Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Création d'un magasin de données d'événements pour les événements extérieurs AWS à la console
<a name="event-data-store-integration-events"></a>

**Note**  
AWS CloudTrail Lake ne sera plus ouvert aux nouveaux clients à compter du 31 mai 2026. Si vous souhaitez utiliser CloudTrail Lake, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour de plus amples informations, veuillez consulter [CloudTrail Modification de la disponibilité des lacs](cloudtrail-lake-service-availability-change.md).

Vous pouvez créer un magasin de données d'événements pour inclure des événements extérieurs à AWS, puis utiliser CloudTrail Lake pour rechercher, interroger et analyser les données enregistrées par vos applications.

Vous pouvez utiliser *les intégrations CloudTrail * Lake pour enregistrer et stocker les données d'activité des utilisateurs provenant de l'extérieur AWS, de n'importe quelle source dans vos environnements hybrides, telles que des applications internes ou SaaS hébergées sur site ou dans le cloud, des machines virtuelles ou des conteneurs.

Lorsque vous créez un magasin de données d’événement pour une intégration, vous créez également un canal associé à une politique de ressources. 

CloudTrail Les magasins de données sur les événements de Lake sont payants. Lorsque vous créez un magasin de données d’événement, vous choisissez l’[option de tarification](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) que vous voulez utiliser pour le magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Pour plus d'informations sur la CloudTrail tarification et la gestion des coûts du lac, voir [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/) et[Gestion des coûts CloudTrail du lac](cloudtrail-lake-manage-costs.md).

## Pour créer un magasin de données d'événements pour des événements en dehors de AWS
<a name="event-data-store-integration-events-procedure"></a>

1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).

1.  Dans le panneau de navigation, sous **Lake**, choisissez **Entrepôts de données d'événement**. 

1. Choisissez **Créer un magasin de données d’événement**.

1. Sur la page **Configure event data store** (Configurer un magasin de données d'événement), dans **General details** (Détails généraux), saisissez un nom pour le magasin de données d'événement. Un nom est requis.

1. Choisissez l’**option de tarification** que vous souhaitez utiliser pour votre magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que la période de conservation par défaut et maximale pour votre magasin de données d’événement. Pour plus d’informations, veuillez consulter [Tarification d’AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) et [Gestion des coûts CloudTrail du lac](cloudtrail-lake-manage-costs.md). 

   Les options suivantes sont disponibles :
   + **Tarif de rétention extensible d’un an** : généralement recommandé si vous prévoyez d’ingérer moins de 25 To de données d’événement par mois et souhaitez une période de conservation flexible allant jusqu’à 10 ans. Pendant les 366 premiers jours (période de conservation par défaut), le stockage est inclus sans frais supplémentaires dans le prix d’ingestion. Après 366 jours, la rétention prolongée est disponible moyennant un pay-as-you-go prix. Il s’agit de l’option par défaut.
     + **Période de conservation par défaut :** 366 jours.
     + **Période de conservation maximale :** 3 653 jours
   + **Tarif de rétention sur sept ans** : recommandé si vous prévoyez d’ingérer plus de 25 To de données d’événement par mois et que vous avez besoin d’une période de conservation allant jusqu’à 7 ans. La conservation est incluse dans le prix d’ingestion sans frais supplémentaires.
     + **Période de conservation par défaut :** 2 557 jours.
     + **Période de conservation maximale :** 2 557 jours

1. Spécifiez une période de conservation pour le magasin de données d’événement. Les périodes de conservation peuvent être comprises entre 7 jours et 3 653 jours (environ 10 ans) pour l’option de **tarification de rétention extensible d’un an**, ou entre 7 jours et 2 557 jours (environ sept ans) pour l’option de **tarification de rétention sur sept ans.** 

    CloudTrail Lake détermine s'il convient de conserver un événement en vérifiant si celui-ci se situe dans la période de conservation spécifiée. `eventTime` Par exemple, si vous spécifiez une période de conservation de 90 jours, les événements CloudTrail seront supprimés lorsqu'ils datent `eventTime` de plus de 90 jours. 

1. (Facultatif) Pour activer le chiffrement en utilisant AWS Key Management Service, choisissez **Utiliser le mien AWS KMS key**. Choisissez **Nouveau** pour en AWS KMS key créer une pour vous, ou choisissez **Existant** pour utiliser une clé KMS existante. Dans **Enter KMS alias**, spécifiez un alias au format `alias/`*MyAliasName*. L'utilisation de votre propre clé KMS nécessite que vous modifiiez votre politique de clé KMS afin de permettre le chiffrement et le déchiffrement de votre banque de données d'événements. Pour plus d'informations, consultez[Configurer les politiques AWS KMS clés pour CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail prend également en charge les clés AWS KMS multirégionales. Pour plus d’informations, consultez la section [Utilisation de clés multi-régions](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) dans le *Guide du développeur AWS Key Management Service *.

   L'utilisation de votre propre clé KMS entraîne des AWS KMS coûts de chiffrement et de déchiffrement. Une fois que vous avez associé un magasin de données d’événement à une clé KMS, celle-ci ne peut être ni supprimée ni modifiée.
**Note**  
Pour activer AWS Key Management Service le chiffrement pour le magasin de données d'événements d'une organisation, vous devez utiliser une clé KMS existante pour le compte de gestion.

1. (Facultatif) Si vous souhaitez interroger les données de votre événement à l’aide d’Amazon Athena, choisissez **Activer** dans **Fédération de requêtes Lake**. La fédération vous permet de visualiser les métadonnées associées au magasin de données d’événement dans le [catalogue de données](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) d’ AWS Glue et d’exécuter des requêtes SQL sur les données d’événement dans Athena. Les métadonnées des tables stockées dans le catalogue de AWS Glue données permettent au moteur de requête Athena de savoir comment rechercher, lire et traiter les données que vous souhaitez interroger. Pour de plus amples informations, veuillez consulter [Fédérer un magasin de données d’événement](query-federation.md).

   Pour activer la fédération de requêtes Lake, choisissez **Activer**, puis procédez comme suit :

   1. Choisissez si vous souhaitez créer un rôle ou utiliser un rôle IAM existant. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utilise ce rôle pour gérer les autorisations pour le magasin de données d’événement fédéré. Lorsque vous créez un nouveau rôle à l'aide de la CloudTrail console, il en crée CloudTrail automatiquement un avec les autorisations requises. Si vous choisissez un rôle existant, assurez-vous que la politique du rôle fournit les [autorisations minimales requises](query-federation.md#query-federation-permissions-role).

   1. Si vous créez un rôle, saisissez un nom pour identifier le rôle.

   1. Si vous utilisez un rôle existant, choisissez le rôle que vous souhaitez utiliser. Le rôle doit exister dans votre compte.

1. (Facultatif) Choisissez **Activer la politique de ressources** pour ajouter une politique basée sur les ressources à votre banque de données d'événements. Les stratégies basées sur les ressources vous permettent de contrôler quels principaux peuvent effectuer des actions sur votre stockage de données d’événements. Par exemple, vous pouvez ajouter une politique basée sur les ressources qui permet aux utilisateurs root d'autres comptes d'interroger cette banque de données d'événements et d'afficher les résultats de la requête. Pour obtenir des exemples de politiques, consultez [Exemples de politiques basées sur les ressources pour les magasins de données d'événements](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).

   Une politique basée sur les ressources inclut une ou plusieurs instructions. Chaque déclaration de la politique définit [les principaux auxquels](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) l'accès est autorisé ou refusé au magasin de données d'événements et les actions que les principaux peuvent effectuer sur la ressource du magasin de données d'événements.

   Les actions suivantes sont prises en charge dans les politiques basées sur les ressources pour les magasins de données d'événements :
   +  `cloudtrail:StartQuery` 
   +  `cloudtrail:CancelQuery` 
   +  `cloudtrail:ListQueries` 
   +  `cloudtrail:DescribeQuery` 
   +  `cloudtrail:GetQueryResults` 
   +  `cloudtrail:GenerateQuery` 
   +  `cloudtrail:GenerateQueryResultsSummary` 
   +  `cloudtrail:GetEventDataStore` 

   Pour les [magasins de données d'événements d'organisation](cloudtrail-lake-organizations.md), CloudTrail crée une [politique par défaut basée sur les ressources](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) qui répertorie les actions que les comptes d'administrateur délégué sont autorisés à effectuer sur les magasins de données d'événements de l'organisation. Les autorisations de cette politique sont dérivées des autorisations d'administrateur déléguées dans AWS Organizations. Cette politique est mise à jour automatiquement à la suite de modifications apportées au magasin de données d'événements de l'organisation ou à l'organisation (par exemple, un compte d'administrateur CloudTrail délégué est enregistré ou supprimé).

1. (Facultatif) Dans la zone **Balises**, vous pouvez ajouter jusqu’à 50 paires clé-valeur de balise pour vous aider à identifier, trier et contrôler l’accès à votre magasin de données d’événement. Pour plus d'informations sur l'utilisation des politiques IAM pour autoriser l'accès à un magasin de données d'événement basé sur des identifications, consultez [Exemples : rejeter l'accès à la création ou à la suppression de magasins de données d'événement en fonction des identifications](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Pour plus d'informations sur la manière dont vous pouvez utiliser les balises AWS, consultez la section [AWS Ressources de balisage](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) dans le Guide de l'*utilisateur AWS des ressources de balisage*.

1.  Choisissez **Suivant** pour configurer le magasin de données d’événement. 

1.  Sur la page **Choose events** (Choisir les événements), sélectionnez **Events from integrations** (Événements issus des intégrations). 

1.  Dans **Events from integration** (Événements issus des intégrations), sélectionnez la source pour transmettre les événements au stockage de données d'événement. 

1. Fournissez un nom afin d'identifier le canal de l'intégration. Le nom doit comporter entre 3 et 128 caractères. Les noms peuvent contenir uniquement des lettres, des chiffres, des points, des tirets et des traits de soulignement.

1. Dans **Resource policy** (Politique de ressources), configurez la politique de ressources pour le canal de l'intégration. Les politiques de ressources sont des documents de politique JSON précisant les actions qu'un principal spécifié peut effectuer sur la ressource ainsi que les conditions dans lesquelles ces actions peuvent être effectuées. Les comptes définis comme principaux dans la politique de ressources peuvent appeler l'API `PutAuditEvents` pour transmettre des événements à votre canal. Le propriétaire de la ressource dispose d'un accès implicite à la ressource si sa politique IAM autorise l'action `cloudtrail-data:PutAuditEvents`.

   Les informations requises pour la politique sont déterminées par le type d'intégration. Pour une intégration des directions, ajoute CloudTrail automatiquement le AWS compte IDs du partenaire et vous demande de saisir l'identifiant externe unique fourni par le partenaire. Pour une intégration de solution, vous devez spécifier au moins un identifiant de AWS compte comme identifiant principal, et vous pouvez éventuellement saisir un identifiant externe pour éviter toute confusion entre les adjoints.
**Note**  
Si vous ne créez pas de politique de ressources pour le canal, seul son propriétaire peut appeler l’API `PutAuditEvents` sur celui-ci.

   1. Pour une intégration directe, saisissez l'ID externe fourni par votre partenaire. Le partenaire d'intégration fournit un ID externe unique, tel qu'un ID de compte ou une chaîne générée aléatoirement, à utiliser pour l'intégration afin d'éviter tout problème d'adjoint confus. Le partenaire est responsable de la création et de la transmission d'un ID externe unique.

       Vous pouvez sélectionner **How to find this?** (Comment trouver cela ?) pour consulter la documentation du partenaire expliquant comment trouver l'ID externe.   
![\[Documentation du partenaire concernant l'ID externe\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/integration-external-id.png)
**Note**  
Si la politique de ressources inclut un ID externe, tous les appels à l'API `PutAuditEvents` doivent l'inclure. Cependant, si la politique ne définit pas d’ID externe, le partenaire peut appeler l’API `PutAuditEvents` et spécifier un paramètre `externalId`.

   1.  Pour une intégration de solution, choisissez **Ajouter un AWS compte** pour spécifier chaque ID de AWS compte à ajouter en tant que principal dans la politique.

1. Choisissez **Suivant** pour examiner vos préférences.

1. Sur la page **Review and create** (Vérifier et créer), examinez vos choix. Choisissez **Modifier (Edit)** pour apporter des modifications à la section. Lorsque vous êtes prêt à créer le magasin de données d’événement, choisissez **Créer un magasin de données d’événement**.

1. Le nouvel entrepôt de données d'événement est visible dans la table **Entrepôts de données d'événement** sur la page **Entrepôts de données d'événement**.

1. Fournissez l’Amazon Resource Name (ARN) du canal à l’application partenaire. Les instructions pour fournir l'ARN du canal à l'application partenaire se trouvent sur le site Web de documentation du partenaire. Afin d'obtenir davantage d'informations et ouvrir la page du partenaire dans AWS Marketplace, cliquez sur le lien **Learn more** (En savoir plus) pour le partenaire dans l'onglet **Available sources** (Sources disponibles) de la page **Integrations** (Intégrations).

Le magasin de données d'événements commence à intégrer les événements des partenaires CloudTrail via le canal de l'intégration lorsque vous, le partenaire ou les applications partenaires appelez l'`PutAuditEvents`API sur le canal.