Consideraciones para copiar eventos de registros de seguimiento Permisos necesarios para copiar eventos de registro de seguimiento

Copiar los eventos del sendero al CloudTrail lago

Puede copiar los eventos de senderos existentes a un banco de datos de eventos de CloudTrail Lake para crear una point-in-time instantánea de los eventos registrados en el sendero. Copiar eventos de registro de seguimiento no interfiere con la capacidad del registro de seguimiento para registrar eventos y no modifica el registro de seguimiento de ninguna manera.

Puede copiar los eventos de los senderos a un banco de datos de eventos existente configurado para CloudTrail eventos, o puede crear un nuevo banco de datos de CloudTrail eventos y elegir la opción Copiar los eventos de los senderos como parte de la creación del banco de datos de eventos. Para obtener más información acerca de cómo copiar eventos de registros de seguimiento en un almacén de datos de eventos existente, consulte Copie los eventos de seguimiento a un almacén de datos de eventos existente mediante la CloudTrail consola. Para obtener más información acerca de la creación de un nuevo almacén de datos de eventos, consulte Cree un almacén de datos de CloudTrail eventos para eventos con la consola.

Al copiar los eventos de los senderos a un banco de datos de eventos de CloudTrail Lake, puede realizar consultas sobre los eventos copiados. CloudTrail Las consultas de Lake ofrecen una visión más profunda y personalizable de los eventos que las simples búsquedas de claves y valores en el historial de eventos o en curso. LookupEvents Para obtener más información sobre CloudTrail Lake, consulte. Trabajando con AWS CloudTrail Lake

Si va a copiar los eventos de registro de seguimiento en el almacén de datos de eventos de una organización, debe utilizar la cuenta de administración de la organización. No puede copiar los eventos de registro de seguimiento con la cuenta del administrador delegado de una organización.

CloudTrail Los almacenes de datos de eventos de Lake incurren en cargos. Cuando crea un almacén de datos de eventos, elige la opción de precios que desea utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como el periodo de retención predeterminado y máximo del almacén de datos de eventos. Para obtener información sobre CloudTrail los precios y la administración de los costos de Lake, consulte AWS CloudTrail Precios yGestión de los costos de los CloudTrail lagos.

Cuando copias los eventos de los senderos a un banco de datos de eventos de CloudTrail Lake, incurres en cargos en función de la cantidad de datos sin comprimir que ingiera el almacén de datos de eventos.

Al copiar los eventos de los senderos en CloudTrail Lake, se CloudTrail descomprimen los registros almacenados en formato gzip (comprimido) y, a continuación, se copian los eventos contenidos en los registros en el almacén de datos de eventos. El tamaño de los datos sin comprimir podría ser mayor que el tamaño real del almacenamiento de S3. Para obtener una estimación general del tamaño de los datos sin comprimir, puede multiplicar por 10 el tamaño de los registros del bucket de S3.

Puede reducir los costos especificando un intervalo de tiempo más reducido para los eventos copiados. Si planea usar solo el almacén de datos de eventos para consultar los eventos copiados, puede desactivar la ingesta de eventos para evitar generar cargos por eventos futuros. Para obtener más información, consulte Precios de AWS CloudTrail y Gestión de los costos de los CloudTrail lagos.

Escenarios

En la siguiente tabla, se describen algunos escenarios habituales para copiar eventos de registros de seguimiento y cómo seguir cada uno de ellos mediante la consola.

Escenario	¿Cómo puedo lograr esto en la consola?
Analiza y consulta los eventos históricos de los senderos de CloudTrail Lake sin ingerir nuevos eventos	Cree un nuevo almacén de datos de eventos y seleccione la opción Copiar eventos de registros de seguimiento como parte de la creación del almacén de datos de eventos. Al crear el almacén de datos de eventos, desmarque Incorporar eventos (paso 15 del procedimiento) para garantizar que el almacén de datos de eventos contenga solo los eventos históricos del registro de seguimiento y no los eventos futuros.
Sustituya su sendero actual por un almacén de datos de eventos de CloudTrail Lake	Cree un almacén de datos de eventos con los mismos selectores de eventos que el registro de seguimiento para asegurarse de que el almacén de datos de eventos tenga la misma cobertura que el registro de seguimiento. Para evitar la duplicación de eventos entre el registro de seguimiento de origen y el almacén de datos de eventos de destino, elija un intervalo de fecha para los eventos copiados que sea anterior a la creación del almacén de datos de eventos. Después de crear el almacén de datos de eventos, puede desactivar el registro del registro de seguimiento para evitar cargos adicionales.

Escenario

¿Cómo puedo lograr esto en la consola?

Analiza y consulta los eventos históricos de los senderos de CloudTrail Lake sin ingerir nuevos eventos

Cree un nuevo almacén de datos de eventos y seleccione la opción Copiar eventos de registros de seguimiento como parte de la creación del almacén de datos de eventos. Al crear el almacén de datos de eventos, desmarque Incorporar eventos (paso 15 del procedimiento) para garantizar que el almacén de datos de eventos contenga solo los eventos históricos del registro de seguimiento y no los eventos futuros.

Sustituya su sendero actual por un almacén de datos de eventos de CloudTrail Lake

Cree un almacén de datos de eventos con los mismos selectores de eventos que el registro de seguimiento para asegurarse de que el almacén de datos de eventos tenga la misma cobertura que el registro de seguimiento.

Para evitar la duplicación de eventos entre el registro de seguimiento de origen y el almacén de datos de eventos de destino, elija un intervalo de fecha para los eventos copiados que sea anterior a la creación del almacén de datos de eventos.

Después de crear el almacén de datos de eventos, puede desactivar el registro del registro de seguimiento para evitar cargos adicionales.

Temas

Consideraciones para copiar eventos de registros de seguimiento

Tenga en cuenta los siguientes factores al copiar eventos de registro de seguimiento.

Al copiar los eventos de los senderos, CloudTrail utiliza la GetObjectAPIoperación S3 para recuperar los eventos de los senderos del depósito S3 de origen. Hay algunas clases de almacenamiento archivado de S3, como S3 Glacier Flexible Retrieval, S3 Glacier Deep Archive, S3 Outposts y S3 Intelligent-Tiering Deep Archive, a las que no puede acceder con GetObject. Para copiar los eventos de registros de seguimiento almacenados en estas clases de almacenamiento archivado, primero debe restaurar una copia mediante la operación RestoreObject de S3. Para obtener información sobre la restauración de objetos archivados, consulte Restauración de objetos archivados en la Guía del usuario de Amazon S3.
Al copiar los eventos de rastreo a un banco de datos de eventos, CloudTrail copia todos los eventos de rastreo, independientemente de la configuración de los tipos de eventos del banco de datos de eventos de destino, de los selectores de eventos avanzados o Región de AWS.
Antes de copiar los eventos del registro de seguimiento a un almacén de datos de eventos existente, asegúrese de que la opción de precios y el periodo de retención del almacén de datos de eventos estén configurados adecuadamente para su caso de uso.
- Opción de precios: la opción de precios determina el costo de la incorporación y el almacenamiento de los eventos. Para obtener más información sobre las opciones de precios, consulte Precios de AWS CloudTrail y Opciones de precios del almacén de datos de eventos.
- Período de retención: el período de retención determina cuánto tiempo se guardan los datos del evento en el almacén de datos del evento. CloudTrail solo copia los eventos de seguimiento que están eventTime dentro del período de retención del almacén de datos de eventos. Para determinar el período de retención adecuado, tome la suma del evento más antiguo que desea copiar en días y el número de días que desea conservar los eventos en el almacén de datos del evento (período de retención = oldest-event-in-days + number-days-to-retain). Por ejemplo, si el evento más antiguo que vas a copiar tiene 45 días y deseas conservar los eventos en el almacén de datos del evento durante otros 45 días, deberías establecer el período de retención en 90 días.
Si está copiando eventos de registros de seguimiento en un almacén de datos de eventos para investigarlos y no desea incorporar ningún evento futuro, puede detener la incorporación en el almacén de datos de eventos. Al crear el almacén de datos de eventos, desmarque la opción Incorporar eventos (paso 15 del procedimiento) para garantizar que el almacén de datos de eventos contenga solo los eventos históricos del registro de seguimiento y no los eventos futuros.
Antes de copiar los eventos de seguimiento, desactiva todas las listas de control de acceso (ACLs) adjuntas al bucket de S3 de origen y actualiza la política del bucket de S3 del almacén de datos de eventos de destino. Para obtener más información sobre la actualización de la política de buckets de S3, consulte Política de buckets de Amazon S3 para copiar eventos de registro de seguimiento. Para obtener más información sobre la desactivaciónACLs, consulte Controlar la propiedad de los objetos y deshabilitar ACLs el bucket.
CloudTrail solo copia los eventos de seguimiento de los archivos de registro comprimidos con Gzip que se encuentran en el bucket S3 de origen. CloudTrail no copia los eventos de seguimiento de archivos de registro sin comprimir ni de archivos de registro que se comprimieron con un formato que no sea Gzip.
Para evitar la duplicación de eventos entre el registro de seguimiento de origen y el almacén de datos de eventos de destino, elija un intervalo de tiempo para los eventos copiados que sea anterior a la creación del almacén de datos de eventos.
De forma predeterminada, CloudTrail solo copia CloudTrail los eventos contenidos en el prefijo del bucket de S3 y los CloudTrail prefijos incluidos en el prefijo, y no comprueba los CloudTrail prefijos de otros servicios. AWS Si desea copiar los CloudTrail eventos incluidos en otro prefijo, debe elegir el prefijo al copiar los eventos de seguimiento.
Para copiar los eventos de registro de seguimiento en el almacén de datos de eventos de una organización, debe utilizar la cuenta de administración de la organización. No puede usar la cuenta del administrador delegado para copiar eventos de registros de seguimiento en el almacén de datos de eventos de una organización.

Permisos necesarios para copiar eventos de registro de seguimiento

Antes de copiar los eventos de seguimiento, asegúrese de tener todos los permisos necesarios para su IAM función. Solo necesitas actualizar los permisos del IAM rol si eliges un IAM rol existente para copiar los eventos de seguimiento. Si decide crear un nuevo IAM rol, CloudTrail proporciona todos los permisos necesarios para el rol.

Si el depósito S3 de origen utiliza una KMS clave para el cifrado de datos, asegúrese de que la política de KMS claves CloudTrail permita descifrar los datos del depósito. Si el depósito de S3 de origen utiliza varias KMS claves, debe actualizar la política de cada clave CloudTrail para poder descifrar los datos del depósito.

Temas

IAMpermisos para copiar eventos de seguimiento
Política de buckets de Amazon S3 para copiar eventos de registro de seguimiento
KMSpolítica clave para descifrar los datos del depósito S3 de origen

IAMpermisos para copiar eventos de seguimiento

Al copiar eventos de seguimiento, tiene la opción de crear un nuevo IAM rol o usar uno existenteIAM. Al elegir un nuevo IAM rol, CloudTrail crea uno con los permisos necesarios y no es necesario que realices ninguna otra acción. IAM

Si elige un rol existente, asegúrese de que las políticas del IAM rol CloudTrail permitan copiar los eventos de seguimiento del bucket de S3 de origen. En esta sección se proporcionan ejemplos de las políticas de permisos y confianza de los IAM roles necesarios.

En el siguiente ejemplo, se proporciona la política de permisos, que CloudTrail permite copiar los eventos de seguimiento del bucket de S3 de origen. Reemplazar amzn-s3-demo-bucket, myAccountID, region, prefix, y eventDataStoreId con los valores adecuados para su configuración. La myAccountID es el ID de AWS cuenta utilizado para CloudTrail Lake, que puede no ser el mismo que el ID de AWS cuenta del bucket de S3.

Reemplazar key-region, keyAccountID, y keyID con los valores de la KMS clave utilizada para cifrar el bucket de S3 de origen. Puede omitir la AWSCloudTrailImportKeyAccess declaración si el depósito S3 de origen no utiliza una KMS clave para el cifrado.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AWSCloudTrailImportBucketAccess",
      "Effect": "Allow",
      "Action": ["s3:ListBucket", "s3:GetBucketAcl"],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportObjectAccess",
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix",
        "arn:aws:s3:::amzn-s3-demo-bucket/prefix/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
         }
       }
    },
    {
      "Sid": "AWSCloudTrailImportKeyAccess",
      "Effect": "Allow",
      "Action": ["kms:GenerateDataKey","kms:Decrypt"],
      "Resource": [
        "arn:aws:kms:key-region:keyAccountID:key/keyID"
      ]
    }
  ]
}

El siguiente ejemplo proporciona la política de IAM confianza, que permite CloudTrail asumir la IAM función de copiar los eventos de seguimiento del bucket de S3 de origen. Reemplazar myAccountID, region, y eventDataStoreArn con los valores adecuados para su configuración. La myAccountID es el Cuenta de AWS ID utilizado para CloudTrail Lake, que puede no ser el mismo que el ID de AWS cuenta del bucket de S3.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudtrail.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "myAccountID",
          "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
        }
      }
    }
  ]
}

Política de buckets de Amazon S3 para copiar eventos de registro de seguimiento

De forma predeterminada, los buckets y los objetos de Amazon S3 son privados. Solo el propietario del recurso (la cuenta de AWS que creó el bucket) puede tener acceso al bucket y a los objetos que contiene. El propietario del recurso puede conceder permisos de acceso a otros recursos y usuarios escribiendo una política de acceso.

Antes de copiar los eventos de seguimiento, debe actualizar la política del bucket de S3 CloudTrail para permitir copiar los eventos de seguimiento del bucket de S3 de origen.

Puede añadir la siguiente declaración a la política de buckets de S3 para conceder estos permisos. Reemplazar roleArn y amzn-s3-demo-bucket con los valores adecuados para su configuración.


{
  "Sid": "AWSCloudTrailImportBucketAccess",
  "Effect": "Allow",
  "Action": [
    "s3:ListBucket",
    "s3:GetBucketAcl",
    "s3:GetObject"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": [
    "arn:aws:s3:::amzn-s3-demo-bucket",
    "arn:aws:s3:::amzn-s3-demo-bucket/*"
  ]
},

KMSpolítica clave para descifrar los datos del depósito S3 de origen

Si el depósito de S3 de origen utiliza una KMS clave para el cifrado de datos, asegúrese de que la política de KMS claves CloudTrail proporcione kms:Decrypt los kms:GenerateDataKey permisos necesarios para copiar los eventos de seguimiento de un depósito de S3 con SSE el KMS cifrado activado. Si su bucket de S3 de origen usa varias KMS claves, debe actualizar la política de cada clave. La actualización de la política de KMS claves CloudTrail permite descifrar los datos del depósito S3 de origen, realizar comprobaciones de validación para garantizar que los eventos cumplen con los CloudTrail estándares y copiar los eventos en el almacén de datos de eventos de CloudTrail Lake.

El siguiente ejemplo proporciona la política KMS clave, que CloudTrail permite descifrar los datos del depósito de S3 de origen. Reemplazar roleArn, amzn-s3-demo-bucket, myAccountID, region, y eventDataStoreId con los valores adecuados para su configuración. La myAccountID es el ID de AWS cuenta utilizado para CloudTrail Lake, que puede no ser el mismo que el ID de AWS cuenta del bucket de S3.


{
  "Sid": "AWSCloudTrailImportDecrypt",
  "Effect": "Allow",
  "Action": [
          "kms:Decrypt",
          "kms:GenerateDataKey"
  ],
  "Principal": {
    "AWS": "roleArn"
  },
  "Resource": "*",
  "Condition": {
    "StringLike": {
      "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::amzn-s3-demo-bucket/*"
    },
    "StringEquals": {
      "aws:SourceAccount": "myAccountID",
      "aws:SourceArn": "arn:aws:cloudtrail:region:myAccountID:eventdataStore/eventDataStoreId"
    }
  }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Visualización de eventos de CloudTrail Insights para senderos con el AWS CLI

Copie los eventos de seguimiento a un almacén de datos de eventos existente mediante la CloudTrail consola