CloudTrail conceptos

En esta sección se resumen los conceptos básicos relacionados con. CloudTrail

Contenido

• ¿Qué son los CloudTrail eventos?
  • ¿Qué son los eventos de administración?
  • ¿Qué son los eventos de datos?
  • ¿Qué son los eventos de Insights?
    • ¿Cómo puedo ver eventos de Insights para los registros de seguimiento y los almacenes de datos de eventos?
• ¿Qué es el historial de CloudTrail eventos?
• ¿Qué son los registros de seguimiento?
• ¿Qué son los registros de seguimiento de organización?
• ¿Cómo se gestiona CloudTrail?
  • CloudTrail consola
  • CloudTrail CLI
  • CloudTrail APIs
  • AWS SDK
  • ¿Por qué usar etiquetas para CloudTrail los recursos?
• ¿Cómo se controla el acceso a? CloudTrail
• ¿Cómo registra los eventos de administración o de datos?
• ¿Cómo se registran los eventos de CloudTrail Insights?
• ¿Cómo se ejecutan consultas complejas sobre los eventos registrados por CloudTrail?
• ¿Cómo se realiza la supervisión CloudTrail?
  • CloudWatch Registros EventBridge, y CloudTrail
• ¿Cómo se CloudTrail comporta a nivel regional y global?
  • ¿Cuáles son las ventajas de aplicar un registro de seguimiento a todas las regiones?
  • ¿Qué sucede cuando se aplica un registro de seguimiento a todas las regiones?
  • Varios registros de seguimiento por región
  • AWS Security Token Service y CloudTrail
• Eventos de servicios globales
• ¿Cómo CloudTrail se relaciona con otros servicios AWS de supervisión?
• Soluciones de socios

¿Qué son los CloudTrail eventos?

Un evento en CloudTrail es el registro de una actividad en una AWS cuenta. Esta actividad puede ser una acción realizada por una identidad de IAM o un servicio que pueda supervisarse. CloudTrail CloudTraillos eventos proporcionan un historial de la actividad de las cuentas API y ajenas a la API realizada a través de los AWS SDK AWS Management Console, las herramientas de línea de comandos y otros servicios. AWS Hay tres tipos de eventos que se pueden iniciar sesión CloudTrail: eventos de administración, eventos de datos y eventos de CloudTrail Insights. De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos registran los eventos de administración, pero no los eventos de datos o de Insights.

Todos los tipos de eventos utilizan un formato de registro CloudTrail JSON.

Para obtener información sobre la Servicios de AWS integración con CloudTrail, consulteAWS temas de servicio para CloudTrail.

¿Qué son los eventos de administración?

Los eventos de administración proporcionan información sobre las operaciones de administración que se realizan en los recursos de su AWS cuenta. Se denominan también operaciones del plano de control.

Algunos ejemplos de eventos de administración son los siguientes:

• Configurar la seguridad (por ejemplo, las operaciones AWS Identity and Access Management AttachRolePolicy de la API).

• Registro de dispositivos (por ejemplo, operaciones de la API CreateDefaultVpc de Amazon EC2).

• Configuración de reglas para el enrutamiento de datos (por ejemplo, operaciones de la API CreateSubnet de Amazon EC2).

• Configurar el registro (por ejemplo, las operaciones AWS CloudTrail CreateTrail de la API).

Los eventos de administración también pueden incluir eventos no generados por la API que se producen en su cuenta. Por ejemplo, cuando un usuario inicia sesión en tu cuenta, CloudTrail registra el ConsoleLogin evento. Para obtener más información, consulte Eventos no generados por la API capturados por CloudTrail. Para obtener una lista de los eventos de administración que CloudTrail registran los AWS servicios, consulteCloudTrail servicios e integraciones compatibles.

¿Qué son los eventos de datos?

Los eventos de datos proporcionan información sobre las operaciones realizadas en un recurso o dentro de él. Se denominan también operaciones del plano de datos. Los eventos de datos suelen ser actividades de gran volumen.

Algunos ejemplos de eventos de datos son los siguientes:

• Actividad de la API en cuanto a objetos de Amazon S3 (por ejemplo, las operaciones GetObject, DeleteObject y PutObject de la API) en buckets y objetos en buckets.

• AWS Lambda actividad de ejecución de funciones (la Invoke API).

• CloudTrail PutAuditEventsactividad en un canal de CloudTrail Lake que se utiliza para registrar eventos del exterior AWS.

• Operaciones de la API Publish y PublishBatch de Amazon SNS sobre temas.

En la siguiente tabla, se muestran los tipos de eventos de datos disponibles para los registros de seguimiento y los almacenes de datos de eventos. En la columna Tipo de evento de datos (consola), se muestra la selección adecuada en la consola. La columna de valores resources.type muestra el resources.type valor que deberías especificar para incluir eventos de datos de ese tipo en tu almacén de datos de rutas o eventos mediante las AWS CLI API o. CloudTrail

En el caso de los registros de seguimiento, puede utilizar selectores de eventos básicos o avanzados para registrar eventos de datos para buckets de Amazon S3 y objetos de bucket, funciones de Lambda y tablas de DynamoDB (se muestran en las tres primeras filas de la tabla). Solo puede usar selectores de eventos avanzados para registrar los tipos de eventos de datos que se muestran en las filas restantes.

En el caso de los almacenes de datos de eventos, puede utilizar selectores de eventos avanzados para que se incluyan eventos de datos únicamente.

AWS servicio	Descripción	Tipo de evento de datos (consola)	resources.type value
Amazon DynamoDB	Actividad de la API a nivel de objeto de Amazon DynamoDB en las tablas (por ejemplo PutItemDeleteItem, y las operaciones de la API). UpdateItem nota Para las tablas con flujos habilitados, el campo resources del evento de datos contiene AWS::DynamoDB::Stream y AWS::DynamoDB::Table. Si especifica AWS::DynamoDB::Table como resources.type, registrará tanto los eventos de la tabla de DynamoDB como los de los flujos de DynamoDB de forma predeterminada. Para excluir los eventos de streaming, añada un filtro en el campo. eventName	DynamoDB	AWS::DynamoDB::Table
AWS Lambda	AWS Lambda actividad de ejecución de funciones (la Invoke API).	Lambda	AWS::Lambda::Function
Amazon S3	Actividad de la API en cuanto a objetos de Amazon S3 (por ejemplo, las operaciones GetObject, DeleteObject y PutObject de la API) en buckets y objetos en buckets.	S3	AWS::S3::Object
AWS AppConfig	AWS AppConfig Actividad de la API para operaciones de configuración, como las llamadas a StartConfigurationSession yGetLatestConfiguration.	AWS AppConfig	AWS::AppConfig::Configuration
AWS Intercambio de datos B2B	Actividad de la API de intercambio de datos entre empresas para operaciones de Transformer, como las llamadas a GetTransformerJob y StartTransformerJob.	Intercambio de datos entre empresas	AWS::B2BI::Transformer
Amazon Bedrock	Actividad de la API de Amazon Bedrock en un alias de agente.	Alias de agente de Bedrock	AWS::Bedrock::AgentAlias
	Actividad de la API de Amazon Bedrock en una base de conocimientos.	Base de conocimientos de Bedrock	AWS::Bedrock::KnowledgeBase
Amazon CloudFront	CloudFront Actividad de la API en un KeyValueStore.	CloudFront KeyValueStore	AWS::CloudFront::KeyValueStore
AWS Cloud Map	AWS Cloud Map Actividad de la API en un espacio de nombres.	AWS Cloud Map namespace	AWS::ServiceDiscovery::Namespace
	AWS Cloud Map Actividad de la API en un servicio.	AWS Cloud Map service	AWS::ServiceDiscovery::Service
AWS CloudTrail	CloudTrail PutAuditEventsactividad en un canal de CloudTrail Lake que se utiliza para registrar eventos externos AWS.	CloudTrail	AWS::CloudTrail::Channel
Amazon CodeWhisperer	Actividad CodeWhisperer de la API de Amazon en una personalización.	CodeWhisperer personalización	AWS::CodeWhisperer::Customization
	Actividad CodeWhisperer de la API de Amazon en un perfil.	CodeWhisperer	AWS::CodeWhisperer::Profile
Amazon Cognito	Actividad de la API de Amazon Cognito en los grupos de identidades de Amazon Cognito.	Grupos de identidades de Cognito	AWS::Cognito::IdentityPool
Amazon DynamoDB	Actividad de la API de Amazon DynamoDB en los flujos.	DynamoDB Streams	AWS::DynamoDB::Stream
Amazon Elastic Block Store	API directas de Amazon Elastic Block Store (EBS), como PutSnapshotBlock, GetSnapshotBlock y ListChangedBlocks en instantáneas de Amazon EBS.	API directas de Amazon EBS	AWS::EC2::Snapshot
Amazon EMR	Actividad de la API de Amazon EMR en un espacio de trabajo de registros de escritura anticipada.	Espacio de trabajo de registro de escritura anticipada de EMR	AWS::EMRWAL::Workspace
Amazon FinSpace	Actividad de la API de Amazon FinSpace en entornos.	FinSpace	AWS::FinSpace::Environment
AWS Glue	AWS Glue Actividad de la API en tablas creadas por Lake Formation. nota AWS Glue Los eventos de datos para tablas actualmente solo se admiten en las siguientes regiones: Este de EE. UU. (Norte de Virginia) Este de EE. UU. (Ohio) Oeste de EE. UU. (Oregón) Europa (Irlanda) Región de Asia-Pacífico (Tokio)	Lake Formation	AWS::Glue::Table
Amazon GuardDuty	Actividad GuardDuty de la API de Amazon para un detector.	GuardDuty detector	AWS::GuardDuty::Detector
AWS HealthImaging	AWS HealthImaging Actividad de la API en los almacenes de datos.	Almacén de datos de imágenes médicas	AWS::MedicalImaging::Datastore
AWS IoT	AWS IoT Actividad de la API en los certificados.	Certificado IoT	AWS::IoT::Certificate
	AWS IoT Actividad de la API en las cosas.	Cosa de IoT	AWS::IoT::Thing
AWS IoT Greengrass Version 2	Actividad de la API de Greengrass desde un dispositivo principal de Greengrass en una versión de componentes. nota Greengrass no registra los eventos de acceso denegado.	Versión del componente IoT Greengrass	AWS::GreengrassV2::ComponentVersion
	Actividad de la API de Greengrass desde un dispositivo principal de Greengrass en una implementación. nota Greengrass no registra los eventos de acceso denegado.	Despliegue de IoT Greengrass	AWS::GreengrassV2::Deployment
AWS IoT SiteWise	Actividad de SiteWise la API de IoT en los activos.	SiteWise Activo de IoT	AWS::IoTSiteWise::Asset
	Actividad SiteWise de la API de IoT en series temporales.	Series SiteWise temporales de IoT	AWS::IoTSiteWise::TimeSeries
AWS IoT TwinMaker	Actividad TwinMaker de la API de IoT en una entidad.	TwinMaker Entidad de IoT	AWS::IoTTwinMaker::Entity
	Actividad de TwinMaker la API de IoT en un espacio de trabajo.	TwinMaker Espacio de trabajo de IoT	AWS::IoTTwinMaker::Workspace
Clasificación de Amazon Kendra Intelligent	Actividad de la API de Amazon Kendra Intelligent Ranking en los planes de ejecución de nuevas puntuaciones.	Kendra Ranking	AWS::KendraRanking::ExecutionPlan
Amazon Keyspaces (para Apache Cassandra)	Actividad de la API de Amazon Keyspaces en una tabla.	Mesa Cassandra	AWS::Cassandra::Table
Amazon Kinesis	Actividad de la API de Amazon Kinesis en transmisiones de video, como llamadas a GetMedia y PutMedia.	Kinesis Video Streams	AWS::KinesisVideo::Stream
Amazon Managed Blockchain	Actividad de la API de Amazon Managed Blockchain en una red.	Red de Managed Blockchain	AWS::ManagedBlockchain::Network
	Llamadas JSON-RPC de Amazon Managed Blockchain en nodos de Ethereum, como eth_getBalance o eth_getBlockByNumber.	Managed Blockchain	AWS::ManagedBlockchain::Node
Gráfico de Amazon Neptune	Actividades de la API de datos, por ejemplo, consultas, algoritmos o búsquedas vectoriales, en un gráfico de Neptune.	Gráfico de Neptune	AWS::NeptuneGraph::Graph
AWS Private CA	AWS Private CA Conector para la actividad de la API de Active Directory.	AWS Private CA Conector para Active Directory	AWS::PCAConnectorAD::Connector
Amazon Q Business	Actividad de la API de Amazon Q Business en una aplicación.	Aplicación de Amazon Q Business	AWS::QBusiness::Application
	Actividad de la API de Amazon Q Business en un origen de datos.	Origen de datos de Amazon Q Business	AWS::QBusiness::DataSource
	Actividad de la API de Amazon Q Business en un índice.	Índice de Amazon Q Business	AWS::QBusiness::Index
	Actividad de la API de Amazon Q Business en una experiencia web.	Experiencia web de Amazon Q Business	AWS::QBusiness::WebExperience
Amazon RDS	Actividad de la API de Amazon RDS en un clúster de base de datos.	API de datos de RDS: clúster de base de datos	AWS::RDS::DBCluster
Amazon S3	Actividad de la API de Amazon S3 en los puntos de acceso.	Punto de acceso de S3	AWS::S3::AccessPoint
	Actividad de la API en los puntos de acceso de Amazon S3 Object Lambda, como las llamadas a CompleteMultipartUpload y GetObject.	S3 Object Lambda	AWS::S3ObjectLambda::AccessPoint
Amazon S3 en Outposts	Actividad de la API en cuanto a objetos de Amazon S3 en Outposts.	S3 Outposts	AWS::S3Outposts::Object
Amazon SageMaker	SageMaker InvokeEndpointWithResponseStreamActividad de Amazon en los puntos finales.	SageMaker punto final	AWS::SageMaker::Endpoint
	Actividad SageMaker de la API de Amazon en tiendas destacadas.	SageMaker feature store	AWS::SageMaker::FeatureGroup
	Actividad de la SageMaker API de Amazon en componentes de prueba de experimentos.	SageMaker métricas (componente de prueba de experimentos)	AWS::SageMaker::ExperimentTrialComponent
Amazon SNS	Operaciones de la API Publish de Amazon SNS en los puntos de conexión de la plataforma.	Punto de conexión de la plataforma de SNS	AWS::SNS::PlatformEndpoint
	Operaciones de la API Publish y PublishBatch de Amazon SNS sobre temas.	Tema de SNS	AWS::SNS::Topic
Amazon SQS	Actividad de la API de Amazon SQS en los mensajes.	SQS	AWS::SQS::Queue
AWS Supply Chain	AWS Supply Chain Actividad de la API en una instancia.	Cadena de suministro	AWS::SCN::Instance
Amazon SWF	Actividad de la API Amazon SWF en los dominios.	Dominio SWF	AWS::SWF::Domain
AWS Systems Manager	Actividad de la API de Systems Manager en los canales de control.	Systems Manager	AWS::SSMMessages::ControlChannel
	Actividad de la API de Systems Manager en los nodos gestionados.	Nodo gestionado por Systems Manager	AWS::SSM::ManagedNode
Amazon Timestream	Actividad de la API Query de Amazon Timestream en las bases de datos.	Base de datos de Timestream	AWS::Timestream::Database
	Actividad de la API Query de Amazon Timestream en las tablas.	Tabla de Timestream	AWS::Timestream::Table
Amazon Verified Permissions	Actividad de la API de Amazon Verified Permissions en un almacén de políticas.	Amazon Verified Permissions	AWS::VerifiedPermissions::PolicyStore
Amazon WorkSpaces Thin Client	WorkSpaces Actividad de la API de Thin Client en un dispositivo.	Dispositivo de cliente ligero	AWS::ThinClient::Device
	WorkSpaces Actividad de la API de Thin Client en un entorno.	Entorno de cliente ligero	AWS::ThinClient::Environment
AWS X-Ray	Actividad de la API X-Ray en las trazas.	Rastro de rayos X	AWS::XRay::Trace

El registro de los eventos de datos está deshabilitado de forma predeterminada cuando crea un registro de seguimiento o un almacén de datos de eventos. Para registrar CloudTrail los eventos de datos, debe añadir de forma explícita los recursos o tipos de recursos compatibles para los que desea recopilar la actividad. Para más información, consulte Creación de un registro de seguimiento y Cree un banco de datos de CloudTrail eventos para eventos.

Se aplican cargos adicionales para registrar eventos de datos. Para CloudTrail conocer los precios, consulte AWS CloudTrail Precios.

¿Qué son los eventos de Insights?

CloudTrail Los eventos de Insights capturan la actividad inusual de la tasa de llamadas a la API o la tasa de errores en su AWS cuenta mediante el análisis CloudTrail de la actividad de administración. Los eventos de Insights proporcionan información relevante, como la API asociada, el código de error, la hora del incidente y las estadísticas, que lo ayuda a conocer la actividad inusual y actuar en consecuencia. A diferencia de otros tipos de eventos que se capturan en un CloudTrail registro o un banco de datos de eventos, los eventos de Insights solo se registran cuando CloudTrail detecta cambios en el uso de la API de su cuenta o en el registro de la tasa de errores que difieren significativamente de los patrones de uso típicos de la cuenta.

Entre los ejemplos de actividad que podrían generar los eventos de Insights se incluyen los siguientes:

• Por lo general, su cuenta registra no más de 20 llamadas a la API deleteBucket de Amazon S3 por minuto, pero comienza a registrar un promedio de 100 llamadas a la API deleteBucket por minuto. Se registra un evento de Insights al inicio de la actividad inusual y se registra otro evento de Insights para marcar el final de la actividad inusual.

• Por lo general, su cuenta registra 20 llamadas por minuto a la API AuthorizeSecurityGroupIngress de Amazon EC2, pero comienza a registrar cero llamadas a AuthorizeSecurityGroupIngress. Un evento de Insights se registra al inicio de la actividad inusual y diez minutos más tarde, cuando finaliza la actividad inusual, se registra otro evento de Insights para marcar el final de la actividad inusual.

• Normalmente, su cuenta registra menos de uno error AccessDeniedException en un periodo de siete días en la API AWS Identity and Access Management , DeleteInstanceProfile. Su cuenta comienza a registrar un promedio de 12 errores AccessDeniedException por minuto en la llamada a la API DeleteInstanceProfile. Se registra un evento de Insights al inicio de la actividad de tasa de error inusual y se registra otro evento de Insights para marcar el final de la actividad inusual.

Estos ejemplos se ofrecen únicamente con fines ilustrativos. Sus resultados pueden variar según su caso de uso.

Para registrar los eventos de CloudTrail Insights, debes habilitar explícitamente los eventos de Insights en un banco de datos de eventos o seguimiento nuevo o existente. Para obtener más información acerca de la creación de un registro de seguimiento, consulte Creación de un registro de seguimiento. Para obtener más información acerca de la creación de un almacén de datos de eventos, consulte Cree un banco de datos de eventos para los eventos de CloudTrail Insights.

Se aplican cargos adicionales por los eventos de Insights. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para obtener más información, consulte AWS CloudTrail Precios.

¿Cómo puedo ver eventos de Insights para los registros de seguimiento y los almacenes de datos de eventos?

CloudTrail admite los eventos de Insights tanto para los senderos como para los almacenes de datos de eventos; sin embargo, existen algunas diferencias en la forma de ver y acceder a los eventos de Insights.

Visualización de eventos de Insights para registros de seguimiento

Si tienes activados los eventos de Insights en una ruta y CloudTrail detecta una actividad inusual, los eventos de Insights se registran en una carpeta o prefijo diferente en el depósito de S3 de destino de tu ruta. También puede ver el tipo de información y el período de tiempo del incidente al ver los eventos de Insights en la CloudTrail consola. Para obtener más información, consulte Visualizar eventos de CloudTrail Insights para registros de seguimiento en la consola de CloudTrail.

Visualización de eventos de Insights para los almacenes de datos de eventos

Para registrar los eventos de Insights en CloudTrail Lake, necesita un almacén de datos de eventos de destino que registre los eventos de Insights y un banco de datos de eventos de origen que habilite Insights y registre los eventos de administración. Para obtener más información, consulte Cree un banco de datos de eventos para los eventos de CloudTrail Insights.

Si tiene CloudTrail Insights activado en un banco de datos de eventos de origen y CloudTrail detecta actividades inusuales, CloudTrail envía los eventos de Insights al banco de datos de eventos de destino. A continuación, puede consultar el almacén de datos de eventos de destino para obtener información sobre sus eventos de Insights y, de forma opcional, puede guardar los resultados de las consultas en un bucket de Amazon S3. Para más información, consulte Creación o edición de una consulta y Visualización de consultas de ejemplo en la consola de CloudTrail.

Puedes ver el panel de control de CloudTrail Lake para visualizar los eventos de Insights en el banco de datos de eventos de tu destino. Para obtener más información acerca de los paneles de Lake, consulte Ver los paneles de Lake.

¿Qué es el historial de CloudTrail eventos?

CloudTrail el historial de eventos proporciona un registro visible, buscable, descargable e inmutable de los últimos 90 días de eventos de CloudTrail gestión en un. Región de AWS Puedes usar este historial para ver las acciones realizadas en tu AWS cuenta en los AWS SDK AWS Management Console, las herramientas de línea de comandos y otros servicios. AWS Puedes personalizar la vista del historial de eventos en la CloudTrail consola seleccionando las columnas que se muestran. Para obtener más información, consulte Trabajar con el historial de CloudTrail eventos.

¿Qué son los registros de seguimiento?

Una ruta es una configuración que permite la entrega de CloudTrail eventos a un bucket de Amazon S3, a CloudWatch Logs y a Amazon EventBridge. Puede utilizar un registro para filtrar los CloudTrail eventos que desea que se envíen, cifrar los archivos de registro de CloudTrail eventos con una AWS KMS clave y configurar las notificaciones de Amazon SNS para la entrega de los archivos de registro. Para obtener más información acerca de cómo crear y administrar un registro de seguimiento, consulte Creación de un registro de seguimiento para su Cuenta de AWS.

¿Qué son los registros de seguimiento de organización?

Un registro de la organización es una configuración que permite enviar CloudTrail eventos de la cuenta de administración y de todas las cuentas de los miembros de una AWS Organizations organización al mismo bucket de Amazon S3, a los mismos CloudWatch registros y a Amazon EventBridge. La creación de un registro de seguimiento de organización lo ayuda a definir una estrategia uniforme de registro de eventos para su organización.

Todos los registros organizativos creados con la consola son registros organizativos multirregionales que registran los eventos de las cuentas Regiones de AWS habilitadas de cada miembro de la organización. Para registrar los eventos en todas las AWS particiones de su organización, cree un registro de organización multirregional en cada partición. Puede crear un registro organizativo de una sola región o de varias regiones mediante el. AWS CLI Si crea un sendero de una sola región, registrará la actividad únicamente en el sendero Región de AWS (también denominado región de origen).

Aunque la mayoría Regiones de AWS están habilitadas de forma predeterminada Cuenta de AWS, debes habilitar manualmente determinadas regiones (también denominadas regiones de suscripción). Para obtener información sobre qué regiones están habilitadas de forma predeterminada, consulte Consideraciones antes de habilitar o deshabilitar las regiones en la Guía de AWS Account Management referencia. Para ver la lista de regiones CloudTrail compatibles, consulteCloudTrail regiones compatibles.

Cuando crea un registro de la organización, se crea una copia del registro con el nombre que le dé en las cuentas de los miembros que pertenecen a su organización.

• Si el registro de la organización es para una sola región y la región de origen de la ruta no es una región opcional, se crea una copia de la ruta en la región de origen de la ruta de la organización, en la cuenta de cada miembro.

• Si el registro de la organización es para una región única y la región de origen del sendero es una región opcional, se crea una copia del registro en la región de origen del sendero de la organización, en las cuentas de los miembros que han habilitado esa región.

• Si la ruta organizativa es multirregional y la región de origen de la ruta no es una región opcional, se crea una copia de la ruta en cada una de las cuentas habilitadas Región de AWS en cada cuenta de miembro. Cuando la cuenta de un miembro habilita una región opcional, se crea una copia del recorrido multiregional en la región que acaba de registrarse para la cuenta del miembro una vez que se haya completado la activación de esa región.

• Si el registro de la organización es multirregional y la región de origen es una región opcional, las cuentas de los miembros no enviarán la actividad al registro de la organización a menos que opten por hacerlo en el Región de AWS lugar en el que se creó el registro multirregional. Por ejemplo, si creas una ruta multirregional y eliges la región de Europa (España) como región de origen de la ruta, solo las cuentas de los miembros que hayan habilitado la región de Europa (España) en su cuenta enviarán la actividad de su cuenta a la ruta de la organización.

nota

CloudTrail crea registros organizativos en las cuentas de los miembros incluso si se produce un error en la validación de un recurso. Entre los ejemplos de errores de validación se incluyen los siguientes:

• una política de bucket de Amazon S3 incorrecta

• una política de temas de Amazon SNS incorrecta

• incapacidad para realizar la entrega a un CloudWatch grupo de registros

• permiso insuficiente para cifrar mediante una clave KMS

Una cuenta de miembro con CloudTrail permisos puede ver cualquier error de validación del registro de una organización consultando la página de detalles del registro en la CloudTrail consola o ejecutando el AWS CLI get-trail-statuscomando.

Los usuarios con CloudTrail permisos en las cuentas de los miembros podrán ver los registros de la organización (incluido el ARN de la ruta) cuando inicien sesión en la AWS CloudTrail consola desde sus AWS cuentas o cuando ejecuten AWS CLI comandos como describe-trails (aunque las cuentas de los miembros deben usar el ARN para el registro de la organización y no el nombre cuando usen el). AWS CLI Sin embargo, los usuarios de las cuentas de los miembros no tendrán permisos suficientes para eliminar los registros de la organización, activar o desactivar el inicio de sesión, cambiar los tipos de eventos que se registran o alterar de algún modo los registros de la organización. Para obtener más información sobre AWS Organizations, consulte Terminología y conceptos de Organizations. Para obtener más información acerca de la creación y el uso de registros de seguimiento de organización, consulte Creación de un registro de seguimiento para una organización.

¿Cómo se gestiona CloudTrail?

CloudTrail consola

Puede utilizar y gestionar el servicio con la AWS CloudTrail consola. La consola proporciona una interfaz de usuario para realizar muchas CloudTrail tareas, tales como:

• Ver los eventos recientes y el historial de eventos de tu AWS cuenta.

• Descarga de un archivo filtrado o completo de los últimos 90 días de eventos administración.

• Creación y edición de CloudTrail rutas.

• Creación y edición de almacenes de datos de eventos de CloudTrail Lake.

• Ejecución de consultas en almacenes de datos de eventos

• Configuración de CloudTrail senderos, que incluyen:

  • Selección de un bucket de Amazon S3 para registros de seguimiento

  • Establecer un prefijo.

  • Configuración de la entrega a CloudWatch Logs.

  • Uso de AWS KMS claves para cifrar los datos de los senderos.

  • Habilitación de las notificaciones de Amazon SNS para el envío de archivos de registros a registros de seguimiento

  • Agregar y administrar etiquetas para los registros de seguimiento.

• Configuración de los almacenes de datos de eventos de CloudTrail Lake, que incluyen:

  • Integrar los almacenes de datos de eventos con CloudTrail socios o con sus propias aplicaciones para registrar eventos de fuentes externas AWS.

  • Uso de AWS KMS claves para cifrar los datos del almacén de datos de eventos.

  • Agregar y administrar etiquetas para sus almacenes de datos de eventos.

A partir del 12 de abril de 2019, los senderos solo se podrán ver en AWS las regiones en las que se registren los eventos. Si creáis un registro que registre los eventos en todas AWS las regiones, aparecerá en la consola en todas AWS las regiones. Si creas un registro que solo registre los eventos en una sola AWS región, solo podrás verlo y administrarlo en esa AWS región.

Para obtener más información sobre el AWS Management Console, consulte AWS Management Console.

CloudTrail CLI

AWS Command Line Interface Es una herramienta unificada con la que puede interactuar CloudTrail desde la línea de comandos. Para más información, consulte la Guía del usuario de AWS Command Line Interface. Para obtener una lista completa de los comandos de CloudTrail CLI, consulte Comandos disponibles.

CloudTrail APIs

Además de la consola y la CLI, también puede utilizar las API CloudTrail RESTful para programar CloudTrail directamente. Para obtener más información, consulte la Referencia de la API de AWS CloudTrail.

AWS SDK

Como alternativa al uso de la CloudTrail API, puedes usar uno de los AWS SDK. Cada SDK se compone de bibliotecas y código de muestra para diversos lenguajes de programación y plataformas. Los SDK proporcionan una forma cómoda de crear un acceso programático a. CloudTrail Por ejemplo, puede usar los SDK para firmar solicitudes criptográficamente, gestionar los errores y reintentar las solicitudes de forma automática. A fin de obtener más información, consulte la página de Herramientas para Amazon Web Services.

¿Por qué usar etiquetas para CloudTrail los recursos?

Una etiqueta es una clave definida por el cliente y un valor opcional que se puede asignar a AWS recursos, como CloudTrail rutas, almacenes de datos de eventos y canales, depósitos de Amazon S3 utilizados para almacenar archivos de CloudTrail registro, AWS Organizations organizaciones y unidades organizativas, y muchos más. Si agrega las mismas etiquetas a los registros de seguimiento y a los buckets de Amazon S3 que utiliza para almacenar los archivos de registros de los registros de seguimiento, puede hacer que sea más sencillo administrar, buscar y filtrar estos recursos con AWS Resource Groups. Puede implementar estrategias de etiquetado que le ayuden a encontrar y administrar los recursos de forma sencilla, coherente y eficaz. Para obtener más información, consulte Estrategias de etiquetado de AWS.

¿Cómo se controla el acceso a? CloudTrail

AWS Identity and Access Management es un servicio web que permite a los clientes de Amazon Web Services (AWS) controlar de forma segura el acceso a AWS los recursos. Con IAM, puede gestionar de forma centralizada los permisos que controlan a qué CloudTrail recursos pueden acceder los usuarios. Para obtener más información acerca del control de los permisos de usuario, consulte Controlar los permisos de usuario para los registros de seguimiento de CloudTrail.

¿Cómo registra los eventos de administración o de datos?

De forma predeterminada, las rutas registran los eventos de administración de tu AWS cuenta y no incluyen los eventos de datos. Puede elegir crear registros de seguimiento para que registren los eventos de datos o actualizar los existentes para que lo hagan. Solo los eventos que coincidan con la configuración de su ruta se envían a su bucket de Amazon S3 y, opcionalmente, a un grupo de CloudWatch registros de Amazon Logs. Si el evento no coincide con la configuración de un registro de seguimiento, este no registra el evento. Para obtener más información, consulte Trabajar con archivos de registros de CloudTrail.

¿Cómo se registran los eventos de CloudTrail Insights?

AWS CloudTrail Insights ayuda a AWS los usuarios a identificar y responder a volúmenes inusuales de llamadas a la API o a los errores registrados en las llamadas a la API mediante el análisis continuo CloudTrail de los eventos de administración. Un evento de Insights es un registro de niveles inusuales de actividad de API de administración write o niveles inusuales de errores devueltos en la actividad de la API de administración. De forma predeterminada, los registros y los almacenes de datos de eventos no registran los eventos de CloudTrail Insights. En la consola, puede elegir registrar eventos de Insights cuando cree o actualice un registro de seguimiento o un almacén de datos de eventos. Cuando utilizas la CloudTrail API, puedes registrar los eventos de Insights editando la configuración de un banco de datos de senderos o eventos existente con la PutInsightSelectorsAPI. Se aplican cargos adicionales por registrar los eventos de CloudTrail Insights. Para obtener más información, consulte Registro de eventos de Insights y Precios de AWS CloudTrail.

¿Cómo se ejecutan consultas complejas sobre los eventos registrados por CloudTrail?

CloudTrail Lake le permite ejecutar consultas detalladas basadas en SQL sobre sus eventos y registrar los eventos de fuentes externas AWS, incluidas las de sus propias aplicaciones y de los socios con los que están integrados. CloudTrail No necesita tener una ruta configurada en su cuenta para usar Lake. CloudTrail Los almacenes de datos de eventos son colecciones inmutables de eventos en función de criterios que se seleccionan aplicando selectores de eventos avanzados. Puede conservar los datos de eventos en un almacén de datos de eventos durante un máximo de 3653 días (unos 10 años) si elige la opción Precio de retención ampliable por un año, o hasta 2557 días (unos 7 años) si elige la opción Precio de retención de siete años. Puede guardar las consultas de Lake para utilizarlas en el futuro y ver los resultados de las consultas durante un máximo de siete días. También puedes guardar los resultados de las consultas en un depósito de Amazon Simple Storage Service. CloudTrail Lake también puede almacenar eventos de una organización AWS Organizations en un almacén de datos de eventos o eventos de varias regiones y cuentas. CloudTrail Lake forma parte de una solución de auditoría que le ayuda a realizar investigaciones de seguridad y solucionar problemas. Para obtener más información, consulte Trabajando con AWS CloudTrail Lake.

¿Cómo se realiza la supervisión CloudTrail?

CloudWatch Registros EventBridge, y CloudTrail

Amazon CloudWatch es un servicio web que recopila y realiza un seguimiento de las métricas para supervisar los recursos de Amazon Web Services (AWS) y las aplicaciones en las que se ejecuta AWS. Amazon CloudWatch Logs es una función CloudWatch que puedes usar específicamente para monitorear los datos de registro. La integración con CloudWatch Logs permite CloudTrail enviar los eventos que contienen la actividad de la API en su AWS cuenta a un grupo de CloudWatch registros de Logs. CloudTrail los eventos que se envían a CloudWatch Logs pueden activar alarmas según los filtros de métricas que definas. Si lo desea, puede configurar CloudWatch las alarmas para enviar notificaciones o realizar cambios en los recursos que está supervisando en función de los eventos del flujo de registro que extraigan los filtros de métricas. Con CloudWatch los registros, también puede realizar un seguimiento de CloudTrail los eventos junto con los eventos del sistema operativo, las aplicaciones u otros AWS servicios que se envían a CloudWatch los registros. Para obtener más información, consulte Monitoreo de archivos de registros de CloudTrail con Amazon CloudWatch Logs.

Amazon EventBridge es un AWS servicio que ofrece un flujo casi en tiempo real de los eventos del sistema que describen los cambios en AWS los recursos. En EventBridge, puede crear reglas que respondan a los eventos registrados por CloudTrail. Para obtener más información, consulta Crear una regla en Amazon EventBridge.

Puedes ofrecer eventos a los que estés suscrito EventBridge durante tu recorrido. Cuando cree una regla con la EventBridge consola, elija el tipo de AWS API Call via CloudTrail detalle para entregar los CloudTrail datos y los eventos de gestión, o el tipo de AWS Insight via CloudTrail detalle para entregar los eventos de Insights.

Para registrar eventos con un valor de detail-type AWS API Call via CloudTrail, debe tener un registro activo que registre los eventos de administración o de datos. Para obtener más información sobre cómo crear y administrar un registro de seguimiento, consulte Creación de un registro de seguimiento.

Para registrar eventos con un valor de detail-type AWS Insight via CloudTrail, debe tener un registro activo que registre los eventos de Insights. Para obtener información sobre cómo registrar eventos de Insights, consulte Registro de eventos de Insights.

¿Cómo se CloudTrail comporta a nivel regional y global?

Los registros de seguimiento se pueden aplicar a todas las regiones o a una sola. Como práctica recomendada se aconseja crear los registros de seguimiento que se aplican a todas las regiones en la partición de AWS en la que trabaja. Esta es la configuración predeterminada al crear una ruta en la CloudTrail consola.

nota

Activar una ruta significa crear una ruta e iniciar la entrega de los archivos de registro de CloudTrail eventos a un bucket de Amazon S3. En la CloudTrail consola, el registro se activa automáticamente al crear una ruta.

¿Cuáles son las ventajas de aplicar un registro de seguimiento a todas las regiones?

Un sendero que se aplique a todas AWS las regiones tiene las siguientes ventajas:

• Los valores de configuración del registro de seguimiento se aplican de forma sistemática a todas las regiones de AWS .

• Recibe los CloudTrail eventos de todas AWS las regiones en un único bucket de Amazon S3 y, de forma opcional, en un grupo de CloudWatch registros.

• Usted administra la configuración de los senderos de todas AWS las regiones desde una sola ubicación.

• Recibirás inmediatamente los eventos de una nueva AWS región. Cuando se lanza una nueva AWS región, crea CloudTrail automáticamente una copia de todas las rutas de tu región para ti en la nueva región con la misma configuración que la ruta original.

• No necesitas crear senderos en AWS regiones que no utilices con frecuencia para detectar actividades inusuales. Cualquier actividad en cualquier AWS región se registra en una ruta que se aplica a todas AWS las regiones.

¿Qué sucede cuando se aplica un registro de seguimiento a todas las regiones?

Al aplicar un sendero a todas AWS las regiones, CloudTrail utiliza el sendero que haya creado en una región concreta para crear senderos con configuraciones idénticas en todas las demás regiones de la AWS partición en la que esté trabajando.

Esto tiene las siguientes consecuencias:

• CloudTrail entrega los archivos de registro de la actividad de las cuentas de todas AWS las regiones al único depósito de Amazon S3 que especifique y, opcionalmente, a un grupo de CloudWatch registros.

• Si ha configurado un tema de Amazon SNS para la ruta, las notificaciones de SNS sobre las entregas de archivos de registro en todas las AWS regiones se envían a ese único tema de SNS.

• Si lo ha activado, la validación de la integridad de los archivos de registro estará habilitada para el registro en todas las regiones. AWS Para obtener más información, consulte Validar la integridad de los archivos de registros de CloudTrail.

Independientemente de si una ruta es multirregional o de una sola región, los eventos que se envían a Amazon EventBridge se reciben en el bus de eventos de cada región, en lugar de en un único bus de eventos.

Varios registros de seguimiento por región

Si tiene diferentes grupos de usuarios, pero que están relacionados, como desarrolladores, personal de seguridad y auditores de TI, puede crear varios registros de seguimiento en cada región. De este modo, cada grupo recibe su propia copia de los archivos de registro.

CloudTrail admite cinco rutas por región. Un sendero que se aplica a todas AWS las regiones cuenta como un sendero en cada región.

El siguiente ejemplo es una región con cinco registros de seguimiento:

• Crea dos registros de seguimiento en la región EE. UU. Oeste (Norte de California) que se aplicarán únicamente a esta región.

• Crea dos registros de seguimiento más en la región EE. UU. Oeste (Norte de California) que se aplican a todas las regiones de AWS .

• Crea un registro de seguimiento en la región Asia Pacífico (Sídney) que se aplicará a todas las regiones de AWS . Este registro de seguimiento también existe como un registro de seguimiento en la región EE. UU. Oeste (Norte de California).

Los senderos aparecen en la AWS región en la que se encuentran. Los registros de seguimiento que registran eventos en todas las regiones de AWS aparecen en cada región. Puedes ver una lista de las rutas de una AWS región en la página Rutas de la CloudTrail consola. Para obtener más información, consulte Actualización de un registro de seguimiento. Para ver CloudTrail los precios, consulta AWS CloudTrail los precios.

AWS Security Token Service y CloudTrail

AWS Security Token Service (AWS STS) es un servicio que tiene un punto final global y también es compatible con puntos finales específicos de la región. Un punto de enlace es una dirección URL que funciona como punto de entrada para solicitudes de servicios web. Por ejemplo, https://cloudtrail.us-west-2.amazonaws.com es el punto de entrada regional de EE. UU. Oeste (Oregón) para el servicio. AWS CloudTrail Los puntos de enlace regionales ayudan a reducir la latencia en sus aplicaciones.

Cuando se utiliza un punto final AWS STS específico de una región, el recorrido de esa región muestra solo los AWS STS eventos que se producen en esa región. Por ejemplo, si utilizas el punto finalsts.us-west-2.amazonaws.com, el sendero de us-west-2 muestra solo los AWS STS eventos que se originan en us-west-2. Para obtener más información sobre los puntos finales AWS STS regionales, consulte Activación y desactivación AWS STS en una AWS región en la Guía del usuario de IAM.

Para obtener una lista completa de los puntos de enlace AWS regionales, consulte AWS Regiones y puntos de enlace en la. Referencia general de AWS Para obtener información detallada sobre los puntos de enlace de AWS STS , consulte Eventos de servicios globales.

Eventos de servicios globales

importante

A partir del 22 de noviembre de 2021, se AWS CloudTrail modificó la forma en que los senderos capturan los eventos de servicio globales. Ahora, los eventos creados por Amazon CloudFront AWS STS se registran en la región en la que se crearon, la región de EE. UU. Este (Virginia del Norte), us-east-1. AWS Identity and Access Management Esto hace que la forma en que se CloudTrail tratan estos servicios sea coherente con la de otros servicios AWS globales. Para continuar recibiendo eventos de servicios globales fuera de Este de EE. UU. (Norte de Virginia), asegúrese de convertir los registros de seguimiento de una sola región con el uso de eventos de servicio globales fuera de Este de EE. UU. (Norte de Virginia) en los registros de seguimiento de varias regiones. Para obtener más información acerca de la captura de eventos de servicios globales, consulte Habilitación y desactivación del registro de eventos de servicios globales más adelante en esta sección.

Por el contrario, el historial de eventos de la CloudTrail consola y el aws cloudtrail lookup-events comando mostrarán estos eventos en el Región de AWS lugar en el que ocurrieron.

En la mayoría de los servicios, los eventos se registran en la región en la que se produjo la acción. En el caso de servicios globales como AWS Identity and Access Management (IAM) y Amazon CloudFront, los eventos se entregan en cualquier ruta que incluya servicios globales. AWS STS

En el caso de la mayoría de los servicios globales, los eventos se registran como si se produjeran en la región Este de EE. UU. (Norte de Virginia), pero algunos eventos de servicio globales se registran como si se produjeran en otras regiones, como las regiones Este de EE. UU. (Ohio) u Oeste de EE. UU. (Oregón).

Para evitar recibir eventos de servicios globales duplicados, recuerde lo siguiente:

• Los eventos de servicio global se envían de forma predeterminada a los senderos que se crean con la CloudTrail consola. Los eventos se envían al bucket del registro de seguimiento.

• Si dispone de varios registros de seguimiento para una única región, considere la posibilidad de configurarlos de forma que los eventos de servicios globales se envíen únicamente a uno de ellos. Para obtener más información, consulte Habilitación y desactivación del registro de eventos de servicios globales.

• Si cambia la configuración de un registro de seguimiento, tras pasar de registrar todas las regiones a registrar una única región, el registro de eventos de servicios globales se desactiva automáticamente para dicho registro de seguimiento. Del mismo modo, si cambia la configuración de un registro de seguimiento al pasar de registrar una única región a registrar todas las regiones, el registro de eventos de servicios globales se activa automáticamente para dicho registro de seguimiento.

  Para obtener más información sobre cómo cambiar el registro de eventos de servicios globales de un registro de seguimiento, consulte Habilitación y desactivación del registro de eventos de servicios globales.

Ejemplo:

1. Los senderos se crean en la CloudTrail consola. De forma predeterminada, este registro de seguimiento registra eventos de servicios globales.

2. Tiene múltiples registros de seguimiento de una sola región.

3. No es necesario que incluya los servicios globales para los registros de seguimiento de una sola región. Los eventos de servicios globales se envían al primer registro de seguimiento. Para obtener más información, consulte Creación, actualización y gestión de senderos con AWS Command Line Interface.

nota

Al crear o actualizar una ruta con los AWS CLI AWS SDK o la CloudTrail API, puede especificar si desea incluir o excluir los eventos de servicio global para las rutas. No puede configurar el registro de eventos de servicio global desde la CloudTrail consola.

¿Cómo CloudTrail se relaciona con otros servicios AWS de supervisión?

CloudTrail añade otra dimensión a las capacidades de monitoreo que ya ofrece AWS. No cambia ni reemplaza las funciones de registro que quizás ya esté utilizando, como las de Amazon S3 o CloudFront las suscripciones de Amazon. Amazon CloudWatch se centra en la supervisión del rendimiento y el estado del sistema. CloudTrail se centra en la actividad de las API. Aunque CloudTrail no informa sobre el rendimiento o el estado del sistema, puede CloudTrail utilizarla con CloudWatch alarmas para notificarle sobre alguna actividad que pueda interesarle.

Soluciones de socios

AWS colabora con especialistas externos en el registro y el análisis para ofrecer soluciones que utilicen los CloudTrail resultados. Para obtener más información, visite la página de CloudTrail detalles en AWS CloudTrail.