AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Comment puis-je changer mon journal de suivi CloudTrail en journal de suivi AWS Organizations ?

Lecture de 4 minute(s)

Au lieu de créer un nouveau journal de suivi d’organisation AWS Organizations, je souhaite changer mon journal de suivi AWS CloudTrail existant en journal de suivi d’organisation. Comment puis-je changer mon journal de suivi CloudTrail en journal de suivi d’organisation ?

Résolution

(Prérequis) Activer l'accès au service approuvé avec CloudTrail

Suivez les instructions de la section Activation de l'accès approuvé avec CloudTrail dans le guide de l'utilisateur d'AWS Organizations.

Pour plus d'informations sur l'intégration de CloudTrail dans Organizations, consultez la section AWS CloudTrail et AWS Organizations.

Mettez à jour la politique de compartiment Amazon S3 pour vos fichiers journaux CloudTrail afin d'autoriser les opérations suivantes :

Le journal de suivi CloudTrail pour transmettre les fichiers journaux au compartiment Amazon Simple Storage Service (Amazon S3).
Le journal de suivi CloudTrail pour transmettre les journaux des comptes de l'organisation au compartiment Amazon S3.

1. Ouvrez la console Amazon S3.

2. Sélectionnez Compartiments.

3. Dans Nom du compartiment, choisissez le compartiment S3 qui contient vos fichiers journaux CloudTrail.

4. Sélectionnez Autorisations. Puis, sélectionnez Politique de compartiment.

5. Copiez et collez l'exemple d’instruction de politique de compartiment suivant dans l'éditeur de politiques, puis sélectionnez Enregistrer.

Important : Remplacez primary-account-id par l’ID de votre compte principal Organizations. Remplacez bucket-name par le nom de votre compartiment S3. Remplacez org-id par votre ID Organizations. Remplacez your-region par votre région AWS.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::bucket-name"
        },
        {
            "Sid": "AWSCloudTrailWrite20150319",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/primary-account-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        },
        {
            "Sid": "AWSCloudTrailWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::bucket-name/AWSLogs/org-id/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

(Facultatif) Configurez les autorisations pour surveiller les fichiers journaux CloudTrail de l'organisation à l'aide de CloudWatch Logs.

Remarque : Les étapes suivantes ne sont requises que si vous surveillez les fichiers journaux CloudTrail avec Amazon CloudWatch Logs.

1. Assurez-vous que toutes les fonctionnalités de votre organisation sont activées.

2. Suivez les instructions de la section Activer CloudTrail en tant que service approuvé dans AWS Organizations.

3. Ouvrez la console AWS Identity and Access Management (IAM).

4. Sélectionnez Politiques.

5. Dans Nom de la politique, choisissez la politique IAM associée à votre compte principal AWS du groupe de journaux CloudWatch.

6. Sélectionnez Modifier la politique, copiez et collez l'exemple d’instruction de politique IAM suivant, puis sélectionnez Enregistrer.

Important : Remplacez your-region par votre région AWS. Remplacez primary-account-id par l'ID de votre compte principal Organizations. Remplacez org-id par l’ID de votre organisation. Remplacez log-group-name par le nom de votre groupe de journaux CloudWatch.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailCreateLogStream",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        },
        {
            "Sid": "AWSCloudTrailPutLogEvents",
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents"
            ],
            "Resource": [
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:primary-account-id_CloudTrail_your-region*",
                "arn:aws:logs:your-region:primary-account-id:log-group:CloudTrail/log-group-name:log-stream:org-id*"
            ]
        }
    ]
}

7. Ouvrez la console CloudTrail.

8. Dans le volet de navigation, sélectionnez Journaux de suivi.

9. Dans Nom du journal de suivi, choisissez le nom de votre journal de suivi.

10. Pour les journaux CloudWatch, choisissez l'icône de modification. Puis, sélectionnez Continuer.

11. Dans Résumé du rôle, sélectionnez Autoriser.

Mettre à jour votre journal de suivi CloudTrail à un journal de suivi de l’organisation

1. Ouvrez la console CloudTrail, puis sélectionnez Journaux de suivi dans le volet de navigation.

2. Dans Nom du journal de suivi, choisissez votre journal de suivi.

3. Dans Paramètres du journal de suivi, choisissez l'icône de modification.

4. Dans Appliquer le journal de suivi à mon organisation, sélectionnez Oui. Puis, sélectionnez Enregistrer.

Informations connexes

Mise en route d’AWS Organizations

Exécution de update-trail pour mettre à jour un journal de suivi de l’organisation

Sujets: Management & Governance
Balises: AWS CloudTrail
Langue: Français

Vidéos associées

Regarder la vidéo de Simran pour en savoir plus (9:38)

AWS OFFICIELA mis à jour il y a 4 ans

Aucun commentaire

Contenus pertinents

Comment changer l'adresse mail d'un compte Racine
Damian
demandé il y a 2 ans
Comment changer l'émetteur utilisé pour envoyer les SMS ?
Nicolas
demandé il y a 2 ans
Comment changer une région aws pour un compartiment déjà créé ?
RAV3D
demandé il y a 2 ans
démarrage d'instances a mon insu
marc
demandé il y a 2 ans
Facturation persistante pour OpenSearch malgré la suppression de toutes les ressources et absence d’instance active
Réponse acceptée
Baptiste
demandé il y a un an
Comment puis-je créer automatiquement des tables dans Amazon Athena pour effectuer des recherches dans les journaux AWS CloudTrail ?
AWS OFFICIELA mis à jour il y a 10 mois
Comment utiliser Athena pour rechercher dans mes journaux CloudTrail les appels d'API AWS Support ?
AWS OFFICIELA mis à jour il y a un an
Comment puis-je résoudre les problèmes liés à la requête Athena SELECT pour les journaux CloudTrail ?
AWS OFFICIELA mis à jour il y a 2 ans
Pourquoi ne puis-je pas effectuer de recherche dans les journaux d'événements CloudTrail pour trouver le nom d'utilisateur qui a créé un volume EBS ?
AWS OFFICIELA mis à jour il y a 8 mois