Actualización de una ruta con la CloudTrail consola

Para actualizar una ruta con el AWS Management Console

1. Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

2. En el panel de navegación, elija Trails (Registros de seguimiento) y, a continuación, elija un nombre de registro de seguimiento.

3. En General details (Detalles generales), elija Edit (Editar) para cambiar la siguiente configuración. No puede cambiar el nombre de un registro de seguimiento.

   • Aplicar un registro a mi organización: cambia si este registro es un registro de AWS Organizations la organización.

     nota

     Solo la cuenta de administración de la organización puede convertir un registro de seguimiento de la organización en un registro de seguimiento que no sea de la organización o convertir un registro de seguimiento que no es de la organización en un registro de seguimiento de la organización.

   • Ubicación del registro de seguimiento: cambie el nombre del prefijo o bucket de S3 en el que se almacenan los registros para este registro de seguimiento.

   • Archivo de registroSSE: KMS cifrado: seleccione activar o desactivar el cifrado de los archivos de registro con SSE - KMS en lugar de con SSE -S3.

   • Validación de archivos de registros: elija habilitar o desactivar la validación de la integridad de los archivos de registros.

   • SNSenvío de notificaciones: active o desactive las notificaciones de Amazon Simple Notification Service (AmazonSNS) que indican que los archivos de registro se han entregado al depósito especificado para la ruta.

   1. Para cambiar el registro por un registro de AWS Organizations la organización, puede optar por habilitar el registro para todas las cuentas de su organización. Para obtener más información, consulte Creación de un registro de seguimiento para una organización.

   2. Para cambiar el bucket especificado en Storage location (Ubicación de almacenamiento), elija Create new S3 bucket (Crear un bucket de S3 nuevo) a fin de crear un bucket. Al crear un grupo, CloudTrail crea y aplica las políticas de grupo requeridas. Si decide crear un nuevo bucket de S3, su IAM política debe incluir el permiso para la s3:PutEncryptionConfiguration acción, ya que, de forma predeterminada, el cifrado del lado del servidor está habilitado para el bucket.

      nota

      Si eligió Use existing S3 bucket (Utilizar bucket de S3 existente), especifique un bucket en Trail log bucket name (Nombre del bucket de registro de seguimiento), o elija Browse (Examinar) para elegir un bucket. La política de bucket debe conceder CloudTrail permiso para escribir en él. Para obtener más información sobre cómo editar manualmente la política del bucket, consulte Política de bucket de Amazon S3 para CloudTrail.

      Para que sea más fácil encontrar tus registros, crea una nueva carpeta (también conocida como prefijo) en un depósito existente para almacenar tus CloudTrail registros. Ingrese el prefijo en Prefix (Prefijo).

   3. En KMSCifrado de archivos SSE de registro, selecciona Activado si quieres cifrar los archivos de registro mediante el KMS cifrado SSE - en lugar del cifrado SSE -S3. El valor predeterminado es Enabled (Habilitado). Si no habilita el KMS cifradoSSE, sus registros se cifrarán mediante el cifrado SSE -S3. Para obtener más información sobre SSE el KMS cifrado, consulte Uso del cifrado del lado del servidor con AWS Key Management Service (SSE-). KMS Para obtener más información sobre el cifrado SSE -S3, consulte Uso del cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (-S3). SSE

      Si habilita el KMS cifrado, SSE elija uno nuevo o existente. AWS KMS key En AWS KMS Alias, especifique un alias, en el formato alias/MyAliasName. Para obtener más información, consulteActualizar un recurso para usar tu KMS clave con la consola. CloudTrail también admite claves AWS KMS multirregionales. Para obtener más información sobre las claves de varias regiones, consulte Uso de claves de varias regiones en la Guía para desarrolladores de AWS Key Management Service .

      nota

      También puedes escribir la clave ARN de otra cuenta. Para obtener más información, consulte Actualizar un recurso para usar tu KMS clave con la consola. La política de claves debe CloudTrail permitir usar la clave para cifrar los archivos de registro y permitir que los usuarios que especifique lean los archivos de registro sin cifrar. Para obtener más información sobre cómo editar manualmente la política de claves, consulte Configurar políticas AWS KMS clave para CloudTrail.

   4. En Log file validation (Validación de archivo de registros), elija Enabled (Habilitado) para que se envíen los resúmenes de archivos de registros a su bucket de S3. Puede utilizar los archivos de resumen para comprobar que los archivos de registro no han cambiado después de CloudTrail entregarlos. Para obtener más información, consulte Validación de la integridad del archivo de CloudTrail registro.

   5. Para la entrega de SNS notificaciones, selecciona Activado para recibir una notificación cada vez que se entregue un registro a tu depósito. CloudTrail almacena varios eventos en un archivo de registro. SNSlas notificaciones se envían para todos los archivos de registro, no para todos los eventos. Para obtener más información, consulte Configuración de SNS las notificaciones de Amazon para CloudTrail.

      Si habilita SNS las notificaciones, en Crear un SNS tema nuevo, elija Nuevo para crear un tema o Existente para usar un tema existente. Si va a crear un registro que se aplique a todas las regiones, las SNS notificaciones de las entregas de archivos de registro de todas las regiones se enviarán al SNS tema único que cree.

      Si elige Nuevo, CloudTrail especifique un nombre para el nuevo tema o puede escribir un nombre. Si elige Existente, elija un SNS tema de la lista desplegable. También puede introducir un tema ARN de otra región o de una cuenta con los permisos adecuados. Para obtener más información, consulte Política SNS temática de Amazon para CloudTrail.

      Si crea un tema, deberá suscribirse al tema para recibir una notificación del envío de archivos de registro. Puedes suscribirte desde la SNS consola de Amazon. Debido a la frecuencia de las notificaciones, te recomendamos configurar la suscripción para usar una SQS cola de Amazon para gestionar las notificaciones mediante programación. Para obtener más información, consulte Introducción a Amazon SNS en la Guía para desarrolladores de Amazon Simple Notification Service.

4. En CloudWatch Registros, seleccione Editar para cambiar la configuración de envío de archivos de CloudTrail registro a CloudWatch Logs. Seleccione Activado en CloudWatch los registros para activar el envío de archivos de registro. Para obtener más información, consulte Envío de eventos a CloudWatch registros.

   1. Si habilita la integración con CloudWatch los registros, elija Nuevo para crear un nuevo grupo de registros o Existente para usar uno existente. Si elige Nuevo, CloudTrail especifique un nombre para el nuevo grupo de registros o puede escribir un nombre.

   2. Si elige Existing (Existente), elija un grupo de registros en la lista desplegable.

   3. Elija Nuevo para crear un nuevo IAM rol con los permisos necesarios para enviar CloudWatch registros a Logs. Elija Existente para elegir un IAM rol existente de la lista desplegable. La instrucción de la política para el rol nuevo o existente se muestra al expandir Policy document (Documento de política). Para obtener más información acerca de este rol, consulte Documento de política de roles CloudTrail para el uso de CloudWatch registros para la supervisión.

      nota

      • Al configurar una ruta, puede elegir un bucket y un SNS tema de S3 que pertenezcan a otra cuenta. Sin embargo, si desea CloudTrail enviar eventos a un grupo de CloudWatch registros, debe elegir un grupo de registros que exista en su cuenta actual.

      • Solo la cuenta de administración puede configurar un grupo de CloudWatch registros para un registro de la organización mediante la consola. El administrador delegado puede configurar un grupo de CloudWatch registros mediante las UpdateTrail API operaciones AWS CLI o CloudTrail CreateTrail o.

5. En Tags (Etiquetas), elija Edit (Editar) para cambiar, agregar o eliminar etiquetas en el registro de seguimiento. Puede añadir hasta 50 pares de claves de etiquetas para ayudarle a identificar, ordenar y controlar el acceso a su registro. Las etiquetas pueden ayudarle a identificar tanto sus CloudTrail senderos como los depósitos de Amazon S3 que contienen archivos de CloudTrail registro. A continuación, puede utilizar grupos de recursos para sus CloudTrail recursos. Para obtener más información, consulte AWS Resource Groups y Etiquetas.

6. En Management events (Eventos de administración), elija Edit (Editar) para cambiar la configuración de registro de eventos de administración.

   1. En cuanto a APIla actividad, elige si quieres que tu ruta registre los eventos de lectura, de escritura o ambos. Para obtener más información, consulte Eventos de administración.

   2. Selecciona Excluir AWS KMS eventos para filtrar AWS Key Management Service (AWS KMS) los eventos de tu ruta. La configuración predeterminada es incluir a todos los eventos de AWS KMS .

      La opción de registrar o excluir AWS KMS eventos solo está disponible si registras los eventos de administración en tu ruta. Si elige no registrar los eventos de administración, los AWS KMS eventos no se registran y no puede cambiar la configuración AWS KMS del registro de eventos.

      AWS KMS acciones como EncryptDecrypt, y GenerateDataKey suelen generar un gran volumen (más del 99%) de eventos. Estas acciones se registran ahora como eventos de lectura. AWS KMS Las acciones relevantes de bajo volumen, como DisableDelete, y ScheduleKey (que normalmente representan menos del 0,5% del volumen de AWS KMS eventos) se registran como eventos de escritura.

      Para excluir eventos de gran volumen como Encrypt, Decrypt y GenerateDataKey, y seguir registrando eventos relevantes como Disable, Delete y ScheduleKey, elija registrar eventos de administración Write (Escritura) y desmarque la casilla de verificación Exclude AWS KMS events (Excluir eventos de KMS).

   3. Elija Excluir eventos de Amazon RDS Data para filtrar API los eventos de API datos de Amazon Relational Database Service y eliminarlos de su ruta. La configuración predeterminada es incluir todos los API eventos de Amazon RDS Data. Para obtener más información sobre RDS los API eventos de Amazon Data, consulte Registro de API llamadas de datos AWS CloudTrail en la Guía del RDS usuario de Amazon para Aurora.

7. importante

   Los pasos 7 a 11 son para configurar los eventos de datos mediante selectores de eventos avanzados, que son los predeterminados. Los selectores de eventos avanzados le permiten configurar más tipos de eventos de datos y ofrecen un control detallado de los eventos de datos que captura su registro de seguimiento. Si planea registrar los eventos de actividad de la red (en la vista previa), debe usar selectores de eventos avanzados. Si utiliza selectores de eventos básicos, consulte Actualización de la configuración de eventos de datos con selectores de eventos básicos y, a continuación, vuelva al paso 12 de este procedimiento.

   En Data events (Eventos de datos), elija Edit (Editar) para cambiar la configuración de registro de eventos de datos. De forma predeterminada, los registros de seguimiento no registran eventos de datos. Se aplican cargos adicionales para registrar eventos de datos. Para obtener información acerca de los precios de CloudTrail, consulte Precios de AWS CloudTrail.

   En Data event type (Tipo de evento de datos), elija el tipo de recurso en el que desea registrar los eventos de datos. Para obtener más información sobre los tipos de eventos de datos disponibles, consulte Eventos de datos.

   nota

   Para registrar los eventos de datos de AWS Glue las tablas creadas por Lake Formation, elija Lake Formation.

8. Elija una plantilla de selección de registros. CloudTrail incluye plantillas predefinidas que registran todos los eventos de datos del tipo de recurso. Para crear una plantilla de selector de registros personalizada, elija Custom (Personalizado).

   nota

   Si eliges una plantilla predefinida para los depósitos de S3, podrás registrar los eventos de datos de todos los depósitos que hay actualmente en tu AWS cuenta y de los que crees una vez que hayas terminado de crear el registro. También permite registrar la actividad de eventos de datos realizada por cualquier usuario o rol de tu AWS cuenta, incluso si esa actividad se realiza en un bucket que pertenece a otra cuenta. AWS

   Si el registro de seguimiento solo aplica a una región, elegir una plantilla predefinida que registra todos los buckets de S3 permite el registro de eventos de datos de todos los buckets en la misma región que el registro de seguimiento, así como de cualquier otro bucket que cree posteriormente en esa región. No registrará los eventos de datos de los buckets de Amazon S3 en otras regiones de la cuenta de AWS .

   Si va a crear un registro para todas las regiones, al elegir una plantilla predefinida para las funciones de Lambda se habilita el registro de eventos de datos para todas las funciones que se encuentran actualmente en su AWS cuenta y para cualquier función de Lambda que pueda crear en cualquier región una vez que haya terminado de crear el registro. Si va a crear una ruta para una sola región (mediante la AWS CLI), esta selección habilita el registro de eventos de datos para todas las funciones que se encuentran actualmente en esa región de su AWS cuenta y para cualquier función de Lambda que pueda crear en esa región una vez que haya terminado de crear la ruta. No habilita el registro de eventos de datos de las funciones Lambda creadas en otras regiones.

   El registro de los eventos de datos para todas las funciones también permite registrar la actividad de los eventos de datos realizada por cualquier usuario o función de su AWS cuenta, incluso si esa actividad se realiza en una función que pertenece a otra AWS cuenta.

9. (Opcional) En Nombre del selector, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo opcional para un selector de eventos avanzado, como “Registrar eventos de datos para solo dos buckets de S3”. El nombre del selector aparece como Name en el selector de eventos avanzado y se puede ver si se amplía la JSONvista.

10. En Advanced event selectors (Selectores de eventos avanzados), cree una expresión para los recursos específicos en los que desea registrar eventos de datos. Puede omitir este paso si utiliza una plantilla de registro predefinida.

    1. Elija uno de los siguientes campos.

       • readOnly- se readOnly puede configurar para que sea igual a un valor de true ofalse. Los eventos de datos de solo lectura son eventos que no cambian el estado de un recurso, como eventos Get* o Describe*. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos Put*, Delete* o Write*. Para registrar eventos read y write, no agregue un selector de readOnly.

       • eventName: eventName puede utilizar cualquier operador. Puede usarlo para incluir o excluir cualquier evento de datos registrado CloudTrail, como PutBucketGetItem, oGetSnapshotBlock.

       • resources.ARN- Puedes usar cualquier operador conresources.ARN, pero si usas valores iguales o no iguales, el valor debe coincidir exactamente con el ARN de un recurso válido del tipo que hayas especificado en la plantilla como valorresources.type.

         En la siguiente tabla se muestra el ARN formato válido para cada unoresources.type.

         nota

         No puede usar el resources.ARN campo para filtrar los tipos de recursos que no lo tienenARNs.

         resources.type	recursos. ARN
         AWS::DynamoDB::Table1	arn:partition:dynamodb:region:account_ID:table/table_name
         AWS::Lambda::Function	arn:partition:lambda:region:account_ID:function:function_name
         AWS::S3::Object2	arn:partition:s3:::amzn-s3-demo-bucket/ arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/
         AWS::AppConfig::Configuration	arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID
         AWS::B2BI::Transformer	arn:partition:b2bi:region:account_ID:transformer/transformer_ID
         AWS::Bedrock::AgentAlias	arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID
         AWS::Bedrock::FlowAlias	arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID
         AWS::Bedrock::Guardrail	arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID
         AWS::Bedrock::KnowledgeBase	arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID
         AWS::Bedrock::Model	ARNDebe estar en uno de los siguientes formatos: arn:partition:bedrock:region::foundation-model/resource_ID arn:partition:bedrock:region:account_ID:provisioned-model/resource_ID arn:partition:bedrock:region:account_ID:custom-model/resource_ID
         AWS::Cassandra::Table	arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name
         AWS::CloudFront::KeyValueStore	arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name
         AWS::CloudTrail::Channel	arn:partition:cloudtrail:region:account_ID:channel/channel_UUID
         AWS::CodeWhisperer::Customization	arn:partition:codewhisperer:region:account_ID:customization/customization_ID
         AWS::CodeWhisperer::Profile	arn:partition:codewhisperer:region:account_ID:profile/profile_ID
         AWS::Cognito::IdentityPool	arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID
         AWS::DataExchange::Asset	arn:partition:dataexchange:region:account_ID:data-sets/data_set_ID/revisions/revision_ID/assets/asset_ID
         AWS::Deadline::Fleet	arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID
         AWS::Deadline::Job	arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID/job/job_ID
         AWS::Deadline::Queue	arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID
         AWS::Deadline::Worker	arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID/worker/worker_ID
         AWS::DynamoDB::Stream	arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time
         AWS::EC2::Snapshot	arn:partition:ec2:region::snapshot/snapshot_ID
         AWS::EMRWAL::Workspace	arn:partition:emrwal:region:account_ID:workspace/workspace_name
         AWS::FinSpace::Environment	arn:partition:finspace:region:account_ID:environment/environment_ID
         AWS::Glue::Table	arn:partition:glue:region:account_ID:table/database_name/table_name
         AWS::GreengrassV2::ComponentVersion	arn:partition:greengrass:region:account_ID:components/component_name
         AWS::GreengrassV2::Deployment	arn:partition:greengrass:region:account_ID:deployments/deployment_ID
         AWS::GuardDuty::Detector	arn:partition:guardduty:region:account_ID:detector/detector_ID
         AWS::IoT::Certificate	arn:partition:iot:region:account_ID:cert/certificate_ID
         AWS::IoT::Thing	arn:partition:iot:region:account_ID:thing/thing_ID
         AWS::IoTSiteWise::Asset	arn:partition:iotsitewise:region:account_ID:asset/asset_ID
         AWS::IoTSiteWise::TimeSeries	arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID
         AWS::IoTTwinMaker::Entity	arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID
         AWS::IoTTwinMaker::Workspace	arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID
         AWS::KendraRanking::ExecutionPlan	arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID
         AWS::Kinesis::Stream	arn:partition:kinesis:region:account_ID:stream/stream_name
         AWS::Kinesis::StreamConsumer	arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp
         AWS::KinesisVideo::Stream	arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time
         AWS::MachineLearning::MlModel	arn:partition:machinelearning:region:account_ID:mlmodel/model_ID
         AWS::ManagedBlockchain::Network	arn:partition:managedblockchain:::networks/network_name
         AWS::ManagedBlockchain::Node	arn:partition:managedblockchain:region:account_ID:nodes/node_ID
         AWS::MedicalImaging::Datastore	arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID
         AWS::NeptuneGraph::Graph	arn:partition:neptune-graph:region:account_ID:graph/graph_ID
         AWS::One::UKey	arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID
         AWS::One::User	arn:partition:one:region:account_ID:user/user_ID
         AWS::PaymentCryptography::Alias	arn:partition:payment-cryptography:region:account_ID:alias/alias
         AWS::PaymentCryptography::Key	arn:partition:payment-cryptography:region:account_ID:key/key_ID
         AWS::PCAConnectorAD::Connector	arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID
         AWS::PCAConnectorSCEP::Connector	arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID
         AWS::QApps:QApp	arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID
         AWS::QBusiness::Application	arn:partition:qbusiness:region:account_ID:application/application_ID
         AWS::QBusiness::DataSource	arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID
         AWS::QBusiness::Index	arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID
         AWS::QBusiness::WebExperience	arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID
         AWS::RDS::DBCluster	arn:partition:rds:region:account_ID:cluster/cluster_name
         AWS::RUM::AppMonitor	arn:partition:rum:region:account_ID:appmonitor/app_monitor_name
         AWS::S3::AccessPoint3	arn:partition:s3:region:account_ID:accesspoint/access_point_name
         AWS::S3Express::Object	arn:partition:s3express:region:account_ID:bucket/bucket_name
         AWS::S3ObjectLambda::AccessPoint	arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name
         AWS::S3Outposts::Object	arn:partition:s3-outposts:region:account_ID:object_path
         AWS::SageMaker::Endpoint	arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name
         AWS::SageMaker::ExperimentTrialComponent	arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name
         AWS::SageMaker::FeatureGroup	arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name
         AWS::SCN::Instance	arn:partition:scn:region:account_ID:instance/instance_ID
         AWS::ServiceDiscovery::Namespace	arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID
         AWS::ServiceDiscovery::Service	arn:partition:servicediscovery:region:account_ID:service/service_ID
         AWS::SNS::PlatformEndpoint	arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID
         AWS::SNS::Topic	arn:partition:sns:region:account_ID:topic_name
         AWS::SocialMessaging::PhoneNumberId	arn:partition:social-messaging:region:account_ID:phone-number-id/phone_number_ID
         AWS::SQS::Queue	arn:partition:sqs:region:account_ID:queue_name
         AWS::SSM::ManagedNode	ARNDebe estar en uno de los siguientes formatos: arn:partition:ssm:region:account_ID:managed-instance/instance_ID arn:partition:ec2:region:account_ID:instance/instance_ID
         AWS::SSMMessages::ControlChannel	arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID
         AWS::StepFunctions::StateMachine	ARNDebe estar en uno de los siguientes formatos: arn:partition:states:region:account_ID:stateMachine:stateMachine_name arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name
         AWS::SWF::Domain	arn:partition:swf:region:account_ID:/domain/domain_name
         AWS::ThinClient::Device	arn:partition:thinclient:region:account_ID:device/device_ID
         AWS::ThinClient::Environment	arn:partition:thinclient:region:account_ID:environment/environment_ID
         AWS::Timestream::Database	arn:partition:timestream:region:account_ID:database/database_name
         AWS::Timestream::Table	arn:partition:timestream:region:account_ID:database/database_name/table/table_name
         AWS::VerifiedPermissions::PolicyStore	arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID

         ¹ Para las tablas con flujos habilitados, el campo resources del evento de datos contiene AWS::DynamoDB::Stream y AWS::DynamoDB::Table. Si especifica AWS::DynamoDB::Table como resources.type, registrará tanto los eventos de la tabla de DynamoDB como los de los flujos de DynamoDB de forma predeterminada. Para excluir los eventos de streaming, añada un filtro en el eventName campo.

         ² Para registrar todos los eventos de datos de todos los objetos de un depósito de S3 específico, utilice el StartsWith operador e incluya solo el depósito ARN como valor coincidente. La barra diagonal final es intencional; no la excluya.

         ³ Para registrar los eventos de todos los objetos de un punto de acceso S3, le recomendamos que utilice solo el punto de accesoARN, no incluya la ruta del objeto y utilice los NotStartsWith operadores StartsWith o.

       Para obtener más información sobre los ARN formatos de los recursos de eventos de datos, consulte Acciones, recursos y claves de condición en la Guía del AWS Identity and Access Management usuario.

    2. En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones. Por ejemplo, para excluir los eventos de datos de dos buckets de S3 de los eventos de datos que se registran en el almacén de datos de eventos, puede configurar el campo como resources. ARN, defina el operador para no empiece por y, a continuaciónARN, péguelo en un bucket de S3 o busque los cubos de S3 cuyos eventos no desee registrar.

       Para añadir el segundo depósito de S3, selecciona la condición + y, a continuación, repite la instrucción anterior, pegando el ARN formulario o buscando un depósito diferente.

       Para obtener información sobre cómo se CloudTrail evalúan varias condiciones, consulte. ¿Cómo CloudTrail evalúa varias condiciones de un campo

       nota

       Puede tener un máximo de 500 valores para todos los selectores de un almacén de datos de eventos. Esto incluye matrices de varios valores para un selector como eventName. Si tiene valores únicos para todos los selectores, puede agregar un máximo de 500 condiciones a un selector.

    3. Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos. Por ejemplo, no especifique que un selector ARN en un selector sea igual a un valor y, a continuación, especifique que ARN no sea igual al mismo valor en otro selector.

11. Para agregar otro tipo de datos en el que registrar eventos de datos, elija Add data event type (Agregar tipo de evento de datos). Repita los pasos, desde el número 3 a este paso, a fin de configurar selectores de eventos avanzados para el tipo de evento de datos.

12. En Eventos de actividad de red, elija Editar para cambiar la configuración del registro de eventos de actividad de red. De forma predeterminada, las rutas no registran los eventos de actividad de la red. Se aplican cargos adicionales por registrar los eventos de actividad de la red. Para obtener más información, consulte AWS CloudTrail Precios.

    nota

    Los eventos de actividad de red se encuentran en versión preliminar CloudTrail y están sujetos a cambios.

    Para registrar los eventos de actividad de la red, haga lo siguiente:

    1. En Fuente de eventos de actividad de red, elija la fuente de eventos de actividad de red.

    2. Elija una plantilla en la sección Log selector template (Plantilla de selector de registros). Puede elegir registrar todos los eventos de actividad de la red, registrar todos los eventos de acceso denegado a la actividad de la red o elegir Personalizar para crear un selector de registro personalizado que filtre varios campos, como eventName yvpcEndpointId.

    3. (Opcional) Introduzca un nombre para identificar el selector. El nombre del selector aparece como Nombre en el selector de eventos avanzado y se puede ver si amplía la JSONvista.

    4. En Advanced, los selectores de eventos crean expresiones eligiendo valores para Field, Operator y Value. Puede omitir este paso si utiliza una plantilla de registro predefinida.

       1. Para excluir o incluir los eventos de actividad de la red, puede elegir entre los siguientes campos de la consola.

          • eventName— Puedes usar cualquier operador coneventName. Puede usarlo para incluir o excluir cualquier evento, comoCreateKey.

          • errorCode— Puedes usarlo para filtrar un código de error. Actualmente, el único compatible errorCode esVpceAccessDenied.

          • vpcEndpointId— Identifica el VPC punto final por el que pasó la operación. Puede utilizar cualquier operador convpcEndpointId.

       2. En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones.

       3. Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos.

    5. Para añadir otra fuente de eventos para la que desee registrar los eventos de actividad de la red, elija el selector de eventos de la actividad de la red.

    6. Si lo desea, amplíe la JSONvista para ver los selectores de eventos avanzados en forma de JSON bloque.

13. En los eventos de Insights, selecciona Editar si quieres que tu ruta registre los eventos de CloudTrail Insights.

    En Event type (Tipo de evento), seleccione Insights events (Eventos de Insights).

    En los eventos de Insights, selecciona la tasa de API llamadas, la tasa de API errores o ambas opciones. Debe registrar los eventos de administración de Write para registrar los eventos de Insights para la tasa de API llamadas. Debe registrar los eventos de administración de lectura o escritura para registrar los eventos de Insights para conocer la tasa de API errores.

    CloudTrail Insights analiza los eventos de administración para detectar actividades inusuales y los registra cuando se detectan anomalías. De forma predeterminada, los registros de seguimiento no registran eventos de Insights. Para obtener más información acerca de los eventos de Insights, consulte Registro de eventos de Insights. Se aplican cargos adicionales por registrar eventos de Insights. Para CloudTrail conocer los precios, consulte AWS CloudTrail Precios.

    Los eventos de Insights se envían a una carpeta diferente con el nombre /CloudTrail-Insight del mismo depósito de S3 que se especifica en el área de ubicación de almacenamiento de la página de detalles de la ruta. CloudTrailcrea el nuevo prefijo para usted. Por ejemplo, si el bucket de S3 de destino actual se denomina amzn-s3-demo-bucket/AWSLogs/CloudTrail/, el nombre del bucket de S3 con un nuevo prefijo se denomina amzn-s3-demo-bucket/AWSLogs/CloudTrail-Insight/.

14. Cuando haya terminado de cambiar la configuración de su registro de seguimiento, elija Update trail (Actualizar registro de seguimiento).

1. En Data events (Eventos de datos), elija Edit (Editar) para cambiar la configuración de registro de eventos de datos. Con los selectores de eventos básicos, puede especificar eventos de datos de registro para los buckets, AWS Lambda las funcionesynamoDBtables, D o una combinación de esos recursos de Amazon S3. Se admiten tipos de eventos de datos adicionales con selectores de eventos avanzados. De forma predeterminada, los registros de seguimiento no registran eventos de datos. Se aplican cargos adicionales para registrar eventos de datos. Para obtener más información, consulte Eventos de datos. Para obtener información acerca de los precios de CloudTrail, consulte Precios de AWS CloudTrail.

   Para buckets de Amazon S3:

   1. En Data event source (Fuente de evento de datos), elija S3.

   2. Puede registrar All current and future S3 buckets (Todos los buckets de S3 actuales y futuros) o bien, especificar buckets o funciones individuales. De forma predeterminada, los eventos de datos se registran para todos los buckets de S3 actuales y futuros.

      nota

      Si mantiene la opción predeterminada Todos los depósitos de S3 actuales y futuros, se permite registrar los eventos de datos de todos los depósitos que se encuentren actualmente en su AWS cuenta y de todos los depósitos que cree una vez que haya terminado de crear la ruta. También permite registrar la actividad de eventos de datos realizada por cualquier usuario o rol de tu AWS cuenta, incluso si esa actividad se realiza en un bucket que pertenece a otra cuenta. AWS

      Si el registro de seguimiento solo aplica a una región, elegir All current and future S3 buckets (Todos los buckets de S3 actuales o futuros) permite el registro de eventos de datos de todos los buckets en la misma región que el registro de seguimiento, así como de cualquier otro bucket que cree posteriormente en esa región. No registrará los eventos de datos de los buckets de Amazon S3 en otras regiones de su AWS cuenta.

   3. Si conserva la opción predeterminada, All current and future S3 buckets (Todos los buckets de S3 actuales y futuros), elija registrar eventos de Read (Lectura), Write (Escritura) o ambos.

   4. Para seleccionar buckets individuales, desmarque las casillas de verificación Read (Lectura) y Write (Escritura) en All current and future S3 buckets (Todos los buckets de S3 actuales y futuros). En Individual bucket selection (Selección de bucket individual), busque un bucket en el que registrar los eventos de datos. Para buscar buckets específicos, escriba un prefijo de bucket para el bucket que desee. En esta ventana puede seleccionar varios buckets. Elija Add bucket (Agregar bucket) para registrar eventos de datos en más buckets. Elija registrar eventos de Read (Lectura), como GetObject, Write (Escritura), como PutObject, o de ambos.

      Esta configuración tiene prioridad sobre la configuración individual de cada bucket. Por ejemplo, si establece la configuración para que se registren los eventos de tipo Read de todos los buckets de S3 y posteriormente decide agregar un determinado bucket en el registro de eventos de datos, la opción Read ya aparecerá seleccionada en el bucket que agregue. Esta selección no se puede anular. Solo se puede configurar la opción Write.

      Para eliminar un bucket del registro, elija X.

2. Para agregar otro tipo de datos en el que registrar eventos de datos, elija Add data event type (Agregar tipo de evento de datos).

3. Para funciones Lambda:

   1. En Data event source (Fuente de evento de datos), elija Lambda.

   2. En Función Lambda, elija Todas las regiones para registrar todas las funciones Lambda o Función de entrada as ARN para registrar los eventos de datos en una función específica.

      Para registrar los eventos de datos de todas las funciones de Lambda de su AWS cuenta, seleccione Registrar todas las funciones actuales y futuras. Esta configuración tiene prioridad sobre la configuración individual de cada función. Se registran todas las funciones aunque no se muestren.

      nota

      Si va a crear una ruta para todas las regiones, esta selección habilita el registro de eventos de datos para todas las funciones que se encuentran actualmente en su AWS cuenta y para cualquier función de Lambda que pueda crear en cualquier región una vez que haya terminado de crear la ruta. Si va a crear una ruta para una sola región (mediante la AWS CLI), esta selección habilita el registro de eventos de datos para todas las funciones que se encuentran actualmente en esa región de su AWS cuenta y para cualquier función de Lambda que pueda crear en esa región una vez que haya terminado de crear la ruta. No habilita el registro de eventos de datos de las funciones Lambda creadas en otras regiones.

      El registro de los eventos de datos para todas las funciones también permite registrar la actividad de los eventos de datos realizada por cualquier usuario o función de su AWS cuenta, incluso si esa actividad se realiza en una función que pertenece a otra AWS cuenta.

   3. Si selecciona Función de entrada como ARN, introduzca la ARN de una función Lambda.

      nota

      Si tiene más de 15 000 funciones Lambda en su cuenta, no podrá ver ni seleccionar todas las funciones de la CloudTrail consola al crear un registro. Sí que puede seleccionar la opción para registrar todas las funciones, aunque estas no se muestren. Si desea registrar eventos de datos para funciones específicas, puede añadir una función manualmente si la conoce. ARN También puede finalizar la creación del registro de seguimiento en la consola y, a continuación, utilizar la AWS CLI y el comando put-event-selectors a fin de configurar el registro de eventos de datos para funciones Lambda específicas. Para obtener más información, consulte Administrar senderos con el AWS CLI.

4. Para agregar otro tipo de datos en el que registrar eventos de datos, elija Add data event type (Agregar tipo de evento de datos).

5. Para tablas de DynamoDB:

   1. En Data event source (Fuente de evento de datos), elija DynamoDB.

   2. En la selección de tablas de DynamoDB, elija Examinar para seleccionar una tabla o péguela en una tabla ARN de DynamoDB a la que tenga acceso. Una ARN tabla de DynamoDB tiene el siguiente formato:

      arn:partition:dynamodb:region:account_ID:table/table_name

      Para agregar otra tabla, elija Agregar fila y busque una tabla o péguela en ARN la tabla a la que tenga acceso.

6. A fin de configurar eventos de Insights y otras configuraciones para su registro de seguimiento, vuelva al procedimiento anterior en este tema, Actualización de una ruta con la CloudTrail consola.