Cree un almacén de datos de CloudTrail eventos para los eventos con la consola - AWS CloudTrail
Para crear un almacén de datos de eventos para eventos CloudTrail de administración o de datosEjemplo: cree un banco de datos de eventos para la gestión de eventosEjemplo: cree un almacén de datos de eventos para los eventos de datos de S3

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cree un almacén de datos de CloudTrail eventos para los eventos con la consola

Los almacenes de datos de CloudTrail eventos para eventos pueden registrar eventos CloudTrail de administración y datos. Puede conservar los datos de los eventos en un almacén de datos de eventos durante un máximo de 3653 días (unos 10 años) si elige la opción Precios de retención ampliables por un año, o hasta 2557 días (unos 7 años) si elige la opción Precios de retención por siete años.

CloudTrail Los almacenes de datos de eventos de Lake incurren en cargos. Cuando crea un almacén de datos de eventos, elige la opción de precios que desea utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como el periodo de retención predeterminado y máximo del almacén de datos de eventos. Para obtener información sobre CloudTrail los precios y la administración de los costos de Lake, consulte AWS CloudTrail Precios yGestión de los costos de los CloudTrail lagos.

Para crear un almacén de datos de eventos para eventos CloudTrail de administración o de datos

Utilice este procedimiento para crear un banco de datos de eventos que registre los eventos CloudTrail de administración, los eventos de datos o tanto los eventos de administración como de datos.

  1. Inicie sesión en la CloudTrail consola AWS Management Console y ábrala en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación, en Lago, elija Almacenes de datos de eventos.

  3. Elija Create event data store (Crear almacén de datos de eventos).

  4. En la página Configure event data store (Configurar el almacén de datos de eventos), en General details (Detalles generales), ingrese un nombre para el almacén de datos de eventos. El nombre es obligatorio.

  5. Elija la Opción de precios que desee usar para el almacén de datos de eventos. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como los periodos de retención predeterminado y máximo del almacén de datos de eventos. Para obtener más información, consulte Precios de AWS CloudTrail y Gestión de los costos de los CloudTrail lagos.

    Están disponibles las siguientes opciones:

    • Precio de retención ampliable por un año: en general se recomienda si prevé incorporar menos de 25 TB de datos de eventos al mes y desea un periodo de retención flexible de hasta 10 años. Durante los primeros 366 días (el periodo de retención predeterminado), el almacenamiento se incluye sin cargo adicional en los precios de incorporación. Después de 366 días, la retención prolongada está disponible a un pay-as-you-go precio determinado. Esta es la opción predeterminada.

      • Periodo de retención predeterminado: 366 días.

      • Periodo máximo de retención: 3653 días.

    • Precio de retención ampliable por un año: se recomienda si prevé incorporar más de 25 TB de datos de eventos al mes y desea un periodo de retención de hasta 7 años. La retención está incluida en los precios de incorporación sin costo adicional.

      • Periodo de retención predeterminado: 2557 días.

      • Periodo máximo de retención: 2557 días.

  6. Especifique un periodo de retención para el almacén de datos de eventos. Los periodos de retención pueden oscilar entre 7 y 3653 días (unos 10 años) para la opción Precios de retención ampliables por un año, o entre 7 días y 2557 días (unos siete años) para la opción Precios de retención por siete años.

    CloudTrail Lake determina si se debe retener un evento comprobando si el eventTime evento se encuentra dentro del período de retención especificado. Por ejemplo, si especificas un período de retención de 90 días, CloudTrail eliminará los eventos cuando eventTime tengan más de 90 días.

    nota

    Si está copiando eventos de seguimiento a este almacén de datos de eventos, no CloudTrail copiará ningún evento si eventTime es anterior al período de retención especificado. Para determinar el período de retención adecuado, tome la suma del evento más antiguo que desea copiar en días y el número de días que desea conservar los eventos en el almacén de datos del evento (período de retención = oldest-event-in-days+ number-days-to-retain). Por ejemplo, si el evento más antiguo que va a copiar tiene 45 días y desea conservar los eventos en el almacén de datos de eventos durante otros 45 días, debe establecer el periodo de retención en 90 días.

  7. (Opcional) Para habilitar el cifrado mediante AWS Key Management Service, elija Usar el mío AWS KMS key. Elija Nuevo para que se AWS KMS key cree una para usted, o bien elija Existente para usar una clave KMS existente. En Introducir un alias de KMS, especifique un alias en el formato alias/ MyAliasName. El uso de su propia clave de KMS requiere que edite la política de claves de KMS para permitir el cifrado y el descifrado de los CloudTrail registros. Para obtener más información, consulteConfigurar políticas AWS KMS clave para CloudTrail. CloudTrail también admite claves AWS KMS multirregionales. Para obtener más información sobre las claves de varias regiones, consulte Uso de claves de varias regiones en la Guía para desarrolladores de AWS Key Management Service .

    El uso de su propia clave KMS conlleva AWS KMS costes de cifrado y descifrado. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar.

    nota

    Para habilitar el AWS Key Management Service cifrado en un almacén de datos de eventos de la organización, debe usar una clave KMS existente para la cuenta de administración.

  8. (Opcional) Si desea realizar consultas con los datos de su evento mediante Amazon Athena, elija Habilitar en Federación de consultas de Lake. La federación le permite ver los metadatos asociados al almacén de datos de eventos en el catálogo de datos de AWS Glue y ejecutar consultas SQL con los datos de eventos en Athena. Los metadatos de la tabla almacenados en el catálogo de AWS Glue datos permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar. Para obtener más información, consulte Federar un almacén de datos de eventos.

    Para habilitar la federación de consultas de Lake, seleccione Habilitar y, a continuación, haga lo siguiente:

    1. Elija si desea crear un nuevo rol o utilizar un rol de IAM existente. AWS Lake Formation utiliza este rol para administrar los permisos del almacén de datos de eventos federados. Al crear un nuevo rol mediante la CloudTrail consola, crea CloudTrail automáticamente un rol con los permisos necesarios. Si elige un rol existente, asegúrese de que la política del rol proporcione los permisos mínimos requeridos.

    2. Si va a crear un rol nuevo, introduzca un nombre para identificarlo.

    3. Si está utilizando un rol existente, elija el rol que desea usar. El rol debe existir en su cuenta.

  9. (Opcional) En la sección Tags (Etiquetas), puede agregar hasta 50 pares de claves y etiquetas para que lo ayuden a identificar y ordenar su almacén de datos de eventos y controlar el acceso a él. Para obtener más información sobre cómo utilizar las políticas de IAM para autorizar el acceso a un almacén de datos de eventos en función de etiquetas, consulte Ejemplos: Denegación de acceso para crear o eliminar almacenes de datos de eventos en función de etiquetas. Para obtener más información sobre cómo utilizar las etiquetas AWS, consulte Etiquetar AWS recursos en la Guía del usuario de Tagging AWS Resources.

  10. Elija Next (Siguiente) para configurar el almacén de datos de eventos.

  11. En la página Elegir eventos, elija AWS eventos y, a continuación, elija CloudTrail eventos.

  12. Para CloudTrail los eventos, elige al menos un tipo de evento. De forma predeterminada, se selecciona la opción Management events (Eventos de administración). Puede agregar tanto eventos de administración como de datos a su almacén de datos de eventos. Para obtener más información sobre los eventos de administración, consulte Registro de eventos de administración. Para obtener más información sobre los eventos de datos, consulte Registro de eventos de datos.

  13. (Opcional) Elija Copy trail events (Copiar eventos de registros de seguimiento) si desea copiar eventos de un registro de seguimiento existente para ejecutar consultas sobre eventos pasados. Para copiar los eventos de los registros de seguimiento en el almacén de datos de eventos de una organización, debe utilizar su cuenta de administración. La cuenta del administrador delegado no puede copiar los eventos de registro de seguimiento en el almacén de datos de eventos de una organización. Para obtener más información acerca de las consideraciones para copiar eventos de registro de seguimiento, consulte Consideraciones para copiar eventos de registros de seguimiento.

  14. Para que su almacén de datos de eventos recopile eventos de todas las cuentas de una organización de AWS Organizations , seleccione Enable for all accounts in my organization (Activar en todas las cuentas de mi organización). Para crear un almacén de datos de eventos que recopile eventos de una organización, es necesario haber iniciado sesión con la cuenta de administración o la cuenta de administrador delegado de la organización.

    nota

    Para copiar los eventos de registro de seguimiento o habilitar los eventos de Insights, debe haber iniciado sesión en la cuenta de administración de su organización.

  15. Amplíe la configuración adicional para elegir si desea que el banco de datos de eventos recopile los eventos de todos los Regiones de AWS eventos o solo los actuales Región de AWS, y elija si el banco de datos de eventos incluye los eventos. De forma predeterminada, el almacén de datos de eventos recopila los eventos de todas las regiones de la cuenta y comienza a ingerirlos cuando se crea.

    1. Seleccione Incluir solo la región actual en el almacén de datos de eventos para incluir solo los eventos registrados en la región actual. Si no elige esta opción, su almacén de datos de eventos incluirá eventos de todas las regiones.

    2. Anule la selección de Ingerir eventos si no quiere que el almacén de datos de eventos comience a ingerir eventos. Por ejemplo, es posible que desee deseleccionar Ingerir eventos si está copiando eventos de registros de seguimiento y no desea que el almacén de datos de eventos incluya eventos futuros. De forma predeterminada, el almacén de datos de eventos comienza a ingerir eventos cuando se crea.

  16. Si el almacén de datos de eventos incluye eventos de administración, puede elegir entre las siguientes opciones. Para obtener más información sobre los eventos de administración, consulte Registro de eventos de administración.

    1. Elija si desea incluir eventos de Lectura, de Escritura o ambos. Se necesita una como mínimo.

    2. Elija si desea excluir AWS Key Management Service o excluir los eventos de la API de datos de Amazon RDS del almacén de datos de eventos.

    3. Elija si desea habilitar Insights. Para habilitar Insights, debe configurar un almacén de datos de eventos de destino para recopilar los eventos de Insights en función de la actividad de los eventos de administración en este almacén de datos de eventos.

      Si decide habilitar Insights, haga lo siguiente.

      1. En Habilitar Insights, elija el almacén de eventos de destino que registrará los eventos de Insights. El almacén de datos de eventos de destino recopilará los eventos de Insights en función de la actividad de los eventos de administración en este almacén de datos de eventos. Para obtener información acerca de cómo crear un almacén de datos de eventos de destino, consulte Cómo crear un almacén de datos de eventos de destino que registre los eventos de Insights.

      2. Elija los tipos de Insights. Puede elegir la tasa de llamadas a la API, la tasa de errores de la API o ambas. Debe registrar los eventos de administración de escritura para registrar los eventos de Insights para calcular la tasa de llamadas a la API. Debe registrar los eventos de administración de lectura o escritura para registrar los eventos de Insights para calcular la tasa de errores de la API.

  17. Para incluir eventos de datos en su almacén de datos de eventos, haga lo siguiente.

    1. Elija un tipo de evento de datos. Este es el Servicio de AWS recurso en el que se registran los eventos de datos. Para registrar los eventos de datos de AWS Glue las tablas creadas por Lake Formation, elija Lake Formation como tipo de datos.

    2. Elija una plantilla en la sección Log selector template (Plantilla de selector de registros). Puede elegir registrar todos los eventos de datos, eventos readOnly, eventos writeOnly, o Custom (Personalizado) para crear un selector de registros personalizado.

    3. (Opcional) En Nombre del selector, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo opcional para un selector de eventos avanzado, como “Registrar eventos de datos para solo dos buckets de S3”. El nombre del selector aparece como Name en el selector de eventos avanzado y se puede ver si se amplía la Vista JSON.

    4. En Advanced event selectors (Selectores de eventos avanzados), cree expresiones mediante la selección de valores para Field (Campo), Operator (Operador) y Value (Valor). Los selectores de eventos avanzados para un almacén de datos de eventos funcionan igual que los selectores de eventos avanzados que se aplican a un registro de seguimiento. Para obtener más información sobre cómo crear selectores de eventos avanzados, consulte Filtrar eventos de datos mediante selectores de eventos avanzados.

      El siguiente ejemplo utiliza una plantilla de selector de registro Custom (Personalizada) para elegir únicamente los nombres de los eventos de objetos S3 que comienzan por Put, como PutObject. Dado que el selector de eventos avanzado no incluye ni excluye ningún otro tipo de evento o ARN de recursos, todos los eventos de datos de S3 que tienen nombres de eventos que empiezan por Put, tanto de lectura como de escritura, se almacenan en el almacén de datos de eventos.

      Eventos de lago de datos, selectores de eventos avanzados
      importante

      Para excluir o incluir eventos de datos con selectores de eventos avanzados mediante el uso de un ARN de bucket de S3, utilice siempre el operador Starts with (Empezar por).

    5. De manera opcional, expanda JSON view (Vista JSON) para ver los selectores de eventos avanzados como un bloque JSON.

    6. Para agregar otro tipo de datos en el que registrar eventos de datos, elija Add data event type (Agregar tipo de evento de datos). Repita los pasos a través de este paso para configurar los selectores de eventos avanzados para el tipo de evento de datos.

  18. Para copiar eventos de registro de seguimiento existentes en el almacén de datos, haga lo siguiente.

    1. Elija el registro de seguimiento que desea copiar. De forma predeterminada, CloudTrail solo copia CloudTrail los eventos contenidos en el CloudTrail prefijo del bucket de S3 y los prefijos incluidos en el CloudTrail prefijo, y no comprueba los prefijos de otros servicios. AWS Si desea copiar CloudTrail los eventos contenidos en otro prefijo, seleccione Introducir el URI de S3 y, a continuación, elija Examinar S3 para buscar el prefijo. Si el depósito de S3 de origen de la ruta utiliza una clave de KMS para el cifrado de datos, asegúrese de que la política de claves de KMS CloudTrail permita descifrar los datos. Si el bucket de S3 de origen utiliza varias claves KMS, debe actualizar la política de cada clave CloudTrail para poder descifrar los datos del bucket. Para obtener más información sobre la actualización de la política de claves KMS, consulte Política de claves KMS para descifrar datos en el bucket de S3 de origen.

    2. Elija el intervalo de tiempo para copiar los eventos. CloudTrail comprueba el prefijo y el nombre del archivo de registro para comprobar que el nombre contiene una fecha entre la fecha de inicio y la de finalización elegidas antes de intentar copiar los eventos de seguimiento. Puede elegir un intervalo relativo o un intervalo absoluto. Para evitar la duplicación de eventos entre el registro de seguimiento de origen y el almacén de datos de eventos de destino, elija un intervalo de tiempo que sea anterior a la creación del almacén de datos de eventos.

      nota

      CloudTrail solo copia los eventos de seguimiento que están eventTime dentro del período de retención del almacén de datos de eventos. Por ejemplo, si el período de retención de un almacén de datos de eventos es de 90 días, no CloudTrail copiará ningún evento de ruta que tenga una eventTime antigüedad superior a 90 días.

      • Si eliges Rango relativo, puedes elegir copiar los eventos registrados en los últimos 6 meses, 1 año, 2 años, 7 años o un rango personalizado. CloudTrail copia los eventos registrados en el período de tiempo elegido.

      • Si elige Rango absoluto, puede elegir una fecha de inicio y finalización específica. CloudTrail copia los eventos ocurridos entre las fechas de inicio y finalización elegidas.

    3. Para Permissions (Permisos), elija una de las siguientes opciones de rol de IAM. Si elige un rol de IAM existente, verifique que la política de roles de IAM proporcione los permisos necesarios. Para obtener más información acerca de la actualización de los permisos de rol de IAM, consulte Permisos de IAM para copiar eventos de registro de seguimiento.

      • Elija Create a new role (recommended) (Crear un nuevo rol [recomendado]) para crear un nuevo rol de IAM. En Introducir el nombre del rol de IAM, introduzca un nombre para el rol. CloudTrail crea automáticamente los permisos necesarios para este nuevo rol.

      • Elija Usar un ARN de rol de IAM personalizado para usar un rol de IAM personalizado que no aparezca en la lista. En Enter IAM role ARN (Ingresar ARN del rol de IAM), escriba el ARN de IAM.

      • Elija un rol de IAM existente de la lista desplegable.

  19. Elija Next (Siguiente) para revisar las opciones seleccionadas.

  20. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Elija Edit (Editar) para realizar cambios en una sección. Cuando esté listo para crear el almacén de datos de eventos, elija Create event data store (Crear almacén de datos de eventos).

  21. El nuevo almacén de datos de eventos aparece en la tabla Almacenes de datos de eventos de la página Almacenes de datos de eventos.

    A partir de este momento, el almacén de datos de eventos captura los eventos que coinciden con sus selectores de eventos avanzados (si ha seleccionado la opción Incorporar eventos). Los eventos que ocurrieron antes de que creara el almacén de datos de eventos no estarán en el almacén de datos de eventos, a menos que opte por copiar los eventos de registro de seguimiento existentes.

Ahora puede ejecutar consultas en su nuevo almacén de datos de eventos. La pestaña Sample queries (Consultas de muestra) proporciona ejemplos de consultas para que pueda empezar. Para obtener más información acerca de la creación y la edición de consultas, consulte Creación o edición de una consulta.

También puede ver el panel de control de CloudTrail Lake para visualizar los eventos en su almacén de datos de eventos. Para obtener más información acerca de los paneles de Lake, consulte Ver paneles de CloudTrail Lake.

Ejemplo: cree un banco de datos de eventos para la gestión de eventos

En este tutorial, se muestra cómo crear un banco de datos de eventos que registre todos los eventos de administración en todas AWS las regiones y no registre ningún evento de datos. Por ejemplo, son eventos de administración los eventos de seguridad, como CreateUser y AttachRolePolicy de IAM, los eventos de recursos como RunInstances y CreateBucket, etc.

Para crear un almacén de datos de eventos para eventos de administración

  1. Inicie sesión en la CloudTrail consola AWS Management Console y ábrala en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación, en Lago, elija Almacenes de datos de eventos.

  3. Elija Create event data store (Crear almacén de datos de eventos).

  4. En la página Configurar el almacén de datos de eventos, en Detalles generales, asigne un nombre al almacén de datos de eventos, por ejemplo my-management-events-eds. Como práctica recomendada, utilice un nombre que identifique rápidamente el propósito del almacén de datos de eventos. Para obtener información sobre los requisitos de CloudTrail nomenclatura, consulteRequisitos de nomenclatura.

  5. Elija la Opción de precios que desee usar para el almacén de datos de eventos. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como los periodos de retención predeterminado y máximo del almacén de datos de eventos. Para obtener más información, consulte Precios de AWS CloudTrail y Gestión de los costos de los CloudTrail lagos.

    Están disponibles las siguientes opciones:

    • Precio de retención ampliable por un año: en general se recomienda si prevé incorporar menos de 25 TB de datos de eventos al mes y desea un periodo de retención flexible de hasta 10 años. Durante los primeros 366 días (el periodo de retención predeterminado), el almacenamiento se incluye sin cargo adicional en los precios de incorporación. Después de 366 días, la retención prolongada está disponible a un pay-as-you-go precio determinado. Esta es la opción predeterminada.

      • Periodo de retención predeterminado: 366 días.

      • Periodo máximo de retención: 3653 días.

    • Precio de retención ampliable por un año: se recomienda si prevé incorporar más de 25 TB de datos de eventos al mes y desea un periodo de retención de hasta 7 años. La retención está incluida en los precios de incorporación sin costo adicional.

      • Periodo de retención predeterminado: 2557 días.

      • Periodo máximo de retención: 2557 días.

  6. Especifique un periodo de retención para el almacén de datos de eventos. Los periodos de retención pueden oscilar entre 7 y 3653 días (unos 10 años) para la opción Precios de retención ampliables por un año, o entre 7 días y 2557 días (unos siete años) para la opción Precios de retención por siete años.

    CloudTrail Lake determina si se debe retener un evento comprobando si el eventTime evento se encuentra dentro del período de retención especificado. Por ejemplo, si especificas un período de retención de 90 días, CloudTrail eliminará los eventos cuando eventTime tengan más de 90 días.

  7. (Opcional) En Cifrado, seleccione si quiere cifrar el almacén de datos de eventos con su propia clave de KMS. De forma predeterminada, todos los eventos de un almacén de datos de eventos se cifran CloudTrail mediante una clave de KMS que le AWS pertenece y administra por usted.

    Para habilitar el cifrado con su propia clave de KMS, seleccione Usar mi propia AWS KMS key. Elija Nuevo para que se AWS KMS key cree una por usted, o bien elija Existente para usar una clave de KMS existente. En Introducir un alias de KMS, especifique un alias en el formato alias/ MyAliasName. El uso de su propia clave de KMS requiere que edite la política de claves de KMS para permitir el cifrado y el descifrado de los CloudTrail registros. Para obtener más información, consulteConfigurar políticas AWS KMS clave para CloudTrail. CloudTrail también admite claves AWS KMS multirregionales. Para obtener más información sobre las claves de varias regiones, consulte Uso de claves de varias regiones en la Guía para desarrolladores de AWS Key Management Service .

    El uso de su propia clave KMS conlleva AWS KMS costes de cifrado y descifrado. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar.

    nota

    Para habilitar el AWS Key Management Service cifrado en un almacén de datos de eventos de la organización, debe usar una clave KMS existente para la cuenta de administración.

  8. (Opcional) Si desea realizar consultas con los datos de su evento mediante Amazon Athena, elija Habilitar en Federación de consultas de Lake. La federación le permite ver los metadatos asociados al almacén de datos de eventos en el catálogo de datos de AWS Glue y ejecutar consultas SQL con los datos de eventos en Athena. Los metadatos de la tabla almacenados en el catálogo de AWS Glue datos permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar. Para obtener más información, consulte Federar un almacén de datos de eventos.

    Para habilitar la federación de consultas de Lake, seleccione Habilitar y, a continuación, haga lo siguiente:

    1. Elija si desea crear un nuevo rol o utilizar un rol de IAM existente. AWS Lake Formation utiliza este rol para administrar los permisos del almacén de datos de eventos federados. Al crear un nuevo rol mediante la CloudTrail consola, crea CloudTrail automáticamente un rol con los permisos necesarios. Si elige un rol existente, asegúrese de que la política del rol proporcione los permisos mínimos requeridos.

    2. Si va a crear un rol nuevo, introduzca un nombre para identificarlo.

    3. Si está utilizando un rol existente, elija el rol que desea usar. El rol debe existir en su cuenta.

  9. (Opcional) En Etiquetas, agregue una o más etiquetas personalizadas (pares clave-valor) a su almacén de datos de eventos. Las etiquetas pueden ayudarle a identificar los almacenes de datos de sus CloudTrail eventos. Por ejemplo, podría adjuntar una etiqueta con el nombre stage y el valor prod. Puede utilizar etiquetas para limitar el acceso al almacén de datos de eventos. También puede utilizar etiquetas para hacer un seguimiento de los costos de consulta e ingesta del almacén de datos de eventos.

    Para obtener más información acerca de cómo usar etiquetas para hacer un seguimiento de los costos, consulte Creación de etiquetas de asignación de costes definidas por el usuario para los almacenes de datos de eventos de CloudTrail Lake. Para obtener información sobre cómo utilizar las políticas de IAM para autorizar el acceso a un almacén de datos de eventos en función de etiquetas, consulte Ejemplos: Denegación de acceso para crear o eliminar almacenes de datos de eventos en función de etiquetas. Para obtener información sobre cómo utilizar las etiquetas AWS, consulte Cómo etiquetar AWS los recursos en la Guía del usuario sobre cómo etiquetar AWS los recursos.

  10. Elija Next (Siguiente) para configurar el almacén de datos de eventos.

  11. En la página Seleccionar eventos, deje las selecciones predeterminadas en Tipo de evento.

    Seleccione el tipo de evento para el almacén de datos de eventos

  12. Para CloudTrail los eventos, deje las selecciones predeterminadas. De forma predeterminada, los almacenes de datos de CloudTrail eventos recopilan eventos de administración y no recopilan eventos de datos. Para obtener más información sobre los eventos de administración, consulte Registro de eventos de administración. Para obtener más información sobre los eventos de datos, consulte Registro de eventos de datos.

    Elija CloudTrail eventos para el almacén de datos de eventos

  13. Deje la configuración predeterminada para Copiar eventos de los registros de seguimiento. Utilizaría esta opción para copiar los eventos de los registros de seguimiento existentes en el almacén de datos de eventos. Para obtener más información, consulte Copiar eventos de registro de seguimiento en un almacén de datos de eventos.

  14. Seleccione Activar para todas las cuentas de mi organización si se trata de un almacén de datos de eventos de la organización. No podrá cambiar esta opción a menos que tenga cuentas configuradas en AWS Organizations.

  15. En Configuración adicional, deje las selecciones predeterminadas. De forma predeterminada, un banco de datos de eventos recopila los eventos de todos Regiones de AWS y comienza a incorporarlos cuando se crea.

  16. En Eventos de administración, elija recopilar los eventos de lectura y escritura. Deje vacías las casillas Excluir AWS KMS eventos y Excluir eventos de la API de datos de Amazon RDS para recopilar todos los eventos de administración. Deje vacía la casilla de verificación Habilitar eventos de Insights.

    Seleccione las opciones de los eventos de administración para el almacén de datos de eventos

  17. Elija Next (Siguiente) para revisar las opciones seleccionadas.

  18. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Elija Edit (Editar) para realizar cambios en una sección. Cuando esté listo para crear el almacén de datos de eventos, elija Create event data store (Crear almacén de datos de eventos).

  19. El nuevo almacén de datos de eventos aparece en la tabla Almacenes de datos de eventos de la página Almacenes de datos de eventos.

    A partir de este momento, el almacén de datos de eventos captura los eventos que coinciden con sus selectores de eventos avanzados. Los eventos que ocurrieron antes de que creara el almacén de datos de eventos no estarán en el almacén de datos de eventos, a menos que opte por copiar los eventos de registro de seguimiento existentes.

Ejemplo: cree un almacén de datos de eventos para los eventos de datos de S3

En este tutorial, se muestra cómo crear un almacén de datos de eventos para los eventos de datos de Amazon S3. En este escenario, en lugar de registrar todos los eventos de datos de Amazon S3, elegiremos una plantilla de selector de registros personalizada para registrar los eventos solo cuando se elimine un objeto de un bucket de S3 específico.

Para crear un almacén de datos de eventos para eventos de datos de S3

  1. Inicie sesión en la CloudTrail consola AWS Management Console y ábrala en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación, en Lago, elija Almacenes de datos de eventos.

  3. Elija Create event data store (Crear almacén de datos de eventos).

  4. En la página Configurar el almacén de datos de eventos, en Detalles generales, asigne un nombre al almacén de datos de eventos, como s3- data-events-eds. Como práctica recomendada, utilice un nombre que identifique rápidamente el propósito del almacén de datos de eventos. Para obtener información sobre los requisitos de CloudTrail nomenclatura, consulteRequisitos de nomenclatura.

  5. Elija la Opción de precios que desee usar para el almacén de datos de eventos. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como los periodos de retención predeterminado y máximo del almacén de datos de eventos. Para obtener más información, consulte Precios de AWS CloudTrail y Gestión de los costos de los CloudTrail lagos.

    Están disponibles las siguientes opciones:

    • Precio de retención ampliable por un año: en general se recomienda si prevé incorporar menos de 25 TB de datos de eventos al mes y desea un periodo de retención flexible de hasta 10 años. Durante los primeros 366 días (el periodo de retención predeterminado), el almacenamiento se incluye sin cargo adicional en los precios de incorporación. Después de 366 días, la retención prolongada está disponible a un pay-as-you-go precio determinado. Esta es la opción predeterminada.

      • Periodo de retención predeterminado: 366 días.

      • Periodo máximo de retención: 3653 días.

    • Precio de retención ampliable por un año: se recomienda si prevé incorporar más de 25 TB de datos de eventos al mes y desea un periodo de retención de hasta 7 años. La retención está incluida en los precios de incorporación sin costo adicional.

      • Periodo de retención predeterminado: 2557 días.

      • Periodo máximo de retención: 2557 días.

  6. Especifique un periodo de retención para el almacén de datos de eventos. Los periodos de retención pueden oscilar entre 7 y 3653 días (unos 10 años) para la opción Precios de retención ampliables por un año, o entre 7 días y 2557 días (unos siete años) para la opción Precios de retención por siete años.

    CloudTrail Lake determina si se debe retener un evento comprobando si el eventTime evento se encuentra dentro del período de retención especificado. Por ejemplo, si especificas un período de retención de 90 días, CloudTrail eliminará los eventos cuando eventTime tengan más de 90 días.

  7. (Opcional) En Cifrado, seleccione si quiere cifrar el almacén de datos de eventos con su propia clave de KMS. De forma predeterminada, todos los eventos de un almacén de datos de eventos se cifran CloudTrail mediante una clave de KMS que le AWS pertenece y administra por usted.

    Para habilitar el cifrado con su propia clave de KMS, seleccione Usar mi propia AWS KMS key. Elija Nuevo para que se AWS KMS key cree una por usted, o bien elija Existente para usar una clave de KMS existente. En Introducir un alias de KMS, especifique un alias en el formato alias/ MyAliasName. El uso de su propia clave de KMS requiere que edite la política de claves de KMS para permitir el cifrado y el descifrado de los CloudTrail registros. Para obtener más información, consulteConfigurar políticas AWS KMS clave para CloudTrail. CloudTrail también admite claves AWS KMS multirregionales. Para obtener más información sobre las claves de varias regiones, consulte Uso de claves de varias regiones en la Guía para desarrolladores de AWS Key Management Service .

    El uso de su propia clave KMS conlleva AWS KMS costes de cifrado y descifrado. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar.

    nota

    Para habilitar el AWS Key Management Service cifrado en un almacén de datos de eventos de la organización, debe usar una clave KMS existente para la cuenta de administración.

  8. (Opcional) Si desea realizar consultas con los datos de su evento mediante Amazon Athena, elija Habilitar en Federación de consultas de Lake. La federación le permite ver los metadatos asociados al almacén de datos de eventos en el catálogo de datos de AWS Glue y ejecutar consultas SQL con los datos de eventos en Athena. Los metadatos de la tabla almacenados en el catálogo de AWS Glue datos permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar. Para obtener más información, consulte Federar un almacén de datos de eventos.

    Para habilitar la federación de consultas de Lake, seleccione Habilitar y, a continuación, haga lo siguiente:

    1. Elija si desea crear un nuevo rol o utilizar un rol de IAM existente. AWS Lake Formation utiliza este rol para administrar los permisos del almacén de datos de eventos federados. Al crear un nuevo rol mediante la CloudTrail consola, crea CloudTrail automáticamente un rol con los permisos necesarios. Si elige un rol existente, asegúrese de que la política del rol proporcione los permisos mínimos requeridos.

    2. Si va a crear un rol nuevo, introduzca un nombre para identificarlo.

    3. Si está utilizando un rol existente, elija el rol que desea usar. El rol debe existir en su cuenta.

  9. (Opcional) En Etiquetas, agregue una o más etiquetas personalizadas (pares clave-valor) a su almacén de datos de eventos. Las etiquetas pueden ayudarle a identificar los almacenes de datos de sus CloudTrail eventos. Por ejemplo, podría adjuntar una etiqueta con el nombre stage y el valor prod. Puede utilizar etiquetas para limitar el acceso al almacén de datos de eventos. También puede utilizar etiquetas para hacer un seguimiento de los costos de consulta e ingesta del almacén de datos de eventos.

    Para obtener más información acerca de cómo usar etiquetas para hacer un seguimiento de los costos, consulte Creación de etiquetas de asignación de costes definidas por el usuario para los almacenes de datos de eventos de CloudTrail Lake. Para obtener información sobre cómo utilizar las políticas de IAM para autorizar el acceso a un almacén de datos de eventos en función de etiquetas, consulte Ejemplos: Denegación de acceso para crear o eliminar almacenes de datos de eventos en función de etiquetas. Para obtener información sobre cómo utilizar las etiquetas AWS, consulte Cómo etiquetar AWS los recursos en la Guía del usuario sobre cómo etiquetar AWS los recursos.

  10. Elija Next (Siguiente) para configurar el almacén de datos de eventos.

  11. En la página Seleccionar eventos, deje las selecciones predeterminadas en Tipo de evento.

    Seleccione el tipo de evento para el almacén de datos de eventos

  12. Para CloudTrail los eventos, selecciona Eventos de datos y anula la selección de los Eventos de administración. Para obtener más información sobre los eventos de datos, consulte Registro de eventos de datos.

    Elija eventos CloudTrail de datos para el almacén de datos de eventos

  13. Deje la configuración predeterminada para Copiar eventos de los registros de seguimiento. Utilizaría esta opción para copiar los eventos de los registros de seguimiento existentes en el almacén de datos de eventos. Para obtener más información, consulte Copiar eventos de registro de seguimiento en un almacén de datos de eventos.

  14. Seleccione Activar para todas las cuentas de mi organización si se trata de un almacén de datos de eventos de la organización. No podrá cambiar esta opción a menos que tenga cuentas configuradas en AWS Organizations.

  15. En Configuración adicional, deje las selecciones predeterminadas. De forma predeterminada, un banco de datos de eventos recopila los eventos de todos Regiones de AWS y comienza a ingerirlos cuando se crea.

  16. En Eventos de datos, lleve a cabo las siguientes selecciones:

    1. En Tipo de evento de datos, seleccione S3. El tipo de evento de datos identifica el Servicio de AWS recurso en el que se registran los eventos de datos.

    2. En Plantilla de selector de registros, seleccione Personalizado. Si selecciona Personalizado, puede definir un selector de eventos personalizado para filtrar los campos eventName, resources.ARN y readOnly. Para obtener información sobre estos campos, consulte AdvancedFieldSelectorla referencia de la AWS CloudTrail API.

    3. (Opcional) En Nombre del selector, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo para un selector de eventos avanzado, como «Registrar las llamadas a la DeleteObject API para un segmento de S3 específico». El nombre del selector aparece como Name en el selector de eventos avanzado y se puede ver si se amplía la vista JSON.

      Vista JSON ampliada que muestra selectores de eventos avanzados

    4. En los selectores de eventos avanzados, crearemos un selector de eventos personalizado para filtrar los resources.ARN campos eventName y. Los selectores de eventos avanzados para un almacén de datos de eventos funcionan igual que los selectores de eventos avanzados que se aplican a un registro de seguimiento. Para obtener más información sobre cómo crear selectores de eventos avanzados, consulte Registrar eventos de datos con selectores de eventos avanzados.

      1. En Campo, seleccione eventName. En Operador, seleccione equals. En Valor, introduzca DeleteObject. Selecciona + Campo para filtrar por otro campo.

      2. En Campo, seleccione resources.ARN. En Operador, elija StartsWith. En Valor, introduzca el ARN de su bucket (por ejemplo, arn:aws:s3:::bucket-name). Para obtener información acerca de cómo obtener el ARN, consulte Recursos de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

    Configuración de eventos de datos de S3

  17. Elija Next (Siguiente) para revisar las opciones seleccionadas.

  18. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Elija Edit (Editar) para realizar cambios en una sección. Cuando esté listo para crear el almacén de datos de eventos, elija Create event data store (Crear almacén de datos de eventos).

  19. El nuevo almacén de datos de eventos aparece en la tabla Almacenes de datos de eventos de la página Almacenes de datos de eventos.

    A partir de este momento, el almacén de datos de eventos captura los eventos que coinciden con sus selectores de eventos avanzados. Los eventos que ocurrieron antes de que creara el almacén de datos de eventos no estarán en el almacén de datos de eventos, a menos que opte por copiar los eventos de registro de seguimiento existentes.