Consideraciones para copiar eventos de registros de seguimiento Permisos necesarios para copiar eventos de registro de seguimiento

Copiar eventos de registro de seguimiento en un almacén de datos de eventos

Puede copiar los eventos de registro de seguimiento en un almacén de datos de eventos de CloudTrail Lake para crear una instantánea puntual de los eventos del registro de seguimiento. Copiar los eventos de un registro de seguimiento no interfiere con la capacidad del registro de seguimiento para registrar eventos y no modifica el registro de seguimiento de ninguna manera.

Puede copiar los eventos de los registros de seguimiento en un almacén de datos de eventos existente configurado para los eventos de CloudTrail, o puede crear un nuevo almacén de datos de eventos de CloudTrail y seleccionar la opción Copiar eventos de los registros de seguimiento como parte de la creación del almacén de datos de eventos. Para obtener más información acerca de cómo copiar eventos de registros de seguimiento en un almacén de datos de eventos existente, consulte Copia de eventos de registro de seguimiento a un almacén de datos de eventos existente con la consola. Para obtener más información acerca de la creación de un nuevo almacén de datos de eventos, consulte Creación de un almacén de datos de eventos para eventos de CloudTrail con la consola.

Si va a copiar los eventos de registro de seguimiento en el almacén de datos de eventos de una organización, debe utilizar la cuenta de administración de la organización. No puede copiar los eventos de registro de seguimiento con la cuenta del administrador delegado de una organización.

Los almacenes de datos de eventos de CloudTrail Lake conllevan gastos. Cuando crea un almacén de datos de eventos, elige la opción de precios que desea utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como el periodo de retención predeterminado y máximo del almacén de datos de eventos. Para obtener información sobre los precios de CloudTrail, consulte Precios de AWS CloudTrail y Administración de los costos de CloudTrail Lake.

Cuando copia los eventos de registros de seguimiento en un almacén de datos de eventos de CloudTrail Lake, genera cargos según la cantidad de datos de eventos que ingiera el almacén de datos de eventos.

Al copiar eventos de registros de seguimiento en CloudTrail Lake, CloudTrail descomprime los registros que están almacenados en formato gzip (comprimido) y, a continuación, copia los eventos contenidos en los registros en el almacén de datos de eventos. El tamaño de los datos sin comprimir podría ser mayor que el tamaño real del almacenamiento de S3. Para obtener una estimación general del tamaño de los datos sin comprimir, puede multiplicar por 10 el tamaño de los registros del bucket de S3.

Puede reducir los costos especificando un intervalo de tiempo más reducido para los eventos copiados. Si planea usar solo el almacén de datos de eventos para consultar los eventos copiados, puede desactivar la ingesta de eventos para evitar generar cargos por eventos futuros. Para obtener más información, consulte Precios de AWS CloudTrail y Administración de los costos de CloudTrail Lake.

Escenarios

En la siguiente tabla, se describen algunos escenarios habituales para copiar eventos de registros de seguimiento y cómo seguir cada uno de ellos mediante la consola.

Escenario	¿Cómo puedo lograr esto en la consola?
Analizar y consultar eventos de registros de seguimiento históricos en CloudTrail Lake sin ingerir nuevos eventos	Cree un nuevo almacén de datos de eventos y seleccione la opción Copiar eventos de registros de seguimiento como parte de la creación del almacén de datos de eventos. Al crear el almacén de datos de eventos, desmarque Incorporar eventos (paso 15 del procedimiento) para garantizar que el almacén de datos de eventos contenga solo los eventos históricos del registro de seguimiento y no los eventos futuros.
Sustituya el registro de seguimiento existente por un almacén de datos de eventos de CloudTrail Lake	Cree un almacén de datos de eventos con los mismos selectores de eventos que el registro de seguimiento para asegurarse de que el almacén de datos de eventos tenga la misma cobertura que el registro de seguimiento. Para evitar la duplicación de eventos entre el registro de seguimiento de origen y el almacén de datos de eventos de destino, elija un intervalo de fecha para los eventos copiados que sea anterior a la creación del almacén de datos de eventos. Después de crear el almacén de datos de eventos, puede desactivar el registro del registro de seguimiento para evitar cargos adicionales.

Escenario

¿Cómo puedo lograr esto en la consola?

Analizar y consultar eventos de registros de seguimiento históricos en CloudTrail Lake sin ingerir nuevos eventos

Cree un nuevo almacén de datos de eventos y seleccione la opción Copiar eventos de registros de seguimiento como parte de la creación del almacén de datos de eventos. Al crear el almacén de datos de eventos, desmarque Incorporar eventos (paso 15 del procedimiento) para garantizar que el almacén de datos de eventos contenga solo los eventos históricos del registro de seguimiento y no los eventos futuros.

Sustituya el registro de seguimiento existente por un almacén de datos de eventos de CloudTrail Lake

Cree un almacén de datos de eventos con los mismos selectores de eventos que el registro de seguimiento para asegurarse de que el almacén de datos de eventos tenga la misma cobertura que el registro de seguimiento.

Para evitar la duplicación de eventos entre el registro de seguimiento de origen y el almacén de datos de eventos de destino, elija un intervalo de fecha para los eventos copiados que sea anterior a la creación del almacén de datos de eventos.

Después de crear el almacén de datos de eventos, puede desactivar el registro del registro de seguimiento para evitar cargos adicionales.

Temas

Consideraciones para copiar eventos de registros de seguimiento

Tenga en cuenta los siguientes factores al copiar eventos de registro de seguimiento.

Al copiar los eventos de registros de seguimiento, CloudTrail utiliza la operación de la API GetObject de S3 para recuperar los eventos de registros de seguimiento en el bucket de S3 de origen. Hay algunas clases de almacenamiento archivado de S3, como S3 Glacier Flexible Retrieval, S3 Glacier Deep Archive, S3 Outposts y S3 Intelligent-Tiering Deep Archive, a las que no puede acceder con GetObject. Para copiar los eventos de registros de seguimiento almacenados en estas clases de almacenamiento archivado, primero debe restaurar una copia mediante la operación RestoreObject de S3. Para obtener información sobre la restauración de objetos archivados, consulte Restauración de objetos archivados en la Guía del usuario de Amazon S3.
Cuando copia eventos de registros de seguimiento en un almacén de datos de eventos, CloudTrail copia todos los eventos de registros de seguimiento, independientemente de la configuración de los tipos de eventos, los selectores de eventos avanzados o la Región de AWS del almacén de datos de eventos de destino.
Antes de copiar los eventos del registro de seguimiento a un almacén de datos de eventos existente, asegúrese de que la opción de precios y el periodo de retención del almacén de datos de eventos estén configurados adecuadamente para su caso de uso.
- Opción de precios: la opción de precios determina el costo de la incorporación y el almacenamiento de los eventos. Para obtener más información sobre las opciones de precios, consulte Precios de AWS CloudTrail y Opciones de precios del almacén de datos de eventos.
- Periodo de retención: el periodo de retención determina cuánto tiempo se guardan los datos del evento en el almacén de datos de eventos. CloudTrail solo copia los eventos de registros de seguimiento que tengan un valor de eventTime dentro del periodo de retención del almacén de datos de eventos. Para determinar el periodo de retención adecuado, tome la suma del evento más antiguo que desea copiar en días y el número de días que desea conservar los eventos en el almacén de datos de eventos (periodo de retención = el evento más antiguo en días más el número de días que se debe retener). Por ejemplo, si el evento más antiguo que va a copiar tiene 45 días y desea conservar los eventos en el almacén de datos de eventos durante otros 45 días, debe establecer el periodo de retención en 90 días.
Si está copiando eventos de registros de seguimiento en un almacén de datos de eventos para investigarlos y no desea incorporar ningún evento futuro, puede detener la incorporación en el almacén de datos de eventos. Al crear el almacén de datos de eventos, desmarque la opción Incorporar eventos (paso 15 del procedimiento) para garantizar que el almacén de datos de eventos contenga solo los eventos históricos del registro de seguimiento y no los eventos futuros.
Antes de copiar los eventos de registro de seguimiento, desactive cualquier lista de control de acceso (ACL) adjunta al bucket de S3 de origen y actualice la política de buckets de S3 para el almacén de datos de eventos de destino. Para obtener más información sobre la actualización de la política de buckets de S3, consulte Política de buckets de Amazon S3 para copiar eventos de registro de seguimiento. Para obtener más información sobre la desactivación de las ACL, consulte Control de la propiedad de los objetos y desactivación de las ACL del bucket.
CloudTrail solo copia los eventos de registro de seguimiento de los archivos de registros comprimidos Gzip que están en el bucket de S3 de origen. CloudTrail no copia los eventos de registro de seguimiento de los archivos de registros sin comprimir ni de los archivos de registros que se comprimieron con un formato distinto de Gzip.
Para evitar la duplicación de eventos entre el registro de seguimiento de origen y el almacén de datos de eventos de destino, elija un intervalo de tiempo para los eventos copiados que sea anterior a la creación del almacén de datos de eventos.
De forma predeterminada, CloudTrail solo copia los eventos de CloudTrail contenidos en el prefijo CloudTrail del bucket de S3 y los prefijos dentro del prefijo CloudTrail y no comprueba los prefijos de otros servicios de AWS. Si desea copiar los eventos de CloudTrail contenidos en otro prefijo, debe elegir el prefijo al copiar los eventos del registro de seguimiento.
Para copiar los eventos de registro de seguimiento en el almacén de datos de eventos de una organización, debe utilizar la cuenta de administración de la organización. No puede usar la cuenta del administrador delegado para copiar eventos de registros de seguimiento en el almacén de datos de eventos de una organización.

Permisos necesarios para copiar eventos de registro de seguimiento

Antes de copiar los eventos de registro de seguimiento, asegúrese de tener todos los permisos necesarios para su rol de IAM. Solo necesita actualizar los permisos del rol de IAM si elige un rol de IAM existente para copiar los eventos de registro de seguimiento. Si elige crear un nuevo rol de IAM, CloudTrail proporciona todos los permisos necesarios para el rol.

Si el bucket de S3 de origen usa una clave de KMS para el cifrado de datos, verifique que la política de la clave de KMS permite a CloudTrail descifrar datos en el bucket. Si el bucket de S3 de origen utiliza varias claves de KMS, debe actualizar la política de cada clave de manera que permitan a CloudTrail descifrar datos en el bucket.

Temas

Permisos de IAM para copiar eventos de registro de seguimiento
Política de buckets de Amazon S3 para copiar eventos de registro de seguimiento
Política de claves KMS para descifrar datos en el bucket de S3 de origen

Permisos de IAM para copiar eventos de registro de seguimiento

Al copiar eventos de registro de seguimiento, tiene la opción de crear un nuevo rol de IAM o utilizar uno existente. Cuando elige un nuevo rol de IAM, CloudTrail crea un rol de IAM con los permisos necesarios y no se requiere ninguna acción adicional de su parte.

Si elige un rol existente, asegúrese de que las políticas de roles de IAM permitan a CloudTrail copiar los eventos de registro de seguimiento desde el bucket de S3 de origen. Esta sección proporciona ejemplos de las políticas de confianza y de permisos necesarias para el rol de IAM.

El siguiente ejemplo muestra la política de permisos, que permite a CloudTrail copiar los eventos de registro de seguimiento en el bucket de S3 de origen. Sustituya amzn-s3-demo-bucket, myAccountID, region, prefix y eventDataStoreId por los valores correspondientes para la configuración. myAccountID es el ID de la cuenta de AWS utilizado para CloudTrail Lake, que puede no ser el ID de la cuenta de AWS del bucket de S3.

Sustituya key-region, keyAccountID y keyID por los valores de la clave de KMS utilizada para cifrar el bucket de S3 de origen. Puede omitir la instrucción AWSCloudTrailImportKeyAccess si el bucket de S3 de origen no utiliza una clave de KMS para el cifrado.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailImportBucketAccess",
      "Effect": "Allow",
      "Action": ["s3:ListBucket", "s3:GetBucketAcl"],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportObjectAccess",
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix",
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportKeyAccess",
      "Effect": "Allow",
      "Action": ["kms:GenerateDataKey","kms:Decrypt"],
      "Resource": [
        "arn:aws:kms:key-region:keyAccountID:key/keyID"
      ]
    }
  ]
}

El siguiente ejemplo muestra la política de confianza de IAM, que permite a CloudTrail asumir un rol de IAM para copiar los eventos de registro de seguimiento del bucket de S3. Complete myAccountID (ID de la cuenta), region (Región) y eventDataStoreArn (ARN del almacén de datos de eventos) con los valores apropiados para la configuración. myAccountID es el ID de la Cuenta de AWS que se usa para CloudTrail Lake, que puede no ser igual al ID de la cuenta de AWS del bucket de S3.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
        }
      }
    }
  ]
}

Política de buckets de Amazon S3 para copiar eventos de registro de seguimiento

De forma predeterminada, los buckets y los objetos de Amazon S3 son privados. Solo el propietario del recurso (la cuenta de AWS que creó el bucket) puede tener acceso al bucket y a los objetos que contiene. El propietario del recurso puede conceder permisos de acceso a otros recursos y usuarios escribiendo una política de acceso.

Antes de copiar los eventos de registro de seguimiento, debe actualizar la política de buckets de S3 para permitir que CloudTrail copie los eventos de registro de seguimiento en el bucket de S3.

Puede agregar la siguiente instrucción a la política de buckets de S3 para conceder estos permisos. Sustituya roleArn y amzn-s3-demo-bucket por los valores apropiados para la configuración.


{
  "Sid": "AWSCloudTrailImportBucketAccess",
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetBucketAcl",
    "s3:GetObject"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": [
    "arn:aws:s3:::amzn-s3-demo-bucket",
    "arn:aws:s3:::amzn-s3-demo-bucket/*"
  ]
},

Política de claves KMS para descifrar datos en el bucket de S3 de origen

Si el bucket de S3 de origen usa una clave de KMS para el cifrado de datos, verifique que la política de claves de KMS proporcione a CloudTrail los permisos necesarios kms:Decrypt y kms:GenerateDataKey para copiar eventos de registros de seguimiento de un bucket de S3 con el cifrado SSE-KMS activado. Si su bucket de S3 de origen utiliza varias claves de KMS, debe actualizar la política de cada clave. Actualizar la política de la clave de KMS permite a CloudTrail descifrar los datos en el bucket de S3 de origen, ejecutar comprobaciones de validación para garantizar que los eventos cumplan los estándares de CloudTrail y copiar los eventos en el almacén de datos de eventos de CloudTrail Lake.

El siguiente ejemplo muestra la política de la clave de KMS, la cual permite a CloudTrail descifrar los datos en el bucket de S3 de origen. Sustituya roleArn, amzn-s3-demo-bucket, myAccountID, region y eventDataStoreId por los valores apropiados para su configuración. myAccountID es el ID de la cuenta de AWS utilizado para CloudTrail Lake, que puede no ser el ID de la cuenta de AWS del bucket de S3.


{
  "Sid": "AWSCloudTrailImportDecrypt",
  "Effect": "Allow",
  "Action": [
          "kms:Decrypt",
          "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/*"
    },
    "StringEquals": {
      "aws:SourceAccount": "myAccountID",
      "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
    }
  }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Administración de los ciclos de vida de los almacenes de datos de eventos

Copiar eventos de registro de seguimiento a un almacén de datos de eventos existente