Comment remplacer mon journal de suivi CloudTrail par un journal de suivi AWS Organizations ?

Date de la dernière mise à jour : 14/08/2020

Je souhaite remplacer mon journal de suivi AWS CloudTrail par un journal de suivi AWS Organizations au lieu de créer un journal de suivi.  

Résolution

Modifiez les autorisations de stratégie de compartiment Amazon Simple Storage Service (Amazon S3) pour vos fichiers journaux CloudTrail. Ensuite, modifiez votre journal de suivi CloudTrail dans le compte principal AWS et remplacez-le par un journal de suivi Organizations.

Si vous ne l'avez pas déjà fait, suivez les instructions pour préparer la création d'un journal de suivi pour votre organisation.

Modifier votre politique de compartiment Amazon S3

1.    Ouvrez la console Amazon S3, puis choisissez les Buckets (Compartiments).

2.    Dans Bucket name (Nom du compartiment), choisissez le compartiment S3 qui contient vos fichiers journaux CloudTrail.

3.    Sélectionnez Permissions (Autorisations), puis Bucket Policy (Politique de compartiment).

4.    Copiez et collez l'exemple de politique de compartiment suivant, puis sélectionnez Save (Enregistrer).

Remarque : remplacez les valeurs suivantes :
Remplacez primary-account-id par votre ID de compte principal Organizations.
Remplacez bucket-name par votre nom de compartiment S3.
Remplacez org-id par votre ID Organizations.
Remplacez your-region par votre région AWS.  

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/primary-account-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/org-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

Modifiez votre rôle AWS Identity and Access Management (IAM).

Remarque : ces étapes sont obligatoires uniquement si vous surveillez les fichiers journaux CloudTrail avec Amazon CloudWatch Logs.

1.    Assurez-vous que toutes les fonctions sont activées pour votre organisation.

2.    Suivez les instructions pour configurer Organizations pour approuver CloudTrail en tant que service approuvé.

3.    Ouvrez la console IAM, puis choisissez Policies (Stratégies).

4.    Dans Nom de la stratégie, choisissez la stratégie IAM associée à votre compte principal AWS de groupe de journaux CloudWatch.

5.    Sélectionnez Modifier la stratégie, copiez et collez l'exemple de stratégie suivant, puis sélectionnez Enregistrer.

Remarque : remplacez les valeurs suivantes :
Remplacez your-region par votre région AWS.
Remplacez primary-account-id par votre ID de compte principal Organizations.
Remplacez org-id par votre ID Organizations.
Remplacez nom-groupe-journaux par le nom du groupe de journaux CloudWatch.  

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        }
    ]
}

6.    Ouvrez la console CloudTrail, puis sélectionnez Trails (Journaux de suivi) dans le volet de navigation.

7.    Dans Trail name (Nom du journal de suivi), choisissez votre journal de suivi.

8.    Dans Journaux CloudWatch, choisissez l'icône de modification, puis Continuer.

9.    Dans Résumé du rôle, sélectionnez Autoriser.  

Mettre à jour votre journal de suivi CloudTrail vers un journal de suivi Organizations

1.    Ouvrez la console CloudTrail, puis sélectionnez Trails (Journaux de suivi) dans le volet de navigation.

2.    Dans Trail name (Nom du journal de suivi), choisissez votre journal de suivi.

3.    Dans Trail settings, (Paramètres de journal de suivi), choisissez l'icône de modification.

4.    Dans Appliquer un journal de suivi à mon organisation, sélectionnez Oui, puis Enregistrer.  


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?