Copiar eventos de registro de seguimiento en un almacén de datos de eventos - AWS CloudTrail
Consideraciones para copiar eventos de registros de seguimientoPermisos necesarios para copiar eventos de registro de seguimiento

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Copiar eventos de registro de seguimiento en un almacén de datos de eventos

Puede copiar los eventos del sendero a un banco de datos de eventos de CloudTrail Lake para crear una point-in-time instantánea de los eventos registrados en el sendero. Copiar los eventos de un registro de seguimiento no interfiere con la capacidad del registro de seguimiento para registrar eventos y no modifica el registro de seguimiento de ninguna manera.

Puede copiar los eventos de los senderos a un banco de datos de eventos existente configurado para CloudTrail eventos, o puede crear un nuevo banco de datos de CloudTrail eventos y elegir la opción Copiar los eventos de los senderos como parte de la creación del banco de datos de eventos. Para obtener más información acerca de cómo copiar eventos de registros de seguimiento en un almacén de datos de eventos existente, consulte Copie los eventos de seguimiento a un almacén de datos de eventos existente con la consola. Para obtener más información acerca de la creación de un nuevo almacén de datos de eventos, consulte Cree un almacén de datos de CloudTrail eventos para los eventos con la consola.

Si va a copiar los eventos de registro de seguimiento en el almacén de datos de eventos de una organización, debe utilizar la cuenta de administración de la organización. No puede copiar los eventos de registro de seguimiento con la cuenta del administrador delegado de una organización.

CloudTrail Los almacenes de datos de eventos de Lake incurren en cargos. Cuando crea un almacén de datos de eventos, elige la opción de precios que desea utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como el periodo de retención predeterminado y máximo del almacén de datos de eventos. Para obtener información sobre CloudTrail los precios y la administración de los costos de Lake, consulte AWS CloudTrail Precios yGestión de los costos de los CloudTrail lagos.

Cuando copias los eventos de los senderos a un banco de datos de eventos de CloudTrail Lake, incurres en cargos en función de la cantidad de datos sin comprimir que ingiera el almacén de datos de eventos.

Al copiar los eventos de los senderos en CloudTrail Lake, se CloudTrail descomprimen los registros almacenados en formato gzip (comprimido) y, a continuación, se copian los eventos contenidos en los registros en el almacén de datos de eventos. El tamaño de los datos sin comprimir podría ser mayor que el tamaño real del almacenamiento de S3. Para obtener una estimación general del tamaño de los datos sin comprimir, puede multiplicar por 10 el tamaño de los registros del bucket de S3.

Puede reducir los costos especificando un intervalo de tiempo más reducido para los eventos copiados. Si planea usar solo el almacén de datos de eventos para consultar los eventos copiados, puede desactivar la ingesta de eventos para evitar generar cargos por eventos futuros. Para obtener más información, consulte Precios de AWS CloudTrail y Gestión de los costos de los CloudTrail lagos.

Escenarios

En la siguiente tabla, se describen algunos escenarios habituales para copiar eventos de registros de seguimiento y cómo seguir cada uno de ellos mediante la consola.

Escenario ¿Cómo puedo lograr esto en la consola?

Analiza y consulta los eventos históricos de los senderos de CloudTrail Lake sin ingerir nuevos eventos

Cree un nuevo almacén de datos de eventos y seleccione la opción Copiar eventos de registros de seguimiento como parte de la creación del almacén de datos de eventos. Al crear el almacén de datos de eventos, desmarque Incorporar eventos (paso 15 del procedimiento) para garantizar que el almacén de datos de eventos contenga solo los eventos históricos del registro de seguimiento y no los eventos futuros.

Sustituya su sendero actual por un almacén de datos de eventos de CloudTrail Lake

Cree un almacén de datos de eventos con los mismos selectores de eventos que el registro de seguimiento para asegurarse de que el almacén de datos de eventos tenga la misma cobertura que el registro de seguimiento.

Para evitar la duplicación de eventos entre el registro de seguimiento de origen y el almacén de datos de eventos de destino, elija un intervalo de fecha para los eventos copiados que sea anterior a la creación del almacén de datos de eventos.

Después de crear el almacén de datos de eventos, puede desactivar el registro del registro de seguimiento para evitar cargos adicionales.
Temas

Consideraciones para copiar eventos de registros de seguimiento

Tenga en cuenta los siguientes factores al copiar eventos de registro de seguimiento.

  • Al copiar los eventos de las rutas, CloudTrail utiliza la operación de la GetObjectAPI de S3 para recuperar los eventos de las rutas del depósito de S3 de origen. Hay algunas clases de almacenamiento archivado de S3, como S3 Glacier Flexible Retrieval, S3 Glacier Deep Archive, S3 Outposts y S3 Intelligent-Tiering Deep Archive, a las que no puede acceder con GetObject. Para copiar los eventos de registros de seguimiento almacenados en estas clases de almacenamiento archivado, primero debe restaurar una copia mediante la operación RestoreObject de S3. Para obtener información sobre la restauración de objetos archivados, consulte Restauración de objetos archivados en la Guía del usuario de Amazon S3.

  • Al copiar los eventos de seguimiento a un banco de datos de eventos, CloudTrail copia todos los eventos de seguimiento, independientemente de la configuración de los tipos de eventos del banco de datos de eventos de destino, de los selectores de eventos avanzados o Región de AWS.

  • Antes de copiar los eventos del registro de seguimiento a un almacén de datos de eventos existente, asegúrese de que la opción de precios y el periodo de retención del almacén de datos de eventos estén configurados adecuadamente para su caso de uso.

    • Opción de precios: la opción de precios determina el costo de la incorporación y el almacenamiento de los eventos. Para obtener más información sobre las opciones de precios, consulte Precios de AWS CloudTrail y Opciones de precios del almacén de datos de eventos.

    • Período de retención: el período de retención determina cuánto tiempo se guardan los datos del evento en el almacén de datos del evento. CloudTrail solo copia los eventos de seguimiento que están eventTime dentro del período de retención del almacén de datos de eventos. Para determinar el período de retención adecuado, calcula la suma del evento más antiguo que deseas copiar en días y el número de días que deseas conservar los eventos en el almacén de datos del evento (período de retención = oldest-event-in-days+ number-days-to-retain). Por ejemplo, si el evento más antiguo que va a copiar tiene 45 días y desea conservar los eventos en el almacén de datos de eventos durante otros 45 días, debe establecer el periodo de retención en 90 días.

  • Si está copiando eventos de registros de seguimiento en un almacén de datos de eventos para investigarlos y no desea incorporar ningún evento futuro, puede detener la incorporación en el almacén de datos de eventos. Al crear el almacén de datos de eventos, desmarque la opción Incorporar eventos (paso 15 del procedimiento) para garantizar que el almacén de datos de eventos contenga solo los eventos históricos del registro de seguimiento y no los eventos futuros.

  • Antes de copiar los eventos de registro de seguimiento, desactive cualquier lista de control de acceso (ACL) adjunta al bucket de S3 de origen y actualice la política de buckets de S3 para el almacén de datos de eventos de destino. Para obtener más información sobre la actualización de la política de buckets de S3, consulte Política de buckets de Amazon S3 para copiar eventos de registro de seguimiento. Para obtener más información sobre la desactivación de las ACL, consulte Control de la propiedad de los objetos y desactivación de las ACL del bucket.

  • CloudTrail solo copia los eventos de seguimiento de los archivos de registro comprimidos con Gzip que se encuentran en el depósito S3 de origen. CloudTrail no copia los eventos de seguimiento de archivos de registro sin comprimir ni de archivos de registro que se comprimieron con un formato que no sea Gzip.

  • Para evitar la duplicación de eventos entre el registro de seguimiento de origen y el almacén de datos de eventos de destino, elija un intervalo de tiempo para los eventos copiados que sea anterior a la creación del almacén de datos de eventos.

  • De forma predeterminada, CloudTrail solo copia CloudTrail los eventos contenidos en el prefijo del bucket de S3 y los CloudTrail prefijos incluidos en el prefijo, y no comprueba los CloudTrail prefijos de otros servicios. AWS Si desea copiar los CloudTrail eventos incluidos en otro prefijo, debe elegir el prefijo al copiar los eventos de seguimiento.

  • Para copiar los eventos de registro de seguimiento en el almacén de datos de eventos de una organización, debe utilizar la cuenta de administración de la organización. No puede usar la cuenta del administrador delegado para copiar eventos de registros de seguimiento en el almacén de datos de eventos de una organización.

Permisos necesarios para copiar eventos de registro de seguimiento

Antes de copiar los eventos de seguimiento, asegúrese de tener todos los permisos necesarios para su función de IAM. Solo necesita actualizar los permisos del rol de IAM si elige un rol de IAM existente para copiar los eventos de registro de seguimiento. Si decide crear un nuevo rol de IAM, CloudTrail proporciona todos los permisos necesarios para el rol.

Si el depósito de S3 de origen utiliza una clave de KMS para el cifrado de datos, asegúrese de que la política de claves de KMS CloudTrail permita descifrar los datos del depósito. Si el bucket de S3 de origen usa varias claves KMS, debe actualizar la política de cada clave CloudTrail para poder descifrar los datos del bucket.

Permisos de IAM para copiar eventos de registro de seguimiento

Al copiar eventos de registro de seguimiento, tiene la opción de crear un nuevo rol de IAM o utilizar uno existente. Al elegir una nueva función de IAM, CloudTrail crea una función de IAM con los permisos necesarios y no es necesario que realice ninguna otra acción por su parte.

Si elige un rol existente, asegúrese de que las políticas del rol de IAM permitan CloudTrail copiar los eventos de seguimiento del bucket de S3 de origen. Esta sección proporciona ejemplos de las políticas de confianza y de permisos necesarias para el rol de IAM.

En el siguiente ejemplo, se proporciona la política de permisos, que permite CloudTrail copiar los eventos de seguimiento del depósito de S3 de origen. Sustituya DOC-EXAMPLE-BUCKET, eventDataStoremyAccountID, region, prefijo e Id por los valores adecuados para su configuración. El myAccountID es el identificador de AWS cuenta utilizado para CloudTrail Lake, que puede no coincidir con el identificador de cuenta del bucket de S3. AWS

Sustituya key-region, keyAccountID y keyID por los valores de la clave de KMS utilizada para cifrar el bucket de S3 de origen. Puede omitir la instrucción AWSCloudTrailImportKeyAccess si el bucket de S3 de origen no utiliza una clave de KMS para el cifrado.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailImportBucketAccess",
      "Effect": "Allow",
      "Action": ["s3:ListBucket", "s3:GetBucketAcl"],
      "Resource": [
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportObjectAccess",
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": [
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/prefix",
        "arn:aws:s3:::DOC-EXAMPLE-BUCKET/prefix/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportKeyAccess",
      "Effect": "Allow",
      "Action": ["kms:GenerateDataKey","kms:Decrypt"],
      "Resource": [
        "arn:aws:kms:key-region:keyAccountID:key/keyID"
      ]
    }
  ]
}

El siguiente ejemplo proporciona la política de confianza de IAM, que permite asumir una función de IAM CloudTrail para copiar los eventos de seguimiento del bucket de S3 de origen. Sustituya myAccountID, region y eventDataStoreArn por los valores adecuados para su configuración. El Cuenta de AWS myAccountID es el identificador utilizado para CloudTrail Lake, que puede no coincidir con el identificador de cuenta del bucket de S3. AWS 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
        }
      }
    }
  ]
}

Política de buckets de Amazon S3 para copiar eventos de registro de seguimiento

De forma predeterminada, los buckets y los objetos de Amazon S3 son privados. Solo el propietario del recurso (la cuenta de AWS que creó el bucket) puede tener acceso al bucket y a los objetos que contiene. El propietario del recurso puede conceder permisos de acceso a otros recursos y usuarios escribiendo una política de acceso.

Antes de copiar los eventos de seguimiento, debe actualizar la política de buckets de S3 CloudTrail para permitir copiar los eventos de trail del bucket de S3 de origen.

Puede añadir la siguiente declaración a la política de buckets de S3 para conceder estos permisos. Sustituya RoLearn y DOC-EXAMPLE-BUCKET por los valores adecuados para su configuración.

{
  "Sid": "AWSCloudTrailImportBucketAccess",
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetBucketAcl",
    "s3:GetObject"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": [
    "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
    "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
  ]
},

Política de claves KMS para descifrar datos en el bucket de S3 de origen

Si el bucket de S3 de origen utiliza una clave KMS para el cifrado de datos, asegúrese de que la política de claves de KMS proporcione kms:GenerateDataKey los permisos necesarios para copiar los eventos de seguimiento de un bucket de S3 CloudTrail con el kms:Decrypt cifrado SSE-KMS activado. Si su bucket de S3 de origen utiliza varias claves de KMS, debe actualizar la política de cada clave. La actualización de la política de claves de KMS CloudTrail permite descifrar los datos del bucket S3 de origen, realizar comprobaciones de validación para garantizar que los eventos cumplen con los CloudTrail estándares y copiar los eventos en el almacén de datos de eventos de CloudTrail Lake.

El siguiente ejemplo proporciona la política de claves de KMS, que CloudTrail permite descifrar los datos del bucket de S3 de origen. Sustituya RoLearn, DOC-EXAMPLE-BUCKET, myAccountID, region e eventDataStore Id por los valores adecuados para su configuración. El myAccountID es el identificador de AWS cuenta utilizado para CloudTrail Lake, que puede no coincidir con el identificador de cuenta del bucket de S3. AWS 

{
  "Sid": "AWSCloudTrailImportDecrypt",
  "Effect": "Allow",
  "Action": [
          "kms:Decrypt",
          "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
    },
    "StringEquals": {
      "aws:SourceAccount": "myAccountID",
      "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
    }
  }
}