Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Création d'un journal de suivi pour une organisation
<a name="creating-trail-organization"></a>

Si vous avez créé une organisation dans AWS Organizations, vous pouvez créer un suivi qui enregistre tous les événements pour tous les membres Comptes AWS de cette organisation. Ce journal est parfois appelé *journal de suivi de l’organisation*. 

 Le compte de gestion de l'organisation peut charger un [administrateur délégué](cloudtrail-delegated-administrator.md) de créer des journaux de suivi d'organisation ou de gérer ceux qui existent déjà. Pour plus d’informations sur l’ajout d’un administrateur délégué, consultez [Ajouter un administrateur CloudTrail délégué](cloudtrail-add-delegated-administrator.md). 

 Le compte de gestion de l'organisation peut modifier un journal de suivi existant dans son compte et l'appliquer à une organisation, ce qui en fait un journal de suivi d'organisation. Les journaux de suivi de l’organisation journalisent les événements pour le compte de gestion et pour tous les comptes membres de l’organisation. Pour plus d'informations AWS Organizations, voir [Terminologie et concepts des organisations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html).

**Note**  
Vous devez vous connecter avec le compte de gestion ou le compte d'administrateur délégué associé à une organisation pour créer un journal de suivi d'organisation. Vous devez également disposer d'[autorisations suffisantes](creating-an-organizational-trail-prepare.md#org_trail_permissions) pour que l'utilisateur ou le rôle du compte de gestion ou d'administrateur délégué puisse créer le journal. Si vous ne disposez pas des autorisations suffisantes, vous n'aurez pas la possibilité d'appliquer le journal de suivi à une organisation.

Tous les parcours d'organisation créés à l'aide de la console sont des journaux d'organisation multirégionaux qui enregistrent les événements associés aux comptes [activés](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization) Régions AWS dans chaque compte membre de l'organisation. Pour enregistrer les événements dans toutes les AWS partitions de votre organisation, créez un journal d'organisation multirégional dans chaque partition. Vous pouvez créer un journal d'organisation à région unique ou multirégionale à l'aide du. AWS CLI Si vous créez un sentier à région unique, vous enregistrez l'activité uniquement dans le sentier Région AWS (également appelé région d'*origine*).

Bien que la plupart Régions AWS soient activées par défaut pour vous Compte AWS, vous devez activer manuellement certaines régions (également appelées *régions optionnelles*). Pour plus d'informations sur les régions activées par défaut, consultez la section [Considérations relatives à l'activation et à la désactivation des régions](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) dans le *Guide de Gestion de compte AWS référence*. Pour la liste des régions prises CloudTrail en charge, voir[CloudTrail Régions prises en charge](cloudtrail-supported-regions.md). 

Lorsque vous créez un historique d'organisation, une copie du journal portant le nom que vous lui donnez est créée dans les comptes des membres appartenant à votre organisation.
+ Si le parcours de l'organisation est destiné **à une seule région** et que la région d'origine du sentier **n'est pas une région optionnelle**, une copie du parcours est créée dans la région d'origine du parcours de l'organisation sur chaque compte membre.
+ Si le parcours de l'organisation concerne une **seule région** et que la région d'origine du sentier **est une région optionnelle**, une copie du parcours est créée dans la région d'origine du parcours de l'organisation sur les comptes des membres qui ont activé cette région.
+ Si le parcours de l'organisation est **multirégional** et que la région d'origine du sentier **n'**est** pas une région optionnelle**, une copie du parcours est créée dans chaque région activée Région AWS dans chaque compte membre. Lorsqu'un compte membre active une région optionnelle, une copie du parcours multirégional est créée dans la région nouvellement inscrite pour le compte du membre une fois l'activation de cette région terminée.
+ Si le parcours de l'organisation est **multirégional** et que la région d'origine **est** **une région optionnelle**, les comptes membres n'enverront aucune activité au parcours de l'organisation à moins qu'ils n'aient choisi celui Région AWS où le parcours multirégional a été créé. Par exemple, si vous créez un parcours multirégional et que vous choisissez la région Europe (Espagne) comme région d'origine du parcours, seuls les comptes membres ayant activé la région Europe (Espagne) pour leur compte enverront l'activité de leur compte au parcours de l'organisation.

**Note**  
CloudTrail crée des traces d'organisation dans les comptes des membres même en cas d'échec de la validation des ressources. Voici des exemples d'échecs de validation :  
une politique de compartiment Amazon S3 incorrecte
une politique de rubrique Amazon SNS incorrecte
impossibilité de livrer à un groupe de CloudWatch journaux Logs
autorisation insuffisante pour chiffrer à l'aide d'une clé KMS
Un compte membre disposant d' CloudTrail autorisations peut voir les échecs de validation d'un journal d'organisation en consultant la page de détails du journal sur la CloudTrail console ou en exécutant la AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html)commande.

Les utilisateurs disposant CloudTrail d'autorisations sur les comptes membres peuvent consulter les traces de l'organisation lorsqu'ils se connectent à la CloudTrail console depuis leur Comptes AWS compte ou lorsqu'ils exécutent AWS CLI des commandes telles que`describe-trails`. Toutefois, les utilisateurs des comptes membres ne disposent pas des autorisations suffisantes pour supprimer les traces d'une organisation, activer ou désactiver la connexion, modifier les types d'événements enregistrés ou modifier de quelque manière que ce soit le journal d'une organisation.

Lorsque vous créez un journal d'organisation dans la console, vous CloudTrail créez un [rôle lié à un service](using-service-linked-roles.md) pour effectuer des tâches de journalisation dans les comptes membres de votre organisation. Ce rôle est nommé **AWSServiceRoleForCloudTrail**et est requis pour CloudTrail consigner les événements d'une organisation. Si un Compte AWS est ajouté à une organisation, le suivi de l'organisation et le rôle lié au service y sont ajoutés Compte AWS, et la journalisation de ce compte démarre automatiquement dans le journal de l'organisation. Si un Compte AWS est supprimé d'une organisation, le parcours de l'organisation et le rôle lié au service sont supprimés de l'organisation Compte AWS qui ne fait plus partie de l'organisation. Toutefois, les fichiers journaux que le compte supprimé a créés avant la suppression du compte sont conservés dans le compartiment Simple Storage Service (Amazon S3) dans lequel les fichiers journaux sont stockés pour le journal de suivi.

Si le compte de gestion d'une AWS Organizations organisation crée un suivi d'organisation, puis est ensuite supprimé en tant que compte de gestion de l'organisation, tout journal d'organisation créé à l'aide de son compte devient un journal non organisationnel.

Dans l'exemple suivant, le compte de gestion 111111111111 de l'organisation crée un suivi portant le nom de l'organisation. *MyOrganizationTrail* *o-exampleorgid* Le journal de suivi journalise l’activité de tous les comptes de l’organisation dans le même compartiment Amazon S3. Tous les comptes de l'organisation peuvent voir *MyOrganizationTrail* leur liste de parcours, mais les comptes membres ne peuvent pas supprimer ou modifier le parcours de l'organisation. Seuls les comptes de gestion ou d'administrateur délégué peuvent modifier ou supprimer le journal de suivi pour l'organisation. Seul le compte de gestion peut supprimer un compte membre d'une organisation. De même, par défaut, seul le compte de gestion a accès au compartiment Amazon S3 pour le suivi et aux journaux qu'il contient. La structure de compartiment de haut niveau pour les fichiers journaux contient un dossier nommé avec l'ID de l'organisation et des sous-dossiers nommés avec le compte IDs pour chaque compte de l'organisation. Les événements de chaque compte membre sont journalisés dans le dossier qui correspond à l’ID du compte membre. Si le compte de membre 444444444444 est supprimé de l'organisation, que le rôle lié au service n'apparaît plus dans le AWS compte 444444444444, *MyOrganizationTrail* et qu'aucun autre événement n'est enregistré pour ce compte par le journal de l'organisation. Toutefois, le dossier 444444444444 demeure dans le compartiment Amazon S3, avec tous les journaux créés avant la suppression du compte de l’organisation.

![\[Vue d'ensemble conceptuelle d'un exemple d'organisation dans Organizations.\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/organization-trail.png)


Dans cet exemple, l’ARN du journal de suivi créé dans le compte de gestion est `aws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail`. Cet ARN est aussi l'ARN du journal de suivi de tous les comptes membres.

Les journaux de suivi d'une organisation sont similaires en de nombreux points aux journaux de suivi réguliers. Vous pouvez créer plusieurs parcours pour votre organisation, choisir de créer un parcours d'organisation multirégional ou mono-régional, ainsi que les types d'événements que vous souhaitez enregistrer dans le journal de votre organisation, comme dans tout autre parcours. Cependant, il existe quelques différences. Par exemple, lorsque vous créez un journal dans la console et que vous choisissez de consigner les événements de données pour les buckets ou les AWS Lambda fonctions Amazon S3, les seules ressources répertoriées dans la CloudTrail console sont celles du compte de gestion, mais vous pouvez ajouter les ressources ARNs for dans les comptes des membres. Les événements de données pour les ressources des comptes membres spécifiés sont journalisés sans avoir à configurer manuellement d'accès croisé entre comptes à ces ressources. Pour plus d'informations sur la journalisation des événements de gestion, des événements Insights et des événements liés aux données[Journalisation des événements de gestion](logging-management-events-with-cloudtrail.md), consultez[Journalisation des événements de données](logging-data-events-with-cloudtrail.md), et[Travailler avec CloudTrail Insights](logging-insights-events-with-cloudtrail.md).

**Note**  
Dans la console, vous créez un parcours multirégional. Il est recommandé de consigner l'activité dans toutes les régions activées de votre région Compte AWS, car cela vous permet de renforcer la sécurité de votre AWS environnement. Pour créer un journal de suivi à région unique, [utilisez l' AWS CLI](cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-create-trail.md#cloudtrail-create-and-update-a-trail-by-using-the-aws-cli-examples-single).

Lorsque vous consultez les événements dans **l'historique des événements** d'une organisation à laquelle vous êtes connecté AWS Organizations, vous ne pouvez consulter les événements que pour celle Compte AWS à laquelle vous êtes connecté. Par exemple, si vous êtes connecté avec le compte de gestion de l'organisation, **Event history** (Historique des événements) affiche les 90 derniers jours d'événements de gestion pour le compte de gestion. Les événements de compte membre de l'organisation ne sont pas affichés dans **Event history** (Historique des événements) pour le compte de gestion. Pour afficher les événements de compte membre dans **Event history** (Historique des événements), connectez-vous avec le compte membre.

Vous pouvez configurer d'autres AWS services pour analyser plus en profondeur les données d'événements collectées dans les CloudTrail journaux d'un journal d'entreprise et agir en conséquence, de la même manière que vous le feriez pour n'importe quel autre journal. Par exemple, vous pouvez analyser les données du journal de suivi d'une organisation avec Amazon Athena. Pour de plus amples informations, veuillez consulter [AWS intégrations de services avec journaux CloudTrail](cloudtrail-aws-service-specific-topics.md#cloudtrail-aws-service-specific-topics-integrations).

**Topics**
+ [Passer des traces des comptes membres aux traces des organisations](creating-an-organizational-trail-best-practice.md)
+ [Se préparer pour la création d'un journal de suivi pour son organisation](creating-an-organizational-trail-prepare.md)
+ [Création d’un journal de suivi pour votre organisation dans la console](creating-an-organizational-trail-in-the-console.md)
+ [Création d'un parcours pour une organisation à l'aide du AWS CLI](cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli.md)
+ [Résolution des problèmes liés à un suivi organisationnel](cloudtrail-troubleshooting.md)

# Passer des traces des comptes membres aux traces des organisations
<a name="creating-an-organizational-trail-best-practice"></a>

Si vous avez déjà configuré des CloudTrail parcours pour des comptes de membres individuels, mais que vous souhaitez passer à un suivi d'organisation afin de consigner les événements de tous les comptes, vous ne voulez pas perdre des événements en supprimant les traces de comptes de membres individuels avant de créer un suivi d'organisation. Mais lorsque vous avez deux journaux de suivi, vous vous exposez à des coûts plus élevés car des copies supplémentaires d'événements sont livrées au journal de suivi de l'organisation.

Pour vous aider à gérer les coûts tout en évitant de perdre des événements avant le début de la remise du journal aux journaux de suivi d'une organisation, nous vous conseillons de conserver à la fois les journaux de suivi de votre compte membre individuel et de votre organisation pendant une journée. Cela garantit que le journal de suivi d'une organisation journalise tous les événements, mais que les coûts d'événement dupliqués sont limités à une journée. Après le premier jour, vous pouvez arrêter de connecter (ou supprimer) les journaux de suivi des comptes membres individuels.

# Se préparer pour la création d'un journal de suivi pour son organisation
<a name="creating-an-organizational-trail-prepare"></a>

Avant de créer un journal de suivi pour votre organisation, assurez-vous que le compte de gestion ou le compte d'administrateur délégué de votre organisation est correctement configuré pour la création de journaux de suivi.
+ Votre organisation doit avoir toutes les fonctions activées avant de pouvoir créer un journal de suivi. Pour en savoir plus, consultez [Activation de toutes les fonctions de votre organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html).
+ Le compte de gestion doit avoir le rôle **AWSServiceRoleForOrganizations**. Ce rôle est créé automatiquement par Organizations lorsque vous créez votre organisation et est nécessaire pour CloudTrail consigner les événements d'une organisation. Pour plus d’informations, consultez [Organizations et rôles liés à un service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_integrate_services-using_slrs).
+ Le rôle ou l'utilisateur qui crée le journal de suivi d'organisation dans le compte de gestion ou d'administrateur délégué doit disposer d'autorisations suffisantes pour créer un journal de suivi d'organisation. Vous devez au moins appliquer la politique **AWSCloudTrail\$1FullAccess**, ou une politique équivalente, à ce rôle ou à cet utilisateur. Vous devez également disposer d’autorisations suffisantes dans IAM et Organizations pour créer le rôle lié à un service et activer l’accès de confiance. Si vous choisissez de créer un nouveau compartiment S3 pour un journal organisationnel à l'aide de la CloudTrail console, votre police doit également inclure le `s3:PutEncryptionConfiguration` action car le chiffrement côté serveur est activé par défaut pour le compartiment. L’exemple de politique suivant illustre les autorisations minimales requises.
**Note**  
Vous ne devez pas partager la **AWSCloudTrail\$1FullAccess**politique de manière générale entre vous Compte AWS. Vous devez plutôt le limiter aux Compte AWS administrateurs en raison de la nature très sensible des informations collectées par CloudTrail. Les utilisateurs ayant ce rôle ont la possibilité de désactiver ou de reconfigurer les fonctions d'audit les plus sensibles et les plus importantes dans leur Comptes AWS. C'est pourquoi vous devez contrôler et surveiller étroitement l'accès à cette politique d'accès.

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "iam:GetRole",
                  "organizations:EnableAWSServiceAccess",
                  "organizations:ListAccounts",
                  "iam:CreateServiceLinkedRole",
                  "organizations:DisableAWSServiceAccess",
                  "organizations:DescribeOrganization",
                  "organizations:ListAWSServiceAccessForOrganization",
                  "s3:PutEncryptionConfiguration"
              ],
              "Resource": "*"
          }
      ]
  }
  ```

------
+ Pour utiliser le AWS CLI ou CloudTrail APIs pour créer un suivi d'organisation, vous devez activer l'accès sécurisé pour CloudTrail dans Organizations, et vous devez créer manuellement un compartiment Amazon S3 avec une politique autorisant la journalisation d'un journal d'organisation. Pour de plus amples informations, veuillez consulter [Création d'un parcours pour une organisation à l'aide du AWS CLI](cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli.md).
+ Pour utiliser un rôle IAM existant afin d'ajouter la surveillance du suivi d'une organisation à Amazon CloudWatch Logs, vous devez modifier manuellement le rôle IAM afin d'autoriser la livraison des CloudWatch journaux des comptes membres au groupe CloudWatch des journaux du compte de gestion, comme illustré dans l'exemple suivant.
**Note**  
Vous devez utiliser un rôle IAM et un groupe de CloudWatch journaux journaux qui existent dans votre propre compte. Vous ne pouvez pas utiliser un rôle IAM ou un groupe de CloudWatch journaux appartenant à un autre compte. 

------
#### [ JSON ]

****  

  ```
  {
      "Version":"2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "AWSCloudTrailCreateLogStream20141101",
              "Effect": "Allow",
              "Action": [
                  "logs:CreateLogStream"
              ],
              "Resource": [
                  "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",
                  "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
              ]
          },
          {
              "Sid": "AWSCloudTrailPutLogEvents20141101",
              "Effect": "Allow",
              "Action": [
                  "logs:PutLogEvents"
              ],
              "Resource": [
                  "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*",             
                  "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*"
              ]
          }
      ]
  }
  ```

------

  Vous pouvez en savoir plus sur CloudTrail Amazon CloudWatch Logs in[Surveillance des fichiers CloudTrail journaux avec Amazon CloudWatch Logs](monitor-cloudtrail-log-files-with-cloudwatch-logs.md). En outre, tenez compte des limites relatives aux CloudWatch journaux et des considérations relatives à la tarification du service avant de décider d'activer l'expérience dans le cadre d'un suivi organisationnel. Pour plus d'informations, consultez [CloudWatch Logs Limits](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html) et [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/).
+ Pour enregistrer les événements de données dans le journal de votre organisation pour des ressources spécifiques présentes dans les comptes membres, préparez une liste des noms de ressources Amazon (ARNs) pour chacune de ces ressources. Les ressources du compte membre ne sont pas affichées dans la CloudTrail console lorsque vous créez un suivi ; vous pouvez rechercher les ressources du compte de gestion sur lesquelles la collecte d'événements de données est prise en charge, telles que les compartiments S3. De même, si vous souhaitez ajouter des ressources spécifiques aux membres lors de la création ou de la mise à jour d'un journal d'organisation sur la ligne de commande, vous avez besoin ARNs de ces ressources.
**Note**  
Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour les CloudTrail tarifs, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/).

Vous devriez également envisager de vérifier combien de parcours existent déjà dans le compte de gestion et dans les comptes des membres avant de créer un parcours d'organisation. CloudTrail limite le nombre de sentiers pouvant être créés dans chaque région. Il n'est pas possible de dépasser cette limite dans la région où vous créez le journal de suivi d'organisation du compte de gestion. Cependant, le journal de suivi sera créé dans les comptes membres, même si les comptes membres ont atteint la limite des journaux de suivi dans une région. Bien que le premier journal de suivi d'une région soit gratuit, des frais s'appliquent aux journaux de suivi supplémentaires. Pour réduire le coût potentiel d'un journal de suivi d'organisation, pensez à supprimer tous les journaux de suivi superflus du compte de gestion et des comptes membres. Pour plus d'informations sur la CloudTrail tarification, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/).

## Bonnes pratiques de sécurité dans le journal d’activité de l'organisation
<a name="organizational-trail-prepare-confused-deputy"></a>

Comme bonne pratique relative à la sécurité, nous vous recommandons d'ajouter la clé de condition `aws:SourceArn` des politiques de ressources (telles que celles des compartiments S3, des clés KMS ou des rubriques SNS) que vous utilisez avec un journal d’activité d'organisation. La valeur de `aws:SourceArn` est l'ARN du journal de l'organisation (ou ARNs, si vous utilisez la même ressource pour plusieurs sentiers, par exemple le même compartiment S3 pour stocker les journaux de plusieurs sentiers). Cela garantit que la ressource, telle qu'un compartiment S3, n'accepte que les données associées au journal d’activité spécifique. L'ARN du journal d’activité doit utiliser l'ID de compte du compte de gestion. L'extrait de politique suivant illustre un exemple dans lequel plusieurs journaux d’activité utilisent la ressource.

```
"Condition": {
    "StringEquals": {
      "aws:SourceArn": ["Trail_ARN_1",..., "Trail_ARN_n"]
    }
}
```

Pour en savoir plus sur l'ajout de clés de condition à des politiques de ressources, consultez les points suivants:
+ [Politique relative aux compartiments Amazon S3 pour CloudTrail](create-s3-bucket-policy-for-cloudtrail.md)
+ [Configurer les politiques AWS KMS clés pour CloudTrail](create-kms-key-policy-for-cloudtrail.md)
+ [Politique relative aux rubriques Amazon SNS pour CloudTrail](cloudtrail-permissions-for-sns-notifications.md)

# Création d’un journal de suivi pour votre organisation dans la console
<a name="creating-an-organizational-trail-in-the-console"></a>

Pour créer un journal d'organisation à partir de la CloudTrail console, vous devez vous connecter à la console en tant qu'utilisateur ou en tant que rôle dans le compte de gestion ou d'administrateur délégué [disposant des autorisations suffisantes](creating-an-organizational-trail-prepare.md#org_trail_permissions). Si vous ne vous connectez pas avec le compte de gestion ou d'administrateur délégué, vous ne verrez pas l'option permettant d'appliquer un suivi à une organisation lorsque vous créez ou modifiez un journal depuis la CloudTrail console.

**Pour créer un parcours d'organisation à l'aide du AWS Management Console**

1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

   Vous devez être connecté à l'aide d'une identité IAM dans le compte de gestion ou d'administrateur délégué avec des [autorisations suffisantes](creating-an-organizational-trail-prepare.md#org_trail_permissions) pour créer un journal de suivi d'organisation.

1. Choisissez **Journaux de suivi**, puis **Créer un journal de suivi**.

1. Sur la page **Create Trail (Créer un journal d'activité)**, tapez un nom pour votre journal d'activité dans la zone **Trail Name (Nom du journal d'activité)**. Pour plus d'informations, consultez [Exigences de dénomination pour les CloudTrail ressources, les compartiments S3 et les clés KMS](cloudtrail-trail-naming-requirements.md).

1. Sélectionnez **Activer pour tous les comptes de mon organisation**. Cette option ne s'affiche que si vous vous connectez à la console avec un utilisateur ou un rôle du compte de gestion ou d'administrateur délégué. Pour créer avec succès le journal de suivi d'une organisation, assurez-vous que l'utilisateur ou le rôle dispose d'[autorisations suffisantes](creating-an-organizational-trail-prepare.md#org_trail_permissions).

1. Sous **Storage location** (Emplacement de stockage), sélectionnez **Create new S3 bucket** (Créer un nouveau compartiment S3) pour créer un compartiment. Lorsque vous créez un bucket, il CloudTrail crée et applique les politiques de bucket requises.
**Note**  
Si vous avez choisi **Utilisation du compartiment S3 existant**, spécifiez un compartiment dans **Nom du compartiment du journal de suivi**, ou sélectionnez **Parcourir** pour choisir un compartiment. Vous pouvez choisir un bucket appartenant à n'importe quel compte, mais la politique du bucket doit CloudTrail autoriser l'écriture dans ce compartiment. Pour en savoir plus sur la modification manuelle de la politique de compartiment, consultez [Politique relative aux compartiments Amazon S3 pour CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).

   Pour retrouver plus facilement vos journaux, créez un nouveau dossier (également appelé *préfixe*) dans un compartiment existant pour stocker vos CloudTrail journaux. Saisir le préfixe dans **Préfixe**.

1. Pour le **chiffrement SSE-KMS des fichiers journaux**, choisissez **Activé** si vous souhaitez chiffrer vos fichiers journaux et digérer les fichiers à l'aide du chiffrement SSE-KMS au lieu du cryptage SSE-S3. La valeur par défaut est **Activé**. Si vous n'activez pas le chiffrement SSE-KMS, vos fichiers journaux et vos fichiers de synthèse sont chiffrés à l'aide du chiffrement SSE-S3. Pour plus d'informations sur le chiffrement SSE-KMS, consultez [Utilisation du chiffrement côté serveur avec AWS Key Management Service (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html). Pour plus d'informations sur SSE-S3, consultez [Utilisation du chiffrement côté serveur avec les clés de chiffrement gérées par Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).

   **Si vous activez le chiffrement SSE-KMS, sélectionnez **Nouveau** ou Existant.** AWS KMS key Dans **AWS KMS Alias**, spécifiez un alias au format `alias/`*MyAliasName*. Pour de plus amples informations, veuillez consulter [Mettre à jour une ressource pour utiliser votre clé KMS avec la console](create-kms-key-policy-for-cloudtrail-update-trail.md).
**Note**  
Vous pouvez également saisir l’ARN d’une clé à partir d’un autre compte. Pour de plus amples informations, veuillez consulter [Mettre à jour une ressource pour utiliser votre clé KMS avec la console](create-kms-key-policy-for-cloudtrail-update-trail.md). La politique de clé doit autoriser CloudTrail l'utilisation de la clé pour chiffrer vos fichiers journaux et digérer les fichiers, et autoriser les utilisateurs que vous spécifiez à lire les fichiers journaux ou à digérer les fichiers sous forme non chiffrée. Pour en savoir plus sur la modification manuelle de la politique de clés, consultez [Configurer les politiques AWS KMS clés pour CloudTrail](create-kms-key-policy-for-cloudtrail.md).

1. Sous **Paramètres supplémentaires**, configurez les événements suivants.

   1. Sous **Validation du fichier journal**, choisissez **Activé** pour que les fichiers de valeur de hachage soient livrés dans votre compartiment S3. Vous pouvez utiliser les fichiers de synthèse pour vérifier que vos fichiers journaux n'ont pas changé après leur CloudTrail livraison. Pour de plus amples informations, veuillez consulter [Validation de l' CloudTrail intégrité du fichier journal](cloudtrail-log-file-validation-intro.md).

   1. Pour l'**envoi de notifications SNS**, choisissez **Enabled** pour être averti chaque fois qu'un journal est envoyé à votre bucket. CloudTrail enregistre plusieurs événements dans un fichier journal. Des notifications SNS sont envoyées pour chaque fichier journal, non pour chaque événement. Pour plus d'informations, consultez [Configuration des notifications Amazon SNS pour CloudTrail](configure-sns-notifications-for-cloudtrail.md).

      Si vous activez les notifications SNS, pour **Créer une nouvelle rubrique SNS**, choisissez **Nouveau** pour créer une rubrique, ou **Existant**, pour utiliser une rubrique existante. Si vous créez un journal multirégional, les notifications SNS pour les livraisons de fichiers journaux provenant de toutes les régions sont envoyées à la rubrique SNS unique que vous créez.

      Si vous choisissez **Nouveau**, vous CloudTrail spécifiez le nom du nouveau sujet ou vous pouvez saisir un nom. Si vous choisissez **Existant**, choisissez une rubrique SNS dans la liste déroulante. Vous pouvez également saisir l'ARN d'une rubrique provenant d'une autre région ou d'un compte disposant des autorisations appropriées. Pour plus d'informations, consultez [Politique relative aux rubriques Amazon SNS pour CloudTrail](cloudtrail-permissions-for-sns-notifications.md).

      Si vous créez une rubrique, vous devez vous abonner à la rubrique pour être averti de l'envoi de fichiers journaux. Vous pouvez vous abonner à partir de la console Amazon SNS. En raison de la fréquence des notifications, nous vous recommandons de configurer l'abonnement pour pouvoir utiliser une file d'attente Amazon SQS afin de gérer les notifications par programmation. Pour plus d'informations, consultez [Prise en main d'Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) dans le *Guide du développeur Amazon Simple Notification Service*.

1. Vous pouvez éventuellement configurer CloudTrail pour envoyer des fichiers CloudWatch journaux à Logs en choisissant **Enabled** in **CloudWatch Logs**. Pour de plus amples informations, veuillez consulter [Envoi d'événements à CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md).
**Note**  
Seul le compte de gestion peut configurer un groupe de CloudWatch journaux pour un journal d'entreprise à l'aide de la console. L'administrateur délégué peut configurer un groupe de CloudWatch journaux Logs à l'aide des opérations AWS CLI CloudTrail `CreateTrail` ou de `UpdateTrail` l'API.

   1. Si vous activez l'intégration aux CloudWatch journaux, choisissez **Nouveau** pour créer un nouveau groupe de journaux ou **Existant** pour utiliser un groupe existant. Si vous choisissez **Nouveau**, vous CloudTrail spécifiez un nom pour le nouveau groupe de journaux ou vous pouvez saisir un nom.

   1. Si vous choisissez **Existant**, choisissez un groupe de journaux dans la liste déroulante.

   1. Choisissez **Nouveau** pour créer un nouveau rôle IAM afin d'obtenir les autorisations d'envoyer des CloudWatch journaux à Logs. Choisir **Existant** pour choisir un rôle IAM existant dans la liste déroulante. L’instruction de politique pour le rôle nouveau ou existant s’affiche lorsque vous déroulez **Document de politique**. Pour plus d’informations sur ce rôle, consultez [Document de politique de rôle pour l'utilisation CloudTrail des CloudWatch journaux à des fins de surveillance](cloudtrail-required-policy-for-cloudwatch-logs.md).
**Note**  
Lorsque vous configurez un journal de suivi, vous pouvez choisir un compartiment S3 et une rubrique Amazon SNS qui appartiennent à un autre compte. Toutefois, si vous souhaitez CloudTrail transmettre des événements à un groupe de CloudWatch journaux journaux, vous devez choisir un groupe de journaux existant dans votre compte actuel.

1. Pour les **balises**, vous pouvez ajouter jusqu'à 50 paires de clés de balises pour vous aider à identifier, à trier et à contrôler l'accès à votre sentier. Les balises peuvent vous aider à identifier à la fois vos CloudTrail traces et les compartiments Amazon S3 contenant les fichiers CloudTrail journaux. Vous pouvez ensuite utiliser les groupes de ressources pour vos ressources CloudTrail . Pour plus d’informations, consultez [Groupes de ressources AWS](https://docs.aws.amazon.com/ARG/latest/userguide/resource-groups.html) et [Étiquettes](cloudtrail-concepts.md#cloudtrail-concepts-tags).

1. Sur la page **Choisir des événements du journal**, choisissez les types d’événements que vous souhaitez consigner. Sous **Événements de gestion**, procédez comme suit.

   1. Pour **Activité d’API**, indiquez si vous souhaitez que votre journal de suivi journalise les événements en événements **Lecture** ou en événements **Écriture**, ou les deux. Pour de plus amples informations, veuillez consulter [Événements de gestion](logging-management-events-with-cloudtrail.md#logging-management-events).

   1. Choisissez **Exclure les AWS KMS événements** pour filtrer AWS Key Management Service (AWS KMS) les événements de votre parcours. Le paramètre par défaut est d'inclure tous les événements AWS KMS .

      L'option permettant d'enregistrer ou d'exclure AWS KMS des événements n'est disponible que si vous enregistrez des événements de gestion sur votre parcours. Si vous choisissez de ne pas consigner les événements de gestion, AWS KMS ceux-ci ne sont pas enregistrés et vous ne pouvez pas modifier les paramètres de journalisation des AWS KMS événements.

      AWS KMS des actions telles que `Encrypt``Decrypt`, et génèrent `GenerateDataKey` généralement un grand volume (plus de 99 %) d'événements. Ces actions sont désormais journalisées en tant qu’événements **Lecture**. Les AWS KMS actions pertinentes à faible volume telles que `Disable``Delete`, et `ScheduleKey` (qui représentent généralement moins de 0,5 % du volume d' AWS KMS événements) sont enregistrées en tant qu'événements d'**écriture**.

      Pour exclure les événements de volume important tels que `Encrypt`, `Decrypt` et `GenerateDataKey`, tout en continuant de journaliser les événements pertinents tels que `Disable`, `Delete` et `ScheduleKey`, choisissez de journaliser les événements de gestion **Écriture** et effacez la case à cocher pour **Exclure les événements AWS KMS **.

   1. Choisissez **Exclure les événements API de données Amazon RDS** pour filtrer les événements d’API de données Amazon Relational Database Service Data hors de votre journal de suivi. Le paramètre par défaut consiste à inclure tous les événements d'API de données Amazon RDS. Pour plus d’informations sur les événements d’API Amazon RDS Data API, consultez [Journalisation des appels d’API de données avec AWS CloudTrail](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/logging-using-cloudtrail-data-api.html) dans le *Guide de l’utilisateur Amazon RDS pour Aurora*.

1. Pour journaliser les événements de données, choisissez **Événements de données**. Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour plus d’informations, consultez [Tarification d’AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).

1. 
**Important**  
Les étapes 12 à 16 concernent la configuration des événements de données à l'aide de sélecteurs d'événements avancés, ce qui est le cas par défaut. Les sélecteurs d'événements avancés vous permettent de configurer davantage de [types de ressources](logging-data-events-with-cloudtrail.md#logging-data-events) et de contrôler avec précision les événements de données capturés par votre parcours. Si vous prévoyez de consigner les événements liés à l'activité du réseau, vous devez utiliser des sélecteurs d'événements avancés. Si vous utilisez des sélecteurs d'événements de base, suivez les étapes décrites dans[Configurer les paramètres des événements de données à l’aide de sélecteurs d’événements de base](cloudtrail-create-a-trail-using-the-console-first-time.md#trail-data-events-basic-selectors), puis revenez à l'étape 17 de cette procédure.

   Pour **Type de ressource**, choisissez le type de ressource sur lequel vous souhaitez enregistrer les événements de données. Pour plus d'informations sur les types de ressources disponibles, consultez[Événements de données](logging-data-events-with-cloudtrail.md#logging-data-events).

1. Choisissez un modèle de sélecteur de journaux. Vous pouvez choisir un modèle prédéfini ou choisir **Personnalisé** pour définir vos propres conditions de collecte d'événements.

   Vous pouvez choisir parmi les modèles prédéfinis suivants :
   + **Journaliser tous les événements** : choisissez ce modèle pour journaliser tous les événements.
   + **Consigner uniquement les événements en lecture** : choisissez ce modèle pour enregistrer uniquement les événements en lecture. Les événements en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les `Get*` événements. `Describe*`
   + **Enregistrer uniquement les événements d'écriture** : choisissez ce modèle pour enregistrer uniquement les événements d'écriture. Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements `Put*`, `Delete*`, ou `Write*`.
   + **Enregistrer uniquement AWS Management Console les événements** : choisissez ce modèle pour enregistrer uniquement les événements provenant du AWS Management Console.
   + **Exclure les événements Service AWS initiés** : choisissez ce modèle pour exclure les Service AWS événements dotés d'un caractère `eventType` de et `AwsServiceEvent` les événements initiés avec des rôles Service AWS liés à -linked (SLRs).
**Note**  
Le choix d'un modèle prédéfini pour les compartiments S3 permet de consigner les événements de données pour tous les compartiments actuellement présents dans votre AWS compte et pour tous les compartiments que vous créez une fois le suivi terminé. Il permet également de consigner l'activité des événements de données effectuée par n'importe quelle identité IAM de votre AWS compte, même si cette activité est effectuée sur un bucket appartenant à un autre AWS compte.  
Si le journal de suivi s’applique à une seule région, le fait de choisir un modèle prédéfini qui journalise tous les compartiments S3 permet la journalisation des événements de données pour tous les compartiments situés dans la même région que votre journal de suivi et tous les compartiments que vous créerez ultérieurement dans cette région. Il ne va pas journaliser les d'événements de données pour les compartiments Amazon S3 situés dans d'autres régions de votre compte AWS .  
Si vous créez un journal multirégional, le choix d'un modèle prédéfini pour les fonctions Lambda permet de consigner les événements de données pour toutes les fonctions actuellement présentes dans AWS votre compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans n'importe quelle région une fois que vous avez terminé de créer le journal. Si vous créez un suivi pour une seule région (en utilisant le AWS CLI), cette sélection active l'enregistrement des événements de données pour toutes les fonctions actuellement présentes dans cette région sur votre AWS compte, ainsi que pour toutes les fonctions Lambda que vous pourriez créer dans cette région une fois que vous aurez fini de créer le journal. Cela n’active pas la journalisation des événements de données pour les fonctions Lambda créées dans d’autres régions.  
La journalisation des événements de données pour toutes les fonctions permet également de consigner l'activité des événements de données effectuée par n'importe quelle identité IAM de votre AWS compte, même si cette activité est effectuée sur une fonction appartenant à un autre AWS compte.

1. (Facultatif) Dans **Nom du sélecteur**, saisissez un nom pour identifier votre sélecteur. Le nom du sélecteur est un nom descriptif pour un sélecteur d'événements avancé, tel que « Journaliser les événements de données pour deux compartiments S3 uniquement ». Le nom du sélecteur est répertorié comme `Name` dans le sélecteur d'événements avancé et est visible si vous développez la **Vue JSON.**

1. Si vous avez sélectionné **Personnalisé**, dans les **sélecteurs d'événements avancés**, créez une expression basée sur les valeurs des champs des sélecteurs d'événements avancés.
**Note**  
Les sélecteurs ne prennent pas en charge l'utilisation de caractères génériques tels que. `*` Pour associer plusieurs valeurs à une seule condition, vous pouvez utiliser`StartsWith`, `EndsWith``NotStartsWith`, ou `NotEndsWith` faire correspondre explicitement le début ou la fin du champ d'événement.

   1. Choisissez parmi les options suivantes.
      + **`readOnly`**- `readOnly` peut être défini pour être **égal à** une valeur de `true` ou`false`. Les événements de données en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les événements `Get*` ou `Describe*`. Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements `Put*`, `Delete*`, ou `Write*`. Pour journaliser les deux événements `read` et `write`, n'ajoutez pas de sélecteur `readOnly`.
      + **`eventName`** - `eventName` peut utiliser n’importe quel opérateur. Vous pouvez l'utiliser pour inclure ou exclure tout événement de données enregistré CloudTrail, tel que `PutBucket``GetItem`, ou`GetSnapshotBlock`.
      + **`eventSource`**— La source de l'événement à inclure ou à exclure. Ce champ peut utiliser n'importe quel opérateur.
      + **eventType** : type d’événement à inclure ou à exclure. Par exemple, vous pouvez définir ce champ sur une **valeur différente `AwsServiceEvent` pour** l'exclure[Service AWS événements](non-api-aws-service-events.md). Pour une liste des types d'événements, voir [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)dans[CloudTrail enregistrer le contenu des événements relatifs à la gestion, aux données et à l'activité du réseau](cloudtrail-event-reference-record-contents.md).
      + **sessionCredentialFromConsole** — Incluez ou excluez les événements issus d'une AWS Management Console session. Ce champ peut être défini sur **égal** ou **non égal** avec une valeur de`true`.
      + **userIdentity.arn** : incluez ou excluez des événements pour les actions entreprises par des identités IAM spécifiques. Pour de plus amples informations, veuillez consulter [Élément CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
      + **`resources.ARN`**- Vous pouvez utiliser n'importe quel opérateur`resources.ARN`, mais si vous utilisez **égal** ou **non**, la valeur doit correspondre exactement à l'ARN d'une ressource valide du type que vous avez spécifié dans le modèle comme valeur de`resources.type`.
**Note**  
Vous ne pouvez pas utiliser le `resources.ARN` champ pour filtrer les types de ressources qui n'en ont pas ARNs.

        Pour plus d'informations sur les formats ARN des ressources d'événements de données, consultez la section [Actions, ressources et clés de condition Services AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) dans la *référence d'autorisation de service*.

   1. Pour chaque champ, choisissez **\$1 Conditions** pour ajouter autant de conditions que vous le souhaitez, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions. Par exemple, pour exclure les événements de données de deux compartiments S3 des événements de données enregistrés dans votre banque de données d'événements, vous pouvez définir le champ sur **Resources.ARN**, définir l'opérateur pour **ne commence pas par**, puis coller un ARN de compartiment S3 pour lequel vous ne souhaitez pas enregistrer d'événements.

      Pour ajouter le deuxième compartiment S3, choisissez **\$1 Conditions**, puis répétez l'instruction précédente, en collant dans l'ARN ou en recherchant un compartiment différent.

      Pour plus d'informations sur le mode CloudTrail d'évaluation de plusieurs conditions, consultez[Comment CloudTrail évaluer plusieurs conditions pour un champ](filtering-data-events.md#filtering-data-events-conditions).
**Note**  
Il est possible de définir un maximum de 500 valeurs pour tous les sélecteurs d'un entrepôt de données d'événement. Cela inclut des tableaux de valeurs multiples pour un sélecteur tel que `eventName`. Si vous avez défini des valeurs uniques pour tous les sélecteurs, il est possible d’ajouter un maximum de 500 conditions à un sélecteur.

   1. Choisir **\$1 champ** pour ajouter des champs supplémentaires au besoin. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs. Par exemple, ne spécifiez pas un ARN dans un sélecteur pour être égal à une valeur, puis spécifiez que l'ARN n'est pas égal à la même valeur dans un autre sélecteur.

1. Pour ajouter un type de ressource sur lequel enregistrer les événements de données, choisissez **Ajouter un type d'événement de données**. Répétez les étapes 12 à cette étape pour configurer les sélecteurs d'événements avancés pour le type de ressource.

1. Pour enregistrer les événements d'activité réseau, sélectionnez **Événements d'activité réseau**. Les événements d'activité réseau permettent aux propriétaires de points de terminaison VPC d'enregistrer les appels d' AWS API effectués à l'aide de leurs points de terminaison VPC depuis un VPC privé vers le. Service AWS Des frais supplémentaires s'appliquent pour la journalisation des événements de données. Pour plus d’informations, consultez [Tarification d’AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).

   Pour enregistrer les événements liés à l'activité du réseau, procédez comme suit :

   1. Dans **Source des événements d'activité réseau**, choisissez la source des événements d'activité réseau.

   1. Dans **Modèle de sélecteur de journaux**, choisissez un modèle. Vous pouvez choisir de consigner tous les événements liés à l'activité réseau, de consigner tous les événements liés à l'activité réseau auxquels l'accès est refusé ou de choisir **Personnaliser** pour créer un sélecteur de journal personnalisé afin de filtrer sur plusieurs champs, tels que `eventName` et`vpcEndpointId`.

   1. (Facultatif) Entrez un nom pour identifier le sélecteur. **Le nom du sélecteur est répertorié sous la forme **Nom** dans le sélecteur d'événements avancé et est visible si vous développez la vue JSON.**

   1. Dans les **sélecteurs d'événements avancés, les sélecteurs** créent des expressions en choisissant des valeurs pour **Champ**, **Opérateur** et **Valeur**. Vous pouvez ignorer cette étape si vous utilisez un modèle de journal prédéfini.

      1. Pour exclure ou inclure des événements liés à l'activité réseau, vous pouvez choisir l'un des champs suivants dans la console.
         + **`eventName`**— Vous pouvez utiliser n'importe quel opérateur avec`eventName`. Vous pouvez l'utiliser pour inclure ou exclure n'importe quel événement, tel que`CreateKey`.
         + **`errorCode`**— Vous pouvez l'utiliser pour filtrer un code d'erreur. Actuellement, le seul pris en charge `errorCode` est`VpceAccessDenied`.
         +  **`vpcEndpointId`**— Identifie le point de terminaison VPC par lequel l'opération est passée. Vous pouvez utiliser n'importe quel opérateur avec`vpcEndpointId`. 

      1. Pour chaque champ, choisissez **\$1 Conditions** pour ajouter autant de conditions que vous le souhaitez, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions. 

      1. Choisir **\$1 champ** pour ajouter des champs supplémentaires au besoin. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs. 

   1. Pour ajouter une autre source d'événements pour laquelle vous souhaitez enregistrer les événements d'activité réseau, choisissez **Ajouter un sélecteur d'événements d'activité réseau**.

   1. Vous pouvez également développer **Affichage JSON** pour afficher vos sélecteurs d’événements avancés sous forme de bloc JSON.

1. Choisissez **Insights events** si vous souhaitez que votre parcours enregistre les événements CloudTrail Insights.

   Dans **Type d’événement**, sélectionnez **Événements Insights**. Dans **Événements Insights**, choisissez **Taux d’appels d’API**,**Taux d’erreurs d’API**, ou les deux. Vous devez journaliser les événements de gestion **Écriture** pour journaliser les événements Insights afin de connaître le **Taux d'appels d'API**. Vous devez journaliser les événements de gestion **Lecture** ou **Écriture** pour journaliser les événements Insights afin de connaître le **Taux d'erreur de l'API**.

   CloudTrail Insights analyse les événements de gestion pour détecter toute activité inhabituelle et enregistre les événements lorsque des anomalies sont détectées. Par défaut, les journaux de suivi ne journalisent pas les événements Insights. Pour plus d'informations sur les événements Insights, consultez [Travailler avec CloudTrail Insights](logging-insights-events-with-cloudtrail.md). Des frais supplémentaires s’appliquent pour la journalisation des événements Insights. Pour les CloudTrail tarifs, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/).

   Les événements Insights sont transmis à un dossier différent nommé `/CloudTrail-Insight` dans le même compartiment S3 qui est spécifié dans la zone **Emplacement de stockage** de la page de détails du journal. CloudTrailcrée le nouveau préfixe pour vous. Par exemple, si votre compartiment S3 de destination actuel se nomme `amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail/`, le nom du compartiment S3 avec un nouveau préfixe se nommera `amzn-s3-demo-destination-bucket/AWSLogs/CloudTrail-Insight/`.

1. Après avoir sélectionné les types d’événements à journaliser, choisissez **Suivant**.

1. Sur la page **Vérifier et créer**, vérifiez vos choix. Choisissez **Modifier** dans une section pour modifier les paramètres de journal de suivi affichés dans cette section. Lorsque vous êtes prêt à créer votre journal de suivi, choisissez **Créer un journal de suivi**.

1. Le nouveau journal de suivi s’affiche sur la page **Journaux de suivi**. La création d'un journal d'organisation peut prendre jusqu'à 24 heures dans toutes les régions activées et sur tous les comptes membres. La page **Journaux de suivi** affiche les journaux de suivi de votre compte pour toutes les Régions. En 5 minutes environ, CloudTrail publie des fichiers journaux qui indiquent les appels AWS d'API effectués dans votre organisation. Il est possible de voir les fichiers journaux se trouvent dans le compartiment Amazon S3 que vous avez spécifiés.

**Note**  
Vous ne pouvez pas renommer un journal de suivi une fois qu'il a été créé. Au lieu de cela, vous pouvez supprimer le journal de suivi et en créer un nouveau.

## Étapes suivantes
<a name="cloudtrail-create-an-organizational-trail-using-the-console-first-time-next-steps"></a>

Après avoir créé le journal de suivi, vous pouvez le modifier :
+ Modifiez la configuration de votre journal de suivi. Pour de plus amples informations, veuillez consulter [Mettre à jour un parcours avec la CloudTrail console](cloudtrail-update-a-trail-console.md).
+ Si nécessaire, configurez le compartiment Amazon S3 pour autoriser des utilisateurs spécifiques des comptes membres à lire les fichiers journaux de l'organisation. Pour de plus amples informations, veuillez consulter [Partage de fichiers CloudTrail journaux entre AWS comptes](cloudtrail-sharing-logs.md).
+ Configurez CloudTrail pour envoyer des fichiers journaux à CloudWatch Logs. Pour plus d'informations, voir [Envoi d'événements à CloudWatch Logs](send-cloudtrail-events-to-cloudwatch-logs.md) et [l'élément CloudWatch Logs](creating-an-organizational-trail-prepare.md#cwl-org-pb) in[Se préparer pour la création d'un journal de suivi pour son organisation](creating-an-organizational-trail-prepare.md).
**Note**  
Seul le compte de gestion peut configurer un groupe de CloudWatch journaux journaux pour le journal d'une organisation.
+ Créez une table et utilisez-la pour exécuter une requête dans Amazon Athena afin d’analyser l’activité de vos services AWS . Pour plus d'informations, consultez la section [Création d'une table pour les CloudTrail journaux dans la CloudTrail console](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html#create-cloudtrail-table-ct) dans le guide de l'[utilisateur d'Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/).
+ Ajoutez des identifications personnalisées (paires clé-valeur) pour le journal de suivi.
+ Pour créer un autre journal de suivi d'organisation, revenez à la page **Trails** (Journaux de suivi) et choisissez **Create trail** (Créer un journal de suivi).

**Note**  
Lorsque vous configurez un journal de suivi, vous pouvez choisir un compartiment Amazon S3 et une rubrique SNS qui appartiennent à un autre compte. Toutefois, si vous souhaitez CloudTrail transmettre des événements à un groupe de CloudWatch journaux journaux, vous devez choisir un groupe de journaux existant dans votre compte actuel.

# Création d'un parcours pour une organisation à l'aide du AWS CLI
<a name="cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli"></a>

Vous pouvez créer un journal de suivi d'organisation avec la AWS CLI. AWS CLI Il est régulièrement mis à jour avec des fonctionnalités et des commandes supplémentaires. Pour garantir le succès, assurez-vous d'avoir installé ou mis à jour une AWS CLI version récente avant de commencer.

**Note**  
Les exemples de cette section sont spécifiques à la création et la mise à jour des journaux de suivi de l’organisation. Pour des exemples d'utilisation du AWS CLI pour gérer les sentiers, voir [Gérer les sentiers à l'aide du AWS CLI](cloudtrail-additional-cli-commands.md) et[Configuration de la surveillance CloudWatch des journaux à l'aide du AWS CLI](send-cloudtrail-events-to-cloudwatch-logs.md#send-cloudtrail-events-to-cloudwatch-logs-cli). Lorsque vous créez ou mettez à jour le journal d'une organisation à l'aide du AWS CLI, vous devez utiliser un AWS CLI profil du compte de gestion ou du compte d'administrateur délégué doté des autorisations suffisantes. Si vous convertissez un journal de suivi d'organisation en un journal de suivi non lié à une organisation, vous devez utiliser le compte de gestion de l'organisation.  
Vous devez configurer le compartiment Amazon S3 utilisé pour le journal de suivi d’une organisation avec des autorisations suffisantes. 

## Créez ou mettez à jour un compartiment Amazon S3 pour stocker les fichiers journaux du journal de suivi d'une organisation
<a name="org-trail-bucket-policy"></a>

Vous devez spécifier un compartiment Amazon S3 pour recevoir les fichiers journaux pour un journal d’activité d’une organisation. Ce compartiment doit disposer d'une politique CloudTrail permettant d'y placer les fichiers journaux de l'organisation.

Voici un exemple de politique pour un compartiment Amazon S3 nommé*amzn-s3-demo-bucket*, qui appartient au compte de gestion de l'organisation. Remplacez *amzn-s3-demo-bucket**region*,*managementAccountID*,*trailName*, et *o-organizationID* par les valeurs de votre organisation

Cette politique de compartiment contient trois instructions.
+ La première instruction permet CloudTrail d'appeler l'`GetBucketAcl`action Amazon S3 sur le compartiment Amazon S3.
+ La seconde instruction permet de se connecter dans le cas où le suivi est modifié d'un suivi d'organisation à un suivi pour ce compte uniquement.
+ La troisième instruction autorise la journalisation pour le suivi d'organisation.

L’exemple de politique inclut une clé de condition `aws:SourceArn` de la politique de compartiment Amazon S3. La clé de condition globale IAM `aws:SourceArn` permet de garantir que les CloudTrail écritures dans le compartiment S3 ne concernent qu'un ou plusieurs sentiers spécifiques. Dans un journal de suivi de l’organisation, la valeur de `aws:SourceArn` doit être un ARN de suivi appartenant au compte de gestion qui utilise l'ID du compte de gestion.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cloudtrail.amazonaws.com"
                ]
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cloudtrail.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/managementAccountID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailOrganizationWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "cloudtrail.amazonaws.com"
                ]
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/AWSLogs/o-organizationID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceArn": "arn:aws:cloudtrail:region:managementAccountID:trail/trailName"
                }
            }
        }
    ]
}
```

------

Cet exemple de politique n’autorise pas tous les utilisateurs des comptes membres à accéder aux fichiers journaux créés pour l’organisation. Par défaut, les fichiers journaux de l’organisation sont accessibles uniquement au compte de gestion. Pour plus d’informations sur la manière d’autoriser un accès en lecture au compartiment Amazon S3 pour les utilisateurs IAM des comptes membres, consultez [Partage de fichiers CloudTrail journaux entre AWS comptes](cloudtrail-sharing-logs.md).

## Activation CloudTrail en tant que service fiable dans AWS Organizations
<a name="cloudtrail-create-organization-trail-by-using-the-cli-enable-trusted-service"></a>

Avant de créer un journal de suivi d'organisation, vous devez au préalable activer toutes les fonctions dans Organizations. Pour plus d'informations, consultez [Enabling All Features in Your Organization (Activation de toutes les fonctions de votre organisation)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) ou exécutez la commande suivante à l'aide d'un profil bénéficiant des autorisations suffisantes dans le compte de gestion :

```
aws organizations enable-all-features
```

Après avoir activé toutes les fonctionnalités, vous devez configurer Organizations pour CloudTrail qu'elles soient considérées comme des services fiables.

Pour créer une relation de service fiable entre AWS Organizations et CloudTrail, ouvrez un terminal ou une ligne de commande et utilisez un profil dans le compte de gestion. Exécutez la commande `aws organizations enable-aws-service-access` comme illustré dans l'exemple suivant.

```
aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com
```

## Utilisation de create-trail
<a name="cloudtrail-create-organization-trail-by-using-the-cli-create-trail"></a>

### Créer un journal de suivi d'organisation qui s'applique à toutes les régions
<a name="cloudtrail-create-organization-trail-by-using-the-cli-create-trail-all"></a>

Pour créer un journal de suivi d'organisation qui s'applique à toutes les régions, ajoutez les options `--is-organization-trail` et `--is-multi-region-trail`.

**Note**  
Lorsque vous créez un journal d'organisation à l'aide du AWS CLI, vous devez utiliser un AWS CLI profil dans le compte de gestion ou dans le compte d'administrateur délégué doté des autorisations suffisantes.

L'exemple suivant crée un journal de suivi d'organisation qui livre les journaux de toutes les régions à un compartiment existant nommé `amzn-s3-demo-bucket` :

```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-organization-trail --is-multi-region-trail
```

Afin de confirmer que votre journal de suivi existe dans toutes les régions, les paramètres `IsOrganizationTrail` et `IsMultiRegionTrail` de la sortie sont tous deux définis sur `true` :

```
{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": true,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

**Note**  
Exécutez la commande `start-logging` pour démarrer la journalisation pour votre journal de suivi. Pour plus d'informations, consultez [Arrêt et démarrage de la journalisation pour un journal de suivi](cloudtrail-additional-cli-commands.md#cloudtrail-start-stop-logging-cli-commands).

### Créer un journal de suivi d'organisation comme journal de suivi à région unique
<a name="cloudtrail-create-organization-trail-by-using-the-cli-single"></a>

La commande suivante crée un journal d'organisation qui enregistre uniquement les événements dans un seul journal Région AWS, également appelé journal d'une seule région. La AWS région dans laquelle les événements sont enregistrés est la région spécifiée dans le profil de configuration du AWS CLI.

```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-organization-trail
```

Pour de plus amples informations, veuillez consulter [Exigences de dénomination pour les CloudTrail ressources, les compartiments S3 et les clés KMS](cloudtrail-trail-naming-requirements.md).

Exemple de sortie :

```
{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false,
    "IsMultiRegionTrail": false,
    "IsOrganizationTrail": true,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

Par défaut, la commande `create-trail` crée un journal de suivi à région unique et ce suivi n'active pas la validation de fichiers journaux.

**Note**  
Utilisez la commande `start-logging` pour démarrer la journalisation pour votre journal de suivi.

## Exécution de **update-trail** pour effectuer la mise à jour d'un journal de suivi d'organisation
<a name="cloudtrail-update-organization-trail-by-using-the-cli"></a>

Vous pouvez utiliser la commande `update-trail` pour modifier les paramètres de configuration d'un journal de suivi d'organisation ou pour appliquer un journal de suivi existant d'un compte AWS à l'intégralité d'une organisation. Souvenez-vous qu'il est possible d'exécuter la commande `update-trail` qu'à partir de la région dans laquelle le journal de suivi a été créé.

**Note**  
Si vous utilisez le AWS CLI ou l'un des AWS SDKs pour mettre à jour un parcours, assurez-vous que la politique relative aux compartiments du parcours est le cas up-to-date. Pour de plus amples informations, veuillez consulter [Création d'un parcours pour une organisation à l'aide du AWS CLI](#cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli).  
Lorsque vous mettez à jour le journal d'une organisation avec le AWS CLI, vous devez utiliser un AWS CLI profil du compte de gestion ou du compte d'administrateur délégué doté des autorisations suffisantes. Si vous souhaitez convertir un journal d'organisation en un journal non lié à une organisation, vous devez utiliser le compte de gestion de l'organisation, car le compte de gestion est le propriétaire de toutes les ressources de l'organisation.  
CloudTrail met à jour les traces de l'organisation dans les comptes des membres même en cas d'échec de la validation des ressources. Voici des exemples d'échecs de validation :  
une politique de compartiment Amazon S3 incorrecte
une politique de rubrique Amazon SNS incorrecte
impossibilité de livrer à un groupe de CloudWatch journaux Logs
autorisation insuffisante pour chiffrer à l'aide d'une clé KMS
Un compte membre disposant d' CloudTrail autorisations peut voir les échecs de validation d'un journal d'organisation en consultant la page de détails du journal sur la CloudTrail console ou en exécutant la AWS CLI [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html)commande.

### Application d’un journal de suivi existant à une organisation
<a name="cloudtrail-update-organization-trail-by-using-the-cli-apply-org"></a>

Pour modifier un parcours existant afin qu'il s'applique également à une organisation plutôt qu'à un seul AWS compte, ajoutez l'`--is-organization-trail`option, comme indiqué dans l'exemple suivant.

**Note**  
Utilisez le compte de gestion pour transformer un journal de suivi non lié à une organisation existant en un journal d'organisation.

```
aws cloudtrail update-trail --name my-trail --is-organization-trail
```

Afin de confirmer que le journal de suivi s’applique maintenant à l’organisation, le paramètre `IsOrganizationTrail` de la sortie affiche une valeur de `true`.

```
{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": true, 
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

Dans l'exemple précédent, le sentier a été configuré en tant que sentier multirégional (`"IsMultiRegionTrail": true`). Un journal de suivi qui s'appliquait uniquement à une région unique indiquerait `"IsMultiRegionTrail": false` au niveau de la sortie.

### Conversion d'un parcours d'organisation d'une seule région en un parcours d'organisation multirégional
<a name="cloudtrail-update-organization-trail-by-using-the-cli-single-to-all"></a>

Pour convertir un historique d'organisation mono-régional existant en un historique d'organisation multirégional, ajoutez l'`--is-multi-region-trail`option comme indiqué dans l'exemple suivant.

```
aws cloudtrail update-trail --name my-trail --is-multi-region-trail
```

Pour confirmer que le parcours est désormais multirégional, vérifiez que le `IsMultiRegionTrail` paramètre de sortie a une valeur de`true`.

```
{
    "IncludeGlobalServiceEvents": true, 
    "Name": "my-trail", 
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", 
    "LogFileValidationEnabled": false, 
    "IsMultiRegionTrail": true, 
    "IsOrganizationTrail": true,
    "S3BucketName": "amzn-s3-demo-bucket"
}
```

# Résolution des problèmes liés à un suivi organisationnel
<a name="cloudtrail-troubleshooting"></a>

Cette section fournit des informations sur la manière de résoudre les problèmes liés à un suivi organisationnel.

**Topics**
+ [CloudTrail n'organise pas d'événements](#event-delivery-failure-optin)
+ [CloudTrail n'envoie pas de notifications Amazon SNS pour le compte d'un membre d'une organisation](#sns-topic-policy-failure)

## CloudTrail n'organise pas d'événements
<a name="event-delivery-failure-optin"></a>

**Si CloudTrail les fichiers CloudTrail journaux ne sont pas envoyés au compartiment Amazon S3**

Vérifiez s'il y a un problème avec le compartiment S3.
+ Depuis la CloudTrail console, consultez la page de détails du parcours. En cas de problème avec le compartiment S3, la page de détails inclut un avertissement indiquant que la livraison au compartiment S3 a échoué.
+ À partir du AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html)commande. En cas d'échec, la sortie de commande inclut le `LatestDeliveryError` champ, qui affiche toute erreur Amazon S3 CloudTrail rencontrée lors de la tentative de transfert de fichiers journaux vers le compartiment désigné. Cette erreur se produit uniquement en cas de problème avec le compartiment S3 de destination et ne se produit pas pour les demandes dont le délai d'expiration est dépassé. Pour résoudre le problème, corrigez la politique du compartiment afin de CloudTrail pouvoir écrire dans le compartiment ; ou créez un nouveau compartiment, puis appelez `update-trail` pour spécifier le nouveau compartiment. Pour plus d'informations sur la politique de compartiment de l'organisation, consultez [Créer ou mettre à jour un compartiment Amazon S3 à utiliser pour stocker les fichiers journaux d'un journal d'organisation](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create-s3-bucket-policy-for-cloudtrail.html#org-trail-bucket-policy).

**Note**  
Si vous configurez mal votre trace (par exemple, si le compartiment S3 est inaccessible), vous CloudTrail tenterez de remettre les fichiers journaux à votre compartiment S3 pendant 30 jours, et ces attempted-to-deliver événements seront soumis aux frais standard. CloudTrail Pour éviter des frais sur un journal de suivi mal configuré, vous devez supprimer le journal de suivi.

**Si les journaux CloudTrail ne sont pas envoyés à CloudWatch Logs**

Vérifiez s'il existe un problème avec la configuration de la politique de rôle CloudWatch Logs.
+ Depuis la CloudTrail console, consultez la page de détails du parcours. En cas de problème avec CloudWatch les journaux, la page de détails inclut un avertissement indiquant que la livraison CloudWatch des journaux a échoué.
+ À partir du AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html)commande. En cas d'échec, le résultat de la commande inclut le `LatestCloudWatchLogsDeliveryError` champ, qui affiche toute erreur de CloudWatch journalisation CloudTrail rencontrée lors de la tentative de transfert de CloudWatch journaux à Logs. Pour résoudre le problème, corrigez la politique relative au rôle CloudWatch des journaux. Pour plus d'informations sur la politique relative au rôle des CloudWatch journaux, consultez[Document de politique de rôle pour l'utilisation CloudTrail des CloudWatch journaux à des fins de surveillance](cloudtrail-required-policy-for-cloudwatch-logs.md). 

**Si vous ne voyez aucune activité liée à un compte membre dans le journal d'une organisation**

Si vous ne voyez aucune activité liée à un compte membre dans le journal d'une organisation, vérifiez les points suivants :
+ **Vérifiez la région d'origine du sentier pour voir s'il s'agit d'une région optionnelle**

  Bien que la plupart Régions AWS soient activées par défaut pour vous Compte AWS, vous devez activer manuellement certaines régions (également appelées *régions optionnelles*). Pour plus d'informations sur les régions activées par défaut, consultez la section [Considérations relatives à l'activation et à la désactivation des régions](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations) dans le *Guide de Gestion de compte AWS référence*. Pour la liste des régions prises CloudTrail en charge, voir[CloudTrail Régions prises en charge](cloudtrail-supported-regions.md).

  Si le parcours de l'organisation est multirégional et que la région d'origine est une région optionnelle, les comptes membres n'enverront aucune activité au parcours de l'organisation à moins qu'ils n'aient choisi celui Région AWS où le parcours multirégional a été créé. Par exemple, si vous créez un parcours multirégional et que vous choisissez la région Europe (Espagne) comme région d'origine du parcours, seuls les comptes membres ayant activé la région Europe (Espagne) pour leur compte enverront l'activité de leur compte au parcours de l'organisation. Pour résoudre le problème, activez la région opt-in dans chaque compte membre de votre organisation. Pour plus d'informations sur l'activation d'une région optionnelle, voir [Activer ou désactiver une région dans votre organisation](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization) dans le *Guide de Gestion de compte AWS référence*.
+ **Vérifiez si la politique basée sur les ressources de l'organisation est en conflit avec la politique des rôles liés au CloudTrail service**

  CloudTrail utilise le rôle lié au service nommé [`AWSServiceRoleForCloudTrail`](using-service-linked-roles-create-slr-for-org-trails.md#service-linked-role-permissions-create-slr-for-org-trails)pour prendre en charge les traces de l'organisation. Ce rôle lié à un service permet d' CloudTrail effectuer des actions sur les ressources de l'organisation, telles que. `organizations:DescribeOrganization` Si la politique basée sur les ressources de l'organisation refuse une action autorisée dans la politique des rôles liés au service, elle ne CloudTrail pourra pas exécuter l'action même si elle est autorisée dans la politique des rôles liés au service. Pour résoudre le problème, corrigez la politique basée sur les ressources de l'organisation afin qu'elle ne refuse pas les actions autorisées dans la politique des rôles liés aux services.

## CloudTrail n'envoie pas de notifications Amazon SNS pour le compte d'un membre d'une organisation
<a name="sns-topic-policy-failure"></a>

Lorsqu'un compte membre associé à un historique d' AWS Organizations organisation n'envoie pas de notifications Amazon SNS, il se peut que la configuration de la politique relative aux rubriques SNS pose problème. CloudTrail crée des traces d'organisation dans les comptes des membres même en cas d'échec de la validation d'une ressource. Par exemple, la rubrique SNS du journal de l'organisation n'inclut pas tous les comptes IDs des membres. Si la politique des rubriques SNS est incorrecte, un échec d'autorisation se produit.

Pour vérifier si la politique des rubriques SNS d'un parcours présente un échec d'autorisation, procédez comme suit :
+ Depuis la CloudTrail console, consultez la page de détails du parcours. En cas d'échec de l'autorisation, la page de détails inclut un avertissement `SNS authorization failed` et indique de corriger la politique relative aux sujets SNS.
+ À partir du AWS CLI, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/get-trail-status.html)commande. En cas d'échec de l'autorisation, la sortie de commande inclut le `LastNotificationError` champ avec une valeur de`AuthorizationError`. Pour résoudre le problème, corrigez la politique relative aux rubriques Amazon SNS. Pour plus d'informations sur la politique relative aux rubriques Amazon SNS, consultez. [Politique relative aux rubriques Amazon SNS pour CloudTrail](cloudtrail-permissions-for-sns-notifications.md)

Pour plus d'informations sur les sujets liés aux réseaux sociaux et sur l'abonnement à ces derniers, consultez [Getting started with Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html) dans le manuel du développeur *Amazon Simple Notification Service*.