Création d'un entrepôt de données d'événement pour des événements externes AWS à la console - AWS CloudTrail
Pour créer un magasin de données d'événement pour des événements externes à AWS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un entrepôt de données d'événement pour des événements externes AWS à la console

Vous pouvez créer un entrepôt de données d'événement pour inclure des événements externes à AWS, puis utiliser CloudTrail Lake pour trouver, interroger et analyser les données journalisées à partir de vos applications.

Vous pouvez utiliser les intégrations de CloudTrail Lake afin de journaliser et stocker les données d'activité des utilisateurs provenant de AWS sources externes à, de sources de vos environnements hybrides telles que des applications internes ou SaaS hébergées sur site ou dans le cloud, des machines virtuelles ou des conteneurs.

Lorsque vous créez un magasin de données d’événement pour une intégration, vous créez également un canal associé à une politique de ressources.

CloudTrail Les magasins de données d'événement Lake Lorsque vous créez un magasin de données d’événement, vous choisissez l’option de tarification que vous voulez utiliser pour le magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Pour plus d'informations sur la CloudTrail tarification et la gestion des coûts de Lake, veuillez consulter AWS CloudTrail Tarification etGestion des coûts CloudTrail du lac.

Pour créer un magasin de données d'événement pour des événements externes à AWS

  1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudtrail/.

  2. Dans le panneau de navigation, sous Lake, choisissez Entrepôts de données d'événement.

  3. Choisissez Créer un magasin de données d’événement.

  4. Sur la page Configure event data store (Configurer un magasin de données d'événement), dans General details (Détails généraux), saisissez un nom pour le magasin de données d'événement. Un nom est obligatoire.

  5. Choisissez l’option de tarification que vous souhaitez utiliser pour votre magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que la période de conservation par défaut et maximale pour votre magasin de données d’événement. Pour plus d’informations, veuillez consulter Tarification d’AWS CloudTrail et Gestion des coûts CloudTrail du lac.

    Les options suivantes sont disponibles :

    • Tarif de rétention extensible d’un an : généralement recommandé si vous prévoyez d’ingérer moins de 25 To de données d’événement par mois et souhaitez une période de conservation flexible allant jusqu’à 10 ans. Pendant les 366 premiers jours (période de conservation par défaut), le stockage est inclus sans frais supplémentaires dans le prix d’ingestion. Après 366 jours, la conservation prolongée est disponible moyennant un pay-as-you-go prix. Il s’agit de l’option par défaut.

      • Période de conservation par défaut : 366 jours.

      • Période de conservation maximale : 3 653 jours

    • Tarif de rétention sur sept ans : recommandé si vous prévoyez d’ingérer plus de 25 To de données d’événement par mois et que vous avez besoin d’une période de conservation allant jusqu’à 7 ans. La conservation est incluse dans le prix d’ingestion sans frais supplémentaires.

      • Période de conservation par défaut : 2 557 jours.

      • Période de conservation maximale : 2 557 jours

  6. Spécifiez une période de conservation pour le magasin de données d’événement. Les périodes de conservation peuvent être comprises entre 7 jours et 3 653 jours (environ 10 ans) pour l’option de tarification de rétention extensible d’un an, ou entre 7 jours et 2 557 jours (environ sept ans) pour l’option de tarification de rétention sur sept ans.

    CloudTrail Lake détermine s'il convient de conserver un événement en vérifiant si eventTime l'événement est compris dans la période de conservation spécifiée. Par exemple, si vous spécifiez une période de conservation de 90 jours, CloudTrail supprimera les événements ayant eventTime une durée plus de 90 jours.

  7. (Facultatif) Afin d'activer le chiffrement à l'aide d' AWS Key Management Service, sélectionnez Utiliser ma propre AWS KMS key. Choisissez New (Nouveau) pour qu'une soit AWS KMS key créée pour vous, ou choisissez Existing (Existant) pour utiliser une clé KMS existante. Dans Enter KMS alias (Saisir l'alias KMS), spécifiez un alias, au format alias/MyAliasName. L'utilisation de votre propre clé KMS nécessite que vous modifiiez votre politique de clé KMS pour permettre à votre magasin de données d'événement d'être chiffré et déchiffré. Pour plus d'informations, consultezConfigurer les politiques AWS KMS clés pour CloudTrail. CloudTrail prend également en charge les Clés AWS KMS multi-régions. Pour plus d’informations, consultez la section Utilisation de clés multi-régions dans le Guide du développeur AWS Key Management Service .

    L'utilisation de votre propre clé KMS entraîne des AWS KMS coûts de chiffrement et de déchiffrement dans. Une fois que vous avez associé un magasin de données d’événement à une clé KMS, celle-ci ne peut être ni supprimée ni modifiée.

    Note

    Pour activer AWS Key Management Service le chiffrement du magasin de données d'événement d'une organisation, vous devez utiliser une clé KMS existante pour le compte de gestion.

  8. (Facultatif) Si vous souhaitez interroger les données de votre événement à l’aide d’Amazon Athena, choisissez Activer dans Fédération de requêtes Lake. La fédération vous permet de visualiser les métadonnées associées au magasin de données d’événement dans le catalogue de données d’ AWS Glue et d’exécuter des requêtes SQL sur les données d’événement dans Athena. Les métadonnées de la table stockées dans le catalogue de AWS Glue données d'd'd'permettent au moteur de requête d'Athena de savoir comment trouver, lire et traiter les données que vous souhaitez interroger. Pour de plus amples informations, veuillez consulter Fédérer un magasin de données d’événement.

    Pour activer la fédération de requêtes Lake, choisissez Activer, puis procédez comme suit :

    1. Choisissez si vous souhaitez créer un rôle ou utiliser un rôle IAM existant. AWS Lake Formation utilise ce rôle pour gérer les autorisations pour le magasin de données d’événement fédéré. Lorsque vous créez un nouveau rôle à l'aide de la CloudTrail console, crée CloudTrail automatiquement un rôle avec les autorisations requises. Si vous choisissez un rôle existant, assurez-vous que la politique du rôle fournit les autorisations minimales requises.

    2. Si vous créez un rôle, saisissez un nom pour identifier le rôle.

    3. Si vous utilisez un rôle existant, choisissez le rôle que vous souhaitez utiliser. Le rôle doit exister dans votre compte.

  9. (Facultatif) Choisissez Activer la politique de ressources pour ajouter une politique basée sur les ressources à votre banque de données d'événements. Les politiques basées sur les ressources vous permettent de contrôler les principaux autorisés à effectuer des actions sur votre banque de données d'événements. Par exemple, vous pouvez ajouter une politique basée sur les ressources qui permet aux utilisateurs root d'autres comptes d'interroger cette banque de données d'événements et d'afficher les résultats de la requête. Pour obtenir des exemples de politiques, consultez Exemples de politiques basées sur les ressources pour les magasins de données d'événement.

    Une politique basée sur les ressources inclut une ou plusieurs instructions. Chaque déclaration de la politique définit les principaux auxquels l'accès est autorisé ou refusé au magasin de données d'événements et les actions que les principaux peuvent effectuer sur la ressource du magasin de données d'événements.

    Les actions suivantes sont prises en charge dans les politiques basées sur les ressources pour les magasins de données d'événements :

    • cloudtrail:StartQuery

    • cloudtrail:CancelQuery

    • cloudtrail:ListQueries

    • cloudtrail:DescribeQuery

    • cloudtrail:GetQueryResults

    • cloudtrail:GenerateQuery

    • cloudtrail:GenerateQueryResultsSummary

    • cloudtrail:GetEventDataStore

    Pour les magasins de données d'événements d'organisation, CloudTrail crée une politique par défaut basée sur les ressources qui répertorie les actions que les comptes d'administrateur délégué sont autorisés à effectuer sur les magasins de données d'événements de l'organisation. Les autorisations de cette politique sont dérivées des autorisations d'administrateur déléguées dans AWS Organizations. Cette politique est mise à jour automatiquement à la suite de modifications apportées au magasin de données d'événements de l'organisation ou à l'organisation (par exemple, un compte d'administrateur CloudTrail délégué est enregistré ou supprimé).

  10. (Facultatif) Dans la zone Balises, vous pouvez ajouter jusqu’à 50 paires clé-valeur de balise pour vous aider à identifier, trier et contrôler l’accès à votre magasin de données d’événement. Pour plus d'informations sur l'utilisation des politiques IAM pour autoriser l'accès à un magasin de données d'événement basé sur des identifications, consultez Exemples : rejeter l'accès à la création ou à la suppression de magasins de données d'événement en fonction des identifications. Pour plus d'informations sur la manière dont vous pouvez utiliser les balises AWS, consultez la section AWS Ressources de balisage dans le Guide de l'utilisateur AWS des ressources de balisage.

  11. Choisissez Suivant pour configurer le magasin de données d’événement.

  12. Sur la page Choose events (Choisir les événements), sélectionnez Events from integrations (Événements issus des intégrations).

  13. Dans Events from integration (Événements issus des intégrations), sélectionnez la source pour transmettre les événements au stockage de données d'événement.

  14. Fournissez un nom afin d'identifier le canal de l'intégration. Le nom doit comporter entre 3 et 128 caractères. Les noms peuvent contenir uniquement des lettres, des chiffres, des points, des tirets et des traits de soulignement.

  15. Dans Resource policy (Politique de ressources), configurez la politique de ressources pour le canal de l'intégration. Les politiques de ressources sont des documents de politique JSON précisant les actions qu'un principal spécifié peut effectuer sur la ressource ainsi que les conditions dans lesquelles ces actions peuvent être effectuées. Les comptes définis comme principaux dans la politique de ressources peuvent appeler l'API PutAuditEvents pour transmettre des événements à votre canal. Le propriétaire de la ressource dispose d'un accès implicite à la ressource si sa politique IAM autorise l'action cloudtrail-data:PutAuditEvents.

    Les informations requises pour la politique sont déterminées par le type d'intégration. Pour une intégration directe, ajoute CloudTrail automatiquement le AWS compte IDs du partenaire et vous demande de saisir l'ID externe unique fourni par le partenaire. Pour une intégration solution, vous devez spécifier au moins un ID de AWS compte en tant que principal et pouvez éventuellement saisir un ID externe afin d'éviter tout problème d'adjoint confus.

    Note

    Si vous ne créez pas de politique de ressources pour le canal, seul son propriétaire peut appeler l’API PutAuditEvents sur celui-ci.

    1. Pour une intégration directe, saisissez l'ID externe fourni par votre partenaire. Le partenaire d'intégration fournit un ID externe unique, tel qu'un ID de compte ou une chaîne générée aléatoirement, à utiliser pour l'intégration afin d'éviter tout problème d'adjoint confus. Le partenaire est responsable de la création et de la transmission d'un ID externe unique.

      Vous pouvez sélectionner How to find this? (Comment trouver cela ?) pour consulter la documentation du partenaire expliquant comment trouver l'ID externe.

      Documentation du partenaire concernant l'ID externe
      Note

      Si la politique de ressources inclut un ID externe, tous les appels à l'API PutAuditEvents doivent l'inclure. Cependant, si la politique ne définit pas d’ID externe, le partenaire peut appeler l’API PutAuditEvents et spécifier un paramètre externalId.

    2. Pour une intégration solution, sélectionnez Ajouter un AWS compte afin de spécifier chaque ID de AWS compte à ajouter en tant que principal dans la politique.

  16. Choisissez Suivant pour examiner vos préférences.

  17. Sur la page Review and create (Vérifier et créer), examinez vos choix. Choisissez Modifier (Edit) pour apporter des modifications à la section. Lorsque vous êtes prêt à créer le magasin de données d’événement, choisissez Créer un magasin de données d’événement.

  18. Le nouvel entrepôt de données d'événement est visible dans la table Entrepôts de données d'événement sur la page Entrepôts de données d'événement.

  19. Fournissez l’Amazon Resource Name (ARN) du canal à l’application partenaire. Les instructions pour fournir l'ARN du canal à l'application partenaire se trouvent sur le site Web de documentation du partenaire. Afin d'obtenir davantage d'informations et ouvrir la page du partenaire dans AWS Marketplace, cliquez sur le lien Learn more (En savoir plus) pour le partenaire dans l'onglet Available sources (Sources disponibles) de la page Integrations (Intégrations).

Le stockage de données d'événement commence à ingérer les événements des partenaires CloudTrail via le canal de l'intégration lorsque vous, le partenaire ou les applications partenaires appelez l'PutAuditEventsAPI sur le canal.