Activation de la journalisation CloudTrail pour les objets S3

Activation de la journalisation des événements CloudTrail pour les compartiments et les objets S3

Vous pouvez utiliser les événements de données CloudTrail pour obtenir des informations sur les requêtes au niveau du compartiment et de l’objet dans Amazon S3. Pour activer les événements de données CloudTrail pour tous vos compartiments ou pour une liste de compartiments spécifiques, vous devez créer manuellement un journal de suivi dans CloudTrail.

Note

Le paramètre par défaut pour CloudTrail est de trouver uniquement les événements de gestion. Assurez-vous que vous avez activé les événements de données pour votre compte.
Avec un compartiment S3 qui génère une charge de travail élevée, vous pourriez rapidement générer des milliers de journaux en un temps très court. Gardez à l’esprit la durée pendant laquelle vous décidez d’activer les événements de données CloudTrail pour un compartiment occupé.

CloudTrail stocke les journaux d’événements de données Amazon S3 dans un compartiment S3 de votre choix. Envisagez d’utiliser un compartiment dans un Compte AWS séparé pour mieux organiser les événements de plusieurs compartiments que vous pourriez posséder dans un endroit central pour faciliter les requêtes et l’analyse. AWS Organizations vous aide à créer un Compte AWS qui est lié au compte qui possède le compartiment que vous surveillez. Pour plus d’informations, consultez Présentation d’AWS Organizations dans le Guide de l’utilisateur AWS Organizations.

Lorsque vous journalisez des événements de données pour un journal de suivi dans CloudTrail, vous pouvez choisir d’utiliser des sélecteurs d’événements avancés ou des sélecteurs d’événements de base pour journaliser les événements de données relatifs aux objets stockés dans des compartiments à usage général. Pour journaliser des événements de données pour des objets stockés dans des compartiments de répertoires, vous devez utiliser des sélecteurs d’événements avancés. Pour plus d’informations, consultez Journalisation avec AWS CloudTrail pour S3 Express One Zone.

Lorsque vous créez un journal de suivi dans la console CloudTrail à l’aide de sélecteurs d’événements avancés, dans la section des événements de données, vous pouvez choisir Journaliser tous les événements pour le modèle de sélecteur de journaux journalise tous les événements au niveau de l’objet. Lorsque vous créez un journal de suivi dans la console CloudTrail à l’aide des sélecteurs d’événements de base, dans la section des événements de données, vous pouvez cocher la case Select all S3 buckets in your account (Sélectionner tous les compartiments S3 de votre compte) pour journaliser tous les événements au niveau de l’objet.

Note

Il est recommandé de créer une configuration de cycle de vie pour votre compartiment d’événements de données AWS CloudTrail. Configurez la configuration de cycle de vie pour supprimer périodiquement les fichiers journaux après le délai à l’issue duquel vous estimez devoir les auditer. Cela permet de réduire la quantité de données analysées par Athena pour chaque requête. Pour plus d’informations, consultez Définition d’une configuration du cycle de vie S3 sur un compartiment.
Pour plus d’informations sur le format de la journalisation, consultez Journalisation des appels d’API Amazon S3 à l’aide de AWS CloudTrail.
Pour obtenir des exemples d'interrogation de journaux CloudTrail, consultez le bille du blog AWS Big Data intitulé Analyse de la sécurité, de la compliance et des activités opérationnelles à l'aide de AWS CloudTrail et de Amazon Athena.

Activer la journalisation des objets d’un compartiment à l’aide de la console

Vous pouvez utiliser la console AWS CloudTrail pour configurer un journal CloudTrail afin d’y consigner les événements de données des objets d’un compartiment S3. CloudTrail prend en charge la journalisation des opérations API au niveau des objets Amazon S3 comme GetObject, DeleteObject et PutObject. Ces événements sont des événements de données.

Par défaut, les journaux d’activités CloudTrail n’enregistrent pas les événements de données, mais vous pouvez les configurer pour consigner les événements de données pour des compartiments S3 que vous spécifiez ou pour consigner les événements de données de tous les compartiments Amazon S3 de votre Compte AWS. Pour plus d’informations, consultez Journalisation des appels d’API Amazon S3 à l’aide de AWS CloudTrail.

CloudTrail ne remplit pas les événements de données dans l'historique des événements CloudTrail. En outre, toutes les actions au niveau du compartiment ne sont pas renseignées dans l’historique des événements CloudTrail. Pour plus d’informations sur les actions d’API au niveau du compartiment Amazon S3 suivies par la journalisation CloudTrail, consultez Actions au niveau du compartiment Amazon S3 qui sont suivies par la journalisation CloudTrail.. Pour plus d’informations sur l’interrogation des journaux CloudTrail, consultez l’article du Centre de connaissances AWS sur l’utilisation des modèles de filtre Amazon CloudWatch Logs et Amazon Athena pour interroger les journaux CloudTrail.

Note

Si vous enregistrez l’activité des données avec AWS CloudTrail, l’enregistrement d’un événement de données Amazon S3 DeleteObjects inclut à la fois l’événement DeleteObjects et un événement DeleteObject pour chaque objet supprimé dans le cadre de cette opération. Vous pouvez exclure les informations des objets supprimés de l’enregistrement de l’événement. Pour plus d’informations, consultez Exemples de filtre des événements de données à l’aide de l’AWS CLI dans le Guide de l’utilisateur AWS CloudTrail.

Pour activer la journalisation des événements de données CloudTrail pour les objets d’un compartiment à usage général ou d’un compartiment de répertoires S3, consultez Création d’un journal à l’aide de la console CloudTrail dans le Guide de l’utilisateur AWS CloudTrail.

Pour plus d’informations sur la journalisation des objets d’un compartiment de répertoires S3, consultez Journalisation avec AWS CloudTrail pour les compartiments de répertoires.

Pour plus d’informations sur l’utilisation de la console CloudTrail pour configurer un journal de suivi afin d’y consigner des événements de données S3, consultez Journalisation des événements de données dans le Guide de l’utilisateur AWS CloudTrail.

Pour désactiver la journalisation des événements de données CloudTrail pour les objets d’un compartiment S3, consultez Suppression d’un journal à l’aide de la console CloudTrail dans le Guide de l’utilisateur AWS CloudTrail.

Important

Des frais supplémentaires s’appliquent pour les événements de données. Pour plus d’informations, consultez Tarification d’AWS CloudTrail.

Pour plus d’informations sur la journalisation CloudTrail des compartiments S3, consultez les rubriques suivantes :

Création d’un compartiment à usage général
Affichage des propriétés d’un compartiment à usage général S3
Journalisation des appels d’API Amazon S3 à l’aide de AWS CloudTrail
Utilisation des fichier journaux CloudTrail dans le Guide de l’utilisateur AWS CloudTrail

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Exemples de fichiers journaux

Identification des demandes S3