Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Comprendre les banques de données sur les événements d'une organisation
<a name="cloudtrail-lake-organizations"></a>

**Note**  
AWS CloudTrail Lake ne sera plus ouvert aux nouveaux clients à compter du 31 mai 2026. Si vous souhaitez utiliser CloudTrail Lake, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour de plus amples informations, veuillez consulter [CloudTrail Modification de la disponibilité des lacs](cloudtrail-lake-service-availability-change.md).

Si vous avez créé une organisation dans AWS Organizations, vous pouvez créer un *magasin de données d'événements d'organisation* qui enregistre tous les événements pour tous Comptes AWS les membres de cette organisation. Les banques de données sur les événements de l'organisation peuvent s'appliquer à toutes les Régions AWS organisations ou à la région actuelle. Les magasins de données d’événement d’organisation ne peuvent pas être utilisés pour collecter des événements externes à AWS.

Vous pouvez [créer un magasin de données d'événements d'organisation](#cloudtrail-lake-organizations-create-eds) à l'aide du compte de gestion ou du compte d'administrateur délégué. Lorsqu’un administrateur délégué crée un magasin de données d’événement d’organisation, celui-ci existe dans le compte de gestion de l’organisation. Cette approche s’explique par le fait que le compte de gestion conserve la propriété de toutes les ressources de l’organisation. 

Le compte de gestion d'une organisation peut [mettre à jour un magasin de données d'événements au niveau du compte](#cloudtrail-lake-organizations-update-eds) pour l'appliquer à une organisation.

Lorsque le magasin de données d’événement d’organisation est spécifié comme s’appliquant à une organisation, il est automatiquement appliqué à tous les comptes membres de l’organisation. Les comptes membres ne peuvent pas afficher le magasin de données d’événement d’organisation, ni le modifier ou le supprimer. Par défaut, les comptes membres n’ont pas accès au magasin de données d’événement d’organisation et ne peuvent pas exécuter de requêtes sur ce type de magasins. 

Le tableau suivant présente les fonctionnalités du compte de gestion et des comptes d'administrateur délégué au sein de l' AWS Organizations organisation.


| Fonctionnalités | Compte de gestion | Compte administrateur délégué | 
| --- | --- | --- | 
|  Enregistrer ou supprimer les comptes administrateur délégué.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/success_icon.svg) Oui  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/negative_icon.svg) Non  | 
|  Créez un magasin de données d'événements d'organisation pour les AWS CloudTrail événements ou les éléments AWS Config de configuration.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/success_icon.svg) Oui  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/success_icon.svg) Oui  | 
|  Activer Insights sur le magasin de données d’événement d’organisation.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/success_icon.svg) Oui  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/negative_icon.svg) Non  | 
|  Mettre à jour un magasin de données d’événement d’organisation.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/success_icon.svg) Oui  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/success_icon.svg)Oui 1  | 
|  Démarrez et arrêtez l'ingestion d'événements dans le magasin de données d'événements d'une organisation.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/success_icon.svg) Oui  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/success_icon.svg) Oui  | 
|  Activer la fédération de requêtes Lake sur le magasin de données d’événement d’organisation.2  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/success_icon.svg) Oui  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/success_icon.svg) Oui  | 
|  Désactiver la fédération de requêtes Lake dans un magasin de données d’événement d’organisation.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/success_icon.svg) Oui  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/success_icon.svg) Oui  | 
|  Supprimer un magasin de données d’événement d’organisation.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/success_icon.svg) Oui  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/success_icon.svg) Oui  | 
|  Copier des événements de journal de suivi dans un magasin de données d’événement.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/success_icon.svg) Oui  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/negative_icon.svg) Non  | 
|  Exécuter des requêtes sur des magasins de données d’événement d’organisation.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/success_icon.svg) Oui  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/success_icon.svg) Oui  | 
|  Consultez un tableau de bord géré pour le magasin de données d'événements d'une organisation.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/success_icon.svg) Oui  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/negative_icon.svg) Non  | 
|  Activez le tableau de bord Highlights pour les magasins de données sur les événements de l'organisation.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/success_icon.svg) Oui  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/negative_icon.svg) Non  | 
|  Créez un widget pour un tableau de bord personnalisé qui interroge le magasin de données d'événements d'une organisation.  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/success_icon.svg) Oui  |  ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/negative_icon.svg) Non  | 

1 Seul le compte de gestion peut convertir un magasin de données d'événements d'organisation en un magasin de données d'événements au niveau du compte, ou convertir un magasin de données d'événements au niveau du compte en un magasin de données d'événements d'organisation. Ces actions ne sont pas autorisées pour l’administrateur délégué, car les magasins de données d’événement d’organisation n’existent que dans le compte de gestion. Lorsque le magasin de données d'événements d'une organisation est converti en un magasin de données d'événements au niveau du compte, seul le compte de gestion a accès au magasin de données d'événements. De même, seul un magasin de données d'événements au niveau du compte dans le compte de gestion peut être converti en magasin de données d'événements d'organisation.

2Un seul compte administrateur délégué ou le compte de gestion peut activer la fédération dans le magasin de données d’événement d’organisation. D’autres comptes administrateur délégué peuvent interroger et partager des informations à l’aide de la [fonctionnalité de partage de données de Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/data-sharing-overivew.html). Tout compte administrateur délégué ainsi que le compte de gestion de l’organisation peuvent désactiver la fédération.

## Création d'une banque de données sur les événements d'une organisation
<a name="cloudtrail-lake-organizations-create-eds"></a>

Le compte de gestion ou le compte d'administrateur délégué d'une organisation peut créer un magasin de données d'événements d'organisation pour collecter des CloudTrail événements (événements de gestion, événements de données) ou des éléments AWS Config de configuration.

**Note**  
Seul le compte de gestion de l'organisation peut copier les événements du parcours dans un magasin de données d'événements.

------
#### [ CloudTrail console ]

**Pour créer un magasin de données d'événements d'organisation à l'aide de la console**

1. Suivez les étapes de la procédure de [création d'un magasin de données d' CloudTrail événements pour](query-event-data-store-cloudtrail.md#query-event-data-store-cloudtrail-procedure) créer un magasin de données d'événements d'organisation pour CloudTrail la gestion ou les événements de données.

   **OU**

   Suivez les étapes de la procédure de [création d'un magasin de données d'événements pour les éléments de AWS Config configuration](query-event-data-store-config.md#create-config-event-data-store) afin de créer un magasin de données d'événements d'organisation pour les éléments AWS Config de configuration.

1. Sur la page **Choisir des événements**, choisissez **Activer pour tous les comptes de mon organisation**.

------
#### [ AWS CLI ]

Pour créer un magasin de données d'événements d'organisation, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-event-data-store.html)commande et incluez l'`--organization-enabled`option.

L'exemple de AWS CLI `create-event-data-store` commande suivant crée un magasin de données d'événements d'organisation qui collecte tous les événements de gestion. Étant donné que CloudTrail les événements de gestion sont enregistrés par défaut, il n'est pas nécessaire de spécifier des sélecteurs d'événements avancés si votre banque de données d'événements enregistre tous les événements de gestion et ne collecte aucun événement de données.

```
aws cloudtrail create-event-data-store --name org-management-eds --organization-enabled
```

Voici un exemple de réponse.

```
{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE6-d493-4914-9182-e52a7934b207",
    "Name": "org-management-eds",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": true,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-16T15:30:50.689000+00:00",
    "UpdatedTimestamp": "2023-11-16T15:30:50.851000+00:00"
}
```

L'exemple de AWS CLI `create-event-data-store` commande suivant crée un magasin de données d'événements d'organisation nommé `config-items-org-eds` qui collecte les éléments AWS Config de configuration. Pour collecter des éléments de configuration, spécifiez que le `eventCategory` champ est égal `ConfigurationItem` dans les sélecteurs d'événements avancés.

```
aws cloudtrail create-event-data-store --name config-items-org-eds \
--organization-enabled \
--advanced-event-selectors '[
    {
        "Name": "Select AWS Config configuration items",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["ConfigurationItem"] }
        ]
    }
]'
```

------

## Appliquer un magasin de données d'événements au niveau du compte à une organisation
<a name="cloudtrail-lake-organizations-update-eds"></a>

Le compte de gestion de l'organisation peut convertir un magasin de données d'événements au niveau du compte pour l'appliquer à une organisation.

------
#### [ CloudTrail console ]

**Pour mettre à jour un magasin de données d'événements au niveau du compte à l'aide de la console**

1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1. Dans le panneau de navigation, sous **Lake**, choisissez **Magasins de données d’événement**.

1. Choisissez le magasin de données d’événement que vous voulez mettre à jour. Cette action ouvre la page contenant les détails du magasin de données d’événement.

1. Dans **General details** (Détails généraux), choisissez **Edit** (Modifier).

1. Choisissez **Activer pour tous les comptes de mon organisation**.

1. Sélectionnez **Enregistrer les modifications**.

Pour plus d'informations sur la mise à jour d'une banque de données d'événements, consultez[Mettre à jour un magasin de données d'événements avec la console](query-event-data-store-update.md).

------
#### [ AWS CLI ]

Pour mettre à jour un magasin de données d'événements au niveau du compte afin de l'appliquer à une organisation, exécutez la [update-event-data-store](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html)commande et incluez l'`--organization-enabled`option.

```
aws cloudtrail update-event-data-store --region us-east-1 \
--organization-enabled \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE
```

------

## Politique de ressources par défaut pour les administrateurs délégués
<a name="cloudtrail-lake-organizations-eds-rbp"></a>

CloudTrail génère automatiquement une politique de ressources nommée `DelegatedAdminResourcePolicy` pour les [magasins de données d'événements de l'organisation](#cloudtrail-lake-organizations) qui répertorie les actions que les comptes d'administrateur délégué sont autorisés à effectuer sur les magasins de données d'événements de l'organisation. Les autorisations dans `DelegatedAdminResourcePolicy` sont dérivées des autorisations d'administrateur déléguées dans AWS Organizations.

L'objectif `DelegatedAdminResourcePolicy` est de garantir que les comptes d'administrateur délégué peuvent gérer le magasin de données d'événements de l'organisation pour le compte de l'organisation et ne se voient pas refuser involontairement l'accès au magasin de données d'événements de l'organisation lorsqu'une politique basée sur les ressources est attachée au magasin de données d'événements de l'organisation qui autorise ou interdit aux principaux d'effectuer une action sur le magasin de données d'événements de l'organisation.

CloudTrail évalue `DelegatedAdminResourcePolicy` en tandem avec toute politique basée sur les ressources fournie pour le magasin de données d'événements de l'organisation. L'accès aux comptes d'administrateur délégué ne serait refusé que si la politique basée sur les ressources fournie incluait une déclaration interdisant explicitement aux comptes d'administrateur délégué d'effectuer une action sur le magasin de données d'événements de l'organisation que les comptes d'administrateur délégué seraient autrement en mesure d'effectuer.

Cette `DelegatedAdminResourcePolicy` politique est mise à jour automatiquement lorsque :
+ Le compte de gestion convertit un magasin de données d'événements d'organisation en un magasin de données d'événements au niveau du compte, ou convertit un magasin de données d'événements au niveau du compte en un magasin de données d'événements d'organisation.
+ Il y a des changements d'organisation. Par exemple, le compte de gestion enregistre ou supprime un compte d'administrateur CloudTrail délégué.

Vous pouvez consulter la up-to-date politique dans la section **Politique de ressources de l'administrateur délégué** de la CloudTrail console, ou en exécutant la AWS CLI `get-resource-policy` commande et en transmettant l'ARN du magasin de données des événements de l'organisation.

L'exemple suivant exécute la `get-resource-policy` commande sur le magasin de données d'événements d'une organisation.

```
aws cloudtrail get-resource-policy --resource-arn arn:aws:cloudtrail:us-east-1:888888888888:eventdatastore/example6-d493-4914-9182-e52a7934b207
```

Le résultat de cette commande affichera la politique basée sur les ressources et la `DelegatedAdminResourcePolicy` politique générée pour les comptes d'administrateurs délégués.

## Ressources supplémentaires
<a name="cloudtrail-lake-organizations-addl-info"></a>
+ [Administrateur délégué de l'organisation](cloudtrail-delegated-administrator.md)
+ [Ajouter un administrateur CloudTrail délégué](cloudtrail-add-delegated-administrator.md)
+ [Supprimer un administrateur CloudTrail délégué](cloudtrail-remove-delegated-administrator.md)