Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Copiar eventos de registro de seguimiento en un almacén de datos de eventos

PDF
RSS
Modo de enfoque
Copiar eventos de registro de seguimiento en un almacén de datos de eventos - AWS CloudTrail
Consideraciones para copiar eventos de registros de seguimientoPermisos necesarios para copiar eventos de registro de seguimiento

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Puede copiar los eventos de los senderos a un CloudTrail banco de datos de eventos de un lago para crear una point-in-time instantánea de los eventos registrados en el sendero. Copiar los eventos de un registro de seguimiento no interfiere con la capacidad del registro de seguimiento para registrar eventos y no modifica el registro de seguimiento de ninguna manera.

Puede copiar los eventos de los senderos a un banco de datos de eventos existente configurado para CloudTrail eventos, o puede crear un nuevo banco de datos de CloudTrail eventos y elegir la opción Copiar los eventos de los senderos como parte de la creación del banco de datos de eventos. Para obtener más información acerca de cómo copiar eventos de registros de seguimiento en un almacén de datos de eventos existente, consulte Copia de eventos de registro de seguimiento a un almacén de datos de eventos existente con la consola. Para obtener más información acerca de la creación de un nuevo almacén de datos de eventos, consulte Cree un almacén de datos de CloudTrail eventos para eventos con la consola.

Si va a copiar los eventos de registro de seguimiento en el almacén de datos de eventos de una organización, debe utilizar la cuenta de administración de la organización. No puede copiar los eventos de registro de seguimiento con la cuenta del administrador delegado de una organización.

CloudTrail Los almacenes de datos de eventos de Lake incurren en cargos. Cuando crea un almacén de datos de eventos, debe elegir la opción de precios que desee utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como el período de retención predeterminado y máximo del almacén de datos de eventos. Para obtener información sobre CloudTrail los precios y la administración de los costos de Lake, consulte AWS CloudTrail Precios yGestión de los costos de los CloudTrail lagos.

Cuando copias los eventos de los senderos a un banco de datos de eventos de CloudTrail Lake, incurres en cargos en función de la cantidad de datos sin comprimir que ingiera el almacén de datos de eventos.

Al copiar los eventos de los senderos en CloudTrail Lake, se CloudTrail descomprimen los registros almacenados en formato gzip (comprimido) y, a continuación, se copian los eventos contenidos en los registros en el almacén de datos de eventos. El tamaño de los datos sin comprimir podría ser mayor que el tamaño real del almacenamiento de S3. Para obtener una estimación general del tamaño de los datos sin comprimir, puede multiplicar por 10 el tamaño de los registros del bucket de S3.

Puede reducir los costos especificando un intervalo de tiempo más reducido para los eventos copiados. Si planea usar solo el almacén de datos de eventos para consultar los eventos copiados, puede desactivar la ingesta de eventos para evitar generar cargos por eventos futuros. Para obtener más información, consulte Precios de AWS CloudTrail y Gestión de los costos de los CloudTrail lagos.

Escenarios

En la siguiente tabla, se describen algunos escenarios habituales para copiar eventos de registros de seguimiento y cómo seguir cada uno de ellos mediante la consola.

Escenario ¿Cómo puedo lograr esto en la consola?

Analiza y consulta los eventos históricos de los senderos de CloudTrail Lake sin ingerir nuevos eventos

Cree un nuevo almacén de datos de eventos y seleccione la opción Copiar eventos de registros de seguimiento como parte de la creación del almacén de datos de eventos. Al crear el almacén de datos de eventos, desmarque Incorporar eventos (paso 15 del procedimiento) para garantizar que el almacén de datos de eventos contenga solo los eventos históricos del registro de seguimiento y no los eventos futuros.

Sustituya su sendero actual por un almacén de datos de eventos de CloudTrail Lake

Cree un almacén de datos de eventos con los mismos selectores de eventos que el registro de seguimiento para asegurarse de que el almacén de datos de eventos tenga la misma cobertura que el registro de seguimiento.

Para evitar la duplicación de eventos entre el registro de seguimiento de origen y el almacén de datos de eventos de destino, elija un intervalo de fecha para los eventos copiados que sea anterior a la creación del almacén de datos de eventos.

Después de crear el almacén de datos de eventos, puede desactivar el registro del registro de seguimiento para evitar cargos adicionales.
Temas

Consideraciones para copiar eventos de registros de seguimiento

Tenga en cuenta los siguientes factores al copiar eventos de registro de seguimiento.

  • Al copiar los eventos de las rutas, CloudTrail utiliza la operación de la GetObjectAPI de S3 para recuperar los eventos de las rutas del depósito de S3 de origen. Hay algunas clases de almacenamiento archivado de S3, como S3 Glacier Flexible Retrieval, S3 Glacier Deep Archive, S3 Outposts y S3 Intelligent-Tiering Deep Archive, a las que no puede acceder con GetObject. Para copiar los eventos de registros de seguimiento almacenados en estas clases de almacenamiento archivado, primero debe restaurar una copia mediante la operación RestoreObject de S3. Para obtener información sobre la restauración de objetos archivados, consulte Restauración de objetos archivados en la Guía del usuario de Amazon S3.

  • Al copiar los eventos de seguimiento a un banco de datos de eventos, CloudTrail copia todos los eventos de seguimiento, independientemente de la configuración de los tipos de eventos del banco de datos de eventos de destino, de los selectores de eventos avanzados o Región de AWS.

  • Antes de copiar los eventos del registro de seguimiento a un almacén de datos de eventos existente, asegúrese de que la opción de precios y el periodo de retención del almacén de datos de eventos estén configurados adecuadamente para su caso de uso.

    • Opción de precios: la opción de precios determina el costo de la incorporación y el almacenamiento de los eventos. Para obtener más información sobre las opciones de precios, consulte Precios de AWS CloudTrail y Opciones de precios del almacén de datos de eventos.

    • Período de retención: el período de retención determina cuánto tiempo se guardan los datos del evento en el almacén de datos del evento. CloudTrail solo copia los eventos de seguimiento que están eventTime dentro del período de retención del almacén de datos de eventos. Para determinar el período de retención adecuado, calcula la suma del evento más antiguo que deseas copiar en días y el número de días que deseas conservar los eventos en el almacén de datos del evento (período de retención = oldest-event-in-days +number-days-to-retain). Por ejemplo, si el evento más antiguo que va a copiar tiene 45 días y desea conservar los eventos en el almacén de datos de eventos durante otros 45 días, debe establecer el periodo de retención en 90 días.

  • Si está copiando eventos de registros de seguimiento en un almacén de datos de eventos para investigarlos y no desea incorporar ningún evento futuro, puede detener la incorporación en el almacén de datos de eventos. Al crear el almacén de datos de eventos, desmarque la opción Incorporar eventos (paso 15 del procedimiento) para garantizar que el almacén de datos de eventos contenga solo los eventos históricos del registro de seguimiento y no los eventos futuros.

  • Antes de copiar los eventos de seguimiento, desactive las listas de control de acceso (ACLs) adjuntas al bucket de S3 de origen y actualice la política del bucket de S3 para el almacén de datos de eventos de destino. Para obtener más información sobre la actualización de la política de buckets de S3, consulte Política de buckets de Amazon S3 para copiar eventos de registro de seguimiento. Para obtener más información sobre la desactivación ACLs, consulte Controlar la propiedad de los objetos y deshabilitar ACLs el bucket.

  • CloudTrail solo copia los eventos de seguimiento de los archivos de registro comprimidos con Gzip que se encuentran en el bucket S3 de origen. CloudTrail no copia los eventos de seguimiento de archivos de registro sin comprimir ni de archivos de registro que se comprimieron con un formato que no sea Gzip.

  • Para evitar la duplicación de eventos entre el registro de seguimiento de origen y el almacén de datos de eventos de destino, elija un intervalo de tiempo para los eventos copiados que sea anterior a la creación del almacén de datos de eventos.

  • De forma predeterminada, CloudTrail solo copia CloudTrail los eventos contenidos en el prefijo del bucket de S3 y los CloudTrail prefijos incluidos en el prefijo, y no comprueba los CloudTrail prefijos de otros servicios. AWS Si desea copiar los CloudTrail eventos incluidos en otro prefijo, debe elegir el prefijo al copiar los eventos de seguimiento.

  • Para copiar los eventos de registro de seguimiento en el almacén de datos de eventos de una organización, debe utilizar la cuenta de administración de la organización. No puede usar la cuenta del administrador delegado para copiar eventos de registros de seguimiento en el almacén de datos de eventos de una organización.

Permisos necesarios para copiar eventos de registro de seguimiento

Antes de copiar los eventos de registro de seguimiento, asegúrese de tener todos los permisos necesarios para su rol de IAM. Solo necesita actualizar los permisos del rol de IAM si elige un rol de IAM existente para copiar los eventos de registro de seguimiento. Si decide crear un nuevo rol de IAM, CloudTrail proporciona todos los permisos necesarios para el rol.

Si el depósito de S3 de origen utiliza una clave de KMS para el cifrado de datos, asegúrese de que la política de claves de KMS CloudTrail permita descifrar los datos del depósito. Si el bucket de S3 de origen usa varias claves KMS, debe actualizar la política de cada clave CloudTrail para poder descifrar los datos del bucket.

Permisos de IAM para copiar eventos de registro de seguimiento

Al copiar eventos de registro de seguimiento, tiene la opción de crear un nuevo rol de IAM o utilizar uno existente. Cuando eliges una nueva función de IAM, CloudTrail crea una función de IAM con los permisos necesarios y no es necesario que realices ninguna otra acción.

Si elige un rol existente, asegúrese de que las políticas del rol de IAM permitan CloudTrail copiar los eventos de seguimiento del bucket de S3 de origen. Esta sección proporciona ejemplos de las políticas de confianza y de permisos necesarias para el rol de IAM.

En el siguiente ejemplo, se proporciona la política de permisos, que permite CloudTrail copiar los eventos de seguimiento del depósito de S3 de origen. Sustituya amzn-s3-demo-bucket myAccountIDregion,prefix,, y eventDataStoreId por los valores adecuados para su configuración. myAccountIDEs el ID de AWS cuenta utilizado para CloudTrail Lake, que puede no ser el mismo que el ID de AWS cuenta del bucket de S3.

Sustituya key-region y por keyID los valores de la clave KMS utilizada para cifrar el bucket de S3 de origen. keyAccountID Puede omitir la instrucción AWSCloudTrailImportKeyAccess si el bucket de S3 de origen no utiliza una clave de KMS para el cifrado.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailImportBucketAccess",
      "Effect": "Allow",
      "Action": ["s3:ListBucket", "s3:GetBucketAcl"],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdatastore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportObjectAccess",
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix",
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdatastore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportKeyAccess",
      "Effect": "Allow",
      "Action": ["kms:GenerateDataKey","kms:Decrypt"],
      "Resource": [
        "arn:aws:kms:key-region:keyAccountID:key/keyID"
      ]
    }
  ]
}

El siguiente ejemplo proporciona la política de confianza de IAM, que permite asumir una función de IAM CloudTrail para copiar los eventos de seguimiento del bucket de S3 de origen. Sustituya myAccountID y por eventDataStoreArn los valores adecuados para su configuración. region myAccountIDEs el Cuenta de AWS ID utilizado para CloudTrail Lake, que puede no ser el mismo que el ID de AWS cuenta del bucket de S3.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdatastore/eventDataStoreId"
        }
      }
    }
  ]
}

Política de buckets de Amazon S3 para copiar eventos de registro de seguimiento

De forma predeterminada, los buckets y los objetos de Amazon S3 son privados. Solo el propietario del recurso (la cuenta de AWS que creó el bucket) puede tener acceso al bucket y a los objetos que contiene. El propietario del recurso puede conceder permisos de acceso a otros recursos y usuarios escribiendo una política de acceso.

Antes de copiar los eventos de seguimiento, debe actualizar la política del bucket de S3 CloudTrail para permitir copiar los eventos de seguimiento del bucket de S3 de origen.

Puede agregar la siguiente instrucción a la política de buckets de S3 para conceder estos permisos. Sustituya roleArn y amzn-s3-demo-bucket por los valores adecuados para su configuración.

{
  "Sid": "AWSCloudTrailImportBucketAccess",
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetBucketAcl",
    "s3:GetObject"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": [
    "arn:aws:s3:::amzn-s3-demo-bucket",
    "arn:aws:s3:::amzn-s3-demo-bucket/*"
  ]
},

Política de claves KMS para descifrar datos en el bucket de S3 de origen

Si el bucket de S3 de origen utiliza una clave de KMS para el cifrado de datos, asegúrese de que la política de claves de KMS proporcione CloudTrail kms:GenerateDataKey los permisos necesarios para copiar los eventos de seguimiento de un bucket de S3 con el cifrado SSE-KMS activado. kms:Decrypt Si su bucket de S3 de origen utiliza varias claves de KMS, debe actualizar la política de cada clave. La actualización de la política de claves de KMS CloudTrail permite descifrar los datos del bucket S3 de origen, realizar comprobaciones de validación para garantizar que los eventos cumplen con los CloudTrail estándares y copiar los eventos en el almacén de datos de eventos de CloudTrail Lake.

El siguiente ejemplo proporciona la política de claves de KMS, que CloudTrail permite descifrar los datos del bucket de S3 de origen. Sustituya roleArnamzn-s3-demo-bucket,myAccountID,region, y por eventDataStoreId los valores adecuados para su configuración. myAccountIDEs el ID de AWS cuenta utilizado para CloudTrail Lake, que puede no ser el mismo que el ID de AWS cuenta del bucket de S3.

{
  "Sid": "AWSCloudTrailImportDecrypt",
  "Effect": "Allow",
  "Action": [
          "kms:Decrypt",
          "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/*"
    },
    "StringEquals": {
      "aws:SourceAccount": "myAccountID",
      "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdatastore/eventDataStoreId"
    }
  }
}

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.