Centralisation des journaux entre comptes et entre régions - Amazon CloudWatch Logs
Concepts de centralisation des donnéesConfiguration de la centralisation des journauxCentralisation de la surveillance

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Centralisation des journaux entre comptes et entre régions

La centralisation des données Amazon CloudWatch Logs permet de AWS Organizations collecter les données de journal de plusieurs comptes membres dans un seul référentiel de données en utilisant des règles de centralisation entre comptes et entre régions. Vous définissez les règles qui répliquent automatiquement les données de journal de plusieurs comptes Régions AWS vers un compte centralisé au sein de votre organisation. Cette fonctionnalité rationalise la consolidation des journaux pour une surveillance, une analyse et une conformité centralisées améliorées sur l'ensemble de votre AWS infrastructure.

CloudWatch La centralisation des données des journaux offre une flexibilité de configuration répondant aux exigences opérationnelles et de sécurité, telles que la possibilité de configurer une région de sauvegarde lors de la configuration des règles dans le compte de destination afin de garantir une résilience accrue. En outre, vous avez un contrôle total sur le comportement de chiffrement des groupes de journaux copiés à partir de comptes sources afin de gérer les données initialement chiffrées avec des clés KMS gérées par le client.

Concepts de centralisation des données

Avant de commencer à utiliser la centralisation des données des CloudWatch journaux, familiarisez-vous avec les concepts suivants :

Règle de centralisation

Configuration qui définit la manière dont les données de journal des comptes et des régions sources sont répliquées vers un compte et une région de destination. Les règles spécifient les critères de source et les paramètres de destination.

Compte source

Le AWS compte d'où proviennent les données du journal. Les événements du journal des comptes sources sont répliqués sur le compte de destination en fonction des règles de centralisation que vous définissez.

Compte de destination

Le AWS compte de destination où les données du journal répliquées sont stockées. Ce compte sert d'emplacement centralisé pour l'analyse et la surveillance des journaux.

Région de sauvegarde

Région secondaire facultative au sein du compte de destination dans laquelle les données du journal peuvent être répliquées à des fins de résilience et de reprise après sinistre accrues.

Chiffrement dans CloudWatch les journaux

Les données des groupes de journaux sont toujours cryptées dans CloudWatch Logs. Par défaut, CloudWatch Logs utilise le chiffrement côté serveur avec le mode AES-GCM (Advanced Encryption Standard Galois/Counter Mode) 256 bits pour chiffrer les données des journaux au repos. Vous pouvez également utiliser le service de gestion des AWS clés pour ce chiffrement. Dans ce cas, le chiffrement est effectué à l'aide d'une clé KMS AWS détenue ou d'une clé KMS gérée par le client. Le chiffrement par clé AWS KMS à l'aide de KMS est activé au niveau du groupe de journaux, en associant une clé KMS à un groupe de journaux, soit lorsque vous créez le groupe de journaux, soit après son existence. Dès lors que vous associez une clé KMS à un groupe de journaux, toutes les données nouvellement ingérées pour le groupe de journaux sont chiffrées à l'aide de cette clé. Ces données sont stockées sous forme cryptée pendant toute la durée de conservation. CloudWatch Logs déchiffre ces données chaque fois qu'elles sont demandées. CloudWatch Les journaux doivent disposer d'autorisations pour la clé KMS chaque fois que des données chiffrées sont demandées, par exemple lorsqu'une règle de centralisation des journaux est exécutée sur un compte source. Si vous utilisez des clés KMS gérées par le client, mettez à jour les clés KMS associées aux groupes de journaux source et de destination à l'aide de la baliseLogsManaged = true. Pour plus d'informations, consultez la section sur les clés AWS KMS dans le guide du développeur du service de gestion des AWS clés

Configuration de la centralisation des journaux

Pour configurer la centralisation CloudWatch des journaux, vous devez configurer des règles de centralisation qui définissent la manière dont les données des journaux circulent des groupes de journaux des comptes source vers les groupes de journaux de votre compte de destination.

Une fois que la règle de centralisation est activée et que les événements du journal sont répliqués sur le compte de destination, vous pouvez créer des filtres de métriques, d'abonnement et de compte sur des groupes de journaux centralisés dotés de fonctionnalités de filtrage améliorées. Ces filtres peuvent cibler les événements du journal provenant de comptes source et de régions spécifiques, et peuvent émettre des informations sur le compte source et la région sous forme de dimensions métriques. Pour de plus amples informations, veuillez consulter Création de métriques à partir d'événements du journal à l'aide de filtres.

Prérequis

  • AWS Organizations doit être configuré et les comptes source et de destination doivent tous deux appartenir à l'organisation.

  • L'accès sécurisé doit être activé pour CloudWatch le compte de gestion et le compte de destination afin de fournir un accès aux données du journal.

Création d'une règle de centralisation

Utilisez la procédure suivante pour créer une règle de centralisation qui réplique les données de journal des comptes source vers votre compte de destination.

Pour créer une règle de centralisation

  1. Accédez à la CloudWatch console dans le compte de gestion ou d'administrateur délégué de l'organisation.

  2. Sélectionnez Paramètres.

  3. Accédez à l'onglet Organisation.

  4. Choisissez Configurer la règle.

  5. Spécifiez les détails de la source en définissant les champs suivants, puis choisissez Next :

    1. Nom de la règle de centralisation : entrez un nom unique pour la règle de centralisation.

    2. Comptes sources : définissez les critères de sélection des sources pour sélectionner les comptes à partir desquels les données de télémétrie seront centralisées. Les critères de sélection peuvent inclure :

      • Liste des comptes des membres de l'organisation

      • Liste des unités organisationnelles de l'organisation

      • L'ensemble de l'organisation

      Vous pouvez fournir les critères de sélection selon deux modes :

      • Builder : une expérience basée sur les clics pour générer les critères de sélection des sources

      • Éditeur : zone de texte libre pour fournir les critères de sélection de la source

      Syntaxe prise en charge pour les critères de sélection des sources :

      • Clés prises en charge : OrganizationId OrganizationUnitId | AccountId | | *

      • Opérateurs pris en charge : = | IN | OR

    3. Régions sources : sélectionnez une liste de régions pour rechercher les données de télémétrie à centraliser.

  6. Spécifiez les détails de la destination en définissant les champs suivants, puis choisissez Next :

    1. Compte de destination : sélectionnez un compte dans l'organisation qui sert de destination centrale pour les données de télémétrie.

    2. Région de destination : sélectionnez une région principale qui stocke une copie des données de télémétrie centralisées.

    3. Région de sauvegarde : sélectionnez éventuellement une région qui stocke une deuxième copie des données de télémétrie centralisées.

  7. Spécifiez les données de télémétrie en définissant les champs suivants, puis choisissez Next :

    1. Groupes de journaux : choisissez l'une des options suivantes :

      • Tous les groupes de journaux : centralisez les journaux de tous les groupes de journaux dans les comptes sources.

      • Filtrer les groupes de journaux : centralisez les journaux à partir d'un sous-ensemble de groupes de journaux dans les comptes sources, en fonction des critères de sélection d'un groupe de journaux. Vous pouvez fournir les critères de sélection selon deux modes :

        • Générateur : une expérience basée sur les clics pour générer les critères de sélection des groupes de journaux

        • Editeur : zone de texte libre fournissant les critères de sélection des groupes de journaux

        Syntaxe prise en charge pour les critères de sélection des groupes de journaux :

        • Clés prises en charge : LogGroupName | *

        • Opérateurs pris en charge : = | ! = | DANS | PAS DANS | ET | OU | COMME | PAS COMME

    2. Groupe de journaux chiffrés KMS

      Important

      CloudWatch les règles de centralisation ne pourront pas transmettre les journaux du compte source aux groupes de journaux de destination si la clé KMS fournie dans la règle de centralisation n'autorise pas CloudWatch les journaux à l'utiliser. Pour de plus amples informations, veuillez consulter Étape 2 : Définition des autorisations sur la clé KMS.

      Choisissez l’une des options suivantes :

      • Ne centralisez pas les groupes de journaux chiffrés à l'aide de clés KMS gérées par le client : ignorez la centralisation des événements de journal à partir des groupes de journaux sources chiffrés à l'aide de clés KMS gérées par le client.

      • Centralisez les groupes de journaux chiffrés à l'aide de clés KMS gérées par le client dans le compte de destination à l'aide d'une clé KMS AWS gérée : centralisez les événements de journal des groupes de journaux source chiffrés avec des clés KMS gérées par le client dans des groupes de journaux de destination qui ne sont pas associés aux clés KMS gérées par le client mais utilisent plutôt une clé KMS AWS gérée.

        Lorsque ce paramètre est sélectionné, vous devez également définir les paramètres suivants :

        • ARN de la clé de chiffrement de destination : ARN de la clé KMS appartenant au compte de destination et à la région de destination principale, à associer aux groupes de journaux de destination nouvellement créés.

        • ARN de la clé de chiffrement de destination de sauvegarde (facultatif) : ARN de la clé KMS appartenant au compte de destination et à la région de destination de sauvegarde, à associer aux groupes de journaux de destination nouvellement créés.

        Note

        Notez que ce paramètre s'applique uniquement lorsque le groupe de journaux source est chiffré à l'aide de clés KMS gérées par le client et ne s'applique qu'aux groupes de journaux nouvellement créés dans le compte de destination.

  8. Passez en revue la règle de centralisation, apportez éventuellement des modifications de dernière minute et choisissez Créer une politique de centralisation.

Modifier une règle de centralisation

Utilisez la procédure suivante pour modifier une règle de centralisation existante.

Pour modifier une règle de centralisation

  1. Accédez à la CloudWatch console dans le compte de gestion ou d'administrateur délégué de l'organisation.

  2. Sélectionnez Paramètres.

  3. Accédez à l'onglet Organisation.

  4. Choisissez Gérer les règles.

  5. Sélectionnez la règle à mettre à jour, puis choisissez Modifier.

  6. Mettez à jour la configuration des règles selon vos besoins, en choisissant Next pour passer à chaque étape.

  7. À l'étape 4, Révision et configuration, choisissez Mettre à jour la politique de centralisation.

Afficher une règle de centralisation

Utilisez la procédure suivante pour afficher les détails d'une règle de centralisation existante.

Pour consulter une règle de centralisation

  1. Accédez à la CloudWatch console dans le compte de gestion ou d'administrateur délégué de l'organisation.

  2. Sélectionnez Paramètres.

  3. Accédez à l'onglet Organisation.

  4. Choisissez Gérer les règles.

  5. Consultez la liste de toutes les règles de centralisation existantes et choisissez un nom de règle spécifique pour en afficher les détails.

Supprimer une règle de centralisation

Pour supprimer une règle de centralisation existante, procédez comme suit.

Pour supprimer une règle de centralisation

  1. Accédez à la CloudWatch console dans le compte de gestion ou d'administrateur délégué de l'organisation.

  2. Sélectionnez Paramètres.

  3. Accédez à l'onglet Organisation.

  4. Choisissez Gérer les règles.

  5. Sélectionnez la règle à supprimer, puis cliquez sur Supprimer.

  6. Pour confirmer la suppression, choisissez Supprimer.

Centralisation de la surveillance

Vous pouvez surveiller l'état et les performances de vos règles de centralisation à l'aide CloudWatch des métriques, de la console CloudWatch Logs et AWS CloudTrail des journaux. Cela vous permet de vous assurer que les données du journal sont correctement répliquées et d'identifier tout problème lié à votre configuration de centralisation.

Centralisation de la surveillance dans la console

Utilisez la console CloudWatch Logs pour consulter le statut et l'activité de vos règles de centralisation.

Pour surveiller les règles de centralisation dans la console

  1. Accédez à la CloudWatch console dans le compte de gestion ou d'administrateur délégué de l'organisation.

  2. Sélectionnez Paramètres.

  3. Accédez à l'onglet Organisation.

  4. Choisissez Gérer les règles.

  5. Consultez la liste des règles de centralisation, qui affiche :

    • Nom de la règle : nom de chaque règle de centralisation

    • État de la règle : état opérationnel actuel (actif, inactif, erreur)

    • Date de création : date à laquelle la règle a été créée

    • ID de compte de destination : ID de compte du compte de destination

    • Région de destination : région du compte de destination

  6. Choisissez un nom de règle spécifique pour afficher les détails de configuration des règles

Surveillance de la centralisation

Vous pouvez surveiller les règles de centralisation à l'aide de l'interface de console et des opérations de l'API.

Les capacités de surveillance actuelles incluent :

  • État de santé des règles : surveillez l'état général des règles de centralisation via la console ou GetCentralizationRuleForOrganization l'API

  • Configuration des règles : passez en revue les paramètres des règles et les horodatages de la dernière mise à jour

  • Raisons de l'échec : Afficher des informations détaillées sur les défaillances lorsque les règles sont marquées comme étant INSTABLES

  • Activité de l'API : suivi des appels d'API de centralisation via les journaux CloudTrail

Surveillance de l'état des règles

Chaque règle de centralisation possède un état de santé qui indique si elle fonctionne correctement. Vous pouvez vérifier l'état des règles via la console ou par programmation à l'aide de l'API.

Les états d'intégrité des règles incluent :

  • HEALTHY: La règle fonctionne normalement et réplique les données du journal telles que configurées

  • UNHEALTHY: la règle a rencontré des problèmes et ne reproduit peut-être pas correctement les données

  • PROVISIONING: La centralisation de l'organisation est en cours de mise en place.

Lorsqu'une règle est marquée comme INSTABLE, le FailureReason champ fournit des détails sur le problème spécifique à résoudre.

Surveillance des appels d'API de centralisation avec AWS CloudTrail

AWS CloudTrail enregistre les appels d'API effectués vers le service de centralisation, ce qui vous permet de suivre les modifications de configuration et de résoudre les problèmes liés aux comptes membres de votre compte. AWS Organizations

Les principaux CloudTrail événements liés à la centralisation sont les suivants :

  • CreateCentralizationRuleForOrganization: Lorsqu'une nouvelle règle de centralisation est créée

  • UpdateCentralizationRuleForOrganization: Lorsqu'une règle existante est modifiée

  • DeleteCentralizationRuleForOrganization: Lorsqu'une règle est supprimée

  • GetCentralizationRuleForOrganization: Lorsque les détails des règles sont récupérés

  • ListCentralizationRulesForOrganization: Lorsque les règles sont répertoriées

Vous pouvez utiliser CloudTrail les journaux pour auditer les modifications de configuration de la centralisation et les corréler aux problèmes de performances ou aux échecs de réplication.