Cómo empezar con AWS CloudTrail los tutoriales

Si es la primera vez que lo utiliza AWS CloudTrail, estos tutoriales le ayudarán a aprender a utilizar sus funciones.

Temas

• Requisitos previos
• Tutorial: Revisa la actividad AWS de la cuenta en el historial de eventos
• Tutorial: Crear un registro de seguimiento
• Tutoriales para Lake CloudTrail

Requisitos previos

En esta sección se proporciona información general acerca de cómo configurar una Cuenta de AWS y se describe políticas gestionadas disponibles para CloudTrail.

Inscríbase en una Cuenta de AWS

Si no tiene uno Cuenta de AWS, complete los siguientes pasos para crearlo.

Para suscribirte a una Cuenta de AWS

1. Abra https://portal.aws.amazon.com/billing/signup.

2. Siga las instrucciones que se le indiquen.

   Parte del procedimiento de registro consiste en recibir una llamada telefónica e indicar un código de verificación en el teclado del teléfono.

   Cuando te registras en una Cuenta de AWS, Usuario raíz de la cuenta de AWSse crea una. El usuario raíz tendrá acceso a todos los Servicios de AWS y recursos de esa cuenta. Como práctica recomendada de seguridad, asigne acceso administrativo a un usuario administrativo y utilice únicamente el usuario raíz para ejecutar tareas que requieren acceso de usuario raíz.

AWS te envía un correo electrónico de confirmación una vez finalizado el proceso de registro. Puede ver la actividad de la cuenta y administrar la cuenta en cualquier momento entrando en https://aws.amazon.com/ y seleccionando Mi cuenta.

Cómo crear un usuario administrativo

Después de registrarte en un usuario Cuenta de AWS, protege Usuario raíz de la cuenta de AWS AWS IAM Identity Center, habilita y crea un usuario administrativo para que no utilices el usuario root en las tareas diarias.

Proteja su Usuario raíz de la cuenta de AWS

1. Inicie sesión AWS Management Consolecomo propietario de la cuenta seleccionando el usuario root e introduciendo su dirección de Cuenta de AWS correo electrónico. En la siguiente página, escriba su contraseña.

   Para obtener ayuda sobre cómo iniciar sesión con el usuario raíz, consulte Iniciar sesión como usuario raíz en la Guía del usuario de AWS Sign-In .

2. Active la autenticación multifactor (MFA) para el usuario raíz.

   Para obtener instrucciones, consulte Habilitar un dispositivo MFA virtual para el usuario Cuenta de AWS raíz (consola) en la Guía del usuario de IAM.

Cómo crear un usuario administrativo

1. Activar IAM Identity Center

   Consulte las instrucciones en Enabling AWS IAM Identity Center en la Guía del usuario de AWS IAM Identity Center .

2. En el Centro de identidades de IAM, conceda acceso administrativo a un usuario administrativo.

   Para ver un tutorial sobre su uso Directorio de IAM Identity Center como fuente de identidad, consulte Configurar el acceso de los usuarios con la configuración predeterminada Directorio de IAM Identity Center en la Guía del AWS IAM Identity Center usuario.

Inicio de sesión como usuario administrativo

• Para iniciar sesión con el usuario de IAM Identity Center, utilice la URL de inicio de sesión que se envió a la dirección de correo electrónico cuando creó el usuario de IAM Identity Center.

  Para obtener ayuda para iniciar sesión con un usuario del Centro de identidades de IAM, consulte Iniciar sesión en el portal de AWS acceso en la Guía del AWS Sign-In usuario.

Otorgue permisos de uso CloudTrail

Para crear, actualizar y gestionar CloudTrail recursos como rutas, almacenes de datos de eventos y canales, debes conceder permisos de uso CloudTrail.

nota

Los permisos que concede a los usuarios para realizar tareas de CloudTrail administración no son los mismos que CloudTrail los permisos necesarios para entregar archivos de registro a los buckets de Amazon S3 o enviar notificaciones a los temas de Amazon SNS. Para obtener más información acerca de estos permisos, consulte Política de bucket de Amazon S3 para CloudTrail.

Si configura la integración con Amazon CloudWatch Logs, CloudTrail también se requiere un rol que pueda asumir para entregar eventos a un grupo de CloudWatch registros de Amazon Logs. Debe crear el rol que CloudTrail utiliza. Para más información, consulte Concesión de permisos para ver y configurar la información de Amazon CloudWatch Logs en la CloudTrail consola y Envío de eventos a Amazon CloudWatch Logs.

Las siguientes políticas AWS administradas están disponibles para CloudTrail:

• AWSCloudTrail_FullAccess— Esta política proporciona acceso total a CloudTrail las acciones en CloudTrail los recursos, como las rutas, los almacenes de datos de eventos y los canales. Esta política proporciona los permisos necesarios para crear, actualizar y eliminar CloudTrail rutas, almacenes de datos de eventos y canales.

  Esta política también proporciona permisos para administrar el bucket de Amazon S3, el grupo de CloudWatch registros de Logs y un tema de Amazon SNS para un rastro. Sin embargo, la política AWSCloudTrail_FullAccess gestionada no proporciona permisos para eliminar el bucket de Amazon S3, el grupo de CloudWatch registros de Logs o un tema de Amazon SNS. Para obtener información sobre las políticas administradas para otros AWS servicios, consulte la Guía de referencia de políticas AWS administradas.

  nota

  La AWSCloudTrail_FullAccesspolítica no está pensada para que se divulgue ampliamente entre todos sus usuarios Cuenta de AWS. Los usuarios con este rol pueden desactivar o reconfigurar las funciones de auditoría más importantes y confidenciales de su Cuentas de AWS. Por este motivo, solo debe aplicar esta política a los administradores de cuentas. Debe controlar y supervisar de cerca el uso de esta política.

• AWSCloudTrail_ReadOnlyAccess— Esta política otorga permisos para ver la CloudTrail consola, incluidos los eventos recientes y el historial de eventos. Esta política también le permite ver los registros de seguimiento, los almacenes de datos de eventos y los canales existentes. Los roles y los usuarios sujetos a esta política pueden descargar el historial de eventos, pero no pueden crear ni actualizar registros de seguimiento, almacenes de datos de eventos ni canales.

Para dar acceso, agregue permisos a los usuarios, grupos o roles:

• Usuarios y grupos en AWS IAM Identity Center:

  Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center .

• Usuarios administrados en IAM a través de un proveedor de identidades:

  Cree un rol para la federación de identidades. Siga las instrucciones de Creación de un rol para un proveedor de identidades de terceros (federación) en la Guía del usuario de IAM.

• Usuarios de IAM:

  • Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.

  • (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.