Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Création d'un parcours pour une organisation à l'aide du AWS CLI
Vous pouvez créer un journal de suivi d'organisation avec la AWS CLI. AWS CLI Il est régulièrement mis à jour avec des fonctionnalités et des commandes supplémentaires. Pour garantir le succès, assurez-vous d'avoir installé ou mis à jour une AWS CLI version récente avant de commencer.
**Note**
Les exemples de cette section sont spécifiques à la création et la mise à jour des journaux de suivi de l’organisation. Pour des exemples d'utilisation du AWS CLI pour gérer les sentiers, voir [Gérer les sentiers à l'aide du AWS CLI](cloudtrail-additional-cli-commands.md) et[Configuration de la surveillance CloudWatch des journaux à l'aide du AWS CLI](send-cloudtrail-events-to-cloudwatch-logs.md#send-cloudtrail-events-to-cloudwatch-logs-cli). Lorsque vous créez ou mettez à jour le journal d'une organisation à l'aide du AWS CLI, vous devez utiliser un AWS CLI profil du compte de gestion ou du compte d'administrateur délégué doté des autorisations suffisantes. Si vous convertissez un journal de suivi d'organisation en un journal de suivi non lié à une organisation, vous devez utiliser le compte de gestion de l'organisation.
Vous devez configurer le compartiment Amazon S3 utilisé pour le journal de suivi d’une organisation avec des autorisations suffisantes.
## Créez ou mettez à jour un compartiment Amazon S3 pour stocker les fichiers journaux du journal de suivi d'une organisation
Vous devez spécifier un compartiment Amazon S3 pour recevoir les fichiers journaux pour un journal d’activité d’une organisation. Ce compartiment doit disposer d'une politique CloudTrail permettant d'y placer les fichiers journaux de l'organisation.
Voici un exemple de politique pour un compartiment Amazon S3 nommé{{amzn-s3-demo-bucket}}, qui appartient au compte de gestion de l'organisation. Remplacez {{amzn-s3-demo-bucket}}{{region}},{{managementAccountID}},{{trailName}}, et {{o-organizationID}} par les valeurs de votre organisation
Cette politique de compartiment contient trois instructions.
+ La première instruction permet CloudTrail d'appeler l'`GetBucketAcl`action Amazon S3 sur le compartiment Amazon S3.
+ La seconde instruction permet de se connecter dans le cas où le suivi est modifié d'un suivi d'organisation à un suivi pour ce compte uniquement.
+ La troisième instruction autorise la journalisation pour le suivi d'organisation.
L’exemple de politique inclut une clé de condition `aws:SourceArn` de la politique de compartiment Amazon S3. La clé de condition globale IAM `aws:SourceArn` permet de garantir que les CloudTrail écritures dans le compartiment S3 ne concernent qu'un ou plusieurs sentiers spécifiques. Dans un journal de suivi de l’organisation, la valeur de `aws:SourceArn` doit être un ARN de suivi appartenant au compte de gestion qui utilise l'ID du compte de gestion.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn:aws:cloudtrail:{{region}}:{{managementAccountID}}:trail/{{trailName}}"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/AWSLogs/{{managementAccountID}}/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:{{region}}:{{managementAccountID}}:trail/{{trailName}}"
}
}
},
{
"Sid": "AWSCloudTrailOrganizationWrite20150319",
"Effect": "Allow",
"Principal": {
"Service": [
"cloudtrail.amazonaws.com"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/AWSLogs/{{o-organizationID}}/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceArn": "arn:aws:cloudtrail:{{region}}:{{managementAccountID}}:trail/{{trailName}}"
}
}
}
]
}
```
------
Cet exemple de politique n’autorise pas tous les utilisateurs des comptes membres à accéder aux fichiers journaux créés pour l’organisation. Par défaut, les fichiers journaux de l’organisation sont accessibles uniquement au compte de gestion. Pour plus d’informations sur la manière d’autoriser un accès en lecture au compartiment Amazon S3 pour les utilisateurs IAM des comptes membres, consultez [Partage de fichiers CloudTrail journaux entre AWS comptes](cloudtrail-sharing-logs.md).
## Activation CloudTrail en tant que service fiable dans AWS Organizations
Avant de créer un journal de suivi d'organisation, vous devez au préalable activer toutes les fonctions dans Organizations. Pour plus d'informations, consultez [Enabling All Features in Your Organization (Activation de toutes les fonctions de votre organisation)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) ou exécutez la commande suivante à l'aide d'un profil bénéficiant des autorisations suffisantes dans le compte de gestion :
```
aws organizations enable-all-features
```
Après avoir activé toutes les fonctionnalités, vous devez configurer Organizations pour CloudTrail qu'elles soient considérées comme des services fiables.
Pour créer une relation de service fiable entre AWS Organizations et CloudTrail, ouvrez un terminal ou une ligne de commande et utilisez un profil dans le compte de gestion. Exécutez la commande `aws organizations enable-aws-service-access` comme illustré dans l'exemple suivant.
```
aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com
```
## Utilisation de create-trail
### Créer un journal de suivi d'organisation qui s'applique à toutes les régions
Pour créer un journal de suivi d'organisation qui s'applique à toutes les régions, ajoutez les options `--is-organization-trail` et `--is-multi-region-trail`.
**Note**
Lorsque vous créez un journal d'organisation à l'aide du AWS CLI, vous devez utiliser un AWS CLI profil dans le compte de gestion ou dans le compte d'administrateur délégué doté des autorisations suffisantes.
L'exemple suivant crée un journal de suivi d'organisation qui livre les journaux de toutes les régions à un compartiment existant nommé `{{amzn-s3-demo-bucket}}` :
```
aws cloudtrail create-trail --name {{my-trail}} --s3-bucket-name {{amzn-s3-demo-bucket}} --is-organization-trail --is-multi-region-trail
```
Afin de confirmer que votre journal de suivi existe dans toutes les régions, les paramètres `IsOrganizationTrail` et `IsMultiRegionTrail` de la sortie sont tous deux définis sur `true` :
```
{
"IncludeGlobalServiceEvents": true,
"Name": "{{my-trail}}",
"TrailARN": "arn:aws:cloudtrail:{{us-east-2}}:{{123456789012}}:trail/{{my-trail}}",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": true,
"S3BucketName": "{{amzn-s3-demo-bucket}}"
}
```
**Note**
Exécutez la commande `start-logging` pour démarrer la journalisation pour votre journal de suivi. Pour plus d'informations, consultez [Arrêt et démarrage de la journalisation pour un journal de suivi](cloudtrail-additional-cli-commands.md#cloudtrail-start-stop-logging-cli-commands).
### Créer un journal de suivi d'organisation comme journal de suivi à région unique
La commande suivante crée un journal d'organisation qui enregistre uniquement les événements dans un seul journal Région AWS, également appelé journal d'une seule région. La AWS région dans laquelle les événements sont enregistrés est la région spécifiée dans le profil de configuration du AWS CLI.
```
aws cloudtrail create-trail --name {{my-trail}} --s3-bucket-name {{amzn-s3-demo-bucket}} --is-organization-trail
```
Pour de plus amples informations, veuillez consulter [Exigences de dénomination pour les CloudTrail ressources, les compartiments S3 et les clés KMS](cloudtrail-trail-naming-requirements.md).
Exemple de sortie :
```
{
"IncludeGlobalServiceEvents": true,
"Name": "{{my-trail}}",
"TrailARN": "arn:aws:cloudtrail:{{us-east-2}}:{{123456789012}}:trail/{{my-trail}}",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": false,
"IsOrganizationTrail": true,
"S3BucketName": "{{amzn-s3-demo-bucket}}"
}
```
Par défaut, la commande `create-trail` crée un journal de suivi à région unique et ce suivi n'active pas la validation de fichiers journaux.
**Note**
Utilisez la commande `start-logging` pour démarrer la journalisation pour votre journal de suivi.
## Exécution de **update-trail** pour effectuer la mise à jour d'un journal de suivi d'organisation
Vous pouvez utiliser la commande `update-trail` pour modifier les paramètres de configuration d'un journal de suivi d'organisation ou pour appliquer un journal de suivi existant d'un compte AWS à l'intégralité d'une organisation. Souvenez-vous qu'il est possible d'exécuter la commande `update-trail` qu'à partir de la région dans laquelle le journal de suivi a été créé.
**Note**
Si vous utilisez le AWS CLI ou l'un des AWS SDKs pour mettre à jour un parcours, assurez-vous que la politique relative aux compartiments du parcours est le cas up-to-date. Pour de plus amples informations, veuillez consulter [Création d'un parcours pour une organisation à l'aide du AWS CLI](#cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli).
Lorsque vous mettez à jour le journal d'une organisation avec le AWS CLI, vous devez utiliser un AWS CLI profil du compte de gestion ou du compte d'administrateur délégué doté des autorisations suffisantes. Si vous souhaitez convertir un journal d'organisation en un journal non lié à une organisation, vous devez utiliser le compte de gestion de l'organisation, car le compte de gestion est le propriétaire de toutes les ressources de l'organisation.
CloudTrail met à jour les traces de l'organisation dans les comptes des membres même en cas d'échec de la validation des ressources. Voici des exemples d'échecs de validation :
une politique de compartiment Amazon S3 incorrecte
une politique de rubrique Amazon SNS incorrecte
impossibilité de livrer à un groupe de CloudWatch journaux Logs
autorisation insuffisante pour chiffrer à l'aide d'une clé KMS
Un compte membre disposant d' CloudTrail autorisations peut voir les échecs de validation d'un journal d'organisation en consultant la page de détails du journal sur la CloudTrail console ou en exécutant la AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html)commande.
### Application d’un journal de suivi existant à une organisation
Pour modifier un parcours existant afin qu'il s'applique également à une organisation plutôt qu'à un seul AWS compte, ajoutez l'`--is-organization-trail`option, comme indiqué dans l'exemple suivant.
**Note**
Utilisez le compte de gestion pour transformer un journal de suivi non lié à une organisation existant en un journal d'organisation.
```
aws cloudtrail update-trail --name {{my-trail}} --is-organization-trail
```
Afin de confirmer que le journal de suivi s’applique maintenant à l’organisation, le paramètre `IsOrganizationTrail` de la sortie affiche une valeur de `true`.
```
{
"IncludeGlobalServiceEvents": true,
"Name": "{{my-trail}}",
"TrailARN": "arn:aws:cloudtrail:{{us-east-2}}:{{123456789012}}:trail/{{my-trail}}",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": true,
"S3BucketName": "{{amzn-s3-demo-bucket}}"
}
```
Dans l'exemple précédent, le sentier a été configuré en tant que sentier multirégional (`"IsMultiRegionTrail": true`). Un journal de suivi qui s'appliquait uniquement à une région unique indiquerait `"IsMultiRegionTrail": false` au niveau de la sortie.
### Conversion d'un parcours d'organisation d'une seule région en un parcours d'organisation multirégional
Pour convertir un historique d'organisation mono-régional existant en un historique d'organisation multirégional, ajoutez l'`--is-multi-region-trail`option comme indiqué dans l'exemple suivant.
```
aws cloudtrail update-trail --name {{my-trail}} --is-multi-region-trail
```
Pour confirmer que le parcours est désormais multirégional, vérifiez que le `IsMultiRegionTrail` paramètre de sortie a une valeur de`true`.
```
{
"IncludeGlobalServiceEvents": true,
"Name": "{{my-trail}}",
"TrailARN": "arn:aws:cloudtrail:{{us-east-2}}:{{123456789012}}:trail/{{my-trail}}",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": true,
"S3BucketName": "{{amzn-s3-demo-bucket}}"
}
```