Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Journalisation et surveillance dans AWS Control Tower
La surveillance vous permet de planifier et d'intervenir en cas d'incidents potentiels. Les résultats des activités de surveillance sont enregistrés dans des fichiers journaux. Par conséquent, la journalisation et la surveillance sont des concepts étroitement liés, et ils jouent un rôle important dans la nature bien architecturée d'AWS Control Tower.
Lorsque vous configurez votre zone de landing zone, l'un des comptes partagés créés est le compte d'*archivage des journaux*. Il est dédié à la collecte centralisée de tous les journaux, y compris les journaux de tous vos comptes partagés et membres. Les fichiers journaux sont stockés dans un compartiment Amazon S3. Ces fichiers journaux permettent aux administrateurs et aux auditeurs d'examiner les actions et les événements qui se sont produits.
La meilleure pratique consiste à collecter les données de surveillance de toutes les parties de votre AWS configuration dans vos journaux, afin de pouvoir corriger plus facilement une panne multipoint le cas échéant. AWS fournit plusieurs outils pour surveiller vos ressources et votre activité dans votre zone d'atterrissage.
Par exemple, l'état de vos commandes est surveillé en permanence. Vous pouvez voir leur statut en un coup d'œil dans la console AWS Control Tower ou par programmation via [l'AWS Control](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html) Tower. APIs L'état et l'état des comptes que vous avez provisionnés dans Account Factory sont également surveillés en permanence.
**Afficher les actions enregistrées depuis la page Activités**
Dans la console AWS Control Tower, la page **Activités** fournit une vue d'ensemble des actions du compte de gestion AWS Control Tower. Pour accéder à la page des **activités** d'AWS Control Tower, sélectionnez **Activities** dans le menu de navigation de gauche.
Les activités affichées sur la page **Activités** sont les mêmes que celles signalées dans le journal AWS CloudTrail des événements d'AWS Control Tower, mais elles sont présentées sous forme de tableau. Pour plus d'informations sur une activité spécifique, sélectionnez l'activité dans le tableau, puis choisissez **View details (Afficher les détails)**.
Vous pouvez consulter les actions et les événements liés aux comptes des membres dans les fichiers d'archives du journal.
Les sections suivantes décrivent plus en détail la surveillance et la journalisation dans AWS Control Tower :
**Rubriques**
+ [Outils intégrés pour la surveillance](monitoring-overview.md)
+ [Journalisation des actions d'AWS Control Tower avec AWS CloudTrail](logging-using-cloudtrail.md)
+ [Événements liés au cycle de vie dans AWS Control Tower](lifecycle-events.md)
+ [Utilisation des notifications AWS utilisateur avec AWS Control Tower](using-user-notifications.md)
# À propos de la connexion à AWS Control Tower
AWS Control Tower enregistre automatiquement les actions et les événements, grâce à son intégration avec AWS CloudTrail et AWS Config, et les CloudWatch enregistre. Toutes les actions sont enregistrées, y compris les actions depuis le compte de gestion AWS Control Tower et depuis les comptes des membres de votre organisation. Les actions et les événements du compte de gestion sont consultables sur la page **Activités** de la console. Vous pouvez consulter les actions et les événements liés aux comptes des membres dans les fichiers d'archives du journal.
**Sentiers au niveau de l'organisation**
AWS Control Tower définit un nouveau CloudTrail parcours lorsque vous configurez une zone d'atterrissage. Il s'agit d'un *suivi au niveau de l'organisation*, ce qui signifie qu'il enregistre tous les événements relatifs au compte de gestion et à tous les comptes des membres de l'organisation. Cette fonctionnalité repose sur *un accès fiable* pour autoriser le compte de gestion à créer une trace sur chaque compte membre.
Pour plus d'informations sur AWS Control Tower et les parcours d' CloudTrail organisation, consultez la section [Création d'un parcours pour une organisation](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-trail-organization.html).
**Note**
Dans les versions d'AWS Control Tower antérieures à la version 3.0 de landing zone, AWS Control Tower créait un historique de compte de membre dans chaque compte. Lorsque vous effectuez une mise à jour vers la version 3.0, votre CloudTrail parcours devient un parcours d'organisation. Pour connaître les meilleures pratiques en matière de déplacement entre les sentiers, consultez la section [Meilleures pratiques pour changer de sentier](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-trail-organization.html#creating-an-organizational-trail-best-practice) dans le *guide de CloudTrail l'utilisateur*.
Lorsque vous créez un compte dans AWS Control Tower, celui-ci est régi par le AWS CloudTrail parcours de l'organisation AWS Control Tower. Si vous avez déjà déployé un CloudTrail essai sur ce compte, des frais supplémentaires peuvent être facturés, sauf si vous supprimez le journal existant pour le compte avant de l'inscrire dans AWS Control Tower.
**Note**
Lorsque vous passez à la version 3.0 de landing zone, AWS Control Tower supprime les traces au niveau du compte (créées par AWS Control Tower) dans vos comptes inscrits en votre nom. Vos fichiers journaux existants au niveau du compte sont conservés dans leur compartiment Amazon S3.
# Politique relative au compartiment Amazon S3 dans le compte d'audit
Dans AWS Control Tower, les AWS services ont accès à vos ressources uniquement lorsque la demande provient de votre organisation ou unité organisationnelle (UO). Une `aws:SourceOrgID` condition doit être remplie pour toute autorisation d'écriture.
Vous pouvez utiliser la clé de `aws:SourceOrgID` condition et définir la valeur en fonction de **l'ID de votre organisation** dans l'élément condition de votre politique de compartiment Amazon S3. Cette condition garantit que CloudTrail seuls les journaux peuvent être écrits pour le compte de comptes au sein de votre organisation dans votre compartiment S3 ; elle empêche CloudTrail les journaux extérieurs à votre organisation d'écrire dans votre compartiment AWS Control Tower S3.
Cette politique n'affecte pas la fonctionnalité de vos charges de travail existantes. La politique est illustrée dans l'exemple suivant.
```
S3AuditBucketPolicy:
Type: AWS::S3::BucketPolicy
Properties:
Bucket: !Ref S3AuditBucket
PolicyDocument:
Version: 2012-10-17
Statement:
- Sid: AllowSSLRequestsOnly
Effect: Deny
Principal: '*'
Action: s3:*
Resource:
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}"
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/*"
Condition:
Bool:
aws:SecureTransport: false
- Sid: AWSBucketPermissionsCheck
Effect: Allow
Principal:
Service:
- cloudtrail.amazonaws.com
- config.amazonaws.com
Action: s3:GetBucketAcl
Resource:
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}"
- Sid: AWSConfigBucketExistenceCheck
Effect: Allow
Principal:
Service:
- cloudtrail.amazonaws.com
- config.amazonaws.com
Action: s3:ListBucket
Resource:
- !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}"
- Sid: AWSBucketDeliveryForConfig
Effect: Allow
Principal:
Service:
- config.amazonaws.com
Action: s3:PutObject
Resource:
- Fn::Join:
- ""
-
- !Sub "arn:${AWS::Partition}:s3:::"
- !Ref "S3AuditBucket"
- !Sub "/${AWSLogsS3KeyPrefix}/AWSLogs/*/*"
Condition:
StringEquals:
aws:SourceOrgID: !Ref OrganizationId
- Sid: AWSBucketDeliveryForOrganizationTrail
Effect: Allow
Principal:
Service:
- cloudtrail.amazonaws.com
Action: s3:PutObject
Resource: !If [IsAccountLevelBucketPermissionRequiredForCloudTrail,
[!Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/${Namespace}/*", !Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/${OrganizationId}/*"],
!Sub "arn:${AWS::Partition}:s3:::${S3AuditBucket}/${AWSLogsS3KeyPrefix}/AWSLogs/*/*"]
Condition:
StringEquals:
aws:SourceOrgID: !Ref OrganizationId
```
Pour plus d'informations sur cette clé de condition, consultez la documentation IAM et le billet de blog IAM intitulé « *Utiliser des contrôles évolutifs pour les AWS services accédant à vos ressources* ».
# Outils intégrés pour la surveillance
La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances d'AWS Control Tower et de vos autres AWS solutions. AWS fournit les outils de surveillance suivants pour surveiller AWS Control Tower, signaler un problème et prendre des mesures automatiques le cas échéant :
+ *Amazon CloudWatch* surveille vos AWS ressources et les applications que vous utilisez AWS en temps réel. Vous pouvez collecter et suivre les métriques, créer des tableaux de bord personnalisés, et définir des alarmes qui vous informent ou prennent des mesures lorsqu’une métrique spécifique atteint un seuil que vous spécifiez. Par exemple, vous pouvez CloudWatch suivre l'utilisation du processeur ou d'autres indicateurs de vos EC2 instances Amazon et lancer automatiquement de nouvelles instances en cas de besoin. Pour plus d'informations, consultez le [guide de CloudWatch l'utilisateur Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ *Amazon CloudWatch Events* fournit un flux en temps quasi réel d'événements système décrivant les modifications apportées aux AWS ressources. CloudWatch Les événements permettent une informatique automatisée axée sur les événements, car vous pouvez rédiger des règles qui surveillent certains événements et déclenchent des actions automatisées dans d'autres AWS services lorsque ces événements se produisent. Pour plus d'informations, consultez le [guide de l'utilisateur d'Amazon CloudWatch Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/).
+ *Amazon CloudWatch Logs* vous permet de surveiller, de stocker et d'accéder à vos fichiers journaux à partir d' EC2 instances Amazon et d'autres sources. CloudTrail CloudWatch Les journaux peuvent surveiller les informations contenues dans les fichiers journaux et vous avertir lorsque certains seuils sont atteints. Vous pouvez également archiver vos données de journaux dans une solution de stockage hautement durable. Pour plus d'informations, consultez le [guide de l'utilisateur d'Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/).
+ *AWS CloudTrail*capture les appels d'API et les événements associés effectués par ou pour le compte de votre AWS compte et envoie les fichiers journaux dans un compartiment Amazon S3 que vous spécifiez. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels.
**Conseil :** Vous pouvez consulter et interroger CloudTrail l'activité d'un compte via CloudWatch Logs and CloudWatch Logs Insights. Cette activité inclut les événements relatifs au cycle de vie d'AWS Control Tower. CloudWatch Les fonctionnalités des journaux vous permettent d'effectuer des requêtes plus granulaires et précises que ce que vous pourriez normalement faire avec. CloudTrail
Pour de plus amples informations, veuillez consulter [Journalisation des actions d'AWS Control Tower avec AWS CloudTrail](logging-using-cloudtrail.md).
# Journalisation des actions d'AWS Control Tower avec AWS CloudTrail
AWS Control Tower est intégré à AWS CloudTrail un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans AWS Control Tower. CloudTrail capture les actions pour AWS Control Tower sous forme d'événements. Si vous créez un suivi, vous pouvez activer la diffusion continue d' CloudTrail événements vers un compartiment Amazon S3, y compris des événements pour AWS Control Tower.
Si vous ne configurez pas de journal d'activité, vous pouvez toujours afficher les événements les plus récents dans la console CloudTrail dans **Historique des événements**. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande envoyée à AWS Control Tower, l'adresse IP à partir de laquelle la demande a été faite, l'auteur de la demande, la date à laquelle elle a été faite, ainsi que des informations supplémentaires.
Pour en savoir plus CloudTrail, notamment comment le configurer et l'activer, consultez le [guide de AWS CloudTrail l'utilisateur](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## Informations sur AWS Control Tower dans CloudTrail
CloudTrail est activé sur votre AWS compte lorsque vous le créez. Lorsqu'une activité événementielle prise en charge se produit dans AWS Control Tower, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans **l'historique** des événements. Vous pouvez consulter, rechercher et télécharger les événements récents dans votre AWS compte. Pour plus d'informations, consultez la section [Affichage des événements à l'aide de l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
**Note**
Dans les versions d'AWS Control Tower antérieures à la version 3.0 de landing zone, AWS Control Tower a créé un historique des comptes de membres. Lorsque vous effectuez une mise à jour vers la version 3.0, CloudTrail votre journal est mis à jour pour devenir un journal d'organisation. Pour connaître les meilleures pratiques en matière de déplacement entre les sentiers, voir [Création d'un parcours organisationnel](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-trail-organization.html#creating-an-organizational-trail-best-practice) dans le guide de CloudTrail l'utilisateur.
**Recommandé : créer un parcours**
Pour un enregistrement continu des événements de votre AWS compte, y compris les événements relatifs à AWS Control Tower, créez un historique. Un *suivi* permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un journal de suivi dans la console, il s’applique à toutes les régions AWS . Le journal enregistre les événements de toutes les régions de la AWS partition et transmet les fichiers journaux au compartiment Amazon S3 que vous spécifiez. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour plus d’informations, consultez les ressources suivantes :
+ [Vue d’ensemble de la création d’un journal d’activité](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [Préparez-vous à créer un sentier](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/creating-an-organizational-trail-prepare.html)
+ [Gérer CloudTrail les coûts](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-trail-manage-costs.html)
+ [CloudTrail Services et intégrations pris en charge](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuration des notifications Amazon SNS pour CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Réception de fichiers CloudTrail journaux de plusieurs régions](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) et [réception de fichiers CloudTrail journaux de plusieurs comptes](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
AWS Control Tower enregistre les actions suivantes sous forme d'événements dans des fichiers CloudTrail journaux :
**Publique APIs**
+ Pour obtenir une liste complète des entités publiques d'AWS Control Tower APIs et des informations détaillées sur chacune d'entre elles, consultez [The AWS Control Tower API Reference](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html). Les appels adressés à ces publics APIs sont enregistrés par AWS CloudTrail.
**Autres APIs**
+ `SetupLandingZone`
+ `UpdateAccountFactoryConfig`
+ `ManageOrganizationalUnit`
+ `CreateManagedAccount`
+ `GetLandingZoneStatus`
+ `GetHomeRegion`
+ `ListManagedAccounts`
+ `DescribeManagedAccount`
+ `DescribeAccountFactoryConfig`
+ `DescribeGuardrailForTarget`
+ `DescribeManagedOrganizationalUnit`
+ `ListEnabledGuardrails`
+ `ListGuardrailViolations`
+ `ListGuardrails`
+ `ListGuardrailsForTarget`
+ `ListManagedAccountsForGuardrail`
+ `ListManagedAccountsForParent`
+ `ListManagedOrganizationalUnits`
+ `ListManagedOrganizationalUnitsForGuardrail`
+ `GetGuardrailComplianceStatus`
+ `DescribeGuardrail`
+ `ListDirectoryGroups`
+ `DescribeSingleSignOn`
+ `DescribeCoreService`
+ `GetAvailableUpdates`
Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer les éléments suivants :
+ Si la demande a été faite avec les informations d'identification de l'utilisateur root ou Gestion des identités et des accès AWS (IAM).
+ Si la demande a été effectuée avec les informations d’identification de sécurité temporaires d’un rôle ou d’un utilisateur fédéré.
+ Si la demande a été faite par un autre AWS service.
+ Si la demande a été rejetée parce que l'accès a été refusé ou si elle a été traitée avec succès.
Pour plus d’informations, consultez la section [Élément userIdentity CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Exemple : entrées dans le fichier journal d'AWS Control Tower
Un suivi est une configuration qui permet de transmettre des événements sous forme de fichiers journaux à un compartiment Amazon S3 que vous spécifiez. CloudTrail les fichiers journaux contiennent une ou plusieurs entrées de journal. Un événement représente une demande unique provenant de n'importe quelle source et inclut des informations sur l'action demandée, la date et l'heure de l'action, les paramètres de la demande, etc. CloudTrail les événements n'apparaissent pas dans un ordre spécifique dans les fichiers journaux.
L'exemple suivant montre une entrée de CloudTrail journal qui montre la structure d'une entrée de fichier journal typique pour un événement `SetupLandingZone` AWS Control Tower, y compris un enregistrement de l'identité de l'utilisateur qui a initié l'action.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "AssumedRole",
"principalId": "AIDACKCEVSQ6C2EXAMPLE:backend-test-assume-role-session",
"arn": "arn:aws:sts::76543EXAMPLE;:assumed-role/AWSControlTowerTestAdmin/backend-test-assume-role-session",
"accountId": "76543EXAMPLE",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"sessionContext": {
"attributes": {
"mfaAuthenticated": "false",
"creationDate": "2018-11-20T19:36:11Z"
},
"sessionIssuer": {
"type": "Role",
"principalId": "AIDACKCEVSQ6C2EXAMPLE",
"arn": "arn:aws:iam::AKIAIOSFODNN7EXAMPLE:role/AWSControlTowerTestAdmin",
"accountId": "AIDACKCEVSQ6C2EXAMPLE",
"userName": "AWSControlTowerTestAdmin"
}
}
},
"eventTime": "2018-11-20T19:36:15Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "SetupLandingZone",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "Coral/Netty4",
"errorCode": "InvalidParametersException",
"errorMessage": "Home region EU_CENTRAL_1 is unsupported",
"requestParameters": {
"homeRegion": "EU_CENTRAL_1",
"logAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
"sharedServiceAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
"securityAccountEmail": "HIDDEN_DUE_TO_SECURITY_REASONS",
"securityNotificationEmail": "HIDDEN_DUE_TO_SECURITY_REASONS"
},
"responseElements": null,
"requestID": "96f47b68-ed5f-4268-931c-807cd1f89a96",
"eventID": "4ef5cf08-39e5-4fdf-9ea2-b07ced506851",
"eventType": "AwsApiCall",
"recipientAccountId": "76543EXAMPLE"
}
```
# Surveillez l'évolution des ressources avec AWS Config
AWS Control Tower active tous AWS Config les comptes inscrits, afin de pouvoir surveiller la conformité par le biais de contrôles de détection, d'enregistrer les modifications des ressources et de transmettre les journaux des modifications des ressources au compte d'archivage des journaux.
**Si la version de votre zone de landing zone est antérieure à la version 3.0** : pour vos comptes inscrits, AWS Config enregistre toutes les modifications apportées aux ressources, pour toutes les régions dans lesquelles le compte fonctionne. Chaque modification est modélisée sous la forme d'un élément de configuration (CI), qui contient des informations telles que l'identifiant de la ressource, la région, la date à laquelle chaque modification a été enregistrée et si la modification concerne une ressource connue ou une ressource récemment découverte.
**Si la version de votre zone de landing zone est 3.0 ou ultérieure** : AWS Control Tower limite l'enregistrement des ressources globales, telles que les utilisateurs, les groupes, les rôles et les politiques gérées par le client IAM, à votre région d'origine uniquement. Les copies des modifications des ressources globales ne sont pas stockées dans toutes les régions. Cette limitation de l'enregistrement des ressources est conforme aux AWS Config [meilleures pratiques](https://aws.amazon.com//blogs/mt/aws-config-best-practices/). Une [liste complète des ressources mondiales](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html) est disponible dans AWS Config la documentation.
+ Pour en savoir plus AWS Config, consultez la section [AWS Config Fonctionnement](https://docs.aws.amazon.com//config/latest/developerguide/how-does-config-work.html).
+ Pour obtenir la liste des ressources AWS Config pouvant être prises en charge, consultez la section [Types de ressources pris en charge](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html).
+ Pour savoir comment personnaliser le suivi des ressources dans l'environnement AWS Control Tower, consultez le billet de blog intitulé [Personnaliser le suivi AWS Config des ressources dans AWS Control Tower](https://aws.amazon.com/blogs//mt/customize-aws-config-resource-tracking-in-aws-control-tower-environment).
AWS Control Tower met en place un canal AWS Config de diffusion pour tous les comptes inscrits. Ce canal de diffusion enregistre toutes les modifications enregistrées par AWS Config le compte d'archivage des journaux, où elles sont stockées dans un dossier d'un bucket Amazon Simple Storage Service.
# Gérez AWS Config les coûts dans AWS Control Tower
Cette section décrit comment AWS Config enregistrer et facturer les modifications apportées aux ressources de vos comptes AWS Control Tower. Ces informations peuvent vous aider à comprendre comment gérer les coûts associés AWS Configà l'utilisation d'AWS Control Tower lorsque vous utilisez AWS Control Tower. AWS Control Tower n'entraîne aucun coût supplémentaire.
**Note**
**Si la version de votre zone de landing zone est 3.0 ou ultérieure** : AWS Control Tower limite AWS Config l'enregistrement des ressources globales, telles que les utilisateurs, les groupes, les rôles et les politiques gérées par le client IAM, à votre région d'origine uniquement. Par conséquent, certaines informations de cette section peuvent ne pas s'appliquer à votre zone d'atterrissage.
AWS Config est conçu pour enregistrer chaque modification apportée à chaque ressource, dans chaque région où un compte fonctionne, en tant qu'élément de configuration (CI). AWS Config vous facture chaque élément de configuration généré.
**Comment AWS Config fonctionne**
AWS Config enregistre les ressources dans chaque région, séparément. Certaines ressources mondiales, telles que les rôles IAM, sont enregistrées une fois par région. Par exemple, si vous créez un nouveau rôle IAM dans un compte inscrit qui fonctionne dans cinq régions, il en AWS Config génère cinq CIs, un pour chaque région. Les autres ressources mondiales, telles que les zones hébergées par Route 53, ne sont enregistrées qu'une seule fois dans toutes les régions. Par exemple, si vous créez une nouvelle zone hébergée Route 53 dans un compte inscrit, cela AWS Config génère un CI, quel que soit le nombre de régions sélectionnées pour ce compte. Pour obtenir une liste qui vous aide à distinguer ces types de ressources, consultez[La même ressource est enregistrée plusieurs fois](monitoring-with-config.md#duplicate-configuration-items).
**Note**
Lorsqu'AWS Control Tower fonctionne avec AWS Config, une région peut être gouvernée par AWS Control Tower, ou non gouvernée, et enregistre AWS Config toujours les modifications si le compte fonctionne dans cette région.
**AWS Config détecte deux types de relations dans les ressources**
AWS Config fait une distinction entre les relations *directes* et *indirectes* entre les ressources. Si une ressource est renvoyée lors de l'appel d'API **Describe** d'une autre ressource, ces ressources sont enregistrées en tant que relation directe. Lorsque vous modifiez une ressource dans le cadre d'une relation directe avec une autre ressource, AWS Config cela ne crée pas de CI pour les deux ressources.
Par exemple, si vous créez une instance Amazon EC2 et que l'API vous oblige à créer une interface réseau, AWS Config considérez que l'instance Amazon EC2 a une relation directe avec l'interface réseau. Par conséquent, ne AWS Config génère qu'un seul CI.
AWS Config enregistre les modifications distinctes pour les relations de ressources qui sont des relations *indirectes*. Par exemple, AWS Config génère deux CI si vous créez un groupe de sécurité et ajoutez une instance Amazon EC2 associée faisant partie du groupe de sécurité.
Pour plus d'informations sur les relations directes et indirectes, voir [Qu'est-ce qu'une relation directe et indirecte par rapport à une ressource ?](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-0)
Vous trouverez [une liste des relations entre les ressources](https://docs.aws.amazon.com//config/latest/developerguide/resource-config-reference.html) dans la AWS Config documentation.
## Afficher les données de l' AWS Config enregistreur sur les comptes inscrits
AWS Config est intégré CloudWatch afin que vous puissiez le visualiser AWS Config CIs dans un tableau de bord. Pour plus d'informations, consultez le billet de blog intitulé [AWS Config Supports Amazon CloudWatch Metrics](https://aws.amazon.com/about-aws/whats-new/2022/05/aws-config-supports-amazon-cloudwatch-metrics).
Par programmation, pour afficher les AWS Config données, vous pouvez utiliser la AWS CLI ou utiliser d'autres AWS outils.
### Interrogez les données de l' AWS Config enregistreur sur une ressource spécifique
Vous pouvez utiliser la AWS CLI pour récupérer la liste des modifications les plus récentes apportées à une ressource.
**Commande d'historique des ressources :**
+ `aws configservice get-resource-config-history --resource-type RESOURCE-TYPE --resource-id RESOURCE-ID --region REGION`
Pour en savoir plus, consultez [la documentation de l'API pour `get-config-history`](https://docs.aws.amazon.com//cli/latest/reference/configservice/get-resource-config-history.html).
### Visualisez AWS Config les données avec Quick
Vous pouvez visualiser et interroger les ressources enregistrées par AWS Config l'ensemble de votre organisation. Pour plus d'informations, consultez le tableau de [bord de conformité des ressources de configuration](https://catalog.workshops.aws/awscid/en-US/dashboards/additional/config-resource-compliance-dashboard) et la [visualisation AWS Config des données à l'aide d'Amazon Athena](https://aws.amazon.com/blogs/mt/visualizing-aws-config-data-using-amazon-athena-and-amazon-quicksight/) et de Quick.
## Résolution des problèmes AWS Config dans AWS Control Tower
Cette section fournit des informations sur certains problèmes que vous pouvez rencontrer lors de l'utilisation AWS Config d'AWS Control Tower.
### AWS Config Coûts élevés
Si votre flux de travail inclut des processus qui créent, mettent à jour ou suppriment fréquemment des ressources, ou s'il gère un grand nombre de ressources, ce flux de travail peut générer un grand nombre de CIs. Si vous exécutez ces processus dans un compte hors production, pensez à désinscrire le compte. Il se peut que vous deviez désactiver manuellement l' AWS Config enregistreur de ce compte.
**Note**
Une fois le compte désinscrit, AWS Control Tower ne peut pas appliquer de contrôles de détection ni enregistrer les événements du compte, tels que les AWS Config activités, pour les ressources de ce compte.
Pour plus d'informations, voir Annuler [la gestion d'un compte inscrit](https://docs.aws.amazon.com//controltower/latest/userguide/unmanage-account.html). Pour savoir comment désactiver l' AWS Config enregistreur, voir [Gestion de l'enregistreur de configuration](https://docs.aws.amazon.com//config/latest/developerguide/stop-start-recorder.html).
### La même ressource est enregistrée plusieurs fois
Vérifiez si la ressource est une [ressource globale](https://docs.aws.amazon.com//config/latest/developerguide/select-resources.html). Pour les zones d'atterrissage d'AWS Control Tower antérieures à la version 3.0, certaines ressources globales AWS Config peuvent être enregistrées une fois pour chaque région dans laquelle AWS Config elle opère. Par exemple, s'il AWS Config est activé dans huit régions, chaque rôle est enregistré huit fois.
**Les ressources suivantes sont enregistrées une fois pour chaque région dans laquelle AWS Config elle opère :**
+ `AWS::IAM::Group`
+ `AWS::IAM::Policy`
+ `AWS::IAM::Role`
+ `AWS::IAM::User`
**Les autres ressources globales ne sont enregistrées qu'une seule fois. Voici quelques exemples de ressources enregistrées une seule fois :**
+ `AWS::Route53::HostedZone`
+ `AWS::Route53::HealthCheck`
+ `AWS::ECR::PublicRepository`
+ `AWS::GlobalAccelerator::Listener`
+ `AWS::GlobalAccelerator::EndpointGroup`
+ `AWS::GlobalAccelerator::Accelerator`
### AWS Config n'a pas enregistré de ressource
Certaines ressources ont des relations de dépendance avec d'autres ressources. Ces relations peuvent être *directes* ou *indirectes*. Vous trouverez une liste des relations indirectes déconseillées dans [la AWS Config](https://docs.aws.amazon.com//config/latest/developerguide/faq.html#faq-2) FAQ.
# Événements liés au cycle de vie dans AWS Control Tower
Certains événements enregistrés par AWS Control Tower sont des *événements du cycle de vie*. L'objectif d'un événement du cycle de vie est de marquer l'*achèvement* de certaines actions AWS Control Tower qui modifient l'état des ressources. Les événements du cycle de vie s'appliquent aux ressources créées ou gérées par AWS Control Tower, telles qu'une zone de landing zone, une ligne de base ou un contrôle, liées à une unité organisationnelle (UO) ou à un compte.
**Caractéristiques des événements liés au cycle de vie d'AWS Control Tower**
+ Pour chaque événement du cycle de vie, le journal des événements indique si l'action Control Tower d'origine s'est terminée avec succès ou a échoué.
+ AWS CloudTrail enregistre automatiquement chaque événement du cycle de vie en tant qu'événement de * AWS service non lié à l'API*. Pour plus d'informations, consultez [le guide de AWS CloudTrail l'utilisateur.](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/non-api-aws-service-events.html)
+ Chaque événement du cycle de vie est également transmis aux services Amazon EventBridge et Amazon CloudWatch Events. **Remarque :** pour recevoir les événements du cycle de vie EventBridge, vous devez disposer d'un suivi AWS CloudTrail actif avec journalisation activée. Pour plus d'informations sur les événements de AWS service fournis via AWS CloudTrail, consultez les [événements de service AWS diffusés via AWS CloudTrail](https://docs.aws.amazon.com//eventbridge/latest/userguide/eb-service-event-cloudtrail.html) dans le guide de EventBridge l'utilisateur Amazon.
**Les événements du cycle de vie dans AWS Control Tower offrent deux avantages principaux :**
+ Étant donné qu'un événement du cycle de vie enregistre la fin d'une action AWS Control Tower, vous pouvez créer une EventBridge règle Amazon ou une règle Amazon CloudWatch Events qui peut déclencher les étapes suivantes de votre flux de travail d'automatisation, en fonction de l'état de l'événement du cycle de vie.
+ Les journaux fournissent des détails supplémentaires pour aider les administrateurs et les auditeurs à examiner certains types d'activités dans vos organisations.
**Fonctionnement des événements de cycle de vie**
AWS Control Tower s'appuie sur plusieurs services pour mettre en œuvre ses actions. Par conséquent, chaque événement de cycle de vie est enregistré une fois qu'une série d'actions est terminée. Par exemple, lorsque vous activez un contrôle sur une unité d'organisation, AWS Control Tower lance une série de sous-étapes qui mettent en œuvre la demande. Le résultat final de l'ensemble de la série de sous-étapes est enregistré dans le journal comme état de l'événement de cycle de vie.
+ Si chaque sous-étape sous-jacente a abouti, l'état de l'événement de cycle de vie est enregistré comme **Succeeded (Réussite)**.
+ Si l'une des sous-étapes sous-jacentes n'a pas abouti, l'état de l'événement de cycle de vie est enregistré comme **Failed (Échec)**.
Chaque événement du cycle de vie inclut un horodatage enregistré qui indique le moment où l'action AWS Control Tower a été lancée, et un autre horodatage indiquant la fin de l'événement du cycle de vie, marquant le succès ou l'échec.
**Afficher les événements du cycle de vie dans Control Tower**
Vous pouvez consulter les événements du cycle de vie sur la page **Activités** de votre tableau de bord AWS Control Tower.
+ Pour accéder à la page **Activities (Activités)**, choisissez **Activities (Activités)** dans le panneau de navigation de gauche.
+ Pour obtenir de plus amples informations sur un événement spécifique, sélectionnez l'événement, puis cliquez sur le bouton **View details (Afficher les détails)** en haut à droite.
Pour plus d'informations sur la manière d'intégrer les événements du cycle de vie d'AWS Control Tower dans vos flux de travail, consultez ce billet de blog intitulé [Utiliser les événements du cycle de vie pour suivre les actions d'AWS Control Tower et déclencher des flux de travail automatisés](https://aws.amazon.com//blogs/mt/using-lifecycle-events-to-track-aws-control-tower-actions-and-trigger-automated-workflows/).
**Comportement attendu CreateManagedAccount et événements UpdateManagedAccount du cycle de vie**
Lorsque vous créez un compte ou que vous inscrivez un compte dans AWS Control Tower, ces deux actions appellent la même API interne. Si une erreur se produit au cours du processus, elle survient généralement après la création du compte, mais celui-ci n'est pas entièrement provisionné. Lorsque vous essayez à nouveau de créer le compte après l'erreur, ou lorsque vous essayez de mettre à jour le produit mis en service, AWS Control Tower constate que le compte existe déjà.
Comme le compte existe, AWS Control Tower enregistre l'événement du `UpdateManagedAccount` cycle de vie plutôt que l'événement du `CreateManagedAccount` cycle de vie à la fin de la demande de nouvelle tentative. Vous vous attendiez peut-être à un autre `CreateManagedAccount` événement à cause de cette erreur. Cependant, l'événement `UpdateManagedAccount` du cycle de vie correspond au comportement attendu et souhaité.
Si vous envisagez de créer ou d'inscrire des comptes dans AWS Control Tower à l'aide de méthodes automatisées, programmez la fonction Lambda **UpdateManagedAccount**pour rechercher les événements du cycle de vie **CreateManagedAccount**ainsi que les événements du cycle de vie.
**Noms de l'événement de cycle de vie**
Chaque événement du cycle de vie est nommé de manière à correspondre à l'action AWS Control Tower d'origine, qui est également enregistrée par AWS CloudTrail. Ainsi, par exemple, un événement du cycle de vie créé par l'`CreateManagedAccount` CloudTrail événement AWS Control Tower est nommé`CreateManagedAccount`.
Chaque nom de la liste qui suit constitue un lien vers un exemple de détail consigné au format `JSON`. Les informations supplémentaires présentées dans ces exemples sont extraites des journaux d' CloudWatch événements Amazon.
Bien que `JSON` ne prenne pas en charge les commentaires, certains commentaires ont été ajoutés dans les exemples à des fins explicatives. Les commentaires sont précédés de « // » et apparaissent à droite des exemples.
Dans ces exemples, certains noms de comptes et d'organisations sont masqués. Un `accountId` est toujours une séquence de 12 chiffres, qui a été remplacée par « xxxxxxxxxxxx » dans les exemples. Un `organizationalUnitID` est une chaîne unique de lettres et de chiffres. Sa forme est préservée dans les exemples.
+ [`CreateManagedAccount`](#create-managed-account): Le journal indique si AWS Control Tower a effectué avec succès toutes les actions nécessaires pour créer et approvisionner un nouveau compte à l'aide de Account Factory.
+ [`UpdateManagedAccount`](#update-managed-account): Le journal indique si AWS Control Tower a effectué avec succès toutes les actions de mise à jour d'un produit provisionné associé à un compte que vous aviez créé précédemment à l'aide de Account Factory.
+ [`EnableGuardrail`](#enable-control): Le journal indique si AWS Control Tower a effectué avec succès toutes les actions nécessaires pour activer un contrôle sur une unité d'organisation.
+ [`DisableGuardrail`](#disable-control): Le journal indique si AWS Control Tower a effectué avec succès toutes les actions visant à désactiver un contrôle sur une unité d'organisation.
+ [`SetupLandingZone`](#setup-landing-zone): Le journal indique si AWS Control Tower a effectué avec succès toutes les actions nécessaires pour configurer une zone de landing zone.
+ [`UpdateLandingZone`](#update-landing-zone): Le journal indique si AWS Control Tower a effectué avec succès toutes les actions nécessaires pour mettre à jour votre zone de landing zone existante.
+ [`RegisterOrganizationalUnit`](#register-organizational-unit): Le journal indique si AWS Control Tower a effectué avec succès toutes les actions nécessaires pour activer ses fonctionnalités de gouvernance sur une unité d'organisation.
+ [`DeregisterOrganizationalUnit`](#deregister-organizational-unit): Le journal indique si AWS Control Tower a effectué avec succès toutes les actions visant à désactiver ses fonctionnalités de gouvernance sur une unité d'organisation.
+ [`PrecheckOrganizationalUnit`](#precheck-organizational-unit): Le journal indique si AWS Control Tower a détecté une ressource susceptible d'empêcher le bon déroulement de l'opération de **gouvernance Extend**.
+ [`EnableBaseline`](#enable-baseline-lfc): Le journal indique si AWS Control Tower a effectué avec succès toutes les actions nécessaires pour activer une nouvelle base de référence sur le compte d'un membre cible dans le cadre d'une unité d'organisation. L'opération d'activation peut être lancée à l'aide de l'`EnableBaseline`API ou de la console.
+ [`ResetEnabledBaseline`](#reset-enabled-baseline-lfc): Le journal indique si AWS Control Tower a effectué avec succès toutes les actions visant à réinitialiser une ligne de base activée existante sur un compte membre cible dans le cadre d'une unité d'organisation. L'opération de réinitialisation peut être lancée à l'aide de l'`ResetEnabledBaseline`API ou de la console.
+ [`UpdateEnabledBaseline`](#update-enabled-baseline-lfc): Le journal indique si AWS Control Tower a effectué avec succès toutes les actions visant à mettre à jour une ligne de base activée existante sur un compte membre cible dans le cadre d'une unité d'organisation. L'opération de mise à jour peut être lancée à l'aide de l'`UpdateEnabledBaseline`API ou de la console.
+ [`DisableBaseline`](#disable-baseline-lfc): Le journal indique si AWS Control Tower a effectué avec succès toutes les actions visant à désactiver une ligne de base activée existante sur un compte membre cible dans le cadre d'une unité d'organisation. L'opération de désactivation peut être lancée à l'aide de l'`DisableBaseline`API ou de la console.
Les sections suivantes fournissent une liste des événements du cycle de vie d'AWS Control Tower, avec des exemples des détails enregistrés pour chaque type d'événement du cycle de vie.
## `CreateManagedAccount`
Cet événement du cycle de vie indique si AWS Control Tower a correctement créé et provisionné un nouveau compte à l'aide de Account Factory. Cet événement correspond à l'`CreateManagedAccount` CloudTrail événement AWS Control Tower. Le journal des événements de cycle de vie inclut les éléments `accountName` et `accountId` du compte nouvellement créé, ainsi que les éléments `organizationalUnitName` et `organizationalUnitId` de l'unité d'organisation dans laquelle le compte a été placé.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "CreateManagedAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"createManagedAccountStatus": {
"organizationalUnit":{
"organizationalUnitName":"Custom",
"organizationalUnitId":"ou-XXXX-l3zc8b3h"
},
"account":{
"accountName":"LifeCycle1",
"accountId":"XXXXXXXXXXXX"
},
"state":"SUCCEEDED",
"message":"AWS Control Tower successfully created a managed account.",
"requestedTimestamp":"2019-11-15T11:45:18+0000",
"completedTimestamp":"2019-11-16T12:09:32+0000"}
}
}
}
```
## `UpdateManagedAccount`
Cet événement du cycle de vie enregistre si AWS Control Tower a correctement mis à jour le produit provisionné associé à un compte créé précédemment à l'aide de Account Factory. Cet événement correspond à l'`UpdateManagedAccount` CloudTrailévénement AWS Control Tower. Le journal des événements de cycle de vie inclut les éléments `accountName` et `accountId` du compte associé, ainsi que les éléments `organizationalUnitName` et `organizationalUnitId` de l'unité d'organisation dans laquelle le compte mis à jour est placé.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // AWS Control Tower organization management account.
"time": "2018-08-30T21:42:18Z", // Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateManagedAccount",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"updateManagedAccountStatus": {
"organizationalUnit":{
"organizationalUnitName":"Custom",
"organizationalUnitId":"ou-XXXX-l3zc8b3h"
},
"account":{
"accountName":"LifeCycle1",
"accountId":"XXXXXXXXXXXX"
},
"state":"SUCCEEDED",
"message":"AWS Control Tower successfully updated a managed account.",
"requestedTimestamp":"2019-11-15T11:45:18+0000",
"completedTimestamp":"2019-11-16T12:09:32+0000"}
}
}
}
```
## `EnableGuardrail`
Cet événement du cycle de vie enregistre si AWS Control Tower a activé avec succès un contrôle sur une unité d'organisation gérée par AWS Control Tower. Cet événement correspond à l'`EnableGuardrail` CloudTrail événement AWS Control Tower. Le journal des événements du cycle `guardrailBehavior` de vie inclut le `guardrailId` et du contrôle et le `organizationalUnitName` et `organizationalUnitId` de l'unité d'organisation sur laquelle le contrôle est activé.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z", // End-time of action. Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "us-east-1", // AWS Control Tower home region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "EnableGuardrail",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"enableGuardrailStatus": {
"organizationalUnits": [
{
"organizationalUnitName": "Custom",
"organizationalUnitId": "ou-vwxy-18vy4yro"
}
],
"guardrails": [
{
"guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK",
"guardrailBehavior": "DETECTIVE"
}
],
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully enabled a guardrail on an organizational unit.",
"requestTimestamp": "2019-11-12T09:01:07+0000",
"completedTimestamp": "2019-11-12T09:01:54+0000"
}
}
}
}
```
## `DisableGuardrail`
Cet événement du cycle de vie enregistre si AWS Control Tower a correctement désactivé un contrôle sur une unité d'organisation gérée par AWS Control Tower. Cet événement correspond à l'`DisableGuardrail` CloudTrail événement AWS Control Tower. Le journal des événements du cycle `guardrailBehavior` de vie inclut le `guardrailId` et du contrôle et le `organizationalUnitName` et `organizationalUnitId` de l'unité d'organisation sur laquelle le contrôle est désactivé.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DisableGuardrail",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"disableGuardrailStatus": {
"organizationalUnits": [
{
"organizationalUnitName": "Custom",
"organizationalUnitId": "ou-vwxy-18vy4yro"
}
],
"guardrails": [
{
"guardrailId": "AWS-GR_RDS_INSTANCE_PUBLIC_ACCESS_CHECK",
"guardrailBehavior": "DETECTIVE"
}
],
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully disabled a guardrail on an organizational unit.",
"requestTimestamp": "2019-11-12T09:01:07+0000",
"completedTimestamp": "2019-11-12T09:01:54+0000"
}
}
}
}
```
## `SetupLandingZone`
Cet événement du cycle de vie enregistre si AWS Control Tower a correctement configuré une zone de landing zone. Cet événement correspond à l'`SetupLandingZone` CloudTrail événement AWS Control Tower. Le journal des événements du cycle de vie inclut le`rootOrganizationalId`, qui est l'ID de l'organisation créée par AWS Control Tower à partir du compte de gestion. L'entrée du journal inclut également le `organizationalUnitName` et `organizationalUnitId` pour chacun des comptes créés lors de la `accountName` configuration de la zone de landing zone par AWS Control Tower. OUs `accountId`
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID.
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Event time from CloudTrail.
"region": "us-east-1", // Management account CloudTrail region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX", // Management-account ID.
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "SetupLandingZone",
"awsRegion": "us-east-1", // AWS Control Tower home region.
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail.
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"setupLandingZoneStatus": {
"state": "SUCCEEDED", // Status of entire lifecycle operation.
"message": "AWS Control Tower successfully set up a new landing zone.",
"rootOrganizationalId" : "r-1234",
"organizationalUnits" : [ // Use a list.
{
"organizationalUnitName": "Security", // Security OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Security OU ID.
},
{
"organizationalUnitName": "Custom", // Custom OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID.
},
],
"accounts": [ // All created accounts are here. Use a list of "account" objects.
{
"accountName": "Audit",
"accountId": "XXXXXXXXXXXX"
},
{
"accountName": "Log archive",
"accountId": "XXXXXXXXXXXX"
}
],
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `UpdateLandingZone`
Cet événement du cycle de vie enregistre si AWS Control Tower a correctement mis à jour votre zone de landing zone existante. Cet événement correspond à l'`UpdateLandingZone` CloudTrail événement AWS Control Tower. Le journal des événements du cycle de vie inclut le`rootOrganizationalId`, qui est l'ID de l'organisation (mise à jour) régie par AWS Control Tower. L'entrée du journal inclut également le `organizationalUnitName` et `organizationalUnitId` pour chacun des comptes OUs, ainsi que le `accountName` et `accountId` pour chaque compte, qui ont été créés précédemment, lorsque AWS Control Tower a initialement configuré la zone de landing zone.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012", // Request ID.
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX", // Management account ID.
"time": "2018-08-30T21:42:18Z", // Event time from CloudTrail.
"region": "us-east-1", // Management account CloudTrail region.
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX", // Management account ID.
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateLandingZone",
"awsRegion": "us-east-1", // AWS Control Tower home region.
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "CloudTrail_event_ID", // This value is generated by CloudTrail.
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"updateLandingZoneStatus": {
"state": "SUCCEEDED", // Status of entire operation.
"message": "AWS Control Tower successfully updated a landing zone.",
"rootOrganizationalId" : "r-1234",
"organizationalUnits" : [ // Use a list.
{
"organizationalUnitName": "Security", // Security OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Security OU ID.
},
{
"organizationalUnitName": "Custom", // Custom OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Custom OU ID.
},
],
"accounts": [ // All created accounts are here. Use a list of "account" objects.
{
"accountName": "Audit",
"accountId": "XXXXXXXXXXXX"
},
{
"accountName": "Log archive",
"accountId": "XXXXXXXXXX"
}
],
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `RegisterOrganizationalUnit`
Cet événement du cycle de vie indique si AWS Control Tower a activé avec succès ses fonctionnalités de gouvernance sur une unité d'organisation. Cet événement correspond à l'`RegisterOrganizationalUnit` CloudTrail événement AWS Control Tower. Le journal des événements du cycle de vie inclut le `organizationalUnitName` et `organizationalUnitId` de l'unité d'organisation qu'AWS Control Tower a placée sous sa gouvernance.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "123456789012",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "RegisterOrganizationalUnit",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"registerOrganizationalUnitStatus": {
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully registered an organizational unit.",
"organizationalUnit" :
{
"organizationalUnitName": "Test",
"organizationalUnitId": "ou-adpf-302pk332"
}
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `DeregisterOrganizationalUnit`
Cet événement du cycle de vie indique si AWS Control Tower a correctement désactivé ses fonctionnalités de gouvernance sur une unité d'organisation. Cet événement correspond à l'`DeregisterOrganizationalUnit` CloudTrail événement AWS Control Tower. Le journal des événements du cycle de vie inclut le `organizationalUnitName` et `organizationalUnitId` de l'unité d'organisation sur laquelle AWS Control Tower a désactivé ses fonctionnalités de gouvernance.
```
{
"version": "0",
"id": "999cccaa-eaaa-0000-1111-123456789012",
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "XXXXXXXXXXXX",
"time": "2018-08-30T21:42:18Z",
"region": "us-east-1",
"resources": [ ],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DeregisterOrganizationalUnit",
"awsRegion": "us-east-1",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "0000000-0000-0000-1111-123456789012",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
"deregisterOrganizationalUnitStatus": {
"state": "SUCCEEDED",
"message": "AWS Control Tower successfully deregistered an organizational unit, and enabled mandatory guardrails on the new organizational unit.",
"organizationalUnit" :
{
"organizationalUnitName": "Test", // Foundational OU name.
"organizationalUnitId": "ou-adpf-302pk332" // Foundational OU ID.
},
"requestedTimestamp": "2018-08-30T21:42:18Z",
"completedTimestamp": "2018-08-30T21:42:18Z"
}
}
}
}
```
## `PrecheckOrganizationalUnit`
Cet événement du cycle de vie enregistre si AWS Control Tower a correctement effectué les prévérifications sur une unité d'organisation. Cet événement correspond à l'`PrecheckOrganizationalUnit` CloudTrail événement AWS Control Tower. Le journal des événements du cycle de vie contient un champ pour les `Id``Name`, et `failedPrechecks` les valeurs pour chaque ressource sur laquelle AWS Control Tower a effectué des prévérifications lors du processus d'enregistrement de l'unité d'organisation.
Le journal des événements contient également des informations sur les comptes imbriqués sur lesquels les prévérifications ont été effectuées, notamment les `accountName` champs`accountId`, et`failedPrechecks`.
Si la `failedPrechecks` valeur est vide, cela signifie que tous les précontrôles pour cette ressource ont été effectués avec succès.
+ Cet événement n'est émis qu'en cas d'échec du précontrôle.
+ Cet événement n'est pas émis si vous enregistrez une unité d'organisation vide.
Exemple d'événement :
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-09-20T22:45:43Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "PrecheckOrganizationalUnit",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "b41a9d67-0da4-4dc5-a87a-25fa19dc5305",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"precheckOrganizationalUnitStatus": {
"organizationalUnit": {
"organizationalUnitName": "Ou-123",
"organizationalUnitId": "ou-abcd-123456",
"failedPrechecks": [
"SCP_CONFLICT"
]
},
"accounts": [
{
"accountName": "Child Account 1",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"FAILED_TO_ASSUME_ROLE"
]
},
{
"accountName": "Child Account 2",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"FAILED_TO_ASSUME_ROLE"
]
},
{
"accountName": "Management Account",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": [
"MISSING_PERMISSIONS_AF_PRODUCT"
]
},
{
"accountName": "Child Account 3",
"accountId": "XXXXXXXXXXXX",
"failedPrechecks": []
},
...
],
"state": "FAILED",
"message": "AWS Control Tower failed to register an organizational unit due to pre-check failures. Go to the OU details page to download a list of failed pre-checks for the OU and accounts within.",
"requestedTimestamp": "2021-09-20T22:44:02+0000",
"completedTimestamp": "2021-09-20T22:45:43+0000"
}
},
"eventCategory": "Management"
}
```
## `EnableBaseline`
Cet événement du cycle de vie enregistre si AWS Control Tower a correctement activé une ligne de base sur un compte de membre cible dans le cadre d'une unité d'organisation. Cet événement correspond à la `RegisterOrganizationalUnit` ou aux `EnableBaseline` CloudTrail événements AWS Control Tower. Le journal des événements du cycle de vie inclut la ligne de base activée et sa version, celle `targetIdentifier` sur laquelle la ligne de base a été activée, celle `parentIdentifier` de la ligne de base activée sur l'unité d'organisation parent et l'`statusSummary`affichage du statut RÉUSSI ou ÉCHEC, ainsi que les paramètres supplémentaires et l'horodatage de l'opération.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T17:14:57Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "EnableBaseline",
"awsRegion": "us-east-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "366911a2-4fa6-4e4a-ac2b-280f627e0027",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"enableBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-ern76xmzvf/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-east-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "4.0",
"statusSummary": {
"lastOperationIdentifier": "37f5eb68-e5b9-4c70-ae76-4ca15f6b16de",
"status": "SUCCEEDED"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": {
"untyped": {
"object": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX" }
}
}
]
},
"requestedTimestamp": "2025-02-10T17:07:09+0000",
"completedTimestamp": "2025-02-10T17:14:57+0000"
}
},
"eventCategory": "Management"
}
```
## `ResetEnabledBaseline`
Cet événement du cycle de vie enregistre si AWS Control Tower a correctement réinitialisé la ligne de base activée existante sur un compte membre cible dans le cadre d'une unité d'organisation. Cet événement correspond à la `RegisterOrganizationalUnit` ou aux `ResetEnabledBaseline` CloudTrail événements AWS Control Tower. Le journal des événements du cycle de vie inclut la ligne de base activée et sa version, celle `targetIdentifier` sur laquelle la ligne de base a été activée, celle `parentIdentifier` de la ligne de base activée sur l'unité d'organisation parent et l'`statusSummary`affichage du statut RÉUSSI ou ÉCHEC, ainsi que les paramètres supplémentaires et l'horodatage de l'opération.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T21:17:55Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "ResetEnabledBaseline",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "c01a32e1-13ab-4b46-8f1b-00699ef6f989",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"resetEnabledBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "3e364c89-89fa-42b8-9776-9f7cc47ba1fa",
"status": "SUCCEEDED"
},
"parameters": []
},
"requestedTimestamp": "2025-02-10T21:14:24Z",
"completedTimestamp": "2025-02-10T21:17:54+0000"
}
},
"eventCategory": "Management"
}
```
## `UpdateEnabledBaseline`
Cet événement du cycle de vie enregistre si AWS Control Tower a correctement mis à jour la base de référence activée existante sur un compte membre cible dans le cadre d'une unité d'organisation. Cet événement correspond à la `RegisterOrganizationalUnit` ou aux `UpdateEnabledBaseline` CloudTrail événements AWS Control Tower. Le journal des événements du cycle de vie inclut la ligne de base activée et sa version, celle `targetIdentifier` sur laquelle la ligne de base a été activée, celle `parentIdentifier` de la ligne de base activée sur l'unité d'organisation parent et l'`statusSummary`affichage du statut RÉUSSI ou ÉCHEC, ainsi que les paramètres supplémentaires et l'horodatage de l'opération.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-02-10T19:45:28Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "UpdateEnabledBaseline",
"awsRegion": "us-east-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "514f2aff-1a99-4912-bda1-0d4d6662c96e",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"updateEnabledBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-ern76xmzvf/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-east-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "4.0",
"statusSummary": {
"lastOperationIdentifier": "ba3de28f-83fb-4c9a-8a8c-a4e15fac2c41",
"status": "SUCCEEDED"
},
"parameters": [
{
"key": "IdentityCenterEnabledBaselineArn",
"value": {
"untyped": {
"object": "arn:aws:controltower:us-east-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX" }
}
}
]
},
"requestedTimestamp": "2025-02-10T19:39:35+0000",
"completedTimestamp": "2025-02-10T19:45:28+0000"
}
},
"eventCategory": "Management"
}
```
## `DisableBaseline`
Cet événement du cycle de vie enregistre si AWS Control Tower a correctement désactivé la ligne de base activée existante sur un compte membre cible dans le cadre d'une unité d'organisation. Cet événement correspond à l'`DisableBaseline` CloudTrail événement AWS Control Tower. Le journal des événements du cycle de vie inclut la ligne de base activée et sa version, celle `targetIdentifier` sur laquelle la ligne de base a été activée, celle `parentIdentifier` de la ligne de base activée sur l'unité d'organisation parent et l'`statusSummary`affichage du statut RÉUSSI ou ÉCHEC, ainsi que les paramètres supplémentaires et l'horodatage de l'opération.
```
{
"eventVersion": "1.11",
"userIdentity": {
"accountId": "XXXXXXXXXXXX",
"invokedBy": "AWS Internal"
},
"eventTime": "2025-03-14T00:50:58Z",
"eventSource": "controltower.amazonaws.com",
"eventName": "DisableBaseline",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": null,
"eventID": "704794c4-a32e-4960-8386-c7efaa5a22a1",
"readOnly": false,
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "XXXXXXXXXXXX",
"serviceEventDetails": {
"disableBaselineStatus": {
"enabledBaselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "7b895594-0edb-48bc-9f3d-d88c2ad618df",
"status": "SUCCEEDED"
},
"parameters": []
},
"baselineDetails": {
"arn": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"parentIdentifier": "arn:aws:controltower:us-west-2:XXXXXXXXXXXX:enabledbaseline/XXXXXXXXXXXXXXXX",
"targetIdentifier": "arn:aws:organizations::XXXXXXXXXXXX:account/o-0uh2kplf6d/XXXXXXXXXXXX",
"baselineIdentifier": "arn:aws:controltower:us-west-2::baseline/XXXXXXXXXXXXXXX",
"baselineVersion": "1.0",
"statusSummary": {
"lastOperationIdentifier": "7b895594-0edb-48bc-9f3d-d88c2ad618df",
"status": "SUCCEEDED"
},
"parameters": []
},
"requestedTimestamp": "2025-03-14T00:49:13Z",
"completedTimestamp": "2025-03-14T00:50:58+0000"
}
},
"eventCategory": "Management"
}
```
# Utilisation des notifications AWS utilisateur avec AWS Control Tower
Vous pouvez utiliser [les notifications aux AWS utilisateurs](https://docs.aws.amazon.com/notifications/latest/userguide/what-is.html) pour configurer les canaux de diffusion afin d'être informé AWS Control Tower des événements. Vous recevez une notification lorsqu'un événement correspond à une règle que vous avez spécifiée. Vous pouvez recevoir des notifications relatives à des événements par le biais de plusieurs canaux, notamment par e-mail, par [Amazon Q Developer via des applications](https://docs.aws.amazon.com/chatbot/latest/adminguide/what-is.html) de chat ou par des notifications push [via l'application mobile sur AWS console](https://docs.aws.amazon.com/consolemobileapp/latest/userguide/what-is-consolemobileapp.html). Vous pouvez également consulter les notifications dans le Centre de notifications de la console.
AWS Les notifications utilisateur prennent en charge l'agrégation, ce qui peut réduire le nombre de notifications que vous recevez lors d'événements spécifiques. Les notifications sont également visibles dans le centre de notifications de la console.
Les avantages de l'abonnement aux notifications par le biais des notifications AWS utilisateur EventBridge sont les suivants :
+ Une interface utilisateur (UI) plus conviviale.
+ Intégration à la AWS console, dans la bell/notifications zone de la barre de navigation globale.
+ Support natif pour les notifications par e-mail, il n'est pas nécessaire de configurer Amazon SNS.
+ Plus particulièrement, la prise en charge des notifications push mobiles, exclusive aux notifications AWS utilisateur.
Par exemple, l'un des types de notification que vous souhaiterez peut-être recevoir concerne les résultats critiques et très graves du Security Hub CSPM. Un extrait de code au format JSON pour configurer cet abonnement aux notifications peut ressembler à ceci :
```
{
"detail": {
"findings": {
"Compliance": {
"Status": ["FAILED", "WARNING", "NOT_AVAILABLE"]
},
"RecordState": ["ACTIVE"],
"Severity": {
"Label": ["CRITICAL", "HIGH"]
},
"Workflow": {
"Status": ["NEW", "NOTIFIED"]
}
}
}
}
```
**Filtrage des événements**
+ Vous pouvez filtrer les événements par service et par nom à l'aide des filtres disponibles sur la console des notifications AWS utilisateur.
+ Vous pouvez filtrer les événements en fonction de propriétés spécifiques si vous créez votre propre EventBridge filtre à partir du code JSON.
**Exemple d' AWS Control Tower événement**
Voici un exemple d'événement généralisé pour AWS Control Tower.
+ C'est un EventBridge événement.
+ Vous pouvez vous abonner à EventBridge des événements (tels que celui-ci) à l'aide des notifications AWS utilisateur.
```
{
"version": "0",
"id": "", // alphanumeric string
"detail-type": "AWS Service Event via CloudTrail",
"source": "aws.controltower",
"account": "", // Management account ID.
"time": "", // Format: yyyy-MM-dd'T'hh:mm:ssZ
"region": "", // AWS Control Tower home region.
"resources": [],
"detail": {
"eventVersion": "1.05",
"userIdentity": {
"accountId": "121212121212",
"invokedBy": "AWS Internal"
},
"eventTime": "2018-08-30T21:42:18Z", // Timestamp when call was made. Format: yyyy-MM-dd'T'hh:mm:ssZ.
"eventSource": "controltower.amazonaws.com",
"eventName": "", // one of the 9 event names in https://docs.aws.amazon.com/controltower/latest/userguide/lifecycle-events.html
"awsRegion": "",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"eventID": "",
"readOnly": false,
"eventType": "AwsServiceEvent",
"serviceEventDetails": {
// the contents of this object vary depending on the event subtype and event state
}
}
}
```