Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Création, mise à jour et gestion des stockages de données d’événements à l’aide de la console
**Note**
AWS CloudTrail Lake ne sera plus ouvert aux nouveaux clients à compter du 31 mai 2026. Si vous souhaitez utiliser CloudTrail Lake, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour de plus amples informations, veuillez consulter [CloudTrail Modification de la disponibilité des lacs](cloudtrail-lake-service-availability-change.md).
Vous pouvez utiliser la CloudTrail console pour créer, mettre à jour, supprimer et restaurer des banques de données d'événements.
Vous pouvez mettre à jour les paramètres suivants à l'aide de la CloudTrail console :
+ Vous pouvez modifier l'[option de tarification en passant d'une tarification](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) de **rétention sur sept ans à une tarification** **de rétention extensible d'un an**.
+ Vous pouvez mettre à jour la période de conservation de la banque de données d'événements. La période de conservation détermine la durée pendant laquelle les données d’événement sont conservées dans le magasin de données d’événement.
+ Vous pouvez convertir un magasin de données d'événements multirégional en un magasin de données d'événements à région unique, ou convertir un magasin de données d'événements à région unique en un magasin de données d'événements multirégional.
+ Le compte de gestion d'une AWS Organizations organisation peut convertir un magasin de données d'événements au niveau du compte en un magasin de données d'événements de l'organisation, ou peut convertir un magasin de données d'événements de l'organisation en un magasin de données d'événements au niveau du compte. Ce paramètre n'est pas disponible sur les banques de données d'événements qui collectent des événements en dehors de AWS.
+ Vous pouvez activer ou désactiver la [fédération de requêtes Lake](query-federation.md). La fédération d'un magasin de données d'événements vous permet d'interroger les données relatives à vos événements auprès d'Amazon Athena.
+ Vous pouvez ajouter ou modifier la politique basée sur les ressources pour un magasin de données d'événements afin de fournir un accès entre comptes à votre magasin de données d'événements. Pour de plus amples informations, veuillez consulter [Exemples de politiques basées sur les ressources pour les magasins de données d'événements](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
+ Vous pouvez [arrêter l'ingestion d'événements](query-eds-stop-ingestion.md) et redémarrer l'ingestion d'événements dans les magasins de données d'événements qui collectent des événements de gestion, des événements de données ou des éléments AWS Config de configuration.
+ Vous pouvez activer ou désactiver la [protection contre le licenciement](query-eds-termination-protection.md). L'activation de la protection contre les interruptions empêche la suppression accidentelle d'un magasin de données d'événements. La protection contre la résiliation est activée par défaut.
+ Vous pouvez [restaurer](query-eds-restore.md) un magasin de données d'événements en attente de suppression.
+ Vous pouvez ajouter ou supprimer des balises. Vous pouvez ajouter jusqu’à 50 paires clé-valeur de balise pour vous aider à identifier, trier et contrôler l’accès à votre magasin de données d’événement.
+ Vous pouvez ajouter une clé KMS pour chiffrer votre banque de données d'événements. Vous ne pouvez pas supprimer une clé KMS d'un magasin de données d'événements.
L'utilisation de la CloudTrail console pour créer ou mettre à jour des banques de données d'événements présente les avantages suivants :
+ Si vous configurez un magasin de données d'événements pour collecter des événements de données, l'utilisation de la CloudTrail console vous permet de visualiser les types de ressources d'événements de données disponibles. Pour de plus amples informations, veuillez consulter [Journalisation des événements de données](logging-data-events-with-cloudtrail.md).
+ Si vous configurez un magasin de données d'événements pour collecter des événements d'activité réseau, l'utilisation de la CloudTrail console vous permet de visualiser les sources d'événements pour lesquelles vous pouvez enregistrer les événements d'activité réseau. Pour de plus amples informations, veuillez consulter [Enregistrement des événements liés à l'activité du réseau](logging-network-events-with-cloudtrail.md).
+ Si vous configurez un magasin de données d'événements pour collecter des événements extérieurs AWS, l'utilisation de la CloudTrail console vous permet de consulter les informations sur les partenaires disponibles. Pour de plus amples informations, veuillez consulter [Création d'un magasin de données d'événements pour les événements extérieurs AWS à la console](event-data-store-integration-events.md).
**Topics**
+ [
# Création d'un magasin de données d' CloudTrail événements pour les événements à l'aide de la console
](query-event-data-store-cloudtrail.md)
+ [
# Créez un magasin de données d'événements pour les événements Insights à l'aide de la console
](query-event-data-store-insights.md)
+ [
# Créez un magasin de données d'événements pour les éléments de configuration à l'aide de la console
](query-event-data-store-config.md)
+ [
# Création d'un magasin de données d'événements pour les événements extérieurs AWS à la console
](event-data-store-integration-events.md)
+ [
# Mettre à jour un magasin de données d'événements avec la console
](query-event-data-store-update.md)
+ [
# Arrêter et démarrer l'ingestion d'événements avec la console
](query-eds-stop-ingestion.md)
+ [
# Modifier la protection contre le licenciement à l'aide de la console
](query-eds-termination-protection.md)
+ [
# Supprimer un magasin de données d'événements à l'aide de la console
](query-event-data-store-delete.md)
+ [
# Restaurer un magasin de données d'événements à l'aide de la console
](query-eds-restore.md)
+ [
# Exportation de données depuis CloudTrail Lake Event Data Store vers CloudWatch
](cloudtrail-lake-export-cloudwatch.md)
# Création d'un magasin de données d' CloudTrail événements pour les événements à l'aide de la console
**Note**
AWS CloudTrail Lake ne sera plus ouvert aux nouveaux clients à compter du 31 mai 2026. Si vous souhaitez utiliser CloudTrail Lake, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour de plus amples informations, veuillez consulter [CloudTrail Modification de la disponibilité des lacs](cloudtrail-lake-service-availability-change.md).
Les magasins de données d' CloudTrail événements peuvent inclure CloudTrail des événements de gestion, des événements de données et des événements d'activité réseau. Vous pouvez conserver les données d’événement dans une banque de données d’événement jusqu’à 3 653 jours (environ 10 ans) si vous choisissez l’option de **tarification de rétention extensible d’un an**, ou jusqu’à 2 557 jours (environ 7 ans) si vous choisissez l’option de **tarification de rétention de sept ans**.
CloudTrail Les magasins de données sur les événements de Lake sont payants. Lorsque vous créez un magasin de données d’événement, vous choisissez l’[option de tarification](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) que vous voulez utiliser pour le magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Pour plus d'informations sur la CloudTrail tarification et la gestion des coûts du lac, voir [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/) et[Gestion des coûts CloudTrail du lac](cloudtrail-lake-manage-costs.md).
## Pour créer un magasin de données d' CloudTrail événements pour les événements
Utilisez cette procédure pour créer un magasin de données d'événements qui enregistre les événements CloudTrail de gestion, les événements de données ou les événements d'activité réseau.
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le panneau de navigation, sous **Lake**, choisissez **Entrepôts de données d'événement**.
1. Choisissez **Créer un magasin de données d’événement**.
1. Sur la page **Configure event data store** (Configurer un magasin de données d'événement), dans **General details** (Détails généraux), saisissez un nom pour le magasin de données d'événement. Un nom est requis.
1. Choisissez l’**option de tarification** que vous souhaitez utiliser pour votre magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que la période de conservation par défaut et maximale pour votre magasin de données d’événement. Pour plus d’informations, veuillez consulter [Tarification d’AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) et [Gestion des coûts CloudTrail du lac](cloudtrail-lake-manage-costs.md).
Les options suivantes sont disponibles :
+ **Tarif de rétention extensible d’un an** : généralement recommandé si vous prévoyez d’ingérer moins de 25 To de données d’événement par mois et souhaitez une période de conservation flexible allant jusqu’à 10 ans. Pendant les 366 premiers jours (période de conservation par défaut), le stockage est inclus sans frais supplémentaires dans le prix d’ingestion. Après 366 jours, la rétention prolongée est disponible moyennant un pay-as-you-go prix. Il s’agit de l’option par défaut.
+ **Période de conservation par défaut :** 366 jours.
+ **Période de conservation maximale :** 3 653 jours
+ **Tarif de rétention sur sept ans** : recommandé si vous prévoyez d’ingérer plus de 25 To de données d’événement par mois et que vous avez besoin d’une période de conservation allant jusqu’à 7 ans. La conservation est incluse dans le prix d’ingestion sans frais supplémentaires.
+ **Période de conservation par défaut :** 2 557 jours.
+ **Période de conservation maximale :** 2 557 jours
1. Spécifiez une période de conservation pour le magasin de données d’événement. Les périodes de conservation peuvent être comprises entre 7 jours et 3 653 jours (environ 10 ans) pour l’option de **tarification de rétention extensible d’un an**, ou entre 7 jours et 2 557 jours (environ sept ans) pour l’option de **tarification de rétention sur sept ans.**
CloudTrail Lake détermine s'il convient de conserver un événement en vérifiant si celui-ci se situe dans la période de conservation spécifiée. `eventTime` Par exemple, si vous spécifiez une période de conservation de 90 jours, les événements CloudTrail seront supprimés lorsqu'ils datent `eventTime` de plus de 90 jours.
**Note**
Si vous copiez des événements de suivi dans cette banque de données d'événements, vous ne CloudTrail copierez aucun événement s'il `eventTime` est antérieur à la période de conservation spécifiée. Pour déterminer la période de conservation appropriée, additionnez l'événement le plus ancien que vous souhaitez copier en jours et le nombre de jours pendant lesquels vous souhaitez conserver les événements dans le magasin de données d'événements (**période de conservation** = *oldest-event-in-days* \$1*number-days-to-retain*). Par exemple, si l’événement le plus ancien que vous copiez date de 45 jours et que vous souhaitez conserver les événements dans le magasin de données d’événement pendant 45 jours supplémentaires, vous devez définir la période de conservation sur 90 jours.
1. (Facultatif) Pour activer le chiffrement en utilisant AWS Key Management Service, choisissez **Utiliser le mien AWS KMS key**. Choisissez **Nouveau** pour en AWS KMS key créer une pour vous, ou choisissez **Existant** pour utiliser une clé KMS existante. Dans **Enter KMS alias**, spécifiez un alias au format `alias/`*MyAliasName*. L'utilisation de votre propre clé KMS nécessite que vous modifiiez votre politique de clé KMS afin de permettre le chiffrement et le déchiffrement de votre banque de données d'événements. Pour plus d'informations, consultez[Configurer les politiques AWS KMS clés pour CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail prend également en charge les clés AWS KMS multirégionales. Pour plus d’informations, consultez la section [Utilisation de clés multi-régions](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) dans le *Guide du développeur AWS Key Management Service *.
L'utilisation de votre propre clé KMS entraîne des AWS KMS coûts de chiffrement et de déchiffrement. Une fois que vous avez associé un magasin de données d’événement à une clé KMS, celle-ci ne peut être ni supprimée ni modifiée.
**Note**
Pour activer AWS Key Management Service le chiffrement pour le magasin de données d'événements d'une organisation, vous devez utiliser une clé KMS existante pour le compte de gestion.
1. (Facultatif) Si vous souhaitez interroger les données de votre événement à l’aide d’Amazon Athena, choisissez **Activer** dans **Fédération de requêtes Lake**. La fédération vous permet de visualiser les métadonnées associées au magasin de données d’événement dans le [catalogue de données](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) d’ AWS Glue et d’exécuter des requêtes SQL sur les données d’événement dans Athena. Les métadonnées des tables stockées dans le catalogue de AWS Glue données permettent au moteur de requête Athena de savoir comment rechercher, lire et traiter les données que vous souhaitez interroger. Pour de plus amples informations, veuillez consulter [Fédérer un magasin de données d’événement](query-federation.md).
Pour activer la fédération de requêtes Lake, choisissez **Activer**, puis procédez comme suit :
1. Choisissez si vous souhaitez créer un rôle ou utiliser un rôle IAM existant. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utilise ce rôle pour gérer les autorisations pour le magasin de données d’événement fédéré. Lorsque vous créez un nouveau rôle à l'aide de la CloudTrail console, il en crée CloudTrail automatiquement un avec les autorisations requises. Si vous choisissez un rôle existant, assurez-vous que la politique du rôle fournit les [autorisations minimales requises](query-federation.md#query-federation-permissions-role).
1. Si vous créez un rôle, saisissez un nom pour identifier le rôle.
1. Si vous utilisez un rôle existant, choisissez le rôle que vous souhaitez utiliser. Le rôle doit exister dans votre compte.
1. (Facultatif) Choisissez **Activer la politique de ressources** pour ajouter une politique basée sur les ressources à votre banque de données d'événements. Les stratégies basées sur les ressources vous permettent de contrôler quels principaux peuvent effectuer des actions sur votre stockage de données d’événements. Par exemple, vous pouvez ajouter une politique basée sur les ressources qui permet aux utilisateurs root d'autres comptes d'interroger cette banque de données d'événements et d'afficher les résultats de la requête. Pour obtenir des exemples de politiques, consultez [Exemples de politiques basées sur les ressources pour les magasins de données d'événements](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Une politique basée sur les ressources inclut une ou plusieurs instructions. Chaque déclaration de la politique définit [les principaux auxquels](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) l'accès est autorisé ou refusé au magasin de données d'événements et les actions que les principaux peuvent effectuer sur la ressource du magasin de données d'événements.
Les actions suivantes sont prises en charge dans les politiques basées sur les ressources pour les magasins de données d'événements :
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Pour les [magasins de données d'événements d'organisation](cloudtrail-lake-organizations.md), CloudTrail crée une [politique par défaut basée sur les ressources](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) qui répertorie les actions que les comptes d'administrateur délégué sont autorisés à effectuer sur les magasins de données d'événements de l'organisation. Les autorisations de cette politique sont dérivées des autorisations d'administrateur déléguées dans AWS Organizations. Cette politique est mise à jour automatiquement à la suite de modifications apportées au magasin de données d'événements de l'organisation ou à l'organisation (par exemple, un compte d'administrateur CloudTrail délégué est enregistré ou supprimé).
1. (Facultatif) Dans la zone **Balises**, vous pouvez ajouter jusqu’à 50 paires clé-valeur de balise pour vous aider à identifier, trier et contrôler l’accès à votre magasin de données d’événement. Pour plus d'informations sur l'utilisation des politiques IAM pour autoriser l'accès à un magasin de données d'événement basé sur des identifications, consultez [Exemples : rejeter l'accès à la création ou à la suppression de magasins de données d'événement en fonction des identifications](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Pour plus d'informations sur la manière dont vous pouvez utiliser les balises AWS, consultez la section [AWS Ressources de balisage](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) dans le Guide de l'*utilisateur AWS des ressources de balisage*.
1. Choisissez **Suivant** pour configurer le magasin de données d’événement.
1. Sur la page **Choisir des événements**, choisissez **AWS des événements**, puis **CloudTraildes événements**.
1. Pour les **CloudTrail événements**, choisissez au moins un type d'événement. Par défaut, **Management events** (Événements de gestion) est sélectionné. Vous pouvez ajouter [des événements de gestion](logging-management-events-with-cloudtrail.md), [des événements de données](logging-data-events-with-cloudtrail.md) et des [événements d'activité réseau](logging-network-events-with-cloudtrail.md) à votre banque de données d'événements.
1. (Facultatif) Choisissez **Copier les événements du journal de suivi** si vous voulez copier les événements d’un journal de suivi existant pour exécuter des requêtes sur des événements passés. Pour copier les événements de journal de suivi vers le magasin de données d'événement d'une organisation, vous devez utiliser le compte de gestion de l'organisation. Le compte d'administrateur délégué ne peut pas copier les événements de journal de suivi vers le magasin de données d'événement d'une organisation. Pour plus d’informations et des considérations sur la copie d’événements de journal de suivi, veuillez consulter [Considérations pour copier les événements de journal de suivi](cloudtrail-copy-trail-to-lake-eds.md#cloudtrail-trail-copy-considerations-lake).
1. Pour que votre magasin de données d’événement collecte les événements de tous les comptes d’une organisation AWS Organizations , sélectionnez **Activer pour tous les comptes de mon organisation**. Vous devez être connecté au compte de gestion ou au compte administrateur délégué de l’organisation pour créer un magasin de données d’événement qui collecte les événements pour une organisation.
**Note**
Pour copier des événements de journal de suivi ou activer des événements Insights, vous devez être connecté au compte de gestion de votre organisation.
1. Développez **les paramètres supplémentaires** pour choisir si vous souhaitez que votre banque de données d'événements collecte les événements pour tous Régions AWS ou uniquement les événements actuels Région AWS, et choisissez si la banque de données d'événements ingère les événements. Par défaut, votre entrepôt de données d'événement collecte les événements de toutes les régions de votre compte et commence à ingérer les événements dès sa création.
1. Vous pouvez également sélectionner **Inclure uniquement la région actuelle dans mon entrepôt de données d'événement** pour n'inclure que les événements journalisés dans la région actuelle. Si vous ne choisissez pas cette option, votre magasin de données d’événement inclura des événements de toutes les régions.
1. Désélectionnez **Ingérer des événements** si vous ne souhaitez pas que l'entrepôt de données d'événement commence à ingérer des événements. Par exemple, vous souhaiterez peut-être désélectionner **Ingérer des événements** si vous copiez des événements du journal de suivi et que vous ne souhaitez pas que l'entrepôt de données d'événement inclue des événements futurs. Par défaut, l'entrepôt de données d'événement commence à ingérer les événements dès sa création.
1. Si votre entrepôt de données d'événement inclut des événements de gestion, vous pouvez choisir l'une des options suivantes. Pour plus d'informations sur les événements de gestion, veuillez consulter [Journalisation des événements de gestion](logging-management-events-with-cloudtrail.md).
1. Choisissez entre **une collecte d'événements simple** ou une **collecte d'événements avancée** :
+ Choisissez **Collection d'événements simple** si vous souhaitez consigner tous les événements, enregistrer uniquement les événements en lecture ou uniquement les événements en écriture. Vous pouvez également choisir d'exclure les événements AWS Key Management Service de l'API Amazon RDS Data.
+ Choisissez **Collection d'événements avancée** si vous souhaitez inclure ou exclure des événements de gestion en fonction des valeurs des champs du sélecteur d'événements avancé, notamment les `userIdentity.arn` champs `eventName``eventType`,`eventSource`,`sessionCredentialFromConsole`, et.
1. Si vous avez sélectionné **Collecte d'événements simple**, indiquez si vous souhaitez consigner tous les événements, consigner uniquement les événements en lecture ou uniquement les événements en écriture. Vous pouvez également choisir d'exclure les événements AWS KMS de l'API Amazon RDS Data.
1. Si vous avez sélectionné **Collecte d'événements avancée**, effectuez les sélections suivantes :
1. Dans **Modèle de sélecteur de journal**, choisissez un modèle prédéfini ou **Personnalisé** pour créer une configuration personnalisée basée sur les valeurs avancées des champs du sélecteur d'événements.
Vous pouvez choisir parmi les modèles prédéfinis suivants :
+ **Journaliser tous les événements** : choisissez ce modèle pour journaliser tous les événements.
+ **Consigner uniquement les événements en lecture** : choisissez ce modèle pour enregistrer uniquement les événements en lecture. Les événements en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les `Get*` événements. `Describe*`
+ **Enregistrer uniquement les événements d'écriture** : choisissez ce modèle pour enregistrer uniquement les événements d'écriture. Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements `Put*`, `Delete*`, ou `Write*`.
+ **Enregistrer uniquement AWS Management Console les événements** : choisissez ce modèle pour enregistrer uniquement les événements provenant du AWS Management Console.
+ **Exclure les événements Service AWS initiés** : choisissez ce modèle pour exclure les Service AWS événements dotés d'un caractère `eventType` de et `AwsServiceEvent` les événements initiés avec des rôles Service AWS liés à -linked (SLRs).
1. (Facultatif) Dans **Nom du sélecteur**, saisissez un nom pour identifier votre sélecteur. Le nom du sélecteur est le nom descriptif d'un sélecteur d'événements avancé, tel que « Enregistrer les événements de gestion des AWS Management Console sessions ». Le nom du sélecteur est répertorié comme `Name` dans le sélecteur d'événements avancé et est visible si vous développez la **Vue JSON.**
1. Si vous avez choisi **Personnalisé**, dans les **sélecteurs d'événements avancés**, créez une expression basée sur les valeurs des champs des sélecteurs d'événements avancés.
**Note**
Les sélecteurs ne prennent pas en charge l'utilisation de caractères génériques tels que. `*` Pour associer plusieurs valeurs à une seule condition, vous pouvez utiliser`StartsWith`, `EndsWith``NotStartsWith`, ou `NotEndsWith` faire correspondre explicitement le début ou la fin du champ d'événement.
1. Choisissez parmi les options suivantes.
+ **`readOnly`**— `readOnly` peut être défini pour être **égal à** une valeur de `true` ou`false`. Lorsqu'il est défini sur`false`, le magasin de données d'événements enregistre les événements de gestion en écriture seule. Les événements de gestion en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les `Get*` événements. `Describe*` Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements `Put*`, `Delete*`, ou `Write*`. Pour enregistrer à la fois les événements de **lecture** et d'**écriture**, n'ajoutez pas de `readOnly` sélecteur.
+ **`eventName`**— `eventName` peut utiliser n'importe quel opérateur. Vous pouvez l'utiliser pour inclure ou exclure tout événement de gestion, tel que `CreateAccessPoint` ou`GetAccessPoint`.
+ **`userIdentity.arn`**— Incluez ou excluez des événements pour les actions entreprises par des identités IAM spécifiques. Pour de plus amples informations, veuillez consulter [Élément CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`sessionCredentialFromConsole`**— Incluez ou excluez les événements issus d'une AWS Management Console session. Ce champ peut être défini sur **égal** ou **non égal** avec une valeur de`true`.
+ **`eventSource`**— Vous pouvez l'utiliser pour inclure ou exclure des sources d'événements spécifiques. `eventSource`Il s'agit généralement d'une forme abrégée du nom du service sans espaces et sans espaces`.amazonaws.com`. Par exemple, vous pouvez définir des valeurs `eventSource` **égales** `ec2.amazonaws.com` à pour consigner uniquement les événements de gestion Amazon EC2.
+ **`eventType`**— L'[EventType](cloudtrail-event-reference-record-contents.md#ct-event-type) à inclure ou à exclure. Par exemple, vous pouvez définir ce champ sur une **valeur différente** `AwsServiceEvent` pour exclure [Service AWS des événements](non-api-aws-service-events.md).
1. Pour chaque champ, choisissez **\$1 Conditions** pour ajouter autant de conditions que vous le souhaitez, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions.
Pour plus d'informations sur le mode CloudTrail d'évaluation de plusieurs conditions, consultez[Comment CloudTrail évaluer plusieurs conditions pour un champ](filtering-data-events.md#filtering-data-events-conditions).
**Note**
Il est possible de définir un maximum de 500 valeurs pour tous les sélecteurs d'un entrepôt de données d'événement. Cela inclut des tableaux de valeurs multiples pour un sélecteur tel que `eventName`. Si vous avez défini des valeurs uniques pour tous les sélecteurs, il est possible d’ajouter un maximum de 500 conditions à un sélecteur.
1. Choisir **\$1 champ** pour ajouter des champs supplémentaires au besoin. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs.
1. Vous pouvez également développer **Affichage JSON** pour afficher vos sélecteurs d’événements avancés sous forme de bloc JSON.
1. Choisissez **Activer la capture d'événements Insights** pour activer Insights. Pour activer Insights, vous devez configurer un [entrepôt de données d'événement de destination](query-event-data-store-insights.md#query-event-data-store-insights-procedure) afin de collecter les événements Insights en fonction de l'activité des événements de gestion dans cet entrepôt de données d'événement.
Si vous choisissez d'activer Insights, procédez comme suit.
1. Choisissez le magasin d'événements de destination qui enregistrera les événements Insights. L'entrepôt de données d'événement de destination collectera les événements Insights en fonction de l'activité de gestion des événements dans cet entrepôt de données d'événement. Pour plus d'informations sur la création de l'entrepôt de données événements de destination, veuillez consulter [Pour créer un entrepôt de données d'événement de destination qui journalise les événements Insights](query-event-data-store-insights.md#query-event-data-store-insights-procedure).
1. Choisissez les types Insights. Vous pouvez choisir le **Taux d'appels d'API**, le **Taux d'erreur de l'API** ou les deux. Vous devez journaliser les événements de gestion **Écriture** pour journaliser les événements Insights afin de connaître le **Taux d'appels d'API**. Vous devez journaliser les événements de gestion **Lecture** ou **Écriture** pour journaliser les événements Insights afin de connaître le **Taux d'erreur de l'API**.
1. Pour inclure des événements de données dans votre magasin de données d’événement, procédez comme suit.
1. Choisissez un type de ressource. Il s'agit de Service AWS la ressource sur laquelle les événements de données sont enregistrés.
1. Dans le **modèle de sélecteur de journal**, choisissez un modèle prédéfini ou choisissez **Personnalisé** pour définir vos propres conditions de collecte d'événements en fonction des valeurs des champs de sélection d'événements avancés.
Vous pouvez choisir parmi les modèles prédéfinis suivants :
+ **Journaliser tous les événements** : choisissez ce modèle pour journaliser tous les événements.
+ **Consigner uniquement les événements en lecture** : choisissez ce modèle pour enregistrer uniquement les événements en lecture. Les événements en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les `Get*` événements. `Describe*`
+ **Enregistrer uniquement les événements d'écriture** : choisissez ce modèle pour enregistrer uniquement les événements d'écriture. Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements `Put*`, `Delete*`, ou `Write*`.
+ **Enregistrer uniquement AWS Management Console les événements** : choisissez ce modèle pour enregistrer uniquement les événements provenant du AWS Management Console.
+ **Exclure les événements Service AWS initiés** : choisissez ce modèle pour exclure les Service AWS événements dotés d'un caractère `eventType` de et `AwsServiceEvent` les événements initiés avec des rôles Service AWS liés à -linked (SLRs).
1. (Facultatif) Dans **Nom du sélecteur**, saisissez un nom pour identifier votre sélecteur. Le nom du sélecteur est un nom descriptif pour un sélecteur d'événements avancé, tel que « Journaliser les événements de données pour deux compartiments S3 uniquement ». Le nom du sélecteur est répertorié comme `Name` dans le sélecteur d'événements avancé et est visible si vous développez la **Vue JSON.**
1. Si vous avez sélectionné **Personnalisé**, dans les **sélecteurs d'événements avancés**, créez une expression basée sur les valeurs des champs des sélecteurs d'événements avancés.
**Note**
Les sélecteurs ne prennent pas en charge l'utilisation de caractères génériques tels que. `*` Pour associer plusieurs valeurs à une seule condition, vous pouvez utiliser`StartsWith`, `EndsWith``NotStartsWith`, ou `NotEndsWith` faire correspondre explicitement le début ou la fin du champ d'événement.
1. Choisissez parmi les options suivantes.
+ **`readOnly`**- `readOnly` peut être défini pour être **égal à** une valeur de `true` ou`false`. Les événements de données en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les événements `Get*` ou `Describe*`. Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements `Put*`, `Delete*`, ou `Write*`. Pour journaliser les deux événements `read` et `write`, n'ajoutez pas de sélecteur `readOnly`.
+ **`eventName`** - `eventName` peut utiliser n’importe quel opérateur. Vous pouvez l'utiliser pour inclure ou exclure tout événement de données enregistré CloudTrail, tel que `PutBucket``GetItem`, ou`GetSnapshotBlock`.
+ **`eventSource`**— La source de l'événement à inclure ou à exclure. Ce champ peut utiliser n'importe quel opérateur.
+ **eventType** : type d’événement à inclure ou à exclure. Par exemple, vous pouvez définir ce champ sur une **valeur différente `AwsServiceEvent` pour** l'exclure[Service AWS événements](non-api-aws-service-events.md). Pour une liste des types d'événements, voir [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type)dans[CloudTrail enregistrer le contenu des événements relatifs à la gestion, aux données et à l'activité du réseau](cloudtrail-event-reference-record-contents.md).
+ **sessionCredentialFromConsole** — Incluez ou excluez les événements issus d'une AWS Management Console session. Ce champ peut être défini sur **égal** ou **non égal** avec une valeur de`true`.
+ **userIdentity.arn** : incluez ou excluez des événements pour les actions entreprises par des identités IAM spécifiques. Pour de plus amples informations, veuillez consulter [Élément CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`resources.ARN`**- Vous pouvez utiliser n'importe quel opérateur`resources.ARN`, mais si vous utilisez **égal** ou **non**, la valeur doit correspondre exactement à l'ARN d'une ressource valide du type que vous avez spécifié dans le modèle comme valeur de`resources.type`.
**Note**
Vous ne pouvez pas utiliser le `resources.ARN` champ pour filtrer les types de ressources qui n'en ont pas ARNs.
Pour plus d'informations sur les formats ARN des ressources d'événements de données, consultez la section [Actions, ressources et clés de condition Services AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) dans la *référence d'autorisation de service*.
1. Pour chaque champ, choisissez **\$1 Conditions** pour ajouter autant de conditions que vous le souhaitez, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions. Par exemple, pour exclure les événements de données de deux compartiments S3 des événements de données enregistrés dans votre banque de données d'événements, vous pouvez définir le champ sur **Resources.ARN**, définir l'opérateur pour **ne commence pas par**, puis coller un ARN de compartiment S3 pour lequel vous ne souhaitez pas enregistrer d'événements.
Pour ajouter le deuxième compartiment S3, choisissez **\$1 Conditions**, puis répétez l'instruction précédente, en collant dans l'ARN ou en recherchant un compartiment différent.
Pour plus d'informations sur le mode CloudTrail d'évaluation de plusieurs conditions, consultez[Comment CloudTrail évaluer plusieurs conditions pour un champ](filtering-data-events.md#filtering-data-events-conditions).
**Note**
Il est possible de définir un maximum de 500 valeurs pour tous les sélecteurs d'un entrepôt de données d'événement. Cela inclut des tableaux de valeurs multiples pour un sélecteur tel que `eventName`. Si vous avez défini des valeurs uniques pour tous les sélecteurs, il est possible d’ajouter un maximum de 500 conditions à un sélecteur.
1. Choisir **\$1 champ** pour ajouter des champs supplémentaires au besoin. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs. Par exemple, ne spécifiez pas un ARN dans un sélecteur pour être égal à une valeur, puis spécifiez que l'ARN n'est pas égal à la même valeur dans un autre sélecteur.
1. Vous pouvez également développer **Affichage JSON** pour afficher vos sélecteurs d’événements avancés sous forme de bloc JSON.
1. Pour ajouter un autre type de ressource sur lequel enregistrer les événements de données, choisissez **Ajouter un type d'événement de données**. Répétez les étapes a à cette étape pour configurer les sélecteurs d'événements avancés pour le type de ressource.
1. Pour inclure les événements liés à l'activité du réseau dans votre banque de données d'événements, procédez comme suit.
1. Dans **Source des événements d'activité réseau**, choisissez la source des événements d'activité réseau.
1. Dans **Modèle de sélecteur de journaux**, choisissez un modèle. Vous pouvez choisir de consigner tous les événements liés à l'activité réseau, de consigner tous les événements liés à l'activité réseau auxquels l'accès est refusé ou de choisir **Personnaliser** pour créer un sélecteur de journal personnalisé afin de filtrer sur plusieurs champs, tels que `eventName` et`vpcEndpointId`.
1. (Facultatif) Entrez un nom pour identifier le sélecteur. **Le nom du sélecteur est répertorié sous la forme **Nom** dans le sélecteur d'événements avancé et est visible si vous développez la vue JSON.**
1. Dans les **sélecteurs d'événements avancés, les sélecteurs** créent des expressions en choisissant des valeurs pour **Champ**, **Opérateur** et **Valeur**. Vous pouvez ignorer cette étape si vous utilisez un modèle de journal prédéfini.
1. Pour exclure ou inclure des événements liés à l'activité réseau, vous pouvez choisir l'un des champs suivants dans la console.
+ **`eventName`**— Vous pouvez utiliser n'importe quel opérateur avec`eventName`. Vous pouvez l'utiliser pour inclure ou exclure n'importe quel événement, tel que`CreateKey`.
+ **`errorCode`**— Vous pouvez l'utiliser pour filtrer un code d'erreur. Actuellement, le seul pris en charge `errorCode` est`VpceAccessDenied`.
+ **`vpcEndpointId`**— Identifie le point de terminaison VPC par lequel l'opération est passée. Vous pouvez utiliser n'importe quel opérateur avec`vpcEndpointId`.
1. Pour chaque champ, choisissez **\$1 Conditions** pour ajouter autant de conditions que vous le souhaitez, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions.
1. Choisir **\$1 champ** pour ajouter des champs supplémentaires au besoin. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs.
1. Pour ajouter une autre source d'événements pour laquelle vous souhaitez enregistrer les événements d'activité réseau, choisissez **Ajouter un sélecteur d'événements d'activité réseau**.
1. Vous pouvez également développer **Affichage JSON** pour afficher vos sélecteurs d’événements avancés sous forme de bloc JSON.
1. Pour copier des événements de journal de suivi existant dans votre magasin de données d'événement, procédez comme suit.
1. Sélectionnez le journal de suivi que vous voulez copier. Par défaut, copie CloudTrail uniquement les CloudTrail événements contenus dans le préfixe du compartiment S3 et `CloudTrail` les préfixes contenus dans le `CloudTrail` préfixe, et ne vérifie pas les préfixes des autres services. AWS Si vous souhaitez copier CloudTrail des événements contenus dans un autre préfixe, choisissez **Enter S3 URI**, puis **Browse S3** pour accéder au préfixe. Si le compartiment S3 source pour le suivi utilise une clé KMS pour le chiffrement des données, assurez-vous que la politique en matière de clés KMS autorise CloudTrail le déchiffrement des données. Si votre compartiment S3 source utilise plusieurs clés KMS, vous devez mettre à jour la politique de chaque clé afin de CloudTrail permettre le déchiffrement des données contenues dans le compartiment. Pour plus d’informations sur la mise à jour de la stratégie de clé KMS, veuillez consulter [Stratégie de clé KMS pour le déchiffrement des données dans le compartiment S3 source](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-kms).
1. Choisissez la plage horaire pour copier les événements. CloudTrail vérifie le préfixe et le nom du fichier journal pour vérifier que le nom contient une date comprise entre les dates de début et de fin choisies avant de tenter de copier les événements de suivi. Vous avez le choix entre **Plage relative** ou **Plage absolue**. Pour éviter de dupliquer les événements entre le journal de suivi source et le magasin de données d’événement de destination, choisissez une plage de temps antérieure à la création du magasin de données d’événement.
**Note**
CloudTrail copie uniquement les événements de suivi dont la durée de conservation est `eventTime` conforme à la période de conservation de la banque de données d'événements. Par exemple, si la période de conservation d'un magasin de données d'événements est de 90 jours, aucun événement de suivi datant de `eventTime` plus de 90 jours ne CloudTrail sera copié.
+ Si vous choisissez **Plage relative**, vous pouvez choisir de copier les événements enregistrés au cours des 6 derniers mois, 1 an, 2 ans, 7 ans ou une plage personnalisée. CloudTrail copie les événements enregistrés pendant la période choisie.
+ Si vous choisissez la **plage absolue**, vous pouvez choisir une date de début et une date de fin spécifiques. CloudTrail copie les événements survenus entre les dates de début et de fin choisies.
1. Pour **Autorisations**, sélectionnez l’une des options de rôle IAM suivantes. Si vous choisissez un rôle IAM existant, vérifiez que la politique de rôle IAM fournit les autorisations nécessaires. Pour plus d'informations sur la mise à jour des autorisations du rôle IAM, consultez [Autorisations IAM pour copier les événements de journal de suivi](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam).
+ Sélectionnez **Créer un nouveau rôle (recommandé)** pour créer un nouveau rôle IAM. Pour **Enter IAM role name**, saisissez le nom du rôle. CloudTrail crée automatiquement les autorisations nécessaires pour ce nouveau rôle.
+ Choisissez **Utiliser un ARN de rôle IAM personnalisé** pour utiliser un rôle IAM personnalisé qui n'est pas répertorié. Pour **Enter IAM role ARN** (Saisir l'ARN du rôle IAM), saisissez l'ARN IAM.
+ Choisissez un rôle IAM existant dans la liste déroulante.
1. Choisissez **Next** pour enrichir vos événements en ajoutant des clés de balise de ressource et des clés de condition globales IAM.
1. Dans **Enrich events**, ajoutez jusqu'à 50 clés de balise de ressource et 50 clés de condition globales IAM pour fournir des métadonnées supplémentaires sur vos événements. Cela vous permet de classer et de regrouper les événements connexes.
Si vous ajoutez des clés de balise de ressource, les clés de balise sélectionnées associées aux ressources impliquées dans l'appel d'API CloudTrail seront incluses. Les événements d'API liés aux ressources supprimées ne comporteront pas de balises de ressources.
Si vous ajoutez des clés de condition globales IAM, elles CloudTrail incluront des informations sur les clés de condition sélectionnées qui ont été évaluées au cours du processus d'autorisation, y compris des détails supplémentaires sur le principal, la session, le réseau et la demande elle-même.
Les informations relatives aux clés de balise de ressource et aux clés de condition globales IAM sont affichées dans le `eventContext` champ de l'événement. Pour de plus amples informations, veuillez consulter [Enrichissez les CloudTrail événements en ajoutant des clés de balise de ressource et des clés de condition globales IAM](cloudtrail-context-events.md).
**Note**
Si un événement contient une ressource qui n'appartient pas à la région de l'événement, les balises ne CloudTrail seront pas renseignées pour cette ressource car la récupération des balises est limitée à la région de l'événement.
1. Choisissez **Augmenter la taille de l'événement** pour augmenter la charge utile de l'événement jusqu'à 1 Mo au lieu de 256 Ko. Cette option est automatiquement activée lorsque vous ajoutez des clés de balise de ressource ou des clés de condition globales IAM afin de garantir que toutes les clés ajoutées sont incluses dans l'événement.
L'augmentation de la taille des événements est utile pour analyser et résoudre les problèmes, car elle vous permet de voir le contenu complet des champs suivants tant que la charge utile de l'événement est inférieure à 1 Mo :
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
Pour plus d'informations sur ces champs, consultez la section [Contenu des CloudTrail enregistrements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
1. Choisissez **Suivant** pour examiner vos préférences.
1. Sur la page **Review and create** (Vérifier et créer), examinez vos choix. Choisissez **Modifier (Edit)** pour apporter des modifications à la section. Lorsque vous êtes prêt à créer le magasin de données d’événement, choisissez **Créer un magasin de données d’événement**.
1. Le nouvel entrepôt de données d'événement est visible dans la table **Entrepôts de données d'événement** sur la page **Entrepôts de données d'événement**.
À partir de ce moment, l'entrepôt de données d'événement capture les événements qui correspondent à ses sélecteurs d'événement avancés (si vous avez gardé l'option **Ingérer les événements** sélectionnée). Les événements s’étant produits avant la création du magasin de données d’événement ne figurent pas dans celui-ci, à moins que vous ne choisissiez de copier les événements de suivi existants.
Vous pouvez désormais exécuter des requêtes sur votre magasin de données d’événement. L'onglet **Samples queries** (Exemples de requêtes) fournit des exemples de requêtes pour vous aider à démarrer. Pour plus d’informations sur la création et la modification des requêtes, consultez [Création ou modification d'une requête à l'aide de la CloudTrail console](query-create-edit-query.md).
Vous pouvez également consulter les [tableaux de bord gérés ou créer des](lake-dashboard-managed.md) [tableaux de bord personnalisés pour visualiser les](lake-dashboard-custom.md) tendances des événements. Pour de plus amples informations sur le tableau de bord Lake, veuillez consulter [CloudTrail Tableaux de bord du lac](lake-dashboard.md).
# Créez un magasin de données d'événements pour les événements Insights à l'aide de la console
**Note**
AWS CloudTrail Lake ne sera plus ouvert aux nouveaux clients à compter du 31 mai 2026. Si vous souhaitez utiliser CloudTrail Lake, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour de plus amples informations, veuillez consulter [CloudTrail Modification de la disponibilité des lacs](cloudtrail-lake-service-availability-change.md).
AWS CloudTrail Insights aide AWS les utilisateurs à identifier les activités inhabituelles associées aux taux d'appels et aux taux d'erreur des API et à y répondre en analysant en permanence les événements CloudTrail de gestion. CloudTrail Insights analyse vos modèles habituels de taux d'appels d'API et de taux d'erreur d'API, également appelés taux de *référence*, et génère des événements Insights lorsque le volume d'appels ou les taux d'erreur sont en dehors des modèles normaux. Les événements Insights sur le taux d'appels des API sont générés pour `write` la gestion APIs, et les événements Insights sur le taux d'erreur des API sont générés à la fois pour la `write` gestion `read` et pour la gestion APIs.
Pour enregistrer les événements Insights dans CloudTrail Lake, vous avez besoin d'un magasin de données d'événements de destination qui enregistre les événements Insights et d'un magasin de données d'événements source qui active Insights et enregistre les événements de gestion.
**Note**
Pour enregistrer les événements Insights sur le taux d'appels de l'API, le magasin de données d'événements source doit enregistrer les événements `write` de gestion. Pour enregistrer les événements Insights sur le taux d'erreur de l'API, le magasin de données d'événements source doit enregistrer `read` les événements `write` de gestion.
Si CloudTrail Insights est activé sur un magasin de données d'événements source et que vous CloudTrail détectez une activité inhabituelle, CloudTrail transmet les événements Insights à votre magasin de données d'événements de destination. Contrairement aux autres types d'événements capturés dans un magasin de données d' CloudTrail événements, les événements Insights sont enregistrés uniquement lorsque des modifications de l'utilisation de l'API de votre compte sont CloudTrail détectées, qui diffèrent considérablement des modèles d'utilisation habituels du compte.
Une fois que vous avez activé CloudTrail Insights pour la première fois sur un magasin de données d'événements, cela CloudTrail peut prendre jusqu'à 7 jours pour commencer à diffuser des événements Insights, à condition qu'une activité inhabituelle soit détectée pendant cette période.
CloudTrail Insights analyse les événements de gestion qui se produisent dans chaque région pour le stockage des données d'événements et génère des événements Insights lorsqu'une activité inhabituelle est détectée qui s'écarte de la base de référence. Un événement CloudTrail Insights est généré dans la même région que son événement de gestion secondaire.
Pour le magasin de données sur les événements d'une organisation, CloudTrail Insights analyse les événements de gestion de chaque compte membre de l'organisation pour chaque région et génère un événement Insights lorsqu'une activité inhabituelle est détectée qui s'écarte de la base de référence pour le compte et la région.
Des frais supplémentaires s'appliquent pour l'ingestion d'événements Insights à CloudTrail Lake. Vous serez facturé séparément si vous activez Insights pour les magasins de données sur les événements sur les sentiers et sur le CloudTrail lac. Pour plus d'informations sur la CloudTrail tarification, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/).
**Topics**
+ [
## Pour créer un entrepôt de données d'événement de destination qui journalise les événements Insights
](#query-event-data-store-insights-procedure)
+ [
## Pour créer un entrepôt de données d'événement source qui active les événements Insights
](#query-event-data-store-cloudtrail-insights)
## Pour créer un entrepôt de données d'événement de destination qui journalise les événements Insights
Lorsque vous créez un entrepôt de données d'événement Insights, vous avez la possibilité de choisir un entrepôt de données d'événement source existant qui journalise les événements de gestion, puis de spécifier les types d'événements Insights que vous souhaitez recevoir. Vous pouvez également activer Insights sur un entrepôt de données d'événement nouveau ou existant après avoir créé votre entrepôt de données d'événement Insights, puis choisir cet entrepôt de données d'événement comme entrepôt de données d'événement de destination.
Cette procédure explique comment créer un entrepôt de données d'événement de destination qui journalise les événements Insights.
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le panneau de navigation, ouvrez le sous-menu **Lake**, puis sélectionnez **Entrepôts de données d'événement**.
1. Choisissez **Créer un magasin de données d’événement**.
1. Sur la page **Configure event data store** (Configurer un magasin de données d'événement), dans **General details** (Détails généraux), saisissez un nom pour le magasin de données d'événement. Un nom est requis.
1. Choisissez l’**option de tarification** que vous souhaitez utiliser pour votre magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que la période de conservation par défaut et maximale pour votre magasin de données d’événement. Pour plus d’informations, veuillez consulter [Tarification d’AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) et [Gestion des coûts CloudTrail du lac](cloudtrail-lake-manage-costs.md).
Les options suivantes sont disponibles :
+ **Tarif de rétention extensible d’un an** : généralement recommandé si vous prévoyez d’ingérer moins de 25 To de données d’événement par mois et souhaitez une période de conservation flexible allant jusqu’à 10 ans. Pendant les 366 premiers jours (période de conservation par défaut), le stockage est inclus sans frais supplémentaires dans le prix d’ingestion. Après 366 jours, la rétention prolongée est disponible moyennant un pay-as-you-go prix. Il s’agit de l’option par défaut.
+ **Période de conservation par défaut :** 366 jours.
+ **Période de conservation maximale :** 3 653 jours
+ **Tarif de rétention sur sept ans** : recommandé si vous prévoyez d’ingérer plus de 25 To de données d’événement par mois et que vous avez besoin d’une période de conservation allant jusqu’à 7 ans. La conservation est incluse dans le prix d’ingestion sans frais supplémentaires.
+ **Période de conservation par défaut :** 2 557 jours.
+ **Période de conservation maximale :** 2 557 jours
1. Spécifiez une période de conservation pour le magasin de données d’événement en jours. Les périodes de conservation peuvent être comprises entre 7 jours et 3 653 jours (environ 10 ans) pour l’option de **tarification de rétention extensible d’un an**, ou entre 7 jours et 2 557 jours (environ sept ans) pour l’option de **tarification de rétention sur sept ans.** Le magasin de données d’événement conserve les données d’événement pendant le nombre de jours spécifié.
1. (Facultatif) Pour activer le chiffrement en utilisant AWS Key Management Service, choisissez **Utiliser le mien AWS KMS key**. Choisissez **Nouveau** pour en AWS KMS key créer une pour vous, ou choisissez **Existant** pour utiliser une clé KMS existante. Dans **Enter KMS alias**, spécifiez un alias au format `alias/`*MyAliasName*. L'utilisation de votre propre clé KMS nécessite que vous modifiiez votre politique de clé KMS afin de permettre le chiffrement et le déchiffrement de votre banque de données d'événements. Pour plus d'informations, consultez[Configurer les politiques AWS KMS clés pour CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail prend également en charge les clés AWS KMS multirégionales. Pour plus d’informations, consultez la section [Utilisation de clés multi-régions](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) dans le *Guide du développeur AWS Key Management Service *.
L'utilisation de votre propre clé KMS entraîne des AWS KMS coûts de chiffrement et de déchiffrement. Une fois que vous avez associé un magasin de données d’événement à une clé KMS, celle-ci ne peut être ni supprimée ni modifiée.
**Note**
Pour activer AWS Key Management Service le chiffrement pour le magasin de données d'événements d'une organisation, vous devez utiliser une clé KMS existante pour le compte de gestion.
1. (Facultatif) Si vous souhaitez interroger les données de votre événement à l’aide d’Amazon Athena, choisissez **Activer** dans **Fédération de requêtes Lake**. La fédération vous permet de visualiser les métadonnées associées au magasin de données d’événement dans le [catalogue de données](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) d’ AWS Glue et d’exécuter des requêtes SQL sur les données d’événement dans Athena. Les métadonnées des tables stockées dans le catalogue de AWS Glue données permettent au moteur de requête Athena de savoir comment rechercher, lire et traiter les données que vous souhaitez interroger. Pour de plus amples informations, veuillez consulter [Fédérer un magasin de données d’événement](query-federation.md).
Pour activer la fédération de requêtes Lake, choisissez **Activer**, puis procédez comme suit :
1. Choisissez si vous souhaitez créer un rôle ou utiliser un rôle IAM existant. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utilise ce rôle pour gérer les autorisations pour le magasin de données d’événement fédéré. Lorsque vous créez un nouveau rôle à l'aide de la CloudTrail console, il en crée CloudTrail automatiquement un avec les autorisations requises. Si vous choisissez un rôle existant, assurez-vous que la politique du rôle fournit les [autorisations minimales requises](query-federation.md#query-federation-permissions-role).
1. Si vous créez un rôle, saisissez un nom pour identifier le rôle.
1. Si vous utilisez un rôle existant, choisissez le rôle que vous souhaitez utiliser. Le rôle doit exister dans votre compte.
1. (Facultatif) Choisissez **Activer la politique de ressources** pour ajouter une politique basée sur les ressources à votre banque de données d'événements. Les stratégies basées sur les ressources vous permettent de contrôler quels principaux peuvent effectuer des actions sur votre stockage de données d’événements. Par exemple, vous pouvez ajouter une politique basée sur les ressources qui permet aux utilisateurs root d'autres comptes d'interroger cette banque de données d'événements et d'afficher les résultats de la requête. Pour obtenir des exemples de politiques, consultez [Exemples de politiques basées sur les ressources pour les magasins de données d'événements](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Une politique basée sur les ressources inclut une ou plusieurs instructions. Chaque déclaration de la politique définit [les principaux auxquels](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) l'accès est autorisé ou refusé au magasin de données d'événements et les actions que les principaux peuvent effectuer sur la ressource du magasin de données d'événements.
Les actions suivantes sont prises en charge dans les politiques basées sur les ressources pour les magasins de données d'événements :
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Pour les [magasins de données d'événements d'organisation](cloudtrail-lake-organizations.md), CloudTrail crée une [politique par défaut basée sur les ressources](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) qui répertorie les actions que les comptes d'administrateur délégué sont autorisés à effectuer sur les magasins de données d'événements de l'organisation. Les autorisations de cette politique sont dérivées des autorisations d'administrateur déléguées dans AWS Organizations. Cette politique est mise à jour automatiquement à la suite de modifications apportées au magasin de données d'événements de l'organisation ou à l'organisation (par exemple, un compte d'administrateur CloudTrail délégué est enregistré ou supprimé).
1. (Facultatif) Dans la zone **Balises**, vous pouvez ajouter jusqu’à 50 paires clé-valeur de balise pour vous aider à identifier, trier et contrôler l’accès à votre magasin de données d’événement. Pour plus d'informations sur l'utilisation des politiques IAM pour autoriser l'accès à un magasin de données d'événement basé sur des identifications, consultez [Exemples : rejeter l'accès à la création ou à la suppression de magasins de données d'événement en fonction des identifications](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Pour plus d'informations sur la manière dont vous pouvez utiliser les balises AWS, consultez la section [AWS Ressources de balisage](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) dans le Guide de l'*utilisateur AWS des ressources de balisage*.
1. Choisissez **Suivant** pour configurer le magasin de données d’événement.
1. Sur la page **Choisir des événements**, choisissez **AWS des événements**, puis choisissez **CloudTraildes événements Insights**.
1. Dans les **événements CloudTrail Insights**, procédez comme suit.
1. Choisissez **Autoriser l'accès administrateur délégué** si vous souhaitez accorder à l'administrateur délégué de votre organisation l'accès à cet entrepôt de données d'événement. Cette option n'est disponible que si vous êtes connecté avec le compte de gestion d'une AWS Organizations organisation.
1. (Facultatif) Choisissez un entrepôt de données d'événement source existant qui journalise les événements de gestion et spécifiez les types Insights que vous souhaitez recevoir.
Pour ajouter un entrepôt de données d'événement source, procédez comme suit.
1. Choisissez **Ajouter un entrepôt de données d'événement source**.
1. Choisissez l'entrepôt de données d'événement source.
1. Choisissez le **Type Insights** que vous souhaitez recevoir.
+ `ApiCallRateInsight` : le type Insights `ApiCallRateInsight` analyse les appels à l'API de gestion en écriture seule qui sont agrégés par minute par rapport à un volume d'appels à l'API de référence. Pour recevoir des événements Insights de type `ApiCallRateInsight`, l'entrepôt de données d'événement source doit journaliser les événements de gestion **Écriture**.
+ `ApiErrorRateInsight` : le type Insight `ApiErrorRateInsight` analyse les appels des API de gestion qui génèrent des codes d'erreur. L'erreur s'affiche en cas d'échec de l'appel d'API. Pour recevoir des événements Insights de type `ApiErrorRateInsight`, l'entrepôt de données d'événement source doit journaliser les événements de gestion **Écriture** ou **Lecture**.
1. Répétez les deux étapes précédentes (ii et iii) pour ajouter les types Insights supplémentaires que vous souhaitez recevoir.
1. Choisissez **Suivant** pour examiner vos préférences.
1. Sur la page **Review and create** (Vérifier et créer), examinez vos choix. Choisissez **Modifier (Edit)** pour apporter des modifications à la section. Lorsque vous êtes prêt à créer le magasin de données d’événement, choisissez **Créer un magasin de données d’événement**.
1. Le nouvel entrepôt de données d'événement est visible dans la table **Entrepôts de données d'événement** sur la page **Entrepôts de données d'événement**.
1. Si vous n'avez pas choisi d'entrepôt de données d'événement source à l'étape 10, suivez les étapes décrites dans [Pour créer un entrepôt de données d'événement source qui active les événements Insights](#query-event-data-store-cloudtrail-insights) pour créer un entrepôt de données d'événement source.
## Pour créer un entrepôt de données d'événement source qui active les événements Insights
Cette procédure explique comment créer un entrepôt de données d'événement source qui active les événements Insights et journalise les événements de gestion.
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le panneau de navigation, ouvrez le sous-menu **Lake**, puis sélectionnez **Entrepôts de données d'événement**.
1. Choisissez **Créer un magasin de données d’événement**.
1. Sur la page **Configure event data store** (Configurer un magasin de données d'événement), dans **General details** (Détails généraux), saisissez un nom pour le magasin de données d'événement. Un nom est requis.
1. Choisissez l’**option de tarification** que vous souhaitez utiliser pour votre magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que la période de conservation par défaut et maximale pour votre magasin de données d’événement. Pour plus d’informations, veuillez consulter [Tarification d’AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) et [Gestion des coûts CloudTrail du lac](cloudtrail-lake-manage-costs.md).
Les options suivantes sont disponibles :
+ **Tarif de rétention extensible d’un an** : généralement recommandé si vous prévoyez d’ingérer moins de 25 To de données d’événement par mois et souhaitez une période de conservation flexible allant jusqu’à 10 ans. Pendant les 366 premiers jours (période de conservation par défaut), le stockage est inclus sans frais supplémentaires dans le prix d’ingestion. Après 366 jours, la rétention prolongée est disponible moyennant un pay-as-you-go prix. Il s’agit de l’option par défaut.
+ **Période de conservation par défaut :** 366 jours.
+ **Période de conservation maximale :** 3 653 jours
+ **Tarif de rétention sur sept ans** : recommandé si vous prévoyez d’ingérer plus de 25 To de données d’événement par mois et que vous avez besoin d’une période de conservation allant jusqu’à 7 ans. La conservation est incluse dans le prix d’ingestion sans frais supplémentaires.
+ **Période de conservation par défaut :** 2 557 jours.
+ **Période de conservation maximale :** 2 557 jours
1. Spécifiez une période de conservation pour le magasin de données d’événement. Les périodes de conservation peuvent être comprises entre 7 jours et 3 653 jours (environ 10 ans) pour l’option de **tarification de rétention extensible d’un an**, ou entre 7 jours et 2 557 jours (environ sept ans) pour l’option de **tarification de rétention sur sept ans.**
CloudTrail Lake détermine s'il convient de conserver un événement en vérifiant si celui-ci se situe dans la période de conservation spécifiée. `eventTime` Par exemple, si vous spécifiez une période de conservation de 90 jours, les événements CloudTrail seront supprimés lorsqu'ils datent `eventTime` de plus de 90 jours.
1. (Facultatif) Pour activer le chiffrement en utilisant AWS Key Management Service, choisissez **Utiliser le mien AWS KMS key**. Choisissez **Nouveau** pour en AWS KMS key créer une pour vous, ou choisissez **Existant** pour utiliser une clé KMS existante. Dans **Enter KMS alias**, spécifiez un alias au format `alias/`*MyAliasName*. L'utilisation de votre propre clé KMS nécessite que vous modifiiez votre politique de clé KMS afin de permettre le chiffrement et le déchiffrement de votre banque de données d'événements. Pour plus d'informations, consultez[Configurer les politiques AWS KMS clés pour CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail prend également en charge les clés AWS KMS multirégionales. Pour plus d’informations, consultez la section [Utilisation de clés multi-régions](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) dans le *Guide du développeur AWS Key Management Service *.
L'utilisation de votre propre clé KMS entraîne des AWS KMS coûts de chiffrement et de déchiffrement. Une fois que vous avez associé un magasin de données d’événement à une clé KMS, celle-ci ne peut être ni supprimée ni modifiée.
**Note**
Pour activer AWS Key Management Service le chiffrement pour le magasin de données d'événements d'une organisation, vous devez utiliser une clé KMS existante pour le compte de gestion.
1. (Facultatif) Si vous souhaitez interroger les données de votre événement à l’aide d’Amazon Athena, choisissez **Activer** dans **Fédération de requêtes Lake**. La fédération vous permet de visualiser les métadonnées associées au magasin de données d’événement dans le [catalogue de données](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) d’ AWS Glue et d’exécuter des requêtes SQL sur les données d’événement dans Athena. Les métadonnées des tables stockées dans le catalogue de AWS Glue données permettent au moteur de requête Athena de savoir comment rechercher, lire et traiter les données que vous souhaitez interroger. Pour de plus amples informations, veuillez consulter [Fédérer un magasin de données d’événement](query-federation.md).
Pour activer la fédération de requêtes Lake, choisissez **Activer**, puis procédez comme suit :
1. Choisissez si vous souhaitez créer un rôle ou utiliser un rôle IAM existant. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utilise ce rôle pour gérer les autorisations pour le magasin de données d’événement fédéré. Lorsque vous créez un nouveau rôle à l'aide de la CloudTrail console, il en crée CloudTrail automatiquement un avec les autorisations requises. Si vous choisissez un rôle existant, assurez-vous que la politique du rôle fournit les [autorisations minimales requises](query-federation.md#query-federation-permissions-role).
1. Si vous créez un rôle, saisissez un nom pour identifier le rôle.
1. Si vous utilisez un rôle existant, choisissez le rôle que vous souhaitez utiliser. Le rôle doit exister dans votre compte.
1. (Facultatif) Choisissez **Activer la politique de ressources** pour ajouter une politique basée sur les ressources à votre banque de données d'événements. Les stratégies basées sur les ressources vous permettent de contrôler quels principaux peuvent effectuer des actions sur votre stockage de données d’événements. Par exemple, vous pouvez ajouter une politique basée sur les ressources qui permet aux utilisateurs root d'autres comptes d'interroger cette banque de données d'événements et d'afficher les résultats de la requête. Pour obtenir des exemples de politiques, consultez [Exemples de politiques basées sur les ressources pour les magasins de données d'événements](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Une politique basée sur les ressources inclut une ou plusieurs instructions. Chaque déclaration de la politique définit [les principaux auxquels](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) l'accès est autorisé ou refusé au magasin de données d'événements et les actions que les principaux peuvent effectuer sur la ressource du magasin de données d'événements.
Les actions suivantes sont prises en charge dans les politiques basées sur les ressources pour les magasins de données d'événements :
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Pour les [magasins de données d'événements d'organisation](cloudtrail-lake-organizations.md), CloudTrail crée une [politique par défaut basée sur les ressources](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) qui répertorie les actions que les comptes d'administrateur délégué sont autorisés à effectuer sur les magasins de données d'événements de l'organisation. Les autorisations de cette politique sont dérivées des autorisations d'administrateur déléguées dans AWS Organizations. Cette politique est mise à jour automatiquement à la suite de modifications apportées au magasin de données d'événements de l'organisation ou à l'organisation (par exemple, un compte d'administrateur CloudTrail délégué est enregistré ou supprimé).
1. (Facultatif) Dans la zone **Balises**, vous pouvez ajouter jusqu’à 50 paires clé-valeur de balise pour vous aider à identifier, trier et contrôler l’accès à votre magasin de données d’événement. Pour plus d'informations sur l'utilisation des politiques IAM pour autoriser l'accès à un magasin de données d'événement basé sur des identifications, consultez [Exemples : rejeter l'accès à la création ou à la suppression de magasins de données d'événement en fonction des identifications](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Pour plus d'informations sur la manière dont vous pouvez utiliser les balises AWS, consultez la section [AWS Ressources de balisage](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) dans le Guide de l'*utilisateur AWS des ressources de balisage*.
1. Choisissez **Suivant** pour configurer le magasin de données d’événement.
1. Sur la page **Choisir des événements**, choisissez **AWS des événements**, puis **CloudTraildes événements**.
1. Dans **CloudTrail Événements**, laissez **la case Événements de gestion** sélectionnée.
1. Pour que votre magasin de données d’événement collecte les événements de tous les comptes d’une organisation AWS Organizations , sélectionnez **Activer pour tous les comptes de mon organisation**. Vous devez être connecté au compte de gestion de l'organisation pour créer un entrepôt de données d'événement qui active Insights.
1. Développez **les paramètres supplémentaires** pour choisir si vous souhaitez que votre banque de données d'événements collecte les événements pour tous Régions AWS ou uniquement les événements actuels Région AWS, et choisissez si la banque de données d'événements ingère les événements. Par défaut, votre entrepôt de données d'événement collecte les événements de toutes les régions de votre compte et commence à ingérer les événements dès sa création.
1. Choisissez **Inclure uniquement la région actuelle dans mon entrepôt de données d'événement** si vous souhaitez n'inclure que les événements journalisés dans la région actuelle. Si vous ne choisissez pas cette option, votre magasin de données d’événement inclura des événements de toutes les régions.
1. Laissez l'option **Ingérer les événements** sélectionnée.
1. Choisissez entre **une collecte d'événements simple** ou une **collecte d'événements avancée** :
+ Choisissez **Collection d'événements simple** si vous souhaitez consigner tous les événements, enregistrer uniquement les événements en lecture ou uniquement les événements en écriture. Vous pouvez également choisir d'exclure les événements AWS Key Management Service de l'API Amazon RDS Data.
+ Choisissez **Collection d'événements avancée** si vous souhaitez inclure ou exclure des événements de gestion en fonction des valeurs des champs du sélecteur d'événements avancé, notamment les `userIdentity.arn` champs `eventName``eventType`,`eventSource`,`sessionCredentialFromConsole`, et.
1. Si vous avez sélectionné **Collecte d'événements simple**, indiquez si vous souhaitez consigner tous les événements, consigner uniquement les événements en lecture ou uniquement les événements en écriture. Vous pouvez également choisir d'exclure les événements AWS KMS de l'API Amazon RDS Data.
1. Si vous avez sélectionné **Collecte d'événements avancée**, effectuez les sélections suivantes :
1. Dans le **modèle de sélecteur de journal**, choisissez un modèle prédéfini ou choisissez **Personnalisé** pour rédiger vos propres conditions de collecte d'événements en fonction des valeurs des champs de sélection d'événements avancés.
Vous pouvez choisir parmi les modèles prédéfinis suivants :
+ **Journaliser tous les événements** : choisissez ce modèle pour journaliser tous les événements.
+ **Consigner uniquement les événements en lecture** : choisissez ce modèle pour enregistrer uniquement les événements en lecture. Les événements en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les `Get*` événements. `Describe*`
+ **Enregistrer uniquement les événements d'écriture** : choisissez ce modèle pour enregistrer uniquement les événements d'écriture. Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements `Put*`, `Delete*`, ou `Write*`.
+ **Enregistrer uniquement AWS Management Console les événements** : choisissez ce modèle pour enregistrer uniquement les événements provenant du AWS Management Console.
+ **Exclure les événements Service AWS initiés** : choisissez ce modèle pour exclure les Service AWS événements dotés d'un caractère `eventType` de et `AwsServiceEvent` les événements initiés avec des rôles Service AWS liés à -linked (SLRs).
1. (Facultatif) Dans **Nom du sélecteur**, saisissez un nom pour identifier votre sélecteur. Le nom du sélecteur est le nom descriptif d'un sélecteur d'événements avancé, tel que « Enregistrer les événements de gestion des AWS Management Console sessions ». Le nom du sélecteur est répertorié comme `Name` dans le sélecteur d'événements avancé et est visible si vous développez la **Vue JSON.**
1. Si vous avez choisi **Personnalisé**, dans les **sélecteurs d'événements avancés**, créez une expression basée sur les valeurs des champs des sélecteurs d'événements avancés.
**Note**
Les sélecteurs ne prennent pas en charge l'utilisation de caractères génériques tels que. `*` Pour associer plusieurs valeurs à une seule condition, vous pouvez utiliser`StartsWith`, `EndsWith``NotStartsWith`, ou `NotEndsWith` faire correspondre explicitement le début ou la fin du champ d'événement.
1. Choisissez parmi les options suivantes.
+ **`readOnly`**— `readOnly` peut être défini pour être **égal à** une valeur de `true` ou`false`. Lorsqu'il est défini sur`false`, le magasin de données d'événements enregistre les événements de gestion en écriture seule. Les événements de gestion en lecture seule sont des événements qui ne modifient pas l'état d'une ressource, tels que les `Get*` événements. `Describe*` Les événements d'écriture ajoutent, modifient ou suppriment des ressources, des attributs ou des artefacts, tels que les événements `Put*`, `Delete*`, ou `Write*`. Pour enregistrer à la fois les événements de **lecture** et d'**écriture**, n'ajoutez pas de `readOnly` sélecteur.
+ **`eventName`**— `eventName` peut utiliser n'importe quel opérateur. Vous pouvez l'utiliser pour inclure ou exclure tout événement de gestion, tel que `CreateAccessPoint` ou`GetAccessPoint`.
+ **`userIdentity.arn`**— Incluez ou excluez des événements pour les actions entreprises par des identités IAM spécifiques. Pour de plus amples informations, veuillez consulter [Élément CloudTrail userIdentity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`sessionCredentialFromConsole`**— Incluez ou excluez les événements issus d'une AWS Management Console session. Ce champ peut être défini sur **égal** ou **non égal** avec une valeur de`true`.
+ **`eventSource`**— Vous pouvez l'utiliser pour inclure ou exclure des sources d'événements spécifiques. `eventSource`Il s'agit généralement d'une forme abrégée du nom du service sans espaces et sans espaces`.amazonaws.com`. Par exemple, vous pouvez définir des valeurs `eventSource` **égales** `ec2.amazonaws.com` à pour consigner uniquement les événements de gestion Amazon EC2.
+ **`eventType`**— L'[EventType](cloudtrail-event-reference-record-contents.md#ct-event-type) à inclure ou à exclure. Par exemple, vous pouvez définir ce champ sur une **valeur différente** `AwsServiceEvent` pour exclure [Service AWS des événements](non-api-aws-service-events.md).
1. Pour chaque champ, choisissez **\$1 Conditions** pour ajouter autant de conditions que vous le souhaitez, jusqu'à un maximum de 500 valeurs spécifiées pour toutes les conditions.
Pour plus d'informations sur le mode CloudTrail d'évaluation de plusieurs conditions, consultez[Comment CloudTrail évaluer plusieurs conditions pour un champ](filtering-data-events.md#filtering-data-events-conditions).
**Note**
Il est possible de définir un maximum de 500 valeurs pour tous les sélecteurs d'un entrepôt de données d'événement. Cela inclut des tableaux de valeurs multiples pour un sélecteur tel que `eventName`. Si vous avez défini des valeurs uniques pour tous les sélecteurs, il est possible d’ajouter un maximum de 500 conditions à un sélecteur.
1. Choisir **\$1 champ** pour ajouter des champs supplémentaires au besoin. Pour éviter les erreurs, il convient de ne pas définir de valeurs conflictuelles ou en double pour les champs.
1. Vous pouvez également développer **Affichage JSON** pour afficher vos sélecteurs d’événements avancés sous forme de bloc JSON.
1. Choisissez **Activer la capture des événements Insights**.
1. Choisissez le magasin d'événements de destination qui enregistrera les événements Insights. L'entrepôt de données d'événement de destination collectera les événements Insights en fonction de l'activité de gestion des événements dans cet entrepôt de données d'événement. Pour plus d'informations sur la création de l'entrepôt de données événements de destination, veuillez consulter [Pour créer un entrepôt de données d'événement de destination qui journalise les événements Insights](#query-event-data-store-insights-procedure).
1. Choisissez les types Insights. Vous pouvez choisir le **Taux d'appels d'API**, le **Taux d'erreur de l'API** ou les deux. Vous devez journaliser les événements de gestion **Écriture** pour journaliser les événements Insights afin de connaître le **Taux d'appels d'API**. Vous devez journaliser les événements de gestion **Lecture** ou **Écriture** pour journaliser les événements Insights afin de connaître le **Taux d'erreur de l'API**.
1. Choisissez **Next** pour enrichir vos événements en ajoutant des clés de balise de ressource et des clés de condition globales IAM.
1. Dans **Enrich events**, ajoutez jusqu'à 50 clés de balise de ressource et 50 clés de condition globales IAM pour fournir des métadonnées supplémentaires sur vos événements. Cela vous permet de classer et de regrouper les événements connexes.
Si vous ajoutez des clés de balise de ressource, les clés de balise sélectionnées associées aux ressources impliquées dans l'appel d'API CloudTrail seront incluses. Les événements d'API liés aux ressources supprimées ne comporteront pas de balises de ressources.
Si vous ajoutez des clés de condition globales IAM, elles CloudTrail incluront des informations sur les clés de condition sélectionnées qui ont été évaluées au cours du processus d'autorisation, y compris des détails supplémentaires sur le principal, la session, le réseau et la demande elle-même.
Les informations relatives aux clés de balise de ressource et aux clés de condition globales IAM sont affichées dans le `eventContext` champ de l'événement. Pour de plus amples informations, veuillez consulter [Enrichissez les CloudTrail événements en ajoutant des clés de balise de ressource et des clés de condition globales IAM](cloudtrail-context-events.md).
**Note**
Si un événement contient une ressource qui n'appartient pas à la région de l'événement, les balises ne CloudTrail seront pas renseignées pour cette ressource car la récupération des balises est limitée à la région de l'événement.
1. Choisissez **Augmenter la taille de l'événement** pour augmenter la charge utile de l'événement jusqu'à 1 Mo au lieu de 256 Ko. Cette option est automatiquement activée lorsque vous ajoutez des clés de balise de ressource ou des clés de condition globales IAM afin de garantir que toutes les clés ajoutées sont incluses dans l'événement.
L'augmentation de la taille des événements est utile pour analyser et résoudre les problèmes, car elle vous permet de voir le contenu complet des champs suivants tant que la charge utile de l'événement est inférieure à 1 Mo :
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
Pour plus d'informations sur ces champs, consultez la section [Contenu des CloudTrail enregistrements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
1. Choisissez **Suivant** pour examiner vos préférences.
1. Sur la page **Review and create** (Vérifier et créer), examinez vos choix. Choisissez **Modifier (Edit)** pour apporter des modifications à la section. Lorsque vous êtes prêt à créer le magasin de données d’événement, choisissez **Créer un magasin de données d’événement**.
1. Le nouvel entrepôt de données d'événement est visible dans la table **Entrepôts de données d'événement** sur la page **Entrepôts de données d'événement**.
À partir de ce moment, le magasin de données d’événement capture les événements qui correspondent à ses sélecteurs d’événements avancés. Une fois que vous avez activé CloudTrail Insights pour la première fois sur votre banque de données d'événements source, cela CloudTrail peut prendre jusqu'à 7 jours pour commencer à diffuser des événements Insights, à condition qu'une activité inhabituelle soit détectée pendant cette période.
Vous pouvez consulter le tableau de bord CloudTrail Lake pour visualiser les événements Insights dans votre banque de données d'événements de destination. Pour de plus amples informations sur le tableau de bord Lake, veuillez consulter [CloudTrail Tableaux de bord du lac](lake-dashboard.md).
Des frais supplémentaires s'appliquent pour l'ingestion d'événements Insights à CloudTrail Lake. Vous serez facturé séparément si vous activez Insights à la fois pour les journaux de suivi et les entrepôts de données d'événement. Pour plus d'informations sur la CloudTrail tarification, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/).
# Créez un magasin de données d'événements pour les éléments de configuration à l'aide de la console
**Note**
AWS CloudTrail Lake ne sera plus ouvert aux nouveaux clients à compter du 31 mai 2026. Si vous souhaitez utiliser CloudTrail Lake, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour de plus amples informations, veuillez consulter [CloudTrail Modification de la disponibilité des lacs](cloudtrail-lake-service-availability-change.md).
Vous pouvez créer un entrepôt de données d'événement pour inclure des [éléments de configuration AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#config-items) et utiliser l'entrepôt de données d'événement pour examiner les modifications non conformes apportées à vos environnements de production. Avec un magasin de données d'événement, vous pouvez associer les règles non conformes aux utilisateurs et aux ressources associés aux modifications. Un élément de configuration représente une point-in-time vue des attributs d'une AWS ressource prise en charge qui existe dans votre compte. AWS Config crée un élément de configuration chaque fois qu'il détecte une modification d'un type de ressource qu'il enregistre. AWS Config crée également des éléments de configuration lorsqu'un instantané de configuration est capturé.
Vous pouvez utiliser les deux AWS Config et CloudTrail Lake pour exécuter des requêtes sur vos éléments de configuration. Vous pouvez l'utiliser AWS Config pour interroger l'état de configuration actuel des AWS ressources en fonction des propriétés de configuration d'un seul Compte AWS ou de plusieurs comptes et régions. Région AWS En revanche, vous pouvez utiliser CloudTrail Lake pour effectuer des requêtes sur diverses sources de données telles que CloudTrail des événements, des éléments de configuration et des évaluations de règles. CloudTrail Les requêtes Lake couvrent tous les éléments AWS Config de configuration, y compris la configuration des ressources et l'historique de conformité.
La création d'un magasin de données d'événements pour les éléments de configuration n'a aucune incidence sur les requêtes AWS Config avancées existantes, ni sur AWS Config les agrégateurs configurés. Vous pouvez continuer à exécuter des requêtes avancées en utilisant AWS Config des fichiers d'historique et en AWS Config continuant de les fournir à vos compartiments S3.
CloudTrail Les magasins de données sur les événements de Lake sont payants. Lorsque vous créez un magasin de données d’événement, vous choisissez l’[option de tarification](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) que vous voulez utiliser pour le magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Pour plus d'informations sur la CloudTrail tarification et la gestion des coûts du lac, voir [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/) et[Gestion des coûts CloudTrail du lac](cloudtrail-lake-manage-costs.md).
## Limitations
Les limites suivantes s'appliquent aux magasins de données d'événement pour les éléments de configuration.
+ Aucune prise en charge des éléments de configuration personnalisés
+ Aucune prise en charge du filtrage d'événement à l'aide de sélecteurs d'événements avancés
## Conditions préalables
Avant de créer votre banque de données d'événements, configurez AWS Config l'enregistrement pour tous vos comptes et régions. Vous pouvez utiliser [Quick Setup](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html), une fonctionnalité de AWS Systems Manager, pour créer rapidement un enregistreur de configuration alimenté par AWS Config.
**Note**
Des frais d'utilisation du service vous sont facturés lorsque vous AWS Config commencez à enregistrer des configurations. Pour plus d’informations sur la tarification, consultez [Tarification d’AWS Config](https://aws.amazon.com/config/pricing/). Pour en savoir plus sur la gestion de l'enregistreur de configuration, consultez [Managing the Configuration Recorder](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) (Gestion de l'enregistreur de configuration) dans le *Guide du développeur AWS Config *.
En outre, les actions suivantes sont recommandées, mais ne sont pas obligatoires pour créer un magasin de données d'événement.
+ Configurez un compartiment Amazon S3 pour recevoir un instantané de configuration sur demande et un historique de configuration. Pour plus d'informations sur les instantanés, consultez [Managing the Delivery Channel](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html) (Gestion du canal d'envoi) et [Delivering Configuration Snapshot to an Amazon S3 Bucket](https://docs.aws.amazon.com/config/latest/developerguide/deliver-snapshot-cli.html) (Envoi d'un instantané de configuration à un compartiment Amazon S3) dans le *Guide du développeur AWS Config *.
+ Spécifiez les règles que vous souhaitez utiliser AWS Config pour évaluer les informations de conformité pour les types de ressources enregistrés. Plusieurs exemples de requêtes CloudTrail Lake AWS Config nécessitent d' AWS Config Rules évaluer l'état de conformité de vos AWS ressources. Pour plus d'informations AWS Config Rules, consultez la section [Évaluation des ressources avec AWS Config Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) dans le *Guide du AWS Config développeur*.
## Créer un magasin de données d'événement pour les éléments de configuration
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le panneau de navigation, sous **Lake**, choisissez **Entrepôts de données d'événement**.
1. Choisissez **Créer un magasin de données d’événement**.
1. Sur la page **Configure event data store** (Configurer un magasin de données d'événement), dans **General details** (Détails généraux), saisissez un nom pour le magasin de données d'événement. Un nom est requis.
1. Choisissez l’**option de tarification** que vous souhaitez utiliser pour votre magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que la période de conservation par défaut et maximale pour votre magasin de données d’événement. Pour plus d’informations, veuillez consulter [Tarification d’AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) et [Gestion des coûts CloudTrail du lac](cloudtrail-lake-manage-costs.md).
Les options suivantes sont disponibles :
+ **Tarif de rétention extensible d’un an** : généralement recommandé si vous prévoyez d’ingérer moins de 25 To de données d’événement par mois et souhaitez une période de conservation flexible allant jusqu’à 10 ans. Pendant les 366 premiers jours (période de conservation par défaut), le stockage est inclus sans frais supplémentaires dans le prix d’ingestion. Après 366 jours, la rétention prolongée est disponible moyennant un pay-as-you-go prix. Il s’agit de l’option par défaut.
+ **Période de conservation par défaut :** 366 jours.
+ **Période de conservation maximale :** 3 653 jours
+ **Tarif de rétention sur sept ans** : recommandé si vous prévoyez d’ingérer plus de 25 To de données d’événement par mois et que vous avez besoin d’une période de conservation allant jusqu’à 7 ans. La conservation est incluse dans le prix d’ingestion sans frais supplémentaires.
+ **Période de conservation par défaut :** 2 557 jours.
+ **Période de conservation maximale :** 2 557 jours
1. Spécifiez une période de conservation pour le magasin de données d’événement. Les périodes de conservation peuvent être comprises entre 7 jours et 3 653 jours (environ 10 ans) pour l’option de **tarification de rétention extensible d’un an**, ou entre 7 jours et 2 557 jours (environ sept ans) pour l’option de **tarification de rétention sur sept ans.**
CloudTrail Lake détermine s'il convient de conserver un événement en vérifiant si celui-ci se situe dans la période de conservation spécifiée. `eventTime` Par exemple, si vous spécifiez une période de conservation de 90 jours, les événements CloudTrail seront supprimés lorsqu'ils datent `eventTime` de plus de 90 jours.
1. (Facultatif) Pour activer le chiffrement en utilisant AWS Key Management Service, choisissez **Utiliser le mien AWS KMS key**. Choisissez **Nouveau** pour en AWS KMS key créer une pour vous, ou choisissez **Existant** pour utiliser une clé KMS existante. Dans **Enter KMS alias**, spécifiez un alias au format `alias/`*MyAliasName*. L'utilisation de votre propre clé KMS nécessite que vous modifiiez votre politique de clé KMS afin de permettre le chiffrement et le déchiffrement de votre banque de données d'événements. Pour plus d'informations, consultez[Configurer les politiques AWS KMS clés pour CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail prend également en charge les clés AWS KMS multirégionales. Pour plus d’informations, consultez la section [Utilisation de clés multi-régions](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) dans le *Guide du développeur AWS Key Management Service *.
L'utilisation de votre propre clé KMS entraîne des AWS KMS coûts de chiffrement et de déchiffrement. Une fois que vous avez associé un magasin de données d’événement à une clé KMS, celle-ci ne peut être ni supprimée ni modifiée.
**Note**
Pour activer AWS Key Management Service le chiffrement pour le magasin de données d'événements d'une organisation, vous devez utiliser une clé KMS existante pour le compte de gestion.
1. (Facultatif) Si vous souhaitez interroger les données de votre événement à l’aide d’Amazon Athena, choisissez **Activer** dans **Fédération de requêtes Lake**. La fédération vous permet de visualiser les métadonnées associées au magasin de données d’événement dans le [catalogue de données](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) d’ AWS Glue et d’exécuter des requêtes SQL sur les données d’événement dans Athena. Les métadonnées des tables stockées dans le catalogue de AWS Glue données permettent au moteur de requête Athena de savoir comment rechercher, lire et traiter les données que vous souhaitez interroger. Pour de plus amples informations, veuillez consulter [Fédérer un magasin de données d’événement](query-federation.md).
Pour activer la fédération de requêtes Lake, choisissez **Activer**, puis procédez comme suit :
1. Choisissez si vous souhaitez créer un rôle ou utiliser un rôle IAM existant. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utilise ce rôle pour gérer les autorisations pour le magasin de données d’événement fédéré. Lorsque vous créez un nouveau rôle à l'aide de la CloudTrail console, il en crée CloudTrail automatiquement un avec les autorisations requises. Si vous choisissez un rôle existant, assurez-vous que la politique du rôle fournit les [autorisations minimales requises](query-federation.md#query-federation-permissions-role).
1. Si vous créez un rôle, saisissez un nom pour identifier le rôle.
1. Si vous utilisez un rôle existant, choisissez le rôle que vous souhaitez utiliser. Le rôle doit exister dans votre compte.
1. (Facultatif) Choisissez **Activer la politique de ressources** pour ajouter une politique basée sur les ressources à votre banque de données d'événements. Les stratégies basées sur les ressources vous permettent de contrôler quels principaux peuvent effectuer des actions sur votre stockage de données d’événements. Par exemple, vous pouvez ajouter une politique basée sur les ressources qui permet aux utilisateurs root d'autres comptes d'interroger cette banque de données d'événements et d'afficher les résultats de la requête. Pour obtenir des exemples de politiques, consultez [Exemples de politiques basées sur les ressources pour les magasins de données d'événements](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Une politique basée sur les ressources inclut une ou plusieurs instructions. Chaque déclaration de la politique définit [les principaux auxquels](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) l'accès est autorisé ou refusé au magasin de données d'événements et les actions que les principaux peuvent effectuer sur la ressource du magasin de données d'événements.
Les actions suivantes sont prises en charge dans les politiques basées sur les ressources pour les magasins de données d'événements :
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Pour les [magasins de données d'événements d'organisation](cloudtrail-lake-organizations.md), CloudTrail crée une [politique par défaut basée sur les ressources](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) qui répertorie les actions que les comptes d'administrateur délégué sont autorisés à effectuer sur les magasins de données d'événements de l'organisation. Les autorisations de cette politique sont dérivées des autorisations d'administrateur déléguées dans AWS Organizations. Cette politique est mise à jour automatiquement à la suite de modifications apportées au magasin de données d'événements de l'organisation ou à l'organisation (par exemple, un compte d'administrateur CloudTrail délégué est enregistré ou supprimé).
1. (Facultatif) Dans la zone **Balises**, vous pouvez ajouter jusqu’à 50 paires clé-valeur de balise pour vous aider à identifier, trier et contrôler l’accès à votre magasin de données d’événement. Pour plus d'informations sur l'utilisation des politiques IAM pour autoriser l'accès à un magasin de données d'événement basé sur des identifications, consultez [Exemples : rejeter l'accès à la création ou à la suppression de magasins de données d'événement en fonction des identifications](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Pour plus d'informations sur la manière dont vous pouvez utiliser les balises AWS, consultez la section [AWS Ressources de balisage](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) dans le Guide de l'*utilisateur AWS des ressources de balisage*.
1. Choisissez **Suivant**.
1. Sur la page **Choisir les événements**, sélectionnez **Événements AWS **, puis **Éléments de configuration**.
1. CloudTrail stocke la ressource du magasin de données d'événements dans la région dans laquelle vous l'avez créée, mais par défaut, les éléments de configuration collectés dans le magasin de données proviennent de toutes les régions de votre compte dont l'enregistrement est activé. En option, vous pouvez sélectionner **Include only the current region in my event data store** (Inclure uniquement la région actuelle dans mon magasin de données d'événement) pour inclure uniquement les éléments de configuration qui sont capturés dans la région actuelle. Si vous ne choisissez pas cette option, votre magasin de données d'événement inclut les éléments de configuration de toutes les régions dont l'enregistrement est activé.
1. Pour que votre banque de données événementielles collecte les éléments de configuration de tous les comptes d'une AWS Organizations organisation, sélectionnez **Activer pour tous les comptes de mon organisation**. Vous devez être connecté au compte de gestion ou au compte d'administrateur délégué de l'organisation pour créer un magasin de données d'événement qui collecte les éléments de configuration pour une organisation.
1. Choisissez **Next** (Suivant) pour examiner vos préférences.
1. Sur la page **Review and create** (Vérifier et créer), examinez vos choix. Choisissez **Modifier (Edit)** pour apporter des modifications à la section. Lorsque vous êtes prêt à créer le magasin de données d’événement, choisissez **Créer un magasin de données d’événement**.
1. Le nouvel entrepôt de données d'événement est visible dans la table **Entrepôts de données d'événement** sur la page **Entrepôts de données d'événement**.
À partir de ce moment, le magasin de données d’événement capture les éléments de configuration. Les éléments de configuration qui ont eu lieu avant que vous ne créiez le magasin de données d'événement ne sont pas dans le magasin de données d'événement.
## Schéma des éléments de configuration
Le tableau suivant décrit les éléments de schéma obligatoires et facultatifs qui correspondent à ceux des enregistrements d'éléments de configuration. Le contenu de `eventData` est fourni par vos éléments de configuration ; les autres champs sont fournis par CloudTrail après ingestion.
CloudTrail le contenu des enregistrements d'événements est décrit plus en détail dans[CloudTrail enregistrer le contenu des événements relatifs à la gestion, aux données et à l'activité du réseau](cloudtrail-event-reference-record-contents.md).
+ [Champs fournis par CloudTrail After ingestion](#fields-cloudtrail-event)
+ [Champs fournis par vos événements](#fields-config)
**Champs fournis par CloudTrail After ingestion**
| Nom de champ | Type d’entrée | Exigence | Description |
| --- | --- | --- | --- |
| eventVersion | chaîne | Obligatoire | Version du format de l' AWS événement. |
| eventCategory | chaîne | Obligatoire | Catégorie de l'événement. Pour les éléments de configuration, la valeur valide est `ConfigurationItem`. |
| eventType | chaîne | Obligatoire | Type d’événement. Pour les éléments de configuration, la valeur valide est `AwsConfigurationItem`. |
| eventID | chaîne | Obligatoire | ID unique pour un événement. |
| eventTime | chaîne | Obligatoire | L'horodatage de l'événement, au format `yyyy-MM-DDTHH:mm:ss`, en temps universel coordonné (UTC). |
| awsRegion | chaîne | Obligatoire | Région AWS À laquelle attribuer un événement. |
| recipientAccountId | chaîne | Obligatoire | Représente l' Compte AWS ID qui a reçu cet événement. |
| addendum | addendum | Facultatif | Affiche des informations sur la raison pour laquelle un événement a été retardé. Si des informations manquaient dans un événement existant, le bloc d'addendum inclut les informations manquantes et la raison de leur absence. |
**Les champs dans `eventData` sont fournis par vos éléments de configuration**
| Nom de champ | Type d’entrée | Exigence | Description |
| --- | --- | --- | --- |
| eventData | - | Obligatoire | Les champs de eventData sont fournis par vos éléments de configuration. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | chaîne | Facultatif | Version de l'élément de configuration provenant de sa source. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | chaîne | Facultatif | Heure à laquelle l'enregistrement de configuration a été lancé. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | chaîne | Facultatif | Statut de l'élément de configuration. Les valeurs valides sont `OK`, `ResourceDiscovered`, `ResourceNotRecorded`, ` ResourceDeleted` et `ResourceDeletedNotRecorded`. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | chaîne | Facultatif | L' Compte AWS identifiant à 12 chiffres associé à la ressource. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | chaîne | Facultatif | Type de AWS ressource. Pour plus d'informations sur les types de ressources valides, consultez [ConfigurationItem](https://docs.aws.amazon.com/config/latest/APIReference/API_ConfigurationItem.html)la *référence de l'AWS Config API*. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | chaîne | Facultatif | L'ID de la ressource (par exemple., sg-*xxxxxx*). |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | chaîne | Facultatif | Nom personnalisé de la ressource, si disponible. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | chaîne | Facultatif | Amazon Resource Name (ARN) associé à la ressource. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | chaîne | Facultatif | L' Région AWS endroit où se trouve la ressource. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | chaîne | Facultatif | Zone de disponibilité associée à la ressource. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | chaîne | Facultatif | Horodatage de la création de la ressource. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | Facultatif | Description de la configuration de la ressource. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | Facultatif | Attributs de configuration AWS Config renvoyés pour certains types de ressources afin de compléter les informations renvoyées pour le paramètre de configuration. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | chaîne | Facultatif | Liste des CloudTrail événements IDs. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | - | Facultatif | Une liste de AWS ressources connexes. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | chaîne | Facultatif | Type de relation avec la ressource associée. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | chaîne | Facultatif | Type de ressource de la ressource associée. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | chaîne | Facultatif | L'ID de la ressource associée (par exemple, sg-*xxxxxx*). |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | chaîne | Facultatif | Nom personnalisé de la ressource associée, si disponible. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | Facultatif | Mappage des balises clé-valeur associées à la ressource. |
L’exemple suivant montre la hiérarchie des éléments du schéma qui correspondent à ceux des enregistrements d’éléments de configuration.
```
{
"eventVersion": String,
"eventCategory: String,
"eventType": String,
"eventID": String,
"eventTime": String,
"awsRegion": String,
"recipientAccountId": String,
"addendum": Addendum,
"eventData": {
"configurationItemVersion": String,
"configurationItemCaptureTime": String,
"configurationItemStatus": String,
"configurationStateId": String,
"accountId": String,
"resourceType": String,
"resourceId": String,
"resourceName": String,
"arn": String,
"awsRegion": String,
"availabilityZone": String,
"resourceCreationTime": String,
"configuration": {
JSON,
},
"supplementaryConfiguration": {
JSON,
},
"relatedEvents": [
String
],
"relationships": [
struct{
"name" : String,
"resourceType": String,
"resourceId": String,
"resourceName": String
}
],
"tags": {
JSON
}
}
}
}
```
# Création d'un magasin de données d'événements pour les événements extérieurs AWS à la console
**Note**
AWS CloudTrail Lake ne sera plus ouvert aux nouveaux clients à compter du 31 mai 2026. Si vous souhaitez utiliser CloudTrail Lake, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour de plus amples informations, veuillez consulter [CloudTrail Modification de la disponibilité des lacs](cloudtrail-lake-service-availability-change.md).
Vous pouvez créer un magasin de données d'événements pour inclure des événements extérieurs à AWS, puis utiliser CloudTrail Lake pour rechercher, interroger et analyser les données enregistrées par vos applications.
Vous pouvez utiliser *les intégrations CloudTrail * Lake pour enregistrer et stocker les données d'activité des utilisateurs provenant de l'extérieur AWS, de n'importe quelle source dans vos environnements hybrides, telles que des applications internes ou SaaS hébergées sur site ou dans le cloud, des machines virtuelles ou des conteneurs.
Lorsque vous créez un magasin de données d’événement pour une intégration, vous créez également un canal associé à une politique de ressources.
CloudTrail Les magasins de données sur les événements de Lake sont payants. Lorsque vous créez un magasin de données d’événement, vous choisissez l’[option de tarification](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) que vous voulez utiliser pour le magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Pour plus d'informations sur la CloudTrail tarification et la gestion des coûts du lac, voir [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/) et[Gestion des coûts CloudTrail du lac](cloudtrail-lake-manage-costs.md).
## Pour créer un magasin de données d'événements pour des événements en dehors de AWS
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le panneau de navigation, sous **Lake**, choisissez **Entrepôts de données d'événement**.
1. Choisissez **Créer un magasin de données d’événement**.
1. Sur la page **Configure event data store** (Configurer un magasin de données d'événement), dans **General details** (Détails généraux), saisissez un nom pour le magasin de données d'événement. Un nom est requis.
1. Choisissez l’**option de tarification** que vous souhaitez utiliser pour votre magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que la période de conservation par défaut et maximale pour votre magasin de données d’événement. Pour plus d’informations, veuillez consulter [Tarification d’AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) et [Gestion des coûts CloudTrail du lac](cloudtrail-lake-manage-costs.md).
Les options suivantes sont disponibles :
+ **Tarif de rétention extensible d’un an** : généralement recommandé si vous prévoyez d’ingérer moins de 25 To de données d’événement par mois et souhaitez une période de conservation flexible allant jusqu’à 10 ans. Pendant les 366 premiers jours (période de conservation par défaut), le stockage est inclus sans frais supplémentaires dans le prix d’ingestion. Après 366 jours, la rétention prolongée est disponible moyennant un pay-as-you-go prix. Il s’agit de l’option par défaut.
+ **Période de conservation par défaut :** 366 jours.
+ **Période de conservation maximale :** 3 653 jours
+ **Tarif de rétention sur sept ans** : recommandé si vous prévoyez d’ingérer plus de 25 To de données d’événement par mois et que vous avez besoin d’une période de conservation allant jusqu’à 7 ans. La conservation est incluse dans le prix d’ingestion sans frais supplémentaires.
+ **Période de conservation par défaut :** 2 557 jours.
+ **Période de conservation maximale :** 2 557 jours
1. Spécifiez une période de conservation pour le magasin de données d’événement. Les périodes de conservation peuvent être comprises entre 7 jours et 3 653 jours (environ 10 ans) pour l’option de **tarification de rétention extensible d’un an**, ou entre 7 jours et 2 557 jours (environ sept ans) pour l’option de **tarification de rétention sur sept ans.**
CloudTrail Lake détermine s'il convient de conserver un événement en vérifiant si celui-ci se situe dans la période de conservation spécifiée. `eventTime` Par exemple, si vous spécifiez une période de conservation de 90 jours, les événements CloudTrail seront supprimés lorsqu'ils datent `eventTime` de plus de 90 jours.
1. (Facultatif) Pour activer le chiffrement en utilisant AWS Key Management Service, choisissez **Utiliser le mien AWS KMS key**. Choisissez **Nouveau** pour en AWS KMS key créer une pour vous, ou choisissez **Existant** pour utiliser une clé KMS existante. Dans **Enter KMS alias**, spécifiez un alias au format `alias/`*MyAliasName*. L'utilisation de votre propre clé KMS nécessite que vous modifiiez votre politique de clé KMS afin de permettre le chiffrement et le déchiffrement de votre banque de données d'événements. Pour plus d'informations, consultez[Configurer les politiques AWS KMS clés pour CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail prend également en charge les clés AWS KMS multirégionales. Pour plus d’informations, consultez la section [Utilisation de clés multi-régions](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) dans le *Guide du développeur AWS Key Management Service *.
L'utilisation de votre propre clé KMS entraîne des AWS KMS coûts de chiffrement et de déchiffrement. Une fois que vous avez associé un magasin de données d’événement à une clé KMS, celle-ci ne peut être ni supprimée ni modifiée.
**Note**
Pour activer AWS Key Management Service le chiffrement pour le magasin de données d'événements d'une organisation, vous devez utiliser une clé KMS existante pour le compte de gestion.
1. (Facultatif) Si vous souhaitez interroger les données de votre événement à l’aide d’Amazon Athena, choisissez **Activer** dans **Fédération de requêtes Lake**. La fédération vous permet de visualiser les métadonnées associées au magasin de données d’événement dans le [catalogue de données](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) d’ AWS Glue et d’exécuter des requêtes SQL sur les données d’événement dans Athena. Les métadonnées des tables stockées dans le catalogue de AWS Glue données permettent au moteur de requête Athena de savoir comment rechercher, lire et traiter les données que vous souhaitez interroger. Pour de plus amples informations, veuillez consulter [Fédérer un magasin de données d’événement](query-federation.md).
Pour activer la fédération de requêtes Lake, choisissez **Activer**, puis procédez comme suit :
1. Choisissez si vous souhaitez créer un rôle ou utiliser un rôle IAM existant. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utilise ce rôle pour gérer les autorisations pour le magasin de données d’événement fédéré. Lorsque vous créez un nouveau rôle à l'aide de la CloudTrail console, il en crée CloudTrail automatiquement un avec les autorisations requises. Si vous choisissez un rôle existant, assurez-vous que la politique du rôle fournit les [autorisations minimales requises](query-federation.md#query-federation-permissions-role).
1. Si vous créez un rôle, saisissez un nom pour identifier le rôle.
1. Si vous utilisez un rôle existant, choisissez le rôle que vous souhaitez utiliser. Le rôle doit exister dans votre compte.
1. (Facultatif) Choisissez **Activer la politique de ressources** pour ajouter une politique basée sur les ressources à votre banque de données d'événements. Les stratégies basées sur les ressources vous permettent de contrôler quels principaux peuvent effectuer des actions sur votre stockage de données d’événements. Par exemple, vous pouvez ajouter une politique basée sur les ressources qui permet aux utilisateurs root d'autres comptes d'interroger cette banque de données d'événements et d'afficher les résultats de la requête. Pour obtenir des exemples de politiques, consultez [Exemples de politiques basées sur les ressources pour les magasins de données d'événements](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Une politique basée sur les ressources inclut une ou plusieurs instructions. Chaque déclaration de la politique définit [les principaux auxquels](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) l'accès est autorisé ou refusé au magasin de données d'événements et les actions que les principaux peuvent effectuer sur la ressource du magasin de données d'événements.
Les actions suivantes sont prises en charge dans les politiques basées sur les ressources pour les magasins de données d'événements :
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Pour les [magasins de données d'événements d'organisation](cloudtrail-lake-organizations.md), CloudTrail crée une [politique par défaut basée sur les ressources](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) qui répertorie les actions que les comptes d'administrateur délégué sont autorisés à effectuer sur les magasins de données d'événements de l'organisation. Les autorisations de cette politique sont dérivées des autorisations d'administrateur déléguées dans AWS Organizations. Cette politique est mise à jour automatiquement à la suite de modifications apportées au magasin de données d'événements de l'organisation ou à l'organisation (par exemple, un compte d'administrateur CloudTrail délégué est enregistré ou supprimé).
1. (Facultatif) Dans la zone **Balises**, vous pouvez ajouter jusqu’à 50 paires clé-valeur de balise pour vous aider à identifier, trier et contrôler l’accès à votre magasin de données d’événement. Pour plus d'informations sur l'utilisation des politiques IAM pour autoriser l'accès à un magasin de données d'événement basé sur des identifications, consultez [Exemples : rejeter l'accès à la création ou à la suppression de magasins de données d'événement en fonction des identifications](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Pour plus d'informations sur la manière dont vous pouvez utiliser les balises AWS, consultez la section [AWS Ressources de balisage](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) dans le Guide de l'*utilisateur AWS des ressources de balisage*.
1. Choisissez **Suivant** pour configurer le magasin de données d’événement.
1. Sur la page **Choose events** (Choisir les événements), sélectionnez **Events from integrations** (Événements issus des intégrations).
1. Dans **Events from integration** (Événements issus des intégrations), sélectionnez la source pour transmettre les événements au stockage de données d'événement.
1. Fournissez un nom afin d'identifier le canal de l'intégration. Le nom doit comporter entre 3 et 128 caractères. Les noms peuvent contenir uniquement des lettres, des chiffres, des points, des tirets et des traits de soulignement.
1. Dans **Resource policy** (Politique de ressources), configurez la politique de ressources pour le canal de l'intégration. Les politiques de ressources sont des documents de politique JSON précisant les actions qu'un principal spécifié peut effectuer sur la ressource ainsi que les conditions dans lesquelles ces actions peuvent être effectuées. Les comptes définis comme principaux dans la politique de ressources peuvent appeler l'API `PutAuditEvents` pour transmettre des événements à votre canal. Le propriétaire de la ressource dispose d'un accès implicite à la ressource si sa politique IAM autorise l'action `cloudtrail-data:PutAuditEvents`.
Les informations requises pour la politique sont déterminées par le type d'intégration. Pour une intégration des directions, ajoute CloudTrail automatiquement le AWS compte IDs du partenaire et vous demande de saisir l'identifiant externe unique fourni par le partenaire. Pour une intégration de solution, vous devez spécifier au moins un identifiant de AWS compte comme identifiant principal, et vous pouvez éventuellement saisir un identifiant externe pour éviter toute confusion entre les adjoints.
**Note**
Si vous ne créez pas de politique de ressources pour le canal, seul son propriétaire peut appeler l’API `PutAuditEvents` sur celui-ci.
1. Pour une intégration directe, saisissez l'ID externe fourni par votre partenaire. Le partenaire d'intégration fournit un ID externe unique, tel qu'un ID de compte ou une chaîne générée aléatoirement, à utiliser pour l'intégration afin d'éviter tout problème d'adjoint confus. Le partenaire est responsable de la création et de la transmission d'un ID externe unique.
Vous pouvez sélectionner **How to find this?** (Comment trouver cela ?) pour consulter la documentation du partenaire expliquant comment trouver l'ID externe.
![\[Documentation du partenaire concernant l'ID externe\]](http://docs.aws.amazon.com/fr_fr/awscloudtrail/latest/userguide/images/integration-external-id.png)
**Note**
Si la politique de ressources inclut un ID externe, tous les appels à l'API `PutAuditEvents` doivent l'inclure. Cependant, si la politique ne définit pas d’ID externe, le partenaire peut appeler l’API `PutAuditEvents` et spécifier un paramètre `externalId`.
1. Pour une intégration de solution, choisissez **Ajouter un AWS compte** pour spécifier chaque ID de AWS compte à ajouter en tant que principal dans la politique.
1. Choisissez **Suivant** pour examiner vos préférences.
1. Sur la page **Review and create** (Vérifier et créer), examinez vos choix. Choisissez **Modifier (Edit)** pour apporter des modifications à la section. Lorsque vous êtes prêt à créer le magasin de données d’événement, choisissez **Créer un magasin de données d’événement**.
1. Le nouvel entrepôt de données d'événement est visible dans la table **Entrepôts de données d'événement** sur la page **Entrepôts de données d'événement**.
1. Fournissez l’Amazon Resource Name (ARN) du canal à l’application partenaire. Les instructions pour fournir l'ARN du canal à l'application partenaire se trouvent sur le site Web de documentation du partenaire. Afin d'obtenir davantage d'informations et ouvrir la page du partenaire dans AWS Marketplace, cliquez sur le lien **Learn more** (En savoir plus) pour le partenaire dans l'onglet **Available sources** (Sources disponibles) de la page **Integrations** (Intégrations).
Le magasin de données d'événements commence à intégrer les événements des partenaires CloudTrail via le canal de l'intégration lorsque vous, le partenaire ou les applications partenaires appelez l'`PutAuditEvents`API sur le canal.
# Mettre à jour un magasin de données d'événements avec la console
**Note**
AWS CloudTrail Lake ne sera plus ouvert aux nouveaux clients à compter du 31 mai 2026. Si vous souhaitez utiliser CloudTrail Lake, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour de plus amples informations, veuillez consulter [CloudTrail Modification de la disponibilité des lacs](cloudtrail-lake-service-availability-change.md).
Cette section décrit comment mettre à jour les paramètres d’un magasin de données d’événement à l’aide de l’ AWS Management Console. Pour plus d'informations sur la mise à jour d'une banque de données d'événements à l'aide du AWS CLI, voir[Mettez à jour un magasin de données d'événements avec le AWS CLI](lake-cli-update-eds.md).
**Pour mettre à jour un magasin de données d’événement**
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le panneau de navigation, sous **Lake**, choisissez **Magasins de données d’événement**.
1. Choisissez le magasin de données d’événement que vous voulez mettre à jour. Cette action ouvre la page contenant les détails du magasin de données d’événement.
1. Dans **Renseignements généraux**, choisissez **Modifier** pour modifier les paramètres suivants :
+ **Nom du magasin de données d’événement** : modifiez le nom qui identifie votre magasin de données d’événement.
+ **[Option de tarification](cloudtrail-lake-concepts.md#eds-pricing-tier)** : pour les magasins de données d’événement utilisant l’option de **tarification de rétention sur sept ans**, vous pouvez choisir d’utiliser plutôt une **tarification de rétention extensible d’un an**. Nous recommandons une tarification de rétention extensible d’un an pour les magasins de données d’événement qui ingèrent moins de 25 To de données d’événements par mois. Nous recommandons également une tarification de rétention extensible d’un an si vous recherchez une période de rétention flexible allant jusqu’à 10 ans. Pour plus d’informations, veuillez consulter [Tarification d’AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) et [Gestion des coûts CloudTrail du lac](cloudtrail-lake-manage-costs.md).
**Note**
Vous ne pouvez pas modifier l’option de tarification pour les magasins de données d’événement qui utilisent **une tarification de rétention extensible d’un an**. Si vous souhaitez utiliser la **tarification de rétention sur sept ans**, [arrêtez l’ingestion](query-eds-stop-ingestion.md) dans votre magasin de données d’événement actuel. Créez ensuite un nouveau magasin de données d’événement avec l’option de **tarification de rétention sur sept ans**.
+ **Période de conservation** : modifiez la période de conservation du magasin de données d’événement. La période de conservation détermine la durée pendant laquelle les données d’événement sont conservées dans le magasin de données d’événement. Les périodes de conservation peuvent être comprises entre 7 jours et 3 653 jours (environ 10 ans) pour l’option de **tarification de rétention extensible d’un an**, ou entre 7 jours et 2 557 jours (environ sept ans) pour l’option de **tarification de rétention sur sept ans.**
**Note**
Si vous réduisez la période de conservation d'une banque de données d'événements, vous CloudTrail supprimerez tous les événements dont la période de conservation est `eventTime` antérieure à la nouvelle. Par exemple, si la période de conservation précédente était de 365 jours et que vous la réduisez à 100 jours, les événements datant de `eventTime` plus de 100 jours CloudTrail seront supprimés.
+ **Chiffrement** : pour chiffrer votre magasin de données d’événement à l’aide de votre propre clé KMS, choisissez **Utiliser ma propre AWS KMS key**. Par défaut, tous les événements d'un magasin de données d'événements sont chiffrés par CloudTrail. L'utilisation de votre propre clé KMS entraîne des AWS KMS coûts de chiffrement et de déchiffrement.
**Note**
Une fois que vous avez associé un magasin de données d’événement à une clé KMS, celle-ci ne peut être ni supprimée ni modifiée.
+ Pour n’inclure que les événements journalisés dans l’ Région AWS actuelle, sélectionnez **Inclure uniquement la région actuelle dans mon magasin de données d’événement**. Si vous ne choisissez pas cette option, votre magasin de données d’événement inclura des événements de toutes les régions.
+ Pour que votre banque de données d'événements collecte les événements de tous les comptes d'une AWS Organizations organisation, choisissez **Activer pour tous les comptes de mon organisation**. Cette option n'est disponible que si vous êtes connecté avec le compte de gestion de votre organisation et que le **type d'événement** pour le magasin de données d'**CloudTrailévénements est événements** ou **éléments de configuration**.
Lorsque vous avez terminé, sélectionnez **Enregistrer les modifications**.
1. Dans **Fédération de requêtes Lake**, choisissez **Modifier** pour activer ou désactiver la fédération de requêtes Lake. L'[activation de la fédération de requêtes Lake](query-enable-federation.md) vous permet de consulter les métadonnées de votre banque de données d'événements dans le [catalogue de AWS Glue données](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) et d'exécuter des requêtes SQL sur les données d'événements à l'aide d'Amazon Athena. [La désactivation de la fédération de requêtes Lake](query-disable-federation.md) désactive l'intégration avec AWS Glue AWS Lake Formation, et Amazon Athena. Après avoir désactivé la fédération de requêtes Lake, vous ne pouvez plus interroger vos données dans Athena. Aucune donnée de CloudTrail Lake n'est supprimée lorsque vous désactivez la fédération et vous pouvez continuer à exécuter des requêtes dans CloudTrail Lake.
Pour activer la fédération, procédez comme suit :
1. Sélectionnez **Activer**.
1. Choisissez de créer un nouveau rôle IAM ou d’utiliser un rôle IAM existant. Lorsque vous créez un nouveau rôle, il en crée CloudTrail automatiquement un avec les autorisations requises. Si vous utilisez un rôle existant, assurez-vous que la politique du rôle fournit les [autorisations minimales requises](query-federation.md#query-federation-permissions-role).
1. Si vous créez un nouveau rôle IAM, saisissez un nom pour identifier le rôle.
1. Si vous choisissez un rôle IAM existant, choisissez le rôle que vous souhaitez utiliser. Le rôle doit exister dans votre compte.
Lorsque vous avez terminé, choisissez **Enregistrer les modifications**.
1. Dans **Politique de ressources**, choisissez **Modifier** pour ajouter ou réviser la politique basée sur les ressources pour le magasin de données d'événements.
Les stratégies basées sur les ressources vous permettent de contrôler quels principaux peuvent effectuer des actions sur votre stockage de données d’événements. Par exemple, vous pouvez ajouter une politique basée sur les ressources qui permet aux utilisateurs root d'autres comptes d'interroger cette banque de données d'événements et d'afficher les résultats de la requête. Pour obtenir des exemples de politiques, consultez [Exemples de politiques basées sur les ressources pour les magasins de données d'événements](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Une politique basée sur les ressources inclut une ou plusieurs instructions. Chaque déclaration de la politique définit [les principaux auxquels](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) l'accès est autorisé ou refusé au magasin de données d'événements et les actions que les principaux peuvent effectuer sur la ressource du magasin de données d'événements.
Les actions suivantes sont prises en charge dans les politiques basées sur les ressources pour les magasins de données d'événements :
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Pour les [magasins de données d'événements d'organisation](cloudtrail-lake-organizations.md), CloudTrail crée une [politique par défaut basée sur les ressources](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) qui répertorie les actions que les comptes d'administrateur délégué sont autorisés à effectuer sur les magasins de données d'événements de l'organisation. Les autorisations de cette politique sont dérivées des autorisations d'administrateur déléguées dans AWS Organizations. Cette politique est mise à jour automatiquement à la suite de modifications apportées au magasin de données d'événements de l'organisation ou à l'organisation (par exemple, un compte d'administrateur CloudTrail délégué est enregistré ou supprimé).
1. Modifiez tous les paramètres supplémentaires spécifiques au **type d'événement de votre banque de données d'événements**.
**Réglages pour les CloudTrail événements**
+ Pour modifier les événements que vos données d'événements enregistrent, choisissez **Modifier** dans les **CloudTrail événements**.
+ Dans **Événements de gestion**, choisissez **Modifier** pour modifier les paramètres des événements de gestion. Pour de plus amples informations, veuillez consulter [Mise à jour des paramètres de gestion des événements pour une banque de données d'événements existante](logging-management-events-with-cloudtrail.md#logging-management-events-with-the-cloudtrail-console-eds).
+ Dans **Événements de données**, choisissez **Modifier** pour modifier les paramètres des événements de données. Vous pouvez choisir les types de ressources que vous souhaitez enregistrer et le modèle de sélecteur de journal que vous souhaitez utiliser. Pour de plus amples informations, veuillez consulter [Mettre à jour un magasin de données d'événements existant pour consigner les événements de données à l'aide de la console](logging-data-events-with-cloudtrail.md#logging-data-events-with-the-cloudtrail-console-eds).
+ Dans **Événements d'activité réseau**, choisissez **Modifier pour modifier** les paramètres des événements d'activité réseau. Vous pouvez choisir le type d'événement d'activité réseau que vous souhaitez enregistrer et le modèle de sélecteur de journal que vous souhaitez utiliser. Pour de plus amples informations, veuillez consulter [Mettre à jour un magasin de données d'événements existant pour enregistrer les événements liés à l'activité du réseau](logging-network-events-with-cloudtrail.md#log-network-events-lake-console).
+ Dans **Enrichir les événements, augmentez la taille de l'événement**, choisissez **Modifier** pour ajouter ou supprimer des balises de ressources et des clés de condition globales IAM, puis augmentez la taille de l'événement.
Dans **Enrich events**, ajoutez jusqu'à 50 clés de balise de ressource et 50 clés de condition globales IAM pour fournir des métadonnées supplémentaires sur vos événements. Cela vous permet de classer et de regrouper les événements connexes.
Si vous ajoutez des clés de balise de ressource, les clés de balise sélectionnées associées aux ressources impliquées dans l'appel d'API CloudTrail seront incluses. Les événements d'API liés aux ressources supprimées ne comporteront pas de balises de ressources.
Si vous ajoutez des clés de condition globales IAM, elles CloudTrail incluront des informations sur les clés de condition sélectionnées qui ont été évaluées au cours du processus d'autorisation, y compris des détails supplémentaires sur le principal, la session, le réseau et la demande elle-même.
Les informations relatives aux clés de balise de ressource et aux clés de condition globales IAM sont affichées dans le `eventContext` champ de l'événement. Pour de plus amples informations, veuillez consulter [Enrichissez les CloudTrail événements en ajoutant des clés de balise de ressource et des clés de condition globales IAM](cloudtrail-context-events.md).
**Note**
Si un événement contient une ressource qui n'appartient pas à la région de l'événement, les balises ne CloudTrail seront pas renseignées pour cette ressource car la récupération des balises est limitée à la région de l'événement.
Choisissez **Augmenter la taille de l'événement** pour augmenter la charge utile de l'événement jusqu'à 1 Mo au lieu de 256 Ko. Cette option est automatiquement activée lorsque vous ajoutez des clés de balise de ressource ou des clés de condition globales IAM afin de garantir que toutes les clés ajoutées sont incluses dans l'événement.
L'augmentation de la taille des événements est utile pour analyser et résoudre les problèmes, car elle vous permet de voir le contenu complet des champs suivants tant que la charge utile de l'événement est inférieure à 1 Mo :
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
Pour plus d'informations sur ces champs, consultez la section [Contenu des CloudTrail enregistrements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
Lorsque vous avez terminé, sélectionnez **Enregistrer les modifications**.
**Paramètres des événements issus de l'intégration**
Dans **Intégrations**, choisissez votre intégration. Puis choisissez **Modifier** pour modifier les paramètres suivants :
+ Dans **Détails de l’intégration**, modifiez le nom qui identifie le canal de votre intégration.
+ Dans **Emplacement de réception des événements**, choisissez la destination de vos événements.
+ Dans **Politique de ressources**, configurez la politique de ressources pour le canal de l’intégration.
Lorsque vous avez terminé, sélectionnez **Enregistrer les modifications**.
Pour plus d’informations sur ces paramètres, consultez la page [Créez une intégration avec un CloudTrail partenaire à l'aide de la console](query-event-data-store-integration-partner.md).
1. Pour ajouter, modifier ou supprimer des balises, choisissez **Modifier** dans **Balises**. Vous pouvez ajouter jusqu’à 50 paires clé-valeur de balise pour vous aider à identifier, trier et contrôler l’accès à votre magasin de données d’événement. Lorsque vous avez terminé, sélectionnez **Enregistrer les modifications**.
# Arrêter et démarrer l'ingestion d'événements avec la console
**Note**
AWS CloudTrail Lake ne sera plus ouvert aux nouveaux clients à compter du 31 mai 2026. Si vous souhaitez utiliser CloudTrail Lake, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour de plus amples informations, veuillez consulter [CloudTrail Modification de la disponibilité des lacs](cloudtrail-lake-service-availability-change.md).
Par défaut, les magasins de données d’événement sont configurés pour ingérer des événements. Vous pouvez empêcher un magasin de données d'événements d'ingérer des événements à l'aide de la console AWS CLI, ou APIs.
Les options permettant de **démarrer l'ingestion** et d'**arrêter l'ingestion** ne sont disponibles que sur les magasins de données d' CloudTrail événements contenant soit des événements (événements de gestion, événements de données et événements d'activité réseau), soit des éléments AWS Config de configuration.
Lorsque vous arrêtez l'ingestion sur un entrepôt de données d'événement, l'état de l'entrepôt de données d'événement passe à `STOPPED_INGESTION`. Vous pouvez toujours exécuter des requêtes sur des événements déjà présents dans l'entrepôt de données d'événement. Vous pouvez également copier les événements de suivi dans le magasin de données d'événements (s'il ne contient que CloudTrail des événements).
**Pour arrêter l'ingestion d'événements par un entrepôt de données d'événements**
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le panneau de navigation, sous **Lake**, choisissez **Entrepôts de données d'événement**.
1. Choisissez le magasin de données d’événement.
1. Dans **Actions**, choisissez **Arrêter l'ingestion**.
1. Lorsque vous êtes invité à confirmer, choisissez **Oui**. L'entrepôt de données d'événement cessera d'ingérer les événements en direct.
1. Pour reprendre l’ingestion, sélectionnez **Démarrer l’ingestion**.
**Pour redémarrer l’ingestion d’événements**
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le panneau de navigation, sous **Lake**, choisissez **Entrepôts de données d'événement**.
1. Choisissez le magasin de données d’événement.
1. Dans **Actions**, choisissez **Arrêter l’ingestion**.
# Modifier la protection contre le licenciement à l'aide de la console
**Note**
AWS CloudTrail Lake ne sera plus ouvert aux nouveaux clients à compter du 31 mai 2026. Si vous souhaitez utiliser CloudTrail Lake, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour de plus amples informations, veuillez consulter [CloudTrail Modification de la disponibilité des lacs](cloudtrail-lake-service-availability-change.md).
Par défaut, les magasins de données d'événements de AWS CloudTrail Lake sont configurés avec la protection de terminaison activée. La protection contre la résiliation empêche la suppression accidentelle d’un magasin de données d’événement. Si vous souhaitez supprimer le magasin de données d’événement, vous devez désactiver la protection contre la résiliation. Vous pouvez désactiver la protection contre les résiliations à l'aide des opérations AWS Management Console AWS CLI, ou de l'API.
**Pour désactiver la protection contre la résiliation**
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le panneau de navigation, sous **Lake**, choisissez **Entrepôts de données d'événement**.
1. Choisissez le magasin de données d’événement.
1. Choisissez **Actions**, puis **Changer la protection contre la résiliation**.
1. Choisissez **Désactiver**.
1. Choisissez **Enregistrer**. Vous pouvez désormais [supprimer le magasin de données d'événements](query-event-data-store-delete.md).
**Pour activer la protection contre la résiliation**
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le panneau de navigation, sous **Lake**, choisissez **Entrepôts de données d'événement**.
1. Choisissez le magasin de données d’événement.
1. Choisissez **Actions**, puis **Changer la protection contre la résiliation**.
1. Pour activer la protection contre la résiliation, choisissez **Activé**.
1. Choisissez **Enregistrer**.
# Supprimer un magasin de données d'événements à l'aide de la console
**Note**
AWS CloudTrail Lake ne sera plus ouvert aux nouveaux clients à compter du 31 mai 2026. Si vous souhaitez utiliser CloudTrail Lake, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour de plus amples informations, veuillez consulter [CloudTrail Modification de la disponibilité des lacs](cloudtrail-lake-service-availability-change.md).
Cette section décrit comment supprimer un magasin de données d’événement à l’aide de la console CloudTrail. Pour plus d'informations sur la suppression d'une banque de données d'événements à l'aide du AWS CLI, voir[Supprimer un magasin de données d'événements à l'aide du AWS CLI](lake-cli-delete-eds.md).
**Note**
Vous ne pouvez pas supprimer un magasin de données d’événement si [la protection contre la résiliation](query-eds-termination-protection.md) ou la [fédération de requêtes Lake](query-enable-federation.md) sont activées. CloudTrail Active par défaut la protection contre les interruptions pour empêcher la suppression accidentelle d'un magasin de données d'événements.
Pour supprimer un magasin de données d’événement dont le type d’événement est **Événements issus de l’intégration** vous devez d’abord supprimer le canal de l’intégration. Vous pouvez supprimer le canal depuis la page de détails de l’intégration ou à l’aide de la commande **aws cloudtrail delete-channel**. Pour de plus amples informations, veuillez consulter la page [Supprimer une chaîne pour supprimer une intégration avec AWS CLI](lake-cli-delete-integration.md).
**Supprimer un magasin de données d’événement**
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le panneau de navigation, sous **Lake**, choisissez **Entrepôts de données d'événement**.
1. Choisissez le magasin de données d’événement.
1. Dans **Actions**, choisissez **Supprimer**.
1. Entrez le nom du magasin de données d’événement pour confirmer que vous souhaitez le supprimer.
1. Sélectionnez **Delete (Supprimer)**.
Une fois que vous avez supprimé un magasin de données d’événement, l’état du magasin de données d’événement passe à `PENDING_DELETION` et reste dans cet état pendant 7 jours. Vous pouvez [restaurer](query-eds-restore.md) un magasin de données d’événement au cours de la période d’attente de sept jours. Lorsqu’il a l’état `PENDING_DELETION`, un magasin de données d’événement n’est pas disponible pour les requêtes et aucune autre opération ne peut être effectuée sur le magasin de données d’événement, sauf les opérations de restauration. Un magasin de données d’événement en attente de suppression n’ingère pas d’événement et n’entraîne pas de coûts. Les magasins de données d'événements en attente de suppression sont pris en compte dans le quota de magasins de données d'événements qui peuvent exister dans un seul Région AWS.
# Restaurer un magasin de données d'événements à l'aide de la console
**Note**
AWS CloudTrail Lake ne sera plus ouvert aux nouveaux clients à compter du 31 mai 2026. Si vous souhaitez utiliser CloudTrail Lake, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour de plus amples informations, veuillez consulter [CloudTrail Modification de la disponibilité des lacs](cloudtrail-lake-service-availability-change.md).
Une fois que vous avez supprimé un magasin de données d'événements dans AWS CloudTrail Lake, son statut change `PENDING_DELETION` et reste dans cet état pendant 7 jours. Pendant ce temps, vous pouvez restaurer le magasin de données d'événements à l'aide de l'opération AWS Management Console AWS CLI, ou de l'[https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RestoreEventDataStore.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RestoreEventDataStore.html)API.
Cette section décrit comment restaurer un magasin de données d’événement à l’aide de la console. Pour plus d'informations sur la restauration d'une banque de données d'événements à l'aide du AWS CLI, voir[Restaurez une banque de données d'événements à l'aide du AWS CLI](lake-cli-manage-eds.md#lake-cli-restore-eds).
**Pour restaurer un magasin de données d’événement**
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le panneau de navigation, sous **Lake**, choisissez **Entrepôts de données d'événement**.
1. Choisissez le magasin de données d’événement.
1. Depuis **Actions**, choisissez **Restaurer**.
# Exportation de données depuis CloudTrail Lake Event Data Store vers CloudWatch
**Note**
AWS CloudTrail Lake ne sera plus ouvert aux nouveaux clients à compter du 31 mai 2026. Si vous souhaitez utiliser CloudTrail Lake, inscrivez-vous avant cette date. Les clients existants peuvent continuer à utiliser le service normalement. Pour de plus amples informations, veuillez consulter [CloudTrail Modification de la disponibilité des lacs](cloudtrail-lake-service-availability-change.md).
La mise à disposition des données du CloudTrail lac CloudWatch présente plusieurs avantages :
+ **Gestion centralisée des journaux** : combinez CloudTrail les événements avec les journaux des applications, les journaux d'infrastructure et d'autres sources de données CloudWatch.
+ **Intégration simplifiée** - CloudWatch gère le processus d'importation en quelques étapes seulement - spécifiez le magasin de données des événements et la plage de données.
+ **Accès aux données historiques** - Importez les données historiques CloudTrail du lac pour analyser les événements passés ainsi que les données opérationnelles actuelles.
+ **Aucun CloudTrail coût supplémentaire** - L'importation simplifiée des données CloudTrail du lac est disponible sans CloudTrail frais supplémentaires. Cependant, vous devrez payer des CloudWatch frais si la tarification des journaux personnalisés Infrequent Access est appliquée.
Cette section décrit comment exporter des données depuis un magasin de données d'événements à l'aide de la CloudTrail console. [Pour plus d'informations sur la manière d'effectuer cette opération via le SDK ou consultez AWS CLI la documentation CloudWatch ](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/)
**Pour exporter des données depuis un magasin de données d'événements**
1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. Dans le panneau de navigation, sous **Lake**, choisissez **Entrepôts de données d'événement**.
1. Choisissez le magasin de données d’événement.
1. Dans **Actions**, sélectionnez **Exporter vers CloudWatch**.
1. Choisissez la plage de temps pour exporter les données pour l'EDS.
1. Suivez les instructions pour créer ou fournir un rôle IAM qui CloudTrail vous permettra d'accéder à vos données à des fins d'exportation.
1. Cliquez sur **Exporter**.
Lorsque vous rendez les données CloudTrail Lake disponibles pour exportation vers CloudWatch, tenez compte des points suivants :
+ **Tarification** - Bien que l'exportation simplifiée des données CloudTrail Lake soit disponible sans CloudTrail frais supplémentaires, vous devez payer des CloudWatch frais basés sur la tarification personnalisée des journaux
+ **Conservation des données** - Assurez-vous que la période de conservation de votre banque de données événementielles CloudTrail Lake couvre les données historiques que vous souhaitez exporter
+ **Disponibilité régionale** - Consultez la CloudWatch documentation pour connaître les AWS régions prises en charge pour cette fonctionnalité
+ **Accès au magasin de données d'événements** - Vous devez avoir accès au magasin de données d'événements à partir duquel les données seront exportées.