Crear un sendero con la CloudTrail consola

Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

En la página CloudTrail de inicio del servicio, en la página de senderos o en la sección Rutas de la página del panel de control, selecciona Crear ruta.

En la página Create Trail, escriba el nombre del registro de seguimiento en Trail name. Para obtener más información, consulte Requisitos de nomenclatura de los recursos de CloudTrail, los buckets de S3 y las claves de KMS.

Si se trata de un registro de AWS Organizations la organización, puede habilitar el registro para todas las cuentas de su organización. Para ver esta opción, debe iniciar sesión en la consola con un usuario o un rol de la cuenta de administración o la de administrador delegado. Para crear correctamente un registro de seguimiento de organización, asegúrese de que el usuario o el rol tengan permisos suficientes. Para obtener más información, consulte Creación de un registro de seguimiento para una organización.

En Storage location (Ubicación del almacenamiento), elija Create new S3 bucket (Crear un bucket de S3 nuevo) para crear un bucket. Cuando se crea un bucket, CloudTrail crea y aplica las políticas de buckets necesarias. Si decide crear un nuevo bucket de S3, su IAM política debe incluir el permiso para la s3:PutEncryptionConfiguration acción, ya que, de forma predeterminada, el cifrado del lado del servidor está habilitado para el bucket.

Para facilitar la búsqueda de tus registros, crea una nueva carpeta (también conocida como prefijo) en un depósito existente para almacenar tus CloudTrail registros. Ingrese el prefijo en Prefix (Prefijo).

En KMSCifrado de archivos SSE de registro, selecciona Activado si quieres cifrar los archivos de registro mediante el KMS cifrado SSE - en lugar del cifrado SSE -S3. El valor predeterminado es Enabled (Habilitado). Si no habilita el KMS cifradoSSE, sus registros se cifrarán mediante el cifrado SSE -S3. Para obtener más información sobre SSE el KMS cifrado, consulte Uso del cifrado del lado del servidor con AWS Key Management Service (SSE-). KMS Para obtener más información sobre el cifrado SSE -S3, consulte Uso del cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (-S3). SSE

Si habilita el KMS cifrado, SSE elija uno nuevo o existente. AWS KMS key En AWS KMS Alias, especifique un alias en el formato alias/MyAliasName. Para obtener más información, consulteActualización de un recurso para que utilice su clave de KMS con la consola. CloudTrail también admite claves AWS KMS multirregionales. Para obtener más información sobre las claves de varias regiones, consulte Uso de claves de varias regiones en la Guía para desarrolladores de AWS Key Management Service .

En Additional settings (Configuración adicional), configure lo siguiente.

1. En Log file validation (Validación de archivo de registros), elija Enabled (Habilitado) para que se envíen los resúmenes de archivos de registros a su bucket de S3. Puede utilizar los archivos de resumen para comprobar que los archivos de registro no han cambiado después de CloudTrail entregarlos. Para obtener más información, consulte Validar la integridad de los archivos de registros de CloudTrail.

2. Para la entrega de SNS notificaciones, selecciona Activado para recibir una notificación cada vez que se entregue un registro a tu depósito. CloudTrail almacena varios eventos en un archivo de registro. SNSlas notificaciones se envían para todos los archivos de registro, no para todos los eventos. Para obtener más información, consulte Configuración de notificaciones de Amazon SNS para CloudTrail.

   Si habilita SNS las notificaciones, en Crear un SNS tema nuevo, elija Nuevo para crear un tema o Existente para usar un tema existente. Si va a crear un registro que se aplique a todas las regiones, las SNS notificaciones de las entregas de archivos de registro de todas las regiones se enviarán al SNS tema único que cree.

   Si elige Nuevo, CloudTrail especifique un nombre para el nuevo tema o puede escribir un nombre. Si elige Existente, elija un SNS tema de la lista desplegable. También puede introducir un tema ARN de otra región o de una cuenta con los permisos adecuados. Para obtener más información, consulte Política de temas de Amazon SNS para CloudTrail.

   Si crea un tema, deberá suscribirse al tema para recibir una notificación del envío de archivos de registro. Puedes suscribirte desde la SNS consola de Amazon. Debido a la frecuencia de las notificaciones, te recomendamos configurar la suscripción para usar una SQS cola de Amazon para gestionar las notificaciones mediante programación. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

Si lo desea, configure CloudTrail el envío de archivos de registro a CloudWatch Logs seleccionando Habilitado en CloudWatch los registros. Para obtener más información, consulte Envío de eventos a los Registros de Amazon CloudWatch.

1. Si habilita la integración con CloudWatch los registros, elija Nuevo para crear un nuevo grupo de registros o Existente para usar uno existente. Si elige Nuevo, CloudTrail especifique un nombre para el nuevo grupo de registros o puede escribir un nombre.

2. Si elige Existing (Existente), elija un grupo de registros en la lista desplegable.

3. Elija Nuevo para crear un nuevo IAM rol con los permisos necesarios para enviar CloudWatch registros a Logs. Elija Existente para elegir un IAM rol existente de la lista desplegable. La instrucción de la política para el rol nuevo o existente se muestra al expandir Policy document (Documento de política). Para obtener más información acerca de este rol, consulte Documento de política de roles para que CloudTrail utilice CloudWatch Logs para el monitoreo..

   nota

   • Al configurar una ruta, puede elegir un bucket y un SNS tema de S3 que pertenezcan a otra cuenta. Sin embargo, si desea CloudTrail enviar eventos a un grupo de CloudWatch registros, debe elegir un grupo de registros que exista en su cuenta actual.

   • Solo la cuenta de administración puede configurar un grupo de CloudWatch registros para un registro de la organización mediante la consola. El administrador delegado puede configurar un grupo de CloudWatch registros mediante las UpdateTrail API operaciones AWS CLI o CloudTrail CreateTrail o.

En Etiquetas, puede agregar hasta 50 pares de claves y etiquetas para que lo ayuden a identificar y ordenar su registro de seguimiento y controlar el acceso a él. Las etiquetas pueden ayudarle a identificar tanto sus CloudTrail senderos como los depósitos de Amazon S3 que contienen archivos de CloudTrail registro. A continuación, puede utilizar grupos de recursos para sus CloudTrail recursos. Para obtener más información, consulte AWS Resource Groups y Etiquetas.

En la página Choose log events (Elegir eventos de registro), elija los tipos de eventos que desea registrar. En Management events (Eventos de administración), haga lo siguiente.

1. Para APIla actividad, elige si quieres que tu ruta registre los eventos de lectura, de escritura o ambos. Para obtener más información, consulte Eventos de administración.

2. Selecciona Excluir AWS KMS eventos para filtrar AWS Key Management Service (AWS KMS) los eventos de tu ruta. La configuración predeterminada es incluir todos los AWS KMS eventos.

   La opción de registrar o excluir AWS KMS eventos solo está disponible si registra los eventos de administración en su ruta. Si elige no registrar los eventos de administración, los AWS KMS eventos no se registran y no puede cambiar la configuración AWS KMS del registro de eventos.

   AWS KMS acciones como EncryptDecrypt, y GenerateDataKey suelen generar un gran volumen (más del 99%) de eventos. Estas acciones se registran ahora como eventos de lectura. AWS KMS Las acciones relevantes de bajo volumen, como DisableDelete, y ScheduleKey (que normalmente representan menos del 0,5% del volumen de AWS KMS eventos) se registran como eventos de escritura.

   Para excluir eventos de gran volumenEncrypt, comoDecrypt, yGenerateDataKey, sin dejar de registrar eventos relevantesDisable, como Delete yScheduleKey, elija registrar eventos de administración de escritura y desactive la casilla Excluir eventos. AWS KMS

3. Elija Excluir API eventos de Amazon RDS Data para filtrar los eventos de API datos de Amazon Relational Database Service de su ruta. La configuración predeterminada es incluir todos los API eventos de Amazon RDS Data. Para obtener más información sobre RDS los API eventos de Amazon Data, consulte Registro de API llamadas de datos AWS CloudTrail en la Guía del RDS usuario de Amazon para Aurora.

Para registrar eventos de datos, elija Data events (Eventos de datos). Se aplican cargos adicionales para registrar eventos de datos. Para obtener más información, consulte AWS CloudTrail Precios.

En Tipo de recurso, elige el tipo de recurso en el que quieres registrar los eventos de datos. Para obtener más información sobre los tipos de recursos disponibles, consulteEventos de datos.

Elija una plantilla de selector de registros. CloudTrail incluye plantillas predefinidas que registran todos los eventos de datos del tipo de recurso. Para crear una plantilla de selector de registros personalizada, elija Custom (Personalizado).

(Opcional) En Nombre del selector, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo opcional para un selector de eventos avanzado, como “Registrar eventos de datos para solo dos buckets de S3”. El nombre del selector aparece como Name en el selector de eventos avanzado y se puede ver si se amplía la JSONvista.

Si seleccionó Personalizado, en Avanzado, los selectores de eventos crean una expresión basada en los valores de los campos del selector de eventos avanzado.

1. Elija uno de los siguientes campos.

   • readOnly: readOnly se puede establecer en es igual a con el valor true o false. Los eventos de datos de solo lectura son eventos que no cambian el estado de un recurso, como eventos Get* o Describe*. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos Put*, Delete* o Write*. Para registrar eventos read y write, no agregue un selector de readOnly.

   • eventName: eventName puede utilizar cualquier operador. Puede utilizarla para incluir o excluir cualquier evento de datos registrado CloudTrail, como PutBucketGetItem, oGetSnapshotBlock.

   • resources.ARN- Puedes usar cualquier operador conresources.ARN, pero si usas valores iguales o no iguales, el valor debe coincidir exactamente con el ARN de un recurso válido del tipo que hayas especificado en la plantilla como valorresources.type. Para obtener más información, consulte Filtrado de eventos de datos por resources.ARN.

     nota

     No puedes usar el resources.ARN campo para filtrar los tipos de recursos que no lo tienenARNs.

   Para obtener más información sobre los ARN formatos de los recursos de eventos de datos, consulte Acciones, recursos y claves de condición en la Guía del AWS Identity and Access Management usuario.

2. En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones. Por ejemplo, para excluir los eventos de datos de dos buckets de S3 de los eventos de datos que se registran en el almacén de datos de eventos, puede configurar el campo como resources. ARN, defina el operador para no empiece por y, a continuación, péguelo en un bucket de S3 ARN para el que no desee registrar eventos.

   Para añadir el segundo bucket de S3, selecciona la condición + y, a continuación, repite la instrucción anterior, pegando o ARN buscando un bucket diferente.

   Para obtener información sobre cómo se CloudTrail evalúan varias condiciones, consulte. ¿Cómo CloudTrail se evalúan las condiciones múltiples de un campo

   nota

   Puede tener un máximo de 500 valores para todos los selectores de un almacén de datos de eventos. Esto incluye matrices de varios valores para un selector como eventName. Si tiene valores únicos para todos los selectores, puede agregar un máximo de 500 condiciones a un selector.

3. Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos. Por ejemplo, no especifique que un selector ARN en un selector sea igual a un valor y, a continuación, especifique que ARN no sea igual al mismo valor en otro selector.

Para agregar otro tipo de recurso en el que registrar los eventos de datos, elija Agregar tipo de evento de datos. Repita los pasos 12 a este paso para configurar los selectores de eventos avanzados para el tipo de recurso.

Para registrar los eventos de actividad de la red, seleccione Eventos de actividad de la red. Los eventos de actividad de la red permiten a los propietarios de los VPC terminales grabar AWS API las llamadas realizadas con sus VPC puntos finales desde un punto de conexión privado VPC a otro. Servicio de AWS Se aplican cargos adicionales por el registro de eventos de actividad de la red. Para obtener más información, consulte AWS CloudTrail Precios.

Para registrar eventos de actividad de la red, siga estos pasos:

1. En Origen de eventos de actividad de la red, seleccione el origen de los eventos de actividad de la red.

2. Elija una plantilla en la sección Log selector template (Plantilla de selector de registros). Puede optar por registrar todos los eventos de actividad de la red, registrar todos los eventos de acceso denegado a la actividad de la red o seleccionar Personalizar para crear un selector de registro personalizado que filtre por varios campos, como eventName y vpcEndpointId.

3. (Opcional) Escriba un nombre para identificar el selector. El nombre del selector aparece como Nombre en el selector de eventos avanzado y se puede ver si se amplía la JSONvista.

4. En Selectores de eventos avanzados, cree expresiones mediante la selección de valores para Campo, Operador y Valor. Puede omitir este paso si utiliza una plantilla de registro predefinida.

   1. Para excluir o incluir eventos de actividad de la red, puede elegir entre los siguientes campos de la consola.

      • eventName: puede utilizar cualquier operador con eventName. Puede utilizarlo para incluir o excluir cualquier evento, como CreateKey.

      • errorCode: puede usarlo para filtrar por un código de error. Actualmente, el único errorCode que se admite es VpceAccessDenied.

      • vpcEndpointId— Identifica el VPC punto final por el que pasó la operación. Puede utilizar cualquier operador con vpcEndpointId.

   2. En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones.

   3. Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos.

5. Para agregar otro origen de eventos de actividad de la red que quiera registrar, seleccione Agregar selector de eventos de actividad de la red.

6. Si lo desea, amplíe la JSONvista para ver los selectores de eventos avanzados en forma de JSON bloque.

Elige los eventos de Insights si quieres que tu ruta registre los eventos de CloudTrail Insights.

En Event type (Tipo de evento), seleccione Insights events (Eventos de Insights). Debes registrar los eventos de administración de Write para registrar los eventos de Insights para calcular la tasa de API llamadas. Debe registrar los eventos de administración de lectura o escritura para registrar los eventos de Insights para conocer la tasa de API errores.

CloudTrail Insights analiza los eventos de administración para detectar actividades inusuales y los registra cuando se detectan anomalías. De forma predeterminada, los registros de seguimiento no registran eventos de Insights. Para obtener más información acerca de los eventos de Insights, consulte Registro de eventos de Insights. Se aplican cargos adicionales por registrar eventos de Insights. Para CloudTrail conocer los precios, consulte AWS CloudTrail Precios.

Los eventos de Insights se envían a una carpeta diferente con el nombre /CloudTrail-Insight del mismo depósito de S3 que se especifica en el área de ubicación de almacenamiento de la página de detalles de la ruta. CloudTrailcrea el nuevo prefijo para usted. Por ejemplo, si el bucket de S3 de destino actual se denomina amzn-s3-demo-bucket/AWSLogs/CloudTrail/, el nombre del bucket de S3 con un nuevo prefijo se denomina amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/.

Cuando haya terminado de elegir los tipos de eventos para registrar, elija Next (Siguiente).

En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Elija Edit (Editar) en una sección para cambiar la configuración del registro de seguimiento que se muestra en esa sección. Cuando esté listo para crear el registro de seguimiento, elija Create trail (Crear registro de seguimiento).

El nuevo registro de seguimiento aparece en la página Trails. En unos 5 minutos, CloudTrail publica los archivos de registro que muestran las AWS API llamadas realizadas en su cuenta. Puede ver los archivos de registro del bucket de S3 especificado. La entrega del primer evento de Insights puede tardar hasta 36 horas si ha activado el registro de eventos de Insights y si se detecta una actividad inusual. CloudTrail

En Eventos, seleccione Eventos de datos para registrar eventos de datos. Se aplican cargos adicionales para registrar eventos de datos. Para obtener más información, consulte AWS CloudTrail Precios.

Para buckets de Amazon S3:

1. En Data event source (Fuente de evento de datos), elija S3.

2. Puede registrar All current and future S3 buckets (Todos los buckets de S3 actuales y futuros) o bien, especificar buckets o funciones individuales. De forma predeterminada, los eventos de datos se registran para todos los buckets de S3 actuales y futuros.

   nota

   Si mantiene la opción predeterminada Todos los depósitos de S3 actuales y futuros, se permite registrar los eventos de datos de todos los depósitos que se encuentren actualmente en su AWS cuenta y de todos los depósitos que cree una vez que haya terminado de crear la ruta. También permite registrar la actividad de eventos de datos realizada por cualquier IAM identidad de tu AWS cuenta, incluso si esa actividad se realiza en un bucket que pertenece a otra cuenta. AWS

   Si va a crear un sendero para una sola región (lo hace con AWS CLI), si selecciona Todos los depósitos de S3 actuales y futuros, se habilita el registro de eventos de datos para todos los grupos de la misma región que su ruta y para cualquier grupo que cree más adelante en esa región. No registrará los eventos de datos de los buckets de Amazon S3 en otras regiones de su AWS cuenta.

3. Si conserva la opción predeterminada, All current and future S3 buckets (Todos los buckets de S3 actuales y futuros), elija registrar eventos de Read (Lectura), Write (Escritura) o ambos.

4. Para seleccionar buckets individuales, desmarque las casillas de verificación Read (Lectura) y Write (Escritura) en All current and future S3 buckets (Todos los buckets de S3 actuales y futuros). En Individual bucket selection (Selección de bucket individual), busque un bucket en el que registrar los eventos de datos. Busque buckets específicos al escribir un prefijo de bucket para el bucket que desee. En esta ventana puede seleccionar varios buckets. Elija Add bucket (Agregar bucket) para registrar eventos de datos en más buckets. Elija registrar eventos de Read (Lectura), como GetObject, Write (Escritura), como PutObject, o de ambos.

   Esta configuración tiene prioridad sobre la configuración individual de cada bucket. Por ejemplo, si establece la configuración para que se registren los eventos de tipo Read de todos los buckets de S3 y posteriormente decide agregar un determinado bucket en el registro de eventos de datos, la opción Read ya aparecerá seleccionada en el bucket que agregue. Esta selección no se puede anular. Solo se puede configurar la opción Write.

   Para eliminar un bucket del registro, elija X.

Para añadir otro tipo de recurso en el que registrar los eventos de datos, seleccione Añadir tipo de evento de datos.

Para funciones Lambda:

1. En Data event source (Fuente de evento de datos), elija Lambda.

2. En Función Lambda, elija Todas las regiones para registrar todas las funciones Lambda o Función de entrada as ARN para registrar los eventos de datos en una función específica.

   Para registrar los eventos de datos de todas las funciones de Lambda de su AWS cuenta, seleccione Registrar todas las funciones actuales y futuras. Esta configuración tiene prioridad sobre la configuración individual de cada función. Se registran todas las funciones aunque no se muestren.

   nota

   Si va a crear un registro de seguimiento para todas las regiones, esta opción habilita el registro de eventos de datos de todas las funciones que se encuentran actualmente en la cuenta de AWS , así como de cualquier función Lambda que cree en cualquier región después de crear el registro de seguimiento. Si va a crear una ruta para una sola región (mediante la AWS CLI), esta selección habilita el registro de eventos de datos para todas las funciones que se encuentran actualmente en esa región de su AWS cuenta y para cualquier función de Lambda que pueda crear en esa región una vez que haya terminado de crear la ruta. No habilita el registro de eventos de datos de las funciones Lambda creadas en otras regiones.

   El registro de los eventos de datos para todas las funciones también permite registrar la actividad de los eventos de datos realizada por cualquier IAM identidad de su AWS cuenta, incluso si esa actividad se realiza en una función que pertenece a otra AWS cuenta.

3. Si selecciona Función de entrada como ARN, introduzca la ARN de una función Lambda.

   nota

   Si tiene más de 15 000 funciones Lambda en su cuenta, no podrá ver ni seleccionar todas las funciones de la CloudTrail consola al crear un registro. Sí que puede seleccionar la opción para registrar todas las funciones, aunque estas no se muestren. Si desea registrar eventos de datos para funciones específicas, puede añadir una función manualmente si la conoce. ARN También puede terminar de crear la ruta en la consola y, a continuación, utilizar el put-event-selectors comando AWS CLI and the para configurar el registro de eventos de datos para funciones Lambda específicas. Para obtener más información, consulte Administración de registros de seguimiento con la AWS CLI.

Para tablas de DynamoDB:

1. En Data event source (Fuente de evento de datos), elija DynamoDB.

2. En la selección de tablas de DynamoDB, elija Examinar para seleccionar una tabla o péguela en una tabla ARN de DynamoDB a la que tenga acceso. Una ARN tabla de DynamoDB utiliza el siguiente formato:

   arn:partition:dynamodb:region:account_ID:table/table_name

   Para agregar otra tabla, elija Agregar fila y busque una tabla o péguela en ARN la tabla a la que tenga acceso.

A fin de configurar eventos de Insights y otras configuraciones para su registro de seguimiento, vuelva al procedimiento anterior en este tema, Creación de un registro de seguimiento en la consola.