Ongoing service disruptions

For the most recent update on ongoing service disruptions affecting the AWS Middle East (UAE) Region (ME-CENTRAL-1), refer to the AWS Health Dashboard. For information on AWS Service migration, see How do I migrate my services to another region?

Comment puis-je activer les journaux d'audit dans OpenSearch Service ?

Lecture de 5 minute(s)

Je souhaite activer les journaux d'audit dans Amazon OpenSearch Service.

Brève description

Pour activer d’abord les journaux d’audit, configurez votre domaine pour publier les journaux d'audit dans Amazon CloudWatch Logs. Puis, activez et configurez les journaux d'audit dans OpenSearch Dashboards.

Pour plus d’informations, consultez la section Surveillance des journaux d'audit dans Amazon OpenSearch Service.

Résolution

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'AWS CLI.

Avant d'activer les journaux d'audit, vous devez activer le contrôle précis des accès sur le cluster.

Activer les journaux d'audit dans OpenSearch Service

Pour activer les journaux d'audit et créer une stratégie d'accès dans OpenSearch Service, procédez comme suit :

Ouvrez la console OpenSearch Service.
Dans le volet de navigation, choisissez Domaines, puis choisissez votre domaine.
Choisissez l'onglet Journaux, sélectionnez Journaux d'audit, puis Activer.

Choisissez Configurer les journaux d'erreurs, puis sélectionnez Créer une stratégie ou Sélectionner une stratégie existante.
Pour créer une stratégie, dans Nom de la nouvelle stratégie, saisissez un nom de stratégie, puis mettez à jour la stratégie avec une stratégie d'accès similaire à l'exemple suivant :

{  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "es.amazonaws.com"
      },
      "Action": [
        "logs:PutLogEvents",
        "logs:CreateLogStream"
      ],
      "Resource": "cw_log_group_arn"
    }
  ]
}

Choisissez Activer.

Activer les journaux d'audit dans OpenSearch Dashboards

Procédez comme suit :

Ouvrez OpenSearch Dashboards.
Choisissez Sécurité.
Remarque : Pour activer les journaux d'audit, votre rôle d'utilisateur doit être mappé au rôle security_manager. Sinon, l'onglet Sécurité ne s'affiche pas dans OpenSearch Dashboards.
Choisissez Journaux d'audit.
Choisissez Activer la journalisation des audits.

Un exemple de configuration est disponible dans Exemple de journal d'audit.

Corriger les erreurs du journal d'audit

Vous n'avez pas configuré les options de sécurité avancées

Lorsque vous activez les journaux d'audit et que le contrôle précis des accès n'est pas activé sur votre domaine, le message d'erreur suivant s’affiche :

« UpdateDomainConfig: {"message":"audit log publishing cannot be enabled as you do not have advanced security options configured."} »

Pour résoudre cette erreur, activez le contrôle précis des accès.

Limite de ressources dépassée

Lorsque vous atteignez le nombre maximal de stratégies de ressources CloudWatch Logs par région AWS, le message d'erreur suivant s'affiche :

« PutResourcePolicy: {"__type":"LimitExceededException","message":"Resource limit exceeded."} »

Vous pouvez avoir jusqu'à 10 stratégies de ressources CloudWatch Logs par région et par compte. Vous ne pouvez pas modifier ce quota. Pour plus d’informations, consultez la section Quotas de CloudWatch Logs.

Pour activer les journaux pour plusieurs domaines, vous pouvez réutiliser une stratégie qui inclut plusieurs groupes de journaux.

Pour vérifier les stratégies de ressources de votre compte par région, exécutez la commande describe-resource-policies de l'AWS CLI :

aws logs describe-resource-policies --region region-name

Remarque : Remplacez region-name par le nom de votre région.

Pour mettre à jour votre stratégie de ressources afin de couvrir plusieurs groupes de journaux, ajoutez un caractère générique *. Vous pouvez également configurer plusieurs instructions à partir de différentes stratégies de ressources pour tous les groupes de journaux et supprimer les anciennes stratégies.

Par exemple, si les noms de vos groupes de journaux commencent par /aws/OpenSearchService/domains/, vous pouvez créer une stratégie de ressources qui s'applique à /aws/OpenSearchService/domains/*.

L'exemple de stratégie de ressources suivant crée une seule stratégie de ressources pour tous les groupes de journaux commençant par /aws/OpenSearchService/domains/* :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",

      "Principal": {

        "Service": "es.amazonaws.com"
      },
      "Action": [

        "logs:PutLogEvents",

        "logs:CreateLogStream"
      ],
      "Resource": "arn:aws:logs:REGION:AccountID:log-group:/aws/OpenSearchService/domains/*:*"
    }
  ]
}

Remarque : Remplacez region par votre région. Remplacez AccountID par votre ID de compte.

Pour appliquer la stratégie consolidée, exécutez la commande suivante sur Cloudshell :

aws logs put-resource-policy \
    --policy-name yourPolicyName \
    --policy-document file://policy.json

Remarque : Remplacez yourPolicyName par le nom de votre propre stratégie.

Vous pouvez maintenant sélectionner cette stratégie mise à jour lorsque vous activez les journaux d'audit.

Pour supprimer les stratégies inutiles ou dupliquées, exécutez la commande delete-resource-policy :

aws logs delete-resource-policy --policy-name PolicyName

Remarque : Remplacez PolicyName par le nom de la stratégie que vous souhaitez supprimer.

La stratégie d'accès au groupe de journaux de CloudWatch Logs n'accorde pas d'autorisations suffisantes

Lorsque vous essayez d'activer la publication du journal d'audit, le message d'erreur suivant peut s’afficher :

« The Resource Access Policy specified for the CloudWatch Logs log group does not grant sufficient permissions for Amazon OpenSearch Service to create a log stream. Please check the Resource Access Policy. »

Pour corriger cette erreur, vérifiez que l'élément de ressource de votre stratégie inclut bien l’ARN approprié du groupe de journaux.

Informations connexes

Comment puis-je résoudre les problèmes de contrôle précis des accès dans mon cluster OpenSearch Service ?

Résolution des problèmes liés à Amazon OpenSearch Service

Sujets: Analytics
Balises: Amazon OpenSearch Service
Langue: Français

AWS OFFICIELA mis à jour il y a 6 mois

Aucun commentaire

Contenus pertinents

Facturation persistante pour OpenSearch malgré la suppression de toutes les ressources et absence d’instance active
Réponse acceptée
Baptiste
demandé il y a un an
Problème avec OpenSearch Serverless : Facturation continue malgré la suppression
Baptiste
demandé il y a un an
Comment supprimer des factures la ligne "Amazon Simple Storage Service Requests-Tier1"
rePost-User-5283584
demandé il y a un an
Règle de cycle de vie pour transition de stockage S3 à S3 glacier
HoubaHoubi
demandé il y a un an
Problème d'accès à une base de données logique dans une application laravel multi-tenant
rePost-User-0746455
demandé il y a un an
Comment résoudre les problèmes liés aux journaux lents dans Amazon OpenSearch Service ?
AWS OFFICIELA mis à jour il y a 6 mois
Comment résoudre les problèmes liés aux journaux CloudWatch afin qu'ils soient diffusés vers mon domaine OpenSearch Service ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment puis-je résoudre les refus de recherche ou d'écriture dans Amazon OpenSearch Service ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment puis-je activer la journalisation d’audit dans Amazon Redshift et Amazon Redshift Serverless ?
AWS OFFICIELA mis à jour il y a un an