Aller au contenu principal

AWS Cloudtrail

AWS CloudTrail est un service AWS qui vous aide à assurer l'audit opérationnel et des risques, la gouvernance et la conformité de votre compte AWS. Les actions effectuées par un utilisateur, un rôle ou un service AWSsont enregistrées en tant qu'événements dans CloudTrail. Les événements incluent les actions réalisées dans AWS Management Console, AWS Command Line Interface et ID de compte et les API et kits SDK AWS.

Pour en savoir plus sur le service voir la documentation AWS CloudTrail.

Prérequis

Permissions

  • Rôle administrateur dans AWS permettant de configurer les comptes et services CloudTrail
  • Rôle « Admin d'organisation » dans MD.ECO

Préfixes proposés par défaut

Il est possible de spécifier un prefix comme cloudtrail dans un Bucket S3 partagé mais nous conseillons d'utiliser un Bucket S3 propre à ce service et de ne pas spécifier de préfixe pour garder la cohérence avec les autres bucket S3.

Le préfixe par défaut utilisé par CloudTrail est le suivant:

AWSLogs/{{OrgID}}/CloudTrail/{{Region}}/

Ou si Organisation Trail est activé:

AWSLogs/o-{{RootOrgID}}/{{OrgID}}/CloudTrail/{{Region}}/

Variables Préalables

  • {{S3CloudTrailAuditBucketName}} : Nom du bucket qui sera utilisé pour le transfert de logs avec MD.ECO, à créer au préalable avec la procédure Ingestion par Bucket S3.

Étapes de configuration

Configuration de la sécurité du bucket S3 (organisation « Audit »)

Ajouter le statement suivant dans la policy du bucket S3 de destination

{
  "Sid": "AWSCloudTrailAclCheck",
  "Effect": "Allow",
  "Principal": {
    "Service": "cloudtrail.amazonaws.com"
  },
  "Action": "s3:GetBucketAcl",
  "Resource": "arn:aws:s3:::{{S3CloudTrailAuditBucketName}}"                                                       
},
{
  "Sid": "AWSCloudTrailWrite",                                  
  "Effect": "Allow",
  "Principal": {
    "Service": "cloudtrail.amazonaws.com"
  },
  "Action": "s3:PutObject",
  "Resource": [
    "arn:aws:s3:::{{S3CloudTrailAuditBucketName}}/*"
  ],
  "Condition": { 
    "StringEquals": { 
      "s3:x-amz-acl": "bucket-owner-full-control" 
    }
  }
}

Configuration de l'enregistrement des journaux de CloudTrail dans le bucket S3 (Organisation « Root »)

Activer toutes les fonctionnalités

aws organizations enable-all-features

Activer le journal de suivi pour l'organisation

Création d'un journal de suivi pour une organisation

aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com
aws cloudtrail create-trail --name organisation-trail --s3-bucket-name {{S3CloudTrailAuditBucketName}} --is-organization-trail --is-multi-region-trail

Notifier Mondata avec les informations sur l'instance

  • {{S3CloudTrailAuditBucketName}}