Quel service enregistre qui a effectué quelle opération d'API, quand et sur quelle ressource AWS, afin de pouvoir l'auditer et la retracer par la suite ?
Choisir le service qui enregistre et audite l'historique des opérations d'API.
Amazon CloudWatch
CloudWatch collecte des métriques et des journaux pour surveiller les performances des ressources.
Enregistrer qui a effectué une opération d'API est le rôle de CloudTrail ; l'objectif est différent, c'est donc incorrect.
AWS Artifact
Artifact est un portail permettant d'obtenir des rapports d'audit/conformité de tiers (tels que SOC 2 et ISO 27001 — des documents dans lesquels un auditeur indépendant a vérifié et certifié la posture de sécurité et de conformité d'AWS).
Il n'enregistre pas les opérations d'API dans votre compte, c'est donc incorrect.
AWS CloudTrail
Correct. AWS CloudTrail enregistre les opérations d'API effectuées dans votre compte (qui, quand, sur quoi et quelle opération). Il permet de retracer l'activité via la console de gestion, la CLI et le SDK, et sert à l'analyse de sécurité, à l'audit et au suivi des changements.
AWS WAF
WAF est un service qui bloque les attaques web.
Il n'enregistre pas l'historique des opérations d'API, c'est donc incorrect.
« Qui, quand, quelle opération d'API » désigne AWS CloudTrail (le journal d'audit des opérations). La surveillance des performances/métriques relève de CloudWatch, et le suivi de la configuration des ressources de Config — gardez les rôles distincts.