AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Comment utiliser CloudTrail pour suivre les modifications apportées aux groupes de sécurité et aux ressources de mon compte ?

Lecture de 4 minute(s)

Je souhaite utiliser AWS CloudTrail pour suivre les modifications des groupes de sécurité et des ressources dans mon compte AWS.

Résolution

Vous pouvez utiliser AWS CloudTrail, Amazon Athena et AWS Config pour consulter et surveiller l'historique des événements des groupes de sécurité sur votre compte AWS.

Prérequis :

Configurez CloudTrail pour transmettre les journaux à un compartiment Amazon Simple Storage Service (Amazon S3) pour les requêtes Athena.
Activez l'enregistreur de configuration AWS Config pour afficher l'historique des événements du groupe de sécurité après la limite de 90 jours par défaut.

Examiner l'activité des groupes de sécurité à l’aide de l'historique des événements CloudTrail

Remarque : Vous pouvez utiliser CloudTrail pour effectuer des recherches dans l'historique des événements des 90 derniers jours.

Ouvrez la console CloudTrail.
Choisissez Historique des événements.
Dans la liste déroulante de Filtre, choisissez Nom de la ressource.
Dans la zone de texte Saisir un nom de ressource, entrez le nom de votre ressource. Par exemple, sg-123456789.
Dans Plage de temps, entrez la plage de temps de votre choix. Puis, sélectionnez Appliquer.
Choisissez un événement dans la liste des résultats.

Pour plus d'informations, consultez la section Affichage des événements de gestion récents à l'aide de la console.

Exemple d'événement CloudTrail :

Remarque : Dans cet exemple, une règle entrante autorise le port TCP 998 depuis 192.168.0.0/32.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "123456789:Bob",
        "arn": "arn:aws:sts::123456789:assumed-role/123456789/Bob",
        "accountId": "123456789",
        "accessKeyId": "123456789",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2019-08-05T07:15:25Z"
            },
            "sessionIssuer": {
                "type": "Role",
                "principalId": "123456789",
                "arn": "arn:aws:iam::123456789:role/123456789",
                "accountId": "123456789",
                "userName": "Bob"
            }
        }
    },
    "eventTime": "2019-08-05T07:16:31Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "AuthorizeSecurityGroupIngress",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "111.111.111.111",
    "userAgent": "console.ec2.amazonaws.com",
    "requestParameters": {
        "groupId": "sg-123456789",
        "ipPermissions": {
            "items": [
                {
                    "ipProtocol": "tcp",
                    "fromPort": 998,
                    "toPort": 998,
                    "groups": {},
                    "ipRanges": {
                        "items": [
                            {
                                "cidrIp": "192.168.0.0/32"
                            }
                        ]
                    },
                    "ipv6Ranges": {},
                    "prefixListIds": {}
                }
            ]
        }
    },
    "responseElements": {
        "requestId": "65ada3c8-d72f-4366-a583-9a9586811111",
        "_return": true
    },
    "requestID": "65ada3c8-d72f-4366-a583-9a9586811111",
    "eventID": "6c604d53-d9c3-492e-a26a-a48ac3f711111",
    "eventType": "AwsApiCall",
    "recipientAccountId": "123456789"
}

Examiner l'activité des groupes de sécurité à l'aide de requêtes Athena

Ouvrez la console Athena.
Sélectionnez Éditeur de requêtes.
Dans l'éditeur de requêtes Athena, saisissez une requête en fonction de votre cas d'utilisation. Puis, sélectionnez Exécuter la requête.

Pour plus d'informations, consultez la section Comprendre les journaux CloudTrail et les tables Athena.

Exemple de requête pour renvoyer les événements de création et de suppression d'un groupe de sécurité :

Important : Remplacez example table name par le nom de votre table.

SELECT *
FROM example table name
WHERE (eventname = 'CreateSecurityGroup' or eventname = 'DeleteSecurityGroup')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc

Exemple de requête pour renvoyer tous les événements CloudTrail pour les modifications apportées à un groupe de sécurité spécifique :

SELECT *
FROM example table name
WHERE (eventname like '%SecurityGroup%' and requestparameters like '%sg-123456789%')
and eventtime > '2019-02-15T00:00:00Z'
order by eventtime asc;

Consulter l'activité des groupes de sécurité à l'aide de l'historique de configuration d'AWS Config

Ouvrez la console CloudTrail.
Choisissez Historique des événements.
Dans la liste déroulante de Filtre, choisissez Nom de l’événement.
Dans la zone de texte Saisir un nom de ressource, entrez le type d'événement. Par exemple, CreateSecurityGroup. Puis, sélectionnez Appliquer.
Choisissez un événement dans la liste des résultats.
Dans le volet Ressources référencées, choisissez Afficher la chronologie des ressources AWS Config pour afficher la chronologie de configuration.

Pour plus d'informations, consultez la section Affichage des ressources référencées avec AWS Config.

Sujets: Management & Governance
Balises: AWS CloudTrail
Langue: Français

Vidéos associées

Regarder la vidéo d'Aditya pour en savoir plus (4:47)

AWS OFFICIELA mis à jour il y a 9 mois

Aucun commentaire

Contenus pertinents

Facturation persistante pour OpenSearch malgré la suppression de toutes les ressources et absence d’instance active
Réponse acceptée
Baptiste
demandé il y a un an
Modification de l'adresse de facturation d'un sous-compte
llaieck
demandé il y a 2 ans
Comment s'assurer que toutes les ressources sont désactivées ?
rePost-User-2282818
demandé il y a 3 ans
Impossible d'afficher la page de modification WAF sur une distribution Cloudfront
Réponse acceptée
Adesin
demandé il y a 2 ans
démarrage d'instances a mon insu
marc
demandé il y a 2 ans
Comment utiliser EventBridge et Amazon SNS pour surveiller les modifications apportées aux groupes de sécurité de mon instance Linux EC2 ?
AWS OFFICIELA mis à jour il y a 10 mois
Comment savoir quel utilisateur a apporté une modification donnée à mon infrastructure AWS ?
AWS OFFICIELA mis à jour il y a 4 ans
Comment créer et résoudre un problème lié à une règle EventBridge qui se déclenche lorsque des modifications sont apportées aux objets ou aux opérations S3 ?
AWS OFFICIELA mis à jour il y a 7 mois
Comment empêcher que les règles des groupes de sécurité, les écouteurs ou d'autres modifications ne soient répercutées sur un équilibreur de charge dans Amazon EKS ?
AWS OFFICIELA mis à jour il y a 3 ans