Activation de la journalisation CloudTrail pour les objets S3 sur Outposts Entrées du fichier journal AWS CloudTrail d’Amazon S3 sur Outposts

Surveillance de S3 sur Outposts avec des journaux AWS CloudTrail

Amazon S3 sur Outpost est intégré avec AWS CloudTrail, un service qui enregistre les actions effectuées par un utilisateur, un rôle ou un Service AWS dans S3 sur Outposts. Vous pouvez utiliser AWS CloudTrail pour obtenir des informations sur des demandes au niveau du compartiment et au niveau de l’objet sur S3 sur Outposts pour auditer et journaliser votre activité d’événements S3 sur Outposts.

Pour activer les événements de données CloudTrail pour tous vos compartiments Outposts ou pour une liste de compartiments spécifiques Outposts, vous devez créer manuellement un journal de suivi dans CloudTrail. Pour plus d’informations sur les entrées du fichier journal CloudTrail, consultez Entrées du fichier journal S3 sur Outposts.

Pour obtenir la liste complète des événements de données CloudTrail pour S3 sur Outposts, consultez Événements de données Amazon S3 dans CloudTrail dans le Guide de l’utilisateur Amazon S3.

Note

Il est recommandé de créer une politique de cycle de vie pour votre compartiment Outposts d’événements de données AWS CloudTrail. Configurez la politique de cycle de vie pour supprimer périodiquement les fichiers journaux après le délai à l’issue duquel vous devez les auditer. Cela permet de réduire la quantité de données analysées par Amazon Athena pour chaque requête. Pour de plus amples informations, consultez Création et gestion d'une configuration de cycle de vie pour votre compartiment Amazon S3 on Outposts.
Pour obtenir des exemples d’interrogation de journaux CloudTrail, consultez le bille du blog AWS Big Data intitulé Analyse de la sécurité, de la compliance et des activités opérationnelles à l’aide de AWS CloudTrail et de Amazon Athena.

Activer la journalisation CloudTrail pour des objets d’un compartiment S3 sur Outposts

Vous pouvez utiliser la console Amazon S3 pour configurer un journal d’activité AWS CloudTrail afin de journaliser les événements de données pour les objets d’un compartiment Amazon S3 sur Outposts. CloudTrail prend en charge la journalisation des opérations API au niveau des objets S3 sur Outposts comme GetObject, DeleteObject et PutObject. Ces événements sont des événements de données.

Par défaut, les journaux CloudTrail ne journalisent pas les événements de données. Cependant, vous pouvez configurer des journaux de suivi pour consigner les événements de données pour les compartiments S3 sur Outposts que vous spécifiez ou pour consigner les événements de données pour tous les compartiments S3 sur Outposts dans votre Compte AWS.

CloudTrail ne remplit pas les événements de données dans l’historique des événements CloudTrail. En outre, toutes les opérations d’API au niveau du compartiment S3 sur Outposts ne sont pas renseignées dans l’historique des événements CloudTrail. Pour plus d’informations sur l’interrogation des journaux CloudTrail, consultez Using Amazon CloudWatch Logs filter patterns and Amazon Athena to query CloudTrail logs (Utilisation des modèles de filtre Amazon CloudWatch Logs et d’Amazon Athena pour interroger les journaux CloudTrail) dans le centre de connaissances AWS.

Pour configurer un journal de suivi afin de journaliser les événements de données pour un compartiment S3 sur Outposts, vous pouvez utiliser la console AWS CloudTrail ou la console Amazon S3. Si vous configurez un journal de suivi afin de journaliser les événements de données pour tous les compartiments S3 sur Outposts de votre Compte AWS, il est plus facile d’utiliser la console CloudTrail. Pour plus d’informations sur l’utilisation de la console CloudTrail pour configurer un journal de suivi afin de journaliser les événements de données S3 sur Outposts, consultez Data events (Événements de données) dans le Guide de l’utilisateur AWS CloudTrail.

Important

Des frais supplémentaires sont facturés pour les événements de données. Pour plus d’informations, consultez Tarification d’AWS CloudTrail.

La procédure suivante montre comment utiliser la console Amazon S3 pour configurer un journal de suivi CloudTrail afin de journaliser les événements de données pour un compartiment S3 sur Outposts.

Note

Le Compte AWS qui crée le compartiment en est le propriétaire et lui seul peut configurer des événements de données S3 sur Outposts à envoyer à AWS CloudTrail.

Pour activer la journalisation des événements de données CloudTrail pour des objets d’un compartiment S3 sur Outposts

Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l’adresse https://console.aws.amazon.com/s3/.
Dans le panneau de navigation de gauche, choisissez Outposts buckets (Compartiments Outposts).
Choisissez le nom du compartiment Outposts dont vous souhaitez journaliser les événements de données à l’aide de CloudTrail.
Choisissez Propriétés.
Accédez à la section Événements de données AWS CloudTrail et choisissez Configurer dans CloudTrail.

La console AWS CloudTrail s’ouvre.

Vous pouvez créer un nouveau journal d’activité CloudTrail ou réutiliser un journal existant, et configurer des événements de données S3 sur Outposts pour qu’ils soient journalisés dans votre journal d’activité.
Sur la page Tableau de bord de la console CloudTrail, choisissez Créer un journal de suivi.
Sur la page Étape 1 Choisir les attributs du journal de suivi, donnez un nom au journal de suivi, choisissez un compartiment S3 pour stocker les journaux de suivi, spécifiez les autres paramètres souhaités, puis cliquez sur Suivant.
Sur la page Étape 2 Choisir des événements de journaux, sous Type d’événement, choisissez Événements de données.

Pour Type d’événement de données, choisissez S3 Outposts. Choisissez Suivant.
Note
- Lorsque vous créez un journal de suivi et que vous configurez la journalisation des événements de données pour S3 sur Outposts, vous devez spécifier correctement le type d’événement de données.
  
  Si vous utilisez la console CloudTrail, choisissez S3 Outposts pour Type d’événement de données. Pour plus d’informations sur la création de journaux d’activité dans la console CloudTrail, consultez Création et mise à jour d’un journal d’activité avec la console dans le Guide de l’utilisateur AWS CloudTrail. Pour plus d’informations sur la configuration de la journalisation des événements de données S3 dans la console CloudTrail, consultez Journalisation des événements de données pour les objets Amazon S3 dans le Guide de l’utilisateur AWS CloudTrail.
  
  Si vous utilisez l’AWS Command Line Interface (AWS CLI) ou les kits SDK AWS, définissez le champ resources.type sur AWS::S3Outposts::Object. Pour plus d’informations sur la journalisation des événements de données S3 sur Outposts à l’aide de l’AWS CLI, consultez Log S3 sur Outposts events (Journaliser des événements S3 sur Outposts) dans le Guide de l’utilisateur AWS CloudTrail.
- Si vous utilisez la console CloudTrail ou la console Amazon S3 pour configurer un journal de suivi afin de journaliser les événements de données pour un compartiment S3 sur Outposts, la console Amazon S3 indique que la journalisation au niveau des objets est activée pour le compartiment.
Sur la page Étape 3 Vérifier et créer, passez en revue les attributs du suivi et les événements du journal que vous avez configurés. Choisissez ensuite Créer un journal de suivi.

Pour désactiver la journalisation des événements de données CloudTrail pour des objets d’un compartiment S3 sur Outposts

Connectez-vous à AWS Management Console et ouvrez la console CloudTrail à l’adresse https://console.aws.amazon.com/cloudtrail/.
Dans le volet de navigation de gauche, choisissez Journaux de suivi.
Choisissez le nom du journal de suivi que vous avez créé pour journaliser les événements de votre compartiment S3 sur Outposts.
Sur la page de détails de votre journal de suivi, choisissez Arrêter la journalisation dans le coin supérieur droit.
Dans la boîte de dialogue qui s’affiche, cliquez sur Arrêter la journalisation.

Entrées du fichier journal AWS CloudTrail d’Amazon S3 sur Outposts

Les événements de gestion Amazon S3 sur Outposts sont disponibles via AWS CloudTrail. En outre, vous pouvez éventuellement activer la journalisation des événements de données dans AWS CloudTrail.

Un journal de suivi est une configuration qui permet la livraison d’événements sous forme de fichiers journaux vers un compartiment S3 dans une Région que vous spécifiez. Les journaux CloudTrail pour vos compartiments Outposts incluent un nouveau champ, edgeDeviceDetails, qui identifie l’Outpost où se trouve le compartiment spécifié.

Les champs de journal supplémentaires incluent l’action demandée, la date et l’heure de l’action, ainsi que les paramètres de demande. Les fichiers journaux CloudTrail ne constituent pas une trace de pile ordonnée des appels d’API publics. Ils ne suivent aucun ordre précis.

L’exemple suivant montre une entrée de journal CloudTrail qui illustre l’action PutObject sur s3-outposts.


{
      "eventVersion": "1.08",
      "userIdentity": {
        "type": "IAMUser",
        "principalId": "111122223333",
        "arn": "arn:aws:iam::111122223333:user/yourUserName",
        "accountId": "222222222222",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "yourUserName"
      },
      "eventTime": "2020-11-30T15:44:33Z",
      "eventSource": "s3-outposts.amazonaws.com",
      "eventName": "PutObject",
      "awsRegion": "us-east-1",
      "sourceIPAddress": "26.29.66.20",
      "userAgent": "aws-cli/1.18.39 Python/3.4.10 Darwin/18.7.0 botocore/1.15.39",
      "requestParameters": {
        "expires": "Wed, 21 Oct 2020 07:28:00 GMT",
        "Content-Language": "english",
        "x-amz-server-side-encryption-customer-key-MD5": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
        "ObjectCannedACL": "BucketOwnerFullControl",
        "x-amz-server-side-encryption": "Aes256",
        "Content-Encoding": "gzip",
        "Content-Length": "10",
        "Cache-Control": "no-cache",
        "Content-Type": "text/html; charset=UTF-8",
        "Content-Disposition": "attachment",
        "Content-MD5": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY",
        "x-amz-storage-class": "Outposts",
        "x-amz-server-side-encryption-customer-algorithm": "Aes256",
        "bucketName": "amzn-s3-demo-bucket1",
        "Key": "path/upload.sh"
      },
      "responseElements": {
        "x-amz-server-side-encryption-customer-key-MD5": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
        "x-amz-server-side-encryption": "Aes256",
        "x-amz-version-id": "001",
        "x-amz-server-side-encryption-customer-algorithm": "Aes256",
        "ETag": "d41d8cd98f00b204e9800998ecf8427f"
      },
      "additionalEventData": {
        "CipherSuite": "ECDHE-RSA-AES128-SHA",
        "bytesTransferredIn": 10,
        "x-amz-id-2": "29xXQBV2O+xOHKItvzY1suLv1i6A52E0zOX159fpfsItYd58JhXwKxXAXI4IQkp6",
        "SignatureVersion": "SigV4",
        "bytesTransferredOut": 20,
        "AuthenticationMethod": "AuthHeader"
      },
      "requestID": "8E96D972160306FA",
      "eventID": "ee3b4e0c-ab12-459b-9998-0a5a6f2e4015",
      "readOnly": false,
      "resources": [
        {
          "accountId": "222222222222",
          "type": "AWS::S3Outposts::Object",
          "ARN": "arn:aws:s3-outposts:us-east-1:YYY:outpost/op-01ac5d28a6a232904/bucket/path/upload.sh"
        },
        {
          "accountId": "222222222222",
          "type": "AWS::S3Outposts::Bucket",
          "ARN": "arn:aws:s3-outposts:us-east-1:YYY:outpost/op-01ac5d28a6a232904/bucket/"
        }
      ],
      "eventType": "AwsApiCall",
      "managementEvent": false,
      "recipientAccountId": "444455556666",
      "sharedEventID": "02759a4c-c040-4758-b84b-7cbaaf17747a",
      "edgeDeviceDetails": {
        "type": "outposts",
        "deviceId": "op-01ac5d28a6a232904"
      },
      "eventCategory": "Data"
    }

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Amazon CloudWatch Events

Développement avec S3 on Outposts