Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Cómo empezar con AWS CloudTrail los tutoriales
Si es la primera vez que lo usa AWS CloudTrail, estos tutoriales pueden ayudarlo a aprender a usar sus funciones. Para usar CloudTrail las funciones, debe tener los permisos adecuados. En esta página, se describen las políticas administradas disponibles CloudTrail y se proporciona información sobre cómo se pueden conceder permisos.
**Topics**
+ [Otorgue permisos de uso CloudTrail](#tutorial-grant-permissions)
+ [Visualización del historial de eventos](tutorial-event-history.md)
+ [Creación de un registro de seguimiento para registrar los eventos de administración](tutorial-trail.md)
+ [Creación de un almacén de datos de eventos para eventos de datos de S3](tutorial-lake-S3.md)
## Otorgue permisos de uso CloudTrail
Para crear, actualizar y gestionar CloudTrail recursos como rutas, almacenes de datos de eventos y canales, debes conceder permisos de uso CloudTrail. En esta sección se proporciona información sobre las políticas gestionadas disponibles para CloudTrail.
**nota**
Los permisos que concede a los usuarios para realizar tareas de CloudTrail administración no son los mismos que CloudTrail los permisos necesarios para entregar archivos de registro a los buckets de Amazon S3 o enviar notificaciones a los temas de Amazon SNS. Para obtener más información acerca de estos permisos, consulte [Política de bucket de Amazon S3 para CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).
Si configura la integración con Amazon CloudWatch Logs, CloudTrail también se requiere un rol que pueda asumir para entregar eventos a un grupo de CloudWatch registros de Amazon Logs. Debe crear el rol que CloudTrail utiliza. Para obtener más información, consulte [Concesión de permisos para ver y configurar la información de Amazon CloudWatch Logs en la CloudTrail consola](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users) y [Envío de eventos a CloudWatch registros](send-cloudtrail-events-to-cloudwatch-logs.md).
Las siguientes políticas AWS administradas están disponibles para CloudTrail:
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html)— Esta política proporciona acceso total a CloudTrail las acciones en CloudTrail los recursos, como las rutas, los almacenes de datos de eventos y los canales. Esta política proporciona los permisos necesarios para crear, actualizar y eliminar CloudTrail rutas, almacenes de datos de eventos y canales.
Esta política también proporciona permisos para administrar el bucket de Amazon S3, el grupo de CloudWatch registros de Logs y un tema de Amazon SNS para un rastro. Sin embargo, la política `AWSCloudTrail_FullAccess` gestionada no proporciona permisos para eliminar el bucket de Amazon S3, el grupo de CloudWatch registros de Logs o un tema de Amazon SNS. Para obtener información sobre las políticas administradas para otros AWS servicios, consulte la [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
**nota**
La **AWSCloudTrail\$1FullAccess**política no está pensada para que se divulgue ampliamente entre todos sus usuarios Cuenta de AWS. Los usuarios con este rol pueden desactivar o reconfigurar las funciones de auditoría más importantes y confidenciales de su Cuentas de AWS. Por este motivo, solo debe aplicar esta política a los administradores de cuentas. Debe controlar y supervisar de cerca el uso de esta política.
+ [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html)— Esta política otorga permisos para ver la CloudTrail consola, incluidos los eventos recientes y el historial de eventos. Esta política también le permite ver los registros de seguimiento, los almacenes de datos de eventos y los canales existentes. Los roles y los usuarios sujetos a esta política pueden [descargar el historial de eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#downloading-events), pero no pueden crear ni actualizar registros de seguimiento, almacenes de datos de eventos ni canales.
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
+ Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de [Creación de un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de AWS IAM Identity Center *.
+ Usuarios gestionados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
+ Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
+ (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.
# Visualización del historial de eventos
En esta sección se describe cómo utilizar la página del **historial de CloudTrail eventos** de la CloudTrail consola para ver los últimos 90 días de los eventos de gestión de los actuales Región de AWS. Cuenta de AWS
**Para ver el **historial de eventos****
1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En el panel de navegación, elija **Event history** (Historial de eventos). Verá una lista filtrada de eventos, con los últimos eventos en primer lugar. El filtro predeterminado de eventos es **Read only (Solo lectura)**, con el valor **false**. Puede borrar ese filtro, al elegir **X** a la derecha del filtro. Puede buscar eventos en el **Historial de eventos** filtrando los eventos en un solo atributo
![\[La página del historial de CloudTrail eventos que destaca el filtro de solo lectura\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/cloudtrail-event-history.png)
1. Elija un atributo por el que filtrar e introduzca el valor completo del atributo. CloudTrail no se puede filtrar por un valor parcial. Por ejemplo, para ver todos los eventos de inicio de sesión en la consola, elija el filtro de **nombre del evento** y especifique **ConsoleLogin**el valor del atributo.
![\[La página del historial de CloudTrail eventos filtró el ConsoleLogin evento.\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/cloudtrail-event-history-filters.png)
O bien, para ver los eventos CloudTrail de administración recientes, elija la **fuente del evento** y especifique`cloudtrail.amazonaws.com`. Para obtener información sobre los eventos en los que se registra un servicio CloudTrail, consulta la referencia de la API del servicio.
![\[La página del historial de CloudTrail eventos se filtró según una fuente de eventos específica\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/event-history-event-source.png)
1. Para ver un evento de administración específico, seleccione el nombre del evento. En la página de detalles del evento, puede ver los detalles del evento, ver los recursos a los que se hace referencia y ver el registro del evento.
1. Para comparar eventos, seleccione hasta cinco para completar las casillas de verificación en el margen izquierdo de la tabla **Event history** (Historial de eventos). Puedes ver los detalles de los eventos seleccionados side-by-side en la tabla de **comparación de detalles del evento**.
1. Puede guardar el historial de eventos descargándolo como un archivo con formato CSV o JSON. Descargar el historial de eventos puede demorar unos minutos.
![\[La página del historial de CloudTrail eventos que muestra las opciones de descarga\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/cloudtrail-event-history-download.png)
Para obtener más información, consulte [Trabajar con el historial de CloudTrail eventos](view-cloudtrail-events.md).
# Creación de un registro de seguimiento para registrar los eventos de administración
Para su primer registro de seguimiento, le recomendamos crear uno que registre todos los [eventos de administración](cloudtrail-concepts.md#cloudtrail-concepts-management-events) y que no registre ningún [evento de datos](cloudtrail-concepts.md#cloudtrail-concepts-data-events) o eventos de Insights. Por ejemplo, son eventos de administración los eventos de seguridad, como `CreateUser` y `AttachRolePolicy` de IAM, los eventos de recursos como `RunInstances` y `CreateBucket`, etc. Creará un depósito de Amazon S3 en el que almacenará los archivos de registro de la ruta como parte de la creación de la ruta en la CloudTrail consola.
**nota**
AWS Control Tower configura una nueva CloudTrail ruta registrando los eventos de gestión al configurar una landing zone. Es un registro de seguimiento a nivel de organización, lo que significa que registra todos los eventos de administración de la cuenta de administración y de todas las cuentas de miembros de la organización. Para obtener más información, consulte [About logging in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/about-logging.html) en la *Guía del usuario de AWS CloudTrail *.
En este tutorial, se presupone que está creando su primer registro de seguimiento. En función del número de senderos que tengas en tu AWS cuenta y de cómo estén configurados esos senderos, el siguiente procedimiento puede implicar gastos o no. CloudTrail almacena los archivos de registro en un bucket de Amazon S3, lo que conlleva costes. Para obtener más información sobre los precios, consulte [Precios de AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) y [Precios de Amazon S3](https://aws.amazon.com/s3/pricing/).
**Creación de un registro de seguimiento**
1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En el selector de **regiones**, elige la AWS región en la que quieres que se cree tu ruta. Esta es la región principal del registro de seguimiento.
**nota**
La región de origen es la única Región de AWS en la que puedes actualizar la ruta una vez creada.
1. En la página de inicio del CloudTrail servicio, la página **Rutas** o la sección **Rutas** de la página del **panel** de control, selecciona **Crear ruta**.
1. En **Trail name (Nombre del registro de seguimiento)**, le proporciona un nombre al registro de seguimiento como, por ejemplo, *management-events*. Como práctica recomendada, utilice un nombre que identifique rápidamente el propósito del registro de seguimiento. En este caso, está creando un registro de seguimiento que registra eventos de administración.
1. Deje la configuración predeterminada en **Activar para todas las cuentas de mi organización**. No podrá cambiar esta opción a menos que tenga cuentas configuradas en Organizations.
1. En **Storage location (Ubicación del almacenamiento)**, elija **Create new S3 bucket (Crear un bucket de S3 nuevo)** para crear un bucket. Al crear un segmento, CloudTrail crea y aplica las políticas del segmento requeridas. Si opta por crear un nuevo bucket de S3, su política de IAM debe incluir permiso para la acción `s3:PutEncryptionConfiguration` porque el cifrado en el servidor está habilitado de forma predeterminada para el bucket. Especifique un nombre para el bucket que sea fácil de identificar.
Para facilitar la búsqueda de tus registros, crea una nueva carpeta (también conocida como *prefijo*) en un depósito existente para almacenar tus CloudTrail registros.
**nota**
El nombre del bucket de Amazon S3 debe ser único de forma global. Para obtener más información, consulte [Reglas de nomenclatura de buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucketnamingrules.html) en la *Guía del usuario de Amazon Simple Storage Service*.
1. Desactive la casilla de verificación para deshabilitar el **cifrado con SSE-KMS del archivo de registros**. De forma predeterminada, los archivos de registros se cifran con el SSE de S3. Para obtener más información sobre esta configuración, consulte [Uso del cifrado del servidor con claves administradas por Amazon S3 (SSE-S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html).
1. Mantenga la configuración predeterminada de los **Ajustes adicionales**.
1. Deja la configuración predeterminada para los **CloudWatch registros**. Por ahora, no envíes registros a Amazon CloudWatch Logs.
1. (Opcional) En el caso de las **etiquetas**, puede agregar hasta 50 pares de claves y etiquetas para que lo ayuden a identificar y ordenar su registro de seguimiento y controlar el acceso a él. Las etiquetas pueden ayudarle a identificar sus CloudTrail rutas y otros recursos, como los depósitos de Amazon S3 que contienen archivos de CloudTrail registro. Por ejemplo, podría adjuntar una etiqueta con el nombre **Compliance** y el valor **Auditing**.
**nota**
Aunque puede añadir etiquetas a las rutas al crearlas en la CloudTrail consola y puede crear un bucket de Amazon S3 para almacenar sus archivos de registro en la CloudTrail consola, no puede añadir etiquetas al bucket de Amazon S3 desde la CloudTrail consola. Para obtener más información sobre cómo ver y cambiar las propiedades de un bucket de Amazon S3, incluida la adición de etiquetas a un bucket, consulte la [https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html](https://docs.aws.amazon.com/AmazonS3/latest/userguide/view-bucket-properties.html).
Cuando haya terminado de crear las etiquetas, seleccione **Next** (Siguiente).
1. En la página **Choose log events** (Elegir eventos de registro), seleccione los tipos de eventos que desea registrar. Para este registro de seguimiento mantenga el valor predeterminado, **Eventos de administración**. En la zona de **Management events** (Eventos de administración), elija registrar tanto los eventos de **Read** (Lectura) como los eventos de **Write** (Escritura), si aún no están seleccionados. Deje vacías las casillas **Excluir AWS KMS eventos** y **Excluir eventos de la API de datos de Amazon RDS** para registrar todos los eventos de administración.
![\[La página Crear registro de seguimiento, configuración de Tipo de evento\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-event-type.png)
1. Mantenga la configuración predeterminada para **Eventos de datos**, **Eventos de Insights** y **Eventos de actividad de la red**. Este registro de seguimiento no registrará ningún evento de datos, eventos de Insights ni eventos de actividad de la red. Elija **Siguiente**.
1. En la página **Review and create** (Revisar y crear), revise la configuración que ha elegido para el registro de seguimiento. Elija **Edit (Editar)** para una sección a fin de retroceder y realizar cambios. Cuando esté listo para crear el registro de seguimiento, elija **Create trail** (Crear registro de seguimiento).
1. La página **Trails** (Registros de seguimiento) muestra el nuevo registro de seguimiento en la tabla. Tenga en cuenta que el registro de seguimiento está establecido de forma predeterminada como **Multi-region trail** (Registro de seguimiento de varias regiones) y está activado para el registro de seguimiento de forma predeterminada.
![\[La página Crear registro de seguimiento, configuración de Tipo de evento\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/cloudtrail-create-trail-done.png)
Para obtener más información acerca de los registros de seguimiento, consulte [Trabajar con CloudTrail senderos](cloudtrail-trails.md).
# Visualización de los archivos de registro
En un promedio de unos 5 minutos desde la creación de la primera ruta, CloudTrail entrega el primer conjunto de archivos de registro al bucket de Amazon S3 de la ruta. Puede ver estos archivos y analizar la información que contienen.
**nota**
CloudTrail Por lo general, entrega los registros en una media de unos 5 minutos tras una llamada a la API. No hay garantía de que suceda en este plazo. Para obtener más información, consulte el [Acuerdo de nivel de servicio de AWS CloudTrail](https://aws.amazon.com/cloudtrail/sla).
Si configuras mal la ruta (por ejemplo, si no se puede acceder al depósito de S3), CloudTrail intentarás volver a enviar los archivos de registro a tu depósito de S3 durante 30 días. Estos attempted-to-deliver eventos estarán sujetos a los cargos estándar. CloudTrail Para evitar que se le cobre por un registro de seguimiento mal configurado, debe eliminarlo.
**Para ver los archivos de registro**
1. Inicie sesión en Consola de administración de AWS y abra la consola en. CloudTrail [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/)
1. En el panel de navegación, seleccione **Trails**. En la página **Rutas**, busca el nombre de la ruta que acabas de crear (en el ejemplo,*management-events*).
1. En la fila del registro de seguimiento, elija el valor del bucket de S3.
1. La consola de Amazon S3 se abre y muestra dos carpetas para el bucket: `CloudTrail-Digest` y `CloudTrail`. Elija la **CloudTrail**carpeta para ver los archivos de registro.
1. Si ha creado un registro multirregional, hay una carpeta para cada uno Región de AWS. Elija la carpeta en la Región de AWS que desee revisar los archivos de registro. Por ejemplo, si desea examinar los archivos de registros de la región EE. UU. Este (Ohio), **elija us-este-2**.
![\[Un bucket de Amazon S3 para un registro de seguimiento, que muestra la estructura de los archivos de registros en las regiones de AWS\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/cloudtrail-trail-bucket-1.png)
1. Desplácese por la estructura de carpetas del bucket hasta el año, el mes y el día cuyos registros de actividad desea examinar en esa región. En ese día, hay una serie de archivos. El nombre de los archivos comienza con su Cuenta de AWS ID y termina con la extensión`.gz`. Por ejemplo, si tu ID de cuenta es*123456789012*, verás archivos con nombres similares a los siguientes: *123456789012* \$1 \$1 CloudTrail *us-east-2* \$1 *20240512T0000Z\$1EXAMPLE* .json.gz.
Para ver estos archivos, puede descargarlos, descomprimirlos y, a continuación, verlos en un editor de texto sin formato o en un visor de archivos JSON. Algunos navegadores también permiten visualizar archivos .gz y JSON directamente. Le recomendamos que utilice un visor de archivos JSON, ya que facilita la labor de analizar la información de los archivos de registro de CloudTrail .
# Creación de un almacén de datos de eventos para eventos de datos de S3
Puede crear un almacén de datos de eventos para registrar CloudTrail eventos (eventos de administración, eventos de datos), [eventos de CloudTrail Insights](query-event-data-store-insights.md), [AWS Audit Manager pruebas](https://docs.aws.amazon.com/audit-manager/latest/userguide/evidence-finder.html#understanding-evidence-finder), [elementos de AWS Config configuración](query-event-data-store-config.md) o [no AWS eventos](event-data-store-integration-events.md).
Al crear un banco de datos de eventos para eventos de datos, elige los tipos de recursos Servicios de AWS y los tipos de recursos para los que desea registrar los eventos de datos. Para obtener información sobre Servicios de AWS los eventos de datos de registro, consulte[Eventos de datos](logging-data-events-with-cloudtrail.md#logging-data-events).
En este tutorial se muestra cómo crear un almacén de datos de eventos para los eventos de datos de Amazon S3. En este tutorial, en lugar de registrar todos los eventos de datos de Amazon S3, seleccionaremos una plantilla de selector de registros personalizada para registrar los eventos solo cuando se elimine un objeto de un bucket de S3 específico.
**Para crear un almacén de datos de eventos para eventos de datos de S3**
1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En el panel de navegación, en **Lago**, elija **Almacenes de datos de eventos**.
1. Elija **Create event data store** (Crear almacén de datos de eventos).
1. En la página **Configurar el almacén de datos de eventos**, en **Detalles generales**, asigne un nombre al banco de datos de eventos, como*s3-data-events-eds*. Como práctica recomendada, utilice un nombre que identifique rápidamente el propósito del almacén de datos de eventos. Para obtener información sobre los requisitos de CloudTrail nomenclatura, consulte[Requisitos de nomenclatura para CloudTrail los recursos, los buckets de S3 y las claves de KMS](cloudtrail-trail-naming-requirements.md).
1. Elija la **Opción de precios** que desee usar para el almacén de datos de eventos. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como los periodos de retención predeterminado y máximo del almacén de datos de eventos. Para obtener más información, consulte [AWS CloudTrail Precios](https://aws.amazon.com/cloudtrail/pricing/) y [Gestión de los costos de los CloudTrail lagos](cloudtrail-lake-manage-costs.md).
Están disponibles las siguientes opciones:
+ **Precio de retención ampliable por un año**: en general se recomienda si prevé incorporar menos de 25 TB de datos de eventos al mes y desea un periodo de retención flexible de hasta 10 años. Durante los primeros 366 días (el periodo de retención predeterminado), el almacenamiento se incluye sin cargo adicional en los precios de incorporación. Después de 366 días, la retención prolongada está disponible a un pay-as-you-go precio determinado. Esta es la opción predeterminada.
+ **Periodo de retención predeterminado:** 366 días.
+ **Periodo máximo de retención:** 3653 días.
+ **Precio de retención ampliable por un año**: se recomienda si prevé incorporar más de 25 TB de datos de eventos al mes y desea un periodo de retención de hasta 7 años. La retención está incluida en los precios de incorporación sin costo adicional.
+ **Periodo de retención predeterminado:** 2557 días.
+ **Periodo máximo de retención:** 2557 días.
1. Especifique un periodo de retención para el almacén de datos de eventos. Los periodos de retención pueden oscilar entre 7 y 3653 días (unos 10 años) para la opción **Precios de retención ampliables por un año**, o entre 7 días y 2557 días (unos siete años) para la opción **Precios de retención por siete años**.
CloudTrail Lake determina si se debe retener un evento comprobando si el `eventTime` evento se encuentra dentro del período de retención especificado. Por ejemplo, si especificas un período de retención de 90 días, CloudTrail eliminará los eventos cuando `eventTime` tengan más de 90 días.
1. (Opcional) En **Cifrado**, seleccione si quiere cifrar el almacén de datos de eventos con su propia clave de KMS. De forma predeterminada, todos los eventos de un almacén de datos de eventos se cifran CloudTrail mediante una clave de KMS que le AWS pertenece y administra por usted.
Para habilitar el cifrado con su propia clave de KMS, seleccione **Usar mi propia AWS KMS key**. Elija **Nuevo** para que se AWS KMS key cree una por usted, o bien elija **Existente** para usar una clave de KMS existente. En **Introducir un alias de KMS**, especifique un alias en el formato `alias/`*MyAliasName*. El uso de su propia clave de KMS requiere que modifique su política de claves de KMS para permitir el cifrado y el descifrado de los CloudTrail registros. Para obtener más información, consulte[Configurar políticas AWS KMS clave para CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail también admite claves AWS KMS multirregionales. Para obtener más información sobre las claves de varias regiones, consulte [Uso de claves de varias regiones](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) en la *Guía para desarrolladores de AWS Key Management Service *.
El uso de su propia clave KMS conlleva AWS KMS costes de cifrado y descifrado. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar.
**nota**
Para habilitar el AWS Key Management Service cifrado en un almacén de datos de eventos de la organización, debe usar una clave KMS existente para la cuenta de administración.
1. (Opcional) Si desea realizar consultas con los datos de su evento mediante Amazon Athena, elija **Habilitar** en **Federación de consultas de Lake**. La federación le permite ver los metadatos asociados al almacén de datos de eventos en el [catálogo de datos de AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) y ejecutar consultas SQL con los datos de eventos en Athena. Los metadatos de la tabla almacenados en el catálogo de AWS Glue datos permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar. Para obtener más información, consulte [Federar un almacén de datos de eventos](query-federation.md).
Para habilitar la federación de consultas de Lake, seleccione **Habilitar** y, a continuación, haga lo siguiente:
1. Elija si desea crear un nuevo rol o utilizar un rol de IAM existente. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utiliza este rol para administrar los permisos del almacén de datos de eventos federados. Al crear un nuevo rol mediante la CloudTrail consola, crea CloudTrail automáticamente un rol con los permisos necesarios. Si elige un rol existente, asegúrese de que la política del rol proporcione los [permisos mínimos requeridos](query-federation.md#query-federation-permissions-role).
1. Si va a crear un rol nuevo, introduzca un nombre para identificarlo.
1. Si está utilizando un rol existente, elija el rol que desea usar. El rol debe existir en su cuenta de .
1. (Opcional) Elija **Habilitación de política de recursos** para agregar una política basada en recursos a este almacén de datos de eventos. Las políticas basadas en recursos le permiten controlar qué entidades principales pueden realizar acciones en el almacén de datos de eventos. Por ejemplo, puede agregar una política basada en recursos para permitir a los usuarios raíz de otras cuentas consultar el almacén de datos de eventos y ver los resultados de las consultas. Para ver ejemplos de políticas, consulte [Ejemplos de políticas basadas en recursos para almacenes de datos de eventos](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Una política basada en recursos incluye una o más instrucciones. Cada instrucción de la política define las [entidades principales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) a las que se les permite o deniega el acceso al almacén de datos de eventos y las acciones que las entidades principales pueden realizar en el recurso del almacén de datos de eventos.
Las políticas basadas en recursos para los almacenes de datos de eventos admiten las siguientes acciones:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Para [los almacenes de datos de eventos de la organización](cloudtrail-lake-organizations.md), CloudTrail crea una [política predeterminada basada en los recursos](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) que enumera las acciones que las cuentas de administrador delegado pueden realizar en los almacenes de datos de eventos de la organización. Los permisos de esta política se obtienen de los permisos del administrador delegado en AWS Organizations. Esta política se actualiza automáticamente tras los cambios en el almacén de datos de eventos de la organización o en la organización (por ejemplo, si se registra o CloudTrail se elimina una cuenta de administrador delegado).
1. (Opcional) En **Etiquetas**, agregue una o más etiquetas personalizadas (pares clave-valor) a su almacén de datos de eventos. Las etiquetas pueden ayudarle a identificar los almacenes de datos de sus CloudTrail eventos. Por ejemplo, podría adjuntar una etiqueta con el nombre **stage** y el valor **prod**. Puede utilizar etiquetas para limitar el acceso al almacén de datos de eventos. También puede utilizar etiquetas para hacer un seguimiento de los costos de consulta e ingesta del almacén de datos de eventos.
Para obtener más información acerca de cómo usar etiquetas para hacer un seguimiento de los costos, consulte [Creación de etiquetas de asignación de costes definidas por el usuario para los almacenes de datos de eventos de CloudTrail Lake](cloudtrail-budgets-tools.md#cloudtrail-lake-manage-costs-tags). Para obtener información sobre cómo utilizar las políticas de IAM para autorizar el acceso a un almacén de datos de eventos en función de etiquetas, consulte [Ejemplos: Denegación de acceso para crear o eliminar almacenes de datos de eventos en función de etiquetas](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Para obtener información sobre cómo utilizar las etiquetas AWS, consulte Cómo [etiquetar AWS los recursos en la Guía](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) del *usuario sobre cómo etiquetar AWS los recursos*.
1. Elija **Next** (Siguiente) para configurar el almacén de datos de eventos.
1. En la página **Seleccionar eventos**, deje las selecciones predeterminadas en **Tipo de evento**.
![\[Seleccione el tipo de evento para el almacén de datos de eventos\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/lake-event-type.png)
1. **Para **CloudTrail los eventos**, selecciona Eventos de **datos y anula la selección de los Eventos** de administración.** Para obtener más información sobre los eventos de datos, consulte [Registro de eventos de datos](logging-data-events-with-cloudtrail.md).
![\[Elija eventos CloudTrail de datos para el almacén de datos de eventos\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/cloudtrail-events-data.png)
1. Deje la configuración predeterminada para **Copiar eventos de los registros de seguimiento**. Utilizaría esta opción para copiar los eventos de los registros de seguimiento existentes en el almacén de datos de eventos. Para obtener más información, consulte [Copiar eventos de registro de seguimiento en un almacén de datos de eventos](cloudtrail-copy-trail-to-lake-eds.md).
1. Seleccione **Activar para todas las cuentas de mi organización** si se trata de un almacén de datos de eventos de la organización. No podrá cambiar esta opción a menos que tenga cuentas configuradas en AWS Organizations.
1. En **Configuración adicional**, deje las selecciones predeterminadas. De forma predeterminada, un banco de datos de eventos recopila los eventos de todos Regiones de AWS y comienza a ingerirlos cuando se crea.
1. En **Eventos de datos**, lleve a cabo las siguientes selecciones:
1. En **Tipo de recurso**, elija **S3**. El tipo de recurso identifica el Servicio de AWS recurso en el que se registran los eventos de datos.
1. En **Plantilla de selector de registros**, seleccione **Personalizado**. Si selecciona **Personalizado**, puede definir un selector de eventos personalizado para filtrar los campos `eventName`, `resources.ARN` y `readOnly`. Para obtener información sobre estos campos, consulte [AdvancedFieldSelector](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html)la *referencia de la AWS CloudTrail API*.
1. (Opcional) En **Nombre del selector**, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo para un selector de eventos avanzado, como «Registrar las llamadas a la DeleteObject API para un segmento de S3 específico». El nombre del selector aparece como `Name` en el selector de eventos avanzado y se puede ver si se amplía la **vista JSON**.
![\[Vista JSON ampliada que muestra selectores de eventos avanzados\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/json-view-selector-name.png)
1. En **Selectores de eventos avanzados**, crearemos un selector de eventos personalizado para filtrar por los campos `eventName` y `resources.ARN`. Los selectores de eventos avanzados para un almacén de datos de eventos funcionan igual que los selectores de eventos avanzados que se aplican a un registro de seguimiento. Para obtener más información sobre cómo crear selectores de eventos avanzados, consulte [Registrar eventos de datos con selectores de eventos avanzados](logging-data-events-with-cloudtrail.md#creating-data-event-selectors-advanced).
1. En **Campo**, seleccione **eventName**. En **Operador**, seleccione **equals**. En **Valor**, introduzca **DeleteObject**. Seleccione **\$1 Campo** para filtrar por otro campo.
1. En **Campo**, seleccione **resources.ARN**. En **Operador**, elija **StartsWith**. En **Value**, introduce el ARN de tu bucket (por ejemplo, arn:aws:s3:::). *amzn-s3-demo-bucket* Para obtener información acerca de cómo obtener el ARN, consulte [Recursos de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-arn-format.html) en la *Guía del usuario de Amazon Simple Storage Service*.
![\[Configuración de eventos de datos de S3\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/eds-data-events.png)
1. Elija **Next** (Siguiente) para revisar las opciones seleccionadas.
1. En la página **Review and create (Revisar y crear)**, revise las opciones seleccionadas. Elija **Edit** (Editar) para realizar cambios en una sección. Cuando esté listo para crear el almacén de datos de eventos, elija **Create event data store** (Crear almacén de datos de eventos).
1. El nuevo almacén de datos de eventos aparece en la tabla **Almacenes de datos de eventos** de la página **Almacenes de datos de eventos**.
A partir de este momento, el almacén de datos de eventos captura los eventos que coinciden con sus selectores de eventos avanzados. Los eventos que ocurrieron antes de que creara el almacén de datos de eventos no estarán en el almacén de datos de eventos, a menos que opte por copiar los eventos de registro de seguimiento existentes.
Ahora puede ejecutar consultas en su almacén de datos de eventos. Para obtener más información acerca de cómo ver y ejecutar consultas de ejemplo, consulte [Consulta ejemplos de consultas con la consola CloudTrail](lake-console-queries.md).
Para obtener más información sobre Lake, consulte. CloudTrail [Trabajando con AWS CloudTrail Lake](cloudtrail-lake.md)