Creación de un registro de seguimiento - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de un registro de seguimiento

Siga el procedimiento para crear un registro de seguimiento que se aplique a todas las regiones. Un registro de seguimiento que se aplica a todas las regiones envía los archivos de registro de todas las regiones a un bucket de S3. Después de crear el registro de seguimiento, AWS CloudTrail comienza a registrar automáticamente los eventos que haya especificado.

nota

Después de crear un registro de seguimiento, puede configurar otros servicios de AWS para analizar en profundidad y actuar en función de los datos de eventos recopilados en los registros de CloudTrail. Para obtener más información, consulte Consulte Servicios e integraciones compatibles con CloudTrail..

En la consola, crear un registro de seguimiento que registre eventos en todas las regiones de AWSHabilitación. Este procedimiento se recomienda. Para registrar eventos en una sola región (no recomendado),Utilice la CLI de AWS.

Utilice el procedimiento siguiente si aún no ha habilitado selectores de eventos avanzados. Si tiene habilitados selectores de eventos avanzados, consulteCrear un registro de seguimiento en la consola de (selectores de eventos avanzados)para configurar el registro de eventos de datos en su rastro.

Para crear una pista de CloudTrail con AWS Management Console

  1. Inicie sesión en la consola de administración de AWS y abra la consola de CloudTrail enhttps://console.aws.amazon.com/cloudtrail/.

  2. En la página de inicio del servicio CloudTrail, elRegistros de seguimientoEn, o en elRegistros de seguimientoSección sobre de laPanelElijaCrear registro de seguimiento.

  3. En la página Create Trail, escriba el nombre del registro de seguimiento en Trail name. Para obtener más información, consulte Requisitos de nomenclatura CloudTrail.

  4. Si se trata de una pista de organización de AWS Organizations, puede optar por habilitar la pista para todas las cuentas de su organización. Solo verá esta opción si ha iniciado sesión en la consola con un usuario de IAM o rol en la cuenta de administración. Para crear correctamente un registro de seguimiento de organización, asegúrese de que el usuario o el rol tengan permisos suficientes. Para obtener más información, consulte Creación de un registro de seguimiento para una organización.

  5. EnStorage Location, elijaCreación de un bucket de S3Para crear un bucket. Cuando se crea un bucket, CloudTrail crea y aplica las políticas de buckets necesarias.

    nota

    Si eligióUso del bucket de S3 existente, especifique un depósito enNombre del depósito de registro de ra, o elijaBrowsePara elegir un bucket. La política del bucket debe conceder a CloudTrail permiso para escribir en él. Para obtener más información sobre cómo editar manualmente la política del bucket, consulte Política de bucket de Amazon S3 para CloudTrail.

    Para facilitar la búsqueda de los registros, cree una nueva carpeta (también conocida comoprefijo) en un bucket existente para almacenar los registros de CloudTrail. Introduzca el prefijo enPrefix.

  6. EnCifrado SSE-KMS de archivo de registro, elijaHabilitadoSi desea cifrar sus archivos de registro con SSE-KMS en vez de con SSE-S-S3. El valor predeterminado esHabilitado. Para obtener más información acerca de este tipo de cifrado, consulteProtección de los datos con el cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3).

    Si habilita el cifrado SSE-KMS, elija unaNewo bienEXISTClave maestra de cliente de AWS KMS. EnAlias de AWS KMS, especifique un alias, en el formatoalias/MyAliasNamePara obtener más información, consulte Actualización de un registro de seguimiento para utilizar su clave CMK..

    nota

    También puede escribir el ARN de una clave de otra cuenta. La política de claves debe permitir que CloudTrail use la clave para cifrar los archivos de registro y que los usuarios especificados lean archivos de registro en formato no cifrado. Para obtener más información sobre cómo editar manualmente la política de claves, consulte Configurar las directivas clave de AWS KMS para CloudTrail.

  7. EnAjustes adicionalesPara ello, configure lo siguiente.

    1. EnLa validación de archivos de registro, elijaHabilitadoPara que se envíen los resúmenes de archivos de registro a su bucket de S3. Puede utilizar los archivos de resumen para comprobar que sus archivos de registro no cambian después de que CloudTrail los envía. Para obtener más información, consulte Validación de la integridad de los archivos de registro de Cl.

    2. EnEntrega de notificación SNS, elijaHabilitadoPara recibir una notificación cada vez que se envíe un archivo de registro a su bucket. CloudTrail almacena varios eventos en un archivo de registro. Las notificaciones de SNS se envían para cada archivo de registro, no para cada evento. Para obtener más información, consulte Configuración de notificaciones de Amazon SNS para CloudTrail.

      Si habilita las notificaciones SNS, paraCreación de un tema de SNS, elijaNewPara crear un tema, o elijaEXISTPara usar un tema que exista. Si va a crear un registro de seguimiento que se aplica a todas las regiones, las notificaciones de SNS de los envíos de archivos de registro de todas las regiones se envían al tema de SNS que cree.

      Si eligeNew, CloudTrail especifica un nombre para el nuevo tema o puede escribir un nombre. Si eligeEXISTEn la lista desplegable elija un tema de SNS. También puede especificar el ARN de un tema de otra región o de una cuenta con los permisos adecuados. Para obtener más información, consulte Política de temas de Amazon SNS para CloudTrail.

      Si crea un tema, deberá suscribirse al tema para recibir una notificación del envío de archivos de registro. Puede suscribirse desde la consola de Amazon SNS. Debido a la frecuencia de las notificaciones, le recomendamos que configure la suscripción para que se use una cola de Amazon SQS para administrar las notificaciones mediante programación. Para obtener más información, consulte la .Amazon Simple Notification Service Getting Service Guide.

  8. Opcionalmente, configure CloudTrail para que envíe archivos de registro a CloudWatch Logs seleccionandoHabilitadoinRegistros de CloudWatch. Para obtener más información, consulte Envío de eventos a CloudWatch Logs.

    1. Si habilita la integración con CloudWatch Logs, elijaNewPara crear un nuevo grupo de registros, oEXISTPara utilizar una que ya exista. Si eligeNewCloudTrail especifica un nombre para el nuevo grupo de registros o bien puede escribir un nombre.

    2. Si eligeEXISTEn la lista desplegable elija un grupo de registros.

    3. Haga clic en .Newpara crear un nuevo rol de IAM con permisos para enviar registros a CloudWatch Logs. Haga clic en .EXISTPara seleccionar un rol de IAM existente en la lista desplegable de. La instrucción de directiva para el rol nuevo o existente se muestra al expandirDocumento de política. Para obtener más información acerca de este rol, consulte Documento de política de roles para que CloudTrail use CloudWatch Logs para el monitoreo.

      nota

      Cuando configure un registro de seguimiento, podrá elegir un bucket de S3 y un tema de SNS que pertenezcan a otra cuenta. Sin embargo, si desea que CloudTrail envíe los eventos a un grupo de archivos de CloudWatch Logs, debe elegir un grupo de archivos de registro que exista en la cuenta actual.

  9. En Tags (Etiquetas), agregue una o más etiquetas personalizadas (pares clave-valor) a su registro de seguimiento. Las etiquetas pueden ayudarle a identificar tanto los registros de seguimiento de CloudTrail de como los buckets de Amazon S3 que contienen archivos de registro de CloudTrail. A continuación, puede utilizar grupos de recursos para los recursos de CloudTrail. Para obtener más información, consulteAWS Resource Groupsy¿Por qué usar etiquetas para senderos?.

  10. En la páginaElegir eventos de registroEn, elija los tipos de eventos que desea registrar. En Management events (Eventos de administración), haga lo siguiente.

    1. EnActividad de la APIElija si desea que su registro de seguimiento registreLecturaEventos,Escrituraeventos, o ambos. Para obtener más información, consulte Eventos de administración.

    2. Haga clic en .Excluir eventos de AWS KMSPara filtrar los eventos de AWS Key Management Service (AWS KMS) fuera de su registro de seguimiento. La configuración predeterminada es incluir todos los eventos de AWS KMS.

      La opción de registrar o excluir eventos de AWS KMS solo está disponible si registra eventos de administración en su rastro. Si decide no registrar eventos de administración, los eventos de AWS KMS no se registran y no puede cambiar la configuración de registro de eventos de AWS KMS.

      Las acciones de AWS KMS, comoEncrypt,Decrypt, yGenerateDataKeyPor lo general, generan un gran volumen (más del 99%) de eventos. Estas acciones se registran ahora como eventos de lectura. Acciones relevantes de AWS KMS de bajo volumen, comoDisable,Delete, yScheduleKey(que normalmente representan menos del 0,5% del volumen de eventos de AWS KMS) se registran comoEscriturarápidamente.

      Para excluir eventos de gran volumen comoEncrypt,Decrypt, yGenerateDataKey, pero sigue registrando eventos relevantes comoDisable,DeleteyScheduleKey, elija iniciar sesiónEscrituray desactive la casilla de verificación deExcluir eventos de AWS KMS.

  11. EnEventos de datosPuede especificar los eventos de datos de registro para buckets de Amazon S3, funciones de AWS Lambda, tablas de Amazon DynamoDB o una combinación de estos tipos de recursos. De forma predeterminada, los registros de seguimiento no registran eventos de datos. Se aplican cargos adicionales por el registro de eventos de datos. Para obtener más información, consulte Eventos de datos. Para obtener información acerca de los precios de CloudTrailPrecios de AWS CloudTrail. Hay disponibles tipos de eventos de datos adicionales si utiliza selectores de eventos avanzados; para obtener más información, consulteCrear un registro de seguimiento en la consola de (selectores de eventos avanzados)En este tema.

    Para buckets de Amazon S3:

    1. EnOrigen de eventos de datos, elijaS3.

    2. Puede elegir iniciar sesiónTodos los cucharones S3 actuales y futurosO puede especificar buckets o funciones individuales. De forma predeterminada, los eventos de datos se registran para todos los depósitos S3 actuales y futuros.

      nota

      Mantener el valor predeterminadoTodos los cucharones S3 actuales y futurosLa opción habilita el registro de eventos de datos de todos los buckets que haya actualmente en la cuenta de AWS y de cualquier otro bucket que pudiera crear después de generar el registro de seguimiento. Esta opción habilita también el registro de la actividad de eventos de datos realizada por cualquier usuario o rol de su cuenta de AWS, aunque esta se realice en un bucket que pertenezca a otra cuenta de AWS.

      Si va a crear una pista para una sola región (realizada mediante la CLI de AWS), elijaTodos los cucharones S3 actuales y futurosEsta opción habilita el registro de eventos de datos de todos los buckets que estén en la misma región que el registro de seguimiento, así como de cualquier otro bucket que pudiera crear posteriormente en esa región. No registrará datos de eventos de buckets de Amazon S3 en otras regiones de su cuenta de AWS.

    3. Si deja el valor predeterminado,Todos los cucharones S3 actuales y futuros, elija iniciar sesiónLecturaEventos,Escrituraeventos, o ambos.

    4. Para seleccionar buckets individuales, vacíe elLecturayEscritura.Todos los cucharones S3 actuales y futuros. EnSelección de cucharón individualEn, busque un bucket en el que desea registrar los eventos de datos. Busque cucharones específicos escribiendo un prefijo de cucharón para el depósito que desee. Puede seleccionar varios buckets en esta ventana. Haga clic en .Añadir bucketPara registrar eventos de datos para más buckets. Elija el registro de seguimientoLecturaeventos, comoGetObject,Escrituraeventos, comoPutObject, o ambas.

      Esta configuración tiene prioridad sobre la configuración individual de cada bucket. Por ejemplo, si establece la configuración para que se registren los eventos de tipo Read de todos los buckets de S3 y posteriormente decide agregar un determinado bucket en el registro de eventos de datos, la opción Read ya aparecerá seleccionada en el bucket que agregue. Esta selección no se puede anular. Solo se puede configurar la opción Write.

      Para eliminar un depósito del registro, elijaX.

  12. Para agregar otro tipo de datos en el que registrar eventos de datos, elijaAgregar tipo de evento de datos.

  13. Para funciones de Lambda:

    1. EnOrigen de eventos de datos, elijaLambda.

    2. EnLambda function, elijaTodas las regionespara registrar todas las funciones de Lambda, oFunción de entrada como ARNPara registrar eventos de datos en una función específica.

      Para registrar eventos de datos de todas las funciones de Lambda de su cuenta de AWS, seleccioneRegistrar todas las funciones actuales y futuras. Esta configuración tiene prioridad sobre la configuración individual de cada función. Se registran todas las funciones aunque no se muestren.

      nota

      Si va a crear un registro de seguimiento para todas las regiones, esta opción habilita el registro de eventos de datos de todas las funciones que se encuentran actualmente en la cuenta de AWS, así como de cualquier función de Lambda que cree en cualquier región cuando termine de crear el registro de seguimiento. Si va a crear un registro de seguimiento para una sola región (mediante la CLI de AWS), esta opción habilita el registro de eventos de datos de todas las funciones que se encuentran actualmente en esa región en la cuenta de AWS, así como de cualquier función de Lambda que cree en esa región cuando termine de crear el registro de seguimiento. No habilita el registro de eventos de datos de funciones de Lambda creadas en otras regiones.

      El registro de eventos de datos de todas las funciones habilita también el registro de la actividad de eventos de datos realizada por cualquier usuario o rol de su cuenta de AWS, aunque esta se realice en una función que pertenezca a otra cuenta de AWS.

    3. Si eligeFunción de entrada como ARNEn, escriba el ARN de una función Lambda.

      nota

      Si tiene más de 15 000 funciones de Lambda en su cuenta, no podrá ver ni seleccionar todas las funciones en la consola de CloudTrail cuando cree un registro de seguimiento. Sí que puede seleccionar la opción para registrar todas las funciones, aunque estas no se muestren. Si desea registrar eventos de datos para funciones específicas, puede añadir manualmente una función si conoce su ARN. También puede finalizar la creación del registro de seguimiento en la consola y, a continuación, utilizar la CLI de AWS y laput-event-selectorspara configurar el registro de eventos de datos para funciones específicas de Lambda. Para obtener más información, consulte Administración de senderos con la CLI de AWS.

  14. Para tablas de DynamoDB:

    1. EnOrigen de eventos de datos, elijaDynamoDB.

    2. EnSelección de tabla de DynamoDB, elijaBrowsepara seleccionar una tabla o pegar en el ARN de una tabla de DynamoDB a la que tenga acceso. El ARN de la tabla de DynamoDB tiene el siguiente formato:

      arn:partition:dynamodb:region:account_ID:table/table_name

      Para agregar otra tabla, seleccioneAñadir filay busque una tabla o pegue en el ARN de una tabla a la que tenga acceso.

  15. Haga clic en .Eventos de InsightsSi desea que su registro de seguimiento registre eventos de CloudTrail Insights.

    EnTipo de evento, seleccioneEventos de Insights. Debe estar registrandoEscrituraEventos de administración para registrar eventos de Insights.

    CloudTrail Insights analiza la administraciónEscrituraeventos para actividades inusuales y registra eventos cuando se detectan anomalías. De forma predeterminada, los registros de seguimiento no registran eventos de Insights. Para obtener más información acerca de los eventos de Insights, consulte Registro de eventos de Insights para registros de seguimiento. Se aplican cargos adicionales por registrar eventos de Insights. Para obtener información acerca de los precios de CloudTrailPrecios de AWS CloudTrail.

    Los eventos de Insights se entregan a una carpeta diferente llamada/CloudTrail-InsightEl mismo bucket de S3 que se especifica en laStorage Locationde la página de detalles del rastro. CloudTrail crea el nuevo prefijo para usted. Por ejemplo, si el bucket de S3 de destino actual se denomina S3bucketName/AWSLogs/CloudTrail/, el nombre del bucket de S3 con un nuevo prefijo se denomina S3bucketName/AWSLogs/CloudTrail-Insight/.

  16. Cuando haya terminado de elegir los tipos de eventos para registrar, elijaSiguiente.

  17. En la páginaRevisar y crearEn la página, revise las opciones seleccionadas. Haga clic en .Edit (Editar)en una sección para cambiar la configuración del rastro que se muestra en esa sección. Cuando esté listo para crear el registro de seguimiento, elijaCrear registro de seguimiento.

  18. El nuevo registro de seguimiento aparece en la página Trails. La página Trails (Registros de seguimiento) muestra los registros de seguimiento de su cuenta de todas las regiones. En unos 15 minutos, CloudTrail publica los archivos de registro que muestran las llamadas a la API de AWS realizadas en su cuenta. Puede ver los archivos de registro del bucket de S3 especificado. La entrega del primer evento de Insights puede tardar hasta 36 horas si ha habilitado el registro de eventos de Insights y se detecta actividad inusual.

nota

CloudTrail normalmente envía registros en el plazo de unos 15 minutos tras la llamada a la API. Esta vez no se garantiza. Consulte laAcuerdo de nivel de servicios de AWS CloudTrailPara obtener más información, consulte.

En la consola, crear un registro de seguimiento que registre eventos en todas las regiones de AWS. Este procedimiento se recomienda. Para registrar eventos en una sola región (no recomendado),Utilice la CLI de AWS.

Utilice el procedimiento siguiente si ha habilitado selectores de eventos avanzados. Si prefiere utilizar selectores de eventos de datos básicos, consulteCrear un registro de seguimiento en la consola de (selectores de eventos básicos)para configurar el registro de eventos de datos en su rastro.

Para crear una pista de CloudTrail con AWS Management Console

  1. Inicie sesión en la consola de administración de AWS y abra la consola de CloudTrail enhttps://console.aws.amazon.com/cloudtrail/.

  2. En la página de inicio del servicio CloudTrail, elRegistros de seguimientoEn, o en elRegistros de seguimientoSección sobre de laPanelElija, elijaCrear registro de seguimiento.

  3. En la página Create Trail, escriba el nombre del registro de seguimiento en Trail name. Para obtener más información, consulte Requisitos de nomenclatura CloudTrail.

  4. Si se trata de una pista de organización de AWS Organizations, puede optar por habilitar la pista para todas las cuentas de su organización. Solo verá esta opción si ha iniciado sesión en la consola con un usuario de IAM o rol en la cuenta de administración. Para crear correctamente un registro de seguimiento de organización, asegúrese de que el usuario o el rol tengan permisos suficientes. Para obtener más información, consulte Creación de un registro de seguimiento para una organización.

  5. EnStorage Location, elijaCreación de un bucket de S3Para crear un bucket. Cuando se crea un bucket, CloudTrail crea y aplica las políticas de buckets necesarias.

    nota

    Si eligióUso del bucket de S3 existente, especifique un depósito enNombre del depósito de registro de ra, o elijaBrowsePara elegir un bucket. La política del bucket debe conceder a CloudTrail permiso para escribir en él. Para obtener más información sobre cómo editar manualmente la política del bucket, consulte Política de bucket de Amazon S3 para CloudTrail.

    Para facilitar la búsqueda de los registros, cree una nueva carpeta (también conocida comoprefijo) en un bucket existente para almacenar los registros de CloudTrail. Introduzca el prefijo enPrefix.

  6. EnCifrado SSE-KMS de archivo de registro, elijaHabilitadoSi desea cifrar sus archivos de registro con SSE-KMS en vez de con SSE-S-S3. El valor predeterminado esHabilitado. Para obtener más información acerca de este tipo de cifrado, consulteProtección de los datos con el cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3).

    Si habilita el cifrado SSE-KMS, elija unaNewo bienEXISTClave maestra de cliente de AWS KMS. EnAlias de AWS KMS, especifique un alias, en el formatoalias/MyAliasNamePara obtener más información, consulte Actualización de un registro de seguimiento para utilizar su clave CMK..

    nota

    También puede escribir el ARN de una clave de otra cuenta. Para obtener más información, consulte Actualización de un registro de seguimiento para utilizar su clave CMK. La política de claves debe permitir que CloudTrail use la clave para cifrar los archivos de registro y que los usuarios especificados lean archivos de registro en formato no cifrado. Para obtener más información sobre cómo editar manualmente la política de claves, consulte Configurar las directivas clave de AWS KMS para CloudTrail.

  7. EnAjustes adicionalesPara ello, configure lo siguiente.

    1. EnLa validación de archivos de registro, elijaHabilitadoPara que se envíen los resúmenes de archivos de registro a su bucket de S3. Puede utilizar los archivos de resumen para comprobar que sus archivos de registro no cambian después de que CloudTrail los envía. Para obtener más información, consulte Validación de la integridad de los archivos de registro de Cl.

    2. EnEntrega de notificación SNS, elijaHabilitadoPara recibir una notificación cada vez que se envíe un archivo de registro a su bucket. CloudTrail almacena varios eventos en un archivo de registro. Las notificaciones de SNS se envían para cada archivo de registro, no para cada evento. Para obtener más información, consulte Configuración de notificaciones de Amazon SNS para CloudTrail.

      Si habilita las notificaciones SNS, paraCreación de un tema de SNS, elijaNewPara crear un tema, o elijaEXISTPara usar un tema que exista. Si va a crear un registro de seguimiento que se aplica a todas las regiones, las notificaciones de SNS de los envíos de archivos de registro de todas las regiones se envían al tema de SNS que cree.

      Si eligeNew, CloudTrail especifica un nombre para el nuevo tema o puede escribir un nombre. Si eligeEXISTEn la lista desplegable elija un tema de SNS. También puede especificar el ARN de un tema de otra región o de una cuenta con los permisos adecuados. Para obtener más información, consulte Política de temas de Amazon SNS para CloudTrail.

      Si crea un tema, deberá suscribirse al tema para recibir una notificación del envío de archivos de registro. Puede suscribirse desde la consola de Amazon SNS. Debido a la frecuencia de las notificaciones, le recomendamos que configure la suscripción para que se use una cola de Amazon SQS para administrar las notificaciones mediante programación. Para obtener más información, consulte la .Amazon Simple Notification Service Getting Service Guide.

  8. Opcionalmente, configure CloudTrail para que envíe archivos de registro a CloudWatch Logs seleccionandoHabilitadoinRegistros de CloudWatch. Para obtener más información, consulte Envío de eventos a CloudWatch Logs.

    1. Si habilita la integración con CloudWatch Logs, elijaNewPara crear un nuevo grupo de registros, oEXISTPara utilizar una que ya exista. Si eligeNewCloudTrail especifica un nombre para el nuevo grupo de registros o bien puede escribir un nombre.

    2. Si eligeEXISTEn la lista desplegable elija un grupo de registros.

    3. Haga clic en .Newpara crear un nuevo rol de IAM con permisos para enviar registros a CloudWatch Logs. Haga clic en .EXISTPara seleccionar un rol de IAM existente en la lista desplegable de. La instrucción de directiva para el rol nuevo o existente se muestra al expandirDocumento de política. Para obtener más información acerca de este rol, consulte Documento de política de roles para que CloudTrail use CloudWatch Logs para el monitoreo.

      nota

      Cuando configure un registro de seguimiento, podrá elegir un bucket de S3 y un tema de SNS que pertenezcan a otra cuenta. Sin embargo, si desea que CloudTrail envíe los eventos a un grupo de archivos de CloudWatch Logs, debe elegir un grupo de archivos de registro que exista en la cuenta actual.

  9. En Tags (Etiquetas), agregue una o más etiquetas personalizadas (pares clave-valor) a su registro de seguimiento. Las etiquetas pueden ayudarle a identificar tanto los registros de seguimiento de CloudTrail de como los buckets de Amazon S3 que contienen archivos de registro de CloudTrail. A continuación, puede utilizar grupos de recursos para los recursos de CloudTrail. Para obtener más información, consulteAWS Resource Groupsy¿Por qué usar etiquetas para senderos?.

  10. En la páginaElegir eventos de registroEn, elija los tipos de eventos que desea registrar. En Management events (Eventos de administración), haga lo siguiente.

    1. EnActividad de la APIElija si desea que su registro de seguimiento registreLecturaEventos,Escrituraeventos, o ambos. Para obtener más información, consulte Eventos de administración.

    2. Haga clic en .Excluir eventos de AWS KMSPara filtrar los eventos de AWS Key Management Service (AWS KMS) fuera de su registro de seguimiento. La configuración predeterminada es incluir todos los eventos de AWS KMS.

      La opción de registrar o excluir eventos de AWS KMS solo está disponible si registra eventos de administración en su rastro. Si decide no registrar eventos de administración, los eventos de AWS KMS no se registran y no puede cambiar la configuración de registro de eventos de AWS KMS.

      Las acciones de AWS KMS, comoEncrypt,Decrypt, yGenerateDataKeyPor lo general, generan un gran volumen (más del 99%) de eventos. Estas acciones se registran ahora como eventos de lectura. Acciones relevantes de AWS KMS de bajo volumen, comoDisable,Delete, yScheduleKey(que normalmente representan menos del 0,5% del volumen de eventos de AWS KMS) se registran comoEscriturarápidamente.

      Para excluir eventos de gran volumen comoEncrypt,Decrypt, yGenerateDataKey, pero sigue registrando eventos relevantes comoDisable,DeleteyScheduleKey, elija iniciar sesiónEscrituray desactive la casilla de verificación deExcluir eventos de AWS KMS.

  11. Para registrar eventos de datos, elijaEventos de datos.

  12. EnTipo de evento de datos, elija el tipo de recurso de eventos de datos (depósitos S3, objetos S3 en AWS Outposts, nodos de Amazon Managed Blockchain, funciones Lambda, DynamoDBtables o puntos de acceso S3 Object Lambda) que desea registrar.

  13. Elija una plantilla de selector de registros. CloudTrail incluye plantillas predefinidas que registran todos los eventos de datos para el tipo de recurso. Para crear una plantilla de selector de registros personalizada, elijaPersonalizado.

    nota

    Si elige una plantilla predefinida para buckets de S3, podrá registrar los eventos de datos de todos los buckets que haya actualmente en la cuenta de AWS y de cualquier otro bucket que pudiera crear después de generar el registro de seguimiento. Esta opción habilita también el registro de la actividad de eventos de datos realizada por cualquier usuario o rol de su cuenta de AWS, aunque esta se realice en un bucket que pertenezca a otra cuenta de AWS.

    Si el registro de seguimiento se aplica únicamente a una región, la opción de una plantilla predefinida que registre todos los buckets de S3 habilita el registro de eventos de datos de todos los buckets que estén en la misma región que el registro de seguimiento, así como de cualquier otro bucket que pudiera crear posteriormente en esa región. No registrará datos de eventos de buckets de Amazon S3 de otras regiones de la cuenta de AWS.

    Si va a crear un registro de seguimiento para todas las regiones, la opción de una plantilla predefinida para las funciones de Lambda habilita el registro de eventos de datos de todas las funciones que se encuentran actualmente en la cuenta de AWS, así como de cualquier función de Lambda que cree en cualquier región cuando termine de crear el registro de seguimiento. Si va a crear un registro de seguimiento para una sola región (mediante la CLI de AWS), esta opción habilita el registro de eventos de datos de todas las funciones que se encuentran actualmente en esa región en la cuenta de AWS, así como de cualquier función de Lambda que cree en esa región cuando termine de crear el registro de seguimiento. No habilita el registro de eventos de datos de funciones de Lambda creadas en otras regiones.

    El registro de eventos de datos de todas las funciones habilita también el registro de la actividad de eventos de datos realizada por cualquier usuario o rol de su cuenta de AWS, aunque esta se realice en una función que pertenezca a otra cuenta de AWS.

  14. Si desea aplicar una plantilla de selector de registros predefinida y no desea agregar otro tipo de recurso de eventos de datos, vaya al paso 18. Para aplicar una plantilla de selector de registros personalizada, vaya al paso siguiente.

  15. Para crear una plantilla de selector de registros personalizada, en laLa plantilla del selector de registros, elijaPersonalizado.

  16. Si lo desea, escriba un nombre para la plantilla de selector de registros personalizada.

  17. EnSelectores de eventos, cree una expresión para los depósitos S3 específicos, los objetos S3 en AWS Outposts, las funciones de Lambda o las tablas de DynamoDB en las que desea registrar eventos de datos.

    1. Elija entre los siguientes campos. Para los campos que aceptan una matriz (más de un valor), CloudTrail agrega un OR entre valores.

      • readOnly-readOnlyPuede establecerse enIgualUn valor detrueo bienfalse. Los eventos de datos de sólo lectura son eventos que no cambian el estado de un recurso, comoGet*o bienDescribe*rápidamente. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, comoPut*,Delete*, o bienWrite*rápidamente.

      • eventName-eventNamepuede usar cualquier operador. Puede utilizarlo para incluir o excluir cualquier evento de datos registrado en CloudTrail, comoPutBucketo bienPutItem. Puede tener varios valores para este campo, separado por comas.

      • resources.typeEste campo es obligatorio. resources.typesolo puede usar elIgualEl operador, y el valor puede ser uno de los siguientes: AWS::S3::Object,AWS::S3Outposts::Object,AWS::Lambda::Function,AWS::DynamoDB::Table,AWS::ManagedBlockchain::Node, o bienAWS::S3ObjectLambda::AccessPoint.

      • resources.ARN- Puede usar cualquier operador conresources.ARN, pero si usaIgualo bienNoteQuals, el valor debe coincidir exactamente con el ARN de un recurso válido del tipo especificado en la plantilla como el valor deresources.type. Por ejemplo, siresources.typeequalsAWS። S3። ObjetoEl ARN debe estar en uno de los siguientes formatos. Para registrar todos los eventos de datos de todos los objetos en un bucket de S3 específico, utilice laStartsWith, e incluya sólo el ARN del depósito como valor coincidente.

        La barra diagonal final es intencional; no la excluya.

        arn:partition:s3:::bucket_name/ arn:partition:s3:::bucket_name/object_or_file_name/

        Cuandoresources.typeequalsAWS። S3Outposts። Objeto, y el operador se establece enIgualo bienNoteQualsEl ARN debe tener el siguiente formato:

        arn:partition:s3-outposts:region:account_ID:object_path

        Cuandoresources.typeequalsAWS::Lambda::Function, y el operador se establece enIgualo bienNoteQualsEl ARN debe tener el siguiente formato:

        arn:partition:lambda:region:account_ID:function:function_name

        Cuandoresources.typeequalsAWS::DynamoDB::Table, y el operador se establece enIgualo bienNoteQualsEl ARN debe tener el siguiente formato:

        arn:partition:dynamodb:region:account_ID:table/table_name

        Cuandoresources.typeequalsAWS::ManagedBlockchain::Node, y el operador se establece enIgualo bienNoteQualsEl ARN debe tener el siguiente formato:

        arn:partition:managedblockchain:region:account_ID:nodes/node_ID

        Cuandoresources.typeequalsAWS። S3ObjectLambda። AccessPoint, y el operador se establece enIgualo bienNoteQualsEl ARN debe tener el siguiente formato:

        arn:partition:s3-object-lambda:region:account_ID:accesspoint/access_point_name

      Para obtener más información sobre los formatos de ARN de los recursos de eventos de datos, consulteTipos de recurso definidos por Amazon S3,Tipos de recurso definidos por AWS Lambda, yTipos de recurso definidos por Amazon DynamoDBen laGuía del usuario de AWS Identity and Access Management.

    2. Para cada campo, elijaCondiciones +para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones. Por ejemplo, para excluir eventos de datos para dos buckets S3 de los eventos de datos que se registran en su rastro, puede establecer el campo enResources.arn, establezca el operador paraNoteQualsy, a continuación, pegue en un ARN de bucket S3 o busque los depósitos de S3 para los que no desea registrar eventos.

      Para agregar el segundo bucket de S3, elijaCondiciones +y, a continuación, repita la instrucción anterior, pegando en el ARN o buscando un bucket diferente.

      nota

      Puede tener un máximo de 500 valores para todos los selectores de un registro de seguimiento. Esto incluye matrices de múltiples valores para un selector comoeventName. Si tiene valores únicos para todos los selectores, puede agregar un máximo de 500 condiciones a un selector.

      Si tiene más de 15 000 funciones de Lambda en su cuenta, no podrá ver ni seleccionar todas las funciones en la consola de CloudTrail cuando cree un registro de seguimiento. Sí que puede registrar todas las funciones con una plantilla de selector predefinida, aunque estas no se muestren. Si desea registrar eventos de datos para funciones específicas, puede añadir manualmente una función si conoce su ARN. También puede finalizar la creación del registro de seguimiento en la consola y, a continuación, utilizar la CLI de AWS y laput-event-selectorspara configurar el registro de eventos de datos para funciones específicas de Lambda. Para obtener más información, consulte Administración de senderos con la CLI de AWS.

    3. Haga clic en .+ fieldPara agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores conflictivos o duplicados para los campos. Por ejemplo, no especifique un ARN en un selector para que sea igual a un valor, luego especifique que el ARN no sea igual al mismo valor en otro selector.

    4. Guarde los cambios realizados en la plantilla de selección personalizada seleccionandoSiguiente. No elija otra plantilla de selector de registro, o salga de esta página, o sus selectores personalizados se perderán.

    5. Para agregar otro tipo de datos en el que registrar eventos de datos, elijaAgregar tipo de evento de datos. Repita los pasos 12 a este paso para configurar selectores de eventos avanzados para el tipo de evento de datos.

  18. Haga clic en .Eventos de InsightsSi desea que su registro de seguimiento registre eventos de CloudTrail Insights.

    EnTipo de evento, seleccioneEventos de Insights. Debe estar registrandoEscrituraEventos de administración para registrar eventos de Insights.

    CloudTrail Insights analiza la administraciónEscrituraeventos para actividades inusuales y registra eventos cuando se detectan anomalías. De forma predeterminada, los registros de seguimiento no registran eventos de Insights. Para obtener más información acerca de los eventos de Insights, consulte Registro de eventos de Insights para registros de seguimiento. Se aplican cargos adicionales por registrar eventos de Insights. Para obtener información acerca de los precios de CloudTrailPrecios de AWS CloudTrail.

    Los eventos de Insights se entregan a una carpeta diferente llamada/CloudTrail-InsightEl mismo bucket de S3 que se especifica en laStorage Locationde la página de detalles del rastro. CloudTrail crea el nuevo prefijo para usted. Por ejemplo, si el bucket de S3 de destino actual se denomina S3bucketName/AWSLogs/CloudTrail/, el nombre del bucket de S3 con un nuevo prefijo se denomina S3bucketName/AWSLogs/CloudTrail-Insight/.

  19. Cuando haya terminado de elegir los tipos de eventos para registrar, elijaSiguiente.

  20. En la páginaRevisar y crearEn la página, revise las opciones seleccionadas. Haga clic en .Edit (Editar)en una sección para cambiar la configuración del rastro que se muestra en esa sección. Cuando esté listo para crear el registro de seguimiento, elijaCrear registro de seguimiento.

  21. El nuevo registro de seguimiento aparece en la página Trails. La página Trails (Registros de seguimiento) muestra los registros de seguimiento de su cuenta de todas las regiones. En unos 15 minutos, CloudTrail publica los archivos de registro que muestran las llamadas a la API de AWS realizadas en su cuenta. Puede ver los archivos de registro del bucket de S3 especificado. La entrega del primer evento de Insights puede tardar hasta 36 horas si ha habilitado el registro de eventos de Insights y se detecta actividad inusual.

    nota

    CloudTrail normalmente envía registros en el plazo de unos 15 minutos tras la llamada a la API. Esta vez no se garantiza. Consulte laAcuerdo de nivel de servicios de AWS CloudTrailPara obtener más información, consulte.

Pasos siguientes

Después de crear el registro de seguimiento, puede volver a él para realizar cambios: