Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS
Vuelva a habilitar AWS automáticamente CloudTrail mediante una regla de corrección personalizada en AWS Config - Recomendaciones de AWS
ResumenRequisitos previos y limitacionesArquitecturaHerramientasEpicsRecursos relacionadosConexiones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Vuelva a habilitar AWS automáticamente CloudTrail mediante una regla de corrección personalizada en AWS Config

PDF

Creado por Manigandan Shri (AWS)

Resumen

La visibilidad de la actividad de su cuenta de Amazon Web Services (AWS) es una práctica recomendada operativa y de seguridad importante. AWS le CloudTrail ayuda con la gobernanza, el cumplimiento y la auditoría operativa y de riesgos de su cuenta.

Para garantizar que CloudTrail siga habilitada en su cuenta, AWS Config proporciona la regla cloudtrail-enabled administrada. Si CloudTrail está desactivada, la cloudtrail-enabled regla la vuelve a activar automáticamente mediante una corrección automática.

Sin embargo, debe asegurarse de seguir las prácticas recomendadas de seguridad CloudTrail si utiliza la corrección automática. Estas prácticas recomendadas incluyen la activación CloudTrail en todas las regiones de AWS, el registro de las cargas de trabajo de lectura y escritura, la habilitación de información y el cifrado de los archivos de registro con cifrado del lado del servidor mediante claves administradas del AWS Key Management Service (AWS KMS) (SSE-KMS).

Este patrón le ayuda a seguir estas prácticas recomendadas de seguridad, ya que proporciona una acción correctiva personalizada para volver a activarla automáticamente en su cuenta. CloudTrail

importante

Te recomendamos que utilices políticas de control de servicios (SCPs) para evitar cualquier alteración. CloudTrail Para obtener más información al respecto, consulte la CloudTrail sección Impedir la manipulación de AWS de Cómo utilizar AWS Organizations para simplificar la seguridad a gran escala en el blog de seguridad de AWS.

Requisitos previos y limitaciones

Requisitos previos 

  • Una cuenta de AWS activa

  • Permisos para crear un manual de procedimientos de Automatización de AWS Systems Manager

  • Un registro de seguimiento existente para su cuenta

Limitaciones

Este patrón no admite las siguientes acciones:

  • Configurar una clave de prefijo de Amazon Simple Storage Service (Amazon S3) para la ubicación de almacenamiento

  • Publicar en un tema de Amazon Simple Notification Service (Amazon SNS)

  • Configuración de Amazon CloudWatch Logs para monitorizar tus CloudTrail registros

Arquitectura

Flujo de trabajo para volver a habilitar AWS CloudTrail mediante una regla de corrección personalizada en AWS Config

Pila de tecnología

  • AWS Config 

  • CloudTrail

  • Systems Manager

  • Automatización de Systems Manager

Herramientas

  • AWS Config brinda una visión detallada de la configuración de los recursos de AWS de su cuenta. 

  • AWS le CloudTrail ayuda a habilitar la gobernanza, el cumplimiento y la auditoría operativa y de riesgos de su cuenta.

  • AWS Key Management Service (AWS KMS) es un servicio de cifrado y administración de claves.

  • AWS Systems Manager le ayuda a ver y controlar la infraestructura en AWS.

  • AWS Systems Manager Automation simplifica las tareas habituales de mantenimiento e implementación de las instancias de Amazon Elastic Compute Cloud (Amazon EC2) y otros recursos de AWS.

  • Amazon Simple Storage Service (Amazon S3) es un servicio de almacenamiento de objetos basado en la nube que le ayuda a almacenar, proteger y recuperar cualquier cantidad de datos.

Código

El cloudtrail-remediation-actionarchivo.yml (adjunto) le ayuda a crear un manual de automatización de Systems Manager para configurarlo y volver a activarlo CloudTrail utilizando las mejores prácticas de seguridad.

Epics

TareaDescripciónHabilidades requeridas

Cree un bucket de S3.

Inicie sesión en la consola de administración de AWS, abra la consola de Amazon S3 y, a continuación, cree un bucket de S3 para almacenar los CloudTrail registros. Para obtener más información, consulte Creación de un bucket en la documentación de Amazon S3.

Administrador de sistemas

Añada una política de bucket que permita CloudTrail entregar los archivos de registro al bucket de S3.

CloudTrail debe tener los permisos necesarios para entregar los archivos de registro a su bucket de S3. En la consola de Amazon S3, elija el bucket de S3 que ha creado anteriormente y, a continuación, elija Permisos. Cree una política de bucket de S3 mediante la política de bucket de Amazon S3 que CloudTrail aparece en la CloudTrail documentación.

Para conocer los pasos sobre cómo añadir una política a un bucket de S3, consulte Cómo añadir una política de bucket mediante la consola de Amazon S3 en la documentación de Amazon S3.

importante

Si especificó un prefijo al crear su ruta CloudTrail, asegúrese de incluirlo en la política de buckets de S3. El prefijo es un añadido opcional a la clave del objeto de S3 que crea una organización en forma de carpeta en su bucket de S3. Para obtener más información al respecto, consulte Crear una ruta en la CloudTrail documentación.

Administrador de sistemas

Creación de una clave de KMS.

Cree una clave de AWS KMS CloudTrail para cifrar los objetos antes de añadirlos al bucket de S3. Para obtener ayuda con esta historia, consulte Cifrar archivos de CloudTrail registro con claves administradas de AWS KMS (SSE-KMS) en la documentación. CloudTrail

Administrador de sistemas

Agregue una política de claves a la clave de KMS.

Adjunte una política de claves de KMS para permitir el uso de CloudTrail la clave de KMS. Para obtener ayuda con esta historia, consulte Cifrar archivos de CloudTrail registro con claves administradas por AWS KMS (SSE-KMS) en la documentación. CloudTrail

importante

CloudTrail no requiere permisos. Decrypt

Administrador de sistemas

Manual de AssumeRole instrucciones de Create for Systems Manager

Cree un AssumeRole para que Systems Manager Automation ejecute el manual de procedimientos. Para obtener instrucciones y más información sobre esto, consulte Configurar la automatización en la documentación de Systems Manager.

Administrador de sistemas

Configuración CloudTrail

TareaDescripciónHabilidades requeridas

Cree un bucket de S3.

Inicie sesión en la consola de administración de AWS, abra la consola de Amazon S3 y, a continuación, cree un bucket de S3 para almacenar los CloudTrail registros. Para obtener más información, consulte Creación de un bucket en la documentación de Amazon S3.

Administrador de sistemas

Añada una política de bucket que permita CloudTrail entregar los archivos de registro al bucket de S3.

CloudTrail debe tener los permisos necesarios para entregar los archivos de registro a su bucket de S3. En la consola de Amazon S3, elija el bucket de S3 que ha creado anteriormente y, a continuación, elija Permisos. Cree una política de bucket de S3 mediante la política de bucket de Amazon S3 que CloudTrail aparece en la CloudTrail documentación.

Para conocer los pasos sobre cómo añadir una política a un bucket de S3, consulte Cómo añadir una política de bucket mediante la consola de Amazon S3 en la documentación de Amazon S3.

importante

Si especificó un prefijo al crear su ruta CloudTrail, asegúrese de incluirlo en la política de buckets de S3. El prefijo es un añadido opcional a la clave del objeto de S3 que crea una organización en forma de carpeta en su bucket de S3. Para obtener más información al respecto, consulte Crear una ruta en la CloudTrail documentación.

Administrador de sistemas

Creación de una clave de KMS.

Cree una clave de AWS KMS CloudTrail para cifrar los objetos antes de añadirlos al bucket de S3. Para obtener ayuda con esta historia, consulte Cifrar archivos de CloudTrail registro con claves administradas de AWS KMS (SSE-KMS) en la documentación. CloudTrail

Administrador de sistemas

Agregue una política de claves a la clave de KMS.

Adjunte una política de claves de KMS para permitir el uso de CloudTrail la clave de KMS. Para obtener ayuda con esta historia, consulte Cifrar archivos de CloudTrail registro con claves administradas por AWS KMS (SSE-KMS) en la documentación. CloudTrail

importante

CloudTrail no requiere permisos. Decrypt

Administrador de sistemas

Manual de AssumeRole instrucciones de Create for Systems Manager

Cree un AssumeRole para que Systems Manager Automation ejecute el manual de procedimientos. Para obtener instrucciones y más información sobre esto, consulte Configurar la automatización en la documentación de Systems Manager.

Administrador de sistemas
TareaDescripciónHabilidades requeridas

Cree el manual de procedimientos de Systems Manager Automation.

Utilice el archivo cloudtrail-remediation-action.yml (adjunto) para crear el manual de procedimiento de Systems Manager Automation. Para obtener más información sobre esto, consulte Creación de documentos de Systems Manager en la documentación de Systems Manager.

Administrador de sistemas

Pruebe el manual de procedimientos.

En la consola de Systems Manager, pruebe el manual de procedimientos de Systems Manager Automation que creó anteriormente. Para obtener más información sobre esto, consulte Realizar una automatización simple en la documentación de Systems Manager.

Administrador de sistemas

Cree y pruebe el manual de procedimientos de Systems Manager Automation

TareaDescripciónHabilidades requeridas

Cree el manual de procedimientos de Systems Manager Automation.

Utilice el archivo cloudtrail-remediation-action.yml (adjunto) para crear el manual de procedimiento de Systems Manager Automation. Para obtener más información sobre esto, consulte Creación de documentos de Systems Manager en la documentación de Systems Manager.

Administrador de sistemas

Pruebe el manual de procedimientos.

En la consola de Systems Manager, pruebe el manual de procedimientos de Systems Manager Automation que creó anteriormente. Para obtener más información sobre esto, consulte Realizar una automatización simple en la documentación de Systems Manager.

Administrador de sistemas
TareaDescripciónHabilidades requeridas

Agregue la regla CloudTrail habilitada.

En la consola de AWS Config, elija Rules (Reglas) y, a continuación, seleccione Add rule (Añadir regla). En la página Add rule (Añadir regla), seleccione Add custom rule (Añadir regla personalizada). En la página Configure rule (Configurar regla), escriba un nombre y una descripción, y agregue la regla cloudtrail-enabled. Para obtener más información, consulte Administrar las reglas de todas las cuentas de la organización en la documentación de AWS Config.

Administrador de sistemas

Agregue la acción correctora automática.

En la lista desplegable Actions (Acciones), seleccione Manage remediation (Administrar la corrección). Elija Auto remediation (Corrección automática) y, a continuación, elija el manual de procedimientos de Systems Manager que creó anteriormente. 

Los siguientes son los parámetros de entrada necesarios para CloudTrail:

  • CloudTrailName

  • CloudTrailS3BucketName

  • CloudTrailKmsKeyId

  • AssumeRole (opcional)

Los siguientes parámetros de entrada están configurados en true de forma predeterminada: 

  • IsMultiRegionTrail

  • IsOrganizationTrail

  • IncludeGlobalServiceEvents

  • EnableLogFileValidation

Conserve los valores predeterminados para el parámetro de límites de velocidad y el parámetro de ID de recurso. Seleccione Save (Guardar).

Para obtener más información, consulte Corregir recursos de AWS no conformes con las reglas de AWS Config en la documentación de AWS Config.

Administrador de sistemas

Pruebe la regla de corrección automática.

Para probar la regla de corrección automática, abra la CloudTrail consola, elija Rutas y, a continuación, elija la ruta. Seleccione Stop logging (Detener el registro) para desactivar el registro de los registros de seguimiento. Cuando se le pida que confirme, seleccione Detener el registro. CloudTrail detiene el registro de la actividad de esa ruta.

Siga las instrucciones de Evaluación de sus recursos en la documentación de AWS Config para asegurarse de que CloudTrail se volvió a habilitar automáticamente.

Administrador de sistemas

Configure la corrección automática para la regla en AWS Config.

TareaDescripciónHabilidades requeridas

Agregue la regla CloudTrail habilitada.

En la consola de AWS Config, elija Rules (Reglas) y, a continuación, seleccione Add rule (Añadir regla). En la página Add rule (Añadir regla), seleccione Add custom rule (Añadir regla personalizada). En la página Configure rule (Configurar regla), escriba un nombre y una descripción, y agregue la regla cloudtrail-enabled. Para obtener más información, consulte Administrar las reglas de todas las cuentas de la organización en la documentación de AWS Config.

Administrador de sistemas

Agregue la acción correctora automática.

En la lista desplegable Actions (Acciones), seleccione Manage remediation (Administrar la corrección). Elija Auto remediation (Corrección automática) y, a continuación, elija el manual de procedimientos de Systems Manager que creó anteriormente. 

Los siguientes son los parámetros de entrada necesarios para CloudTrail:

  • CloudTrailName

  • CloudTrailS3BucketName

  • CloudTrailKmsKeyId

  • AssumeRole (opcional)

Los siguientes parámetros de entrada están configurados en true de forma predeterminada: 

  • IsMultiRegionTrail

  • IsOrganizationTrail

  • IncludeGlobalServiceEvents

  • EnableLogFileValidation

Conserve los valores predeterminados para el parámetro de límites de velocidad y el parámetro de ID de recurso. Seleccione Save (Guardar).

Para obtener más información, consulte Corregir recursos de AWS no conformes con las reglas de AWS Config en la documentación de AWS Config.

Administrador de sistemas

Pruebe la regla de corrección automática.

Para probar la regla de corrección automática, abra la CloudTrail consola, elija Rutas y, a continuación, elija la ruta. Seleccione Stop logging (Detener el registro) para desactivar el registro de los registros de seguimiento. Cuando se le pida que confirme, seleccione Detener el registro. CloudTrail detiene el registro de la actividad de esa ruta.

Siga las instrucciones de Evaluación de sus recursos en la documentación de AWS Config para asegurarse de que CloudTrail se volvió a habilitar automáticamente.

Administrador de sistemas

Recursos relacionados

Configuración CloudTrail

Cree de un manual de procedimientos de Systems Manager Automation

Configure la regla de corrección automática en AWS Config

Recursos adicionales

Conexiones

Para acceder al contenido adicional asociado a este documento, descomprima el archivo: attachment.zip

¿Necesita ayuda?

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.