- Gestion et gouvernance›
- AWS CloudTrail›
- Questions fréquentes (FAQ)
FAQ sur AWS CloudTrail
Sujets de la page
Questions d'ordre généralQuestions d'ordre général
Qu'est-ce qu'AWS CloudTrail ?
CloudTrail permet l'audit, la surveillance de la sécurité et le dépannage opérationnel en suivant l'activité des utilisateurs et l'utilisation des API. CloudTrail enregistre, contrôle en permanence et conserve l'activité du compte liée aux actions effectuées sur votre infrastructure AWS, ce qui vous permet de contrôler le stockage, l'analyse et les actions de remédiation.
Quels sont les bénéfices de CloudTrail ?
CloudTrail vous aide à prouver la conformité, à améliorer la posture de sécurité et à consolider les enregistrements d'activité entre les régions et les comptes. CloudTrail offre une meilleure visibilité sur l'activité des utilisateurs par le biais de l'enregistrement des actions effectuées sur le compte. CloudTrail enregistre des informations importantes pour chaque action dont l'identité de la personne ayant effectué la demande, les services utilisés, les paramètres des actions ainsi que les éléments de réponse renvoyés par le service AWS. Ces informations vous permettent de suivre les modifications apportées aux ressources AWS et de résoudre les problèmes opérationnels. CloudTrail facilite la mise en conformité avec les politiques internes et les normes réglementaires. Pour en savoir plus, consultez le livre blanc sur la conformité d'AWS, intitulé Sécurité à grande échelle : journalisation dans AWS.
À qui CloudTrail est-il destiné ?
Utilisez CloudTrail si vous devez auditer l'activité, contrôler la sécurité ou résoudre des problèmes opérationnels.
Mise en route
Je suis un ancien ou nouveau client d'AWS et je ne possède pas d'installation CloudTrail. Faut-il que j'active ou que je configure quoi que ce soit pour consulter l'activité de mon compte ?
Non, aucune installation n'est requise pour commencer à consulter l'activité de votre compte. Vous pouvez vous rendre sur la console AWS CloudTrail ou la CLI AWS pour afficher l'activité de votre compte au cours des 90 derniers jours.
L'historique des événements CloudTrail affiche-t-il toutes les activités du compte dans mon compte ?
AWS CloudTrail n'affiche que les résultats de l'historique des événements CloudTrail pour la région actuelle que vous affichez pour les 90 derniers jours et prend en charge une gamme de services AWS. Ces événements sont limités aux événements de gestion, de création, de modification et de suppression d'appels d'API et d'activité du compte. Pour un registre complet de l'activité du compte, y compris tous les événements de gestion, les événements de données et les activités en lecture seule, vous devez configurer un journal d'activité CloudTrail.
Quels filtres de recherche puis-je utiliser pour afficher l'activité du compte ?
Vous pouvez préciser la plage de temps et l'un des attributs suivants : nom de l'événement, nom de l'utilisateur, nom de la ressource, source de l'événement, ID de l'événement et type de ressource.
Puis-je utiliser la commande de CLI lookup-events, même si je n'ai pas configuré de journal d'activité ?
Oui. Vous pouvez accéder à la console CloudTrail ou utiliser l'API/CLI CloudTrail pour afficher les 90 derniers jours de l'activité du compte.
Quelles sont les fonctions supplémentaires de CloudTrail disponibles après la création d'un journal d'activité ?
Configurez un journal d'activité CloudTrail pour diffuser les événements CloudTrail vers Amazon Simple Storage Service (Amazon S3), Amazon CloudWatch Logs et Amazon CloudWatch Events. Cette approche vous permet d'utiliser ces fonctions pour archiver, analyser et répondre aux changements de ressources AWS.
Puis-je restreindre l'accès des utilisateurs à l'historique des événements de CloudTrail ?
Oui. CloudTrail s'intègre à AWS Identity and Access Management (IAM), ce qui permet de contrôler l'accès à CloudTrail et aux autres ressources AWS dont CloudTrail a besoin. Cela inclut la possibilité de restreindre les autorisations d'affichage et de recherche de l'activité du compte. Supprimez « cloudtrail:LookupEvents » de la politique IAM des utilisateurs pour empêcher cet utilisateur IAM de visualiser l'activité du compte.
Y a-t-il des coûts associés à l'activation sur le compte de l'historique des événements CloudTrail à sa création ?
Aucun coût n'est demandé pour afficher l'activité du compte ou effectuer une recherche dans celui-ci avec l'historique des événements CloudTrail.
Puis-je désactiver l'historique des événements CloudTrail de mon compte ?
Pour chaque journal d'activités CloudTrail créé, vous pouvez arrêter la journalisation ou supprimer les journaux. Cette action arrête alors également la diffusion des activités du compte au compartiment Amazon S3 que vous avez désigné dans le cadre de la configuration de votre journal d'activité, ainsi que la diffusion vers les CloudWatch Logs s'ils sont configurés. L'activité du compte pour les 90 derniers jours continuera d'être récupérée et sera visible dans la console CloudTrail et via AWS Command Line Interface (AWS CLI).
Services et régions pris en charge
Quels sont les services pris en charge par CloudTrail ?
CloudTrail enregistre l'activité relative au compte et les événements de service depuis la plupart des services AWS. Pour obtenir la liste des services pris en charge, consultez la section Intégrations et services pris en charge par CloudTrail du guide de l'utilisateur CloudTrail.
Les appels d'API effectués depuis AWS Management Console sont-ils enregistrés ?
Oui. CloudTrail enregistre les appels d'API effectués par chaque client. AWS Management Console, les kits de développement logiciel (SDK) AWS, les outils de ligne de commande et les services AWS de plus haut niveau émettent des appels d'opérations d'API AWS, qui sont donc enregistrés.
Où mes fichiers journaux sont-ils stockés et traités avant d'être transmis au compartiment S3 ?
Les informations sur l'activité des services avec des points de terminaison régionaux (comme Amazon Elastic Compute Cloud [Amazon EC2] ou Amazon Relational Database Service [Amazon RDS]) sont capturées et traitées dans la même région que l'action. Elles sont ensuite transmises à la région associée à votre compartiment S3. Les informations sur l'activité des services avec des points de terminaison uniques, tels que IAM et AWS Security Token Service (Amazon STS), sont capturées dans la région où se trouve le point de terminaison. Elles sont ensuite traitées dans la région dans laquelle le relevé CloudTrail est configuré et transmises à la région associée à votre compartiment S3.
Application d'un suivi à toutes les régions
Que signifie l'application d'un journal d'activité à toutes les régions AWS ?
L'application d'un journal d'activités à toutes les régions AWS consiste à créer un journal d'activités qui enregistrera l'activité du compte AWS dans toutes les régions dans lesquelles vos données sont stockées. Ce réglage s'applique également à toutes les nouvelles régions ajoutées. Pour plus de détails sur les différentes régions et partitions, consultez la page Amazon Resource Name et espaces de noms du service AWS.
Quels sont les bénéfices de l'application d'un journal d'activité à toutes les régions ?
Vous pouvez créer et gérer un journal d'activité dans toutes les régions de la partition avec un appel d'API ou en quelques sélections. Vous recevrez un journal d'activité du compte réalisées sur le compte AWS dans toutes les régions et consignées dans un compartiment S3 ou un groupe de journaux CloudWatch Logs. Au lancement d'une nouvelle région par AWS, vous recevrez automatiquement les fichiers journaux contenant l'historique des événements dans cette nouvelle région.
Comment puis-je appliquer un journal d'activité à toutes les régions ?
Dans la page de configuration du journal d'activité de la console CloudTrail, cliquez sur Yes (Oui) pour activer le paramètre Apply to all regions (Appliquer à toutes les régions). Si vous utilisez les kits SDK ou la CLI AWS, configurez IsMultiRegionTrail sur True (Vrai).
Que se passe-t-il quand un journal d'activité est appliqué à toutes les régions ?
Quand un journal d'activité est appliqué à toutes les régions, CloudTrail crée un nouveau journal d'activité en dupliquant la configuration du journal d'activité. CloudTrail enregistre et traite alors les fichiers journaux dans chaque région et envoie les fichiers journaux contenant des activités du compte de toutes les régions vers un même compartiment S3 ou un même groupe de journaux CloudWatch Logs. Si vous avez précisé une rubrique Amazon Simple Notification Service (Amazon SNS) optionnelle, CloudTrail enverra les notifications Amazon SNS pour tous les fichiers journaux adressés à une même rubrique SNS.
Puis-je appliquer un journal d'activité existant à toutes les régions ?
Oui. Oui, vous pouvez appliquer un suivi existant à toutes les régions. Quand un suivi existant est appliqué à toutes les régions, CloudTrail crée un nouveau journal d'activité dans chaque région. Si vous avez déjà créé des journaux d'activité dans d'autres régions, vous pouvez les afficher, les modifier et les supprimer depuis la console CloudTrail.
Combien de temps faut-il pour que CloudTrail duplique la configuration d'un journal d'activité dans toutes les régions ?
Il faut généralement moins de 30 secondes pour dupliquer la configuration d'un journal d'activité dans toutes les régions.
Utilisation de plusieurs suivis
Combien de suivis puis-je créer dans une même région ?
Vous pouvez créer jusqu'à cinq suivis dans une même région. Si un journal d'activité est appliqué à toutes les régions, il existera dans chaque région et comptera à chaque fois comme un journal d'activité.
Quel est l'avantage de créer plusieurs journaux d'activité dans une même région ?
En créant plusieurs journaux d'activité, vous permettez à différente parties prenantes, par exemple les administrateurs de sécurité, les développeurs de logiciels et les auditeurs informatiques de créer et de gérer leurs propres journaux d'activité. Ainsi, un administrateur de sécurité peut créer un journal d'activité appliqué à toutes les régions et configurer le chiffrement avec une clé Amazon Key Management Service (Amazon KMS). Un développeur peut créer un journal d'activité appliqué à une région pour résoudre des problèmes de fonctionnement.
Les autorisations de niveau ressource sont-elles prises en charge par CloudTrail ?
Oui. Vous pouvez, à l'aide des autorisations de niveau ressource, écrire des politiques détaillées de contrôle d'accès pour autoriser ou refuser l'accès à un journal d'activité spécifique pour certains utilisateurs. Pour plus de détails, consultez la documentation de CloudTrail.
Sécurité et expiration
Comment puis-je sécuriser les fichiers journaux CloudTrail ?
Par défaut, les fichiers journaux CloudTrail sont chiffrés avec l'option server side encryption (SSE) d'Amazon S3, puis placés dans le compartiment S3. Vous pouvez contrôler l'accès aux fichiers journaux en appliquant des stratégies IAM ou de compartiment S3. Pour ajouter un niveau de sécurité, activez la fonction Supprimer MFA (multi-factor authentication) Amazon S3 pour le compartiment S3. Pour en savoir plus sur la création et la mise à jour d'un journal d'activité, consultez la documentation relative à CloudTrail.
Où puis-je télécharger un exemple de politique relative aux compartiments S3 et une politique relative aux rubriques SNS ?
Vous pouvez télécharger un exemple de stratégie relative aux compartiments S3 et une stratégie relative aux rubriques SNS à partir du compartiment S3 CloudTrail. Vous devez mettre à jour ces exemples de stratégies avec vos informations avant de les appliquer au compartiment S3 ou à la rubrique SNS.
Combien de temps puis-je stocker mes fichiers journaux d'activité ?
Vous contrôlez les stratégies de conservation des fichiers journaux CloudTrail. Par défaut, les fichiers journaux sont stockés pendant une durée indéfinie. Vous pouvez utiliser des règles de gestion du cycle de vie des objets S3 pour définir votre propre stratégie de conservation. Par exemple, vous avez la possibilité de supprimer les anciens fichiers journaux ou de les archiver dans Amazon Simple Storage Service Glacier (Amazon S3 Glacier).
Message des événements, ponctualité et fréquence des transmissions
Quelles sont les informations disponibles dans un événement ?
Un événement contient des informations concernant l'activité associée : qui a effectué la requête, les services utilisés, les actions réalisées et les paramètres pour cette action, ainsi que les éléments de réponse renvoyés par le service AWS. Pour en savoir plus, consultez la section Référence des événements de journaux CloudTrail du guide de l'utilisateur.
Combien de temps faut-il à CloudTrail pour transmettre un événement pour un appel d'API ?
En règle générale, CloudTrail transmet un événement dans les 5 minutes suivant l'appel d'API. Pour plus d'informations sur le fonctionnement de CloudTrail, cliquez ici.
À quelle fréquence CloudTrail transmet-il les fichiers journaux à mon compartiment S3 ?
CloudTrail transmet les fichiers journaux au compartiment S3 toutes les cinq minutes environ. CloudTrail ne transmet pas de fichiers journaux si aucun appel d'API n'est effectué sur votre compte.
Puis-je recevoir une notification lorsque des fichiers journaux sont transmis au compartiment S3 ?
Oui. Vous pouvez activer les notifications Amazon SNS pour réagir immédiatement lors de la transmission de nouveaux fichiers journaux.
Je crois que l'un de mes fichiers journaux contient plusieurs événements dupliqués. Comment savoir quels événements sont uniques ?
Bien que cela soit rare, vous pouvez recevoir des fichiers journaux contenant un ou plusieurs événements dupliqués. Les événements dupliqués porteront le même eventID. Pour plus d'informations sur le champ eventID, consultez le contenu des enregistrements CloudTrail.
Que se passe-t-il si CloudTrail est activé pour le compte, mais que le compartiment S3 n'est pas configuré avec la politique adéquate ?
Les fichiers journaux CloudTrail sont transmis conformément aux stratégies des compartiments S3 que vous avez mises en place. Si les politiques relatives aux compartiments sont mal configurées, CloudTrail ne pourra pas transmettre les fichiers journaux.
Est-il possible de recevoir des événements dupliqués ?
CloudTrail est conçu pour prendre en charge au moins une diffusion des événements auxquels vous êtes abonné vers les compartiments S3 des clients. Dans certains cas, il est possible que CloudTrail diffuse le même événement plusieurs fois. Par conséquent, les clients peuvent remarquer des événements dupliqués.
Événements de données
Que sont les événements de données ?
Les événements de données donnent des informations sur les opérations de ressources (plans de données) effectuées sur ou dans les ressources. Les événements de données sont souvent des activités à fort volume et comprennent des opérations telles que les opérations de l'API de niveau d'objet S3 des Invoke API de fonctions AWS Lambda. Par défaut, les événements de données sont désactivés lorsque vous configurez un suivi. Pour enregistrer des événements de suivi CloudTrail, vous devez ajouter de manière explicite les ressources ou types de ressources pris en charge sur lesquels vous souhaitez recueillir des activités. Contrairement aux événements de gestion, les événements de données encourent des frais supplémentaires. Pour en savoir plus, consultez la page Tarification de CloudTrail.
Comment puis-je consommer les événements de données ?
Les événements de données enregistrés par CloudTrail sont transmis à S3 de la même manière que les événements de gestion. Lorsqu'ils sont activés, ces événements sont également disponibles dans CloudWatch Events.
Que sont les événements de données S3 ? Comment les enregistrer ?
Les événements de données S3 représentent les activités d'API sur les objets S3. Pour que CloudTrail enregistre ces actions, vous devez désigner un compartiment S3 dans la section des événements de données lorsque vous créez un nouveau suivi ou modifiez un suivi existant. Toute action d'API appliquée sur les objets dans le compartiment S3 désigné sera enregistrée par CloudTrail.
Que sont les événements de données Lambda ? Comment les enregistrer ?
Les événements de données Lambda enregistrent l'activité d'exécution des fonctions Lambda. Grâce aux événements de données Lambda, vous pouvez obtenir des détails sur l'exécution des fonctions Lambda. Les exemples d'exécution des fonctions Lambda incluent l'utilisateur ou le service IAM qui a effectué l'appel Invoke API, le moment où l'appel a été effectué et la fonction qui a été appliquée. Tous les événements de données Lambda sont déployés sur un compartiment S3 et CloudWatch Events. Vous pouvez activer la journalisation des événements de données Lambda à l'aide de la CLI ou de la console CloudTrail pour ensuite déterminer quelles fonctions Lambda sont ajoutées au journal en créant un nouveau journal d'activité ou en modifiant un journal d'activité existant.
Événements d’activité du réseau (en version préliminaire)
Que sont les événements d’activité du réseau (en version préliminaire) ?
Les événements d’activité du réseau enregistrent les actions de l’API AWS effectuées à l’aide de points de terminaison d’un VPC à partir d’un VPC privé vers le service AWS et vous aident à répondre aux cas d’utilisation des enquêtes de sécurité du réseau. Cela inclut les appels d’API AWS qui ont passé avec succès la stratégie de point de terminaison d’un VPC et ceux dont l’accès a été refusé. Contrairement aux événements de gestion et de données qui sont transmis à la fois à l’appelant de l’API et au propriétaire de la ressource, les événements d’activité réseau ne sont transmis qu’au propriétaire du point de terminaison d’un VPC. Pour enregistrer des événements d’activité réseau, vous devez les activer explicitement lors de la configuration de votre piste ou de votre magasin de données d’événements et choisir la ou les sources d’événements du ou des services AWS sur lesquels vous souhaitez collecter des activités. Vous pouvez également ajouter des filtres supplémentaires, tels que le filtrage par ID de point de terminaison d’un VPC ou l’enregistrement des seules erreurs d’accès refusé. Les événements liés à l’activité du réseau entraînent des frais supplémentaires. Pour en savoir plus, consultez la page Tarification de CloudTrail.
En quoi les événements d’activité du réseau pour les points de terminaison d’un VPC sont-ils différents des journaux de flux VPC ?
Les journaux de flux VPC vous permettent de collecter les informations relatives au trafic IP entrant et sortant dans les interfaces réseau de votre VPC. Les données des journaux de flux peuvent être publiées dans les emplacements suivants : Amazon CloudWatch Logs, Amazon S3 ou Amazon Data Firehose. Les événements d’activité du réseau pour les points terminaison d’un VPC capturent les actions de l’API AWS effectuées à l’aide des points terminaison d’un VPC depuis un VPC privé vers le service AWS. Vous savez ainsi qui accède aux fonctions de votre réseau, ce qui vous permet de mieux identifier les actions involontaires dans votre périmètre de données et d’y réagir. Vous pouvez consulter les journaux des actions qui ont été refusées en raison des stratégies relatives au point de terminaison d’un VPC ou utiliser ces événements pour valider l’impact de la mise à jour des stratégies existantes.
Administrateur délégué
Puis-je ajouter un administrateur délégué à mon organisation ?
Oui, CloudTrail permet désormais d'ajouter jusqu'à trois administrateurs délégués par organisation.
Qui est le propriétaire d'un journal d’activité d'organisation ou d'un magasin de données d'événements au niveau organisationnel créé par un administrateur délégué ?
Le compte gestionnaire restera le propriétaire de tous les journaux d'organisation ou magasins de données d'événements créés au niveau de l'organisation, qu'ils aient été créés par un compte administrateur délégué ou par un compte gestionnaire.
Dans quelles régions la prise en charge des administrateurs délégués est-elle disponible ?
Actuellement, la prise en charge des administrateurs délégués pour CloudTrail est disponible dans toutes les régions où AWS CloudTrail est disponible. Pour plus d'informations, consultez le tableau des régions AWS.
CloudTrail Insights
Que sont les événements CloudTrail Insights ?
Les événements CloudTrail Insights vous aident à identifier les activités inhabituelles dans vos comptes AWS : pics d'allocation de ressources, paquets d'actions AWS Identity and Access Management (IAM) ou failles dans les activités périodiques de maintenance. CloudTrail Insights utilise des modèles de machine learning (ML) qui contrôlent en permanence les événements de gestion d'écriture CloudTrail pour détecter des activités anormales.
Lorsqu'une activité anormale est détectée, les événements CloudTrail Insights sont affichés dans la console et transmis à CloudWatch Events, à votre compartiment S3 et éventuellement au groupe CloudWatch Logs. Cela facilite la création et l'intégration des alertes aux systèmes existants de gestion des événements et de flux de travail.
Quel type d'activité CloudTrail Insights aide-t-il à identifier ?
CloudTrail Insights détecte des activités inhabituelles en analysant les événements de gestion d'écriture CloudTrail dans un compte AWS et dans une région. Un événement inhabituel ou anormal est défini comme le volume d'appels de l'API AWS qui diffère de celui attendu d'un modèle de fonctionnement ou d'une ligne de base déjà établi. CloudTrail Insights s'adapte aux modifications de vos schémas d'exploitation standard en prenant en compte les tendances temporelles de vos appels API et en appliquant des lignes de base adaptatives lorsque les charges de travail évoluent.
CloudTrail Insights peut vous aider à détecter des applications ou des scripts défectueux. Il arrive parfois qu'un développeur modifie un script ou une application qui commence une boucle répétitive ou effectue un grand nombre d'appels vers des ressources non souhaitées, telles que des bases de données, des magasins de données ou d'autres fonctions. Souvent, ce comportement n'est pas remarqué avant le cycle de facturation de fin de mois, lorsque les coûts ont augmenté de manière inattendue ou en cas de panne ou de perturbation. Les événements CloudTrail Insights peuvent vous informer de ces modifications dans votre compte AWS, vous permettant ainsi de prendre rapidement des mesures correctives.
Comment CloudTrail Insights fonctionne-t-il avec les autres services AWS qui utilisent la détection d'anomalies ?
CloudTrail Insights identifie une activité opérationnelle inhabituelle dans vos comptes AWS, ce qui vous permet de résoudre les problèmes opérationnels tout en minimisant l'impact sur les opérations et les activités. Amazon GuardDuty se concentre sur l'amélioration de la sécurité de votre compte, fournissant une détection des menaces grâce à la surveillance de l'activité du compte. Amazon Macie est conçu pour améliorer la protection des données de votre compte en découvrant, en classant et en protégeant les données sensibles. Ces services offrent des protections complémentaires contre différents types de problèmes qui peuvent survenir dans votre compte.
Dois-je configurer CloudTrail pour que CloudTrail Insights fonctionne ?
Oui. Les événements CloudTrail Insights sont configurés sur des suivis individuels. Au moins un suivi doit donc être configuré. Lorsque vous activez des événements CloudTrail Insights pour un suivi, CloudTrail commence à surveiller les événements de gestion d'écriture capturés par ce suivi, à la recherche de modèles inhabituels. Si CloudTrail Insights détecte une activité inhabituelle, un événement CloudTrail Insights sera consigné dans la destination de livraison spécifiée dans la définition du journal d'activité.
Quels types d'événements CloudTrail Insights contrôle-t-il ?
CloudTrail Insights suit les activités inhabituelles pour les opérations API de gestion d'écriture.
Comment bénéficier de ce service ?
Vous pouvez activer les événements CloudTrail Insights sur des journaux d'activité individuels de votre compte à l'aide de la console, de la CLI ou du kit SDK. Vous pouvez également activer les événements CloudTrail Insights au sein de votre organisation à l'aide d'un journal d'activité d'organisation configuré dans votre compte de gestion AWS Organizations. Vous pouvez activer des événements CloudTrail Insights en sélectionnant le bouton radio dans la définition de votre journal d'activité.
CloudTrail Lake
Pourquoi utiliser CloudTrail Lake ?
CloudTrail Lake vous aide à examiner les incidents en interrogeant toutes les actions enregistrées par CloudTrail, les éléments de configuration enregistrés par AWS Config, les preuves provenant d'Audit Manager ou les événements provenant de sources autres que AWS. La solution simplifie la journalisation des incidents en éliminant les dépendances opérationnelles, et fournit des outils susceptibles d'aider à réduire votre dépendance aux pipelines complexes de processus de données qui couvrent plusieurs équipes. CloudTrail Lake ne requiert pas que vous migriez ou ingériez les journaux CloudTrail ailleurs, ce qui permet de garantir la fidélité des données et de réduire les problèmes liés aux limites de débit faible de vos journaux. La solution fournit également des latences quasi-temps réel, d'autant qu'elle est ajustée pour traiter des journaux structurés à volume élevé. L'investigation d'incidents s'en trouve ainsi simplifiée. Elle offre une expérience de requête multiattributs bien connue utilisant SQL, avec la possibilité de planifier et de gérer plusieurs requêtes simultanées. Pour les utilisateurs qui disposent de moins d’expérience avec SQL, la génération de requêtes en langage naturel est disponible pour faciliter la création de requêtes SQL, pour ainsi simplifier l’analyse des données. La possibilité de résumer les résultats des requêtes à l’aide de l’IA (en version préliminaire) améliore encore votre capacité à tirer des informations pertinentes de vos journaux d’activité et à enquêter efficacement sur les incidents. En outre, des tableaux de bord prédéfinis et personnalisés offrent des moyens intuitifs de visualiser et d'analyser vos données stockées dans les magasins de données d'événements directement depuis la console CloudTrail. En combinant ces fonctionnalités, CloudTrail Lake vous permet d'enquêter efficacement sur les incidents et d'obtenir des informations plus détaillées sur votre environnement AWS, tout en simplifiant vos processus de gestion des données.
Quelle relation existe-t-il entre cette fonctionnalité et d'autres services AWS et comment fonctionne-t-elle avec ces derniers ?
CloudTrail est la source canonique de journaux pour l'activité des utilisateurs et l'utilisation des API sur l'ensemble des services AWS. Vous pouvez utiliser CloudTrail Lake pour passer en revue l'activité sur les services AWS, et ce une fois que les journaux sont disponibles dans CloudTrail. Vous pouvez interroger et analyser l'activité des utilisateurs et les ressources impactées, et utiliser ces données pour résoudre les problèmes,comme l'identification des cybercriminels ou l'établissement d'une base de référence.
Comment puis-je ingérer des événements provenant de sources extérieures à AWS, telles que des applications personnalisées, des applications tierces ou d'autres clouds publics ?
Vous pouvez rechercher et ajouter des intégrations partenaires pour commencer à recevoir des événements d'activité provenant de ces applications en quelques étapes à l'aide de la console CloudTrail, sans avoir à créer et à gérer des intégrations personnalisées. Pour les sources autres que les intégrations partenaires disponibles, vous pouvez utiliser les nouvelles API CloudTrail Lake pour configurer vos propres intégrations et transmettre des événements à CloudTrail Lake. Pour démarrer, voir la section Utilisation de CloudTrail Lake du guide de l'utilisateur de CloudTrail.
Quand recommandez-vous d'utiliser la requête avancée d'AWS Config au lieu de CloudTrail Lake pour interroger les éléments de configuration d'AWS Config ?
La requête avancée d'AWS Config est recommandée pour les clients qui souhaitent regrouper et interroger les éléments de configuration (CI) d'AWS Config dans leur état actuel. Cela aide les clients en matière de gestion des stocks, de sécurité et d'intelligence opérationnelle, d'optimisation des coûts et de données de conformité. La requête avancée d'AWS Config est gratuite si vous êtes un client d'AWS Config.
CloudTrail Lake prend en charge la couverture des requêtes pour les éléments de configuration AWS Config, y compris la configuration des ressources et l'historique de conformité. L'analyse de l'historique de configuration et de conformité des ressources avec les événements CloudTrail associés permet de déduire qui, quand et ce qui a changé sur ces ressources. Cela facilite l'analyse des causes profondes des incidents liés à l'exposition à la sécurité ou à la non-conformité. CloudTrail Lake est recommandé si vous devez agréger et interroger des données sur des événements CloudTrail et des éléments de configuration historiques.
Si j'active l'ingestion d'éléments de configuration depuis AWS Config aujourd'hui dans CloudTrail Lake, CloudTrail Lake ingérera-t-il mes éléments de configuration historiques (générés avant la création de CloudTrail Lake) ou collectera-t-il uniquement les éléments de configuration nouvellement enregistrés ?
CloudTrail Lake n'ingère pas les éléments de configuration AWS Config qui ont été générés avant la configuration de CloudTrail Lake. Les éléments de configuration récemment enregistrés dans AWS Config, à l'échelle d'un compte ou de l'organisation, seront autorisés à être transférés vers le stockage de données d'événement CloudTrail Lake indiqué. Ces éléments de configuration seront disponibles dans Lake pour être interrogés pendant la période de rétention spécifiée et pourront être utilisés pour l'analyse des données historiques.
Puis-je toujours savoir quel utilisateur a effectué un changement de configuration particulier en interrogeant CloudTrail Lake ?
Si de multiples changements de configuration sont tentés sur une seule ressource par plusieurs utilisateurs en succession rapide, seul un élément de configuration peut être créé qui correspondrait à la configuration de l'état final de la ressource. Dans ce cas et dans d'autres scénarios similaires, il peut être impossible de fournir une corrélation à 100 % sur l'utilisateur qui a effectué les changements de configuration en interrogeant CloudTrail et les éléments de configuration pour un intervalle de temps et un identifiant de ressource spécifiques.
Si j'ai déjà utilisé des journaux d'activité, puis-je transférer des journaux CloudTrail existants dans mon magasin de données d'événements CloudTrail Lake existant ou nouveau ?
Oui. La fonction d'importation de CloudTrail Lake prend en charge la copie des journaux CloudTrail à partir d'un compartiment S3 qui stocke les journaux de plusieurs comptes (à partir d'un journal d'activité d'organisation) et de plusieurs régions AWS. Vous pouvez également importer des journaux à partir de comptes individuels et de journaux d'activité sur une seule région. La fonctionnalité d'importation vous permet également de spécifier une plage de dates d'importation, afin de n'importer que le sous-ensemble de journaux nécessaires au stockage et à l'analyse à long terme dans CloudTrail Lake. Après avoir consolidé vos journaux, vous pouvez exécuter des demandes sur vos journaux, depuis les événements les plus récents collectés après avoir activé CloudTrail Lake, jusqu'aux événements historiques transférés depuis vos journaux d'activité.
Cette capacité d'importation a-t-elle un impact sur le journal d'activité original dans S3 ?
La fonction d'importation copie les informations du journal S3 vers CloudTrail Lake et laisse la copie originale dans S3 telle quelle.
Quels événements CloudTrail puis-je interroger après avoir activé la fonction CloudTrail Lake ?
Vous pouvez activer CloudTrail Lake pour n'importe quelle catégorie d'événements collectés par CloudTrail, et ce en fonction de vos exigences de dépannage internes. Les catégories d’événements sont : les événements de gestion qui consignent les activités de plan de contrôle, par exemple CreateBucket et TerminateInstances, ainsi que les événements de données qui consignent les activités de plan de données, par exemple GetObject et PutObject, ainsi que les événements d’activité réseau (en version préliminaire) qui capturent les actions API effectuées à l’aide de points de terminaison VPC depuis un VPC privé vers le service AWS. Vous n'avez pas besoin d'un abonnement aux journaux d'activité distinct pour chacune de ces catégories d'événements. Pour CloudTrail Lake, vous devrez choisir entre les options tarifaires de rétention extensible d'un an et de rétention de sept ans, ce qui aura un impact sur vos coûts, ainsi que sur la durée de conservation de vos événements. Vous pouvez consulter les données à tout moment. Dans les tableaux de bord CloudTrail Lake, nous prenons en charge l'interrogation des événements CloudTrail.
Une fois que j'ai activé la fonction CloudTrail Lake, quel est le temps d'attente avant de commencer à écrire des requêtes ?
Vous pouvez quasi immédiatement commencer à interroger les activités qui ont lieu après l'activation de la fonction.
Citez des cas d'utilisation opérationnels et en matière de sécurité courants que je peux résoudre à l'aide de CloudTrail Lake.
Les cas d'utilisation courants sont : l'investigation des incidents de sécurité, comme l'accès non autorisés ou la compromission d'informations utilisateur, et l'amélioration de votre posture de sécurité à travers la réalisation d'audits visant à établir régulièrement des bases de référence des autorisation utilisateur. Vous pouvez effectuer les audits nécessaires pour vous assurer que les utilisateurs autorisés apportent des modifications à vos ressources (par exemple, les groupes de sécurité), et suivre toute modification non conforme aux bonnes pratiques de votre organisation. Par ailleurs, vous pouvez suivre les actions entreprises sur vos ressources et évaluer les modifications ou suppressions. Vous pouvez également obtenir des informations détaillées sur vos factures de services AWS, notamment l'abonnement des utilisateurs IAM aux services.
Comment démarrer avec CloudTrail ?
Si vous êtes un client existant ou nouveau de CloudTrail, vous pouvez immédiatement commencer à utiliser les capacités de CloudTrail Lake pour exécuter des requêtes en activant la fonctionnalité via l'API ou la console CloudTrail.
Sélectionnez l'onglet CloudTrail Lake dans le panneau de gauche de la console CloudTrail, puis cliquez sur le bouton Create Event Data Store (Créer un magasin de données d'événements). Lorsque vous créez un magasin de données d'événements, vous choisissez l'option de tarification que vous souhaitez utiliser pour le magasin de données d'événements. L'option de tarification détermine le coût d'ingestion des événements ainsi que la période de conservation maximale et par défaut pour le magasin de données des événements. Sélectionnez ensuite les catégories d’événements que vous souhaitez enregistrer (événements de gestion, de données et d’activité réseau). En outre, vous pouvez tirer parti de fonctionnalités améliorées de filtrage des événements pour contrôler les événements CloudTrail qui sont ingérés dans vos magasins de données d’événements, ce qui vous permet de renforcer votre efficacité et de réduire les coûts tout en conservant une certaine visibilité sur les activités pertinentes. Une fois que votre magasin de données d’événements est configuré, vous pouvez interroger tous les magasins de données d’événements que vous possédez ou que vous gérez à l’aide de requêtes SQL. Pour les utilisateurs moins familiarisés avec SQL, la génération de requêtes en langage naturel est disponible pour faciliter la création de requêtes SQL.
En outre, les résultats des requêtes peuvent être résumés (en version préliminaire) à l’aide de l’IA générative, ce qui vous permet d’améliorer encore votre capacité à obtenir des informations de vos données CloudTrail. Pour vous aider à visualiser vos données CloudTrail Lake, vous pouvez utiliser des tableaux de bord préalablement sélectionnés disponibles directement dans la console CloudTrail, offrant une visibilité prête à l’emploi et des informations clé issues de vos données d’audit et de sécurité. Pour un suivi et une analyse plus ciblés, vous avez également la possibilité de créer des tableaux de bord personnalisés adaptés à vos besoins spécifiques.
J'ai créé une banque de données sur les événements avec un tarif de rétention sur sept ans. Serai-je en mesure de migrer le même magasin de données sur les événements vers l'option de tarification de rétention extensible d'un an ? Qu'advient-il de mes données existantes dans la banque de données de l'événement qui ont été ingérées sur la base d'un tarif de rétention sur sept ans ?
Oui. Vous pouvez mettre à jour l'option de tarification, passant d'une tarification de rétention sur sept ans à une tarification de rétention extensible sur un an dans le cadre de la configuration de la banque de données des événements. Vos données existantes resteront disponibles dans le magasin de données de l'événement pendant la période de conservation configurée. Ces données n'entraîneront aucun frais de conservation prolongé. Toutefois, toutes les données nouvellement ingérées seront soumises aux frais de rétention extensibles d'un an, à la fois pour l'ingestion et la conservation prolongée.
J'ai créé une banque de données sur les événements avec un tarif de rétention extensible d'un an. Serai-je en mesure de migrer le même magasin de données sur les événements vers l'option de tarification de rétention sur sept ans ?
Non. Nous ne prenons actuellement pas en charge la migration d'un magasin de données sur les événements d'un tarif de rétention extensible d'un an à un tarif de rétention de sept ans. Cependant, vous pourrez désactiver la journalisation pour le magasin de données d'événements actuel, tout en créant un nouveau magasin de données d'événements avec un tarif de conservation de sept ans pour les données nouvellement ingérées. Vous pourrez toujours conserver et analyser les données dans les deux magasins de données d'événements avec l'option tarifaire correspondante et la période de conservation configurée.
Pourquoi la période de conservation de CloudTrail Lake est-elle calculée en fonction de l'heure de l'événement et non en fonction du temps d'ingestion dans CloudTrail Lake ?
CloudTrail Lake est un lac d'audit qui aide les clients à répondre aux besoins de leurs cas d'utilisation en matière de conformité et d'audit. En fonction des mandats de leur programme de conformité, les clients doivent conserver les journaux d'audit pendant une durée spécifiée à compter de leur génération, indépendamment de la date à laquelle ils ont été intégrés dans CloudTrail Lake.
Si j'ingère un événement CloudTrail historique de S3 vers CloudTrail Lake et que la période de conservation des données d'événements est configurée sur 1 an, cet événement sera-t-il toujours stocké dans CloudTrail Lake pendant 1 an à compter de la date d'ingestion ?
Non. Comme il s'agissait d'un événement historique avec une date d'événement dans le passé, cet événement sera conservé dans CloudTrail Lake pendant une période de conservation de 1 an à compter de la date de l'événement. La durée pendant laquelle cet événement sera stocké dans CloudTrail Lake sera donc inférieure à 1 an.
Quels types d'événements issus de CloudTrail Lake puis-je visualiser sur les tableaux de bord actuels ?
Les tableaux de bord prédéfinis de CloudTrail Lake permettent de visualiser la gestion, les données et les événements Insights de CloudTrail. En outre, vous avez la possibilité de créer des tableaux de bord personnalisés qui peuvent visualiser tout type de données stockées dans vos banques de données d'événements, ce qui vous permet d'adapter votre analyse à vos besoins spécifiques.
Les tableaux de bord sont-ils activés au niveau du compte ou au niveau du magasin de données d'événements ?
Les tableaux de bord sont activés au niveau du compte aujourd'hui.
Quels sont les frais liés à l'activation des tableaux de bord CloudTrail Lake ?
Les tableaux de bord CloudTrail Lake sont alimentés par les requêtes CloudTrail Lake. Lorsque vous activez les tableaux de bord CloudTrail Lake, les données analysées vous sont facturées. Consultez la page Tarification pour en savoir plus.
Puis-je créer des tableaux de bord personnalisés dès aujourd'hui ?
Oui, vous pouvez créer vos propres tableaux de bord personnalisés et également définir des calendriers pour les actualiser périodiquement.
Quels sont les cas d'utilisation pris en charge par les tableaux de bord pré-sélectionnés de CloudTrail Lake ?
CloudTrail Lake propose une suite de tableaux de bord pré-sélectionnés qui répondent à divers cas d'utilisation concernant la sécurité, la conformité, les opérations et la gestion des ressources. Ces tableaux de bord prêts à l'emploi sont adaptés à des scénarios spécifiques et apportent une valeur immédiate à différents aspects de la gouvernance du cloud :
- Pour la surveillance de la sécurité, des tableaux de bord tels que le « Tableau de bord de surveillance de la sécurité » permettent de suivre les événements de sécurité critiques, notamment les événements de refus d'accès, les tentatives de connexion échouées et les actions destructrices.
- Pour soutenir les efforts de conformité, le « Tableau de bord des activités IAM » fournit une visibilité sur les modifications apportées aux entités IAM, ce qui permet d'identifier les actions IAM involontaires et les problèmes de conformité potentiels.
- Les équipes chargées des opérations cloud peuvent utiliser le « Tableau de bord d'analyse des erreurs » pour identifier et résoudre les erreurs de limitation des services et autres problèmes opérationnels liés aux services.
- Pour la gestion des ressources, le « Tableau de bord des modifications des ressources » fournit une visibilité sur les tendances en matière de provisionnement, de suppression et de modification des ressources AWS, y compris les modifications apportées via CloudFormation et manuellement.
- Les organisations peuvent tirer parti du « Tableau de bord des activités des organisations », qui fournit des informations sur la gestion des comptes, les modèles d'accès et les modifications apportées aux politiques.
- Les tableaux de bord spécifiques aux services pour EC2, Lambda, DynamoDB et S3 offrent une visibilité détaillée sur les activités de gestion et de plan de données pour ces services.
Agrégation des fichiers journaux
Je possède plusieurs comptes AWS. Je souhaiterais que les fichiers journaux pour tous mes comptes soient transmis à un seul compartiment S3. Est-ce possible ?
Oui. Vous pouvez configurer un compartiment S3 en tant que destination de plusieurs comptes. Pour obtenir des instructions détaillées, consultez la section relative à l'agrégation de fichiers journaux dans un seul compartiment S3 du guide de l'utilisateur CloudTrail.
Intégration à CloudWatch Logs
Qu'est-ce que l'intégration de CloudTrail à CloudWatch Logs ?
L'intégration de CloudTrail à CloudWatch Logs envoie les événements de gestion et de données enregistrés par CloudTrail à un journal des flux CloudWatch Logs dans le groupe de jourans CloudWatch Logs que vous indiquez.
Quels sont les bénéfices de l'intégration de CloudTrail à CloudWatch Logs ?
Cette intégration vous permet de recevoir des notifications SNS sur l'activité relative au compte enregistrée par CloudTrail. Par exemple, vous pouvez créer des alarmes CloudWatch pour contrôler les appels d'API qui créent, modifient ou suppriment des groupes de sécurité et des listes de contrôle d'accès (ACL) réseau.
Comment activer l'intégration de CloudTrail à CloudWatch Logs ?
Vous pouvez activer l'intégration de CloudTrail à CloudWatch Logs à partir de la console CloudTrail en spécifiant un groupe de journaux CloudWatch Logs et un rôle IAM. Vous pouvez également utiliser les kits de développement logiciel AWS ou l'interface de ligne de commande AWS pour activer l'intégration.
Que se passe-t-il lorsque j'active l'intégration de CloudTrail à CloudWatch Logs ?
Une fois l'intégration activée, CloudTrail envoie en continu l'activité relative au compte à un flux de journaux CloudWatch Logs dans le groupe de journaux CloudWatch Logs que vous avez indiqué. CloudTrail continue également de transmettre les journaux au compartiment S3 comme auparavant.
Dans quelles régions AWS l'intégration de CloudTrail à CloudWatch Logs est-elle prise en charge ?
Cette intégration est prise en charge dans les régions dans lesquelles CloudWatch Logs est pris en charge. Pour en savoir plus, consultez la section Régions et points de terminaison du document Références générales AWS.
De quelle façon le service CloudTrail transmet-il les événements contenant l'activité relative au compte à mon CloudWatch Logs ?
CloudTrail endosse le rôle IAM que vous spécifiez pour envoyer l'activité relative au compte à CloudWatch Logs. Vous limitez le rôle IAM seulement aux autorisations nécessaires pour transmettre les événements au flux de journaux CloudWatch Logs. Pour consulter la politique des rôles IAM, accédez au guide de l'utilisateur de la documentation CloudTrail.
Quels sont les frais engagés lorsque j'active l'intégration de CloudTrail à CloudWatch Logs ?
Une fois l'intégration de CloudTrail à CloudWatch Logs activée, des frais standard CloudWatch Logs et CloudWatch vous sont facturés. Pour plus de détails, accédez à la page Tarification de CloudWatch.
Chiffrement de fichiers journaux CloudTrail avec AWS KMS
Quels sont les bénéfices du chiffrement de fichiers journaux CloudTrail à l'aide du chiffrement côté serveur d'AWS KMS ?
Le chiffrement de fichiers journaux CloudTrail reposant sur des SSE-KMS vous permet d'ajouter une couche supplémentaire de sécurité aux fichiers journaux CloudTrail transmis à un compartiment S3 en les chiffrant avec une clé KMS. Par défaut, CloudTrail chiffre les fichiers journaux transmis au compartiment S3 à l'aide du chiffrement côté serveur S3.
Je possède une application qui absorbe et traite les fichiers journaux CloudTrail. Dois-je apporter des modifications à mon application ?
Si vous utilisez des SSE-KMS, S3 déchiffre automatiquement les fichiers journaux. Vous n'avez donc aucune modification à apporter à votre application. Comme toujours, vous devez vérifier que votre application dispose des autorisations appropriées, à savoir S3 GetObject et AWS KMS Decrypt.
Comment faire pour configurer le chiffrement des fichiers journaux CloudTrail ?
Pour configurer le chiffrement des fichiers journaux, vous pouvez utiliser AWS Management Console, la CLI AWS ou les kits SDK AWS. Pour consulter les instructions détaillées, reportez-vous à la documentation .
Quels sont les frais encourus lorsque je configure le chiffrement reposant sur des SSE-KMS ?
Après avoir configuré le chiffrement reposant sur des SSE-KMS, vous devrez vous acquitter des frais standard d'AWS KMS. Pour plus de détails, accédez à la page Tarification d'AWS KMS.
Validation de l'intégrité des fichiers journaux CloudTrail
En quoi consiste la validation de l'intégrité des fichiers journaux CloudTrail ?
La fonction de validation de l'intégrité des fichiers journaux CloudTrail vous permet de déterminer si un fichier journal CloudTrail a été modifié ou non, ou s'il a été supprimé après avoir été transmis par CloudTrail au compartiment S3 spécifié.
Quels sont les avantages de la validation de l'intégrité des fichiers journaux CloudTrail ?
Vous pouvez utiliser la fonction de validation de l'intégrité des fichiers journaux pour renforcer vos procédures d'audit et de sécurité.
Comment faire pour activer la validation de l'intégrité des fichiers journaux CloudTrail ?
Vous pouvez activer la fonction de validation de l'intégrité des fichiers journaux CloudTrail depuis la console, CLI AWS ou les kits SDK AWS.
Que se passe-t-il une fois que j'ai activé la fonction de validation de l'intégrité des fichiers journaux ?
Une fois que vous avez activé la fonction de validation de l'intégrité des fichiers journaux, CloudTrail transmet des fichiers de résumé toutes les heures. Les fichiers de résumé contiennent des informations sur les fichiers journaux qui ont été transmis à votre compartiment S3 et des valeurs de hachage pour ces fichiers journaux. Ils contiennent les signatures numériques pour le fichier de résumé précédent et la signature numérique pour le ficher de résumé actuel dans la section des métadonnées S3. Pour en savoir plus sur les fichiers de résumé, les signatures numériques et les valeurs de hachage, reportez-vous à la documentation relative à CloudTrail .
Où sont envoyés les fichiers de résumé ?
Les fichiers de résumé sont transmis au même compartiment S3 que celui dans lequel les fichiers journaux sont envoyés. Néanmoins, ils sont placés dans un dossier différent afin que vous puissiez mettre en application les politiques de contrôle d'accès détaillées. Pour plus de détails, consultez la section relative à la structure des fichiers de résumé dans la documentation relative à CloudTrail .
Comment faire pour valider l'intégrité d'un fichier journal ou d'un fichier de résumé fourni par CloudTrail ?
Pour valider l'intégrité d'un fichier journal ou d'un fichier de résumé, vous pouvez utiliser la CLI AWS. Vous pouvez également créer vos propres outils de validation. Pour plus de détails concernant l'utilisation de la CLI AWS en vue de valider l'intégrité d'un fichier journal, consultez la documentation relative à CloudTrail .
Je regroupe tous les fichiers journaux provenant de toutes les régions et de plusieurs comptes dans un seul et même compartiment S3. Les fichiers de résumé seront-ils envoyés vers le même compartiment S3 ?
Oui. CloudTrail transmettra les fichiers de résumé issus de toutes les régions et de plusieurs comptes dans le même compartiment S3.
Bibliothèque de traitement CloudTrail
Qu'est-ce que la bibliothèque de traitement CloudTrail ?
La bibliothèque de traitement CloudTrail est une bibliothèque Java qui permet de créer facilement une application qui lit et traite des fichiers journaux CloudTrail. Vous pouvez télécharger la bibliothèque de traitement AWS CloudTrail depuis GitHub.
Quelle fonctionnalité la bibliothèque de traitement AWS CloudTrail offre-t-elle ?
La bibliothèque de traitement CloudTrail fournit des fonctionnalités permettant de gérer des tâches telles que l'interrogation continue d'une file d'attente SQS, la lecture et l'analyse des messages Amazon Simple Queue Service (Amazon SQS). Elle peut aussi télécharger des fichiers journaux stockés dans S3, analyser et la sérialiser des événements des fichiers journaux de manière tolérante aux pannes. Pour plus d'informations, accédez au guide de l'utilisateur de la documentation CloudTrail.
De quel logiciel ai-je besoin pour commencer à utiliser la bibliothèque de traitement AWS CloudTrail ?
Vous avez besoin de aws-java-sdk version 1.9.3 et de Java 1.7 ou version ultérieure.
Tarification
Comment se fait la facturation pour les suivis CloudTrail ?
CloudTrail vous permet d'afficher, de rechercher et de télécharger gratuitement les événements de gestion de votre compte pour les 90 derniers jours.. Vous pouvez transmettre gratuitement une copie de vos événements de gestion en cours à S3 en créant un journal d'activité. Une fois que le journal d'activité CloudTrail est configuré, les frais S3 s'appliquent en fonction de votre utilisation.
Vous pouvez fournir des copies supplémentaires d’événements, y compris des événements de données et des événements d’activité réseau (en version préliminaire), à l’aide de pistes. Vous serez facturé pour les événements de données, les événements d’activité de réseau et les copies supplémentaires d’événements de gestion. En savoir plus sur la page de tarification.
Si je n'ai qu'un seul journal d'activité contenant des événements de gestion et que je l'applique à toutes les régions, aurai-je des frais à payer ?
Non. La première copie des événements de gestion est enregistrée gratuitement dans chaque région.
Si j'active les événements de données sur un journal d'activité existant contenant des événements de gestion gratuits, aurai-je des frais à payer ?
Oui. Vous n'aurez que les événements de données à payer. La première copie des événements de gestion est enregistrée gratuitement.
Comment se fait la facturation pour CloudTrail Lake ?
Lorsque vous utilisez CloudTrail Lake, vous payez l'ingestion et le stockage en même temps, la facturation étant basée sur la quantité de données non compressées ingérées et la quantité de données compressées stockées. Lorsque vous créez un magasin de données d'événements, vous choisissez l'option de tarification que vous souhaitez utiliser pour le magasin de données d'événements. L'option de tarification détermine le coût d'ingestion des événements ainsi que la période de conservation maximale et par défaut pour le magasin de données des événements. Les frais de requête sont basés sur les données compressées que vous choisissez d'analyser. En savoir plus sur la page de tarification .
Puis-je calculer mon utilisation estimée de CloudTrail Lake par ingestion si je connais mon utilisation historique de CloudTrail dans Trails ?
Oui. La taille moyenne de chaque événement CloudTrail est d'environ 1 500 octets. À l'aide de cette cartographie, vous pourrez estimer l'ingestion de CloudTrail Lake sur la base de l'utilisation de CloudTrail le mois dernier dans les pistes par nombre d'événements.
Partenaires
Comment les solutions partenaires AWS peuvent-elles m'aider à analyser les événements enregistrés par CloudTrail ?
Nombre de nos partenaires proposent des solutions intégrées pour l'analyse des fichiers journaux CloudTrail. Ces solutions incluent des fonctionnalités telles que le suivi des modifications, la résolution des problèmes et l'analyse de sécurité. Pour en savoir plus, consultez la section partenaires CloudTrail .
Comment puis-je intégrer une intégration à CloudTrail Lake en tant que source disponible ?
Pour démarrer votre intégration, vous pouvez consulter le Guide d'intégration des partenaires. Contactez votre équipe de développement partenaire ou votre architecte de solutions partenaires pour qu'ils vous mettent en relation avec l'équipe CloudTrail Lake afin d'obtenir plus d'informations et des réponses à vos questions.
Autre
L'activation de CloudTrail aura-t-elle des répercussions sur les performances des ressources AWS ou augmentera-t-elle la latence des appels d'API ?
Non. L'activation de CloudTrail n'a aucun effet sur les performances des ressources AWS ou sur la latence des appels d'API.