Habilitación del reenvío de registros - AWS Directory Service
Uso de la CLI para habilitar el reenvío de registros

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación del reenvío de registros

Puede utilizar la consola o las API de AWS Directory Service para reenviar registros de eventos de seguridad del controlador de dominio a Registros de Amazon CloudWatch. Esto le permite cumplir sus requisitos de políticas de retención de registros, auditorías y monitorización de seguridad proporcionando transparencia a los eventos de seguridad del directorio.

Registros de CloudWatch también puede reenviar estos eventos a otras cuentas de AWS, servicios de AWS y a aplicaciones de terceros. Esto facilita la monitorización y la configuración centralizadas de las alertas para detectar actividades anormales casi en tiempo real y responder a ellas de manera proactiva.

Una vez habilitado el reenvío de registros, puede utilizar la consola de Registros de CloudWatch para recuperar los datos del grupo de registro que especificó al habilitar el servicio. Este grupo de registros contiene los registros de seguridad de sus controladores de dominio.

Para obtener más información sobre los grupos de registros y cómo leer sus datos, consulte Trabajo con grupos y flujos de registro en la Guía del usuario de Registros de Amazon CloudWatch.

nota

El reenvío de registros es una característica regional de AWS Managed Microsoft AD. Si utiliza Replicación multirregional, los siguientes procedimientos se deberán aplicar por separado en cada región. Para obtener más información, consulte Características globales frente a las regionales.

Para habilitar el reenvío de registros

  1. En el panel de navegación de la consola de AWS Directory Service, elija Directories (Directorios).

  2. Elija el ID de directorio del directorio de AWS Managed Microsoft AD que desea compartir.

  3. En la página Detalles del directorio, lleve a cabo una de las siguientes operaciones:

    • Si tiene varias regiones en la sección Replicación multirregional, seleccione la región en la que quiera habilitar el reenvío de registros y, a continuación, elija la pestaña Redes y seguridad. Para obtener más información, consulte Regiones principales frente a las adicionales.

    • Si no aparece ninguna región en la sección Replicación multirregional, seleccione la pestaña Redes y seguridad.

  4. En la sección Log forwarding (Reenvío de registros), elija Enable (Habilitar).

  5. En el cuadro de diálogo Enable log forwarding to CloudWatch (Habilitar el reenvío de registros a CloudWatch), elija una de las siguientes opciones:

    1. Seleccione Crear un nuevo grupo de registro de CloudWatch y, en Nombre del grupo de registro, especifique un nombre al que puede hacer referencia en Registros de CloudWatch.

    2. Seleccione Choose an existing CloudWatch log group (Elija un grupo de registros de CloudWatch) y en Existing CloudWatch log groups (Grupos de registros de CloudWatch existentes), seleccione un grupo de registro en el menú.

  6. Revise el enlace y la información sobre los precios y, a continuación, elija Enable (Habilitar).

Para deshabilitar el reenvío de registros

  1. En el panel de navegación de la consola de AWS Directory Service, elija Directories (Directorios).

  2. Elija el ID de directorio del directorio de AWS Managed Microsoft AD que desea compartir.

  3. En la página Detalles del directorio, lleve a cabo una de las siguientes operaciones:

    • Si tiene varias regiones en la sección Replicación multirregional, seleccione la región en la que quiera deshabilitar el reenvío de registros y, a continuación, elija la pestaña Redes y seguridad. Para obtener más información, consulte Regiones principales frente a las adicionales.

    • Si no aparece ninguna región en la sección Replicación multirregional, seleccione la pestaña Redes y seguridad.

  4. En la sección Log forwarding (Reenvío de registros), elija Disable (Deshabilitar).

  5. Una vez que haya leído la información del cuadro de diálogo Disable log forwarding (Deshabilitar reenvío de registros), elija Disable (Deshabilitar).

Uso de la CLI para habilitar el reenvío de registros

Para poder utilizar el comando ds create-log-subscription, primero debe crear un grupo de registro de Amazon CloudWatch y, a continuación, crear una política de recursos de IAM que concederá los permisos necesarios a ese grupo. Para habilitar el reenvío de registros mediante la CLI, realice todos los pasos que se indican a continuación.

Paso 1: crear un grupo de registro en Registros de CloudWatch

Cree un grupo de registros que se utilizará para recibir los registros de seguridad de los controladores de dominio. Recomendamos que el nombre vaya precedido de /aws/directoryservice/, pero esto no es obligatorio. Por ejemplo:

EJEMPLO DE COMANDO DE LA CLI

aws logs create-log-group --log-group-name '/aws/directoryservice/d-9876543210'

EJEMPLO DE COMANDO DE POWERSHELL

New-CWLLogGroup -LogGroupName '/aws/directoryservice/d-9876543210'

Para obtener información acerca de cómo crear un grupo de registros, consulte Crear un grupo de registro en Registros de CloudWatch en la Guía del usuario de Registros de Amazon CloudWatch.

Paso 2: crear una política de recursos de Registros de CloudWatch en IAM

Cree una política de recursos de Registros de CloudWatch que conceda derechos a AWS Directory Service para agregar registros al grupo de registros nuevo creado en el paso 1. Puede especificar el ARN exacto del grupo de registros para limitar el acceso de AWS Directory Service a otros grupos de registros o utilizar un comodín para incluir todos los grupos de registros. La siguiente política de ejemplo utiliza el método del comodín para indicar que se incluirán todos los grupos de registros que empiecen por /aws/directoryservice/ pertenecientes a la cuenta de AWS donde reside el directorio. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ds.amazonaws.com"
            },
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:YOUR_REGION:YOUR_ACCOUNT_NUMBER:log-group:/aws/directoryservice/*"
        }
    ]
}

Tendrá que guardar esta política en un archivo de texto (por ejemplo, DSPolicy.json) en la estación de trabajo local, ya que deberá ejecutarla desde la CLI. Por ejemplo:

EJEMPLO DE COMANDO DE LA CLI

aws logs put-resource-policy --policy-name DSLogSubscription --policy-document file://DSPolicy.json

EJEMPLO DE COMANDO DE POWERSHELL

$PolicyDocument = Get-Content .\DSPolicy.json –Raw

Write-CWLResourcePolicy -PolicyName DSLogSubscription -PolicyDocument $PolicyDocument

Paso 3: crear una suscripción de registro de AWS Directory Service

En este último paso, ya puede proceder a habilitar el reenvío de registros mediante la creación de la suscripción de registro. Por ejemplo:

EJEMPLO DE COMANDO DE LA CLI

aws ds create-log-subscription --directory-id 'd-9876543210' --log-group-name '/aws/directoryservice/d-9876543210'

EJEMPLO DE COMANDO DE POWERSHELL

New-DSLogSubscription -DirectoryId 'd-9876543210' -LogGroupName '/aws/directoryservice/d-9876543210'