Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Crear un sendero con la CloudTrail consola
Como práctica recomendada se aconseja crear un registro de seguimiento que se aplica a todas las Regiones de AWS. Esta es la configuración predeterminada al crear una ruta en la CloudTrail consola. Cuando un registro se aplica a todas las regiones, CloudTrail envía los archivos de registro de todas las regiones de la AWS partición en la que está trabajando a un bucket de S3 que especifique. Tras crear la ruta, comienza a registrar AWS CloudTrail automáticamente los eventos que especificó.
nota
Después de crear un rastro, puede configurar otro Servicios de AWS para analizar más a fondo los datos de eventos recopilados en los CloudTrail registros y actuar en función de ellos. Para obtener más información, consulte AWS integraciones de servicios con registros CloudTrail .
Creación de un registro de seguimiento en la consola
Utilice el siguiente procedimiento para crear un registro que registre todos los Regiones de AWS eventos de la AWS partición en la que esté trabajando. Esta es una práctica recomendada. Para registrar eventos en una sola región (no recomendado), utilice la AWS CLI.
Para crear una CloudTrail ruta con AWS Management Console
Inicie sesión en la CloudTrail consola AWS Management Console y ábrala en https://console.aws.amazon.com/cloudtrail/
. -
En la página de inicio del CloudTrail servicio, la página Rutas o la sección Rutas de la página del panel de control, selecciona Crear ruta.
-
En la página Create Trail, escriba el nombre del registro de seguimiento en Trail name. Para obtener más información, consulte Requisitos de nomenclatura para CloudTrail los recursos, los buckets de S3 y las claves de KMS.
-
Si se trata de un registro de AWS Organizations la organización, puede habilitar el registro para todas las cuentas de su organización. Para ver esta opción, debe iniciar sesión en la consola con un usuario o un rol de la cuenta de administración o la de administrador delegado. Para crear correctamente un registro de seguimiento de organización, asegúrese de que el usuario o el rol tengan permisos suficientes. Para obtener más información, consulte Creación de un registro de seguimiento para una organización.
-
En Storage location (Ubicación del almacenamiento), elija Create new S3 bucket (Crear un bucket de S3 nuevo) para crear un bucket. Al crear un bucket, CloudTrail crea y aplica las políticas de bucket requeridas. Si decide crear un nuevo depósito de S3, su política de IAM debe incluir el permiso para la
s3:PutEncryptionConfiguration
acción, ya que, de forma predeterminada, el cifrado del lado del servidor está habilitado para el depósito.nota
Si seleccionó Utilizar bucket de S3 existente, especifique un bucket en Nombre del bucket de registro de seguimiento o seleccione Examinar para seleccionar un bucket de su propia cuenta. Si desea utilizar un bucket en otra cuenta, deberá especificar el nombre del bucket. La política de bucket debe conceder CloudTrail permiso para escribir en él. Para obtener más información sobre cómo editar manualmente la política del bucket, consulte Política de bucket de Amazon S3 para CloudTrail.
Para que sea más fácil encontrar tus registros, crea una nueva carpeta (también conocida como prefijo) en un depósito existente para almacenar tus CloudTrail registros. Ingrese el prefijo en Prefix (Prefijo).
-
En Log file SSE-KMS encryption (Cifrado SSE-KMS de archivos de registro), elija Enabled (Habilitado) si desea cifrar sus archivos de registro con cifrado SSE-KMS en vez de SSE-S3. El valor predeterminado es Enabled (Habilitado). Si no habilita el cifrado SSE-KMS, los registros se cifrarán mediante el cifrado SSE-S3. Para obtener más información sobre el cifrado SSE-KMS, consulte Uso del cifrado del lado del servidor con (SSE-KMS). AWS Key Management Service Para obtener más información sobre el cifrado SSE-S3, consulte Using Server-Side Encryption with Amazon S3-Managed Encryption Keys (SSE-S3) (Uso de cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 [SSE-S3]).
Si habilita el cifrado SSE-KMS, elija uno nuevo o existente. AWS KMS key En AWS KMS Alias, especifique un alias en el formato.
alias/
MyAliasName
Para obtener más información, consulte Actualización de un recurso para que utilice su clave de KMS. CloudTrail también admite claves AWS KMS multirregionales. Para obtener más información sobre las claves de varias regiones, consulte Uso de claves de varias regiones en la Guía para desarrolladores de AWS Key Management Service .nota
También puede escribir el ARN de una clave de otra cuenta. Para obtener más información, consulte Actualización de un recurso para que utilice su clave de KMS. La política de claves debe CloudTrail permitir el uso de la clave para cifrar los archivos de registro y permitir que los usuarios que especifique lean los archivos de registro sin cifrar. Para obtener más información sobre cómo editar manualmente la política de claves, consulte Configurar políticas AWS KMS clave para CloudTrail.
-
En Additional settings (Configuración adicional), configure lo siguiente.
-
En Log file validation (Validación de archivo de registros), elija Enabled (Habilitado) para que se envíen los resúmenes de archivos de registros a su bucket de S3. Puede utilizar los archivos de resumen para comprobar que los archivos de registro no han cambiado después de CloudTrail entregarlos. Para obtener más información, consulte Validación de la integridad del archivo de CloudTrail registro.
-
Para la entrega de notificaciones de SNS, selecciona Activado para recibir una notificación cada vez que se entregue un registro a tu depósito. CloudTrail almacena varios eventos en un archivo de registro. Las notificaciones de SNS se envían para cada archivo de registro, no para cada evento. Para obtener más información, consulte Configuración de las notificaciones de Amazon SNS para CloudTrail.
Si habilita las notificaciones SNS, en Create a new SNS topic (Crear un tema de SNS nuevo), elija New (Nuevo) para crear un tema o elija Existing (Existente) a fin de utilizar un tema existente. Si va a crear un registro de seguimiento que se aplica a todas las regiones, las notificaciones de SNS de los envíos de archivos de registro de todas las regiones se envían al tema de SNS que cree.
Si elige Nuevo, CloudTrail especifica un nombre para el nuevo tema o puede escribir un nombre. Si elige Existing (Existente), elija un tema de SNS en la lista desplegable. También puede especificar el ARN de un tema de otra región o de una cuenta con los permisos adecuados. Para obtener más información, consulte Política temática de Amazon SNS para CloudTrail.
Si crea un tema, deberá suscribirse al tema para recibir una notificación del envío de archivos de registro. Puede suscribirse en la consola de Amazon SNS. Debido a la frecuencia de las notificaciones, recomendamos que configure la suscripción para que se utilice una cola de Amazon SQS a fin de administrar las notificaciones mediante programación. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.
-
-
Si lo desea, configure CloudTrail el envío de archivos de registro a CloudWatch Logs seleccionando Activado en CloudWatch los registros. Para obtener más información, consulte Envío de eventos a CloudWatch registros.
-
Si habilita la integración con CloudWatch los registros, elija Nuevo para crear un nuevo grupo de registros o Existente para usar uno existente. Si elige Nuevo, CloudTrail especifique un nombre para el nuevo grupo de registros o puede escribir un nombre.
-
Si elige Existing (Existente), elija un grupo de registros en la lista desplegable.
-
Elija Nuevo para crear un nuevo rol de IAM con los permisos necesarios para enviar CloudWatch registros a Logs. Elija Existing (Existente) para elegir un rol de IAM en la lista desplegable. La instrucción de la política para el rol nuevo o existente se muestra al expandir Policy document (Documento de política). Para obtener más información acerca de este rol, consulte Documento de política de roles CloudTrail para el uso de CloudWatch registros para la supervisión.
nota
-
Cuando configura un registro de seguimiento, puede elegir un bucket de S3 y un tema de SNS que pertenezcan a otra cuenta. Sin embargo, si desea CloudTrail enviar eventos a un grupo de CloudWatch registros, debe elegir un grupo de registros que exista en su cuenta actual.
Solo la cuenta de administración puede configurar un grupo de CloudWatch registros para un registro de la organización mediante la consola. El administrador delegado puede configurar un grupo de CloudWatch registros mediante las operaciones de la
UpdateTrail
API AWS CLI CloudTrailCreateTrail
o o.
-
-
-
En Tags (Etiquetas), agregue una o más etiquetas personalizadas (pares clave-valor) a su registro de seguimiento. Las etiquetas pueden ayudarle a identificar tanto sus CloudTrail senderos como los depósitos de Amazon S3 que contienen archivos de CloudTrail registro. A continuación, puede utilizar grupos de recursos para sus CloudTrail recursos. Para obtener más información, consulte AWS Resource Groups y Etiquetas.
-
En la página Choose log events (Elegir eventos de registro), elija los tipos de eventos que desea registrar. En Management events (Eventos de administración), haga lo siguiente.
-
En API activity (Actividad de la API), elija si desea que su registro de seguimiento registre eventos de Read (Lectura), Write (Escritura) o ambos. Para obtener más información, consulte Eventos de administración.
-
Elige Excluir AWS KMS eventos para filtrar AWS Key Management Service (AWS KMS) los eventos de tu ruta. La configuración predeterminada es incluir todos los AWS KMS eventos.
La opción de registrar o excluir AWS KMS eventos solo está disponible si registra los eventos de administración en su ruta. Si elige no registrar los eventos de administración, los AWS KMS eventos no se registran y no puede cambiar la configuración AWS KMS del registro de eventos.
AWS KMS acciones como
Encrypt
Decrypt
, yGenerateDataKey
suelen generar un gran volumen (más del 99%) de eventos. Estas acciones se registran ahora como eventos de lectura. AWS KMS Las acciones relevantes de bajo volumen, comoDisable
Delete
, yScheduleKey
(que normalmente representan menos del 0,5% del volumen de AWS KMS eventos) se registran como eventos de escritura.Para excluir eventos de gran volumen
Encrypt
, comoDecrypt
, yGenerateDataKey
, sin dejar de registrar eventos relevantesDisable
, comoDelete
yScheduleKey
, elija registrar eventos de administración de escritura y desactive la casilla Excluir eventos. AWS KMS -
Elija Exclude Amazon RDS Data API events (Excluir eventos de API de datos de Amazon RDS) para quitar del registro de seguimiento los eventos de API de datos de Amazon Relational Database Service. La configuración predeterminada es incluir a todos los eventos de la API de datos de Amazon RDS. A fin de obtener más información sobre los eventos de API de datos de Amazon RDS, consulte Registro de llamadas a la API de datos con AWS CloudTrail en la Guía del usuario de Amazon RDS para Aurora.
-
-
Para registrar eventos de datos, elija Data events (Eventos de datos). Se aplican cargos adicionales para registrar eventos de datos. Para obtener más información, consulte AWS CloudTrail Precios
. -
importante
Los pasos del 12 al 16 son para configurar los eventos de datos mediante selectores de eventos avanzados, que son los predeterminados. Los selectores de eventos avanzados le permiten configurar más tipos de eventos de datos y ofrecen un control detallado de los eventos de datos que captura su registro de seguimiento. Si ha optado por utilizar selectores de eventos básicos, complete los pasos que se indican en Configurar los ajustes de eventos de datos mediante selectores de eventos básicos y, a continuación, vuelva al paso 17 de este procedimiento.
En Data event type (Tipo de evento de datos), elija el tipo de recurso en el que desea registrar los eventos de datos. Para obtener más información sobre los tipos de eventos de datos disponibles, consulte Eventos de datos.
nota
Para registrar los eventos de datos de AWS Glue las tablas creadas por Lake Formation, elija Lake Formation.
-
Elija una plantilla de selección de registros. CloudTrail incluye plantillas predefinidas que registran todos los eventos de datos del tipo de recurso. Para crear una plantilla de selector de registros personalizada, elija Custom (Personalizado).
nota
Si eliges una plantilla predefinida para los depósitos de S3, podrás registrar los eventos de datos de todos los depósitos que hay actualmente en tu AWS cuenta y de los que crees una vez que hayas terminado de crear el registro. También permite registrar la actividad de eventos de datos realizada por cualquier identidad de IAM de tu AWS cuenta, incluso si esa actividad se realiza en un bucket que pertenece a otra cuenta. AWS
Si el registro de seguimiento solo aplica a una región, elegir una plantilla predefinida que registra todos los buckets de S3 permite el registro de eventos de datos de todos los buckets en la misma región que el registro de seguimiento, así como de cualquier otro bucket que cree posteriormente en esa región. No registrará los eventos de datos de los buckets de Amazon S3 en otras regiones de su AWS cuenta.
Si va a crear un registro para todas las regiones, al elegir una plantilla predefinida para las funciones de Lambda se habilita el registro de eventos de datos para todas las funciones que se encuentran actualmente en su AWS cuenta y para cualquier función de Lambda que pueda crear en cualquier región una vez que haya terminado de crear el registro. Si va a crear una ruta para una sola región (mediante la AWS CLI), esta selección habilita el registro de eventos de datos para todas las funciones que se encuentran actualmente en esa región de su AWS cuenta y para cualquier función de Lambda que pueda crear en esa región una vez que haya terminado de crear la ruta. No habilita el registro de eventos de datos de las funciones Lambda creadas en otras regiones.
El registro de los eventos de datos para todas las funciones también permite registrar la actividad de los eventos de datos realizada por cualquier identidad de IAM de su AWS cuenta, incluso si esa actividad se realiza en una función que pertenece a otra AWS cuenta.
-
(Opcional) En Nombre del selector, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo opcional para un selector de eventos avanzado, como “Registrar eventos de datos para solo dos buckets de S3”. El nombre del selector aparece como
Name
en el selector de eventos avanzado y se puede ver si se amplía la vista JSON. -
En Advanced event selectors (Selectores de eventos avanzados), cree una expresión para los recursos específicos en los que desea registrar eventos de datos. Puede omitir este paso si utiliza una plantilla de registro predefinida.
-
Elija uno de los siguientes campos.
-
readOnly
- sereadOnly
puede configurar para que sea igual a un valor detrue
ofalse
. Los eventos de datos de solo lectura son eventos que no cambian el estado de un recurso, como eventosGet*
oDescribe*
. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventosPut*
,Delete*
oWrite*
. Para registrar eventosread
ywrite
, no agregue un selector dereadOnly
. -
eventName
:eventName
puede utilizar cualquier operador. Puede usarlo para incluir o excluir cualquier evento de datos registrado CloudTrail, comoPutBucket
PutItem
, oGetSnapshotBlock
. -
resources.ARN
- Puede usar cualquier operador conresources.ARN
, pero si usa valores iguales o no iguales, el valor debe coincidir exactamente con el ARN de un recurso válido del tipo que especificó en la plantilla como valor de.resources.type
En la siguiente tabla, se muestra el formato de ARN de cada
resources.type
.nota
No puede usar el
resources.ARN
campo para filtrar los tipos de recursos que no tienen ARN.resources.type resources.ARN AWS::DynamoDB::Table1
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
AWS::Lambda::Function
arn:
partition
:lambda:region
:account_ID
:function:function_name
AWS::S3::Object
2arn:
partition
:s3:::DOC-EXAMPLE-BUCKET
/ arn:partition
:s3:::DOC-EXAMPLE-BUCKET
/object_or_file_name
/AWS::AppConfig::Configuration
arn:
partition
:appconfig:region
:account_ID
:application/application_ID
/environment/environment_ID
/configuration/configuration_profile_ID
AWS::B2BI::Transformer
arn:
partition
:b2bi:region
:account_ID
:transformer/transformer_ID
AWS::Bedrock::AgentAlias
arn:
partition
:bedrock:region
:account_ID
:agent-alias/agent_ID
/alias_ID
AWS::Bedrock::KnowledgeBase
arn:
partition
:bedrock:region
:account_ID
:knowledge-base/knowledge_base_ID
AWS::Cassandra::Table
arn:
partition
:cassandra:region
:account_ID
:keyspace/keyspace_name
/table/table_name
AWS::CloudFront::KeyValueStore
arn:
partition
:cloudfront:region
:account_ID
:key-value-store/KVS_name
AWS::CloudTrail::Channel
arn:
partition
:cloudtrail:region
:account_ID
:channel/channel_UUID
AWS::CodeWhisperer::Customization
arn:
partition
:codewhisperer:region
:account_ID
:customization/customization_ID
AWS::CodeWhisperer::Profile
arn:
partition
:codewhisperer:region
:account_ID
:profile/profile_ID
AWS::Cognito::IdentityPool
arn:
partition
:cognito-identity:region
:account_ID
:identitypool/identity_pool_ID
AWS::DynamoDB::Stream
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
/stream/date_time
AWS::EC2::Snapshot
arn:
partition
:ec2:region
::snapshot/snapshot_ID
AWS::EMRWAL::Workspace
arn:
partition
:emrwal:region
:account_ID
:workspace/workspace_name
AWS::FinSpace::Environment
arn:
partition
:finspace:region
:account_ID
:environment/environment_ID
AWS::Glue::Table
arn:
partition
:glue:region
:account_ID
:table/database_name
/table_name
AWS::GreengrassV2::ComponentVersion
arn:
partition
:greengrass:region
:account_ID
:components/component_name
AWS::GreengrassV2::Deployment
arn:
partition
:greengrass:region
:account_ID
:deployments/deployment_ID
AWS::GuardDuty::Detector
arn:
partition
:guardduty:region
:account_ID
:detector/detector_ID
AWS::IoT::Certificate
arn:
partition
:iot:region
:account_ID
:cert/certificate_ID
AWS::IoT::Thing
arn:
partition
:iot:region
:account_ID
:thing/thing_ID
AWS::IoTSiteWise::Asset
arn:
partition
:iotsitewise:region
:account_ID
:asset/asset_ID
AWS::IoTSiteWise::TimeSeries
arn:
partition
:iotsitewise:region
:account_ID
:timeseries/timeseries_ID
AWS::IoTTwinMaker::Entity
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
/entity/entity_ID
AWS::IoTTwinMaker::Workspace
arn:
partition
:iottwinmaker:region
:account_ID
:workspace/workspace_ID
AWS::KendraRanking::ExecutionPlan
arn:
partition
:kendra-ranking:region
:account_ID
:rescore-execution-plan/rescore_execution_plan_ID
AWS::Kinesis::Stream
arn:
partition
:kinesis:region
:account_ID
:stream/stream_name
AWS::Kinesis::StreamConsumer
arn:
partition
:kinesis:region
:account_ID
:stream_type
/stream_name
/consumer/consumer_name
:consumer_creation_timestamp
AWS::KinesisVideo::Stream
arn:
partition
:kinesisvideo:region
:account_ID
:stream/stream_name
/creation_time
AWS::MachineLearning::MlModel
arn:
partition
:machinelearning:region
:account_ID
:mlmodel/model_ID
AWS::ManagedBlockchain::Network
arn:
partition
:managedblockchain:::networks/network_name
AWS::ManagedBlockchain::Node
arn:
partition
:managedblockchain:region
:account_ID
:nodes/node_ID
AWS::MedicalImaging::Datastore
arn:
partition
:medical-imaging:region
:account_ID
:datastore/data_store_ID
AWS::NeptuneGraph::Graph
arn:
partition
:neptune-graph:region
:account_ID
:graph/graph_ID
AWS::PCAConnectorAD::Connector
arn:
partition
:pca-connector-ad:region
:account_ID
:connector/connector_ID
AWS::PCAConnectorSCEP::Connector
arn:
partition
:pca-connector-scep:region
:account_ID
:connector/connector_ID
AWS::QApps:QApp
arn:
partition
:qapps:region
:account_ID
:application/application_UUID
/qapp/qapp_UUID
AWS::QBusiness::Application
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
AWS::QBusiness::DataSource
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
/data-source/datasource_ID
AWS::QBusiness::Index
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/index/index_ID
AWS::QBusiness::WebExperience
arn:
partition
:qbusiness:region
:account_ID
:application/application_ID
/web-experience/web_experienc_ID
AWS::RDS::DBCluster
arn:
partition
:rds:region
:account_ID
:cluster/cluster_name
AWS::S3::AccessPoint
3arn:
partition
:s3:region
:account_ID
:accesspoint/access_point_name
AWS::S3ObjectLambda::AccessPoint
arn:
partition
:s3-object-lambda:region
:account_ID
:accesspoint/access_point_name
AWS::S3Outposts::Object
arn:
partition
:s3-outposts:region
:account_ID
:object_path
AWS::SageMaker::Endpoint
arn:
partition
:sagemaker:region
:account_ID
:endpoint/endpoint_name
AWS::SageMaker::ExperimentTrialComponent
arn:
partition
:sagemaker:region
:account_ID
:experiment-trial-component/experiment_trial_component_name
AWS::SageMaker::FeatureGroup
arn:
partition
:sagemaker:region
:account_ID
:feature-group/feature_group_name
AWS::SCN::Instance
arn:
partition
:scn:region
:account_ID
:instance/instance_ID
AWS::ServiceDiscovery::Namespace
arn:
partition
:servicediscovery:region
:account_ID
:namespace/namespace_ID
AWS::ServiceDiscovery::Service
arn:
partition
:servicediscovery:region
:account_ID
:service/service_ID
AWS::SNS::PlatformEndpoint
arn:
partition
:sns:region
:account_ID
:endpoint/endpoint_type
/endpoint_name
/endpoint_ID
AWS::SNS::Topic
arn:
partition
:sns:region
:account_ID
:topic_name
AWS::SQS::Queue
arn:
partition
:sqs:region
:account_ID
:queue_name
AWS::SSM::ManagedNode
El ARN debe estar en uno de los siguientes formatos:
-
arn:
partition
:ssm:region
:account_ID
:managed-instance/instance_ID
-
arn:
partition
:ec2:region
:account_ID
:instance/instance_ID
AWS::SSMMessages::ControlChannel
arn:
partition
:ssmmessages:region
:account_ID
:control-channel/control_channel_ID
AWS::StepFunctions::StateMachine
El ARN debe estar en uno de los siguientes formatos:
-
arn:
partition
:states:region
:account_ID
:stateMachine:stateMachine_name
-
arn:
partition
:states:region
:account_ID
:stateMachine:stateMachine_name
/label_name
AWS::SWF::Domain
arn:
partition
:swf:region
:account_ID
:/domain/domain_name
AWS::ThinClient::Device
arn:
partition
:thinclient:region
:account_ID
:device/device_ID
AWS::ThinClient::Environment
arn:
partition
:thinclient:region
:account_ID
:environment/environment_ID
AWS::Timestream::Database
arn:
partition
:timestream:region
:account_ID
:database/database_name
AWS::Timestream::Table
arn:
partition
:timestream:region
:account_ID
:database/database_name
/table/table_name
AWS::VerifiedPermissions::PolicyStore
arn:
partition
:verifiedpermissions:region
:account_ID
:policy-store/policy_store_ID
1 Para las tablas con flujos habilitados, el campo
resources
del evento de datos contieneAWS::DynamoDB::Stream
yAWS::DynamoDB::Table
. Si especificaAWS::DynamoDB::Table
comoresources.type
, registrará tanto los eventos de la tabla de DynamoDB como los de los flujos de DynamoDB de forma predeterminada. Para excluir los eventos de streaming, añade un filtro en eleventName
campo.2 Para registrar todos los eventos de datos de todos los objetos en un bucket de S3 específico, utilice el operador
StartsWith
e incluya solo el ARN del bucket como valor coincidente. La barra diagonal final es intencional; no la excluya.3 Para registrar eventos en todos los objetos de un punto de acceso de S3, se recomienda que utilice solo el ARN del punto de acceso. No incluya la ruta de acceso del objeto y utilice los operadores
StartsWith
oNotStartsWith
. -
Para obtener más información sobre los formatos del ARN de los recursos de eventos de datos, consulte Acciones, recursos y claves de condición en la Guía del usuario de AWS Identity and Access Management .
-
-
En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones. Por ejemplo, para excluir los eventos de datos de dos cubos de S3 de los eventos de datos que se registran en su ruta, puede establecer el campo en Resources.ARN, configurar el operador para no comienza por y, a continuación, pegar el ARN de un depósito de S3 o buscar los cubos de S3 para los que no desea registrar eventos.
Para agregar el segundo bucket de S3, seleccione + Condición y, a continuación, repita la instrucción anterior, pegue el ARN o busque un bucket diferente.
nota
Puede tener un máximo de 500 valores para todos los selectores de un registro de seguimiento. Esto incluye matrices de varios valores para un selector como
eventName
. Si tiene valores únicos para todos los selectores, puede agregar un máximo de 500 condiciones a un selector.Si tiene más de 15 000 funciones Lambda en su cuenta, no podrá ver ni seleccionar todas las funciones de la CloudTrail consola al crear un registro. Puede registrar todas las funciones con una plantilla de selector predefinida, aunque estas no se muestren. Si desea registrar eventos de datos para funciones específicas, puede añadir manualmente una función si conoce su ARN. También puede terminar de crear la ruta en la consola y, a continuación, utilizar el put-event-selectors comando AWS CLI and the para configurar el registro de eventos de datos para funciones Lambda específicas. Para obtener más información, consulte Administrar senderos con el AWS CLI.
-
Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos. Por ejemplo, no especifique un ARN en un selector para que sea igual a un valor y luego especifique que el ARN no sea igual al mismo valor en otro selector.
-
-
Para agregar otro tipo de datos en el que registrar eventos de datos, elija Add data event type (Agregar tipo de evento de datos). Repita los pasos, desde el número 12 a este paso, a fin de configurar selectores de eventos avanzados para el tipo de evento de datos.
-
Elija los eventos de Insights si quiere que su ruta registre los eventos de CloudTrail Insights.
En Event type (Tipo de evento), seleccione Insights events (Eventos de Insights). Debe registrar los eventos de administración de escritura para registrar los eventos de Insights para calcular la tasa de llamadas a la API. Debe registrar los eventos de administración de lectura o escritura para registrar los eventos de Insights para calcular la tasa de errores de la API.
CloudTrail Insights analiza los eventos de administración para detectar actividades inusuales y los registra cuando se detectan anomalías. De forma predeterminada, los registros de seguimiento no registran eventos de Insights. Para obtener más información acerca de los eventos de Insights, consulte Registro de eventos de Insights. Se aplican cargos adicionales por registrar eventos de Insights. Para CloudTrail conocer los precios, consulte AWS CloudTrail Precios.
Los eventos de Insights se envían a una carpeta diferente con el nombre
/CloudTrail-Insight
del mismo depósito de S3 que se especifica en el área de ubicación de almacenamiento de la página de detalles de la ruta. CloudTrailcrea el nuevo prefijo para usted. Por ejemplo, si el bucket de S3 de destino actual se denominaDOC-EXAMPLE-BUCKET/AWSLogs/CloudTrail/
, el nombre del bucket de S3 con un nuevo prefijo se denominaDOC-EXAMPLE-BUCKET/AWSLogs/CloudTrail-Insight/
. -
Cuando haya terminado de elegir los tipos de eventos para registrar, elija Next (Siguiente).
-
En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Elija Edit (Editar) en una sección para cambiar la configuración del registro de seguimiento que se muestra en esa sección. Cuando esté listo para crear el registro de seguimiento, elija Create trail (Crear registro de seguimiento).
-
El nuevo registro de seguimiento aparece en la página Trails. En unos 5 minutos, CloudTrail publica los archivos de registro que muestran las llamadas a la AWS API realizadas en tu cuenta. Puede ver los archivos de registro del bucket de S3 especificado. La entrega del primer evento de Insights puede tardar hasta 36 horas si ha activado el registro de eventos de Insights y se detecta una actividad inusual. CloudTrail
nota
CloudTrail Por lo general, entrega los registros en una media de unos 5 minutos tras una llamada a la API. No hay garantía de que suceda en este plazo. Para obtener más información, consulte el Acuerdo de nivel de servicios de AWS CloudTrail
. Si configuras mal la ruta (por ejemplo, si no se puede acceder al depósito de S3), CloudTrail intentarás volver a enviar los archivos de registro a tu depósito de S3 durante 30 días. Estos attempted-to-deliver eventos estarán sujetos a los cargos estándar. CloudTrail Para evitar que se le cobre por un registro de seguimiento mal configurado, debe eliminarlo.
Configurar los ajustes de eventos de datos mediante selectores de eventos básicos
Puede utilizar selectores de eventos avanzados para configurar todos los tipos de eventos de datos. Los selectores de eventos avanzados le permiten crear selectores detallados para registrar solo los eventos de interés.
Si utiliza selectores de eventos básicos para registrar eventos de datos, está limitado a registrar eventos de datos para buckets, AWS Lambda funciones y tablas de Amazon DynamoDB de Amazon S3. No puede filtrar el eventName
campo con selectores de eventos básicos.
Use el procedimiento siguiente para configurar los ajustes de eventos de datos mediante selectores de eventos básicos.
Para configurar los ajustes de eventos de datos mediante selectores de eventos básicos
-
En Eventos, seleccione Eventos de datos para registrar eventos de datos. Se aplican cargos adicionales para registrar eventos de datos. Para obtener más información, consulte AWS CloudTrail Precios
. -
Para buckets de Amazon S3:
-
En Data event source (Fuente de evento de datos), elija S3.
-
Puede registrar All current and future S3 buckets (Todos los buckets de S3 actuales y futuros) o bien, especificar buckets o funciones individuales. De forma predeterminada, los eventos de datos se registran para todos los buckets de S3 actuales y futuros.
nota
Si mantiene la opción predeterminada Todos los depósitos de S3 actuales y futuros, se permite registrar los eventos de datos de todos los depósitos que se encuentren actualmente en su AWS cuenta y de todos los depósitos que cree una vez que haya terminado de crear la ruta. También permite registrar la actividad de eventos de datos realizada por cualquier identidad de IAM de tu AWS cuenta, incluso si esa actividad se realiza en un bucket que pertenece a otra cuenta. AWS
Si va a crear un sendero para una sola región (lo hace con AWS CLI), si selecciona Todos los depósitos de S3 actuales y futuros, se habilita el registro de eventos de datos para todos los grupos de la misma región que su ruta y para cualquier grupo que cree más adelante en esa región. No registrará los eventos de datos de los buckets de Amazon S3 en otras regiones de su AWS cuenta.
-
Si conserva la opción predeterminada, All current and future S3 buckets (Todos los buckets de S3 actuales y futuros), elija registrar eventos de Read (Lectura), Write (Escritura) o ambos.
-
Para seleccionar buckets individuales, desmarque las casillas de verificación Read (Lectura) y Write (Escritura) en All current and future S3 buckets (Todos los buckets de S3 actuales y futuros). En Individual bucket selection (Selección de bucket individual), busque un bucket en el que registrar los eventos de datos. Busque buckets específicos al escribir un prefijo de bucket para el bucket que desee. En esta ventana puede seleccionar varios buckets. Elija Add bucket (Agregar bucket) para registrar eventos de datos en más buckets. Elija registrar eventos de Read (Lectura), como
GetObject
, Write (Escritura), comoPutObject
, o de ambos.Esta configuración tiene prioridad sobre la configuración individual de cada bucket. Por ejemplo, si establece la configuración para que se registren los eventos de tipo Read de todos los buckets de S3 y posteriormente decide agregar un determinado bucket en el registro de eventos de datos, la opción Read ya aparecerá seleccionada en el bucket que agregue. Esta selección no se puede anular. Solo se puede configurar la opción Write.
Para eliminar un bucket del registro, elija X.
-
-
Para agregar otro tipo de datos en el que registrar eventos de datos, elija Add data event type (Agregar tipo de evento de datos).
-
Para funciones Lambda:
-
En Data event source (Fuente de evento de datos), elija Lambda.
-
En Lambda function (Función Lambda), elija All regions (Todas las regiones) para registrar todas las funciones Lambda, o Input function as ARN (Función de entrada como ARN) a fin de registrar eventos de datos en una función específica.
Para registrar los eventos de datos de todas las funciones de Lambda de su AWS cuenta, seleccione Registrar todas las funciones actuales y futuras. Esta configuración tiene prioridad sobre la configuración individual de cada función. Se registran todas las funciones aunque no se muestren.
nota
Si va a crear un registro de seguimiento para todas las regiones, esta opción habilita el registro de eventos de datos de todas las funciones que se encuentran actualmente en la cuenta de AWS , así como de cualquier función Lambda que cree en cualquier región después de crear el registro de seguimiento. Si va a crear una ruta para una sola región (mediante la AWS CLI), esta selección habilita el registro de eventos de datos para todas las funciones que se encuentran actualmente en esa región de su AWS cuenta y para cualquier función de Lambda que pueda crear en esa región una vez que haya terminado de crear la ruta. No habilita el registro de eventos de datos de las funciones Lambda creadas en otras regiones.
El registro de los eventos de datos para todas las funciones también permite registrar la actividad de los eventos de datos realizada por cualquier identidad de IAM de su AWS cuenta, incluso si esa actividad se realiza en una función que pertenece a otra AWS cuenta.
-
Si elige Input function as ARN (Función de entrada como ARN), ingrese el ARN de una función Lambda.
nota
Si tiene más de 15 000 funciones Lambda en su cuenta, no podrá ver ni seleccionar todas las funciones de la CloudTrail consola al crear un registro. Sí que puede seleccionar la opción para registrar todas las funciones, aunque estas no se muestren. Si desea registrar eventos de datos para funciones específicas, puede añadir manualmente una función si conoce su ARN. También puede terminar de crear la ruta en la consola y, a continuación, utilizar el put-event-selectors comando AWS CLI and the para configurar el registro de eventos de datos para funciones Lambda específicas. Para obtener más información, consulte Administrar senderos con el AWS CLI.
-
-
Para tablas de DynamoDB:
-
En Data event source (Fuente de evento de datos), elija DynamoDB.
-
En DynamoDB table selection (Selección de tabla de DynamoDB), elija Browse (Examinar) para seleccionar una tabla o pegue el ARN de una tabla de DynamoDB a la que tenga acceso. El ARN de la tabla de DynamoDB utiliza el siguiente formato:
arn:
partition
:dynamodb:region
:account_ID
:table/table_name
Para agregar otra tabla, elija Add row (Agregar fila) y busque una tabla o pegue el ARN de una tabla a la que tenga acceso.
-
-
A fin de configurar eventos de Insights y otras configuraciones para su registro de seguimiento, vuelva al procedimiento anterior en este tema, Creación de un registro de seguimiento en la consola.
Siguientes pasos
Después de crear el registro de seguimiento, puede volver a él para realizar cambios:
-
Si aún no lo ha hecho, puede configurarlo CloudTrail para enviar los archivos de registro a CloudWatch Logs. Para obtener más información, consulte Envío de eventos a CloudWatch registros.
-
Cree una tabla y utilícela para ejecutar una consulta en Amazon Athena con el fin de analizar su actividad de servicio de AWS . Para obtener más información, consulte Creación de una tabla de CloudTrail registros en la CloudTrail consola en la Guía del usuario de Amazon Athena.
-
Agregar etiquetas personalizadas (pares de clave-valor) al registro de seguimiento
-
Para crear otro registro de seguimiento, abra la página Registros de seguimiento y seleccione Crear registro de seguimiento.