Comment remplacer un journal d’activité CloudTrail par un journal d’activité AWS Organizations ?

Dernière mise à jour : 09/02/2022

Au lieu de créer un nouveau journal d’activité d'organisation AWS Organizations, je souhaite remplacer un journal d’activité AWS CloudTrail existant par un journal d’activité d'organisation. Comment puis-je remplacer un journal d’activité CloudTrail par un journal d’activité d’organisation

Résolution

(Prérequis) Activer l'accès aux services de confiance avec CloudTrail

Suivez les instructions dans la section Activer l'accès aux services de confiance avec CloudTrail du guide de l’utilisateur AWS Organizations.

Pour plus d'informations sur l'intégration de CloudTrail dans Organisations, consultez AWS CloudTrail et AWS Organizations.

Mettre à jour la politique de compartiment Amazon S3 pour des fichiers journaux CloudTrail afin d'autoriser les opérations suivantes :

  • Le journal d’activité CloudTrail pour envoyer les fichiers journaux vers le compartiment Amazon Simple Storage Service (Amazon S3).
  • Le journal d’activité CloudTrail pour envoyer les journaux des comptes de l'organisation vers le compartiment Amazon S3.

1.    Ouvrez la console Amazon S3.

2.    Choisissez Compartiments.

3.    Dans Nom du compartiment, choisissez le compartiment S3 qui contient les fichiers journaux CloudTrail.

4.    Choisissez Autorisations. Choisissez Politique de compartiment.

5.    Copiez et collez l'exemple de déclaration de politique de compartiment suivant dans l'éditeur de politiques, puis choisissez Enregistrer.

Important : Remplacez primary-account-id par votre ID de compte Organizations principal. Remplacez bucket-name par votre nom de compartiment S3. Remplacez org-id par votre ID Organizations. Remplacez your-region par votre région AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/primary-account-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/org-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

(Facultatif) Configurez les autorisations pour surveiller les fichiers journaux CloudTrail de l'organisation à l'aide de CloudWatch Logs.

Remarque : Les étapes suivantes sont requises uniquement si vous surveillez les fichiers journaux CloudTrail avec Amazon CloudWatch Logs.

1.    Assurez-vous que toutes les fonctions de l’organisation sont activées.

2.    Suivez les instructions Activer CloudTrail en tant que service de confiance dans AWS Organizations.

3.    Ouvrez la console AWS Identity and Access Management (IAM).

4.    Sélectionnez Politiques.

5.    Pour Nom de la politique, choisissez la politique IAM associée au compte AWS principal du groupe CloudWatch Logs.

6.    Choisissez Modifier la politique, copiez et collez l'exemple de politique IAM suivant, puis choisissez Enregistrer.

Important : remplacez your-region par votre région AWS. Remplacez primary-account-id par votre ID de compte Organizations principal. Remplacez org-id par votre ID d’organisation. Remplacez log-group-name par votre nom de groupe de journaux CloudWatch.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        }
    ]
}

7.    Ouvrez la console CloudTrail.

8.    Dans le panneau de navigation, choisissez Journaux d'activité.

9.    Pour Nom du journal d’activité, choisissez votre nom de journal d’activité.

10.    Pour les journaux CloudWatch, choisissez l'icône de modification. Puis, sélectionnez Continuer.

11.    Dans Résumé du rôle, choisissez Autoriser.

Actualiser un journal d’activité CloudTrail avec un journal d’activité d’organisation

1.    Ouvrez la console CloudTrail, puis sélectionnez Trails (Journaux de suivi) dans le volet de navigation.

2.    Pour Nom du journal d’activité, choisissez votre journal d’activité.

3.    Pour Paramètres du journal d’activité, choisissez l'icône de modification.

4.    Pour Appliquer le journal d’activité à mon organisation, choisissez Oui. Ensuite, choisissez Enregistrer.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?