la section relative à l'agrégation de fichiers journaux dans un seul compartiment S3 du guide de l'utilisateur CloudTrail.

Intégration à CloudWatch Logs

L'intégration de CloudTrail à CloudWatch Logs envoie les événements de gestion et de données enregistrés par CloudTrail à un journal des flux CloudWatch Logs dans le groupe de jourans CloudWatch Logs que vous indiquez.

Cette intégration vous permet de recevoir des notifications SNS sur l'activité relative au compte enregistrée par CloudTrail. Par exemple, vous pouvez créer des alarmes CloudWatch pour contrôler les appels d'API qui créent, modifient ou suppriment des groupes de sécurité et des listes de contrôle d'accès (ACL) réseau.

Vous pouvez activer l'intégration de CloudTrail à CloudWatch Logs à partir de la console CloudTrail en spécifiant un groupe de journaux CloudWatch Logs et un rôle IAM. Vous pouvez également utiliser les kits de développement logiciel AWS ou l'interface de ligne de commande AWS pour activer l'intégration.

Une fois l'intégration activée, CloudTrail envoie en continu l'activité relative au compte à un flux de journaux CloudWatch Logs dans le groupe de journaux CloudWatch Logs que vous avez indiqué. CloudTrail continue également de transmettre les journaux au compartiment S3 comme auparavant.

Cette intégration est prise en charge dans les régions dans lesquelles CloudWatch Logs est pris en charge. Pour en savoir plus, consultez la section Régions et points de terminaison du document Références générales AWS.

CloudTrail endosse le rôle IAM que vous spécifiez pour envoyer l'activité relative au compte à CloudWatch Logs. Vous limitez le rôle IAM seulement aux autorisations nécessaires pour transmettre les événements au flux de journaux CloudWatch Logs. Pour consulter la politique des rôles IAM, accédez au guide de l'utilisateur de la documentation CloudTrail.

Une fois l'intégration de CloudTrail à CloudWatch Logs activée, des frais standard CloudWatch Logs et CloudWatch vous sont facturés. Pour plus de détails, accédez à la page Tarification de CloudWatch. 

Chiffrement de fichiers journaux CloudTrail avec AWS KMS

Le chiffrement de fichiers journaux CloudTrail reposant sur des SSE-KMS vous permet d'ajouter une couche supplémentaire de sécurité aux fichiers journaux CloudTrail transmis à un compartiment S3 en les chiffrant avec une clé KMS. Par défaut, CloudTrail chiffre les fichiers journaux transmis au compartiment S3 à l'aide du chiffrement côté serveur S3.

Si vous utilisez des SSE-KMS, S3 déchiffre automatiquement les fichiers journaux. Vous n'avez donc aucune modification à apporter à votre application. Comme toujours, vous devez vérifier que votre application dispose des autorisations appropriées, à savoir S3 GetObject et AWS KMS Decrypt.

Pour configurer le chiffrement des fichiers journaux, vous pouvez utiliser AWS Management Console, la CLI AWS ou les kits SDK AWS. Pour consulter les instructions détaillées, reportez-vous à la documentation .

Après avoir configuré le chiffrement reposant sur des SSE-KMS, vous devrez vous acquitter des frais standard d'AWS KMS. Pour plus de détails, accédez à la page Tarification d'AWS KMS.

Validation de l'intégrité des fichiers journaux CloudTrail

La fonction de validation de l'intégrité des fichiers journaux CloudTrail vous permet de déterminer si un fichier journal CloudTrail a été modifié ou non, ou s'il a été supprimé après avoir été transmis par CloudTrail au compartiment S3 spécifié.

Vous pouvez utiliser la fonction de validation de l'intégrité des fichiers journaux pour renforcer vos procédures d'audit et de sécurité.

Vous pouvez activer la fonction de validation de l'intégrité des fichiers journaux CloudTrail depuis la console, CLI AWS ou les kits SDK AWS.

Une fois que vous avez activé la fonction de validation de l'intégrité des fichiers journaux, CloudTrail transmet des fichiers de résumé toutes les heures. Les fichiers de résumé contiennent des informations sur les fichiers journaux qui ont été transmis à votre compartiment S3 et des valeurs de hachage pour ces fichiers journaux. Ils contiennent les signatures numériques pour le fichier de résumé précédent et la signature numérique pour le ficher de résumé actuel dans la section des métadonnées S3. Pour en savoir plus sur les fichiers de résumé, les signatures numériques et les valeurs de hachage, reportez-vous à la documentation relative à CloudTrail .

Les fichiers de résumé sont transmis au même compartiment S3 que celui dans lequel les fichiers journaux sont envoyés. Néanmoins, ils sont placés dans un dossier différent afin que vous puissiez mettre en application les politiques de contrôle d'accès détaillées. Pour plus de détails, consultez la section relative à la structure des fichiers de résumé dans la documentation relative à CloudTrail .

Pour valider l'intégrité d'un fichier journal ou d'un fichier de résumé, vous pouvez utiliser la CLI AWS. Vous pouvez également créer vos propres outils de validation. Pour plus de détails concernant l'utilisation de la CLI AWS en vue de valider l'intégrité d'un fichier journal, consultez la documentation relative à CloudTrail .

Oui. CloudTrail transmettra les fichiers de résumé issus de toutes les régions et de plusieurs comptes dans le même compartiment S3.

Bibliothèque de traitement CloudTrail

La bibliothèque de traitement CloudTrail est une bibliothèque Java qui permet de créer facilement une application qui lit et traite des fichiers journaux CloudTrail. Vous pouvez télécharger la bibliothèque de traitement AWS CloudTrail depuis GitHub.

La bibliothèque de traitement CloudTrail fournit des fonctionnalités permettant de gérer des tâches telles que l'interrogation continue d'une file d'attente SQS, la lecture et l'analyse des messages Amazon Simple Queue Service (Amazon SQS). Elle peut aussi télécharger des fichiers journaux stockés dans S3, analyser et la sérialiser des événements des fichiers journaux de manière tolérante aux pannes. Pour plus d'informations, accédez au guide de l'utilisateur de la documentation CloudTrail. 

Vous avez besoin de aws-java-sdk version 1.9.3 et de Java 1.7 ou version ultérieure.

Tarification

CloudTrail vous permet d'afficher, de rechercher et de télécharger gratuitement les événements de gestion de votre compte pour les 90 derniers jours.. Vous pouvez transmettre gratuitement une copie de vos événements de gestion en cours à S3 en créant un journal d'activité. Une fois que le journal d'activité CloudTrail est configuré, les frais S3 s'appliquent en fonction de votre utilisation.

Vous pouvez fournir des copies supplémentaires d’événements, y compris des événements de données et des événements d’activité réseau (en version préliminaire), à l’aide de pistes. Vous serez facturé pour les événements de données, les événements d’activité de réseau et les copies supplémentaires d’événements de gestion. En savoir plus sur la page de tarification.

Non. La première copie des événements de gestion est enregistrée gratuitement dans chaque région.

Oui. Vous n'aurez que les événements de données à payer. La première copie des événements de gestion est enregistrée gratuitement. 

Lorsque vous utilisez CloudTrail Lake, vous payez l'ingestion et le stockage en même temps, la facturation étant basée sur la quantité de données non compressées ingérées et la quantité de données compressées stockées. Lorsque vous créez un magasin de données d'événements, vous choisissez l'option de tarification que vous souhaitez utiliser pour le magasin de données d'événements. L'option de tarification détermine le coût d'ingestion des événements ainsi que la période de conservation maximale et par défaut pour le magasin de données des événements. Les frais de requête sont basés sur les données compressées que vous choisissez d'analyser. En savoir plus sur la page de tarification .

Oui. La taille moyenne de chaque événement CloudTrail est d'environ 1 500 octets. À l'aide de cette cartographie, vous pourrez estimer l'ingestion de CloudTrail Lake sur la base de l'utilisation de CloudTrail le mois dernier dans les pistes par nombre d'événements.

Partenaires

Nombre de nos partenaires proposent des solutions intégrées pour l'analyse des fichiers journaux CloudTrail. Ces solutions incluent des fonctionnalités telles que le suivi des modifications, la résolution des problèmes et l'analyse de sécurité. Pour en savoir plus, consultez la section partenaires CloudTrail .

Pour démarrer votre intégration, vous pouvez consulter le Guide d'intégration des partenaires. Contactez votre équipe de développement partenaire ou votre architecte de solutions partenaires pour qu'ils vous mettent en relation avec l'équipe CloudTrail Lake afin d'obtenir plus d'informations et des réponses à vos questions.

Autre

Non. L'activation de CloudTrail n'a aucun effet sur les performances des ressources AWS ou sur la latence des appels d'API.