Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Cómo empezar con AWS CloudTrail los tutoriales
<a name="cloudtrail-tutorial"></a>

Si es la primera vez que lo usa AWS CloudTrail, estos tutoriales pueden ayudarlo a aprender a usar sus funciones. Para usar CloudTrail las funciones, debe tener los permisos adecuados. En esta página, se describen las políticas administradas disponibles CloudTrail y se proporciona información sobre cómo se pueden conceder permisos.

**Topics**
+ [Otorgue permisos de uso CloudTrail](#tutorial-grant-permissions)
+ [Visualización del historial de eventos](tutorial-event-history.md)
+ [Creación de un registro de seguimiento para registrar los eventos de administración](tutorial-trail.md)
+ [Creación de un almacén de datos de eventos para eventos de datos de S3](tutorial-lake-S3.md)

## Otorgue permisos de uso CloudTrail
<a name="tutorial-grant-permissions"></a>

Para crear, actualizar y gestionar CloudTrail recursos como rutas, almacenes de datos de eventos y canales, debes conceder permisos de uso CloudTrail. En esta sección se proporciona información sobre las políticas gestionadas disponibles para CloudTrail.

**nota**  
Los permisos que concede a los usuarios para realizar tareas de CloudTrail administración no son los mismos que CloudTrail los permisos necesarios para entregar archivos de registro a los buckets de Amazon S3 o enviar notificaciones a los temas de Amazon SNS. Para obtener más información acerca de estos permisos, consulte [Política de bucket de Amazon S3 para CloudTrail](create-s3-bucket-policy-for-cloudtrail.md).  
Si configura la integración con Amazon CloudWatch Logs, CloudTrail también se requiere un rol que pueda asumir para entregar eventos a un grupo de CloudWatch registros de Amazon Logs. Debe crear el rol que CloudTrail utiliza. Para obtener más información, consulte [Concesión de permisos para ver y configurar la información de Amazon CloudWatch Logs en la CloudTrail consola](security_iam_id-based-policy-examples.md#grant-cloudwatch-permissions-for-cloudtrail-users) y [Envío de eventos a CloudWatch registros](send-cloudtrail-events-to-cloudwatch-logs.md).

Las siguientes políticas AWS administradas están disponibles para CloudTrail:
+  [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_FullAccess.html)— Esta política proporciona acceso total a CloudTrail las acciones en CloudTrail los recursos, como las rutas, los almacenes de datos de eventos y los canales. Esta política proporciona los permisos necesarios para crear, actualizar y eliminar CloudTrail rutas, almacenes de datos de eventos y canales. 

   Esta política también proporciona permisos para administrar el bucket de Amazon S3, el grupo de CloudWatch registros de Logs y un tema de Amazon SNS para un rastro. Sin embargo, la política `AWSCloudTrail_FullAccess` gestionada no proporciona permisos para eliminar el bucket de Amazon S3, el grupo de CloudWatch registros de Logs o un tema de Amazon SNS. Para obtener información sobre las políticas administradas para otros AWS servicios, consulte la [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html).
**nota**  
La **AWSCloudTrail\_FullAccess**política no está pensada para que se divulgue ampliamente entre todos sus usuarios Cuenta de AWS. Los usuarios con este rol pueden desactivar o reconfigurar las funciones de auditoría más importantes y confidenciales de su Cuentas de AWS. Por este motivo, solo debe aplicar esta política a los administradores de cuentas. Debe controlar y supervisar de cerca el uso de esta política.
+  [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSCloudTrail_ReadOnlyAccess.html)— Esta política otorga permisos para ver la CloudTrail consola, incluidos los eventos recientes y el historial de eventos. Esta política también le permite ver los registros de seguimiento, los almacenes de datos de eventos y los canales existentes. Los roles y los usuarios sujetos a esta política pueden [descargar el historial de eventos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html#downloading-events), pero no pueden crear ni actualizar registros de seguimiento, almacenes de datos de eventos ni canales.

Para dar acceso, agregue permisos a los usuarios, grupos o roles:
+ Usuarios y grupos en AWS IAM Identity Center:

  Cree un conjunto de permisos. Siga las instrucciones de [Creación de un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de AWS IAM Identity Center *.
+ Usuarios gestionados en IAM a través de un proveedor de identidades:

  Cree un rol para la federación de identidades. Siga las instrucciones descritas en [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
  + Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
  + (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.