Utilisation AWS CloudTrail avec des points de terminaison VPC d'interface - AWS CloudTrail
RégionsCréez un point de terminaison VPC pour CloudTrailCréez une politique de point de terminaison VPC pour CloudTrailSous-réseaux partagés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation AWS CloudTrail avec des points de terminaison VPC d'interface

Si vous utilisez Amazon Virtual Private Cloud (Amazon VPC) pour héberger vos AWS ressources, vous pouvez établir une connexion privée entre votre VPC et. AWS CloudTrail Vous pouvez utiliser cette connexion pour permettre à CloudTrail de communiquer avec vos ressources sur votre VPC sans passer par le réseau Internet public.

Amazon VPC est un AWS service que vous pouvez utiliser pour lancer AWS des ressources dans un réseau virtuel que vous définissez. Avec un VPC, vous contrôlez des paramètres réseau, tels que la plage d’adresses IP, les sous-réseaux, les tables de routage et les passerelles réseau. Avec les points de terminaison VPC, le routage entre le VPC et les AWS services est géré par le AWS réseau, et vous pouvez utiliser les politiques IAM pour contrôler l'accès aux ressources des services.

Pour connecter votre VPC à CloudTrail, vous définissez un point de terminaison VPC d'interface pour. CloudTrail Un point de terminaison d'interface est une interface elastic network dotée d'une adresse IP privée qui sert de point d'entrée pour le trafic destiné à un AWS service pris en charge. Le point de terminaison fournit une connectivité fiable et évolutive CloudTrail sans nécessiter de passerelle Internet, d'instance de traduction d'adresses réseau (NAT) ou de connexion VPN. Pour de plus amples informations, consultez Qu'est-ce qu'Amazon VPC ? dans le Guide de l'utilisateur Amazon VPC.

Les points de terminaison VPC d'interface sont alimentés par AWS PrivateLink une AWS technologie qui permet une communication privée entre les AWS services à l'aide d'une interface Elastic Network avec des adresses IP privées. Pour de plus amples informations, veuillez consulter AWS PrivateLink.

Les sections suivantes sont destinées aux utilisateurs d'Amazon VPC. Pour plus d'informations, consultez Mise en route avec Amazon VPC dans le Guide de l'utilisateur Amazon VPC.

Régions

AWS CloudTrail prend en charge les points de terminaison VPC et les politiques de points de terminaison VPC dans tous Régions AWS ceux qui sont pris en charge. CloudTrail

Créez un point de terminaison VPC pour CloudTrail

Pour commencer à utiliser CloudTrail avec votre VPC, créez un point de terminaison VPC d'interface pour. CloudTrail Pour plus d'informations, consultez la section Accès et Service AWS utilisation d'un point de terminaison VPC d'interface dans le guide de l'utilisateur Amazon VPC.

Il n'est pas nécessaire de modifier les paramètres de CloudTrail. CloudTrail appelle d'autres utilisateurs Services AWS en utilisant des points de terminaison publics ou des points de terminaison VPC d'interface privée, selon ceux utilisés.

Créez une politique de point de terminaison VPC pour CloudTrail

Une politique de point de terminaison VPC est une ressource IAM que vous pouvez associer à un point de terminaison VPC d'interface. La politique de point de terminaison par défaut vous donne un accès complet CloudTrail APIs via le point de terminaison VPC de l'interface. Pour contrôler l'accès accordé CloudTrail depuis votre VPC, associez une politique de point de terminaison personnalisée au point de terminaison VPC de l'interface.

Une politique de point de terminaison spécifie les informations suivantes :

  • Les principaux qui peuvent effectuer des actions (Comptes AWS, utilisateurs IAM et rôles IAM).

  • Les actions qui peuvent être effectuées.

  • Les ressources sur lesquelles les actions peuvent être exécutées.

Pour plus d'informations sur les politiques relatives aux points de terminaison VPC, notamment sur la manière de mettre à jour une politique, consultez la section Contrôle de l'accès aux services avec des points de terminaison VPC dans le guide de l'utilisateur Amazon VPC.

Vous trouverez ci-dessous des exemples de politiques de point de terminaison VPC personnalisées pour. CloudTrail

Exemple : autoriser toutes les CloudTrail actions

L'exemple de politique de point de terminaison VPC suivant accorde l'accès à toutes les CloudTrail actions pour tous les principaux sur toutes les ressources.

{
     "Version": "2012-10-17",
     "Statement": [
         {
             "Action": "cloudtrail:*",
             "Effect": "Allow",
             "Resource": "*",
             "Principal": "*"
         }
     ]
}

Exemple : autoriser des CloudTrail actions spécifiques

L'exemple de politique de point de terminaison VPC suivant accorde l'accès pour effectuer les cloudtrail:ListEventDataStores actions cloudtrail:ListTrails et pour tous les principaux sur toutes les ressources.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": ["cloudtrail:ListTrails", "cloudtrail:ListEventDataStores"],
            "Effect": "Allow",
            "Principal": "*",
            "Resource": "*"
        }
    ]
}

Exemple : refuser toutes les CloudTrail actions

L'exemple de politique de point de terminaison VPC suivant refuse l'accès à toutes les CloudTrail actions pour tous les principaux sur toutes les ressources.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "cloudtrail:*",
            "Effect": "Deny",
            "Principal": "*",
            "Resource": "*"
        }
    ]
}

Exemple : refuser des CloudTrail actions spécifiques

L'exemple de politique de point de terminaison VPC suivant refuse les cloudtrail:CreateEventDataStore actions cloudtrail:CreateTrail et pour tous les principaux sur toutes les ressources.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": ["cloudtrail:CreateTrail", "cloudtrail:CreateEventDataStore"],
            "Effect": "Deny",
            "Principal": "*",
            "Resource": "*"
        }
    ]
}

Exemple : autoriser toutes les CloudTrail actions d'un VPC spécifique

L'exemple de politique de point de terminaison VPC suivant accorde l'accès pour effectuer toutes les CloudTrail actions pour tous les principaux sur toutes les ressources, mais uniquement si le demandeur utilise le VPC spécifié pour effectuer la demande. vpc-idRemplacez-le par votre identifiant VPC.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloudtrail:*",
      "Resource": "*",
      "Principal": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceVpc": "vpc-id"
        }
      }
    }
  ]
}

Exemple : autoriser toutes les CloudTrail actions depuis un point de terminaison VPC spécifique

L'exemple de politique de point de terminaison VPC suivant accorde l'accès pour effectuer toutes les CloudTrail actions pour tous les principaux sur toutes les ressources, mais uniquement si le demandeur utilise le point de terminaison VPC spécifié pour effectuer la demande. Remplacez-le vpc-endpoint-id par votre ID de point de terminaison VPC.

{
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "cloudtrail:",
         "Resource": "*",
         "Condition": {
             "StringEquals": {
                "aws:SourceVpce": "vpc-endpoint-id"
             }
         }
       }
    ]
  }

Sous-réseaux partagés

Un point de terminaison CloudTrail VPC, comme tout autre point de terminaison VPC, ne peut être créé que par un compte propriétaire dans le sous-réseau partagé. Toutefois, un compte de participant peut utiliser des points de terminaison CloudTrail VPC dans des sous-réseaux partagés avec le compte de participant. Pour plus d'informations sur le partage de sous-réseaux Amazon VPC, veuillez consulter Partager votre VPC avec d'autres comptes dans le Guide de l'utilisateur Amazon VPC.