Habilitación del reenvío de registros de Amazon CloudWatch del AWS Managed Microsoft AD - AWS Directory Service
Uso de la consola para habilitar el reenvío de registrosUso de la CLI o PowerShell para habilitar el reenvío de registros

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación del reenvío de registros de Amazon CloudWatch del AWS Managed Microsoft AD

Puede utilizar tanto la consola de AWS Directory Service como las API para reenviar los registros de eventos de seguridad del controlador de dominio a Registros de Amazon CloudWatch al AWS Managed Microsoft AD. Esto le permite cumplir sus requisitos de políticas de retención de registros, auditorías y monitorización de seguridad proporcionando transparencia a los eventos de seguridad del directorio.

Registros de CloudWatch también puede reenviar estos eventos a otras cuentas de AWS, servicios de AWS y a aplicaciones de terceros. Esto facilita la monitorización y la configuración centralizadas de las alertas para detectar actividades anormales casi en tiempo real y responder a ellas de manera proactiva.

Una vez habilitado el reenvío de registros, puede utilizar la consola de Registros de CloudWatch para recuperar los datos del grupo de registro que especificó al habilitar el servicio. Este grupo de registros contiene los registros de seguridad de sus controladores de dominio.

Para obtener más información sobre los grupos de registros y cómo leer sus datos, consulte Trabajo con grupos y flujos de registro en la Guía del usuario de Registros de Amazon CloudWatch.

nota

El reenvío de registros es una característica regional de AWS Managed Microsoft AD. Si utiliza Replicación multirregional, los siguientes procedimientos deben aplicarse por separado en cada región. Para obtener más información, consulte Características globales frente a las regionales.

Una vez habilitada, la capacidad de reenvío de registros comenzará a transmitir los registros desde sus controladores de dominio al grupo de registros de CloudWatch especificado. Cualquier registro creado antes de habilitar el reenvío de registros no se transferirá al grupo de registros de CloudWatch.

Uso de la AWS Management Console para habilitar el reenvío de registros de Amazon CloudWatch

Puede activar el reenvío de registros de Amazon CloudWatch del AWS Managed Microsoft AD en la AWS Management Console.

  1. En el panel de navegación de la consola de AWS Directory Service, elija Directories (Directorios).

  2. Elija el ID de directorio del directorio de AWS Managed Microsoft AD que desea compartir.

  3. En la página Detalles del directorio, lleve a cabo una de las siguientes operaciones:

    • Si tiene varias regiones en la sección Replicación multirregional, seleccione la región en la que quiera habilitar el reenvío de registros y, a continuación, elija la pestaña Redes y seguridad. Para obtener más información, consulte Regiones principales frente a las adicionales.

    • Si no aparece ninguna región en la sección Replicación multirregional, seleccione la pestaña Redes y seguridad.

  4. En la sección Log forwarding (Reenvío de registros), elija Enable (Habilitar).

  5. En el cuadro de diálogo Enable log forwarding to CloudWatch (Habilitar el reenvío de registros a CloudWatch), elija una de las siguientes opciones:

    1. Seleccione Crear un nuevo grupo de registro de CloudWatch y, en Nombre del grupo de registro, especifique un nombre al que puede hacer referencia en Registros de CloudWatch.

    2. Seleccione Choose an existing CloudWatch log group (Elija un grupo de registros de CloudWatch) y en Existing CloudWatch log groups (Grupos de registros de CloudWatch existentes), seleccione un grupo de registro en el menú.

  6. Revise el enlace y la información sobre los precios y, a continuación, elija Enable (Habilitar).

Uso de la CLI o PowerShell para habilitar el reenvío de registros de Amazon CloudWatch

Para poder utilizar el comando ds create-log-subscription, primero debe crear un grupo de registro de Amazon CloudWatch y, a continuación, crear una política de recursos de IAM que concederá los permisos necesarios a ese grupo. Para habilitar el reenvío de registros utilizando la CLI o PowerShell, complete los siguientes pasos.

Paso 1: creación de un grupo de registro en Registros de CloudWatch

Cree un grupo de registros que se utilizará para recibir los registros de seguridad de los controladores de dominio. Recomendamos que el nombre vaya precedido de /aws/directoryservice/, pero esto no es obligatorio. Por ejemplo:

CLI Command
aws logs create-log-group --log-group-name '/aws/directoryservice/d-1111111111'
PowerShell Command
New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-1111111111'

Para obtener información acerca de cómo crear un grupo de registros, consulte Crear un grupo de registro en Registros de CloudWatch en la Guía del usuario de Registros de Amazon CloudWatch.

Paso 2: creación de una política de recursos de Registros de CloudWatch en IAM

Cree una política de recursos de Registros de CloudWatch que conceda derechos a AWS Directory Service para agregar registros al grupo de registros nuevo creado en el paso 1. Puede especificar el ARN exacto del grupo de registros para limitar el acceso de AWS Directory Service a otros grupos de registros o utilizar un comodín para incluir todos los grupos de registros. La siguiente política de ejemplo utiliza el método del comodín para indicar que se incluirán todos los grupos de registros que empiecen por /aws/directoryservice/ pertenecientes a la cuenta de AWS donde reside el directorio. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ds.amazonaws.com"
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*"
        }
    ]
}

Tendrá que guardar esta política en un archivo de texto (por ejemplo, DSPolicy.json) en la estación de trabajo local, ya que deberá ejecutarla desde la CLI. Por ejemplo:

CLI Command
aws logs put-resource-policy --policy-name DSLogSubscription --policy-document
          file://DSPolicy.json
PowerShell Command
$PolicyDocument = Get-Content .\DSPolicy.json –Raw
Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument

Paso 3: creación de una suscripción de registro de AWS Directory Service

En este último paso, ya puede proceder a habilitar el reenvío de registros mediante la creación de la suscripción de registro. Por ejemplo:

CLI Command
aws ds create-log-subscription --directory-id 'd-1111111111' --log-group-name '/aws/directoryservice/d-1111111111'
PowerShell Command
New-DSLogSubscription -DirectoryId 'd-1111111111' -LogGroupName '/aws/directoryservice/d-1111111111'