Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Réception de fichiers CloudTrail journaux provenant de plusieurs comptes
Vous pouvez CloudTrail envoyer des fichiers journaux à partir de plusieurs Comptes AWS dans un seul compartiment Amazon S3. Par exemple, vous en avez quatre Comptes AWS avec les comptes IDs 111111111111, 2222222222, 333333333333 et 444444444444, et vous souhaitez les configurer de manière à transmettre les fichiers journaux de ces quatre comptes à un compartiment appartenant au compte 111111111111. CloudTrail Pour ce faire, suivez scrupuleusement les étapes suivantes:
1. Créez un journal de suivi dans le compte auquel le compartiment de destination appartient (111111111111, en l'occurrence). Ne créez pas encore de journal de suivi pour d'autres comptes.
Pour obtenir des instructions, veuillez consulter [Création d'un parcours à l'aide de la console](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console).
1. Mettez à jour la stratégie de compartiment dans votre compartiment de destination pour octroyer des autorisations entre comptes à CloudTrail.
Pour obtenir des instructions, veuillez consulter [Configuration de la politique de compartiment pour plusieurs comptes](cloudtrail-set-bucket-policy-for-multiple-accounts.md).
1. Créez un journal de suivi dans les autres comptes (222222222222, 333333333333 et 444444444444, en l'occurrence) pour lesquels vous souhaitez enregistrer des activités. Lorsque vous créez le journal de suivi dans chaque compte, indiquez le compartiment Amazon S3 appartenant au compte que vous avez spécifié à l'étape 1 (111111111111, en l'occurrence). Pour obtenir des instructions, veuillez consulter [Créer des journaux de suivi dans des comptes supplémentaires](turn-on-cloudtrail-in-additional-accounts.md).
**Note**
Si vous choisissez d'activer le chiffrement SSE-KMS, la politique de clé KMS doit autoriser l'utilisation de la clé CloudTrail pour chiffrer vos fichiers journaux et les fichiers de synthèse, et autoriser les utilisateurs que vous spécifiez à lire les fichiers journaux ou à digérer les fichiers sous forme non chiffrée. Pour en savoir plus sur la modification manuelle de la politique de clés, consultez [Configurer les politiques AWS KMS clés pour CloudTrail](create-kms-key-policy-for-cloudtrail.md).
## Supprimer le compte du propriétaire du compartiment IDs pour les événements de données appelés par d'autres comptes
Historiquement, si CloudTrail les événements de données étaient activés dans l'API Compte AWS d'un événement de données Amazon S3, l'ID de compte du propriétaire du compartiment S3 CloudTrail était affiché dans l'événement de données (tel que`PutObject`). Cela s'est produit même si les événements de données S3 n'étaient pas activés sur le compte propriétaire du compartiment.
CloudTrail Supprime maintenant l'ID de compte du propriétaire du compartiment S3 dans le `resources` bloc si les deux conditions suivantes sont remplies :
+ L'appel d'API de l'événement de données provient d'un autre propriétaire Compte AWS que le propriétaire du compartiment Amazon S3.
+ L'appelant de l'API a reçu une `AccessDenied` erreur qui concernait uniquement le compte appelant.
Le propriétaire de la ressource sur laquelle l'appel d'API a été effectué reçoit toujours l'événement complet.
Les extraits de registre d'événements suivants sont un exemple du comportement attendu. Dans l’extrait `Historic`, l'ID de compte 123456789012 du propriétaire du compartiment S3 est affiché à un appelant d'API à partir d'un autre compte. Dans l'exemple de comportement actuel, l'ID de compte du propriétaire du compartiment n'est pas affiché.
```
# Historic
"resources": [
{
"type": "AWS::S3::Object",
"ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/"
},
{
"accountId": "123456789012",
"type": "AWS::S3::Bucket",
"ARN": "arn:aws:s3:::amzn-s3-demo-bucket2"
}
]
```
Voici le comportement actuel.
```
# Current
"resources": [
{
"type": "AWS::S3::Object",
"ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/"
},
{
"accountId": "",
"type": "AWS::S3::Bucket",
"ARN": "arn:aws:s3:::amzn-s3-demo-bucket2"
}
]
```
**Topics**
+ [Supprimer le compte du propriétaire du compartiment IDs pour les événements de données appelés par d'autres comptes](#cloudtrail-receive-logs-s3-owner-id-redaction)
+ [Configuration de la politique de compartiment pour plusieurs comptes](cloudtrail-set-bucket-policy-for-multiple-accounts.md)
+ [Créer des journaux de suivi dans des comptes supplémentaires](turn-on-cloudtrail-in-additional-accounts.md)
# Configuration de la politique de compartiment pour plusieurs comptes
Pour qu'un compartiment reçoive les fichiers journaux de plusieurs comptes, sa stratégie de compartiment doit accorder une autorisation CloudTrail pour écrire des fichiers journaux à partir de tous les comptes que vous spécifiez. Cela signifie que vous devez modifier la politique de compartiment de votre compartiment de destination pour CloudTrail autoriser l'écriture de fichiers journaux à partir de chaque compte spécifié.
**Note**
Pour des raisons de sécurité, les utilisateurs non autorisés ne peuvent pas créer de journal de suivis incluant `AWSLogs/` en tant que `S3KeyPrefix` paramètre.
**Pour modifier les autorisations de compartiment de sorte que les fichiers puissent être reçus à partir de plusieurs comptes**
1. Connectez-vous à l' AWS Management Console aide du compte propriétaire du compartiment (111111111111 dans cet exemple) et ouvrez la console Amazon S3.
1. Choisissez le compartiment dans lequel CloudTrail vos fichiers journaux sont envoyés, puis sélectionnez **Permissions**.
1. Sous **Bucket policy** (Politique de compartiment), choisissez **Edit** (Modifier).
1. Modifiez la politique existante afin d'ajouter une ligne correspondant pour chaque compte supplémentaire dont vous voulez que les fichiers journaux soient livrés à ce compartiment. Examinez l'exemple de politique suivant, en particulier la ligne `Resource` soulignée qui spécifie un deuxième ID de compte. Comme bonne pratique en matière de sécurité, ajoutez une `aws:SourceArn` clé de condition de la politique de compartiment Amazon S3. Cela permet d'éviter tout accès non autorisé à votre compartiment S3. Si vous avez déjà des journaux d’activités, veillez à ajouter une ou plusieurs clés de condition.
**Note**
Un identifiant de AWS compte est un nombre à douze chiffres, y compris des zéros en tête.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20131101",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": [
"arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
"arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
]
}
}
},
{
"Sid": "AWSCloudTrailWrite20131101",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/111111111111/*",
"arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/222222222222/*"
],
"Condition": {
"StringEquals": {
"aws:SourceArn": [
"arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
"arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
],
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
# Créer des journaux de suivi dans des comptes supplémentaires
Vous pouvez utiliser la console ou le AWS CLI pour créer des traces supplémentaires Comptes AWS et agréger leurs fichiers journaux dans un compartiment Amazon S3. Vous pouvez également créer un journal d'organisation pour enregistrer tous Comptes AWS les membres d'une organisation AWS Organizations. Pour de plus amples informations, veuillez consulter [Création d'un journal de suivi pour une organisation](creating-trail-organization.md).
## Utiliser la console pour créer des parcours dans des AWS comptes supplémentaires
Vous pouvez utiliser la CloudTrail console pour créer des parcours dans des comptes supplémentaires.
1. Connectez-vous à l' AWS Management Console aide du compte pour lequel vous souhaitez créer un parcours. Suivez les étapes présentées dans [Création d'un parcours à l'aide de la console](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console) pour créer un journal de suivi à l'aide de la console.
1. Pour **Emplacement de stockage**, choisissez **Utiliser un compartiment S3 existant**. Utilisez la zone de texte pour saisir le nom du compartiment que vous utilisez pour stocker les fichiers journaux des différents comptes.
**Note**
La politique du compartiment doit accorder CloudTrail l'autorisation d'y écrire. Pour en savoir plus sur la modification manuelle de la politique de compartiment, consultez [Configuration de la politique de compartiment pour plusieurs comptes](cloudtrail-set-bucket-policy-for-multiple-accounts.md).
![\[Utiliser un compartiment S3 existant\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/cloudtrail-use-existing-bucket.png)
1. Dans **Préfixe**, saisissez le préfixe que vous utilisez pour stocker les fichiers journaux des différents comptes. Si vous choisissez d'utiliser un préfixe différent de celui que vous avez spécifié dans votre politique de compartiment, vous devez modifier la politique de compartiment de votre compartiment de destination pour autoriser CloudTrail l'écriture de fichiers journaux dans votre compartiment à l'aide de ce nouveau préfixe.
## Utilisation de la CLI pour créer une trace dans des AWS comptes supplémentaires
Vous pouvez utiliser les outils de ligne de AWS commande pour créer des traces dans des comptes supplémentaires et agréger leurs fichiers journaux dans un compartiment Amazon S3. Pour plus d'informations sur ces outils, consultez [cloudtrail](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/) dans le manuel *AWS CLI Command Reference*.
Créez un journal de suivi à l'aide de la commande **create-trail**, en spécifiant les attributs suivants :
+ `--name` spécifie le nom du journal de suivi.
+ `--s3-bucket-name` spécifie le compartiment Amazon S3 que vous utilisez pour stocker les fichiers journaux des différents comptes.
+ `--s3-prefix` spécifie un préfixe pour le chemin de livraison du fichier journal (facultatif).
+ `--is-multi-region-trail`indique que ce journal enregistrera les événements dans toutes les AWS régions de la partition dans laquelle vous travaillez.
Vous pouvez créer un parcours pour chaque région dans laquelle un compte gère AWS des ressources.
L'exemple de commande suivant indique comment créer un journal de suivis pour vos comptes supplémentaires à l'aide de l' AWS CLI. Pour que les fichiers journaux pour ces comptes soient livrés dans le compartiment que vous avez créé dans votre premier compte (111111111111, en l'occurrence), veuillez spécifier le nom du compartiment dans `--s3-bucket-name` l'option. Les noms de compartiment Amazon S3 sont généralement uniques.
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail
```
Au moment de l'exécution de la commande, vous obtenez un résultat similaire à celui qui suit:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "AWSCloudTrailExample",
"TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
Pour plus d'informations sur l'utilisation CloudTrail des outils de ligne de AWS commande, consultez la [référence de la ligne de CloudTrail commande](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/index.html).