AWS CloudTrail

AWS CloudTrail est le service d'audit logs d'AWS, lancé en 2013. Enregistre toutes les API calls effectuées dans un compte AWS (via Console, CLI, SDK, services AWS eux-mêmes), produisant un audit trail complet utilisable pour compliance, sécurité, investigation forensic et troubleshooting opérationnel.

Types d'événements : (1) Management Events — opérations sur les ressources (create/delete/modify EC2 instance, IAM user, S3 bucket policy, etc.), capturés par défaut gratuitement sur tous les trails ; (2) Data Events — opérations data plane (S3 GetObject/PutObject, Lambda Invoke, DynamoDB GetItem) — non capturés par défaut car volume potentiellement énorme et facturés 0.10\$/100k events ; (3) Insights Events — détection automatique d'anomalies dans les API call patterns (volume inhabituel, error rate spike), payant.

Destinations : (1) Event History — accès console 90 jours derniers Management Events, gratuit, recherche limitée ; (2) Trail — configuration explicite envoyant les events vers S3 bucket (rétention illimitée, format JSON), optionnellement CloudWatch Logs (recherche immédiate), EventBridge (réaction temps réel) ; (3) Lake — CloudTrail Lake (depuis 2022), data lake managé queryable via SQL (Apache Iceberg under the hood), rétention 7j-10ans configurable, multi-account multi-region aggregation native — modernisation de l'analyse audit.

Features : (1) Multi-region trail — capture events de toutes les régions dans un seul trail ; (2) Multi-account trail via AWS Organizations — organisation trail centralise audit logs de tous les comptes dans un single S3 bucket de l'account de sécurité (security/audit account pattern) ; (3) Log file integrity validation — fichiers signés SHA-256 avec digest hash chain, détection tampering ; (4) SNS notifications sur nouveaux log files ; (5) Server-side encryption SSE-KMS ; (6) CloudTrail Lake event data stores avec partition keys et channels (3rd party integrations Okta, GitHub, etc.).

Use cases sécurité : (1) detection IAM credential misuse (geo anomalies, unusual roles) ; (2) investigation post-incident (qui a supprimé ce bucket et quand) ; (3) compliance reporting (PCI DSS 10.x, HIPAA, SOC 2 audit logs) ; (4) Insights pour détection anomalies API ; (5) integration GuardDuty (CloudTrail comme source) ; (6) integration SIEM (Splunk, Datadog, Sentinel via Firehose ou CloudWatch subscription filter).

Best practices : Organization trail multi-region multi-account vers S3 bucket dans dedicated security account avec bucket policy strict + MFA Delete + Object Lock compliance mode (immutable retention) + KMS CMK encryption + cross-region replication ; activer Data Events sélectivement pour S3 buckets sensibles ; activer Insights ; integration SIEM. Cost-effective : ~quasi-gratuit pour Management Events, attention aux Data Events sur buckets très actifs.