Eventos de datos Eventos de solo lectura y de solo escritura Registrar eventos de datos con AWS Management Console Registrar eventos de datos con AWS Command Line Interface Registrar eventos de datos para la conformidad con AWS Config Registrar eventos de datos con el AWS SDKs

Registro de eventos de datos

En esta sección se describe cómo registrar eventos de datos mediante la CloudTrail consola y AWS CLI.

De forma predeterminada, los registros y los almacenes de datos de eventos no registran eventos de datos. Se aplican cargos adicionales a los eventos de datos. Para obtener más información, consulte AWS CloudTrail Precios.

Los eventos de datos proporcionan información sobre las operaciones realizadas en un recurso o dentro de él. Se denominan también operaciones del plano de datos. Los eventos de datos suelen ser actividades de gran volumen.

Algunos ejemplos de eventos de datos son los siguientes:

APIActividad a nivel de objeto de Amazon S3 (por ejemplo GetObjectDeleteObject, y PutObject API operaciones) en los objetos de los buckets de S3.
AWS Lambda actividad de ejecución de funciones (la). Invoke API
CloudTrail PutAuditEventsactividad en un canal de un CloudTrail lago que se utiliza para registrar eventos del exterior AWS.
Amazon SNS Publishy PublishBatchAPIlas operaciones sobre temas.

Puede utilizar selectores de eventos avanzados para crear selectores detallados que le ayuden a controlar los costes al registrar únicamente los eventos específicos de interés para sus casos de uso. Por ejemplo, puedes usar selectores de eventos avanzados para registrar API llamadas específicas añadiendo un filtro en el campo. eventName Para obtener más información, consulte Filtrar eventos de datos mediante selectores de eventos avanzados.

nota

Los eventos que registran tus rutas están disponibles en Amazon EventBridge. Por ejemplo, si decide registrar eventos de datos para objetos de S3, pero no eventos de administración, el registro de seguimiento procesará y registrará únicamente los eventos de datos relativos a los objetos de S3 indicados. Los eventos de datos de estos objetos de S3 están disponibles en Amazon EventBridge. Para obtener más información, consulta Eventos de los AWS servicios en la Guía del EventBridge usuario de Amazon.

Contenido

Eventos de datos

En la siguiente tabla, se muestran los tipos de eventos de datos disponibles para los registros de seguimiento y los almacenes de datos de eventos. En la columna Tipo de evento de datos (consola), se muestra la selección adecuada en la consola. La columna resources.type value muestra el resources.type valor que deberías especificar para incluir datos de eventos de ese tipo en tu almacén de datos de rutas o eventos mediante la tecla o. AWS CLI CloudTrail APIs

En el caso de las rutas, puede utilizar selectores de eventos básicos o avanzados para registrar eventos de datos para objetos de Amazon S3 en cubos de uso general, funciones de Lambda y tablas de DynamoDB (se muestran en las tres primeras filas de la tabla). Solo puede usar selectores de eventos avanzados para registrar los tipos de eventos de datos que se muestran en las filas restantes.

En el caso de los almacenes de datos de eventos, puede utilizar selectores de eventos avanzados para que se incluyan eventos de datos únicamente.

Servicio de AWS	Descripción	Tipo de evento de datos (consola)	resources.type value
Amazon DynamoDB	Actividad a APInivel de elemento de Amazon DynamoDB en tablas (por ejemplo`PutItem`,, `DeleteItem` y operaciones). `UpdateItem` API nota Para las tablas con flujos habilitados, el campo `resources` del evento de datos contiene `AWS::DynamoDB::Stream` y `AWS::DynamoDB::Table`. Si especifica `AWS::DynamoDB::Table` como `resources.type`, registrará tanto los eventos de la tabla de DynamoDB como los de los flujos de DynamoDB de forma predeterminada. Para excluir los eventos de streaming, añada un filtro al campo. `eventName`	DynamoDB	`AWS::DynamoDB::Table`
AWS Lambda	AWS Lambda actividad de ejecución de funciones (la `Invoke`API).	Lambda	`AWS::Lambda::Function`
Amazon S3	APIActividad de Amazon S3 a nivel de objeto (por ejemplo, `GetObjectDeleteObject`, y `PutObject` API operaciones) en objetos de buckets de uso general.	S3	`AWS::S3::Object`
AWS AppConfig	AWS AppConfig APIactividad para operaciones de configuración, como llamadas a y. `StartConfigurationSession` `GetLatestConfiguration`	AWS AppConfig	`AWS::AppConfig::Configuration`
AWS Intercambio de datos B2B	APIActividad de intercambio de datos B2B para operaciones de Transformer, como llamadas a y. `GetTransformerJob` `StartTransformerJob`	Intercambio de datos entre empresas	`AWS::B2BI::Transformer`
Amazon Bedrock	APIActividad de Amazon Bedrock en un alias de agente.	Alias de agente de Bedrock	`AWS::Bedrock::AgentAlias`
Amazon Bedrock	APIActividad de Amazon Bedrock en un alias de flujo.	Alias de Bedrock Flow	`AWS::Bedrock::FlowAlias`
Amazon Bedrock	APIActividad de Amazon Bedrock en barandas.	Barandilla Bedrock	`AWS::Bedrock::Guardrail`
Amazon Bedrock	APIActividad de Amazon Bedrock en una base de conocimientos.	Base de conocimientos de Bedrock	`AWS::Bedrock::KnowledgeBase`
Amazon Bedrock	APIActividad de Amazon Bedrock sobre modelos.	Modelo Bedrock	`AWS::Bedrock::Model`
Amazon CloudFront	CloudFront APIactividad en un KeyValueStore.	CloudFront KeyValueStore	`AWS::CloudFront::KeyValueStore`
AWS Cloud Map	AWS Cloud Map APIactividad en un espacio de nombres.	AWS Cloud Map namespace	`AWS::ServiceDiscovery::Namespace`
AWS Cloud Map	AWS Cloud Map APIactividad en un servicio.	AWS Cloud Map service	`AWS::ServiceDiscovery::Service`
AWS CloudTrail	CloudTrail `PutAuditEvents`actividad en un canal de un CloudTrail lago que se utiliza para registrar eventos del exterior AWS.	CloudTrail canal	`AWS::CloudTrail::Channel`
Amazon CloudWatch	CloudWatch APIActividad de Amazon según las métricas.	CloudWatch métrica	`AWS::CloudWatch::Metric`
Amazon CloudWatch RUM	CloudWatch RUMAPILa actividad de Amazon en los monitores de aplicaciones.	RUMmonitor de aplicaciones	`AWS::RUM::AppMonitor`
Amazon CodeWhisperer	CodeWhisperer APIActividad de Amazon sobre una personalización.	CodeWhisperer personalización	`AWS::CodeWhisperer::Customization`
Amazon CodeWhisperer	CodeWhisperer APIActividad de Amazon en un perfil.	CodeWhisperer	`AWS::CodeWhisperer::Profile`
Amazon Cognito	APIActividad de Amazon Cognito en los grupos de identidades de Amazon Cognito.	Grupos de identidades de Cognito	`AWS::Cognito::IdentityPool`
AWS Data Exchange	AWS Data Exchange APIactividad relacionada con los activos.	Activo de Data Exchange	`AWS::DataExchange::Asset`
AWS Deadline Cloud	Deadline Cloud APIactividad en las flotas.	Deadline Cloud flota	`AWS::Deadline::Fleet`
AWS Deadline Cloud	Deadline Cloud APIactividad en los puestos de trabajo.	Deadline Cloud trabajo	`AWS::Deadline::Job`
AWS Deadline Cloud	Deadline Cloud APIactividad en las colas.	Deadline Cloud cola	`AWS::Deadline::Queue`
AWS Deadline Cloud	Deadline Cloud APIactividad sobre los trabajadores.	Deadline Cloud trabajador	`AWS::Deadline::Worker`
Amazon DynamoDB	Actividad de Amazon API DynamoDB en las transmisiones.	DynamoDB Streams	`AWS::DynamoDB::Stream`
AWS Mensajería social para usuarios finales	AWS APIActividad social de mensajería para el usuario final en el número de teléfonoIDs.	ID del número de teléfono de mensajería social	`AWS::SocialMessaging::PhoneNumberId`
Amazon Elastic Block Store	Amazon Elastic Block Store (EBS) directAPIs, como `PutSnapshotBlockGetSnapshotBlock`, y `ListChangedBlocks` en EBS instantáneas de Amazon.	Amazon EBS direct APIs	`AWS::EC2::Snapshot`
Amazon EMR	EMRAPIActividad de Amazon en un espacio de trabajo de registro de escritura anticipada.	EMRespacio de trabajo de registro con escritura anticipada	`AWS::EMRWAL::Workspace`
Amazon FinSpace	Amazon FinSpaceAPIactividad en entornos.	FinSpace	`AWS::FinSpace::Environment`
AWS Glue	AWS Glue APIactividad en tablas creadas por Lake Formation.	Lake Formation	`AWS::Glue::Table`
Amazon GuardDuty	GuardDuty APIActividad de Amazon para un detector.	GuardDuty detector	`AWS::GuardDuty::Detector`
AWS HealthImaging	AWS HealthImaging APIactividad en los almacenes de datos.	MedicalImaging almacén de datos	`AWS::MedicalImaging::Datastore`
AWS IoT	AWS IoT APIactividad en materia de certificados.	Certificado IoT	`AWS::IoT::Certificate`
AWS IoT	AWS IoT APIactividad sobre las cosas.	Cosa de IoT	`AWS::IoT::Thing`
AWS IoT Greengrass Version 2	APIActividad de Greengrass desde un dispositivo principal de Greengrass en una versión de componentes. nota Greengrass no registra los eventos de acceso denegado.	Versión del componente IoT Greengrass	`AWS::GreengrassV2::ComponentVersion`
AWS IoT Greengrass Version 2	APIActividad de Greengrass desde un dispositivo principal de Greengrass en una implementación. nota Greengrass no registra los eventos de acceso denegado.	Despliegue de IoT Greengrass	`AWS::GreengrassV2::Deployment`
AWS IoT SiteWise	SiteWise APIActividad de IoT en activos.	SiteWise Activo de IoT	`AWS::IoTSiteWise::Asset`
AWS IoT SiteWise	SiteWise APIActividad de IoT en series temporales.	Series SiteWise temporales de IoT	`AWS::IoTSiteWise::TimeSeries`
AWS IoT TwinMaker	TwinMaker APIActividad de IoT en una entidad.	TwinMaker Entidad IoT	`AWS::IoTTwinMaker::Entity`
AWS IoT TwinMaker	TwinMaker APIActividad de IoT en un espacio de trabajo.	TwinMaker Espacio de trabajo de IoT	`AWS::IoTTwinMaker::Workspace`
Clasificación de Amazon Kendra Intelligent	APIActividad de Amazon Kendra Intelligent Ranking sobre los planes de ejecución de rescore.	Kendra Ranking	`AWS::KendraRanking::ExecutionPlan`
Amazon Keyspaces (para Apache Cassandra)	APIActividad de Amazon Keyspaces en una mesa.	Mesa Cassandra	`AWS::Cassandra::Table`
Amazon Kinesis Data Streams	Actividad de Kinesis Data API Streams en las transmisiones.	Transmisión de Kinesis	`AWS::Kinesis::Stream`
Amazon Kinesis Data Streams	La actividad de Kinesis Data API Streams en los consumidores de streaming.	Kinesis Stream Consumer	`AWS::Kinesis::StreamConsumer`
Amazon Kinesis Video Streams	La actividad de Kinesis Video API Streams en las transmisiones de vídeo, como las llamadas `GetMedia` a `PutMedia` y.	Kinesis Video Streams	`AWS::KinesisVideo::Stream`
Amazon Machine Learning	APIActividad de Machine Learning en modelos de aprendizaje automático.	Aprendizaje automático MlModel	`AWS::MachineLearning::MlModel`
Amazon Managed Blockchain	APIActividad de Amazon Managed Blockchain en una red.	Red de Managed Blockchain	`AWS::ManagedBlockchain::Network`
Amazon Managed Blockchain	Amazon Managed BlockchainJSON: RPC llama a nodos de Ethereum, como `eth_getBalance` o`eth_getBlockByNumber`.	Managed Blockchain	`AWS::ManagedBlockchain::Node`
Gráfico de Amazon Neptune	APIActividades de datos, por ejemplo, consultas, algoritmos o búsquedas vectoriales, en un gráfico de Neptune.	Gráfico de Neptune	`AWS::NeptuneGraph::Graph`
Amazon One Enterprise	APIActividad de Amazon One Enterprise en unUKey.	Amazon Uno UKey	`AWS::One::UKey`
Amazon One Enterprise	APIActividad de Amazon One Enterprise en los usuarios.	Usuario de Amazon One	`AWS::One::User`
AWS Payment Cryptography	AWS Payment Cryptography APIactividad en los alias.	Alias de criptografía de pagos	`AWS::PaymentCryptography::Alias`
AWS Payment Cryptography	AWS Payment Cryptography APIactividad en las claves.	Clave de criptografía de pago	`AWS::PaymentCryptography::Key`
AWS Private CA	AWS Private CA Conector para la API actividad de Active Directory.	AWS Private CA Conector para Active Directory	`AWS::PCAConnectorAD::Connector`
AWS Private CA	AWS Private CA Conector para SCEP API actividad.	AWS Private CA Conector para SCEP	`AWS::PCAConnectorSCEP::Connector`
Aplicaciones Amazon Q	APIActividad de datos en Amazon Q Apps.	Aplicaciones Amazon Q	`AWS::QApps:QApp`
Amazon Q Business	APIActividad de Amazon Q Business en una aplicación.	Aplicación de Amazon Q Business	`AWS::QBusiness::Application`
Amazon Q Business	APIActividad de Amazon Q Business en una fuente de datos.	Origen de datos de Amazon Q Business	`AWS::QBusiness::DataSource`
Amazon Q Business	APIActividad de Amazon Q Business en un índice.	Índice de Amazon Q Business	`AWS::QBusiness::Index`
Amazon Q Business	APIActividad de Amazon Q Business en una experiencia web.	Experiencia web de Amazon Q Business	`AWS::QBusiness::WebExperience`
Amazon RDS	RDSAPIActividad de Amazon en un clúster de base de datos.	RDSDatosAPI: clúster de base de datos	`AWS::RDS::DBCluster`
Amazon S3	APIActividad de Amazon S3 en los puntos de acceso.	Punto de acceso de S3	`AWS::S3::AccessPoint`
Amazon S3	APIActividad a nivel de objeto de Amazon S3 (por ejemplo, `GetObjectDeleteObject`, y `PutObject` API operaciones) en objetos de buckets de directorio.	S3 Express	`AWS::S3Express::Object`
Amazon S3	APIActividad de los puntos de acceso Object Lambda de Amazon S3, como las llamadas a `CompleteMultipartUpload` y. `GetObject`	S3 Object Lambda	`AWS::S3ObjectLambda::AccessPoint`
Amazon S3 en Outposts	Actividad a nivel de objeto API de Amazon S3 on Outposts.	S3 Outposts	`AWS::S3Outposts::Object`
Amazon SageMaker	SageMaker `InvokeEndpointWithResponseStream`Actividad de Amazon en los puntos finales.	SageMaker punto final	`AWS::SageMaker::Endpoint`
Amazon SageMaker	SageMaker APIActividad de Amazon en tiendas destacadas.	SageMaker feature store	`AWS::SageMaker::FeatureGroup`
Amazon SageMaker	SageMaker APIActividad de Amazon sobre los componentes de las pruebas experimentales.	SageMaker métricas, componente de prueba de experimentos	`AWS::SageMaker::ExperimentTrialComponent`
Amazon SNS	SNS`Publish`APIOperaciones de Amazon en los puntos finales de la plataforma.	SNSpunto final de la plataforma	`AWS::SNS::PlatformEndpoint`
Amazon SNS	Amazon SNS `Publish`y `PublishBatch`APIlas operaciones sobre temas.	SNStema	`AWS::SNS::Topic`
Amazon SQS	SQSAPIActividad de Amazon en los mensajes.	SQS	`AWS::SQS::Queue`
AWS Step Functions	APIActividad de Step Functions en una máquina de estados.	Máquina de estado de Step Functions	`AWS::StepFunctions::StateMachine`
AWS Supply Chain	AWS Supply Chain APIactividad en una instancia.	Cadena de suministro	`AWS::SCN::Instance`
Amazon SWF	SWFAPIActividad de Amazon en los dominios.	SWFdominio	`AWS::SWF::Domain`
AWS Systems Manager	APIActividad de Systems Manager en los canales de control.	Systems Manager	`AWS::SSMMessages::ControlChannel`
AWS Systems Manager	APIActividad de Systems Manager en los nodos gestionados.	Nodo administrado de Systems Manager	`AWS::SSM::ManagedNode`
Amazon Timestream	Actividad de Amazon `Query`APITimestream en las bases de datos.	Base de datos de Timestream	`AWS::Timestream::Database`
Amazon Timestream	Actividad de Amazon `Query`APITimestream en las mesas.	Tabla de Timestream	`AWS::Timestream::Table`
Amazon Verified Permissions	APIActividad de permisos verificados de Amazon en un almacén de políticas.	Amazon Verified Permissions	`AWS::VerifiedPermissions::PolicyStore`
Amazon WorkSpaces Thin Client	WorkSpaces APIActividad de Thin Client en un dispositivo.	Dispositivo de cliente ligero	`AWS::ThinClient::Device`
Amazon WorkSpaces Thin Client	WorkSpaces APIActividad de Thin Client en un entorno.	Entorno de cliente ligero	`AWS::ThinClient::Environment`
AWS X-Ray	APIActividad de rayos X en trazas.	Rastro de rayos X	`AWS::XRay::Trace`

Para registrar CloudTrail los eventos de datos, debe añadir de forma explícita cada tipo de recurso para el que desee recopilar la actividad. Para obtener más información, consulte Crear un sendero con la CloudTrail consola y Cree un almacén de datos de CloudTrail eventos para eventos con la consola.

En un registro de seguimiento o un almacén de datos de eventos de una sola región, puede registrar eventos de datos solo para los recursos a los que puede acceder en esa región. Aunque los buckets de S3 son globales, AWS Lambda las funciones y las tablas de DynamoDB son regionales.

Se aplican cargos adicionales para registrar eventos de datos. Para CloudTrail conocer los precios, consulte Precios.AWS CloudTrail

Ejemplos: registrar eventos de datos para objetos de Amazon S3

Registrar eventos de datos de todos los objetos de S3 de un bucket de S3

En el ejemplo siguiente, se ilustra cómo funciona el registro cuando se configura para todos los eventos de datos de un bucket de S3 llamado amzn-s3-demo-bucket. En este ejemplo, el CloudTrail usuario especificó un prefijo vacío y la opción de registrar los eventos de lectura y escritura de datos.

Un usuario carga un objeto en amzn-s3-demo-bucket.
La PutObject API operación es a nivel de objeto API de Amazon S3. Se registra como un evento de datos en. CloudTrail Como el CloudTrail usuario especificó un depósito de S3 con un prefijo vacío, se registran los eventos que se producen en cualquier objeto de ese depósito. El registro de seguimiento o almacén de datos de eventos procesa y registra el evento.
Otro usuario carga un objeto en amzn-s3-demo-bucket2.
La PutObject API operación se produjo en un objeto de un bucket de S3 que no estaba especificado para el almacén de datos de rutas o eventos. El registro de seguimiento o el almacén de datos de eventos no registra el evento.

Registrar eventos de datos para objetos de S3 concretos

En el ejemplo siguiente, se muestra cómo funciona el registro cuando se configura un registro de seguimiento o un almacén de datos de eventos para registrar eventos de objetos de S3 específicos. En este ejemplo, el CloudTrail usuario especificó un bucket de S3 con el nombreamzn-s3-demo-bucket3, con el prefijo my-imagesy la opción de registrar únicamente los eventos de Write data.

Un usuario elimina un objeto que comienza con el prefijo my-images del bucket; por ejemplo arn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg.
La DeleteObject API operación es a nivel de objeto API de Amazon S3. Se registra como un evento de escritura de datos en. CloudTrail El evento tuvo lugar en un objeto que coincide con el bucket de S3 y el prefijo especificados en el registro de seguimiento o almacén de datos de eventos. El registro de seguimiento o almacén de datos de eventos procesa y registra el evento.
Otro usuario elimina un objeto con un prefijo diferente del bucket de S3; por ejemplo arn:aws:s3:::amzn-s3-demo-bucket3/my-videos/example.avi.
El evento tuvo lugar en un objeto que no coincide con el prefijo especificado en el registro de seguimiento o almacén de datos de eventos. El registro de seguimiento o el almacén de datos de eventos no registra el evento.
Un usuario llama a la GetObject API operación del objeto,arn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg.
El evento se produjo en un bucket y un prefijo que se especifican en el almacén de datos de seguimiento o evento, pero GetObject se trata de un nivel de objeto de Amazon S3 de tipo lectura. API Se registra como un evento de lectura de datos y el banco CloudTrail de datos de seguimiento o evento no está configurado para registrar eventos de lectura. El registro de seguimiento o el almacén de datos de eventos no registra el evento.

nota

En el caso de los registros de seguimiento, si registra eventos de datos para determinados buckets de Amazon S3, recomendamos que no utilice un bucket de Amazon S3 para el que registre eventos de datos si desea recibir los archivos de registros que especificó en la sección de eventos de datos del registro de seguimiento. Si se utiliza el mismo bucket de Amazon S3, el seguimiento registra un evento de datos cada vez que los archivos de registros se envían al bucket de Amazon S3. Los archivos de registro contienen el total de eventos enviados a intervalos y, por tanto, no hay una relación 1:1 entre el evento y el archivo de registro; el evento se registra en el siguiente archivo de registro. Por ejemplo, cuando CloudTrail entrega registros, el PutObject evento se produce en el bucket de S3. Si el bucket de S3 también está indicado en la sección de eventos de datos, el registro de seguimiento procesa y registra el evento PutObject como evento de datos. Esta acción es otro evento PutObject y el registro de seguimiento procesa y registra el evento una vez más.

Para evitar el registro de eventos de datos para el bucket de Amazon S3 donde recibe los archivos de registro si configura un registro para registrar todos los eventos de datos de Amazon S3 de su AWS cuenta, considere la posibilidad de configurar la entrega de archivos de registro a un bucket de Amazon S3 que pertenezca a otra AWS cuenta. Para obtener más información, consulte Recepción de archivos de CloudTrail registro de varias cuentas.

Registrar los eventos de datos de los objetos de S3 en otras AWS cuentas

Al configurar su ruta para registrar eventos de datos, también puede especificar objetos de S3 que pertenezcan a otras AWS cuentas. Cuando se produce un evento en un objeto específico, CloudTrail evalúa si el evento coincide con alguna de las rutas de cada cuenta. Si el evento coincide con la configuración de un registro de seguimiento, este procesa y registra el evento para dicha cuenta. Por lo general, tanto las API personas que llaman como los propietarios de los recursos pueden recibir eventos.

Si tiene un objeto de S3 y lo indica en su registro de seguimiento, su registro de seguimiento registra eventos que se produzcan en el objeto de su cuenta. Dado que posee el objeto, su registro de seguimiento también registra los eventos cuando otras cuentas llaman al objeto.

Si especifica un objeto de S3 en su registro de seguimiento y otra cuenta posee el objeto, su registro de seguimiento únicamente registra los eventos que se produzcan en dicho objeto en su cuenta. Su registro de seguimiento no registra los eventos que se producen en otras cuentas.

Ejemplo: Registrar eventos de datos para un objeto de Amazon S3 para dos cuentas de AWS

El siguiente ejemplo muestra cómo se configuran dos AWS cuentas CloudTrail para registrar eventos para el mismo objeto de S3.

En su cuenta, usted desea que su registro de seguimiento registre eventos de datos para todos los objetos en el bucket de S3 denominado amzn-s3-demo-bucket. Configura el registro de seguimiento indicando el bucket de S3 con un prefijo de objeto vacío.
Bob tiene una cuenta independiente a la que se ha permitido el acceso al bucket de S3. Bob también quiere registrar los eventos de datos para todos los objetos en el mismo bucket de S3. Para su registro de seguimiento, configura su registro de seguimiento e indica el mismo bucket de S3 con un prefijo de objeto vacío.
Bob carga un objeto en el bucket de S3 con la PutObject API operación.
Este evento se produjo en su cuenta y coincide con la configuración de su registro de seguimiento. El registro de seguimiento de Bob procesa y registra el evento.
Dado que posee el bucket de S3 y el evento coincide con la configuración de su registro de seguimiento, su registro de seguimiento también procesa y registra el mismo evento. Como ahora hay dos copias del evento (una registrada en la ruta de Bob y otra registrada en la suya), se CloudTrail cobran dos copias del evento de datos.
Usted carga un objeto en el bucket de S3.
Este evento se produce en su cuenta y coincide con la configuración de su registro de seguimiento. Su registro de seguimiento procesa y registra el evento.
Como el evento no se produjo en la cuenta de Bob y él no es el propietario del depósito S3, la ruta de Bob no registra el evento. CloudTrail cobra solo por una copia de este evento de datos.

Ejemplo: registrar los eventos de datos de todos los depósitos, incluido un depósito de S3 utilizado por dos cuentas AWS

El siguiente ejemplo muestra el comportamiento de registro cuando la opción Seleccionar todos los buckets de S3 de tu cuenta está habilitada para las rutas que recopilan eventos de datos en una AWS cuenta.

En su cuenta, desea que su registro de seguimiento registre eventos de datos para todos los buckets de S3. Puede configurar el registro de seguimiento al elegir eventos de Read (Lectura), eventos de Write (Escritura), o ambos para All current and future S3 buckets (Todos los buckets de S3 actuales y futuros) en Data events (Eventos de datos).
Bob tiene una cuenta independiente a la que se le ha concedido acceso a un bucket de S3 en su cuenta. Desea registrar eventos de datos para el bucket al que tiene acceso. Configura su registro de seguimiento para obtener eventos de datos para todos los buckets de S3.
Bob carga un objeto en el depósito de S3 con la PutObject API operación.
Este evento se produjo en su cuenta y coincide con la configuración de su registro de seguimiento. El registro de seguimiento de Bob procesa y registra el evento.
Dado que posee el bucket de S3 y el evento coincide con la configuración de su registro de seguimiento, su registro de seguimiento también procesa y registra el evento. Como ahora hay dos copias del evento (una registrada en la ruta de Bob y otra registrada en la suya), CloudTrail cobra a cada cuenta una copia del evento de datos.
Usted carga un objeto en el bucket de S3.
Este evento se produce en su cuenta y coincide con la configuración de su registro de seguimiento. Su registro de seguimiento procesa y registra el evento.
Como el evento no se produjo en la cuenta de Bob y él no es el propietario del depósito S3, la ruta de Bob no registra el evento. CloudTrail solo cobra una copia de este evento de datos en tu cuenta.
Un tercer usuario, Mary, tiene acceso al bucket de S3 y ejecuta una operación GetObject en el bucket. Tiene un registro de seguimiento configurado para registrar eventos de datos en todos los buckets de S3 de su cuenta. Como es la API persona que llama, CloudTrail registra un evento de datos en su ruta. Aunque Bob tiene acceso al bucket, no es el propietario del recurso, por lo que no se registra ningún evento en su registro de seguimiento esta vez. Como propietario del recurso, recibes un evento en tu registro sobre la GetObject operación a la que Mary convocó. CloudTrailcobra en tu cuenta y en la de Mary por cada copia del evento de datos: una en Mary's Trail y otra en la tuya.

Eventos de solo lectura y de solo escritura

Cuando configure su registro de seguimiento o almacén de datos de eventos para registrar eventos de datos y administración, puede indicar si desea que se registren eventos de solo lectura, de solo escritura, o ambos.

Lectura

Los eventos de lectura incluyen API operaciones que leen tus recursos, pero no realizan cambios. Por ejemplo, los eventos de solo lectura incluyen Amazon EC2 DescribeSecurityGroups y DescribeSubnets API sus operaciones. Estas operaciones solo devuelven información sobre tus EC2 recursos de Amazon y no modifican tus configuraciones.
Escritura

Los eventos de escritura incluyen API operaciones que modifican (o podrían modificar) tus recursos. Por ejemplo, Amazon EC2 RunInstances y sus TerminateInstances API operaciones modifican tus instancias.

Ejemplo: Registro de eventos de lectura y escritura en registros de seguimiento individuales

En el siguiente ejemplo, se muestra cómo configurar las rutas para dividir la actividad de registro de una cuenta en buckets S3 independientes: un bucket denominado amzn-s3-demo-bucket1 recibe eventos de solo lectura y un segundo amzn-s3-demo-bucket2 recibe eventos de solo escritura.

Se crea un rastro y se elige el nombre del depósito de S3 para recibir los archivos de registro. amzn-s3-demo-bucket1 A continuación, actualiza el registro de seguimiento para indicar que desea registrar los eventos de administración y los eventos de datos de Read (Lectura).
Creas un segundo rastro y eliges el depósito de S3 amzn-s3-demo-bucket2 para recibir los archivos de registro. A continuación, actualiza el registro de seguimiento para indicar que desea registrar los eventos de administración y los eventos de datos de Write (Escritura).
Amazon EC2 DescribeInstances y TerminateInstances API las operaciones se realizan en tu cuenta.
La DescribeInstances API operación es un evento de solo lectura y coincide con la configuración de la primera ruta. El registro de seguimiento registra y envía el evento al amzn-s3-demo-bucket1.
La TerminateInstances API operación es un evento de solo escritura y coincide con los ajustes del segundo sendero. El registro de seguimiento registra y envía el evento al amzn-s3-demo-bucket2 .

Registrar eventos de datos con AWS Management Console

En los siguientes procedimientos, se describe cómo actualizar un almacén de datos de eventos existente o un registro de seguimiento de eventos para registrar los eventos de datos mediante la AWS Management Console. Para obtener información acerca de cómo crear un almacén de datos de eventos para registrar eventos de datos, consulte Cree un almacén de datos de CloudTrail eventos para eventos con la consola. Para obtener más información sobre cómo crear un registro de seguimiento para registrar eventos de datos, consulte Creación de un registro de seguimiento en la consola.

En el caso de los senderos, los pasos para registrar los eventos de datos varían en función de si se utilizan selectores de eventos avanzados o selectores de eventos básicos. Puede registrar eventos de datos para todos los tipos de eventos de datos mediante selectores de eventos avanzados, pero si usa selectores de eventos básicos, estará limitado a registrar eventos de datos para buckets y objetos de bucket de Amazon S3, AWS Lambda funciones y tablas de Amazon DynamoDB.

Utilice los siguientes procedimientos para actualizar un almacén de datos de eventos existente para registrar los eventos de datos. Para obtener más información sobre el uso de selectores de eventos avanzados, consulte Filtrar eventos de datos mediante selectores de eventos avanzados este tema.

Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.
En el panel de navegación, en Lago, elija Almacenes de datos de eventos.
En la página Almacenes de datos de eventos, seleccione el almacén de datos de eventos que desee actualizar.

nota
Solo puede habilitar los eventos de datos en los almacenes de datos de eventos que contienen CloudTrail eventos. No puede habilitar los eventos de datos en CloudTrail los almacenes de datos de eventos para elementos de AWS Config configuración, eventos de CloudTrail Insights o no AWS eventos.
En la página de detalles, en Eventos de datos, seleccione Editar.
Si aún no registra eventos de datos, elija la casilla Data events (Eventos de datos).
En Data event type (Tipo de evento de datos), elija el tipo de recurso en el que desea registrar los eventos de datos.
Elija una plantilla de selección de registros. CloudTrail incluye plantillas predefinidas que registran todos los eventos de datos del tipo de recurso. Para crear una plantilla de selector de registros personalizada, elija Custom (Personalizado).
(Opcional) En Nombre del selector, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo opcional para un selector de eventos avanzado, como “Registrar eventos de datos para solo dos buckets de S3”. El nombre del selector aparece como Name en el selector de eventos avanzado y se puede ver si se amplía la JSONvista.

En Advanced event selectors (Selectores de eventos avanzados), cree una expresión para los recursos específicos en los que desea registrar eventos de datos. Puede omitir este paso si utiliza una plantilla de registro predefinida.

Elija uno de los siguientes campos.

readOnly- se readOnly puede configurar para que sea igual a un valor de true ofalse. Los eventos de datos de solo lectura son eventos que no cambian el estado de un recurso, como eventos Get* o Describe*. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos Put*, Delete* o Write*. Para registrar eventos read y write, no agregue un selector de readOnly.
eventName: eventName puede utilizar cualquier operador. Puede usarlo para incluir o excluir cualquier evento de datos registrado CloudTrail, como PutBucketGetItem, oGetSnapshotBlock.

resources.ARN- Puedes usar cualquier operador conresources.ARN, pero si usas valores iguales o no iguales, el valor debe coincidir exactamente con el ARN de un recurso válido del tipo que hayas especificado en la plantilla como valorresources.type.

En la siguiente tabla se muestra el ARN formato válido para cada unoresources.type.

nota

No puede usar el resources.ARN campo para filtrar los tipos de recursos que no lo tienenARNs.

resources.type	recursos. ARN
`AWS::DynamoDB::Table¹`	`arn:partition:dynamodb:region:account_ID:table/table_name`
`AWS::Lambda::Function`	`arn:partition:lambda:region:account_ID:function:function_name`
`AWS::S3::Object`²	`arn:partition:s3:::amzn-s3-demo-bucket/ arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/`
`AWS::AppConfig::Configuration`	`arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID`
`AWS::B2BI::Transformer`	`arn:partition:b2bi:region:account_ID:transformer/transformer_ID`
`AWS::Bedrock::AgentAlias`	`arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID`
`AWS::Bedrock::FlowAlias`	`arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID`
`AWS::Bedrock::Guardrail`	`arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID`
`AWS::Bedrock::KnowledgeBase`	`arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID`
`AWS::Bedrock::Model`	ARNDebe estar en uno de los siguientes formatos: `arn:partition:bedrock:region::foundation-model/resource_ID` `arn:partition:bedrock:region:account_ID:provisioned-model/resource_ID` `arn:partition:bedrock:region:account_ID:custom-model/resource_ID`
`AWS::Cassandra::Table`	`arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name`
`AWS::CloudFront::KeyValueStore`	`arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name`
`AWS::CloudTrail::Channel`	`arn:partition:cloudtrail:region:account_ID:channel/channel_UUID`
`AWS::CodeWhisperer::Customization`	`arn:partition:codewhisperer:region:account_ID:customization/customization_ID`
`AWS::CodeWhisperer::Profile`	`arn:partition:codewhisperer:region:account_ID:profile/profile_ID`
`AWS::Cognito::IdentityPool`	`arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID`
`AWS::DataExchange::Asset`	`arn:partition:dataexchange:region:account_ID:data-sets/data_set_ID/revisions/revision_ID/assets/asset_ID`
`AWS::Deadline::Fleet`	`arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID`
`AWS::Deadline::Job`	`arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID/job/job_ID`
`AWS::Deadline::Queue`	`arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID`
`AWS::Deadline::Worker`	`arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID/worker/worker_ID`
`AWS::DynamoDB::Stream`	`arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time`
`AWS::EC2::Snapshot`	`arn:partition:ec2:region::snapshot/snapshot_ID`
`AWS::EMRWAL::Workspace`	`arn:partition:emrwal:region:account_ID:workspace/workspace_name`
`AWS::FinSpace::Environment`	`arn:partition:finspace:region:account_ID:environment/environment_ID`
`AWS::Glue::Table`	`arn:partition:glue:region:account_ID:table/database_name/table_name`
`AWS::GreengrassV2::ComponentVersion`	`arn:partition:greengrass:region:account_ID:components/component_name`
`AWS::GreengrassV2::Deployment`	`arn:partition:greengrass:region:account_ID:deployments/deployment_ID`
`AWS::GuardDuty::Detector`	`arn:partition:guardduty:region:account_ID:detector/detector_ID`
`AWS::IoT::Certificate`	`arn:partition:iot:region:account_ID:cert/certificate_ID`
`AWS::IoT::Thing`	`arn:partition:iot:region:account_ID:thing/thing_ID`
`AWS::IoTSiteWise::Asset`	`arn:partition:iotsitewise:region:account_ID:asset/asset_ID`
`AWS::IoTSiteWise::TimeSeries`	`arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID`
`AWS::IoTTwinMaker::Entity`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID`
`AWS::IoTTwinMaker::Workspace`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID`
`AWS::KendraRanking::ExecutionPlan`	`arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID`
`AWS::Kinesis::Stream`	`arn:partition:kinesis:region:account_ID:stream/stream_name`
`AWS::Kinesis::StreamConsumer`	`arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp`
`AWS::KinesisVideo::Stream`	`arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time`
`AWS::MachineLearning::MlModel`	`arn:partition:machinelearning:region:account_ID:mlmodel/model_ID`
`AWS::ManagedBlockchain::Network`	`arn:partition:managedblockchain:::networks/network_name`
`AWS::ManagedBlockchain::Node`	`arn:partition:managedblockchain:region:account_ID:nodes/node_ID`
`AWS::MedicalImaging::Datastore`	`arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID`
`AWS::NeptuneGraph::Graph`	`arn:partition:neptune-graph:region:account_ID:graph/graph_ID`
`AWS::One::UKey`	`arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID`
`AWS::One::User`	`arn:partition:one:region:account_ID:user/user_ID`
`AWS::PaymentCryptography::Alias`	`arn:partition:payment-cryptography:region:account_ID:alias/alias`
`AWS::PaymentCryptography::Key`	`arn:partition:payment-cryptography:region:account_ID:key/key_ID`
`AWS::PCAConnectorAD::Connector`	`arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID`
`AWS::PCAConnectorSCEP::Connector`	`arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID`
`AWS::QApps:QApp`	`arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID`
`AWS::QBusiness::Application`	`arn:partition:qbusiness:region:account_ID:application/application_ID`
`AWS::QBusiness::DataSource`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID`
`AWS::QBusiness::Index`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID`
`AWS::QBusiness::WebExperience`	`arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID`
`AWS::RDS::DBCluster`	`arn:partition:rds:region:account_ID:cluster/cluster_name`
`AWS::RUM::AppMonitor`	`arn:partition:rum:region:account_ID:appmonitor/app_monitor_name`
`AWS::S3::AccessPoint`³	`arn:partition:s3:region:account_ID:accesspoint/access_point_name`
`AWS::S3Express::Object`	`arn:partition:s3express:region:account_ID:bucket/bucket_name`
`AWS::S3ObjectLambda::AccessPoint`	`arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name`
`AWS::S3Outposts::Object`	`arn:partition:s3-outposts:region:account_ID:object_path`
`AWS::SageMaker::Endpoint`	`arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name`
`AWS::SageMaker::ExperimentTrialComponent`	`arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name`
`AWS::SageMaker::FeatureGroup`	`arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name`
`AWS::SCN::Instance`	`arn:partition:scn:region:account_ID:instance/instance_ID`
`AWS::ServiceDiscovery::Namespace`	`arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID`
`AWS::ServiceDiscovery::Service`	`arn:partition:servicediscovery:region:account_ID:service/service_ID`
`AWS::SNS::PlatformEndpoint`	`arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID`
`AWS::SNS::Topic`	`arn:partition:sns:region:account_ID:topic_name`
`AWS::SocialMessaging::PhoneNumberId`	`arn:partition:social-messaging:region:account_ID:phone-number-id/phone_number_ID`
`AWS::SQS::Queue`	`arn:partition:sqs:region:account_ID:queue_name`
`AWS::SSM::ManagedNode`	ARNDebe estar en uno de los siguientes formatos: `arn:partition:ssm:region:account_ID:managed-instance/instance_ID` `arn:partition:ec2:region:account_ID:instance/instance_ID`
`AWS::SSMMessages::ControlChannel`	`arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID`
`AWS::StepFunctions::StateMachine`	ARNDebe estar en uno de los siguientes formatos: `arn:partition:states:region:account_ID:stateMachine:stateMachine_name` `arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name`
`AWS::SWF::Domain`	`arn:partition:swf:region:account_ID:/domain/domain_name`
`AWS::ThinClient::Device`	`arn:partition:thinclient:region:account_ID:device/device_ID`
`AWS::ThinClient::Environment`	`arn:partition:thinclient:region:account_ID:environment/environment_ID`
`AWS::Timestream::Database`	`arn:partition:timestream:region:account_ID:database/database_name`
`AWS::Timestream::Table`	`arn:partition:timestream:region:account_ID:database/database_name/table/table_name`
`AWS::VerifiedPermissions::PolicyStore`	`arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID`

¹ Para las tablas con flujos habilitados, el campo resources del evento de datos contiene AWS::DynamoDB::Stream y AWS::DynamoDB::Table. Si especifica AWS::DynamoDB::Table como resources.type, registrará tanto los eventos de la tabla de DynamoDB como los de los flujos de DynamoDB de forma predeterminada. Para excluir los eventos de streaming, añada un filtro en el eventName campo.

² Para registrar todos los eventos de datos de todos los objetos de un depósito de S3 específico, utilice el StartsWith operador e incluya solo el depósito ARN como valor coincidente. La barra diagonal final es intencional; no la excluya.

³ Para registrar los eventos de todos los objetos de un punto de acceso S3, le recomendamos que utilice solo el punto de accesoARN, no incluya la ruta del objeto y utilice los NotStartsWith operadores StartsWith o.

Para obtener más información sobre los ARN formatos de los recursos de eventos de datos, consulte Acciones, recursos y claves de condición en la Guía del AWS Identity and Access Management usuario.

En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones. Por ejemplo, para excluir los eventos de datos de dos buckets de S3 de los eventos de datos que se registran en el almacén de datos de eventos, puede configurar el campo como resources. ARN, defina el operador para no empiece por y, a continuaciónARN, péguelo en un bucket de S3 o busque los cubos de S3 cuyos eventos no desee registrar.

Para añadir el segundo depósito de S3, selecciona la condición + y, a continuación, repite la instrucción anterior, pegando el ARN formulario o buscando un depósito diferente.

Para obtener información sobre cómo se CloudTrail evalúan varias condiciones, consulte. ¿Cómo CloudTrail evalúa varias condiciones de un campo

nota
Puede tener un máximo de 500 valores para todos los selectores de un almacén de datos de eventos. Esto incluye matrices de varios valores para un selector como eventName. Si tiene valores únicos para todos los selectores, puede agregar un máximo de 500 condiciones a un selector.
Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos. Por ejemplo, no especifique que un selector ARN en un selector sea igual a un valor y, a continuación, especifique que ARN no sea igual al mismo valor en otro selector.

Para agregar otro tipo de datos en el que registrar eventos de datos, elija Add data event type (Agregar tipo de evento de datos). Repita desde el paso 6 hasta este paso a fin de configurar selectores de eventos avanzados para el tipo de evento de datos.
Una vez que haya revisado y verificado las elecciones, seleccione Guardar cambios.

En el AWS Management Console, si su ruta utiliza selectores de eventos avanzados, puede elegir entre plantillas predefinidas que registran todos los eventos de datos en un recurso seleccionado. Después de elegir una plantilla de selector de registros, puede personalizar la plantilla con el fin de incluir solo los eventos de datos que más desee ver. Para obtener más información sobre el uso de selectores de eventos avanzados, consulte este Filtrar eventos de datos mediante selectores de eventos avanzados tema.

En las páginas del panel de control o de rutas de la CloudTrail consola, elige la ruta que quieres actualizar.
En la página de detalles, en Eventos de datos, seleccione Editar.
Si aún no registra eventos de datos, elija la casilla Data events (Eventos de datos).
En Data event type (Tipo de evento de datos), elija el tipo de recurso en el que desea registrar los eventos de datos.
Elige una plantilla de selección de registros. CloudTrail incluye plantillas predefinidas que registran todos los eventos de datos del tipo de recurso. Para crear una plantilla de selector de registros personalizada, elija Custom (Personalizado).

nota
Si eliges una plantilla predefinida para los depósitos de S3, podrás registrar los eventos de datos de todos los depósitos que hay actualmente en tu AWS cuenta y de los que crees una vez que hayas terminado de crear el registro. También permite registrar la actividad de eventos de datos realizada por cualquier usuario o rol de tu AWS cuenta, incluso si esa actividad se realiza en un bucket que pertenece a otra cuenta. AWS
Si el registro de seguimiento solo aplica a una región, elegir una plantilla predefinida que registra todos los buckets de S3 permite el registro de eventos de datos de todos los buckets en la misma región que el registro de seguimiento, así como de cualquier otro bucket que cree posteriormente en esa región. No registrará los eventos de datos de los buckets de Amazon S3 en otras regiones de su AWS cuenta.
Si va a crear un registro para todas las regiones, al elegir una plantilla predefinida para las funciones de Lambda se habilita el registro de eventos de datos para todas las funciones que se encuentran actualmente en su AWS cuenta y para cualquier función de Lambda que pueda crear en cualquier región una vez que haya terminado de crear el registro. Si va a crear una ruta para una sola región (en el caso de las rutas, solo puede hacerlo mediante la AWS CLI), esta selección habilita el registro de eventos de datos para todas las funciones que se encuentran actualmente en esa región en su AWS cuenta y para cualquier función de Lambda que pueda crear en esa región una vez que haya terminado de crear la ruta. No habilita el registro de eventos de datos de las funciones Lambda creadas en otras regiones.
El registro de eventos de datos para todas las funciones también permite registrar la actividad de eventos de datos realizada por cualquier usuario o rol de su AWS cuenta, incluso si esa actividad se realiza en una función que pertenece a otra AWS cuenta.
(Opcional) En Nombre del selector, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo opcional para un selector de eventos avanzado, como “Registrar eventos de datos para solo dos buckets de S3”. El nombre del selector aparece como Name en el selector de eventos avanzado y se puede ver si se amplía la JSONvista.

Elija uno de los siguientes campos.

readOnly- se readOnly puede configurar para que sea igual a un valor de true ofalse. Los eventos de datos de solo lectura son eventos que no cambian el estado de un recurso, como eventos Get* o Describe*. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos Put*, Delete* o Write*. Para registrar eventos read y write, no agregue un selector de readOnly.
eventName: eventName puede utilizar cualquier operador. Puede usarlo para incluir o excluir cualquier evento de datos registrado CloudTrail, como PutBucketGetItem, oGetSnapshotBlock.

En la siguiente tabla se muestra el ARN formato válido para cada unoresources.type.

nota

No puede usar el resources.ARN campo para filtrar los tipos de recursos que no lo tienenARNs.

resources.type	recursos. ARN
`AWS::DynamoDB::Table¹`	`arn:partition:dynamodb:region:account_ID:table/table_name`
`AWS::Lambda::Function`	`arn:partition:lambda:region:account_ID:function:function_name`
`AWS::S3::Object`²	`arn:partition:s3:::amzn-s3-demo-bucket/ arn:partition:s3:::amzn-s3-demo-bucket/object_or_file_name/`
`AWS::AppConfig::Configuration`	`arn:partition:appconfig:region:account_ID:application/application_ID/environment/environment_ID/configuration/configuration_profile_ID`
`AWS::B2BI::Transformer`	`arn:partition:b2bi:region:account_ID:transformer/transformer_ID`
`AWS::Bedrock::AgentAlias`	`arn:partition:bedrock:region:account_ID:agent-alias/agent_ID/alias_ID`
`AWS::Bedrock::FlowAlias`	`arn:partition:bedrock:region:account_ID:flow/flow_ID/alias/alias_ID`
`AWS::Bedrock::Guardrail`	`arn:partition:bedrock:region:account_ID:guardrail/guardrail_ID`
`AWS::Bedrock::KnowledgeBase`	`arn:partition:bedrock:region:account_ID:knowledge-base/knowledge_base_ID`
`AWS::Bedrock::Model`	ARNDebe estar en uno de los siguientes formatos: `arn:partition:bedrock:region::foundation-model/resource_ID` `arn:partition:bedrock:region:account_ID:provisioned-model/resource_ID` `arn:partition:bedrock:region:account_ID:custom-model/resource_ID`
`AWS::Cassandra::Table`	`arn:partition:cassandra:region:account_ID:keyspace/keyspace_name/table/table_name`
`AWS::CloudFront::KeyValueStore`	`arn:partition:cloudfront:region:account_ID:key-value-store/KVS_name`
`AWS::CloudTrail::Channel`	`arn:partition:cloudtrail:region:account_ID:channel/channel_UUID`
`AWS::CodeWhisperer::Customization`	`arn:partition:codewhisperer:region:account_ID:customization/customization_ID`
`AWS::CodeWhisperer::Profile`	`arn:partition:codewhisperer:region:account_ID:profile/profile_ID`
`AWS::Cognito::IdentityPool`	`arn:partition:cognito-identity:region:account_ID:identitypool/identity_pool_ID`
`AWS::DataExchange::Asset`	`arn:partition:dataexchange:region:account_ID:data-sets/data_set_ID/revisions/revision_ID/assets/asset_ID`
`AWS::Deadline::Fleet`	`arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID`
`AWS::Deadline::Job`	`arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID/job/job_ID`
`AWS::Deadline::Queue`	`arn:partition:deadline:region:account_ID:farm/farm_ID/queue/queue_ID`
`AWS::Deadline::Worker`	`arn:partition:deadline:region:account_ID:farm/farm_ID/fleet/fleet_ID/worker/worker_ID`
`AWS::DynamoDB::Stream`	`arn:partition:dynamodb:region:account_ID:table/table_name/stream/date_time`
`AWS::EC2::Snapshot`	`arn:partition:ec2:region::snapshot/snapshot_ID`
`AWS::EMRWAL::Workspace`	`arn:partition:emrwal:region:account_ID:workspace/workspace_name`
`AWS::FinSpace::Environment`	`arn:partition:finspace:region:account_ID:environment/environment_ID`
`AWS::Glue::Table`	`arn:partition:glue:region:account_ID:table/database_name/table_name`
`AWS::GreengrassV2::ComponentVersion`	`arn:partition:greengrass:region:account_ID:components/component_name`
`AWS::GreengrassV2::Deployment`	`arn:partition:greengrass:region:account_ID:deployments/deployment_ID`
`AWS::GuardDuty::Detector`	`arn:partition:guardduty:region:account_ID:detector/detector_ID`
`AWS::IoT::Certificate`	`arn:partition:iot:region:account_ID:cert/certificate_ID`
`AWS::IoT::Thing`	`arn:partition:iot:region:account_ID:thing/thing_ID`
`AWS::IoTSiteWise::Asset`	`arn:partition:iotsitewise:region:account_ID:asset/asset_ID`
`AWS::IoTSiteWise::TimeSeries`	`arn:partition:iotsitewise:region:account_ID:timeseries/timeseries_ID`
`AWS::IoTTwinMaker::Entity`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID/entity/entity_ID`
`AWS::IoTTwinMaker::Workspace`	`arn:partition:iottwinmaker:region:account_ID:workspace/workspace_ID`
`AWS::KendraRanking::ExecutionPlan`	`arn:partition:kendra-ranking:region:account_ID:rescore-execution-plan/rescore_execution_plan_ID`
`AWS::Kinesis::Stream`	`arn:partition:kinesis:region:account_ID:stream/stream_name`
`AWS::Kinesis::StreamConsumer`	`arn:partition:kinesis:region:account_ID:stream_type/stream_name/consumer/consumer_name:consumer_creation_timestamp`
`AWS::KinesisVideo::Stream`	`arn:partition:kinesisvideo:region:account_ID:stream/stream_name/creation_time`
`AWS::MachineLearning::MlModel`	`arn:partition:machinelearning:region:account_ID:mlmodel/model_ID`
`AWS::ManagedBlockchain::Network`	`arn:partition:managedblockchain:::networks/network_name`
`AWS::ManagedBlockchain::Node`	`arn:partition:managedblockchain:region:account_ID:nodes/node_ID`
`AWS::MedicalImaging::Datastore`	`arn:partition:medical-imaging:region:account_ID:datastore/data_store_ID`
`AWS::NeptuneGraph::Graph`	`arn:partition:neptune-graph:region:account_ID:graph/graph_ID`
`AWS::One::UKey`	`arn:partition:one:region:account_ID:user/user_ID/u-key/u-key_ID`
`AWS::One::User`	`arn:partition:one:region:account_ID:user/user_ID`
`AWS::PaymentCryptography::Alias`	`arn:partition:payment-cryptography:region:account_ID:alias/alias`
`AWS::PaymentCryptography::Key`	`arn:partition:payment-cryptography:region:account_ID:key/key_ID`
`AWS::PCAConnectorAD::Connector`	`arn:partition:pca-connector-ad:region:account_ID:connector/connector_ID`
`AWS::PCAConnectorSCEP::Connector`	`arn:partition:pca-connector-scep:region:account_ID:connector/connector_ID`
`AWS::QApps:QApp`	`arn:partition:qapps:region:account_ID:application/application_UUID/qapp/qapp_UUID`
`AWS::QBusiness::Application`	`arn:partition:qbusiness:region:account_ID:application/application_ID`
`AWS::QBusiness::DataSource`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID/data-source/datasource_ID`
`AWS::QBusiness::Index`	`arn:partition:qbusiness:region:account_ID:application/application_ID/index/index_ID`
`AWS::QBusiness::WebExperience`	`arn:partition:qbusiness:region:account_ID:application/application_ID/web-experience/web_experienc_ID`
`AWS::RDS::DBCluster`	`arn:partition:rds:region:account_ID:cluster/cluster_name`
`AWS::RUM::AppMonitor`	`arn:partition:rum:region:account_ID:appmonitor/app_monitor_name`
`AWS::S3::AccessPoint`³	`arn:partition:s3:region:account_ID:accesspoint/access_point_name`
`AWS::S3Express::Object`	`arn:partition:s3express:region:account_ID:bucket/bucket_name`
`AWS::S3ObjectLambda::AccessPoint`	`arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name`
`AWS::S3Outposts::Object`	`arn:partition:s3-outposts:region:account_ID:object_path`
`AWS::SageMaker::Endpoint`	`arn:partition:sagemaker:region:account_ID:endpoint/endpoint_name`
`AWS::SageMaker::ExperimentTrialComponent`	`arn:partition:sagemaker:region:account_ID:experiment-trial-component/experiment_trial_component_name`
`AWS::SageMaker::FeatureGroup`	`arn:partition:sagemaker:region:account_ID:feature-group/feature_group_name`
`AWS::SCN::Instance`	`arn:partition:scn:region:account_ID:instance/instance_ID`
`AWS::ServiceDiscovery::Namespace`	`arn:partition:servicediscovery:region:account_ID:namespace/namespace_ID`
`AWS::ServiceDiscovery::Service`	`arn:partition:servicediscovery:region:account_ID:service/service_ID`
`AWS::SNS::PlatformEndpoint`	`arn:partition:sns:region:account_ID:endpoint/endpoint_type/endpoint_name/endpoint_ID`
`AWS::SNS::Topic`	`arn:partition:sns:region:account_ID:topic_name`
`AWS::SocialMessaging::PhoneNumberId`	`arn:partition:social-messaging:region:account_ID:phone-number-id/phone_number_ID`
`AWS::SQS::Queue`	`arn:partition:sqs:region:account_ID:queue_name`
`AWS::SSM::ManagedNode`	ARNDebe estar en uno de los siguientes formatos: `arn:partition:ssm:region:account_ID:managed-instance/instance_ID` `arn:partition:ec2:region:account_ID:instance/instance_ID`
`AWS::SSMMessages::ControlChannel`	`arn:partition:ssmmessages:region:account_ID:control-channel/control_channel_ID`
`AWS::StepFunctions::StateMachine`	ARNDebe estar en uno de los siguientes formatos: `arn:partition:states:region:account_ID:stateMachine:stateMachine_name` `arn:partition:states:region:account_ID:stateMachine:stateMachine_name/label_name`
`AWS::SWF::Domain`	`arn:partition:swf:region:account_ID:/domain/domain_name`
`AWS::ThinClient::Device`	`arn:partition:thinclient:region:account_ID:device/device_ID`
`AWS::ThinClient::Environment`	`arn:partition:thinclient:region:account_ID:environment/environment_ID`
`AWS::Timestream::Database`	`arn:partition:timestream:region:account_ID:database/database_name`
`AWS::Timestream::Table`	`arn:partition:timestream:region:account_ID:database/database_name/table/table_name`
`AWS::VerifiedPermissions::PolicyStore`	`arn:partition:verifiedpermissions:region:account_ID:policy-store/policy_store_ID`

En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones. Por ejemplo, para excluir los eventos de datos de dos buckets de S3 de los eventos de datos que se registran en el almacén de datos de eventos, puede configurar el campo como resources. ARN, defina el operador para no empiece por y, a continuaciónARN, péguelo en un bucket de S3 o busque los cubos de S3 cuyos eventos no desee registrar.

Para añadir el segundo depósito de S3, selecciona la condición + y, a continuación, repite la instrucción anterior, pegando el ARN formulario o buscando un depósito diferente.

Para obtener información sobre cómo se CloudTrail evalúan varias condiciones, consulte. ¿Cómo CloudTrail evalúa varias condiciones de un campo

nota
Puede tener un máximo de 500 valores para todos los selectores de un almacén de datos de eventos. Esto incluye matrices de varios valores para un selector como eventName. Si tiene valores únicos para todos los selectores, puede agregar un máximo de 500 condiciones a un selector.
Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos. Por ejemplo, no especifique que un selector ARN en un selector sea igual a un valor y, a continuación, especifique que ARN no sea igual al mismo valor en otro selector.

Para agregar otro tipo de datos en el que registrar eventos de datos, elija Add data event type (Agregar tipo de evento de datos). Repita desde el paso 4 hasta este paso a fin de configurar selectores de eventos avanzados para el tipo de evento de datos.
Una vez que haya revisado y verificado las elecciones, seleccione Guardar cambios.

Utilice los siguientes procedimientos para actualizar un registro de seguimiento existente para registrar los eventos de datos con selectores de eventos básicos.

Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.
Abre la página Rutas de la CloudTrail consola y elige el nombre de la ruta.

nota
Aunque puede editar un registro de seguimiento existente para registrar eventos de datos, como práctica recomendada, considere la posibilidad de crear un registro de seguimiento independiente específicamente para registrar eventos de datos.
En Data events (Eventos de datos), elija Edit (Editar).
Para buckets de Amazon S3:
1. En Data event source (Fuente de evento de datos), elija S3.
2. Puede registrar All current and future S3 buckets (Todos los buckets de S3 actuales y futuros) o bien, especificar buckets o funciones individuales. De forma predeterminada, los eventos de datos se registran para todos los buckets de S3 actuales y futuros.
  
  nota
  Si mantiene la opción predeterminada Todos los depósitos de S3 actuales y futuros, se permite registrar los eventos de datos de todos los depósitos que se encuentren actualmente en su AWS cuenta y de todos los depósitos que cree una vez que haya terminado de crear la ruta. También permite registrar la actividad de eventos de datos realizada por cualquier usuario o rol de tu AWS cuenta, incluso si esa actividad se realiza en un bucket que pertenece a otra cuenta. AWS
  Si va a crear una ruta para una sola región (se hace mediante la AWS CLI), al seleccionar la opción Seleccione todos los depósitos de S3 de su cuenta, se registrarán los eventos de datos de todos los grupos de la misma región que su ruta y de todos los grupos que cree posteriormente en esa región. No registrará los eventos de datos de los buckets de Amazon S3 en otras regiones de su AWS cuenta.
3. Si conserva la opción predeterminada, All current and future S3 buckets (Todos los buckets de S3 actuales y futuros), elija registrar eventos de Read (Lectura), Write (Escritura) o ambos.
4. Para seleccionar buckets individuales, desmarque las casillas de verificación Read (Lectura) y Write (Escritura) en All current and future S3 buckets (Todos los buckets de S3 actuales y futuros). En Individual bucket selection (Selección de bucket individual), busque un bucket en el que registrar los eventos de datos. Para buscar buckets específicos, escriba un prefijo de bucket para el bucket que desee. En esta ventana puede seleccionar varios buckets. Elija Add bucket (Agregar bucket) para registrar eventos de datos en más buckets. Elija registrar eventos de Read (Lectura), como GetObject, Write (Escritura), como PutObject, o de ambos.
  
  Esta configuración tiene prioridad sobre la configuración individual de cada bucket. Por ejemplo, si establece la configuración para que se registren los eventos de tipo Read de todos los buckets de S3 y posteriormente decide agregar un determinado bucket en el registro de eventos de datos, la opción Read ya aparecerá seleccionada en el bucket que agregue. Esta selección no se puede anular. Solo se puede configurar la opción Write.
  
  Para eliminar un bucket del registro, elija X.
Para agregar otro tipo de datos en el que registrar eventos de datos, elija Add data event type (Agregar tipo de evento de datos).
Para funciones Lambda:
1. En Data event source (Fuente de evento de datos), elija Lambda.
2. En Función Lambda, elija Todas las regiones para registrar todas las funciones Lambda o Función de entrada as ARN para registrar los eventos de datos en una función específica.
  
  Para registrar eventos de datos de todas las funciones Lambda de su cuenta de AWS , seleccione Log all current and future functions (Registrar todas las funciones actuales y futuras). Esta configuración tiene prioridad sobre la configuración individual de cada función. Se registran todas las funciones aunque no se muestren.
  
  nota
  Si va a crear un registro de seguimiento para todas las regiones, esta opción habilita el registro de eventos de datos de todas las funciones que se encuentran actualmente en la cuenta de AWS , así como de cualquier función Lambda que cree en cualquier región después de crear el registro de seguimiento. Si va a crear una ruta para una sola región (mediante la AWS CLI), esta selección habilita el registro de eventos de datos para todas las funciones que se encuentran actualmente en esa región de su AWS cuenta y para cualquier función de Lambda que pueda crear en esa región una vez que haya terminado de crear la ruta. No habilita el registro de eventos de datos de las funciones Lambda creadas en otras regiones.
  El registro de los eventos de datos para todas las funciones también permite registrar la actividad de los eventos de datos realizada por cualquier usuario o función de su AWS cuenta, incluso si esa actividad se realiza en una función que pertenece a otra AWS cuenta.
3. Si selecciona Función de entrada como ARN, introduzca la ARN de una función Lambda.
  
  nota
  Si tiene más de 15 000 funciones Lambda en su cuenta, no podrá ver ni seleccionar todas las funciones de la CloudTrail consola al crear un registro. Sí que puede seleccionar la opción para registrar todas las funciones, aunque estas no se muestren. Si desea registrar eventos de datos para funciones específicas, puede añadir una función manualmente si la conoce. ARN También puede terminar de crear la ruta en la consola y, a continuación, utilizar el put-event-selectors comando AWS CLI and the para configurar el registro de eventos de datos para funciones Lambda específicas. Para obtener más información, consulte Administrar senderos con el AWS CLI.
Para agregar otro tipo de datos en el que registrar eventos de datos, elija Add data event type (Agregar tipo de evento de datos).
Para tablas de DynamoDB:
1. En Data event source (Fuente de evento de datos), elija DynamoDB.
2. En la selección de tablas de DynamoDB, elija Examinar para seleccionar una tabla o péguela en la tabla ARN de DynamoDB a la que tenga acceso. Una ARN tabla de DynamoDB utiliza el siguiente formato:
```
arn:partition:dynamodb:region:account_ID:table/table_name
```
  Para agregar otra tabla, elija Agregar fila y busque una tabla o péguela en ARN la tabla a la que tenga acceso.
Elija Guardar cambios.

Registrar eventos de datos con AWS Command Line Interface

Puede configurar sus registros de seguimiento o los almacenes de datos de eventos para que registren los eventos de datos con la AWS CLI.

Temas

Registrar eventos de datos para senderos con el AWS CLI
Registrar los eventos de datos para los almacenes de datos de eventos con el AWS CLI

Registrar eventos de datos para senderos con el AWS CLI

Puede configurar sus registros de seguimiento para que registren los eventos de administración y los de datos con la AWS CLI.

nota

Tenga en cuenta que, si su cuenta está registrando más de una copia de eventos de administración, generará cargos. Siempre hay un cargo por registrar eventos de datos. Para más información, consulte Precios de AWS CloudTrail.
Puede utilizar selectores de eventos avanzados o selectores de eventos básicos, pero no ambos. Si aplica selectores de eventos avanzados a un registro de seguimiento, se sobrescriben todos los selectores de eventos básicos existentes.
Si su registro de seguimiento utiliza selectores de eventos básicos, solo puede registrar los siguientes tipos de recursos:
- AWS::DynamoDB::Table
- AWS::Lambda::Function
- AWS::S3::Object
Para registrar tipos de recursos adicionales, necesitará utilizar selectores de eventos avanzados. Para convertir un registro de seguimiento en selectores de eventos avanzados, ejecute el comando get-event-selectors para confirmar los selectores de eventos actuales y, a continuación, configure los selectores de eventos avanzados para que coincidan con la cobertura de los selectores de eventos anteriores. Luego, agregue selectores para cualquier tipo de recurso para el que desee registrar eventos de datos.
Puede utilizar selectores de eventos avanzados para filtrar en función del valor de los campos eventName, resources.ARN y readOnly, así podrá registrar solo los eventos de datos que le interesen. Para obtener más información sobre la configuración de estos campos, consulte AdvancedFieldSelectoren la AWS CloudTrail APIReferencia y Filtrar eventos de datos mediante selectores de eventos avanzados en este tema.

Para consultar si su registro de seguimiento está registrando los eventos de administración y de datos, ejecute el comando get-event-selectors.


aws cloudtrail get-event-selectors --trail-name TrailName

El comando devuelve los selectores de eventos de la ruta.

Temas

Registrar eventos mediante selectores de eventos avanzados
Registre todos los eventos de Amazon S3 de un bucket de Amazon S3 mediante selectores de eventos avanzados
Registrar eventos de Amazon S3 en eventos de AWS Outposts mediante selectores de eventos avanzados
Registrar eventos mediante selectores de eventos básicos

Registrar eventos mediante selectores de eventos avanzados

nota

Si aplica selectores de eventos avanzados a un registro de seguimiento, se sobrescriben todos los selectores de eventos básicos existentes. Antes de configurar los selectores de eventos avanzados, ejecute el comando get-event-selectors para confirmar los selectores de eventos actuales y, a continuación, configure los selectores de eventos avanzados para que coincidan con la cobertura de los selectores de eventos anteriores. Luego, agregue selectores para cualquier evento de datos adicional que desee registrar.

En el siguiente ejemplo, se crean selectores de eventos avanzados personalizados para un sendero denominado TrailName para incluir eventos de administración de lectura y escritura (omitiendo el readOnly selector) y eventos de DeleteObject datos para todas las combinaciones de bucket PutObject y prefijo de Amazon S3, excepto para un bucket con nombre amzn-s3-demo-bucket y eventos de datos para una función con nombre. AWS Lambda MyLambdaFunction Dado que se trata de selectores de eventos avanzados personalizados, cada conjunto de selectores tiene un nombre descriptivo. Tenga en cuenta que una barra al final forma parte del valor de los buckets de S3. ARN


aws cloudtrail put-event-selectors --trail-name TrailName --advanced-event-selectors
'[
  {
    "Name": "Log readOnly and writeOnly management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  },
  {
    "Name": "Log PutObject and DeleteObject events for all but one bucket",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
      { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] },
      { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] }
    ]
  },
  {
    "Name": "Log data plane actions on MyLambdaFunction",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] },
      { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] }
    ]
  }
]'

El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.


{
  "AdvancedEventSelectors": [
    {
      "Name": "Log readOnly and writeOnly management events",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Management" ]
        }
      ]
    },
    {
      "Name": "Log PutObject and DeleteObject events for all but one bucket",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Data" ]
        },
        {
          "Field": "resources.type", 
          "Equals": [ "AWS::S3::Object" ]
        },
        {
          "Field": "resources.ARN", 
          "NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ]
        },
      ]
    },
{
      "Name": "Log data plane actions on MyLambdaFunction",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Data" ]
        },
        {
          "Field": "resources.type", 
          "Equals": [ "AWS::Lambda::Function" ]
        },
        {
          "Field": "eventName", 
          "Equals": [ "Invoke" ]
        },
        {
          "Field": "resources.ARN", 
          "Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

Registre todos los eventos de Amazon S3 de un bucket de Amazon S3 mediante selectores de eventos avanzados

nota

Si aplica selectores de eventos avanzados a un registro de seguimiento, se sobrescriben todos los selectores de eventos básicos existentes.

El ejemplo siguiente muestra cómo configurar su registro de seguimiento para que incluya eventos de datos para todos los objetos de Amazon S3 en un bucket de S3 específico. El valor de los eventos de S3 para el campo resources.type es AWS::S3::Object. Como los ARN valores de los objetos S3 y los buckets de S3 son ligeramente diferentes, debe añadir el StartsWith operador resources.ARN para capturar todos los eventos.


aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
    {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::amzn-s3-demo-bucket/"] }
            ]
        }
]'

El comando devuelve el siguiente resultado de ejemplo.


{
    "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:partition:s3:::amzn-s3-demo-bucket/"
                    ]
                }
            ]
        }
    ]
}

Registrar eventos de Amazon S3 en eventos de AWS Outposts mediante selectores de eventos avanzados

nota

Si aplica selectores de eventos avanzados a un registro de seguimiento, se sobrescriben todos los selectores de eventos básicos existentes.

En el siguiente ejemplo se muestra cómo configurar su registro de seguimiento para que incluya todos los eventos de datos de todos los objetos de Amazon S3 on Outposts.


aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
    {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
            ]
    }
]'

El comando devuelve el siguiente resultado de ejemplo.


{
    "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3Outposts::Object"
                    ]
                }
            ]
        }
    ]
}

Registrar eventos mediante selectores de eventos básicos

A continuación, se muestra un resultado de ejemplo del comando get-event-selectors que muestra los selectores de eventos básicos. De forma predeterminada, al crear una ruta mediante la AWS CLI, una ruta registra todos los eventos de administración. De forma predeterminada, los registros de seguimiento no registran eventos de datos.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
    "EventSelectors": [
        {
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ReadWriteType": "All"
        }
    ]
}

Para configurar el registro de seguimiento para que registre los eventos de administración y de datos, ejecute el comando put-event-selectors.

En el ejemplo siguiente, se muestra cómo utilizar selectores de eventos básicos a fin de configurar su registro de seguimiento de manera que incluya todos los eventos de administración y de datos para los objetos de S3 en dos prefijos de bucket de S3. Puede especificar entre 1 y 5 selectores de eventos en los registros de seguimiento. Puede especificar entre 1 y 250 recursos de datos en los registros de seguimiento.

nota

El número máximo de recursos de datos de S3 es 250, si elige limitar los eventos de datos mediante selectores de eventos básicos.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket1/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2;/prefix2"] }] }]'

El comando devuelve los selectores de eventos configurados para el registro de seguimiento.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
    "EventSelectors": [
        {
            "IncludeManagementEvents": true,
            "DataResources": [
                {
                    "Values": [
                        "arn:aws:s3:::amzn-s3-demo-bucket1/prefix",
                        "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2",
                    ],
                    "Type": "AWS::S3::Object"
                }
            ],
            "ReadWriteType": "All"
        }
    ]
}

Registrar los eventos de datos para los almacenes de datos de eventos con el AWS CLI

Puede configurar sus almacenes de datos de eventos para que incluyan los eventos de datos con la AWS CLI. Utilice el comando create-event-data-store para crear un nuevo almacén de datos de eventos para registrar los eventos de datos. Utilice el comando update-event-data-store para actualizar los selectores de eventos avanzados de un almacén de datos de eventos existente.

Para ver si el almacén de datos de eventos incluye eventos de datos, ejecute el comando get-event-data-store.


aws cloudtrail get-event-data-store --event-data-store EventDataStoreARN

El comando devuelve la configuración del almacén de datos de eventos.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE6441aa",
    "Name": "ebs-data-events",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "Log all EBS direct APIs on EBS snapshots",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::EC2::Snapshot"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00",
    "UpdatedTimestamp": "2023-11-20T20:37:34.228000+00:00"
}

Temas

Incluir todos los eventos de Amazon S3 en un bucket
Incluir Amazon S3 en los eventos de AWS Outposts

Incluir todos los eventos de Amazon S3 en un bucket

En el ejemplo siguiente, se muestra cómo crear un almacén de datos de eventos para que incluya todos los eventos de datos de todos los objetos de Amazon S3 en un bucket de S3 específico. El valor de los eventos de S3 para el campo resources.type es AWS::S3::Object. Como los ARN valores de los objetos de S3 y los cubos de S3 son ligeramente diferentes, debe añadir el StartsWith operador resources.ARN para capturar todos los eventos.


aws cloudtrail create-event-data-store --name "EventDataStoreName" --multi-region-enabled \
--advanced-event-selectors \
'[
    {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::amzn-s3-demo-bucket/"] }
            ]
        }
]'

El comando devuelve el siguiente resultado de ejemplo.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa",
    "Name": "EventDataStoreName",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:partition:s3:::amzn-s3-demo-bucket/"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00",
    "UpdatedTimestamp": "2023-11-20T20:49:21.766000+00:00"
}

Incluir Amazon S3 en los eventos de AWS Outposts

En el ejemplo siguiente, se muestra cómo crear un almacén de datos de eventos que incluya todos los eventos de datos de todos los objetos de Amazon S3 en Outposts.


aws cloudtrail create-event-data-store --name EventDataStoreName \
--advanced-event-selectors \
'[
    {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
            ]
        }
]'

El comando devuelve el siguiente resultado de ejemplo.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
    "Name": "EventDataStoreName",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3Outposts::Object"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-02-20T21:00:17.673000+00:00",
    "UpdatedTimestamp": "2023-02-20T21:00:17.820000+00:00"
}

Registrar eventos de datos para la conformidad con AWS Config

Si utiliza paquetes de AWS Config conformidad para ayudar a su empresa a cumplir con los estándares formalizados, como los exigidos por el Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP) o el Instituto Nacional de Estándares y Tecnología (NIST), los paquetes de conformidad para los marcos de cumplimiento generalmente requieren que registre los eventos de datos para los buckets de Amazon S3, como mínimo. Los paquetes de cumplimiento para los marcos de conformidad incluyen una regla administrada denominada cloudtrail-s3-dataevents-enabled que comprueba el registro de eventos de datos de S3 en su cuenta. Varios paquetes de cumplimiento que no están asociados con marcos de conformidad también requieren el registro de eventos de datos de S3. A continuación, se muestran ejemplos de paquetes de cumplimiento que incluyen esta regla.

Para obtener una lista completa de los paquetes de conformidad de muestra disponibles en AWS Config, consulte las plantillas de ejemplo de paquetes de conformidad en la Guía para AWS Config desarrolladores.

Registrar eventos de datos con el AWS SDKs

Ejecute la GetEventSelectorsoperación para comprobar si su ruta está registrando eventos de datos. Puedes configurar tus senderos para que registren eventos de datos ejecutando la PutEventSelectorsoperación. Para obtener más información, consulte la AWS CloudTrail APIReferencia.

Ejecute la GetEventDataStoreoperación para comprobar si el banco de datos de eventos está registrando eventos de datos. Puede configurar sus almacenes de datos de eventos para incluir eventos de datos ejecutando las UpdateEventDataStoreoperaciones CreateEventDataStoreo y especificando selectores de eventos avanzados. Para obtener más información, consulte Cree, actualice y gestione almacenes de datos de eventos con AWS CLI y la AWS CloudTrail APIReferencia.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Eventos de administración

Filtrar eventos de datos mediante selectores de eventos avanzados