AWS CloudTrail - Guía del usuario · AWS CloudTrail Guía del usuario Funcionamiento de CloudTrail Un registro de seguimiento aplicable a todas las regiones Cuando se crea un registro

AWS CloudTrailGuía del usuario

Version 1.0

AWS CloudTrail Guía del usuario

AWS CloudTrail: Guía del usuarioCopyright © 2020 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,in any manner that is likely to cause confusion among customers, or in any manner that disparages or discreditsAmazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may notbe affiliated with, connected to, or sponsored by Amazon.


Table of Contents¿Qué es AWS CloudTrail? ................................................................................................................... 1

Funcionamiento de CloudTrail ...................................................................................................... 1Flujo de trabajo de CloudTrail ...................................................................................................... 3Conceptos de CloudTrail ............................................................................................................. 4

¿Qué son los eventos de CloudTrail? .................................................................................... 5¿Qué es el historial de eventos de CloudTrail? ....................................................................... 7¿Qué son los registros de seguimiento? ................................................................................ 7¿Qué son los registros de seguimiento de organización? .......................................................... 7¿Cómo se administra CloudTrail? ......................................................................................... 8¿Cómo controlar el acceso a CloudTrail? ............................................................................... 9¿Cómo se registran los eventos de administración o de datos? ................................................. 9¿Cómo se registran los eventos de CloudTrail Insights? ........................................................... 9¿Cómo se supervisan las operaciones con CloudTrail? ............................................................ 9¿Cómo se comporta CloudTrail a nivel regional y global? ....................................................... 10Acerca de los eventos de servicios globales ......................................................................... 12¿Cómo se relaciona CloudTrail con otros servicios de monitorización de AWS? ......................... 13Soluciones conjuntas con socios ......................................................................................... 13

Regiones admitidas de CloudTrail ............................................................................................... 13Ejemplos de archivos de registro de CloudTrail ............................................................................. 15

Formato de nombres de archivos de registro de CloudTrail ..................................................... 15Ejemplos de archivos de registro ........................................................................................ 16

Servicios e integraciones compatibles con CloudTrail ..................................................................... 21Integraciones de servicios de AWS con registros de CloudTrail ................................................ 22Integración de CloudTrail con AWS Organizations ................................................................. 23Temas de servicios de AWS para CloudTrail ........................................................................ 23Servicios no compatibles con CloudTrail ............................................................................... 32

Límites en AWS CloudTrail ........................................................................................................ 33Tutorial de AWS CloudTrail ................................................................................................................ 35

Requisitos previos ..................................................................................................................... 35Paso 1: Revisar la actividad de la cuenta de AWS en el historial de eventos ...................................... 35Paso 2: Crear el primer registro de seguimiento ............................................................................ 39Paso 3: Ver los archivos de registro ............................................................................................ 40Paso 4: Planificar los pasos siguientes ........................................................................................ 43

Uso de CloudTrail ............................................................................................................................. 44Ver eventos con el historial de eventos de CloudTrail ..................................................................... 44

Visualización de eventos de CloudTrail en la consola de CloudTrail .......................................... 45Ver eventos de CloudTrail con la AWS CLI .......................................................................... 49

Consulta de eventos de CloudTrail Insights .................................................................................. 55Consulta de eventos de CloudTrail Insights en la consola de CloudTrail ..................................... 56Ver eventos de CloudTrail Insights con la AWS CLI ............................................................... 62

Creación de un registro de seguimiento para su cuenta de AWS ...................................................... 68Crear y actualizar un registro de seguimiento con la consola ................................................... 69Creación, actualización y administración de registros de seguimiento con la AWS Command LineInterface .......................................................................................................................... 76

Creación de un registro de seguimiento para una organización ........................................................ 91Prácticas recomendadas para pasar de los registros de seguimiento de cuentas de miembro alos registros de seguimiento de la organización ..................................................................... 93Prepararse para crear un registro de seguimiento para la organización ...................................... 93Crear un registro de seguimiento para la organización en la consola ......................................... 95Creación de un registro de seguimiento para una organización con la AWS Command LineInterface ........................................................................................................................ 100

Obtención y visualización de archivos de registro de CloudTrail ...................................................... 104Búsqueda de los archivos de registro de CloudTrail ............................................................. 104Descarga de los archivos de registro de CloudTrail .............................................................. 106

Version 1.0iii


Configuración de notificaciones de Amazon SNS para CloudTrail ................................................... 107Configuración de CloudTrail para enviar notificaciones .......................................................... 107

Controlar los permisos de usuario para CloudTrail ....................................................................... 108Consejos para la administración de registros de seguimiento ......................................................... 109

Administración de los costos de CloudTrail ......................................................................... 109Requisitos de nomenclatura de registros de seguimiento de CloudTrail .................................... 111Requisitos de nomenclatura para buckets de Amazon S3 ...................................................... 111Requisitos de asignación del nombre del alias a AWS KMS ................................................... 112

Uso de AWS CloudTrail con los puntos de conexión de la VPC de tipo interfaz ................................. 112Disponibilidad. ................................................................................................................ 112Crear un punto de conexión de la VPC para CloudTrail ........................................................ 113

Uso de archivos de registro de CloudTrail .......................................................................................... 114Crear varios registros de seguimiento ........................................................................................ 115Registro de eventos de administración para registros de seguimiento .............................................. 117

Eventos de administración ................................................................................................ 117Eventos de solo lectura y de solo escritura ......................................................................... 118Registro de eventos con la AWS Command Line Interface ..................................................... 119Registro de eventos con el SDK de AWS ........................................................................... 121Envío de eventos a Amazon CloudWatch Logs .................................................................... 121

Registro de eventos de datos para registros de seguimiento .......................................................... 121Eventos de datos ............................................................................................................ 121Eventos de solo lectura y de solo escritura ......................................................................... 126Registro de eventos con la AWS Command Line Interface ..................................................... 127Registro de eventos con el SDK de AWS ........................................................................... 128Envío de eventos a Amazon CloudWatch Logs .................................................................... 128

Registro de eventos de Insights para registros de seguimiento ....................................................... 129Descripción de Insights .................................................................................................... 129Registro de eventos de Insights con la Consola de administración de AWS .............................. 132Registro de eventos de Insights con la AWS Command Line Interface ..................................... 132Registro de eventos con el SDK de AWS ........................................................................... 133Envío de eventos a Amazon CloudWatch Logs .................................................................... 133

Recibir archivos de registro de CloudTrail de varias regiones ......................................................... 133Monitoreo de archivos de registro de CloudTrail con Amazon CloudWatch Logs ................................ 134

Envío de eventos a CloudWatch Logs ................................................................................ 134Creación de alarmas de CloudWatch con una plantilla de AWS CloudFormation. ....................... 139Ejemplos de creación de alarmas de CloudWatch para eventos de CloudTrail ........................... 151Ejemplos de creación de alarmas de CloudWatch para eventos de CloudTrail ........................... 176Configurar notificaciones para alarmas de CloudWatch Logs .................................................. 185Impedir que CloudTrail envíe eventos a CloudWatch Logs ..................................................... 185Nombres de grupos de registros y secuencias de registros de CloudWatch para CloudTrail ......... 186Documento de política de roles para que CloudTrail use CloudWatch Logs para el monitoreo ....... 186

Recepción de archivos de registro de CloudTrail de varias cuentas ................................................. 188Configuración de la política de bucket para varias cuentas .................................................... 188Activación de CloudTrail en cuentas adicionales .................................................................. 189

Compartición de archivos de registro de CloudTrail entre cuentas de AWS ....................................... 191Situación 1: Concesión de acceso a la cuenta que ha generado los archivos de registro ............. 191Situación 2: Concesión de acceso a todos los registros ........................................................ 193Creación de un rol .......................................................................................................... 194Crear una política de acceso para conceder acceso a las cuentas de su propiedad .................... 195Crear una política de acceso para conceder acceso a un tercero ............................................ 197Asumir un rol .................................................................................................................. 198Dejar de compartir archivos de registro CloudTrail entre cuentas de AWS ................................ 200

Validación de la integridad de los archivos de registro de CloudTrail ............................................... 200¿Por qué utilizarla? ......................................................................................................... 201Cómo funciona ............................................................................................................... 201Habilitación de la validación de la integridad de los archivos de registro de CloudTrail ................ 202Validación de la integridad de los archivos de registro de CloudTrail con la AWS CLI .................. 202

Version 1.0iv


Estructura de los archivos de resumen de CloudTrail ............................................................ 208Implementaciones personalizadas para validar la integridad de los archivos de registro deCloudTrail ...................................................................................................................... 213

Uso de la CloudTrail Processing Library ..................................................................................... 221Requisitos mínimos ......................................................................................................... 221Procesamiento de registros de CloudTrail ........................................................................... 222Temas avanzados ........................................................................................................... 226Recursos adicionales ....................................................................................................... 229

Seguridad ...................................................................................................................................... 230Protección de los datos ............................................................................................................ 230Identity and Access Management .............................................................................................. 231

Público .......................................................................................................................... 232Autenticación con identidades ........................................................................................... 232Administración de acceso mediante políticas ....................................................................... 234Funcionamiento de AWS CloudTrail con IAM ...................................................................... 236Ejemplos de políticas basadas en identidad ........................................................................ 239Política de bucket de Amazon S3 para CloudTrail ................................................................ 249Política de temas de Amazon SNS para CloudTrail .............................................................. 254Solución de problemas ..................................................................................................... 256Uso de funciones vinculadas a servicios ............................................................................. 258

Validación de la conformidad .................................................................................................... 260Resiliencia .............................................................................................................................. 260Seguridad de la infraestructura .................................................................................................. 261Prácticas recomendadas de seguridad ....................................................................................... 262

Prácticas recomendadas de seguridad de supervisión de CloudTrail ........................................ 262Prácticas recomendadas de seguridad preventivas de CloudTrail ............................................ 263

Cifrado de archivos de registro de CloudTrail con claves administradas de AWS KMS (SSE-KMS) ........ 265Habilitación del cifrado de los archivos de registro ............................................................... 266Conceder permisos para crear una CMK ............................................................................ 267Configuración de políticas de claves de AWS KMS para CloudTrail ......................................... 267Actualización de un registro de seguimiento para utilizar su clave CMK .................................... 274Habilitar y deshabilitar el cifrado de archivos de registro de CloudTrail con la AWS CLI ............... 275

Referencia de eventos de registro de CloudTrail .................................................................................. 277Contenido de los registros de CloudTrail .................................................................................... 279

Campos de registro de eventos de Insights ......................................................................... 284Ejemplo de sharedEventID ............................................................................................... 285

Elemento userIdentity de CloudTrail ........................................................................................... 286Ejemplos ........................................................................................................................ 287Campos ......................................................................................................................... 287Valores de las API de AWS STS con SAML e Identidades web federadas ................................ 291

Eventos no generados por la API capturados por CloudTrail .......................................................... 292Eventos de servicio de AWS ............................................................................................. 292Eventos de inicio de sesión de la consola de AWS .............................................................. 293

Historial de revisión ......................................................................................................................... 297Actualizaciones anteriores ........................................................................................................ 302

AWS glossary ................................................................................................................................. 317

Version 1.0v

AWS CloudTrail Guía del usuarioFuncionamiento de CloudTrail

¿Qué es AWS CloudTrail?AWS CloudTrail es un servicio de AWS que le ayuda a habilitar el gobierno, el cumplimiento, elfuncionamiento y el análisis de operaciones y riesgo de su cuenta de AWS. Las medidas que adopta unusuario, la función o un servicio de AWS se registran como eventos en CloudTrail. Los eventos incluyenlas acciones llevadas a cabo en la Consola de administración de AWS y AWS Command Line Interface asícomo las API y los SDK de AWS.

CloudTrail se habilita en su cuenta de AWS cuando la crea. Cuando se produce actividad en su cuentade AWS, esta se registra en un evento de CloudTrail. Puede ver fácilmente los eventos recientes en laconsola de CloudTrail, solo tiene que dirigirse al historial de eventos. Para mantener un registro continuode la actividad y de los eventos en su cuenta de AWS, cree un registro de seguimiento (p. 69). Paraobtener más información sobre los precios de CloudTrail, consulte AWS CloudTrailPrecios.

La visibilidad de la actividad de su cuenta de AWS es un aspecto clave de la seguridad y de las prácticasrecomendadas operativas. Puede utilizar CloudTrail para ver, buscar, descargar, archivar, analizar yresponder a la actividad de la cuenta en la infraestructura de AWS. Puede identificar quién o qué tuvoque actuar, sobre qué recursos se actuó, cuándo se produjo el evento y otros detalles que le ayudarán aanalizar y responder a una actividad en la cuenta de AWS. También puede activar AWS CloudTrail Insightsen un registro de seguimiento para que le ayude a identificar actividades inusuales y responder a ellas.

Puede integrar CloudTrail en las aplicaciones mediante la API, automatizar la creación de registros deseguimiento para su organización, comprobar el estado de sus registros de seguimiento y controlar laforma en que los usuarios ven los eventos de CloudTrail.

Temas• Funcionamiento de CloudTrail (p. 1)• Flujo de trabajo de CloudTrail (p. 3)• Conceptos de CloudTrail (p. 4)• Regiones admitidas de CloudTrail (p. 13)• Ejemplos de archivos de registro de CloudTrail (p. 15)• Servicios e integraciones compatibles con CloudTrail (p. 21)• Límites en AWS CloudTrail (p. 33)

Funcionamiento de CloudTrailCloudTrail se habilita en su cuenta de AWS cuando la crea. Cuando se produce actividad en su cuentade AWS, esta se registra en un evento de CloudTrail. Ver los eventos en la consola de CloudTrail es fácil:basta con dirigirse al historial de eventos.

El historial de eventos le permite ver, buscar y descargar los últimos 90 días de actividad de la cuenta deAWS. Además, puede crear un registro de seguimiento de CloudTrail para archivar, analizar y responder alos cambios que se produzcan en los recursos de AWS. Un registro de seguimiento es una configuraciónque permite el envío de eventos a un bucket de Amazon S3 que usted especifique. También puede enviary analizar los eventos en un registro de seguimiento con Amazon CloudWatch Logs y Amazon CloudWatchEvents. Puede crear un registro de seguimiento con la consola de CloudTrail, la AWS CLI o la API deCloudTrail.

Puede crear dos tipos de registros de seguimiento para una cuenta de AWS:

Version 1.01

http://aws.amazon.com/cloudtrail/pricing/

AWS CloudTrail Guía del usuarioFuncionamiento de CloudTrail

Un registro de seguimiento aplicable a todas las regiones

Cuando se crea un registro de seguimiento que se aplica a todas las regiones, CloudTrail registra loseventos de cada región y envía los archivos de registro de eventos de CloudTrail al bucket de S3 quese especifique. Si se añade una región después de crear un registro de seguimiento que se aplica atodas las regiones, la nueva región se incluye automáticamente, y también se registran sus eventos.Esta es la opción predeterminada al crear un registro de seguimiento en la consola de CloudTrail. Paraobtener más información, consulte Creación de un registro de seguimiento en la consola (p. 70).

Un registro de seguimiento aplicable a una región

Cuando se crea un registro de seguimiento que se aplica a una región, CloudTrail solo registra loseventos de esa región. A continuación, envía los archivos de registro de eventos de CloudTrail albucket de Amazon S3 que se especifique. Si crea registros de seguimiento individuales adicionales,puede disponer que dichos registros de seguimiento envíen los archivos de registro de eventos deCloudTrail al mismo bucket de Amazon S3 o a buckets separados. Esta es la opción predeterminadaal crear un registro de seguimiento mediante la AWS CLI o la API de CloudTrail. Para obtener másinformación, consulte Creación, actualización y administración de registros de seguimiento con la AWSCommand Line Interface (p. 76).

Note

Puede especificar un bucket de Amazon S3 desde cualquier región para ambos tipos de registrode seguimiento.

A partir del 12 de abril de 2019, los registros de seguimiento solo serán visibles en las regiones de AWS enlas que registren eventos. Si crea un registro de seguimiento que registre eventos en todas las regiones deAWS, aparecerá en la consola en todas las regiones de AWS. Si crea un registro de seguimiento que soloregistra los eventos en una región de AWS, podrá verlo y administrarlo únicamente en esa región de AWS.

Si ha creado una organización en AWS Organizations, también puede crear un registro de seguimientoque registrará todos los eventos de todas las cuentas de AWS en dicha organización. Esto es lo que sedenomina registro de seguimiento de organización. Los registros de seguimiento de organización puedenaplicarse a todas las regiones de AWS o a una región. Los registros de seguimiento de organizacióndeben crearse en la cuenta maestra y, cuando se especifica que se aplican a una organización, seaplican automáticamente a todas las cuentas miembro de la organización. Las cuentas miembro podránver el registro de seguimiento de organización, pero no pueden modificarlo o eliminarlo. De formapredeterminada, las cuentas de miembros no obtendrán acceso a los archivos de registro del registro deseguimiento de la organización en el bucket de Amazon S3.

Puede cambiar la configuración de un registro de seguimiento después de crearlo, incluida la opción queindica si registra los eventos de una región o de todas. También puede cambiar si registra eventos dedatos o eventos de Insights de CloudTrail. El cambio de la opción que indica si el registro de seguimientoregistra eventos de una región o de todas afecta a los eventos que se registran. Para obtener másinformación, consulte Actualización de un registro de seguimiento (p. 74) (consola), Administraciónde registros de seguimiento con la AWS CLI (p. 82) (AWS CLI) y Uso de archivos de registro deCloudTrail (p. 114).

De forma predeterminada, los archivos de registro de eventos de CloudTrail se cifran mediante el cifradodel lado del servidor (SSE) de Amazon S3. También puede optar por cifrar los archivos de registro con unaclave AWS Key Management Service (AWS KMS). Puede almacenar sus archivos de registro en su bucketdurante el tiempo que quiera. También puede definir reglas de ciclo de vida de Amazon S3 para archivar oeliminar archivos de registro automáticamente. Si desea recibir notificaciones sobre el envío y la validaciónde archivos de registro, puede configurar las notificaciones de Amazon SNS.

CloudTrail normalmente envía archivos de registro en el plazo de 15 minutos tras producirse la actividad dela cuenta. Además, CloudTrail publica archivos de registro varias veces por hora, casi cada cinco minutos.Estos archivos de registro contienen llamadas a la API de servicios en la cuenta que admiten CloudTrail.Para obtener más información, consulte Servicios e integraciones compatibles con CloudTrail (p. 21).

Version 1.02

AWS CloudTrail Guía del usuarioFlujo de trabajo de CloudTrail

Note

CloudTrail captura las acciones realizadas directamente por el usuario o en nombre del usuariopor un servicio de AWS. Por ejemplo, una llamada a CreateStack de AWS CloudFormationpuede resultar en llamadas de API adicionales a Amazon EC2, Amazon RDS, Amazon EBS uotros servicios, según exija la plantilla de AWS CloudFormation. Este comportamiento es normal yprevisible. Puede identificar si la acción la ha realizado un servicio de AWS consultando el campoinvokedby del evento de CloudTrail.

Para comenzar a utilizar CloudTrail, consulte Tutorial de introducción a AWS CloudTrail (p. 35).

Para obtener información acerca de los precios de CloudTrail, consulte Precios de AWS CloudTrail. Paraobtener información sobre los precios de Amazon S3 y Amazon SNS, consulte Precios de Amazon S3 yPrecios de Amazon SNS.

Flujo de trabajo de CloudTrailVer el historial de eventos de su cuenta de AWS

Puede ver y buscar los últimos 90 días de eventos registrados por CloudTrail en la consola deCloudTrail o mediante la AWS CLI. Para obtener más información, consulte Ver eventos con elhistorial de eventos de CloudTrail (p. 44).

Descargar eventos

Puede descargar un archivo JSON o CSV que contenga hasta los últimos 90 días de eventosde CloudTrail para su cuenta de AWS. Para obtener más información, consulte Descarga deeventos (p. 48) o Descargar eventos de Insights (p. 61).

Crear un registro de seguimiento

Un registro de seguimiento permite a CloudTrail enviar archivos de registro a su bucket de AmazonS3. De forma predeterminada, cuando se crea un registro de seguimiento en la consola, el registro deseguimiento se aplica a todas las regiones. El registro de seguimiento registra los eventos de todaslas regiones de la partición de AWS y envía los archivos de registro al bucket de S3 especificado.Para obtener más información, consulte Creación de un registro de seguimiento para su cuenta deAWS (p. 68).

Cree y suscríbase a un tema de Amazon SNS

Suscríbase a un tema para recibir notificaciones sobre el envío de archivos de registro a su bucket.Amazon SNS puede notificarle de muchas maneras, por ejemplo, a través de programación medianteAmazon Simple Queue Service. Para obtener información, consulte Configuración de notificaciones deAmazon SNS para CloudTrail (p. 107).

Note

Si desea recibir notificaciones de SNS sobre los envíos de archivos de registro de todaslas regiones, especifique solo un tema de SNS para su registro de seguimiento. Si deseaprocesar mediante programación todos los eventos, consulte Uso de la CloudTrail ProcessingLibrary (p. 221).

Ver los archivos de registro

Utilice Amazon S3 para recuperar los archivos de registro. Para obtener información, consulteObtención y visualización de archivos de registro de CloudTrail (p. 104).

Administrar los permisos de usuario

Utilice AWS Identity and Access Management (IAM) para administrar los permisos de los usuariospara crear, configurar o eliminar registros de seguimiento, iniciar y detener el registro y tener acceso a

Version 1.03

https://aws.amazon.com/cloudtrail/pricing/

https://aws.amazon.com/s3/pricing/

https://aws.amazon.com/sns/pricing/

AWS CloudTrail Guía del usuarioConceptos de CloudTrail

los buckets que contienen los archivos de registro. Para obtener más información, consulte Controlarlos permisos de usuario para CloudTrail (p. 108).

Monitorizar eventos con CloudWatch Logs

Puede configurar su registro de seguimiento para que envíe eventos a CloudWatch Logs. Acontinuación, puede utilizar CloudWatch Logs para monitorizar su cuenta para eventos y llamadasa la API específicas. Para obtener más información, consulte Monitoreo de archivos de registro deCloudTrail con Amazon CloudWatch Logs (p. 134).

Note

Si configura un registro de seguimiento que se aplica a todas las regiones para que envíeeventos a un grupo de archivos de registro de CloudWatch Logs, CloudTrail envía eventos detodas las regiones a un solo grupo de archivos de registro.

Administración de archivos de registro y eventos de datos

Configure sus registros de seguimiento para que registren eventos de solo lectura y solo escritura otodos los eventos de administración y datos. De forma predeterminada, los registros de seguimientoregistran eventos de administración. Para obtener más información, consulte Uso de archivos deregistro de CloudTrail (p. 114).

Registro de eventos de CloudTrail Insights

Configure sus registros de seguimiento para registrar Insights events y poder identificar y responder aactividades inusuales relacionadas con las llamadas a la API de administración write. Si el registrode seguimiento está configurado para registrar eventos de solo lectura o no relacionados con laadministración, no puede activar el registro de eventos de CloudTrail Insights. Para obtener másinformación, consulte Registro de eventos de Insights para registros de seguimiento (p. 129).

Activar el cifrado de archivos de registro

El cifrado de archivos de registro proporciona una capa adicional de seguridad para sus archivos deregistro. Para obtener más información, consulte Cifrado de archivos de registro de CloudTrail conclaves administradas de AWS KMS (SSE-KMS) (p. 265).

Activar la integridad de los archivos de registro

La validación de la integridad de los archivos de registro le ayuda a verificar que los archivos deregistro se mantienen sin cambios desde que los envió CloudTrail. Para obtener más información,consulte Validación de la integridad de los archivos de registro de CloudTrail (p. 200).

Compartir archivos de registro con otras cuentas de AWS

Puede compartir archivos de registro entre cuentas. Para obtener más información, consulteCompartición de archivos de registro de CloudTrail entre cuentas de AWS (p. 191).

Agrupar archivos de registro de varias cuentas

Puede agrupar archivos de registro de varias cuentas en un solo bucket. Para obtener másinformación, consulte Recepción de archivos de registro de CloudTrail de varias cuentas (p. 188).

Trabajar con soluciones de los socios

Analice su resultado de CloudTrail con una de las soluciones de nuestros socios que se integrancon CloudTrail. Las soluciones de los socios ofrecen un amplio conjunto de funciones, como elseguimiento de cambios, la solución de problemas y el análisis de seguridad. Para obtener másinformación, consulte la página de socios de AWS CloudTrail.

Conceptos de CloudTrailEsta sección resume de los conceptos básicos relacionados con CloudTrail.

Version 1.04

https://aws.amazon.com/cloudtrail/partners/

AWS CloudTrail Guía del usuario¿Qué son los eventos de CloudTrail?

Contenido• ¿Qué son los eventos de CloudTrail? (p. 5)

• ¿Qué son los eventos de administración? (p. 6)• ¿Qué son los eventos de datos? (p. 6)• ¿Qué son los eventos de Insights? (p. 6)

• ¿Qué es el historial de eventos de CloudTrail? (p. 7)• ¿Qué son los registros de seguimiento? (p. 7)• ¿Qué son los registros de seguimiento de organización? (p. 7)• ¿Cómo se administra CloudTrail? (p. 8)

• Consola de CloudTrail (p. 8)• CLI de CloudTrail (p. 8)• API de CloudTrail (p. 8)• SDK de AWS (p. 8)• ¿Para qué se usan las etiquetas de los registros de seguimiento? (p. 8)

• ¿Cómo controlar el acceso a CloudTrail? (p. 9)• ¿Cómo se registran los eventos de administración o de datos? (p. 9)• ¿Cómo se registran los eventos de CloudTrail Insights? (p. 9)• ¿Cómo se supervisan las operaciones con CloudTrail? (p. 9)

• CloudWatch Logs, Eventos de CloudWatch, y CloudTrail (p. 9)• ¿Cómo se comporta CloudTrail a nivel regional y global? (p. 10)

• ¿Cuáles son las ventajas de aplicar un registro de seguimiento a todas lasregiones? (p. 10)

• ¿Qué sucede cuando se aplica un registro de seguimiento a todas las regiones? (p. 11)• Múltiples registros de seguimiento por región (p. 11)• AWS Security Token Service (AWS STS) y CloudTrail (p. 11)

• Acerca de los eventos de servicios globales (p. 12)• ¿Cómo se relaciona CloudTrail con otros servicios de monitorización de AWS? (p. 13)• Soluciones conjuntas con socios (p. 13)

¿Qué son los eventos de CloudTrail?Un evento en CloudTrail es el registro de una actividad en una cuenta de AWS. Esta actividad puede seruna acción de un usuario, rol o un servicio y que CloudTrail puede monitorizar. Los eventos de CloudTrailproporcionan un historial de las actividades, tanto de la API como las que no lo son, que se realizan através de la Consola de administración de AWS, los SDK de AWS, las herramientas de línea de comandosy otros servicios de AWS. Existen dos tipos de eventos que se pueden registrar en CloudTrail: eventos deadministración y eventos de datos. De forma predeterminada, los registros de seguimiento registran loseventos de administración, pero no los eventos de datos.

Los eventos de administración y los eventos de datos utilizan el mismo formato de archivo de registroJSON de CloudTrail.

Note

CloudTrail no registra todos los servicios de AWS. Algunos servicios de AWS no habilitanel registro de todas las API y eventos. Aunque configure el registro de todos los eventos deadministración y de datos en un registro de seguimiento, no se creará un archivo de registro contodos los eventos posibles de AWS. Para obtener información detallada sobre las API que seregistran para un determinado servicio, consulte la documentación del servicio en Servicios eintegraciones compatibles con CloudTrail (p. 21).

Version 1.05

AWS CloudTrail Guía del usuario¿Qué son los eventos de CloudTrail?

¿Qué son los eventos de administración?Los eventos de administración proporcionan información sobre las operaciones de administración que serealizan en los recursos de su cuenta de AWS. Se denominan también operaciones del plano de control.Algunos ejemplos de eventos de administración son los siguientes:

• Configuración de la seguridad (por ejemplo, operaciones de la API AttachRolePolicy de IAM).• Registro de dispositivos (por ejemplo, operaciones de la API CreateDefaultVpc de Amazon EC2).• Configuración de reglas para el direccionamiento de datos (por ejemplo, operaciones de la APICreateSubnet de Amazon EC2).

• Configuración del registro (por ejemplo, operaciones de la API CreateTrail de AWS CloudTrail).

Los eventos de administración también pueden incluir eventos no generados por la API que se producenen su cuenta. Por ejemplo, cuando un usuario inicia sesión en su cuenta, CloudTrail registra el eventoConsoleLogin. Para obtener más información, consulte Eventos no generados por la API capturados porCloudTrail (p. 292). Para obtener una lista de los eventos de administración que CloudTrail registra paraservicios de AWS, consulte Servicios e integraciones compatibles con CloudTrail (p. 21).

¿Qué son los eventos de datos?Los eventos de datos proporcionan información sobre las operaciones realizadas en un recurso o dentrode él. Se denominan también operaciones del plano de datos. Los eventos de datos suelen ser actividadesde gran volumen. Algunos ejemplos de eventos de datos son los siguientes:

• Actividad de la API de nivel de objeto de Amazon S3 (por ejemplo, las operaciones GetObject,DeleteObject y PutObject de la API).

• Actividad de ejecución de funciones de AWS Lambda (la API Invoke).

Los eventos de datos están deshabilitados de forma predeterminada cuando crea un registro deseguimiento. Para registrar eventos de datos de CloudTrail, debe añadir explícitamente en un registro deseguimiento los recursos o tipos de recursos admitidos cuya actividad desea recopilar. Para obtener másinformación, consulte Creación de un registro de seguimiento (p. 69) y Eventos de datos (p. 121).

Se aplican cargos adicionales por el registro de eventos de datos. Para obtener información acerca de losprecios de CloudTrail, consulte Precios de AWS CloudTrail.

¿Qué son los eventos de Insights?Los eventos de CloudTrail Insights capturan la actividad inusual en su cuenta de AWS. Si ha habilitadoInsights events y CloudTrail detecta actividad inusual, los Insights events se registran en una carpeta oprefijo diferente en el bucket de S3 de destino para su registro de seguimiento. También puede ver eltipo de información y el período de tiempo del incidente consultando los Insights events en la consolade CloudTrail. Los Insights events proporcionan información relevante, como la API asociada, la horadel incidente y las estadísticas, que le ayuda a conocer la actividad inusual y actuar en consecuencia. Adiferencia de otros tipos de eventos capturados en un registro de seguimiento de CloudTrail, los Insightsevents solo se registran cuando CloudTrail detecta cambios en el uso de la API de su cuenta que difierenconsiderablemente de los patrones de uso típicos de la cuenta. Entre los ejemplos de actividad que podríagenerar Insights events se incluyen los siguientes:

• Normalmente, su cuenta registra no más de 20 llamadas por minuto a la API deleteBucketde Amazon S3, pero empieza registrando un promedio de 100 llamadas por minuto a la APIdeleteBucket. Se registra un evento de Insights al inicio de la actividad inusual y se registra otroevento de Insights para marcar el final de la actividad inusual.

• Por lo general, su cuenta registra 20 llamadas por minuto a la APIAuthorizeSecurityGroupIngress de Amazon EC2, pero empieza registrando cero llamadas a

Version 1.06


AWS CloudTrail Guía del usuario¿Qué es el historial de eventos de CloudTrail?

AuthorizeSecurityGroupIngress. Un evento de Insights se registra al inicio de la actividad inusualy diez minutos más tarde, cuando finaliza la actividad inusual, se registra otro evento de Insights paramarcar el final de la actividad inusual.

Estos ejemplos se ofrecen únicamente con fines ilustrativos. Sus resultados pueden variar según su casode uso.

Los Insights events están deshabilitados de forma predeterminada cuando crea un registro de seguimiento.Para registrar eventos de CloudTrail Insights, debe habilitar explícitamente la recopilación de eventosde Insights en un registro de seguimiento nuevo o existente. Para obtener más información, consulteCreación de un registro de seguimiento (p. 69) y Registro de eventos de Insights para registros deseguimiento (p. 129).

Se aplican cargos adicionales por el registro de Insights events de CloudTrail. Para obtener informaciónacerca de los precios de CloudTrail, consulte Precios de AWS CloudTrail.

¿Qué es el historial de eventos de CloudTrail?El historial de eventos de CloudTrail proporciona un registro visible, que se puede buscar y descargar, delos últimos 90 días de eventos de CloudTrail. Puede utilizar este historial para obtener información sobrelas acciones llevadas a cabo en su cuenta de AWS en la Consola de administración de AWS, los SDKde AWS, las herramientas de línea de comando y otros servicios de AWS. Puede personalizar la vistadel historial de eventos en la consola de CloudTrail seleccionando las columnas que desea mostrar. Paraobtener más información, consulte Ver eventos con el historial de eventos de CloudTrail (p. 44).

¿Qué son los registros de seguimiento?Un registro de seguimiento es una configuración que permite el envío de eventos de CloudTrail a un bucketde Amazon S3, CloudWatch Logs y Eventos de CloudWatch. Puede utilizar un registro de seguimientopara filtrar los eventos de CloudTrail que desea enviar, cifrar sus archivos de registro de eventos deCloudTrail con una clave de AWS KMS y configurar las notificaciones de Amazon SNS para el envío delarchivo de registros. Para obtener más información acerca de cómo crear y administrar un registro deseguimiento, consulte Creación de un registro de seguimiento para su cuenta de AWS (p. 68).

¿Qué son los registros de seguimiento deorganización?Un registro de seguimiento de organización es una configuración que permite el envío de eventos deCloudTrail en la cuenta maestra y en todas las cuentas miembro de una organización en el mismo bucketde Amazon S3, CloudWatch Logs y Eventos de CloudWatch. La creación de un registro de seguimiento deorganización le ayuda a definir una estrategia uniforme de registro de eventos para su organización.

Al crear un registro de seguimiento de organización, se creará un registro de seguimiento con el nombreque le asigne en cada cuenta de AWS que pertenezca a su organización. Los usuarios con permisos deCloudTrail en las cuentas miembro podrán ver este registro de seguimiento (incluido el ARN de registrode seguimiento) cuando inicien sesión en la consola de AWS CloudTrail desde sus cuentas de AWS, ocuando ejecuten comandos de AWS CLI, como describe-trails (aunque las cuentas miembro debenusar el ARN del registro de seguimiento de organización, y no el nombre, cuando usen la AWS CLI). Sinembargo, los usuarios de las cuentas miembro no tendrán permisos suficientes para eliminar el registro deseguimiento de la organización, activar o desactivar el registro, cambiar los tipos de eventos registradoso alterar el registro de seguimiento de la organización. Para obtener más información acerca de AWSOrganizations, consulte Terminología y conceptos de Organizaciones. Para obtener más informaciónacerca de la creación y el uso de registros de seguimiento de organización, consulte Creación de unregistro de seguimiento para una organización (p. 91).

Version 1.07


https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html

AWS CloudTrail Guía del usuario¿Cómo se administra CloudTrail?

¿Cómo se administra CloudTrail?Consola de CloudTrailPuede usar y administrar el servicio de CloudTrail con la consola de AWS CloudTrail. La consola ofreceuna interfaz de usuario para realizar muchas tareas de CloudTrail como:

• Visualizar los últimos eventos y el historial de eventos para la cuenta de AWS.• Descargar un archivo filtrado o completo de los últimos 90 días de eventos.• Crear y editar registros de seguimiento de CloudTrail.• Configurar registros de seguimiento de CloudTrail, lo que incluye:

• Seleccionar un bucket de Amazon S3.• Establecer un prefijo.• Configurar el envío a CloudWatch Logs.• Usar claves de AWS KMS para el cifrado.• Habilitar las notificaciones de Amazon SNS para el envío de archivos de registro.• Agregar y administrar etiquetas para los registros de seguimiento.


Para obtener más información sobre la Consola de administración de AWS, consulte Consola deadministración de AWS.

CLI de CloudTrailLa AWS Command Line Interface es una herramienta unificada que puede usar para interactuar conCloudTrail desde la línea de comandos. Para obtener más información, consulte la AWS Command LineInterface Guía del usuario. Para obtener una lista completa de los comandos para la CLI de CloudTrail,consulte la sección sobre comandos disponibles.

API de CloudTrailAdemás de la consola y la CLI, también puede utilizar las API RESTful de CloudTrail para programarCloudTrail directamente. Para obtener más información, consulte AWS CloudTrail API Reference.

SDK de AWSAdemás de la API de CloudTrail, puede utilizar uno de los AWS SDK. Cada SDK se compone debibliotecas y código de muestra para diversos lenguajes de programación y plataformas. Los SDK permitencrear cómodamente acceso mediante programación a CloudTrail. Por ejemplo, puede usar los SDK parafirmar solicitudes criptográficamente, gestionar los errores y reintentar las solicitudes de forma automática.Para obtener más información, consulte la página sobre herramientas de Amazon Web Services.

¿Para qué se usan las etiquetas de los registros de seguimiento?Una etiqueta es una clave y un valor opcional definidos por el usuario que se pueden asignar a recursosde AWS como los registros de seguimiento de CloudTrail, los buckets de Amazon S3 que se utilizan paraalmacenar los archivos de registro de CloudTrail, las organizaciones y las unidades organizativas de AWS

Version 1.08

https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html

https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/getting-started.html

https://docs.aws.amazon.com/cli/latest/userguide/


https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/index.html

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/

https://aws.amazon.com/tools/

AWS CloudTrail Guía del usuario¿Cómo controlar el acceso a CloudTrail?

Organizations y muchos más. Si añade las mismas etiquetas a los registros de seguimiento y a los bucketsde Amazon S3 que utiliza para almacenar los archivos de registro de los registros de seguimiento, puedehacer que sea más sencillo administrar, buscar y filtrar estos recursos con Grupos de recursos de AWS.Puede implementar estrategias de etiquetado que le ayuden a encontrar y administrar los recursos deforma sencilla, coherente y eficaz. Para obtener más información, consulte Estrategias de etiquetado deAWS.

¿Cómo controlar el acceso a CloudTrail?AWS Identity and Access Management es un servicio web que permite a los clientes de Amazon WebServices (AWS) administrar a los usuarios y los permisos de usuario. Utilice IAM para crear usuariosindividuales para aquellos que necesiten obtener acceso a AWS CloudTrail. Cree un usuario de IAM parausted, conceda a ese usuario de IAM privilegios administrativos y utilice dicho usuario de IAM para todassus tareas. Si crea un usuario de IAM para cada persona que tiene acceso a la cuenta, puede asignar acada usuario de IAM un conjunto único de credenciales de seguridad. También puede conceder permisosdistintos a cada usuario de IAM. Si fuera necesario, puede cambiar o revocar los permisos de un usuariode IAM en cualquier momento. Para obtener más información, consulte Controlar los permisos de usuariopara CloudTrail (p. 108).

¿Cómo se registran los eventos de administración ode datos?De forma predeterminada, los registros de seguimiento registran todos los eventos de administración desu cuenta de AWS y no incluyen los eventos de datos. Puede elegir crear registros de seguimiento paraque registren los eventos de datos o actualizar los existentes para que lo hagan. Solo se envían al bucketde Amazon S3 y, opcionalmente, a un grupo de registros de Amazon CloudWatch Logs los eventos quecoincidan con la configuración del registro de seguimiento. Si el evento no coincide con la configuraciónde un registro de seguimiento, este no registra el evento. Para obtener más información, consulte Uso dearchivos de registro de CloudTrail (p. 114).

¿Cómo se registran los eventos de CloudTrailInsights?AWS CloudTrail Insights ayuda a los usuarios de AWS a identificar y responder a volúmenes inusualesde llamadas a la API mediante el análisis continuo de eventos de administración de CloudTrail. Un eventode Insights es un registro de niveles inusuales de actividad de API de administración write. La páginade detalles de un evento de Insights muestra el evento como un gráfico de actividad inusual y muestra lashoras de inicio y de finalización de la actividad inusual, junto con la referencia utilizada para determinarsi la actividad es inusual. De forma predeterminada, los registros de seguimiento no registran eventosde CloudTrail Insights. En la consola, puede elegir registrar Insights events cuando cree o actualice unregistro de seguimiento. Cuando utiliza la API de CloudTrail, puede registrar Insights events editando laconfiguración de un registro de seguimiento existente con la API PutInsightSelectors. Se aplican cargosadicionales por el registro de eventos de CloudTrail Insights. Para obtener más información, consulteRegistro de eventos de Insights para registros de seguimiento (p. 129) y Precios de AWS CloudTrail.

¿Cómo se supervisan las operaciones con CloudTrail?CloudWatch Logs, Eventos de CloudWatch, y CloudTrailAmazon CloudWatch es un servicio web que recopila y sigue métricas para supervisar los recursos deAmazon Web Services (AWS) y las aplicaciones que se ejecutan en AWS. Amazon CloudWatch Logs esuna característica de CloudWatch que puede utilizar específicamente para supervisar datos de registro.

Version 1.09

https://docs.aws.amazon.com/ARG/latest/userguide/

https://aws.amazon.com/answers/account-management/aws-tagging-strategies/

https://aws.amazon.com/answers/account-management/aws-tagging-strategies/


AWS CloudTrail Guía del usuario¿Cómo se comporta CloudTrail a nivel regional y global?

La integración con CloudWatch Logs permite a CloudTrail enviar eventos que contienen actividades deAPI en la cuenta de AWS a un grupo de registro de CloudWatch Logs. Los eventos de CloudTrail que seenvían a CloudWatch Logs podrán activar alarmas de acuerdo con los filtros de métricas de su elección.Si lo desea, puede configurar alarmas de CloudWatch para enviar notificaciones o realizar cambios enlos recursos que está supervisando en función de la secuencia de eventos que extraen los filtros de lasmétricas. Con CloudWatch Logs también puede hacer un seguimiento de eventos de CloudTrail junto coneventos del sistema operativo, las aplicaciones u otros servicios de AWS que se envíen a CloudWatchLogs. Para obtener más información, consulte Monitoreo de archivos de registro de CloudTrail con AmazonCloudWatch Logs (p. 134).

Amazon CloudWatch Events es un servicio de AWS que proporciona un flujo casi en tiempo real de loseventos del sistema que describen los cambios que se producen en los recursos de AWS. En Eventosde CloudWatch, puede crear reglas que se activen cuando se produzca cualquier evento registrado porCloudTrail. Para obtener más información, consulte Creación de una regla de Eventos de CloudWatch quese activa en función de una llamada a la API de AWS con AWS CloudTrail.

Los Insights events se integran con CloudWatch. Puede enviar eventos a los que está suscrito a su registrode seguimiento, incluidos Insights events, a Eventos de CloudWatch y CloudWatch Logs. Para configurarEventos de CloudWatch con la consola de CloudWatch o la API, elija el tipo de evento AWS Insight viaCloudTrail en la página Create rule (Crear regla) de la consola de CloudWatch.

El envío de datos que registra CloudTrail a CloudWatch Logs o Eventos de CloudWatch requiere que tengaal menos un registro de seguimiento. Para obtener más información acerca de cómo crear un registro deseguimiento, consulte Creación de un registro de seguimiento (p. 69).

¿Cómo se comporta CloudTrail a nivel regional yglobal?Los registros de seguimiento se pueden aplicar a todas las regiones o a una sola. Las prácticasrecomendadas aconsejan crear los registros de seguimiento que se aplican a todas las regiones en lapartición de AWS en la que se está trabajando. Este es el valor de configuración predeterminado cuandose crea un registro de seguimiento en la consola de CloudTrail.

Note

Activar un registro de seguimiento significa que usted crea un registro de seguimiento y empiezael envío de archivos de registro de eventos de CloudTrail a un bucket de Amazon S3. En laconsola de CloudTrail, el registro se activa de forma automática cuando se crean los registros deseguimiento.

¿Cuáles son las ventajas de aplicar un registro de seguimiento atodas las regiones?Estas son las ventajas de aplicar un registro de seguimiento a todas las regiones de AWS:

• Los valores de configuración del registro de seguimiento se aplican de forma sistemática a todas lasregiones de AWS.

• Recibirá eventos de CloudTrail desde todas las regiones de AWS en un único bucket de Amazon S3 y,opcionalmente, en un grupo de registros de CloudWatch Logs.

• La configuración del registro de seguimiento para todas las regiones de AWS se administra desde unasola ubicación.

• Recibirá inmediatamente los eventos procedentes de las regiones nuevas de AWS. Cuando se lanzauna región de AWS nueva, CloudTrail crea automáticamente una copia de todos los registros deseguimiento de la región en esta región nueva con la misma configuración que el registro de seguimientooriginal.

Version 1.010

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-CloudTrail-Rule.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/Create-CloudWatch-Events-CloudTrail-Rule.html

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

AWS CloudTrail Guía del usuario¿Cómo se comporta CloudTrail a nivel regional y global?

• No es necesario crear registros de seguimiento en las regiones de AWS que no utilice a menudo paracontrolar actividad poco usual. Una actividad en cualquier región de AWS se registra en un registro deseguimiento que se aplica a todas las regiones de AWS.

¿Qué sucede cuando se aplica un registro de seguimiento atodas las regiones?Cuando se aplica un registro de seguimiento a todas las regiones de AWS, CloudTrail utiliza dicho registrode seguimiento que se ha creado en una región en particular para crear registros de seguimiento con unaconfiguración idéntica en las demás regiones de su cuenta.

Esto tiene las siguientes consecuencias:

• CloudTrail envía los archivos de registro sobre la actividad de la cuenta desde todas las regionesde AWS al bucket de Amazon S3 que se especifique y, opcionalmente, a un grupo de registros deCloudWatch Logs.

• Si ha configurado un tema de Amazon SNS para el registro de seguimiento, las notificaciones de SNSsobre los envíos de archivos de registro de todas las regiones de AWS se envían a este tema de SNSexclusivamente.

• Si ha habilitado la validación de la integridad de los archivos de registro, también estará habilitada parael registro de seguimiento en todas las regiones de AWS. Para obtener información, consulte Validaciónde la integridad de los archivos de registro de CloudTrail (p. 200).

Múltiples registros de seguimiento por regiónSi tiene diferentes grupos de usuarios, pero que están relacionados, como desarrolladores, personal deseguridad y auditores de TI, puede crear varios registros de seguimiento en cada región. De este modo,cada grupo recibe su propia copia de los archivos de registro.

CloudTrail admite cinco registros de seguimiento en cada región. Si un registro de seguimiento es aplicablea todas las regiones de AWS, este cuenta como registro de seguimiento en cada región.

El siguiente ejemplo es una región con cinco registros de seguimiento:

• Se crean dos registros de seguimiento en EE.UU. Oeste (Norte de California) que se aplican únicamentea esta región.

• Se crean otros dos registros de seguimiento en EE.UU. Oeste (Norte de California) que se aplican atodas las regiones de AWS.

• Se crea un registro de seguimiento en la Región Asia Pacífico (Sídney) que se aplica a todas lasregiones de AWS. Este registro de seguimiento también existe como tal en EE.UU. Oeste (Norte deCalifornia).

Los registros de seguimiento aparecen en la región de AWS en la que existen. Los registros deseguimiento que registran eventos en todas las regiones de AWS aparecen en cada región. Puede ver unalista de los registros de seguimiento de una región de AWS en la página Trails (Registros de seguimiento)de la consola de CloudTrail. Para obtener más información, consulte Actualización de un registro deseguimiento (p. 74). Para obtener información acerca de los precios de CloudTrail, consulte Precios deAWS CloudTrail.

AWS Security Token Service (AWS STS) y CloudTrailAWS STS es un servicio que tiene un punto de enlace global y que también admite puntos deenlace específicos para cada región. Un punto de enlace es una dirección URL que funciona como

Version 1.011



AWS CloudTrail Guía del usuarioAcerca de los eventos de servicios globales

punto de entrada para solicitudes de servicios web. Por ejemplo, https://cloudtrail.us-west-2.amazonaws.com es el punto de entrada regional de EE.UU. Oeste (Oregón) para el servicioAWS CloudTrail. Los puntos de enlace regionales ayudan a reducir la latencia en sus aplicaciones.

Cuando se utiliza un punto de enlace específico para una región de AWS STS, el registro de seguimientoen esa región envía solo los eventos de AWS STS que se producen en esa región. Por ejemplo, si utilizael punto de enlace sts.us-west-2.amazonaws.com, el registro de seguimiento en us-west-2 envíasolamente los eventos de AWS STS que se originan en us-west-2. Para obtener más información sobre lospuntos de enlace regionales de AWS STS, consulte la sección sobre activación y desactivación de AWSSTS en una región de AWS en la Guía del usuario de IAM.

Para obtener una lista completa de los puntos de enlace regionales de AWS, consulte Regiones y puntosde enlace de AWS en la AWS General Reference. Para obtener información detallada sobre los puntos deenlace de AWS STS, consulte Acerca de los eventos de servicios globales (p. 12).

Acerca de los eventos de servicios globalesEn la mayoría de los servicios, los eventos se registran en la región en la que se produjo la acción. Enel caso de servicios globales como AWS Identity and Access Management (IAM), AWS STS,y AmazonCloudFront, los eventos se envían a cualquier registro de seguimiento que incluya servicios globales, y seregistran como si se produjesen en Región EE.UU. Este (Norte de Virginia).

Para evitar recibir eventos de servicios globales duplicados, recuerde lo siguiente:

• De forma predeterminada, los eventos de servicios globales se envían a registros de seguimientocreados mediante la consola de CloudTrail. Los eventos se envían al bucket del registro de seguimiento.

• Si dispone de varios registros de seguimiento para una única región, considere la posibilidad deconfigurarlos de forma que los eventos de servicios globales se envíen únicamente a uno de ellos. Paraobtener más información, consulte Habilitación y deshabilitación del registro de eventos de serviciosglobales (p. 81).

• Si cambia la configuración de un registro de seguimiento, pasando de registrar todas las regiones aregistrar una única región, el registro de eventos de servicios globales se desactiva automáticamentepara dicho registro de seguimiento. Del mismo modo, si cambia la configuración de un registro deseguimiento, pasando de registrar una única región a registrar todas las regiones, el registro de eventosde servicios globales se activa automáticamente para dicho registro de seguimiento.

Para obtener más información sobre cómo cambiar el registro de eventos de servicios globales de unregistro de seguimiento, consulte Habilitación y deshabilitación del registro de eventos de serviciosglobales (p. 81).

Ejemplo:

1. Crea un registro de seguimiento en la consola de CloudTrail. De forma predeterminada, este registrode seguimiento registra eventos de servicios globales.

2. Tiene múltiples registros de seguimiento para una sola región.3. No es necesario que incluya los servicios globales para los registros de seguimiento con una sola

región. Los eventos de servicios globales se envían al primer registro de seguimiento. Para obtenermás información, consulte Creación, actualización y administración de registros de seguimiento con laAWS Command Line Interface (p. 76).

Note

Cuando crea o actualiza un registro de seguimiento con la AWS CLI, los SDK de AWS o la APIde CloudTrail puede determinar si desea incluir o excluir eventos de servicios globales para losregistros de seguimiento. No puede configurar el registro de eventos de servicios globales en laconsola de CloudTrail.

Version 1.012

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html

https://docs.aws.amazon.com/general/latest/gr/rande.html


AWS CloudTrail Guía del usuario¿Cómo se relaciona CloudTrail con otros

servicios de monitorización de AWS?

¿Cómo se relaciona CloudTrail con otros servicios demonitorización de AWS?CloudTrail añade otra dimensión a las capacidades de monitorización que ya ofrece AWS. No cambiani sustituye las características de registro que ya se estuvieran utilizando, como las de las suscripcionesde Amazon S3 o Amazon CloudFront. Amazon CloudWatch se centra en monitorizar el desempeño yel estado del sistema, mientras que CloudTrail se centra en la actividad de la API. Aunque CloudTrailno informa sobre el desempeño o el estado del sistema, puede utilizar CloudTrail junto con alarmas deCloudWatch para informarle sobre los tipos de actividad en los que esté interesado.

Soluciones conjuntas con sociosAWS colabora con terceros especialistas en el registro y análisis para proporcionar soluciones que usan lainformación de CloudTrail. Para obtener más información, visite la página de información detallada sobreCloudTrail en AWS CloudTrail.

Regiones admitidas de CloudTrailNombre dela región

Región Punto de enlace Protocolo ID de la cuentade AWS

Fecha desoporte

EE.UU.Este(Ohio)

us-east-2 cloudtrail.us-east-2.amazonaws.com

HTTPS 475085895292 17/10/2016

USEast (N.Virginia)

us-east-1 cloudtrail.us-east-1.amazonaws.com

HTTPS 086441151436 13/11/2013

EE.UU.Oeste(Norte deCalifornia)

us-west-1 cloudtrail.us-west-1.amazonaws.com

HTTPS 388731089494 13/5/2014

EE.UU.Oeste(Oregón)

us-west-2 cloudtrail.us-west-2.amazonaws.com

HTTPS 113285607260 13/11/2013

Canadá(Central)

ca-central-1

cloudtrail.ca-central-1.amazonaws.com

HTTPS 819402241893 8/12/2016

África(Ciudaddel Cabo)

af-south-1 cloudtrail.af-south-1.amazonaws.com

HTTPS 525921808201 22/04/2020

AsiaPacífico(HongKong)

ap-east-1 cloudtrail.ap-east-1.amazonaws.com

HTTPS 119688915426 24/02/2019

AsiaPacífico(Mumbai)

ap-south-1 cloudtrail.ap-south-1.amazonaws.com

HTTPS 977081816279 27/6/2016

Version 1.013

https://aws.amazon.com/cloudtrail

AWS CloudTrail Guía del usuarioRegiones admitidas de CloudTrail

Nombre dela región


Fecha desoporte

AsiaPacífico(Osaka-local)

ap-northeast-3

cloudtrail.ap-northeast-3.amazonaws.com

HTTPS 765225791966 12/02/2018

AsiaPacífico(Seúl)

ap-northeast-2


HTTPS 492519147666 6/1/2016

AsiaPacífico(Singapur)

ap-southeast-1

cloudtrail.ap-southeast-1.amazonaws.com

HTTPS 903692715234 30/6/2014

AsiaPacífico(Sídney)

ap-southeast-2

cloudtrail.ap-southeast-2.amazonaws.com

HTTPS 284668455005 13/5/2014

AsiaPacífico(Tokio)

ap-northeast-1


HTTPS 216624486486 30/6/2014

China(Pekín)

cn-north-1 cloudtrail.cn-north-1.amazonaws.com.cn

HTTPS 193415116832 01/03/2014

China(Ningxia)

cn-northwest-1

cloudtrail.cn-northwest-1.amazonaws.com.cn

HTTPS 681348832753 11/12/2017

Europa(Fráncfort)

eu-central-1

cloudtrail.eu-central-1.amazonaws.com

HTTPS 035351147821 23/10/2014

Europa(Estocolmo)

eu-north-1 cloudtrail.eu-north-1.amazonaws.com

HTTPS 829690693026 11/12/2018

Europa(Irlanda)

eu-west-1 cloudtrail.eu-west-1.amazonaws.com

HTTPS 859597730677 13/5/2014

Europa(Londres)


HTTPS 282025262664 13/12/2016

Europa(París)


HTTPS 262312530599 18/12/2017

Europa(Milán)

eu-south-1 cloudtrail.eu-south-1.amazonaws.com

HTTPS 669305197877 27/04/2020

MedioOriente(Baréin)

me-south-1

cloudtrail.me-south-1.amazonaws.com

HTTPS 034638983726 29/07/2019

AWSGovCloud(EE.UU.Este)

us-gov-east-1

cloudtrail.us-gov-east-1.amazonaws.com

HTTPS 886388586500 12/11/2018

Version 1.014

AWS CloudTrail Guía del usuarioEjemplos de archivos de registro de CloudTrail

Nombre dela región


Fecha desoporte

AWSGovCloud(EE.UU.Oeste)

us-gov-west-1

cloudtrail.us-gov-west-1.amazonaws.com

HTTPS 608710470296 16/08/2011

Américadel Sur(SãoPaulo)

sa-east-1 cloudtrail.sa-east-1.amazonaws.com

HTTPS 814480443879 30/06/2014

Para obtener más información sobre el uso de CloudTrail en Región AWS GovCloud (EE.UU. Este),consulte Puntos de enlace de AWS GovCloud (EE.UU. Este) en la AWS GovCloud (US) User Guide.

Para obtener más información sobre el uso de CloudTrail en la región AWS GovCloud (US-West), consulteAWS GovCloud (US-West) Puntos de enlace en la AWS GovCloud (US) User Guide.

Para obtener más información sobre el uso de CloudTrail en la región China (Pekín), consulte puntos deconexión de Región China (Pekín) en la Referencia general de Amazon Web Services.

Ejemplos de archivos de registro de CloudTrailCloudTrail monitoriza eventos para su cuenta. Si crea un registro de seguimiento, envía estos eventoscomo archivos de registro a su bucket de Amazon S3. Consulte lo siguiente para obtener más informaciónacerca de los archivos de registro.

Temas• Formato de nombres de archivos de registro de CloudTrail (p. 15)• Ejemplos de archivos de registro (p. 16)

Formato de nombres de archivos de registro deCloudTrailCloudTrail utiliza el siguiente formato de nombre de archivo para los objetos de archivos de registro queenvía a su bucket de Amazon S3:

AccountID_CloudTrail_RegionName_YYYYMMDDTHHmmZ_UniqueString.FileNameFormat

• YYYY, MM, DD, HH y mm son los dígitos del año, mes, día, hora y minuto cuando se envió el archivo deregistro. Las horas están en formato de 24 horas. La Z indica que la hora se muestra en UTC.

Note

Un archivo de registro enviado en un momento específico puede contener registros escritos encualquier momento de ese período de tiempo.

• El componente UniqueString de 16 caracteres del nombre del archivo de registro sirve para impedirque se sobrescriban los archivos. No tiene ningún significado y el software de procesamiento de archivosde registro debería omitirlo.

• FileNameFormat es la codificación del archivo. Actualmente, es json.gz, que es un archivo de textoJSON en formato gzip comprimido.

Version 1.015

https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-endpoints.html

https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/using-govcloud-endpoints.html

http://docs.amazonaws.cn/en_us/general/latest/gr/rande.html#cnnorth_region

http://docs.amazonaws.cn/en_us/general/latest/gr/rande.html#cnnorth_region

AWS CloudTrail Guía del usuarioEjemplos de archivos de registro

Nombre de archivo de registro de CloudTrail de ejemplo

111122223333_CloudTrail_us-east-2_20150801T0210Z_Mu0KsOhtH1ar15ZZ.json.gz

Ejemplos de archivos de registroUn archivo de registro contiene uno o más registros. Los siguientes ejemplos son fragmentos de archivosde registro que muestran los registros de una acción que inició la creación de un archivo de registro.

Contenido• Ejemplos de archivos de registro de Amazon EC2 (p. 16)• Ejemplos de archivos de registro de IAM (p. 18)• Ejemplo de archivo de registro de código y mensaje de error (p. 19)• Ejemplo de registro de eventos de CloudTrail Insights (p. 20)

Ejemplos de archivos de registro de Amazon EC2Amazon Elastic Compute Cloud (Amazon EC2) proporciona una capacidad informática variable en lanube de AWS. Puede lanzar servidores virtuales, configurar la seguridad y las redes y administrar elalmacenamiento. Asimismo, Amazon EC2 puede escalarse rápidamente para adaptarlo a cambios en losrequisitos o picos de popularidad, con lo que se reduce la necesidad de prever el tráfico de los servidores.Para obtener más información, consulte Guía del usuario de Amazon EC2 para instancias de Linux.

El ejemplo siguiente muestra que una usuaria de IAM llamada Alice usó la AWS CLI para llamar a la acciónde mediante el comando ec2-start-instances de la instancia i-ebeaf9e2.

{"Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accessKeyId": "EXAMPLE_KEY_ID", "accountId": "123456789012", "userName": "Alice" }, "eventTime": "2014-03-06T21:22:54Z", "eventSource": "ec2.amazonaws.com", "eventName": "StartInstances", "awsRegion": "us-east-2", "sourceIPAddress": "205.251.233.176", "userAgent": "ec2-api-tools 1.6.12.2", "requestParameters": {"instancesSet": {"items": [{"instanceId": "i-ebeaf9e2"}]}}, "responseElements": {"instancesSet": {"items": [{ "instanceId": "i-ebeaf9e2", "currentState": { "code": 0, "name": "pending" }, "previousState": { "code": 80, "name": "stopped" } }]}}}]}

El ejemplo siguiente muestra que una usuaria de IAM llamada Alice utilizó la AWS CLI para llamar a laacción StopInstances de Amazon EC2 mediante ec2-stop-instances.

Version 1.016

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/


{"Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2014-03-06T21:01:59Z", "eventSource": "ec2.amazonaws.com", "eventName": "StopInstances", "awsRegion": "us-east-2", "sourceIPAddress": "205.251.233.176", "userAgent": "ec2-api-tools 1.6.12.2", "requestParameters": { "instancesSet": {"items": [{"instanceId": "i-ebeaf9e2"}]}, "force": false }, "responseElements": {"instancesSet": {"items": [{ "instanceId": "i-ebeaf9e2", "currentState": { "code": 64, "name": "stopping" }, "previousState": { "code": 16, "name": "running" } }]}}}]}

El ejemplo siguiente muestra que el backend de la consola de Amazon EC2 llamó a la acciónCreateKeyPair en respuesta a las solicitudes iniciadas por la usuaria de IAM Alice. Tenga en cuentaque los responseElements contienen un hash del par de claves y que el material de las claves ha sidoeliminado por AWS.

{"Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice", "sessionContext": {"attributes": { "mfaAuthenticated": "false", "creationDate": "2014-03-06T15:15:06Z" }} }, "eventTime": "2014-03-06T17:10:34Z", "eventSource": "ec2.amazonaws.com", "eventName": "CreateKeyPair", "awsRegion": "us-east-2", "sourceIPAddress": "72.21.198.64", "userAgent": "EC2ConsoleBackend, aws-sdk-java/Linux/x.xx.fleetxen Java_HotSpot(TM)_64-Bit_Server_VM/xx", "requestParameters": {"keyName": "mykeypair"}, "responseElements": { "keyName": "mykeypair", "keyFingerprint": "30:1d:46:d0:5b:ad:7e:1b:b6:70:62:8b:ff:38:b5:e9:ab:5d:b8:21",

Version 1.017


"keyMaterial": "\u003csensitiveDataRemoved\u003e" }}]}

Ejemplos de archivos de registro de IAMAWS Identity and Access Management (IAM) es un servicio web que permite a los clientes de AWSadministrar a los usuarios y los permisos de usuario. Con IAM, puede administrar los usuarios, lascredenciales de seguridad como las claves de acceso y los permisos que controlan los servicios y recursosde AWS a los que tienen acceso los usuarios. Para obtener más información, consulte Guía del usuario deIAM.

El ejemplo siguiente muestra que la usuaria de IAM Alice utilizó la AWS CLI para llamar a la acciónCreateUser para crear un nuevo usuario denominado Bob.

{"Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2014-03-24T21:11:59Z", "eventSource": "iam.amazonaws.com", "eventName": "CreateUser", "awsRegion": "us-east-2", "sourceIPAddress": "127.0.0.1", "userAgent": "aws-cli/1.3.2 Python/2.7.5 Windows/7", "requestParameters": {"userName": "Bob"}, "responseElements": {"user": { "createDate": "Mar 24, 2014 9:11:59 PM", "userName": "Bob", "arn": "arn:aws:iam::123456789012:user/Bob", "path": "/", "userId": "EXAMPLEUSERID" }}}]}

El ejemplo siguiente muestra que la usuaria de IAM Alice utilizó la Consola de administración de AWS parallamar a la acción AddUserToGroup para añadir a Bob al grupo de administradores.

{"Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice", "sessionContext": {"attributes": { "mfaAuthenticated": "false", "creationDate": "2014-03-25T18:45:11Z" }} }, "eventTime": "2014-03-25T21:08:14Z", "eventSource": "iam.amazonaws.com", "eventName": "AddUserToGroup", "awsRegion": "us-east-2",

Version 1.018

https://docs.aws.amazon.com/IAM/latest/UserGuide/

https://docs.aws.amazon.com/IAM/latest/UserGuide/


"sourceIPAddress": "127.0.0.1", "userAgent": "AWSConsole", "requestParameters": { "userName": "Bob", "groupName": "admin" }, "responseElements": null}]}

El ejemplo siguiente muestra que la usuaria de IAM (Alice) utilizó la AWS CLI para llamar a la acciónCreateRole para crear un nuevo rol de IAM.

{ "Records": [{ "eventVersion": "1.0", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2014-03-25T20:17:37Z", "eventSource": "iam.amazonaws.com", "eventName": "CreateRole", "awsRegion": "us-east-2", "sourceIPAddress": "127.0.0.1", "userAgent": "aws-cli/1.3.2 Python/2.7.5 Windows/7", "requestParameters": { "assumeRolePolicyDocument": "{\n \"Version\": \"2012-10-17\",\n \"Statement\": [\n {\n \"Sid\": \"\", \n\"Effect\": \"Allow\",\n \"Principal\": {\n \"AWS\": \"arn:aws:iam::210987654321:root\"\n },\n \"Action\": \"sts:AssumeRole\"\n }\n ]\n}", "roleName": "TestRole" }, "responseElements": { "role": { "assumeRolePolicyDocument": "%7B%0A%20%20%22Version%22%3A%20%222012-10-17%22%2C%0A%20%20%22Statement%22%3A%20%5B%0A%20%20%20%20%7B%0A%20%20%20%20%20%20%22Sid%22%3A%20%22%22%2C%0A%20%20%20%20%20%20%22Effect%22%3A%20%22Allow%22%2C%0A%20%20%20%20%20%20%22Principal%22%3A%20%7B%0A%20%20%20%20%20%20%20%20%22AWS%22%3A%20%22arn%3Aaws%3Aiam%3A%3A803981987763%3Aroot%22%0A%20%20%20%20%20%20%7D%2C%0A%20%20%20%20%20%20%22Action%22%3A%20%22sts%3AAssumeRole%22%0A%20%20%20%20%7D%0A%20%20%5D%0A%7D", "roleName": "TestRole", "roleId": "AROAIUU2EOWSWPGX2UJUO", "arn": "arn:aws:iam::123456789012:role/TestRole", "createDate": "Mar 25, 2014 8:17:37 PM", "path": "/" } } }]}

Ejemplo de archivo de registro de código y mensaje de errorEl ejemplo siguiente muestra que la usuaria de IAM Alice utilizó la AWS CLI para llamar a la acciónUpdateTrail para actualizar un registro de seguimiento denominado myTrail2, pero no se encontróel registro de seguimiento. El archivo de registro muestra este error en los elementos errorCode yerrorMessage.

Version 1.019


{"Records": [{ "eventVersion": "1.04", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2016-07-14T19:15:45Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "UpdateTrail", "awsRegion": "us-east-2", "sourceIPAddress": "205.251.233.182", "userAgent": "aws-cli/1.10.32 Python/2.7.9 Windows/7 botocore/1.4.22", "errorCode": "TrailNotFoundException", "errorMessage": "Unknown trail: myTrail2 for the user: 123456789012", "requestParameters": {"name": "myTrail2"}, "responseElements": null, "requestID": "5d40662a-49f7-11e6-97e4-d9cb6ff7d6a3", "eventID": "b7d4398e-b2f0-4faa-9c76-e2d316a8d67f", "eventType": "AwsApiCall", "recipientAccountId": "123456789012"}]}

Ejemplo de registro de eventos de CloudTrail InsightsEn el siguiente ejemplo se muestra un registro de eventos de CloudTrail Insights. Un evento de Insights esen realidad un par de eventos que marcan el inicio y el final de un periodo de actividad inusual de la API deadministración "write". El campo state muestra si el evento se registró al principio o al final del periodo deactividad inusual. El nombre del evento, UpdateInstanceInformation, es el mismo nombre que la APIde AWS Administrador de sistemas para la que CloudTrail analizó eventos de administración con el fin dedeterminar si se produjo una actividad inusual. Aunque los eventos de inicio y fin tienen valores eventIDúnicos, también tienen un valor sharedEventID utilizado en el par. El evento de Insights muestra elbaseline, o el patrón normal de actividad, insight, o la actividad inusual promedio que desencadenóel evento de Insights inicial y, en el evento final, el valor insight de la actividad inusual promedio duranteel evento de Insights. Para obtener más información acerca de CloudTrail Insights, consulte Registro deeventos de Insights para registros de seguimiento (p. 129).

{ "Records": [ { "eventVersion": "1.07", "eventTime": "2019-11-14T00:51:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLE8-9621-4d00-b913-beca2EXAMPLE", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE2-1729-42f1-b735-5d8c0EXAMPLE", "insightDetails": { "state": "Start", "eventSource": "ssm.amazonaws.com", "eventName": "UpdateInstanceInformation", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 85.4202380952 }, "insight": { "average": 664

Version 1.020

AWS CloudTrail Guía del usuarioServicios e integraciones compatibles con CloudTrail

} } } }, "eventCategory": "Insight" }, { "eventVersion": "1.07", "eventTime": "2019-11-14T00:52:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLEc-28be-486c-8928-49ce6EXAMPLE", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE2-1729-42f1-b735-5d8c0EXAMPLE", "insightDetails": { "state": "End", "eventSource": "ssm.amazonaws.com", "eventName": "UpdateInstanceInformation", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 85.4202380952 }, "insight": { "average": 664 }, "insightDuration": 1 } } }, "eventCategory": "Insight" } ]}

Servicios e integraciones compatibles conCloudTrail

CloudTrail permite registrar los eventos de muchos servicios de AWS. Encontrará información sobre losaspectos específicos de cada servicio compatible en la guía de dicho servicio. A continuación, se incluyenenlaces a estos temas específicos de los servicios. Además, algunos servicios de AWS se pueden utilizarpara analizar los registros de CloudTrail y actuar en función de los datos recopilados. Puede acceder a unadescripción general de estas integraciones de servicios aquí.

Note

Para ver la lista de regiones compatibles con cada servicio, consulte Regiones y puntos de enlaceen la Referencia general de Amazon Web Services.

Temas• Integraciones de servicios de AWS con registros de CloudTrail (p. 22)• Integración de CloudTrail con AWS Organizations (p. 23)• Temas de servicios de AWS para CloudTrail (p. 23)• Servicios no compatibles con CloudTrail (p. 32)

Version 1.021


AWS CloudTrail Guía del usuarioIntegraciones de servicios de

AWS con registros de CloudTrail

Integraciones de servicios de AWS con registros deCloudTrailTambién puede configurar otros servicios de AWS para analizar y actuar según los datos de eventosrecopilados en los registros de CloudTrail. Para obtener más información, consulte los siguientes temas.

Servicio de AWS Tema Descripción

Amazon Athena Consulta de registros de AWSCloudTrail

El uso de Athena con losregistros de CloudTrail suponeun modo eficaz de mejorar elanálisis de la actividad de unservicio de AWS. Por ejemplo,puede ejecutar consultas queidentifiquen tendencias y aislarla actividad por atributo, comoel usuario o la dirección IP deorigen.

Puede crear tablasautomáticamente para consultarlos registros directamentedesde la consola de CloudTraily utilizar esas tablas paraejecutar consultas en Athena.Para obtener más información,consulte Creación de una tablapara registros de CloudTrail en laconsola de CloudTrail en la Guíadel usuario de Amazon Athena.

Note

La ejecución deconsultas en AmazonAthena generacostos adicionales.Para obtener másinformación, consultelos Precios de AmazonAthena.

Amazon CloudWatch Logs Monitoreo de archivos de registrode CloudTrail con AmazonCloudWatch Logs (p. 134)

Puede configurar CloudTrailcon CloudWatch Logs paramonitorear sus archivosde seguimiento y recibirnotificaciones cuando seproduzca una actividadespecífica. Por ejemplo, puededefinir filtros de métricas deCloudWatch Logs que dispararánalarmas de CloudWatch y leenviarán notificaciones cuandose disparen dichas alarmas.

Version 1.022

https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html


https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html#create-cloudtrail-table-ct



https://docs.aws.amazon.com/athena/latest/ug/


https://aws.amazon.com/athena/pricing/

https://aws.amazon.com/athena/pricing/

AWS CloudTrail Guía del usuarioIntegración de CloudTrail con AWS Organizations

Servicio de AWS Tema Descripción

Note

Se aplican los preciosestándar de AmazonCloudWatch y AmazonCloudWatch Logs.Para obtener másinformación, consultelos precios de AmazonCloudWatch.

Integración de CloudTrail con AWS OrganizationsPuede crear un registro de seguimiento en la cuenta maestra de una organización que recopile todoslos datos de eventos para todas las cuentas de AWS en una organización en AWS Organizations.Se denomina registro de seguimiento de organización. La creación de un registro de seguimiento deorganización le ayuda a definir una estrategia uniforme de registro de eventos para su organización.Se aplica automáticamente un registro de seguimiento de organización a cada cuenta AWS de suorganización. Los usuarios de las cuentas miembro pueden ver estos registros de seguimiento, pero nopueden modificarlas y, de forma predeterminada, no pueden ver los archivos de registro creados para elregistro de seguimiento de organización. Para obtener más información, consulte Creación de un registrode seguimiento para una organización (p. 91).

Temas de servicios de AWS para CloudTrailPuede obtener más información acerca de cómo los eventos de los servicios de AWS individuales seregistran en los registros de CloudTrail, incluidos eventos de ejemplo para dicho servicio en archivos deregistro. Para obtener más información acerca de cómo determinados servicios de AWS se integran conCloudTrail, consulte el tema sobre la integración en la guía de dicho servicio.

Servicio de AWS Temas sobre CloudTrail Solucióncompatibledesde

Alexa for Business Registro de llamadas de administración de Alexa forBusiness mediante AWS CloudTrail

29/11/2017

Amazon API Gateway Registro de llamadas de administración de la API enAmazon API Gateway mediante AWS CloudTrail

09/07/2015

Amazon Connect Registro de llamadas a la API de Amazon Connectcon AWS CloudTrail

11/12/2019

Auto Scaling de aplicaciones Registro de llamadas a la API de Auto Scaling deaplicaciones con AWS CloudTrail

31/10/2016

AWS Application DiscoveryService

Referencia de la API de Application DiscoveryService

12/05/2016

Amazon AppFlow Registro de llamadas de la API de Amazon AppFlowcon AWS CloudTrail

22/04/2020

AWS App Mesh Registro de llamadas a la API App Mesh con AWSCloudTrail

Version 1.023

https://aws.amazon.com/cloudwatch/pricing/


http://docs.aws.amazon.com/a4b/latest/ag/cloudtrail.html

http://docs.aws.amazon.com/a4b/latest/ag/cloudtrail.html

https://docs.aws.amazon.com/apigateway/latest/developerguide/cloudtrail.html

https://docs.aws.amazon.com/apigateway/latest/developerguide/cloudtrail.html

https://docs.aws.amazon.com/connect/latest/adminguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/connect/latest/adminguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/autoscaling/application/APIReference/logging-using-cloudtrail.html

https://docs.aws.amazon.com/autoscaling/application/APIReference/logging-using-cloudtrail.html

https://docs.aws.amazon.com/application-discovery/latest/APIReference/

https://docs.aws.amazon.com/application-discovery/latest/APIReference/

https://docs.aws.amazon.com/appflow/latest/userguide/appflow-cloudtrail-logs.html

https://docs.aws.amazon.com/appflow/latest/userguide/appflow-cloudtrail-logs.html

https://docs.aws.amazon.com/app-mesh/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/app-mesh/latest/userguide/logging-using-cloudtrail.html

AWS CloudTrail Guía del usuarioTemas de servicios de AWS para CloudTrail


Amazon AppStream 2.0 Registro de llamadas a la API de AmazonAppStream 2.0 con AWS CloudTrail

25/04/2019

AWS AppSync Registro de llamadas a la API de AWS AppSync conAWS CloudTrail

13/02/2018

Amazon Athena Registro de llamadas a la API de Amazon Athenacon AWS CloudTrail

19/05/2017

AWS Auto Scaling Registro de llamadas a la API de AWS Auto Scalingmediante CloudTrail

15/08/2018

AWS Backup Registro de llamadas a la API de AWS Backup conAWS CloudTrail

04/02/2019

AWS Batch Registro de llamadas a la API de AWS Batch conAWS CloudTrail

10/01/2018

AWS Billing and CostManagement

Registro de llamadas a la API de AWS Billing andCost Management con AWS CloudTrail

07/06/2018

AWS Certificate Manager Uso de AWS CloudTrail 25/03/2016

AWS Certificate Manager PrivateCertificate Authority

Uso de CloudTrail 06/06/2019

Amazon Chime Registro de llamadas de administración de AmazonChime mediante AWS CloudTrail

27/09/2017

Amazon Cloud Directory Registro de llamadas a la API de Amazon CloudDirectory mediante AWS CloudTrail

26/01/2017

AWS Cloud9 Registro de llamadas a la API de AWS Cloud9 conAWS CloudTrail

21/01/2019

AWS CloudFormation Registro de llamadas a la API de AWSCloudFormation en AWS CloudTrail

02/04/2014

Amazon CloudFront Uso de AWS CloudTrail para capturar las solicitudesenviadas a la API de CloudFront

28/05/2014

AWS CloudHSM Registro de llamadas a la API de AWS CloudHSMmediante AWS CloudTrail

08/01/2015

AWS Cloud Map Registro de llamadas a la API de AWS Cloud Mapcon AWS CloudTrail

28/11/2018

Amazon CloudSearch Registro de llamadas del servicio de configuraciónde Amazon CloudSearch mediante AWS CloudTrail

16/10/2014

AWS CloudTrail AWS CloudTrail API Reference (CloudTrail registratodas las llamadas a la API de CloudTrail).

13/11/2013

Amazon CloudWatch Registro de llamadas a la API de AmazonCloudWatch en AWS CloudTrail

30/04/2014

Version 1.024

https://docs.aws.amazon.com/appstream2/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/appstream2/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/appsync/latest/devguide/cloudtrail-logging.html

https://docs.aws.amazon.com/appsync/latest/devguide/cloudtrail-logging.html

https://docs.aws.amazon.com/athena/latest/ug/monitor-with-cloudtrail.html

https://docs.aws.amazon.com/athena/latest/ug/monitor-with-cloudtrail.html

https://docs.aws.amazon.com/autoscaling/plans/APIReference/logging-using-cloudtrail.html

https://docs.aws.amazon.com/autoscaling/plans/APIReference/logging-using-cloudtrail.html

https://docs.aws.amazon.com/aws-backup/latest/devguide/cloudtrail-logging.html

https://docs.aws.amazon.com/aws-backup/latest/devguide/cloudtrail-logging.html

https://docs.aws.amazon.com/batch/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/batch/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/logging-using-cloudtrail.html

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/logging-using-cloudtrail.html

https://docs.aws.amazon.com/acm/latest/userguide/cloudtrail.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCtIntro.html

https://docs.aws.amazon.com/chime/latest/ag/cloudtrail.html

https://docs.aws.amazon.com/chime/latest/ag/cloudtrail.html

https://docs.aws.amazon.com/amazoncds/latest/APIReference/cloudtrail_logging.html

https://docs.aws.amazon.com/amazoncds/latest/APIReference/cloudtrail_logging.html

https://docs.aws.amazon.com/cloud9/latest/user-guide/cloudtrail.html

https://docs.aws.amazon.com/cloud9/latest/user-guide/cloudtrail.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-api-logging-cloudtrail.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-api-logging-cloudtrail.html

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/logging_using_cloudtrail.html

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/logging_using_cloudtrail.html

https://docs.aws.amazon.com/cloudhsm/latest/userguide/get-api-logs-using-cloudtrail.html

https://docs.aws.amazon.com/cloudhsm/latest/userguide/get-api-logs-using-cloudtrail.html

https://docs.aws.amazon.com/cloud-map/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/cloud-map/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/cloudsearch/latest/developerguide/logging-config-api-calls.html

https://docs.aws.amazon.com/cloudsearch/latest/developerguide/logging-config-api-calls.html


https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/logging_cw_api_calls.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/logging_cw_api_calls.html



Eventos de CloudWatch Registro de llamadas a la API de AmazonCloudWatch Events en AWS CloudTrail

16/01/2016

CloudWatch Logs Registro de llamadas a la API de AmazonCloudWatch Logs en AWS CloudTrail

10/03/2016

AWS CodeBuild Registro de llamadas a la API de AWS CodeBuildcon AWS CloudTrail

01/12/2016

AWS CodeCommit Registro de llamadas a la API de AWS CodeCommitcon AWS CloudTrail

11/01/2017

AWS CodeDeploy Monitorizar implementaciones con AWS CloudTrail 16/12/2014

Amazon CodeGuru Reviewer Registro de llamadas a la API de AmazonCodeGuru Reviewer con AWS CloudTrail

02/12/2019

AWS CodePipeline Registro de llamadas a la API de CodePipelinemediante AWS CloudTrail

09/07/2015

AWS CodeStar Registro de llamadas a la API de AWS CodeStarcon AWS CloudTrail

14/06/2017

Notificaciones de AWS CodeStar Registro de llamadas a la API de notificaciones deAWS CodeStar con AWS CloudTrail

05/11/2019

Amazon Cognito Registro de llamadas a la API de Amazon Cognitocon AWS CloudTrail

18/02/2016

Amazon Comprehend Registro de llamadas a la API de AmazonComprehend con AWS CloudTrail

17/01/2018

Amazon Comprehend Medical Registro de llamadas a la API de AmazonComprehend Medical mediante AWS CloudTrail

27/11/2018

AWS Config Registro de llamadas a la API de AWS Config conAWS CloudTrail

10/02/2015

AWS Control Tower Registro de acciones de AWS Control Tower conAWS CloudTrail

12/08/2019

Administrador de ciclo de vida dedatos de Amazon

Registro de llamadas a la API de Administrador deciclo de vida de datos de Amazon mediante AWSCloudTrail

24/07/2018

AWS Data Pipeline Registro de llamadas a la API de AWS Data Pipelinemediante AWS CloudTrail

02/12/2014

AWS Database Migration Service(AWS DMS)

Registro de llamadas a la API de AWS DatabaseMigration Service con AWS CloudTrail

04/02/2016

AWS DataSync Registro de llamadas a la API de AWS DataSynccon AWS CloudTrail

26/11/2018

AWS Device Farm Registro de llamadas a la API de AWS Device Farmmediante AWS CloudTrail

13/07/2015

Version 1.025

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/logging_cw_api_calls_cwe.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/logging_cw_api_calls_cwe.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/logging_cw_api_calls_cwl.html

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/logging_cw_api_calls_cwl.html

https://docs.aws.amazon.com/codebuild/latest/userguide/cloudtrail.html

https://docs.aws.amazon.com/codebuild/latest/userguide/cloudtrail.html

https://docs.aws.amazon.com/codecommit/latest/userguide/integ-cloudtrail.html

https://docs.aws.amazon.com/codecommit/latest/userguide/integ-cloudtrail.html

https://docs.aws.amazon.com/codedeploy/latest/userguide/cloudtrail-integ.html

https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/codeguru/latest/reviewer-ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/codepipeline/latest/userguide/integ-cloudtrail.html

https://docs.aws.amazon.com/codepipeline/latest/userguide/integ-cloudtrail.html

https://docs.aws.amazon.com/codestar/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/codestar/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/codestar-notifications/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/codestar-notifications/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/cognito/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/cognito/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/comprehend/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/comprehend/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/comprehend/latest/dg/logging-using-cloudtrail2.html

https://docs.aws.amazon.com/comprehend/latest/dg/logging-using-cloudtrail2.html

https://docs.aws.amazon.com/config/latest/developerguide/log-api-calls.html

https://docs.aws.amazon.com/config/latest/developerguide/log-api-calls.html

https://docs.aws.amazon.com/controltower/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/controltower/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/dlm/latest/APIReference/logging-using-cloudtrail.html



https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-cloudtrail-logging.html

https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-cloudtrail-logging.html

https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#logging-using-cloudtrail

https://docs.aws.amazon.com/dms/latest/userguide/CHAP_Monitoring.html#logging-using-cloudtrail

https://docs.aws.amazon.com/datasync/latest/userguide/security.html#logging-using-cloudtrail

https://docs.aws.amazon.com/datasync/latest/userguide/security.html#logging-using-cloudtrail

https://docs.aws.amazon.com/devicefarm/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/devicefarm/latest/developerguide/logging-using-cloudtrail.html



AWS Direct Connect Registro de llamadas a la API de AWS DirectConnect en AWS CloudTrail

08/03/2014

AWS Directory Service Registro de llamadas a la API de AWS DirectoryService mediante CloudTrail

14/05/2015

Amazon DocumentDB (concompatibilidad con MongoDB)

Registro de llamadas a la API de AmazonDocumentDB con AWS CloudTrail

01/09/2019

Amazon DynamoDB Registro de operaciones de DynamoDB con AWSCloudTrail

28/05/2015

Amazon EC2 Container Registry(Amazon ECR)

Registro de llamadas a la API de Amazon ECRmediante AWS CloudTrail

21/12/2015

Amazon Elastic ContainerService (Amazon ECS)

Registro de llamadas a la API de Amazon ECSmediante AWS CloudTrail

09/04/2015

AWS Elastic Beanstalk (ElasticBeanstalk)

Uso de las llamadas a la API de Elastic Beanstalkcon AWS CloudTrail

31/03/2014

Amazon Elastic Block Store(Amazon EBS)

Registro de llamadas a la API mediante AWSCloudTrail

13/11/2013

Amazon Elastic Compute Cloud(Amazon EC2)


13/11/2013

Amazon EC2 Auto Scaling Registro de llamadas a la API de Auto Scalingmediante CloudTrail

16/07/2014

Amazon Elastic File System(Amazon EFS)

Registro de llamadas a la API de Amazon EFS conAWS CloudTrail

28/06/2016

Amazon Elastic KubernetesService (Amazon EKS)

Registro de llamadas a la API de Amazon EKS conAWS CloudTrail

05/06/2018

Elastic Load Balancing Registro de AWS CloudTrail para su Classic LoadBalancer y Registro de AWS CloudTrail para suBalanceador de carga de aplicaciones

04/04/2014

Amazon Elastic Transcoder Registro de llamadas a la API de Amazon ElasticTranscoder con AWS CloudTrail

27/10/2014

Amazon ElastiCache Registro de llamadas a la API de AmazonElastiCache mediante AWS CloudTrail

15/09/2014

Amazon Elasticsearch Service Auditoría de los dominios de Amazon ElasticsearchService con AWS CloudTrail

01/10/2015

AWS Elemental MediaConnect Registro de llamadas a la API de AWS ElementalMediaConnect con AWS CloudTrail

27/11/2018

AWS Elemental MediaConvert Registro de llamadas a la API de AWS ElementalMediaConvert con CloudTrail

27/11/2017

Version 1.026

https://docs.aws.amazon.com/directconnect/latest/UserGuide/logging_dc_api_calls.html

https://docs.aws.amazon.com/directconnect/latest/UserGuide/logging_dc_api_calls.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/cloudtrail_logging.html

https://docs.aws.amazon.com/directoryservice/latest/devguide/cloudtrail_logging.html

https://docs.aws.amazon.com/documentdb/latest/developerguide/logging-with-cloudtrail.html

https://docs.aws.amazon.com/documentdb/latest/developerguide/logging-with-cloudtrail.html

https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/AmazonECR/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/AmazonECR/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/AmazonECS/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/AmazonECS/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudtrail.html

https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.cloudtrail.html

https://docs.aws.amazon.com/AWSEC2/latest/APIReference/using-cloudtrail.html




https://docs.aws.amazon.com/autoscaling/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/autoscaling/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/efs/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/efs/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/eks/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/eks/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/ELB-API-Logs.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/ELB-API-Logs.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-cloudtrail-logs.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-cloudtrail-logs.html

https://docs.aws.amazon.com/elastictranscoder/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/elastictranscoder/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/es-managedomains-cloudtrailauditing.html

https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/es-managedomains-cloudtrailauditing.html

https://docs.aws.amazon.com/mediaconnect/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/mediaconnect/latest/ug/logging-using-cloudtrail.html

http://docs.aws.amazon.com/mediaconvert/latest/ug/logging-using-cloudtrail.html

http://docs.aws.amazon.com/mediaconvert/latest/ug/logging-using-cloudtrail.html



AWS Elemental MediaLive Registro de llamadas a la API de MediaLive conAWS CloudTrail

19/01/2019

AWS Elemental MediaPackage Registro de llamadas a la API de AWS ElementalMediaPackage con AWS CloudTrail

21/12/2018

AWS Elemental MediaStore Registro de llamadas a la API de AWS ElementalMediaStore con CloudTrail

27/11/2017

AWS Elemental MediaTailor Registro de llamadas a la API de AWS ElementalMediaTailor con AWS CloudTrail

02/11/2019

Amazon EMR Registro de llamadas a la API de Amazon EMR enAWS CloudTrail

04/04/2014

AWS Firewall Manager Registro de llamadas a la API de AWS FirewallManager con AWS CloudTrail

05/04/2018

Amazon Forecast Registro de llamadas a la API de Amazon Forecastcon AWS CloudTrail

28/11/2018

FreeRTOS Over-the-Air Updates(OTA)

Registro de llamadas a la API de OTA de AWS IoTcon AWS CloudTrail

22/05/2019

Amazon FSx for Lustre Registro de llamadas a la API de Amazon FSx forLustre con AWS CloudTrail

11/01/2019

Amazon FSx para el servidor dearchivos de Windows

Monitorización con AWS CloudTrail 28/11/2018

Amazon GameLift Registro de llamadas a la API de Amazon GameLiftcon AWS CloudTrail

27/01/2016

Amazon S3 Glacier Registro de llamadas a la API de S3 Glaciermediante AWS CloudTrail

11/12/2014

AWS Global Accelerator Registro de llamadas a la API de AWS GlobalAccelerator con AWS CloudTrail

26/11/2018

AWS Glue Registro de operaciones de AWS Glue con AWSCloudTrail

07/11/2017

AWS Ground Station Registro de llamadas a la API de AWS GroundStation con AWS CloudTrail

31/05/2019

Amazon GuardDuty Registro de llamadas a la API de AmazonGuardDuty con AWS CloudTrail

12/02/2018

AWS Health Registro de llamadas a la API de AWS Health conAWS CloudTrail

21/11/2016

Amazon Inspector Registro de llamadas a la API de Amazon Inspectorcon AWS CloudTrail

20/04/2016

AWS IoT Registro de llamadas a la API de AWS IoT con AWSCloudTrail

11/04/2016

Version 1.027

https://docs.aws.amazon.com/medialive/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/medialive/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/mediapackage/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/mediapackage/latest/ug/logging-using-cloudtrail.html

http://docs.aws.amazon.com/mediastore/latest/ug/logging-using-cloudtrail.html

http://docs.aws.amazon.com/mediastore/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/mediatailor/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/mediatailor/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/emr/latest/ManagementGuide/logging_emr_api_calls.html

https://docs.aws.amazon.com/emr/latest/ManagementGuide/logging_emr_api_calls.html

https://docs.aws.amazon.com/waf/latest/developerguide/logging-using-cloudtrail.html#cloudtrail-fms

https://docs.aws.amazon.com/waf/latest/developerguide/logging-using-cloudtrail.html#cloudtrail-fms

https://docs.aws.amazon.com/forecast/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/forecast/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/freertos/latest/userguide/iot-using-cloudtrail-afr.html

https://docs.aws.amazon.com/freertos/latest/userguide/iot-using-cloudtrail-afr.html

https://docs.aws.amazon.com/fsx/latest/LustreGuide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/fsx/latest/LustreGuide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/fsx/latest/WindowsGuide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/gamelift/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/gamelift/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/amazonglacier/latest/dev/audit-logging.html

https://docs.aws.amazon.com/amazonglacier/latest/dev/audit-logging.html

https://docs.aws.amazon.com/global-accelerator/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/global-accelerator/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/glue/latest/dg/monitor-cloudtrail.html

https://docs.aws.amazon.com/glue/latest/dg/monitor-cloudtrail.html

https://docs.aws.amazon.com/ground-station/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/ground-station/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/guardduty/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/guardduty/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/health/latest/ug/logging-using-cloudtrail.html


https://docs.aws.amazon.com/inspector/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/inspector/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/iot/latest/developerguide/monitoring_overview.html#iot-using-cloudtrail

https://docs.aws.amazon.com/iot/latest/developerguide/monitoring_overview.html#iot-using-cloudtrail



AWS IoT Análisis Registro de llamadas de la API de análisis de AWSIoT con AWS CloudTrail

23/04/2018

AWS IoT 1-Click Registro de llamadas a la API de AWS IoT 1-Clickcon AWS CloudTrail

14/05/2018

AWS IoT Events Registro de llamadas a la API de AWS IoT Eventscon AWS CloudTrail

11/06/2019

AWS IoT Greengrass Registro de llamadas a la API de AWS IoTGreengrass con AWS CloudTrail

29/10/2018

AWS IoT SiteWise Registro de llamadas a la API de AWS IoT SiteWiseAPI con AWS CloudTrail

29/04/2020

AWS IoT Things Graph Registro de llamadas a la API de AWS IoT ThingsGraph con AWS CloudTrail

31/05/2019

AWS Identity and AccessManagement (IAM)

Registro de eventos de IAM con AWS CloudTrail 13/11/2013

Amazon Kendra Registro de llamadas a la API de Amazon KendraAPI con AWS CloudTrail

11/05/2020

AWS Key Management Service(AWS KMS)

Registro de llamadas a la API de AWS KMSmediante AWS CloudTrail

12/11/2014

Amazon Kinesis Data Analytics Monitorización de Amazon Kinesis Data Analyticscon AWS CloudTrail (aplicaciones SQL) yMonitorización de Amazon Kinesis Data Analyticscon AWS CloudTrail (aplicaciones Apache Flink)

22/03/2019

Amazon Kinesis Data Firehose Monitorización de las llamadas a la API de AmazonKinesis Data Firehose con AWS CloudTrail

17/03/2016

Amazon Kinesis Data Streams Registro de llamadas a la API de Amazon KinesisData Streams mediante AWS CloudTrail

25/04/2014

Amazon Transmisión de vídeo deKinesis

Registro de llamadas a la API de Transmisión devídeo de Kinesis con AWS CloudTrail

24/05/2018

AWS Lambda Registro de llamadas a la API de AWS Lambdamediante AWS CloudTrail

Uso de Lambda con AWS CloudTrail

Eventos deadministración:09/04/2015

Eventosde datos:30/11/2017

Amazon Lex Registro de llamadas a la API de Amazon Lex conCloudTrail

15/08/2017

AWS License Manager Registro de llamadas a la API de AWS LicenseManager con AWS CloudTrail

01/03/2019

Version 1.028

https://docs.aws.amazon.com/iotanalytics/latest/userguide/cloudtrail.html

https://docs.aws.amazon.com/iotanalytics/latest/userguide/cloudtrail.html

https://docs.aws.amazon.com/iot-1-click/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/iot-1-click/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/iotevents/latest/developerguide/iotevents-using-cloudtrail.html

https://docs.aws.amazon.com/iotevents/latest/developerguide/iotevents-using-cloudtrail.html

https://docs.aws.amazon.com/greengrass/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/greengrass/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/iot-sitewise/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/iot-sitewise/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/thingsgraph/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/thingsgraph/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html

https://docs.aws.amazon.com/kendra/latest/dg/cloudtrail.html

https://docs.aws.amazon.com/kendra/latest/dg/cloudtrail.html

https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html


https://docs.aws.amazon.com/kinesisanalytics/latest/dev/logging-using-cloudtrail.html

https://docs.aws.amazon.com/kinesisanalytics/latest/dev/logging-using-cloudtrail.html

https://docs.aws.amazon.com/kinesisanalytics/latest/java/logging-using-cloudtrail.html

https://docs.aws.amazon.com/kinesisanalytics/latest/java/logging-using-cloudtrail.html

https://docs.aws.amazon.com/firehose/latest/dev/monitoring-with-cloudtrail.html

https://docs.aws.amazon.com/firehose/latest/dev/monitoring-with-cloudtrail.html

https://docs.aws.amazon.com/kinesis/latest/dev/logging_using_cloudtrail.html

https://docs.aws.amazon.com/kinesis/latest/dev/logging_using_cloudtrail.html

https://docs.aws.amazon.com/kinesisvideostreams/latest/dg/monitoring-cloudtrail.html

https://docs.aws.amazon.com/kinesisvideostreams/latest/dg/monitoring-cloudtrail.html

https://docs.aws.amazon.com/lambda/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/lambda/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/lambda/latest/dg/wt-cloudtrail-events-adminuser.html

https://docs.aws.amazon.com/lex/latest/dg/monitoring-aws-lex-cloudtrail.html

https://docs.aws.amazon.com/lex/latest/dg/monitoring-aws-lex-cloudtrail.html

https://docs.aws.amazon.com/license-manager/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/license-manager/latest/userguide/logging-using-cloudtrail.html



Amazon Lightsail Registro de llamadas a la API de Lightsail con AWSCloudTrail

23/12/2016

Amazon Machine Learning Registro de llamadas a la API de Amazon MLmediante AWS CloudTrail

10/12/2015

Amazon Macie Registro de llamadas a la API de Amazon Maciemediante AWS CloudTrail

13/05/2020

Servicio Amazon ManagedApache Cassandra

Registro de llamadas a la API del servicio AmazonManaged Cassandra con AWS CloudTrail

13/01/2020

AWS Managed Services Servicios administrados por AWS 21/12/2016

Amazon Managed Streamingpara Apache Kafka

Registro de llamadas a la API de Amazon MSK conAWS CloudTrail

11/12/2018

AWS Marketplace Registro de llamadas a la API de AWS Marketplacecon AWS CloudTrail

02/05/2017

AWS Marketplace MeteringService

Registro de llamadas a la API de AWS Marketplacecon AWS CloudTrail

22/08/2018

AWS Migration Hub Registro de llamadas a la API de AWS; MigrationHub con AWS CloudTrail

14/08/2017

AWS Mobile Hub Registro de llamadas a la API de la CLI de AWSMobile con AWS CloudTrail

29/06/2018

Amazon MQ Registro de llamadas a la API de Amazon MQmediante AWS CloudTrail

19/07/2018

Amazon Neptune Registro de llamadas a la API de Amazon Neptunemediante AWS CloudTrail

30/05/2018

AWS OpsWorks Registro de llamadas a la API de AWS OpsWorksmediante AWS CloudTrail

04/06/2014

AWS OpsWorks for ChefAutomate

Registro de llamadas a la API de AWS OpsWorksfor Chef Automate con AWS CloudTrail

16/07/2018

AWS OpsWorks para PuppetEnterprise

Registro de llamadas a la API de OpsWorks paraPuppet Enterprise con AWS CloudTrail

16/07/2018

AWS OpsWorks Stacks Registro de llamadas a la API de AWS OpsWorksStacks con AWS CloudTrail

04/06/2014

AWS Organizations Registro de eventos de AWS Organizations conAWS CloudTrail

27/02/2017

AWS Personal Health Dashboard Registro de llamadas a la API de AWS Health conAWS CloudTrail

01/12/2016

Amazon Personalize Registro de llamadas a la API de AmazonPersonalize con AWS CloudTrail

28/11/2018

Version 1.029

https://lightsail.aws.amazon.com/ls/docs/how-to/article/logging-lightsail-api-calls-using-aws-cloudtrail

https://lightsail.aws.amazon.com/ls/docs/how-to/article/logging-lightsail-api-calls-using-aws-cloudtrail

https://docs.aws.amazon.com/machine-learning/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/machine-learning/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/macie/latest/user/macie-cloudtrail.html

https://docs.aws.amazon.com/macie/latest/user/macie-cloudtrail.html

https://docs.aws.amazon.com/mcs/latest/devguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/mcs/latest/devguide/logging-using-cloudtrail.html

https://aws.amazon.com/managed-services

https://docs.aws.amazon.com/msk/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/msk/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/marketplace/latest/userguide/logging-aws-marketplace-api-calls-with-aws-cloudtrail.html




https://docs.aws.amazon.com/migrationhub/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/migrationhub/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/aws-mobile/latest/developerguide/aws-mobile-cli-cloudtrail-logging.html

https://docs.aws.amazon.com/aws-mobile/latest/developerguide/aws-mobile-cli-cloudtrail-logging.html

https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-logging-cloudtrail.html

https://docs.aws.amazon.com/amazon-mq/latest/developer-guide/amazon-mq-logging-cloudtrail.html

https://docs.aws.amazon.com/neptune/latest/userguide/cloudtrail.html

https://docs.aws.amazon.com/neptune/latest/userguide/cloudtrail.html

https://docs.aws.amazon.com/opsworks/latest/userguide/monitoring-cloudtrail.html


https://docs.aws.amazon.com/opsworks/latest/userguide/logging-opsca-using-cloudtrail.html

https://docs.aws.amazon.com/opsworks/latest/userguide/logging-opsca-using-cloudtrail.html

https://docs.aws.amazon.com/opsworks/latest/userguide/logging-opspup-using-cloudtrail.html

https://docs.aws.amazon.com/opsworks/latest/userguide/logging-opspup-using-cloudtrail.html



https://docs.aws.amazon.com/organizations/latest/userguide/orgs_incident-response.html#orgs_cloudtrail-integration

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_incident-response.html#orgs_cloudtrail-integration



https://docs.aws.amazon.com/personalize/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/personalize/latest/dg/logging-using-cloudtrail.html



Amazon Pinpoint Registro de llamadas a la API de Amazon Pinpointcon AWS CloudTrail

06/02/2018

API de SMS y voz de AmazonPinpoint

Registro de llamadas a la API de Amazon Pinpointcon AWS CloudTrail

16/11/2018

Amazon Polly Registro de llamadas a la API de Amazon Polly conAWS CloudTrail

30/11/2016

Amazon Quantum LedgerDatabase (Amazon QLDB)

Registro de llamadas a la API de Amazon QLDBcon AWS CloudTrail

10/09/2019

AWS Certificate Manager PrivateCertificate Authority

Uso de CloudTrail 04/04/2018

Amazon QuickSight Registro de operaciones con CloudTrail 28/04/2017

Amazon Redshift Registro de llamadas a la API de Amazon Redshiftcon AWS CloudTrail

10/06/2014

Amazon Rekognition Registro de llamadas a la API de AmazonRekognition mediante AWS CloudTrail

06/04/2018

Amazon Relational DatabaseService (Amazon RDS)

Registro de llamadas a la API de Amazon RDSmediante AWS CloudTrail

13/11/2013

Amazon RDS PerformanceInsights

Registro de llamadas a la API de Amazon RDSmediante AWS CloudTrail

LA API de Amazon RDS Performance Insights es unsubconjunto de la API de Amazon RDS.

21/06/2018

AWS Resource Access Manager(AWS RAM)

Registro de llamadas a la API de AWS RAM conAWS CloudTrail

20/11/2018

Grupos de recursos de AWS Registro de llamadas a la API de grupos derecursos de AWS con AWS CloudTrail

29/06/2018

AWS RoboMaker Registro de llamadas a la API de AWS RoboMakercon AWS CloudTrail

16/01/2019

Amazon Route 53 Uso de AWS CloudTrail para capturar las solicitudesenviadas a la API de Route 53

11/02/2015

Amazon SageMaker Registro de llamadas a la API de AmazonSageMaker con AWS CloudTrail

11/01/2018

AWS Secrets Manager Monitorización del uso de sus secretos de AWSSecrets Manager

05/04/2018

Centro de seguridad de AWS Registro de llamadas a la API del Centro deseguridad de AWS con AWS CloudTrail

27/11/2018

AWS Security Token Service(AWS STS)

Registro de eventos de IAM con AWS CloudTrail

El tema de IAM incluye información para AWS STS.

13/11/2013

Version 1.030

https://docs.aws.amazon.com/pinpoint/latest/developerguide/logging-using-cloudtrail.html




https://docs.aws.amazon.com/polly/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/polly/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/qldb/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/qldb/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaCtIntro.html

https://docs.aws.amazon.com/quicksight/latest/user/logging-using-cloudtrail.html

https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html#rs-db-auditing-cloud-trail

https://docs.aws.amazon.com/redshift/latest/mgmt/db-auditing.html#rs-db-auditing-cloud-trail

https://docs.aws.amazon.com/rekognition/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/rekognition/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/logging-using-cloudtrail.html




https://docs.aws.amazon.com/ram/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/ram/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/ARG/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/ARG/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/robomaker/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/robomaker/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/sagemaker/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/sagemaker/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/secretsmanager/latest/userguide/monitoring.html#monitoring_cloudtrail

https://docs.aws.amazon.com/secretsmanager/latest/userguide/monitoring.html#monitoring_cloudtrail

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-ct.html

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-ct.html




AWS Server Migration Service Referencia de la API de AWS SMS 14/11/2016

AWS Serverless ApplicationRepository

Registro de llamadas a la API de AWS ServerlessApplication Repository con AWS CloudTrail

20/02/2018

AWS Service Catalog Registro de llamadas a la API de AWS ServiceCatalog con AWS CloudTrail

06/07/2016

AWS Shield Registro de llamadas a la API de Shield Advancedcon AWS CloudTrail

08/02/2018

Amazon Simple Email Service(Amazon SES)

Registro de llamadas a la API de Amazon SESmediante AWS CloudTrail

07/05/2015

Amazon Simple NotificationService (Amazon SNS)

Registro de llamadas a la API de Amazon SimpleNotification Service mediante AWS CloudTrail

09/10/2014

Amazon Simple Queue Service(Amazon SQS)

Registro de las acciones de la API de Amazon SQSmediante AWS CloudTrail

16/07/2014

Amazon Simple Storage Service Registro de llamadas a la API de Amazon S3mediante AWS CloudTrail

Eventos deadministración:01/09/2015

Eventosde datos:21/11/2016

Amazon Simple WorkflowService (Amazon SWF)

Registro de llamadas a la API de Amazon SimpleWorkflow Service con AWS CloudTrail

13/5/2014

Inicio de sesión único de AWS(AWS SSO)

Registro de llamadas a la API de AWS SSO conAWS CloudTrail

07/12/2017

AWS Snowball Registro de llamadas a la API de AWS Snowball conAWS CloudTrail

25/01/2019

AWS Snowball Edge Registro de llamadas a la API de AWS SnowballEdge con AWS CloudTrail

25/01/2019

AWS Step Functions Registro de llamadas a la API de AWS StepFunctions con AWS CloudTrail

01/12/2016

AWS Storage Gateway Registro de llamadas a la API de AWS StorageGateway mediante AWS CloudTrail

16/12/2014

AWS Support Registro de llamadas a la API de AWS Support conAWS CloudTrail

21/04/2016

AWS Administrador de sistemas(Administrador de sistemas)

Registro de llamadas a la API de Administrador desistemas con AWS CloudTrail

13/11/2013

Amazon Textract Registro de llamadas a la API de Amazon Textractcon AWS CloudTrail

29/05/2019

Version 1.031

https://docs.aws.amazon.com/server-migration-service/latest/APIReference/Welcome.html

https://docs.aws.amazon.com/serverlessrepo/latest/devguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/serverlessrepo/latest/devguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/servicecatalog/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/servicecatalog/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/waf/latest/developerguide/logging-using-cloudtrail.html#shield-info-in-cloudtrail

https://docs.aws.amazon.com/waf/latest/developerguide/logging-using-cloudtrail.html#shield-info-in-cloudtrail

https://docs.aws.amazon.com/ses/latest/DeveloperGuide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/ses/latest/DeveloperGuide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/sns/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/sns/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/cloudtrail-logging.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/cloudtrail-logging.html

https://docs.aws.amazon.com/amazonswf/latest/developerguide/ct-logging.html

https://docs.aws.amazon.com/amazonswf/latest/developerguide/ct-logging.html

https://docs.aws.amazon.com/singlesignon/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/singlesignon/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/snowball/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/snowball/latest/ug/logging-using-cloudtrail.html

https://docs.aws.amazon.com/snowball/latest/developer-guide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/snowball/latest/developer-guide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/step-functions/latest/dg/cloud-trail.html

https://docs.aws.amazon.com/step-functions/latest/dg/cloud-trail.html

https://docs.aws.amazon.com/storagegateway/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/storagegateway/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/awssupport/latest/user/logging-using-cloudtrail.html

https://docs.aws.amazon.com/awssupport/latest/user/logging-using-cloudtrail.html

https://docs.aws.amazon.com/ssm/latest/APIReference/logging-using-cloudtrail.html


https://docs.aws.amazon.com/textract/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/textract/latest/dg/logging-using-cloudtrail.html

AWS CloudTrail Guía del usuarioServicios no compatibles con CloudTrail


Amazon Transcribe Registro de llamadas a la API de AmazonTranscribe con AWS CloudTrail

28/06/2018

AWS Transfer for SFTP Registro de llamadas a la API de AWS Transfer forSFTP con AWS CloudTrail

08/01/2019

Amazon Translate Registro de llamadas a la API de Amazon Translatecon AWS CloudTrail

04/04/2018

AWS Transit Gateway Registro de llamadas a la API para Transit Gatewaycon AWS CloudTrail

26/11/2018

Amazon Virtual Private Cloud(Amazon VPC)


La API Amazon VPC es un subconjunto de la APIAmazon EC2.

13/11/2013

AWS WAF Registro de llamadas a la API de AWS WAF conAWS CloudTrail

28/04/2016

Amazon WorkDocs Registro de llamadas a la API de AmazonWorkDocs mediante AWS CloudTrail

27/08/2014

Amazon WorkLink Registro de llamadas a la API de Amazon WorkLinkcon AWS CloudTrail

23/01/2019

Amazon WorkMail Registro de llamadas a la API de Amazon WorkMailmediante AWS CloudTrail

12/12/2017

Amazon WorkSpaces Registro de llamadas a la API de AmazonWorkSpaces mediante CloudTrail

09/04/2015

AWS X-Ray Registro de llamadas a la API de AWS X-Ray conCloudTrail

25/04/2018

Servicios no compatibles con CloudTrailLos siguientes servicios de AWS no admiten eventos de registro con AWS CloudTrail. Los motivos por losque un servicio no admite el registro de CloudTrail pueden variar. Por ejemplo, un servicio que todavía seencuentra en modo de vista previa o del que aún no se ha lanzado la versión para disponibilidad general(GA), no se considera compatible con el registro de CloudTrail.

Para obtener una lista de los servicios de AWS compatibles, consulte Servicios e integracionescompatibles con CloudTrail (p. 21).

servicio de AWS Fecha de lanzamiento

AWS Trusted Advisor 30 de abril de 2013

Los siguientes servicios de AWS no disponen de operaciones de API públicas.

Version 1.032

https://docs.aws.amazon.com/transcribe/latest/dg/monitoring-transcribe-cloud-trail.html

https://docs.aws.amazon.com/transcribe/latest/dg/monitoring-transcribe-cloud-trail.html

https://docs.aws.amazon.com/transfer/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/transfer/latest/userguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/translate/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/translate/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-cloudtrail-logs.html

https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-cloudtrail-logs.html



https://docs.aws.amazon.com/waf/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/waf/latest/developerguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/workdocs/latest/adminguide/cloudtrail_logging.html

https://docs.aws.amazon.com/workdocs/latest/adminguide/cloudtrail_logging.html

https://docs.aws.amazon.com/worklink/latest/ag/logging-using-cloudtrail.html

https://docs.aws.amazon.com/worklink/latest/ag/logging-using-cloudtrail.html

https://docs.aws.amazon.com/workmail/latest/adminguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/workmail/latest/adminguide/logging-using-cloudtrail.html

https://docs.aws.amazon.com/workspaces/latest/devguide/cloudtrail_logging.html

https://docs.aws.amazon.com/workspaces/latest/devguide/cloudtrail_logging.html

https://docs.aws.amazon.com/xray/latest/devguide/xray-api-cloudtrail.html

https://docs.aws.amazon.com/xray/latest/devguide/xray-api-cloudtrail.html

AWS CloudTrail Guía del usuarioLímites en AWS CloudTrail

servicio de AWS Fecha de lanzamiento

AWS Deep Learning AMI 15 de noviembre de 2017

Amazon WorkSpaces Application Manager 9 de abril de 2015

AWS Artifact 30 de noviembre de 2016

AWS DeepComposer 2 de diciembre de 2019

AWS DeepLens 29 de noviembre de 2017

AWS DeepRacer 29 de abril de 2019

AWS Snowmobile 30 de noviembre de 2016

Amazon Sumerian 15 de mayo de 2018

AWS Well-Architected Tool 29 de noviembre de 2018

Límites en AWS CloudTrailEn la siguiente tabla se describen los límites de CloudTrail. CloudTrail no presenta límites ajustables. Paraobtener información acerca de otros límites en AWS, consulte Límites de los servicios de AWS.

Recurso Límite predeterminado Comentarios

Registros de seguimiento porregión

5 Este límite no se puedeaumentar.

Obtener, describir y mostrar lasAPI

10 transacciones por segundo(TPS)

Número máximo de solicitudesde operación que puederealizar por segundo sin queaplique una limitación. La APILookupEvents no está incluidaen esta categoría.

Este límite no se puedeaumentar.

API LookupEvents 2 transacciones por segundo(TPS)

Número máximo de solicitudesde operación que puede realizarpor segundo sin que aplique unalimitación.


Todas las demás API 1 transacción por segundo (TPS) Número máximo de solicitudesde operación que puede realizarpor segundo sin que aplique unalimitación.


Version 1.033

https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html

AWS CloudTrail Guía del usuarioLímites en AWS CloudTrail

Recurso Límite predeterminado Comentarios

Selectores de eventos 5 por registro de seguimiento Este límite no se puedeaumentar.

Recursos de datos en selectoresde eventos

250 en todos los selectoreseventos, en un registro deseguimiento

La cantidad total de recursos dedatos no puede superar 250 entodos los selectores eventos, enun registro de seguimiento. Ellímite de la cantidad de recursosde un selector de eventosindividual se puede configurarhasta 250. Este límite superiorsolo se permite si la cantidadtotal de recursos de datos nosupera 250 en el conjunto detodos los selectores de eventos.

Ejemplos:

• Se permite un registro deseguimiento con 5 selectoresde evento (cada eventoconfigurado con 50 recursosde datos). (5*50=250)

• También se permite unregistro de seguimiento con 5selectores de eventos, de loscuales 3 estarían configuradoscon 50 recursos de datos,1 con 99 recursos de datosy 1 con 1 recurso de datos.[(3*50)+1+99=250]

• No se permite un registrode seguimiento configuradocon 5 selectores de eventos,cada uno de ellos configuradocon 100 recursos de datos.(5*100=500)


Version 1.034

AWS CloudTrail Guía del usuarioRequisitos previos

Tutorial de introducción a AWSCloudTrail

Si es la primera vez que trabaja con AWS CloudTrail, este tutorial le enseñará a utilizarlo. En este tutorial,revisará la actividad reciente de la cuenta de AWS en la consola de CloudTrail y examinará un evento. Acontinuación, creará un registro de seguimiento, que es un registro continuo de actividad de los eventosde administración que se almacena en un bucket de Amazon S3. A diferencia del historial de eventos,este registro continuo no se limita a 90 días, registra los eventos de todas las regiones de AWS y puedeayudarle a satisfacer sus necesidades de auditoría y seguridad con el paso del tiempo.

Temas• Requisitos previos (p. 35)• Paso 1: Revisar la actividad de la cuenta de AWS en el historial de eventos (p. 35)• Paso 2: Crear el primer registro de seguimiento (p. 39)• Paso 3: Ver los archivos de registro (p. 40)• Paso 4: Planificar los pasos siguientes (p. 43)

Requisitos previosAntes de comenzar, debe completar los requisitos previos y la configuración que se indican a continuación:

• Cree una cuenta de AWS si todavía no posee una.

Si no dispone de una cuenta de AWS, utilice el siguiente procedimiento para crearla.

Para inscribirse en AWS

1. Abra https://aws.amazon.com/ y elija Create an AWS Account.2. Siga las instrucciones en línea.

• Cree un usuario de IAM para administrar CloudTrail. Para obtener más información, consulte Concesiónde permisos de administración de CloudTrail (p. 243).

Paso 1: Revisar la actividad de la cuenta de AWSen el historial de eventos

CloudTrail se habilita en una cuenta de AWS al crearla. Cuando se produce una actividad en cualquierservicio de AWS que admita CloudTrail, dicha actividad se registra en un evento de CloudTrail junto conlos eventos de los demás servicios de AWS en el Event history (Historial de eventos). En otras palabras,puede ver, buscar y descargar los últimos eventos de su cuenta de AWS antes de crear un registro deseguimiento, aunque la creación de un registro de seguimiento es de vital importancia para los registros alargo plazo y de auditoría de la actividad de su cuenta de AWS. A diferencia de un registro de seguimiento,el Event history (Historial de eventos) solo contiene los últimos eventos.

Version 1.035

https://aws.amazon.com/

AWS CloudTrail Guía del usuarioPaso 1: Revisar la actividad de la cuenta

de AWS en el historial de eventos

1. Inicie sesión en la Consola de administración de AWS con el usuario de IAM que ha configurado parala administración de CloudTrail. Abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/home/.

2. Examine la información del panel sobre los últimos eventos que se han producido en su cuenta deAWS. Uno de ellos debe ser un evento ConsoleSignin, que indica que acaba de iniciar sesión en laConsola de administración de AWS.

3. Para obtener más información sobre un evento, amplíelo.

Version 1.036

https://console.aws.amazon.com/cloudtrail/home/




4. En el panel de navegación, elija Event history (Historial de eventos). Verá una lista filtrada de eventos,con los últimos eventos en primer lugar. El filtro predeterminado de eventos es Read only (Sololectura), con el valor false. Puede borrar ese filtro seleccionando el icono de eliminación.

Version 1.037



5. Si se quita el filtro predeterminado, se muestran muchos más eventos. Puede filtrar los eventos demuchas formas. Por ejemplo, para ver todos los eventos de inicio de sesión en la consola, puedeelegir el filtro Event name (Nombre del evento) y especificar ConsoleLogin. Elija los filtros que desee.

6. Puede guardar el historial de eventos descargándolo como un archivo con formato CSV o JSON.

Para obtener más información, consulte Ver eventos con el historial de eventos de CloudTrail (p. 44).

Version 1.038

AWS CloudTrail Guía del usuarioPaso 2: Crear el primer registro de seguimiento

Paso 2: Crear el primer registro de seguimientoAunque los eventos que pueden verse en la vista del historial de eventos de la consola de CloudTrail sonútiles para revisar la actividad reciente, se limitan a esta y no incluyen todos los eventos que es capazde registrar CloudTrail. Además, en la consola solo se ven los eventos de la región de AWS en la quese ha iniciado la sesión. Para crear un registro continuo de actividad de una cuenta de AWS que captureinformación de todas las regiones de AWS, cree un registro de seguimiento. Para su primer registrode seguimiento, le recomendamos crear uno que registre todos los eventos de administración (p. 6) detodas las regiones de AWS y que no registre ningún evento de datos (p. 6). Por ejemplo, son eventos deadministración los eventos de seguridad, como CreateUser y AttachRolePolicy de IAM, los eventosde recursos como RunInstances y CreateBucket, etc. Creará un bucket de Amazon S3 en el quealmacenará los archivos de registro para el registro de seguimiento como parte de la creación del registrode seguimiento en la consola de CloudTrail.

Note

En este tutorial, se presupone que está creando su primer registro de seguimiento. En función delnúmero de registros de seguimiento que tenga en su cuenta de AWS y cómo estén configurados,el siguiente procedimiento podría generar cargos o no. Además, CloudTrail almacena los archivosde registro en un bucket de Amazon S3. Para obtener más información sobre precios, consultePrecios de AWS CloudTrail y Precios de Amazon S3.

1. Inicie sesión en la Consola de administración de AWS con el usuario de IAM que ha configurado parala administración de CloudTrail. Abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/home/. En la selección de regiones, elija la región de AWS en la que desea que se cree elregistro de seguimiento. Esta es la región principal del registro de seguimiento.

Note

La región principal es la única región de AWS en la que puede ver y actualizar el registro deseguimiento una vez que se haya creado, incluso si el registro de seguimiento registra loseventos de todas las regiones de AWS.

2. En el panel de navegación, elija Trails (Registros de seguimiento). En la página Trails (Registros deseguimiento), elija Get Started Now (Comenzar ahora). Si no ve esa opción, elija Create Trail (Crearregistro de seguimiento).

3. En Trail name (Nombre del registro de seguimiento), indique el nombre del registro de seguimiento,como, por ejemplo, My-Management-Events-Trail. Como práctica recomendada, utilice unnombre que identifique rápidamente el propósito del registro de seguimiento. En este caso, estácreando un registro de seguimiento que registra eventos de administración.

4. En Management Events (Eventos de administración, asegúrese de que Read/Write events (Eventosde lectura/escritura) está establecido en All (Todos). Deje el valor predeterminado, Yes (Sí), en LogAWS KMS events (Registrar eventos de AWS KMS).

5. En Data Events (Eventos de datos), no haga ningún cambio. Este registro de seguimiento noregistrará ningún evento de datos.

6. En Storage Location (Ubicación de almacenamiento), en Create a new S3 bucket (Crear un bucket deS3 nuevo), elija Yes (Sí). En S3 bucket (Bucket de S3), especifique un nombre para el bucket, como,por ejemplo, my-bucket-for-storing-cloudtrail-logs.

Note

El nombre del bucket de Amazon S3 debe ser único de forma global. Para obtener másinformación, consulte Requisitos de nomenclatura para buckets de Amazon S3 (p. 111).

7. En Tags (Etiquetas), agregue una o más etiquetas personalizadas (pares clave-valor) a su registro deseguimiento. Las etiquetas pueden ayudarle a identificar los registro de seguimiento de CloudTrail yotros recursos, como los buckets de Amazon S3 que contienen archivos de registro de CloudTrail. Porejemplo, podría asociar una etiqueta con el nombre Cumplimiento y el valor Auditoría.

Version 1.039


https://aws.amazon.com/s3/pricing/



AWS CloudTrail Guía del usuarioPaso 3: Ver los archivos de registro

Note

Aunque puede agregar etiquetas a los registros de seguimiento al crearlos en la consolade CloudTrail, y puede crear un bucket de Amazon S3 para almacenar los archivos deregistro en la consola de CloudTrail, no puede agregar etiquetas al bucket de Amazon S3desde la consola de CloudTrail. Para obtener más información sobre cómo ver y cambiarlas propiedades de un bucket de Amazon S3 , incluida la adición de etiquetas a un bucket,consulte la Guía del usuario de la consola de Amazon S3.

8. Seleccione Create.

Paso 3: Ver los archivos de registroPasados 15 minutos desde la creación del primer registro de seguimiento, CloudTrail envía el primerconjunto de archivos de registro al bucket de Amazon S3 del registro de seguimiento. Puede ver estosarchivos y analizar la información que contienen.

1. En el panel de navegación, elija Trails (Registros de seguimiento). En la página Trails (Registros deseguimiento), busque el nombre del registro de seguimiento que acaba de crear (en el ejemplo, My-Management-Events-Trail).

Note

Asegúrese de que sigue teniendo iniciada la sesión con el usuario de IAM que ha configuradopara la administración de CloudTrail. De lo contrario, es posible que no tenga permisossuficientes para ver los registros de seguimiento en la consola de CloudTrail o el bucket deAmazon S3 que contiene los archivos de registro de ese registro de seguimiento.

Version 1.040

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/view-bucket-properties.html


2. En la fila de dicho registro de seguimiento, busque el valor del bucket de S3 (en el ejemplo, my-bucket-for-storing-cloudtrail-logs). Elíjalo.

3. La consola de Amazon S3 se abre y muestra ese bucket, en el nivel superior de los archivos deregistro. Como ha creado un registro de seguimiento que registra los eventos de todas las regionesde AWS, la pantalla se abre en el nivel que muestra la carpeta de cada región. La jerarquía denavegación del bucket de Amazon S3 en este nivel es nombre-del-bucket/AWSLogs/id-de-cuenta-de-AWS/CloudTrail. Elija la carpeta correspondiente a la región de AWS cuyos archivos deregistro desea examinar. Por ejemplo, si desea examinar los archivos de registro de la región EE.UU.Este (Ohio), elija us-east-2.

4. Desplácese por la estructura de carpetas del bucket hasta el año, el mes y el día cuyos registrosde actividad desea examinar en esa región. En ese día, hay una serie de archivos. Los nombresde los archivos comienzan por el ID de la cuenta de AWS y terminan por la extensión .gz. Porejemplo, si el ID de la cuenta es 123456789012, vería los archivos con nombres similares a este:123456789012_CloudTrail_us-east-2_20190610T1255abcdeEXAMPLE.json.gz.

Para ver estos archivos, puede descargarlos, descomprimirlos y, a continuación, verlos en un editor detexto sin formato o en un visor de archivos JSON. Algunos navegadores también permiten visualizararchivos .gz y JSON directamente. Le recomendamos que utilice un visor de archivos JSON, ya quefacilita la labor de analizar la información de los archivos de registro de CloudTrail.

Version 1.041


A medida que examine el contenido del archivo, puede comenzar a preguntarse sobre lo que estáviendo. CloudTrail registra eventos para cada servicio de AWS en el que hubo actividad en esa regiónde AWS en el momento en que se produjo el evento. En otras palabras, los eventos de los distintosservicios de AWS están mezclados teniendo en cuenta únicamente el momento en que se produjeron.Para obtener más información sobre lo que un servicio específico de AWS registra en CloudTrail y verejemplos de entradas de archivos de registro de llamadas a la API de ese servicio, consulte la listade servicios admitidos para CloudTrail (p. 23) y lea el tema de integración de CloudTrail para dichoservicio. También puede obtener más información sobre el contenido y la estructura de los archivos deregistro de CloudTrail en la Referencia de eventos de registro de CloudTrail (p. 277).

También es posible que se dé cuenta de lo que no está viendo en los archivos de registro de EE.UU.Este (Ohio). En concreto, no verá los eventos de inicio de sesión en la consola, aunque sepa queha iniciado sesión en la consola. Esto se debe a que los eventos de inicio de sesión en la consola ylos eventos de IAM son eventos de servicios globales (p. 12) y se registran en una región de AWSespecífica. En este caso, se registran en US East (N. Virginia), que corresponde a la carpeta us-east-1. Vaya a esa carpeta y al año, mes y día que le interese. Examine los archivos de registro ybusque los eventos ConsoleLogin que tengan un aspecto similar al siguiente:

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AKIAIOSFODNN7EXAMPLE", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "userName": "Mary_Major" }, "eventTime": "2019-06-10T17:14:09Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "203.0.113.67", "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0", "requestParameters": null, "responseElements": { "ConsoleLogin": "Success" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAUsed": "No" }, "eventID": "2681fc29-EXAMPLE", "eventType": "AwsConsoleSignIn", "recipientAccountId": "123456789012"}

Observará que esta entrada de archivo de registro le indica algo más que la identidad del usuario deIAM que ha iniciado sesión (Mary_Major), la fecha y la hora en que ha iniciado sesión y que el iniciode sesión se ha realizado correctamente. También puede ver la dirección IP desde la que ha iniciadosesión, el sistema operativo y el software del navegador del equipo que ha utilizado, y que no estabautilizando la autenticación multifactor.

Version 1.042

AWS CloudTrail Guía del usuarioPaso 4: Planificar los pasos siguientes

Paso 4: Planificar los pasos siguientesAhora que tiene un registro de seguimiento, tiene acceso a un registro de los eventos y actividades que seproducen en su cuenta de AWS. Este registro continuo le ayuda a satisfacer las necesidades de auditoríay contabilidad de su cuenta de AWS. Sin embargo, puede hacer mucho más con CloudTrail y con los datosde CloudTrail.

• Añadir seguridad adicional para los datos del registro de seguimiento. CloudTrail aplica automáticamenteun determinado nivel de seguridad cuando se crea un registro de seguimiento. Sin embargo, hay másmedidas que puede adoptar para ayudar a mantener los datos seguros.• De forma predeterminada, el bucket de Amazon S3 que ha creado como parte de la creación de un

registro de seguimiento tiene aplicada una política que permite a CloudTrail escribir los archivos deregistro en ese bucket. El bucket no está accesible públicamente, pero puede ser accesible para otrosusuarios de su cuenta de AWS si tienen permisos para leer y escribir en los buckets de su cuenta deAWS. Revise la política del bucket y, si es necesario, realice cambios para restringir el acceso a unconjunto específico de usuarios de IAM. Para obtener más información, consulte la documentación deseguridad de Amazon S3 y el tutorial de ejemplo para proteger un bucket.

• Los archivos de registro que envía CloudTrail al bucket se cifran mediante el sistema de Amazonde cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3). Paraproporcionar una capa de seguridad que pueda administrarse directamente, puede utilizar en sulugar el cifrado del lado del servidor con claves administradas por AWS KMS (SSE-KMS) para losarchivos de registro de CloudTrail. Para utilizar SSE-KMS con CloudTrail, debe crear y administraruna clave de KMS, también llamada clave maestra del cliente (CMK). Para obtener más información,consulte Cifrado de archivos de registro de CloudTrail con claves administradas de AWS KMS (SSE-KMS) (p. 265).

• Para mejorar la planificación de la seguridad, consulte las prácticas recomendadas de seguridad deCloudTrail (p. 262).

• Crear un registro de seguimiento para registrar los eventos de datos. Si está interesado en registrarcuándo se añaden, recuperan y eliminan objetos en uno o varios buckets de Amazon S3, o cuándose invocan una o varias funciones de AWS Lambda, se trata de eventos de datos. El registro deseguimiento de eventos de administración que creó anteriormente en este tutorial no registra estostipos de eventos. Puede crear un registro de seguimiento independiente para registrar específicamentelos eventos de datos de algunos o todos sus recursos de Amazon S3 y Lambda. Para obtener másinformación, consulte Eventos de datos (p. 121).

Note

Se aplican cargos adicionales por el registro de eventos de datos. Para obtener másinformación, consulte Precios de AWS CloudTrail.

• Configurar alarmas de CloudWatch Logs para recibir una alerta cuando se produzcan determinadoseventos. CloudWatch Logs permite monitorizar y recibir alertas para determinados eventos capturadospor CloudTrail. Por ejemplo, puede monitorizar eventos de administración importantes relacionados conla red y la seguridad, como los eventos de inicio de sesión erróneo en la consola de AWS (p. 170), lasllamadas a la API que no se realizaron debido a errores de autorización (p. 172) o los cambios en lasinstancias de Amazon EC2 (p. 164). Para obtener más información, consulte Monitoreo de archivos deregistro de CloudTrail con Amazon CloudWatch Logs (p. 134).

• Utilizar herramientas de análisis para identificar tendencias en los registros de CloudTrail. Aunquelos filtros del historial de eventos le ayudan a encontrar eventos o tipos de eventos específicos en suactividad reciente, no proporcionan la capacidad de realizar búsquedas durante períodos de tiempo deactividad más largos. Para realizar análisis más detallados y sofisticados, puede utilizar Amazon Athena.Para obtener más información, vea el tema Consulta de registros de AWS CloudTrail en la Guía delusuario de Amazon Athena.

Version 1.043

https://docs.aws.amazon.com/AmazonS3/latest/dev/security.html


https://docs.aws.amazon.com/AmazonS3/latest/dev/walkthrough1.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html

https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html



AWS CloudTrail Guía del usuarioVer eventos con el historial de eventos de CloudTrail

Uso de CloudTrailCloudTrail está activada por defecto para su cuenta de AWS. Puede utilizar Event history (Historial deeventos) en la consola de CloudTrail para ver, buscar, descargar, archivar, analizar y responder a laactividad de la cuenta en la infraestructura de AWS. Entre estos se incluye la actividad realizada a travésde la Consola de administración de AWS y AWS Command Line Interface, así como las API y los SDK deAWS.

Para mantener un registro continuo de los eventos de la cuenta de AWS, cree un registro de seguimiento.Un registro de seguimiento permite a CloudTrail enviar archivos de registro a un bucket de Amazon S3.De forma predeterminada, cuando se crea un registro de seguimiento en la consola, este se aplica atodas las regiones de AWS. El registro de seguimiento registra los eventos de todas las regiones de lapartición de AWS y envía los archivos de registro al bucket de Amazon S3 especificado. También puedeconfigurar otros servicios de AWS para analizar y actuar en función de los datos de eventos recopilados enlos registros de CloudTrail.

Si ha creado una organización en AWS Organizations, puede crear un registro de seguimiento queregistrará todos los eventos de todas las cuentas de AWS en dicha organización. La creación de unregistro de seguimiento de organización le ayuda a definir una estrategia uniforme de registro de eventospara su organización.

Temas• Ver eventos con el historial de eventos de CloudTrail (p. 44)• Consulta de eventos de CloudTrail Insights (p. 55)• Creación de un registro de seguimiento para su cuenta de AWS (p. 68)• Creación de un registro de seguimiento para una organización (p. 91)• Obtención y visualización de archivos de registro de CloudTrail (p. 104)• Configuración de notificaciones de Amazon SNS para CloudTrail (p. 107)• Controlar los permisos de usuario para CloudTrail (p. 108)• Consejos para la administración de registros de seguimiento (p. 109)• Uso de AWS CloudTrail con los puntos de conexión de la VPC de tipo interfaz (p. 112)

Ver eventos con el historial de eventos deCloudTrail

Puede resolver problemas operativos e incidentes de seguridad en los últimos 90 días en la consolade CloudTrail con la característica Event history. Puede buscar eventos relacionados con la creación,modificación o eliminación de recursos (como usuarios de IAM o instancias de Amazon EC2) en sucuenta de AWS por región. Los eventos pueden visualizarse y descargarse mediante la consola de AWSCloudTrail. Puede personalizar la vista del historial de eventos en la consola seleccionando las columnasque desea mostrar y ocultar. Puede buscar eventos mediante programación con los SDK de AWS o AWSCommand Line Interface.

Note

Con el tiempo, es posible que los servicios de AWS añadan más eventos. CloudTrail los registraráen Event history (Historial de eventos), pero el registro completo de 90 días que incluye loseventos añadidos no estará disponible hasta 90 días después de la fecha en la que se añadieronlos eventos.

Version 1.044

AWS CloudTrail Guía del usuarioVisualización de eventos de

CloudTrail en la consola de CloudTrail

En esta sección se describe cómo buscar eventos a través de la consola de CloudTrail y la AWS CLI.También se describe cómo descargar un archivo de eventos. Para obtener información sobre el uso de laAPI LookupEvents para recuperar información de eventos de CloudTrail, consulte la AWS CloudTrail APIReference.

Si desea obtener información acerca de cómo crear un registro de seguimiento para tener un registro deeventos que abarque los últimos 90 días, consulte Creación de un registro de seguimiento (p. 69) yObtención y visualización de archivos de registro de CloudTrail (p. 104).

Temas• Visualización de eventos de CloudTrail en la consola de CloudTrail (p. 45)• Ver eventos de CloudTrail con la AWS CLI (p. 49)

Visualización de eventos de CloudTrail en la consolade CloudTrailPuede utilizar la consola de CloudTrail para ver los últimos 90 días de actividad y eventos de APIregistrados en una región de AWS. También puede descargar un archivo con dicha información, o unsubconjunto de información en función del filtro y el intervalo de tiempo que elija. Puede personalizarla vista de Event history (Historial de eventos) seleccionando las columnas que desea mostrar en laconsola. También puede buscar eventos y filtrarlos en función de los tipos de recursos disponibles en undeterminado servicio.

Transcurridos 90 días, los eventos ya no se muestran en Event history (Historial de eventos). Nopuede eliminar manualmente eventos del Event history (Historial de eventos). Al crear un registro deseguimiento (p. 69), puede ver los eventos registrados en su registro de seguimiento mientras losalmacene en el bucket de S3 configurado en la configuración de su registro de seguimiento.

Los registros de CloudTrail varían entre los diferentes servicios de AWS. Aunque la mayoría de losservicios de AWS permiten que CloudTrail registre todos los eventos, algunos servicios solo permitenque se registre un subconjunto de las API y los eventos. Además, hay unos pocos servicios que noadmiten ningún registro. Para obtener más información sobre aspectos específicos relacionados conel modo en que CloudTrail registra los eventos de un determinado servicio, consulte la documentaciónde dicho servicio. Para obtener más información, consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

Note

Para mantener un registro continuo de actividad y eventos, cree un registro deseguimiento (p. 69). La creación de un registro de seguimiento también le permite aprovecharlas siguientes integraciones:

• Un registro de seguimiento le permite registrar eventos de CloudTrail Insights, lo que puedeayudarle a identificar y responder a actividades inusuales asociadas con las llamadas a la APIde administración write. Para obtener más información, consulte Registro de eventos deInsights para registros de seguimiento (p. 129).

• Analizar la actividad del servicio de AWS con consultas en Amazon Athena. Para obtenermás información, consulte Creación de una tabla para registros de CloudTrail en la consolade CloudTrail en la Guía del usuario de Amazon Athena o elija la opción para crear una tabladirectamente en Event history (Historial de eventos) en la consola de CloudTrail.

• Monitorizar sus archivos de registro de seguimiento y recibir notificaciones cuando seproduzca una actividad específica con Amazon CloudWatch Logs. Para obtener másinformación, consulte Monitoreo de archivos de registro de CloudTrail con Amazon CloudWatchLogs (p. 134).

Version 1.045








Para ver eventos de CloudTrail

1. Inicie sesión en la Consola de administración de AWS y vaya a la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/home/.

2. En el panel de navegación, elija Event history.

Aparecerá una lista filtrada de eventos en el panel de contenido con el último evento en primer lugar.Desplácese hacia abajo para ver más eventos.

La vista predeterminada de eventos en Event history (Historial de eventos) tiene un filtro aplicado paraque no muestre los eventos de solo lectura. Para eliminar este filtro, o para aplicar otros, cambie suconfiguración. Para obtener más información, consulte Filtrado de eventos de CloudTrail (p. 46).

Contenido• Visualización de eventos de CloudTrail (p. 46)• Filtrado de eventos de CloudTrail (p. 46)• Ver detalles de un evento (p. 48)• Descarga de eventos (p. 48)• Ver recursos a los que se hace referencia con AWS Config (p. 48)

Visualización de eventos de CloudTrailPuede personalizar la visualización de Event history (Historial de eventos) seleccionando las columnasque desea mostrar en la consola de CloudTrail. De forma predeterminada, se muestran las siguientescolumnas:

• Hora del evento• Nombre de usuario• Nombre de evento• Tipo de recurso• Nombre del recurso

Note

No puede cambiar el orden de las columnas ni eliminar manualmente eventos del Event history(Historial de eventos).

Para personalizar las columnas que se muestran en Event history (Historial de eventos)


2. En el panel de navegación, elija Event history.3. Seleccione el icono de la rueda.4. En Show/Hide Columns, seleccione las columnas que desee mostrar. Desactive las columnas que no

desea mostrar. Cuando haya terminado, elija Save.

Filtrado de eventos de CloudTrailLa visualización predeterminada de los eventos en Event history (Historial de eventos) utiliza un filtro deatributos para excluir los eventos de solo lectura de la lista de eventos mostrados. Este filtro de atributosse llama Read only (Solo lectura) y está configurado como false (falso). Puede eliminar este filtro para

Version 1.046







visualizar tanto los eventos de lectura como los de escritura. Si desea ver solo los eventos de lectura,puede cambiar el valor del filtro a true (verdadero). También puede filtrar eventos por otros atributos.También puede filtrar por intervalo de tiempo.

Note

Solo puede aplicar un filtro de atributo y un filtro de intervalo de tiempo. No se pueden aplicarvarios filtros de atributo.

Clave de acceso de AWS

El ID de clave de acceso de AWS que se utilizó para firmar la solicitud. Si la solicitud se realizócon credenciales de seguridad temporales, este es el ID de clave de acceso de las credencialestemporales.

ID de evento

El ID de CloudTrail del evento. Cada evento tiene un identificador único.Nombre de evento

El nombre del evento. Por ejemplo, puede filtrar los eventos de IAM, como CreatePolicy, o loseventos de Amazon EC2, como RunInstances.

Origen del evento

El servicio de AWS para el que se ha realizado la solicitud, como iam.amazonaws.com os3.amazonaws.com. Puede desplazarse por una lista de orígenes de eventos después de elegir elfiltro Event source.

Solo lectura

El tipo de lectura del evento. Los eventos se clasifican como eventos de lectura o de escritura. Si seestablece en false (falso), los eventos de lectura no se incluyen en la lista de eventos mostrados. Deforma predeterminada, se aplica este filtro de atributo y el valor se establece en false (falso).

Nombre del recurso

El nombre o ID del recurso al que hace referencia el evento. Por ejemplo, el nombre del recurso podríaser "auto-scaling-test-group" para un grupo de Auto Scaling o "i-1234567" para una instancia EC2.

Tipo de recurso

El tipo de recurso al que hace referencia el evento. Por ejemplo, un tipo de recurso puede serInstance para EC2 o DBInstance para RDS. Los tipos de recursos varían en función de cadaservicio de AWS.

Intervalo de tiempo

El intervalo de tiempo por el que desea filtrar los eventos. Puede filtrar eventos por los últimos 90 días.Nombre de usuario

La identidad del usuario al que hace referencia el evento. Por ejemplo, puede ser un usuario de IAM,un nombre de rol de IAM o un rol de servicio.

Si no hay eventos registrados para el atributo o el tiempo elegidos, la lista de resultados estará vacía.Solo puede aplicar un filtro de atributo además del intervalo de tiempo. Si elige un atributo diferente, semantiene el filtro de intervalo de tiempo especificado.

Los siguientes pasos describen cómo filtrar por atributo.

Para filtrar por atributo

1. Para filtrar los resultados por atributo, elija Select attribute y, a continuación, escriba o elija un valor enel cuadro Enter lookup value.

Version 1.047



2. Para eliminar un filtro de atributo, elija la X situada a la derecha del cuadro de filtro de atributo.

Los siguientes pasos describen cómo filtrar por una fecha y una hora de inicio y finalización.

Para filtrar por una fecha y hora de inicio y finalización

1. Para reducir el intervalo de tiempo de los eventos que desee ver, elija Select time range.2. Para eliminar un filtro de intervalo de tiempo, elija el icono de calendario situado a la derecha del

cuadro Time range (Intervalo de tiempo) y, a continuación, elija Remove (Eliminar).

Ver detalles de un evento1. Elija un evento de la lista de resultados para mostrar sus detalles.2. Si el evento hacía referencia a más de un recurso, los recursos adicionales se muestran en la parte

inferior del panel de detalles.3. Algunos recursos a los que se hace referencia tienen enlaces. Elija el enlace para abrir la consola de

dicho recurso.4. Elija View Event en el panel de detalles para ver el evento en formato JSON.5. Elija de nuevo en el evento para cerrar el panel de detalles.

Descarga de eventosPuede descargar el historial de eventos registrados como un archivo en formato JSON o CSV. Utilice filtrose intervalos de tiempo para reducir el tamaño del archivo que descargue.

Note

Los archivos de historial de eventos de CloudTrail son archivos de datos que contieneninformación (como nombres de recursos) que pueden configurar los usuarios. Algunos deestos datos podrían ser interpretados como comandos en los programas que se utilizan paraleer y analizar esta información (inyección CSV). Por ejemplo, cuando se exportan eventos deCloudTrail a CSV y se importan a un programa de hoja de cálculo, este programa podría advertirlede problemas de seguridad. Debería deshabilitar este contenido para proteger el sistema.Deshabilite siempre los enlaces o las macros de los archivos de historial de eventos descargados.

1. Especifique el filtro y el intervalo de tiempo de los eventos que desee descargar. Por ejemplo, puedeespecificar el nombre del evento, StartInstances, y un intervalo de tiempo de los tres últimos díasde actividad.

2.

Elija el y, a continuación, elija Export to CSV o Export to JSON. La descarga comienzainmediatamente.

Note

La descarga podría tardar un tiempo en completarse. Antes de iniciar el proceso de descarga,y para obtener resultados más rápidos, utilice un filtro más específico o un intervalo de tiempomás breve para limitar los resultados.

3. Cuando haya finalizado la descarga, abra el archivo para ver los eventos que ha especificado.4. Para cancelar la descarga, elija Cancel download (Cancelar descarga).

Ver recursos a los que se hace referencia con AWS ConfigAWS Config registra los detalles de la configuración, las relaciones y los cambios en sus recursos de AWS.

Version 1.048

AWS CloudTrail Guía del usuarioVer eventos de CloudTrail con la AWS CLI

En el panel Resources Referenced, elija el en la columna Config timeline para ver el recurso en laconsola de AWS Config.

Si el icono está atenuado, AWS Config no está activado o no está registrando el tipo de recurso.Elija el icono para ir a la consola de AWS Config para activar el servicio o comenzar el registro de esetipo de recurso. Para obtener más información, consulte la sección sobre la configuración de AWS Configmediante la consola en la AWS Config Developer Guide.

Si en la columna aparece Link not available, significa que el recurso no se puede ver por alguna de lasrazones siguientes:

• AWS Config no admite el tipo de recurso. Para obtener más información, consulte Recursos, elementosde configuración y relaciones admitidos en la AWS Config Developer Guide.

• AWS Config añadió recientemente compatibilidad con el tipo de recurso, pero aún no está disponibledesde la consola de CloudTrail. Puede buscar el recurso en la consola de AWS Config para ver la escalade tiempo del recurso.

• El recurso es propiedad de otra cuenta de AWS.• El recurso es propiedad de otro servicio de AWS, como una política de IAM administrada.• El recurso se creó y se eliminó inmediatamente.• El recurso se ha creado o actualizado recientemente.

Example

1. Configura AWS Config para que registre recursos de IAM.2. Crea un usuario de IAM: Bob-user. La página del historial de eventos muestra el evento de

CreateUser y Bob-user como un recurso de IAM. Puede elegir el icono de AWS Config para ver esterecurso de IAM en la escala de tiempo de AWS Config.

3. Actualiza el nombre de usuario a Bob-admin.4. La página del historial de eventos muestra el evento de UpdateUser y Bob-admin como el recurso de

IAM actualizado.5. Puede elegir el icono para ver el recurso de IAM de Bob-admin en la escala de tiempo. Sin embargo,

no puede elegir en el icono de Bob-user, porque el nombre de recurso ha cambiado. AWS Configregistra ahora el recurso actualizado.

Para conceder a los usuarios permisos de solo lectura para ver los recursos en la consola de AWSConfig, consulte Concesión de permisos para ver la información de AWS Config en la consola deCloudTrail (p. 248).

Para obtener más información sobre AWS Config, consulte AWS Config Developer Guide.

Ver eventos de CloudTrail con la AWS CLIPuede consultar los eventos de CloudTrail de los últimos 90 días a través del comando aws cloudtraillookup-events. lookup-events incluye las siguientes opciones:

• --max-results

• --start-time

• --lookup-attributes

• --next-token

• --generate-cli-skeleton

• --cli-input-json

Version 1.049

https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html

https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html

https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html

https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html

https://docs.aws.amazon.com/config/latest/developerguide/


Estas opciones se explican en este tema. Para obtener información general sobre cómo utilizar la interfazde línea de comandos de AWS, consulte la AWS Command Line Interface Guía del usuario.

Contenido• Requisitos previos (p. 50)• Obtener ayuda de la línea de comandos (p. 50)• Buscar eventos (p. 50)• Especificar el número de eventos que se devuelven (p. 51)• Buscar eventos por intervalo de tiempo (p. 51)

• Formatos de <timestamp> válidos (p. 52)• Buscar eventos por atributo (p. 52)

• Ejemplos de búsqueda de atributos (p. 52)• Especificar la siguiente página de resultados (p. 53)• Obtener datos de entrada JSON de un archivo (p. 54)• Campos de salida de búsqueda (p. 55)

Requisitos previos• Para ejecutar comandos de AWS CLI, debe instalar la AWS CLI. Para obtener más información, consulte

el tema sobre cómo instalar la interfaz de línea de comandos.• Asegúrese de que la versión de AWS CLI es posterior a la versión 1.6.6. Para comprobar la versión de la

CLI, ejecute aws --version en la línea de comandos.• Para configurar la cuenta, la región y el formato de salida predeterminado para una sesión de AWS CLI,

utilice el comando aws configure. Para obtener más información, consulte el tema sobre cómo configurarla interfaz de línea de comandos de AWS.

Note

Los comandos de la AWS CLI de CloudTrail distinguen entre mayúsculas y minúsculas.

Obtener ayuda de la línea de comandosPara ver la ayuda de la línea de comandos de lookup-events, escriba el siguiente comando:

aws cloudtrail lookup-events help

Buscar eventosPara ver los diez últimos eventos, escriba el siguiente comando:

aws cloudtrail lookup-events

Un evento devuelto tiene un aspecto similar al siguiente ejemplo ficticio, que se ha formateado parasimplificar su lectura:

{ "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juy3CIZW8=", "Events": [ { "EventId": "0ebbaee4-6e67-431d-8225-ba0d81df5972", "Username": "root",

Version 1.050


https://docs.aws.amazon.com/cli/latest/userguide/installing.html

https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html



"EventTime": 1424476529.0, "CloudTrailEvent": "{ \"eventVersion\":\"1.02\", \"userIdentity\":{ \"type\":\"Root\", \"principalId\":\"111122223333\", \"arn\":\"arn:aws:iam::111122223333:root\", \"accountId\":\"111122223333\"}, \"eventTime\":\"2015-02-20T23:55:29Z\", \"eventSource\":\"signin.amazonaws.com\", \"eventName\":\"ConsoleLogin\", \"awsRegion\":\"us-east-2\", \"sourceIPAddress\":\"203.0.113.4\", \"userAgent\":\"Mozilla/5.0\", \"requestParameters\":null, \"responseElements\":{\"ConsoleLogin\":\"Success\"}, \"additionalEventData\":{ \"MobileVersion\":\"No\", \"LoginTo\":\"https://console.aws.amazon.com/console/home", \"MFAUsed\":\"No\"}, \"eventID\":\"0ebbaee4-6e67-431d-8225-ba0d81df5972\", \"eventType\":\"AwsApiCall\", \"recipientAccountId\":\"111122223333\"}", "EventName": "ConsoleLogin", "Resources": [] } ]}

Para obtener una explicación de los campos relacionados con la búsqueda en el resultado, consultela sección Campos de salida de búsqueda (p. 55) más adelante en este documento. Para obteneruna explicación de los campos del evento de CloudTrail, consulte Contenido de los registros deCloudTrail (p. 279).

Especificar el número de eventos que se devuelvenPara especificar el número de eventos que se devuelven, escriba el siguiente comando:

aws cloudtrail lookup-events --max-results <integer>

El valor predeterminado de <integer> es 10. Los valores posibles comprenden del 1 al 50. El ejemplosiguiente devuelve un solo resultado.

aws cloudtrail lookup-events --max-results 1

Buscar eventos por intervalo de tiempoSe pueden buscar eventos de los últimos 90 días. Para especificar un intervalo de tiempo, escriba elsiguiente comando:

aws cloudtrail lookup-events --start-time <timestamp> --end-time <timestamp>

--start-time <timestamp> especifica que solo se devuelvan los eventos que se producen en eltiempo especificado o con posterioridad. Si la fecha de inicio especificada es posterior a la fecha definalización especificada, se devuelve un error.

--end-time <timestamp> especifica que solo se devuelvan los eventos que se producen en el tiempoespecificado o con anterioridad. Si la fecha de finalización especificada es anterior a la fecha de inicioespecificada, se devuelve un error.

Version 1.051


La fecha de inicio predeterminada es el primer día en que los datos están disponibles en los últimos 90días. La fecha de finalización predeterminada es el evento que se produjo más cerca de la fecha actual.

Formatos de <timestamp> válidos

Los atributos --start-time y --end-time toman valores de tiempo UNIX o valores válidosequivalentes.

A continuación se proporcionan ejemplos de formatos válidos. Los valores de fecha, mes y año se puedenseparar con guiones o barras diagonales. Si hay espacios se deben usar comillas dobles.

14223177821422317782.001-27-201501-27-2015,01:16PM"01-27-2015, 01:16 PM""01/27/2015, 13:16"2015-01-27"2015-01-27, 01:16 PM"

Buscar eventos por atributoPara filtrar por un atributo, escriba el siguiente comando:

aws cloudtrail lookup-events --lookup-attributes AttributeKey=<attribute>,AttributeValue=<string>

Solo puede especificar un atributo de pares de clave/valor para cada comando lookup-events. Lossiguientes son valores de AttributeKey. Los nombres de los valores distinguen entre mayúsculas yminúsculas.

• AccessKeyId• EventId• EventName• EventSource• ReadOnly• ResourceName• ResourceType• Nombre de usuario

Ejemplos de búsqueda de atributos

El siguiente comando de ejemplo devuelve los eventos en los que el valor de AccessKeyId esAKIAIOSFODNN7EXAMPLE.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=AccessKeyId,AttributeValue=AKIAIOSFODNN7EXAMPLE

El siguiente comando de ejemplo devuelve el evento para el EventId de CloudTrail especificado.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventId,AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002

Version 1.052


El siguiente comando de ejemplo devuelve los eventos en los que el valor de EventName esRunInstances.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName,AttributeValue=RunInstances

El siguiente comando de ejemplo devuelve los eventos en los que el valor de EventSource esiam.amazonaws.com.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventSource,AttributeValue=iam.amazonaws.com

El siguiente comando de ejemplo devuelve eventos de escritura. Excluye eventos de lectura comoGetBucketLocation y DescribeStream.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=ReadOnly,AttributeValue=false

El siguiente comando de ejemplo devuelve los eventos en los que el valor de ResourceName esCloudTrail_CloudWatchLogs_Role.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceName,AttributeValue=CloudTrail_CloudWatchLogs_Role

El siguiente comando de ejemplo devuelve los eventos en los que el valor de ResourceType esAWS::S3::Bucket.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=ResourceType,AttributeValue=AWS::S3::Bucket

El siguiente comando de ejemplo devuelve los eventos en los que el valor de Username es root.

aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root

Especificar la siguiente página de resultadosPara obtener la siguiente página de resultados de un comando lookup-events, escriba el siguientecomando:

aws cloudtrail lookup-events <same parameters as previous command> --next-token=<token>

donde el valor de <token> se obtiene del primer campo del resultado del comando anterior.

Cuando utiliza --next-token en un comando, debe utilizar los mismos parámetros que en el comandoanterior. Suponga, por ejemplo, que ejecuta el siguiente comando:

aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root

Para obtener la siguiente página de resultados, el siguiente comando sería similar al siguiente:

aws cloudtrail lookup-events --lookup-attributes AttributeKey=Username,AttributeValue=root --next-token=kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juy3CIZW8=

Version 1.053


Obtener datos de entrada JSON de un archivoLa AWS CLI de algunos servicios de AWS tiene dos parámetros, --generate-cli-skeleton y --cli-input-json, que puede utilizar para generar una plantilla JSON que se puede modificar y utilizar comodatos de entrada en el parámetro --cli-input-json. En esta sección se describe cómo utilizar estosparámetros con aws cloudtrail lookup-events. Para obtener información general, consulte el temasobre cómo generar parámetros JSON CLI Skeleton y CLI Input.

Para buscar eventos de CloudTrail obteniendo los datos de entrada JSON de un archivo

1. Cree una plantilla de entrada para usarla con lookup-events redirigiendo el resultado de --generate-cli-skeleton a un archivo, como En el ejemplo siguiente.

aws cloudtrail lookup-events --generate-cli-skeleton > LookupEvents.txt

El archivo de plantilla generado (en este caso, LookupEvents.txt) tiene este aspecto:

{ "LookupAttributes": [ { "AttributeKey": "", "AttributeValue": "" } ], "StartTime": null, "EndTime": null, "MaxResults": 0, "NextToken": ""}

2. Utilice un editor de texto para modificar los datos JSON según sea necesario. Los datos de entradaJSON solo deben contener los valores que se especifican.

Important

Todos los valores vacíos o null deben eliminarse de la plantilla antes de utilizarla.

El ejemplo siguiente especifica un intervalo de tiempo y un número máximo de resultados que sedevuelven.

{ "StartTime": "2015-01-01", "EndTime": "2015-01-27", "MaxResults": 2}

3. Para utilizar el archivo editado como entrada, use la sintaxis --cli-input-jsonfile://<filename>, como en el ejemplo siguiente:

aws cloudtrail lookup-events --cli-input-json file://LookupEvents.txt

Note

Puede utilizar otros argumentos en la misma línea de comandos como --cli-input-json.Version 1.0

54

https://docs.aws.amazon.com/cli/latest/userguide/generate-cli-skeleton.html

AWS CloudTrail Guía del usuarioConsulta de eventos de CloudTrail Insights

Campos de salida de búsquedaEventos

Una lista de eventos de búsqueda basada en el atributo de búsqueda y el intervalo de tiempoespecificados. La lista de eventos se ordena por tiempo, con el último evento en primer lugar. Cadaentrada contiene información acerca de la solicitud de búsqueda e incluye una representación decadena del evento de CloudTrail recuperado.

Las siguientes entradas describen los campos de cada evento de búsqueda.CloudTrailEvent

Una cadena JSON que contiene una representación de objeto del evento devuelto. Para obtenerinformación sobre cada uno de los elementos devueltos, consulte la información sobre el contenido delcuerpo del registro.

EventId

Una cadena que contiene el GUID del evento devuelto.EventName

Una cadena que contiene el nombre del evento devuelto.EventSource

El servicio de AWS para el que se realizó la solicitud.EventTime

La fecha y la hora, en formato de tiempo UNIX, del evento.Recursos

Una lista de los recursos a los que hace referencia el evento devuelto. Cada entrada de recursoespecifica un tipo de recurso y un nombre de recurso.

ResourceName

Una cadena que contiene el nombre del recurso al que hace referencia el evento.ResourceType

Una cadena que contiene el tipo de recurso al que hace referencia el evento. Cuando el tipo derecurso no se puede determinar, se devuelve null.

Nombre de usuario

Una cadena que contiene el nombre de usuario de la cuenta del evento devuelto.NextToken

Una cadena para obtener la siguiente página de resultados de un comando lookup-events anterior.Para utilizar el token, los parámetros deben ser los mismos que los del comando original. Si noaparece ninguna entrada NextToken en la salida, no hay más resultados que devolver.

Consulta de eventos de CloudTrail InsightsDespués de habilitar CloudTrail Insights en un registro de seguimiento, puede ver hasta 90 días de Insightsevents utilizando la consola de CloudTrail o la AWS CLI. En esta sección se describe cómo ver, buscar ydescargar un archivo de Insights events. Para obtener información sobre el uso de la API LookupEventspara recuperar información de eventos de CloudTrail, consulte la AWS CloudTrail API Reference. Paraobtener más información sobre CloudTrail Insights, consulte Registro de eventos de Insights para registrosde seguimiento (p. 129) en esta guía.

Version 1.055

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html



AWS CloudTrail Guía del usuarioConsulta de eventos de CloudTrailInsights en la consola de CloudTrail

Si desea obtener información acerca de cómo crear un registro de seguimiento para tener un registro deeventos que abarque los últimos 90 días, consulte Creación de un registro de seguimiento (p. 69) yObtención y visualización de archivos de registro de CloudTrail (p. 104).

Temas• Consulta de eventos de CloudTrail Insights en la consola de CloudTrail (p. 56)• Ver eventos de CloudTrail Insights con la AWS CLI (p. 62)

Consulta de eventos de CloudTrail Insights en laconsola de CloudTrailDespués de habilitar eventos de CloudTrail Insights en un registro de seguimiento, cuando CloudTraildetecta una actividad de API de administración "write" inusual, CloudTrail genera Insights events y losmuestra en las páginas Dashboard (Panel) e Insights en la Consola de administración de AWS. Puedever los Insights events en la consola y solucionar los problemas de la actividad inusual. En la consolase muestran los 90 días más recientes de Insights events. También puede descargar los Insights eventsmediante la consola de AWS CloudTrail. Puede buscar eventos mediante programación con los SDK deAWS o AWS Command Line Interface. Para obtener más información sobre los eventos de CloudTrailInsights, consulte Registro de eventos de Insights para registros de seguimiento (p. 129) en esta guía.

Una vez registrados los eventos de Insights, estos se muestran en la página Insights durante 90 días.No se pueden eliminar manualmente eventos de la página Insights . Como debe crear un registro deseguimiento (p. 69) para poder habilitar CloudTrail Insights, puede ver los Insights events registrados ensu registro de seguimiento siempre y cuando los almacene en el bucket de S3 configurado en los ajustesdel registro de seguimiento.

Monitorice sus registros de seguimiento y reciba notificaciones cuando se produzcan Insights eventsespecíficos con Amazon CloudWatch Logs. Para obtener más información, consulte Monitoreo de archivosde registro de CloudTrail con Amazon CloudWatch Logs (p. 134).

Para ver Insights events

Los eventos de CloudTrail Insights deben estar habilitados en su registro de seguimiento para ver Insightsevents en la consola. Espere hasta 36 horas a que CloudTrail envíe los primeros Insights events, si sedetecta actividad inusual.


2. En el panel de navegación, elija Dashboard (Panel) para ver los cinco Insights events más recientes oInsights para ver todos los Insights events registrados en su cuenta en los últimos 90 días.

En la página Insights puede filtrar los Insights events por criterios como el origen de la API de eventos,el nombre del evento y el ID del evento, y limitar los eventos mostrados a los que se producen dentrode un intervalo de tiempo específico. Para obtener más información sobre cómo filtrar Insights events,consulte Filtrar eventos de Insights (p. 57).

Contenido• Filtrar eventos de Insights (p. 57)• Consultar los detalles de un evento de Insights (p. 48)• Aplicar zoom al gráfico, desplazarlo y descargarlo (p. 59)• Cambiar la configuración del intervalo de tiempo del gráfico (p. 60)• Descargar eventos de Insights (p. 61)

Version 1.056




Filtrar eventos de InsightsLa visualización predeterminada de eventos en Insights muestra los eventos en orden cronológico inverso.Los Insights events más recientes, ordenados por hora de inicio del evento, están en la parte superior. Enla lista siguiente se describen los atributos disponibles.

Nombre de evento

El nombre del evento, normalmente la API de AWS en la que se registraron niveles inusuales deactividad.

Origen del evento

El servicio de AWS para el que se ha realizado la solicitud, como iam.amazonaws.com os3.amazonaws.com. Puede desplazarse por una lista de orígenes de eventos después de elegir elfiltro Event source.

ID de evento

El ID del evento de Insights. Los identificadores de evento no se muestran en la tabla de la páginaInsights, pero son un atributo por el que puede filtrar Insights events. Los identificadores de eventode los eventos de administración que se analizan para generar Insights events son diferentes de losidentificadores de evento de los Insights events.

Hora de inicio

Hora de inicio del evento de Insights, medido como el primer minuto en el que se registró actividad deAPI inusual.

Si no hay eventos registrados para el atributo o el tiempo elegidos, la lista de resultados estará vacía.Solo puede aplicar un filtro de atributo además del intervalo de tiempo. Si elige un atributo diferente, semantiene el filtro de intervalo de tiempo especificado.

Los siguientes pasos describen cómo filtrar por atributo.

Para filtrar por atributo

1. Para filtrar los resultados por atributo, elija Select attribute y, a continuación, escriba o elija un valor enel cuadro Enter lookup value.

2. Para eliminar un filtro de atributo, elija la X situada a la derecha del cuadro de filtro de atributo.

Los siguientes pasos describen cómo filtrar por una fecha y una hora de inicio y finalización.

Para filtrar por una fecha y hora de inicio y finalización

1. Para reducir el intervalo de tiempo de los eventos que desee ver, elija Select time range.2. En From (Desde), seleccione el día y especifique la hora a la que desea que comience el intervalo de

tiempo.3. En To (Hasta), elija el día y especifique la hora a la que desea que termine el intervalo de tiempo.

Seleccione Apply (Aplicar).4. Para eliminar un filtro de intervalo de tiempo, elija el icono de calendario situado a la derecha del

cuadro Time range (Intervalo de tiempo) y, a continuación, elija Remove (Eliminar).

Consultar los detalles de un evento de Insights1. Elija un evento de Insights de la lista de resultados para mostrar sus detalles. La página de detalles de

un evento de Insights muestra un gráfico de la línea de tiempo de la actividad inusual.

Version 1.057


2. Coloque el cursor sobre las bandas resaltadas para mostrar estadísticas sobre cada evento deInsights en el gráfico.

La siguiente información se muestra al colocar el cursor sobre un evento de Insights en el gráfico:

• Estadísticas

Version 1.058


• Baseline average (Promedio de referencia): el porcentaje típico de llamadas por minuto a estaAPI, medido en la semana anterior, en una región específica de su cuenta.

• Insights average (Promedio de Insights): el porcentaje de llamadas por minuto a esta API quedesencadenaron el evento de Insights. El promedio de CloudTrail Insights del evento de inicio esel porcentaje de llamadas por minuto a la API que desencadenaron el evento de Insights. Por logeneral, este es el primer minuto de actividad inusual. El promedio de Insights del evento finales el porcentaje de llamadas por minuto a la API durante la actividad inusual, entre el evento deInsights inicial y el evento de Insights final.

• Detalles sobre el evento de Insights• Hora de inicio del evento: minuto durante el cual se registró por primera vez una actividad inusual.• Hora de finalización del evento: minuto durante el cual se registró por última vez una actividad

inusual.3. Expanda Insights event record (Registro de eventos de Insights) en el panel de detalles para ver el

evento de Insights en formato JSON.4. En la pestaña CloudTrail events (Eventos de CloudTrail) puede ver los eventos relacionados que

CloudTrail analizó para determinar que se produjo una actividad inusual. Tenga en cuenta queya se ha aplicado un filtro para el nombre del evento de Insights, que también es el nombre de laAPI relacionada. La pestaña CloudTrail events (Eventos de CloudTrail) muestra los eventos deadministración de CloudTrail relacionados con la API en cuestión que se produjeron entre la hora deinicio (menos un minuto) y la hora de finalización (más un minuto) del evento de Insights.

Al seleccionar otros eventos de Insights en el gráfico, los eventos mostrados en la tabla CloudTrailevents (Eventos de CloudTrail) cambian. Estos eventos le ayudan a realizar un análisis más detalladopara determinar la causa probable de un evento de Insights y las razones de la actividad inusual de laAPI.

5. En el panel izquierdo de la página de detalles, al elegir el enlace Event source (Origen de eventos), sele redirige a la página Insights filtrada por ese origen de eventos.

6. Para quitar el filtro y ver todos los eventos de CloudTrail y no solo los eventos relacionados con laAPI en cuestión del evento de Insights, elija la X en el cuadro Enter lookup value (Escribir valor debúsqueda).

Aplicar zoom al gráfico, desplazarlo y descargarloPuede acercar o alejar, desplazar y restablecer los ejes del gráfico en la página de detalles del evento deInsights mediante la barra de herramientas situada en la esquina superior derecha.

De izquierda a derecha, los botones de la barra de herramientas de gráficos hacen lo siguiente:

• Download plot as a PNG (Descargar gráfico como PNG): descarga la imagen del gráfico mostrada en lapágina de detalles y la guarda en formato PNG.

• Zoom: arrastre para seleccionar el área del gráfico que desea ampliar y ver con mayor detalle.• Pan (Desplazamiento panorámico): desplace el gráfico para ver fechas u horas adyacentes.• Reset axes (Restablecer ejes): revierta los ejes del gráfico a los originales borrando los ajustes de zoom

y desplazamiento panorámico.

Version 1.059


Cambiar la configuración del intervalo de tiempo del gráficoPuede cambiar el intervalo de tiempo (la duración seleccionada de los eventos mostrados en el eje x) quese muestra en el gráfico seleccionando un ajuste en la esquina superior derecha del gráfico. El intervalode tiempo predeterminado que se muestra en el gráfico depende de la duración del evento de Insightsseleccionado.

Duración del evento de Insights Periodo de tiempo predeterminado

Menos de 4 horas 3h (tres horas)

Entre 4 y 12 horas 12h(12 horas)

Entre 12 y 24 horas 1d (un día)

Entre 24 y 72 horas 3d (tres días)

Más de 72 horas 1w (una semana)

Puede elegir una hora, 12 horas, un día, tres días, una semana o custom (personalizado). La siguienteimagen muestra los periodos de tiempo Relative (Relativos) que puede elegir en la configuración custom(personalizada). Los periodos de tiempo relativos son periodos de tiempo aproximados cercanos al inicioy al final del evento de Insights seleccionado que se muestra en una página de detalles del evento deInsights.

Para especificar una fecha y un intervalo de tiempo exactos, seleccione la pestaña Absolute (Absoluto).

Version 1.060


Descargar eventos de InsightsPuede descargar el historial de eventos de Insights registrados como un archivo en formato JSON o CSV.Utilice filtros e intervalos de tiempo para reducir el tamaño del archivo que descargue.

Note

Los archivos de historial de eventos de CloudTrail son archivos de datos que contieneninformación (como nombres de recursos) que pueden configurar los usuarios. Algunos deestos datos podrían ser interpretados como comandos en los programas que se utilizan paraleer y analizar esta información (inyección CSV). Por ejemplo, cuando se exportan eventos deCloudTrail a CSV y se importan a un programa de hoja de cálculo, este programa podría advertirlede problemas de seguridad. Como práctica recomendada de seguridad, deshabilite los enlaces olas macros de los archivos del historial de eventos descargados.

1. Especifique el filtro y el intervalo de tiempo de los eventos que desee descargar. Por ejemplo, puedeespecificar el nombre del evento, StartInstances, y un intervalo de tiempo de los tres últimos díasde actividad.

2.

Elija y, a continuación, elija Download CSV (Descargar CSV) o Download JSON(Descargar JSON). La descarga comienza inmediatamente.

Version 1.061

AWS CloudTrail Guía del usuarioVer eventos de CloudTrail Insights con la AWS CLI

Note

La descarga podría tardar un tiempo en completarse. Antes de iniciar el proceso de descarga,y para obtener resultados más rápidos, utilice un filtro más específico o un intervalo de tiempomás breve para limitar los resultados.

3. Cuando haya finalizado la descarga, abra el archivo para ver los eventos que ha especificado.4. Para cancelar la descarga, elija Cancel download (Cancelar descarga).

Ver eventos de CloudTrail Insights con la AWS CLIPuede consultar los eventos de CloudTrail Insights de los últimos 90 días ejecutando el comando awscloudtrail lookup-events. lookup-events incluye las siguientes opciones:

• --end-time

• --event-category

• --max-results

• --start-time

• --lookup-attributes

• --next-token

• --generate-cli-skeleton

• --cli-input-json

Estas opciones se explican en este tema. Para obtener información general sobre el uso de la AWSCommand Line Interface, consulte la AWS Command Line Interface Guía del usuario.

Contenido• Requisitos previos (p. 62)• Obtener ayuda de la línea de comandos (p. 63)• Búsqueda de eventos de Insights (p. 63)• Especificación del número de eventos de Insights que se devuelven (p. 64)• Búsqueda de eventos de Insights por intervalo de tiempo (p. 64)

• Formatos de <marcaTemporal> válidos (p. 64)• Búsqueda de eventos de Insights por atributo (p. 65)

• Ejemplos de búsqueda de atributos (p. 65)• Especificar la siguiente página de resultados (p. 65)• Obtener datos de entrada JSON de un archivo (p. 66)• Campos de salida de búsqueda (p. 67)

Requisitos previos• Para ejecutar comandos de AWS CLI, debe instalar la AWS CLI. Para obtener más información, consulte

Instalación de la AWS Command Line Interface.• Asegúrese de que la versión de AWS CLI es posterior a la versión 1.6.6. Para comprobar la versión de la

CLI, ejecute aws --version en la línea de comandos.• Para configurar la cuenta, la región y el formato de salida predeterminado para una sesión de AWS CLI,

utilice el comando aws configure. Para obtener más información, consulte el tema sobre cómo configurarla interfaz de línea de comandos de AWS.

Version 1.062


https://docs.aws.amazon.com/cli/latest/userguide/installing.html




Note

Los comandos de la AWS CLI de CloudTrail distinguen entre mayúsculas y minúsculas.

Obtener ayuda de la línea de comandosPara ver la ayuda de la línea de comandos de lookup-events, escriba el siguiente comando.

aws cloudtrail lookup-events help

Búsqueda de eventos de InsightsPara ver los diez últimos Insights events, escriba el siguiente comando:

aws cloudtrail lookup-events --event-category insight

Un evento devuelto tiene un aspecto similar al siguiente ejemplo, que se ha formateado para simplificar sulectura:

{ "NextToken": "kbOt5LlZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=", "Events": [ { "eventVersion": "1.07", "eventTime": "2019-10-15T21:13:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLE-9b6f-45f8-bc6b-9b41c052ebc7", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE8-02b2-4e93-9aab-08ed47ea5fd3", "insightDetails": { "state": "Start", "eventSource": "autoscaling.amazonaws.com", "eventName": "PutLifecycleHook", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 0.0017857143 }, "insight": { "average": 4 } } } }, "eventCategory": "Insight" }, { "eventVersion": "1.07", "eventTime": "2019-10-15T21:14:00Z", "awsRegion": "us-east-1", "eventID": "EXAMPLEc-9eac-4af6-8e07-26a5ae8786a5", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "EXAMPLE8-02b2-4e93-9aab-08ed47ea5fd3", "insightDetails": { "state": "End", "eventSource": "autoscaling.amazonaws.com", "eventName": "PutLifecycleHook",

Version 1.063


"insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 0.0017857143 }, "insight": { "average": 4 }, "insightDuration": 1 } } }, "eventCategory": "Insight" } ]}

Para obtener una explicación de los campos relacionados con la búsqueda en el resultado, consultela sección Campos de salida de búsqueda (p. 67) más adelante en este documento. Para obteneruna explicación de los campos del evento de Insights, consulte Contenido de los registros deCloudTrail (p. 279).

Especificación del número de eventos de Insights que sedevuelvenPara especificar el número de eventos que se devuelven, escriba el siguiente comando:

aws cloudtrail lookup-events --event-category insight --max-results <integer>

El valor predeterminado de <entero>, si no se especifica, es 10. Los valores posibles comprenden del 1al 50. El ejemplo siguiente devuelve un solo resultado.

aws cloudtrail lookup-events --event-category insight --max-results 1

Búsqueda de eventos de Insights por intervalo de tiempoSe pueden buscar Insights events de los últimos 90 días. Para especificar un intervalo de tiempo, escribael siguiente comando.

aws cloudtrail lookup-events --event-category insight --start-time <timestamp> --end-time <timestamp>

--start-time <timestamp> especifica que solo se devuelvan los Insights events que se producenen el tiempo especificado o con posterioridad. Si la fecha de inicio especificada es posterior a la fecha definalización especificada, se devuelve un error.

--end-time <timestamp> especifica que solo se devuelvan los Insights events que se producen en eltiempo especificado o con anterioridad. Si la fecha de finalización especificada es anterior a la fecha deinicio especificada, se devuelve un error.

La fecha de inicio predeterminada es el primer día en que los datos están disponibles en los últimos 90días. La fecha de finalización predeterminada es el evento que se produjo más cerca de la fecha actual.

Formatos de <marcaTemporal> válidosLos atributos --start-time y --end-time toman valores de tiempo UNIX o valores válidosequivalentes.

Version 1.064


A continuación se proporcionan ejemplos de formatos válidos. Los valores de fecha, mes y año se puedenseparar con guiones o barras diagonales. Si hay espacios se deben usar comillas dobles.

14223177821422317782.001-27-201501-27-2015,01:16PM"01-27-2015, 01:16 PM""01/27/2015, 13:16"2015-01-27"2015-01-27, 01:16 PM"

Búsqueda de eventos de Insights por atributoPara filtrar por un atributo, escriba el siguiente comando.

aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=<attribute>,AttributeValue=<string>

Solo puede especificar un atributo de pares de clave-valor para cada comando lookup-events. Lossiguientes son valores válidos de eventos de Insights para AttributeKey. Los nombres de los valoresdistinguen entre mayúsculas y minúsculas.

• EventId• EventName• EventSource

Ejemplos de búsqueda de atributosEl siguiente comando de ejemplo devuelve los Insights events en los que el valor de EventName esPutRule.

aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule

El siguiente comando de ejemplo devuelve los Insights events en los que el valor de EventId esb5cc8c40-12ba-4d08-a8d9-2bceb9a3e002.

aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventId, AttributeValue=b5cc8c40-12ba-4d08-a8d9-2bceb9a3e002

El siguiente comando de ejemplo devuelve los Insights events en los que el valor de EventSource esiam.amazonaws.com.

aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventSource, AttributeValue=iam.amazonaws.com

Especificar la siguiente página de resultadosPara obtener la siguiente página de resultados de un comando lookup-events, escriba el siguientecomando.

aws cloudtrail lookup-events --event-category insight <same parameters as previous command> --next-token=<token>

Version 1.065


En este comando, el valor de <token> se obtiene del primer campo del resultado del comando anterior.

Cuando utiliza --next-token en un comando, debe utilizar los mismos parámetros que en el comandoanterior. Suponga, por ejemplo, que ejecuta el siguiente comando.

aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName, AttributeValue=PutRule

Para obtener la siguiente página de resultados, el siguiente comando sería similar a este.

aws cloudtrail lookup-events --event-category insight --lookup-attributes AttributeKey=EventName,AttributeValue=PutRule --next-token=EXAMPLEZe++mErCebpy2TgaMgmDvF1kYGFcH64JSjIbZFjsuvrSqg66b5YGssKutDYIyII4lrP4IDbeQdiObkp9YAlju3oXd12juEXAMPLE=

Obtener datos de entrada JSON de un archivoLa AWS CLI de algunos servicios de AWS tiene dos parámetros, --generate-cli-skeleton y --cli-input-json, que puede utilizar para generar una plantilla JSON que se puede modificar y utilizar comodatos de entrada en el parámetro --cli-input-json. En esta sección se describe cómo utilizar estosparámetros con aws cloudtrail lookup-events. Para obtener más información, consulte el temasobre cómo generar parámetros JSON CLI Skeleton y CLI Input.

Para buscar Insights events obteniendo los datos de entrada JSON de un archivo

1. Cree una plantilla de entrada para usarla con lookup-events redirigiendo el resultado de --generate-cli-skeleton a un archivo, como En el ejemplo siguiente.

aws cloudtrail lookup-events --event-category insight --generate-cli-skeleton > LookupEvents.txt

El archivo de plantilla generado (en este caso, LookupEvents.txt) tiene este aspecto.

{ "LookupAttributes": [ { "AttributeKey": "", "AttributeValue": "" } ], "StartTime": null, "EndTime": null, "MaxResults": 0, "NextToken": ""}

2. Utilice un editor de texto para modificar los datos JSON según sea necesario. Los datos de entradaJSON solo deben contener los valores que se especifican.

Important

Todos los valores vacíos o null deben eliminarse de la plantilla antes de utilizarla.

El ejemplo siguiente especifica un intervalo de tiempo y un número máximo de resultados que sedevuelven.

{

Version 1.066

https://docs.aws.amazon.com/cli/latest/userguide/generate-cli-skeleton.html


"StartTime": "2015-01-01", "EndTime": "2015-01-27", "MaxResults": 2}

3. Para utilizar el archivo editado como entrada, use la sintaxis --cli-input-jsonfile://<nombreArchivo>, como en el ejemplo siguiente.

aws cloudtrail lookup-events --event-category insight --cli-input-json file://LookupEvents.txt

Note

Puede utilizar otros argumentos en la misma línea de comandos como --cli-input-json.

Campos de salida de búsquedaEventos

Una lista de eventos de búsqueda basada en el atributo de búsqueda y el intervalo de tiempoespecificados. La lista de eventos se ordena por tiempo, con el último evento en primer lugar. Cadaentrada contiene información acerca de la solicitud de búsqueda e incluye una representación decadena del evento de CloudTrail recuperado.

Las siguientes entradas describen los campos de cada evento de búsqueda.CloudTrailEvent

Una cadena JSON que contiene una representación de objeto del evento devuelto. Para obtenerinformación sobre cada uno de los elementos devueltos, consulte la información sobre el contenido delcuerpo del registro.

EventId

Una cadena que contiene el GUID del evento devuelto.EventName

Una cadena que contiene el nombre del evento devuelto.EventSource

El servicio de AWS para el que se realizó la solicitud.EventTime

La fecha y la hora, en formato de tiempo UNIX, del evento.Recursos

Una lista de los recursos a los que hace referencia el evento devuelto. Cada entrada de recursoespecifica un tipo de recurso y un nombre de recurso.

ResourceName

Una cadena que contiene el nombre del recurso al que hace referencia el evento.ResourceType

Una cadena que contiene el tipo de recurso al que hace referencia el evento. Cuando el tipo derecurso no se puede determinar, se devuelve null.

Version 1.067



AWS CloudTrail Guía del usuarioCreación de un registro de

seguimiento para su cuenta de AWS

Nombre de usuario

Una cadena que contiene el nombre de usuario de la cuenta del evento devuelto.NextToken

Una cadena para obtener la siguiente página de resultados de un comando lookup-events anterior.Para utilizar el token, los parámetros deben ser los mismos que los del comando original. Si noaparece ninguna entrada NextToken en la salida, no hay más resultados que devolver.

Para obtener más información sobre los eventos de CloudTrail Insights, consulte Registro de eventos deInsights para registros de seguimiento (p. 129) en esta guía.

Creación de un registro de seguimiento para sucuenta de AWS

Al crear un registro de seguimiento, se habilita la entrega continua de eventos como archivos de registro aun bucket de Amazon S3 especificado. La creación de un registro de seguimiento tiene muchos beneficios,entre ellos:

• Un registro de eventos que se extiende más allá de los 90 días.• La opción de monitorizar y enviar alarmas automáticamente de los eventos especificados mediante el

envío de los eventos de registro a Amazon CloudWatch Logs.• La opción de consultar los registros y analizar la actividad de servicio de AWS con Amazon Athena.


Si usa AWS Organizations, puede crear un registro de seguimiento que registrará los eventos de todas lascuentas de AWS en la organización. Se creará un registro de seguimiento con el mismo nombre en cadacuenta miembro y los eventos de cada registro de seguimiento se entregarán al bucket de Amazon S3 queespecifique.

Note

Solo la cuenta maestra de una organización puede crear un registro de seguimiento parala organización. La creación de un registro de seguimiento para una organización habilitaautomáticamente la integración entre CloudTrail y Organizaciones. Para obtener más información,consulte Creación de un registro de seguimiento para una organización (p. 91).

Puede configurar los siguientes ajustes cuando cree o actualice un registro de seguimiento con la consolade CloudTrail o la AWS Command Line Interface (AWS CLI). Ambos métodos siguen los mismos pasos:

1. Crear un registro de seguimiento. De forma predeterminada, cuando se crea un registro de seguimientoen la consola de CloudTrail, el registro de seguimiento se aplica a todas las regiones.

2. Cree un bucket de Amazon S3 o especifique un bucket existente a donde desee enviar los archivosde registro. De forma predeterminada, se envían los archivos de registro de todas las regiones de sucuenta al bucket que especifique.

3. Configure su registro de seguimiento para que registre eventos de solo lectura y solo escritura o todoslos eventos de administración, así como todos los Insights events o un subconjunto de ellos. De forma

Version 1.068

AWS CloudTrail Guía del usuarioCrear y actualizar un registro de seguimiento con la consola

predeterminada, los registros de seguimiento registran todos los eventos de administración y no loseventos de datos ni Insights events.

4. Cree un tema de Amazon SNS para recibir notificaciones cuando se envíen los archivos de registro. Lasnotificaciones de envío de todas las regiones se envían al tema que especifique.

5. Configure CloudWatch Logs para recibir los archivos de registro de CloudTrail de manera que puedamonitorizar determinados eventos de registro.

6. Cambie el método de cifrado de sus archivos de registro del cifrado en el lado del servidor conclaves de cifrado administradas por Amazon S3 (SSE-S3) a cifrado en el lado del servidor con clavesadministradas por AWS KMS (SSE-KMS).

7. Active la validación de la integridad de los archivos de registro. Esto permite la distribución de archivosde resumen, que puede utilizar para validar la integridad de los archivos de registro una vez queCloudTrail los ha enviado.

8. Añada etiquetas (pares de clave-valor personalizados) al registro de seguimiento.

Temas• Crear y actualizar un registro de seguimiento con la consola (p. 69)• Creación, actualización y administración de registros de seguimiento con la AWS Command Line

Interface (p. 76)

Crear y actualizar un registro de seguimiento con laconsolaPuede crear, actualizar o eliminar sus registros de seguimiento con la consola de CloudTrail. Puedecrear hasta cinco registros de seguimiento en cada región. Después de crear un registro de seguimiento,CloudTrail empieza automáticamente a registrar las llamadas a la API y los eventos relacionados de sucuenta en el bucket de Amazon S3 que especifique. Para detener el registro, puede desactivar el registrodel registro de seguimiento o eliminarlo.

La creación y actualización de registros de seguimiento en la consola de CloudTrail tiene variascaracterísticas que no están disponibles cuando se crea un registro de seguimiento mediante la AWSCLI. Por ejemplo, si va a configurar un registro de seguimiento para registrar los eventos de datos delos buckets de Amazon S3 o las funciones AWS Lambda en su cuenta de AWS, puede ver una lista deestos recursos mientras crea el registro de seguimiento en la experiencia de consola. Si es la primeravez que crea un registro de seguimiento, si lo crea utilizando la consola, le ayudará a comprender lascaracterísticas y las opciones disponibles para el registro de seguimiento.

Para obtener información específica sobre la creación de un registro de seguimiento para una organizaciónen AWS Organizations, consulte Creación de un registro de seguimiento para una organización (p. 91).

Temas• Creación de un registro de seguimiento (p. 69)• Actualización de un registro de seguimiento (p. 74)• Eliminación de un registro de seguimiento (p. 76)• Desactivación del registro de un registro de seguimiento (p. 76)

Creación de un registro de seguimientoSiga el procedimiento para crear un registro de seguimiento que se aplique a todas las regiones. Unregistro de seguimiento que se aplica a todas las regiones envía los archivos de registro de todas lasregiones a un bucket de S3. Después de crear el registro de seguimiento, CloudTrail empieza a registrarautomáticamente los eventos que haya especificado.

Version 1.069


Note

Después de crear un registro de seguimiento, puede configurar otros servicios de AWS paraanalizar y actuar según los datos de eventos recopilados en los registros de CloudTrail. Paraobtener más información, consulte Servicios e integraciones compatibles con CloudTrail (p. 21).

Contenido• Creación de un registro de seguimiento en la consola (p. 70)• Configuración de opciones avanzadas para el registro de seguimiento (p. 73)• Pasos siguientes (p. 74)

Creación de un registro de seguimiento en la consola

Puede configurar un registro de seguimiento para lo siguiente:

• Especificar si desea que el registro de seguimiento se aplique a todas las regiones o a una sola región.• Especificar el bucket de Amazon S3 que va a recibir los archivos de registro.• Para los eventos de administración y datos, especificar si desea registrar los eventos de solo lectura, de

solo escritura o todos los eventos.

Para crear un registro de seguimiento de CloudTrail con la Consola de administración de AWS

1. Inicie sesión en la Consola de administración de AWS y abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/.

2. Elija la región de AWS en la que desea crear el registro de seguimiento.3. Seleccione Get Started Now.

Tip

Si no se muestra Get Started Now (Comience ahora), elija Trails (Registros de seguimiento)y, a continuación, elija Create trail (Crear registro de seguimiento).

4. En la página Create Trail, escriba el nombre del registro de seguimiento en Trail name. Paraobtener más información, consulte Requisitos de nomenclatura de registros de seguimiento deCloudTrail (p. 111).

5. En Apply trail to all regions (Aplicar el registro de seguimiento a todas las regiones), elija Yes (Sí)para recibir los archivos de registro de todas las regiones. Esta es la configuración predeterminada yrecomendada. Si elige No, el registro de seguimiento solo registra los archivos de la región en la quecrea.

6. En Management events (Eventos de administración), haga lo siguiente.

a. Para Read/Write events, elija si desea que su registro de seguimiento recoja All, Read-only, Write-only o None y, a continuación, elija Save. De forma predeterminada, los registros de seguimientoregistran todos los eventos de administración. Para obtener más información, consulte Eventos deadministración (p. 117).

b. En Log AWS KMS events (Registrar eventos de AWS KMS), elija Yes (Sí) para registrar eventosde AWS Key Management Service (AWS KMS) en su registro de seguimiento. Elija No para sacarlos eventos de AWS KMS de su registro de seguimiento. El valor predeterminado es Yes (Sí).

En general, las acciones de AWS KMS como Encrypt, Decrypt y GenerateDataKey generanun gran volumen (más del 99 %) de eventos. Estas acciones se registran ahora como eventosde lectura. Las acciones de AWS KMS relevantes de bajo volumen, como Disable, Delete yScheduleKey (que normalmente representan menos del 0,5 % del volumen de eventos de AWSKMS) se registran como eventos de escritura.

Version 1.070

https://console.aws.amazon.com/cloudtrail/



Para excluir eventos de gran volumen como Encrypt, Decrypt y GenerateDataKey, y seguirregistrando eventos relevantes como Disable, Delete y ScheduleKey, elija registrar eventosde administración de solo escritura y elija Sí en Registrar eventos de AWS KMS.

7. En Insights events (Eventos de Insights), para Log Insights events (Registrar eventos de Insights),seleccione Yes (Sí) si desea que su registro de seguimiento registre eventos de Insights. De formapredeterminada, los registros de seguimiento no registran eventos de Insights. Para obtener másinformación acerca de los eventos de Insights, consulte Registro de eventos de Insights para registrosde seguimiento (p. 129). Se aplican cargos adicionales por registrar eventos de Insights. Paraobtener información acerca de los precios de CloudTrail, consulte Precios de AWS CloudTrail.

Los Insights events se envían a una carpeta diferente denominada /CloudTrail-Insight delmismo bucket de S3 especificada en el área Storage location (Ubicación de almacenamiento) de lapágina de detalles del registro de seguimiento. CloudTrail crea el nuevo prefijo automáticamente.Por ejemplo, si el bucket de S3 de destino actual se denomina S3bucketName/AWSLogs/CloudTrail/, el nombre del bucket de S3 con un nuevo prefijo se denomina S3bucketName/AWSLogs/CloudTrail-Insight/.

8. En Data events, puede especificar el registro de eventos de datos para buckets de Amazon S3,funciones de AWS Lambda o ambos. De forma predeterminada, los registros de seguimiento noregistran eventos de datos. Se aplican cargos adicionales por el registro de eventos de datos. Paraobtener información acerca de los precios de CloudTrail, consulte Precios de AWS CloudTrail.

Puede seleccionar la opción para registrar todos los buckets de S3 y funciones de Lambda, o puedeespecificar buckets o funciones individuales.

Para los buckets de Amazon S3:

• Seleccione la pestaña S3.• Para especificar un bucket, elija Add S3 bucket. Escriba el nombre del bucket de S3 y el prefijo

(opcional) cuyos eventos de datos desea registrar. En cada bucket, especifique si desea registrareventos de tipo Read (Lectura), como GetObject; de tipo Write (Escritura), como PutObject, o deambos tipos. Para obtener más información, consulte Eventos de datos (p. 121).

• Si desea registrar los eventos de datos de todos los buckets de S3 en su cuenta de AWS,seleccione Select all S3 buckets in your account. Elija después si desea registrar eventos de tipoRead, como GetObject; de tipo Write, como PutObject, o de ambos tipos. Esta configuracióntiene prioridad sobre la configuración individual de cada bucket. Por ejemplo, si establece laconfiguración para que se registren los eventos de tipo Read de todos los buckets de S3 yposteriormente decide agregar un determinado bucket en el registro de eventos de datos, la opciónRead ya aparecerá seleccionada en el bucket que agregue. Esta selección no se puede anular. Solose puede configurar la opción Write.

Note

Si selecciona la opción Select all S3 buckets in your account, podrá registrar los eventosde datos de todos los buckets que haya actualmente en la cuenta de AWS, así como decualquier otro bucket que pudiera crear después de generar el registro de seguimiento.Esta opción habilita también el registro de la actividad de eventos de datos realizada porcualquier usuario o rol de su cuenta de AWS, aunque esta se realice en un bucket quepertenezca a otra cuenta de AWS.Si el registro de seguimiento se aplica únicamente a una región, la opción Select allS3 buckets in your account (Seleccionar todos los buckets de S3 de la cuenta) habilitael registro de eventos de datos de todos los buckets que estén en la misma regiónque el registro de seguimiento, así como de cualquier otro bucket que pudiera crearposteriormente en esa región. No registrará los eventos de datos de los buckets deAmazon S3 de otras regiones de la cuenta de AWS.

Para las funciones de Lambda:

Version 1.071




• Elija la pestaña Lambda.• Para especificar el registro de funciones individuales, seleccione estas funciones de la lista.

Note

Si tiene más de 15 000 funciones de Lambda en su cuenta, no podrá ver ni seleccionartodas las funciones en la consola de CloudTrail cuando cree un registro de seguimiento.Sí que puede seleccionar la opción para registrar todas las funciones, aunque estas no semuestren. Si desea registrar eventos de datos para funciones específicas, puede añadirmanualmente una función si conoce su ARN. También puede finalizar la creación delregistro de seguimiento en la consola y, a continuación, utilizar la AWS CLI y el comandoput-event-selectors para configurar el registro de eventos de datos para funciones deLambda específicas. Para obtener más información, consulte Administración de registrosde seguimiento con la AWS CLI (p. 82).

• Para registrar eventos de datos de todas las funciones de Lambda de su cuenta de AWS,seleccione Log all current and future functions. Esta configuración tiene prioridad sobre laconfiguración individual de cada función. Se registran todas las funciones aunque no se muestren.

Note

Si va a crear un registro de seguimiento para todas las regiones, esta opción habilita elregistro de eventos de datos de todas las funciones que se encuentran actualmente en lacuenta de AWS, así como de cualquier función de Lambda que cree en cualquier regióndespués de crear el registro de seguimiento. Si va a crear un registro de seguimiento parauna sola región, esta opción habilita el registro de eventos de datos de todas las funcionesque se encuentran actualmente en esa región en la cuenta de AWS, así como de cualquierfunción de Lambda que cree en esa región después de crear el registro de seguimiento.No habilita el registro de eventos de datos de las funciones de Lambda creadas en otrasregiones.El registro de eventos de datos de todas las funciones habilita también el registro de laactividad de eventos de datos realizada por cualquier usuario o rol de su cuenta de AWS,aunque esta se realice en una función que pertenezca a otra cuenta de AWS.

9. Para Storage location, en Create a S3 bucket, elija Yes para crear un bucket. Cuando se crea unbucket, CloudTrail crea y aplica las políticas de buckets necesarias.

Note

Si ha elegido No, elija un bucket de S3 existente. La política del bucket debe conceder aCloudTrail permiso para escribir en él. Para obtener más información sobre cómo editarmanualmente la política del bucket, consulte Política de bucket de Amazon S3 paraCloudTrail (p. 249).

10. En S3 bucket, escriba un nombre para el bucket que desea designar para almacenar los archivos deregistro. El nombre debe ser único de forma global. Para obtener más información, consulte Requisitosde nomenclatura para buckets de Amazon S3 (p. 111).

11. En Tags (Etiquetas), agregue una o más etiquetas personalizadas (pares clave-valor) a su registrode seguimiento. Las etiquetas pueden ayudarle a identificar tanto los registros de seguimiento deCloudTrail como los buckets de Amazon S3 que contienen archivos de registro de CloudTrail. Esto lepermitirá utilizar grupos de recursos para los recursos de CloudTrail. Para obtener más información,consulte Grupos de recursos de AWS 7 y ¿Para qué se usan las etiquetas de los registros deseguimiento? (p. 8).

12. Para configurar opciones avanzadas, consulte Configuración de opciones avanzadas para el registrode seguimiento (p. 73). De lo contrario, seleccione Create.

13. El nuevo registro de seguimiento aparece en la página Trails. La página Trails (Registros deseguimiento) muestra los registros de seguimiento de su cuenta de todas las regiones. En unos 15minutos, CloudTrail publica los archivos de registro que muestran las llamadas a la API de AWSrealizadas en su cuenta. Puede ver los archivos de registro del bucket de S3 especificado. La entrega

Version 1.072

https://docs.aws.amazon.com/ARG/latest/userguide/welcome.html


del primer evento de CloudTrail Insights puede tardar hasta 36 horas si ha habilitado el registro deeventos de Insights y se detecta actividad inusual.

Note

No se puede cambiar el nombre de un registro de seguimiento una vez creado. En su lugar,puede eliminar el registro de seguimiento y crear uno nuevo.

Configuración de opciones avanzadas para el registro de seguimiento

Puede configurar las siguientes opciones para el registro de seguimiento:

• Especificar un prefijo de archivo de registro para el bucket de S3 que recibe los archivos de registro• Cifre los archivos de registro con AWS Key Management Service (SSE-KMS) en lugar de con el cifrado

predeterminado (claves administradas por Amazon S3 (SSE-S3)).• Activar la validación de archivos de registro para los registros• Configurar Amazon SNS para que le notifique cuando se envíen archivos de registro.

Para configurar opciones avanzadas para el registro de seguimiento

1. En Storage location, elija Advanced.2. En el campo Log file prefix escriba un prefijo para el bucket de Amazon S3. El prefijo se suma a la

dirección URL de un objeto de Amazon S3 que crea una organización en forma de carpeta en subucket. La ubicación en la que se almacenarán los archivos de registro aparece en el campo de texto.

3. En Encrypt log files with SSE-KMS (Cifrar los archivos de registro con SSE-KMS), elija Yes (Sí) sidesea cifrar sus archivos de registro con SSE-KMS en vez de con SSE-S3.

4. En Create a KMS key (Crear una nueva clave KMS), elija Yes (Sí) para crear una clave maestra decliente de AWS KMS o No para usar una existente.

5. Si elige Yes (Sí), en el campo KMS key (Clave KMS) escriba un alias. CloudTrail cifra los archivos deregistro con la clave maestra de cliente y añade la política automáticamente.

Note

Si elige No, elija una clave maestra de cliente de AWS KMS existente. También puedeescribir el ARN de una clave de otra cuenta. Para obtener más información, consulteActualización de un registro de seguimiento para utilizar su clave CMK (p. 274). La políticade claves debe permitir que CloudTrail use la clave para cifrar los archivos de registro y quelos usuarios especificados lean archivos de registro en formato no cifrado. Para obtener másinformación sobre cómo editar manualmente la política de claves, consulte Configuración depolíticas de claves de AWS KMS para CloudTrail (p. 267).

6. En Enable log file validation, elija Yes para que se envíen los resúmenes de archivos de registro a subucket de S3. Puede utilizar los archivos de resumen para comprobar que sus archivos de registro nocambian después de que CloudTrail los envía. Para obtener más información, consulte Validación dela integridad de los archivos de registro de CloudTrail (p. 200).

7. En Send SNS notification for every log file delivery, elija Yes si desea recibir una notificación cada vezque se envíe un archivo de registro a su bucket. CloudTrail almacena varios eventos en un archivo deregistro. Las notificaciones de SNS se envían para cada archivo de registro, no para cada evento.

8. En Create a SNS topic, elija Yes para crear un tema o elija No para usar uno existente. Si va a crearun registro de seguimiento que se aplica a todas las regiones, las notificaciones de SNS de los envíosde archivos de registro de todas las regiones se envían al tema de SNS que cree.

Version 1.073



Note

Si ha elegido No, elija un tema existente. También puede especificar el ARN de un tema deotra región o de una cuenta con los permisos adecuados. Para obtener más información,consulte Política de temas de Amazon SNS para CloudTrail (p. 254).

9. Si ha elegido Yes, escriba un nombre en el campo SNS topic.

Si crea un tema, deberá suscribirse al tema para recibir una notificación del envío de archivosde registro. Puede suscribirse desde la consola de Amazon SNS. Debido a la frecuencia de lasnotificaciones, le recomendamos que configure la suscripción para que se use una cola de AmazonSQS para administrar las notificaciones mediante programación. Para obtener más información,consulte Guía de introducción a Amazon Simple Notification Service.

10. Elija Create (Crear).

Pasos siguientes

Después de crear el registro de seguimiento, puede volver a él para realizar cambios:

• Configure CloudTrail para que envíe los archivos de registro a CloudWatch Logs. Para obtener másinformación, consulte Envío de eventos a CloudWatch Logs (p. 134).

• Cree una tabla y úsela para ejecutar una consulta en Amazon Athena con el fin de analizar su actividadde servicio de AWS. Para obtener más información, consulte Creación de una tabla para registros deCloudTrail en la consola de CloudTrail en la Guía del usuario de Amazon Athena.

• Añadir etiquetas personalizadas (pares de clave-valor) al registro de seguimiento• Para crear otro registro de seguimiento, vuelva a la página Trails y elija Add new trail.

Note

Cuando configure un registro de seguimiento, podrá elegir un bucket de S3 y un tema de SNS quepertenezcan a otra cuenta. Sin embargo, si desea que CloudTrail envíe los eventos a un grupo dearchivos de registro de CloudWatch Logs, debe elegir un grupo de archivos de registro que existaen la cuenta actual.

Actualización de un registro de seguimientoPara cambiar la configuración del registro de seguimiento, siga este procedimiento.

Para actualizar un registro de seguimiento con la Consola de administración de AWS


2. Elija Trails y, a continuación, elija un registro de seguimiento.3. Para efectuar cambios en Trail settings, seleccione el icono con forma de lápiz, especifique si desea

que el registro de seguimiento se aplique a una o varias regiones y haga clic en Save.4. En Management events (Eventos de administración), haga lo siguiente.

a. Para Read/Write events, elija si desea que su registro de seguimiento recoja All, Read-only, Write-only o None y, a continuación, elija Save. De forma predeterminada, los registros de seguimientoregistran todos los eventos de administración. Para obtener más información, consulte Eventos deadministración (p. 117).

b. En Log AWS KMS events (Registrar eventos de AWS KMS), elija Yes (Sí) para registrar eventosde AWS Key Management Service (AWS KMS) en su registro de seguimiento. Elija No para sacarlos eventos de AWS KMS de su registro de seguimiento. El valor predeterminado es Yes (Sí).

Version 1.074

https://docs.aws.amazon.com/sns/latest/gsg/







En general, las acciones de AWS KMS como Encrypt, Decrypt y GenerateDataKey generanun gran volumen (más del 99 %) de eventos. Estas acciones se registran ahora como eventosde lectura, entre los que se incluyen acciones de AWS KMS de bajo volumen como Disable,Delete y ScheduleKey (que normalmente representan menos del 0,5 % del volumen deeventos de AWS KMS).

Para excluir eventos de gran volumen como Encrypt, Decrypt y GenerateDataKey, y seguirregistrando eventos relevantes como Disable, Delete y ScheduleKey, elija registrar eventosde administración de solo escritura y elija Sí en Registrar eventos de AWS KMS.

5. En Insights events (Eventos de Insights), para Log Insights events (Registrar eventos de Insights),seleccione Yes (Sí) si desea que su registro de seguimiento registre eventos de Insights. De formapredeterminada, los registros de seguimiento no registran eventos de Insights. Para obtener másinformación acerca de los eventos de Insights, consulte Registro de eventos de Insights para registrosde seguimiento (p. 129). Se aplican cargos adicionales por registrar eventos de Insights. Paraobtener información acerca de los precios de CloudTrail, consulte Precios de AWS CloudTrail.

Los Insights events se envían a una carpeta diferente denominada /CloudTrail-Insight delmismo bucket de S3 especificada en el área Storage location (Ubicación de almacenamiento) de lapágina de detalles del registro de seguimiento. CloudTrail crea el nuevo prefijo automáticamente.Por ejemplo, si el bucket de S3 de destino actual se denomina S3bucketName/AWSLogs/CloudTrail/, el nombre del bucket de S3 con un nuevo prefijo se denomina S3bucketName/AWSLogs/CloudTrail-Insight/.

6. En Data events, seleccione el icono con forma de lápiz o la opción Configure, realice los cambioscorrespondientes y haga clic en Save. De forma predeterminada, los registros de seguimiento noregistran eventos de datos. Para obtener más información, consulte Eventos de datos (p. 121).

7. En Storage location, seleccione el icono con forma de lápiz para actualizar la configuración de loselementos siguientes:

• El depósito de S3 (con prefijo opcional) que recibe los archivos de registro.• El cifrado de los archivos de registro con AWS KMS.• La validación de los archivos de registro para registros.• El tema de Amazon SNS que le notifica cuando se envían archivos de registro.

Para obtener más información, consulte Configuración de opciones avanzadas para el registro deseguimiento (p. 73).

8. Seleccione Save.

Para configurar CloudWatch Logs y las etiquetas para el registro de seguimiento

1. Para configurar CloudTrail para que envíe eventos a CloudWatch Logs para que los monitorice,en CloudWatch Logs, seleccione Configure. Para obtener más información sobre estas opciones,consulte Envío de eventos a CloudWatch Logs (p. 134).

2. Para configurar etiquetas (pares clave-valor personalizados) para los registros de seguimiento, enTags, haga clic en el icono del lápiz. Puede añadir hasta 50 pares clave-valor por cada registro deseguimiento. Las etiquetas de los registros de seguimiento deben configurarse desde la región en laque se creó el registro de seguimiento.

3. Cuando haya terminado, seleccione Apply.

Version 1.075


AWS CloudTrail Guía del usuarioCreación, actualización y administración de registrosde seguimiento con la AWS Command Line Interface

Eliminación de un registro de seguimientoPuede eliminar registros de seguimiento con la consola de CloudTrail. Si desea eliminar un registro deseguimiento que recibe los archivos de registro de todas las regiones, debe elegir la región en la que creóel registro de seguimiento.

Para eliminar un registro de seguimiento con la consola de CloudTrail


2. Vaya a la página Trails de la consola de CloudTrail para la región en la que se creó el registro deseguimiento.

3. Elija el nombre del registro de seguimiento.4. En la parte superior de la página de configuración, elija el icono de papelera.5. Elija Delete para eliminar el registro de seguimiento de forma permanente. El registro de seguimiento

se elimina de la lista de registros de seguimiento para la región. Los archivos de registro que ya sehayan entregado al bucket de Amazon S3 no se eliminarán.

Note

El contenido entregado en los buckets de Amazon S3 podría incluir datos de los clientes.Para obtener más información sobre cómo eliminar información confidencial, consulte ¿Cómopuedo vaciar un bucket de S3? o ¿Cómo elimino un bucket de S3?.

Desactivación del registro de un registro de seguimientoCuando crea un registro de seguimiento, el registro está activado de forma automática. Puede desactivar elregistro de un registro de seguimiento. Los registros anteriores seguirán estando accesibles.

Para desactivar el registro de un registro de seguimiento con la consola de CloudTrail


2. En el panel de navegación, elija Trails y, a continuación, elija el registro de seguimiento que deseeconfigurar.

3. En la parte superior de la página de configuración, elija Logging para desactivar el registro del registrode seguimiento.

4. Cuando aparezca el mensaje stop logging, elija Continue. CloudTrail detiene la actividad de registro deese registro de seguimiento.

5. Para reanudar el registro de dicho registro de seguimiento, vuelva a elegir Logging.

Creación, actualización y administración de registrosde seguimiento con la AWS Command Line InterfacePuede utilizar la AWS CLI para crear, actualizar y administrar registros de seguimiento. Cuando utilicela AWS CLI, recuerde que los comandos se ejecutan en la región de AWS configurada para su perfil.Si desea ejecutar los comandos en otra región, cambie la región predeterminada de su perfil o utilice elparámetro --region con el comando.

Note

Para ejecutar los comandos de la AWS Command Line Interface (AWS CLI) de este tema, esnecesario disponer de las herramientas de línea de comandos de AWS. Asegúrese de que tiene

Version 1.076



https://docs.aws.amazon.com/AmazonS3/latest/user-guide/empty-bucket.html

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/empty-bucket.html

https://docs.aws.amazon.com/AmazonS3/latest/user-guide/delete-bucket.html




instalada una versión reciente de la AWS CLI. Para obtener más información, consulte la AWSCommand Line Interface Guía del usuario. Para obtener ayuda con los comandos de CloudTrailen la línea de comandos de la AWS CLI, escriba aws cloudtrail help.

Comandos de uso frecuente para la creación, la administración yel estado de los registros de seguimientoEstos son algunos de los comandos más utilizados para crear y actualizar registros de seguimiento enCloudTrail:

• create-trail (p. 78) para crear un registro de seguimiento.• update-trail (p. 80) para cambiar la configuración de un registro de seguimiento existente.• add-tags (p. 83) para añadir una o varias etiquetas (pares clave-valor) a un registro de seguimiento

existente.• remove-tags (p. 84) para quitar una o varias etiquetas de un registro de seguimiento.• list-tags (p. 83) para devolver la lista de etiquetas asociadas a un registro de seguimiento.• put-event-selectors (p. 87) para añadir o modificar selectores de eventos para un registro de

seguimiento.• put-insight-selectors para añadir o modificar selectores de eventos de Insights para un registro de

seguimiento existente, y habilitar o deshabilitar eventos de Insights.• start-logging (p. 79) para comenzar a registrar eventos con un registro de seguimiento.• stop-logging (p. 90) poner en pausa el registro de eventos con el registro de seguimiento.• delete-trail (p. 90) para eliminar un registro de seguimiento. Este comando no elimina el bucket de

Amazon S3 que contiene los archivos de registro de dicho registro de seguimiento, si lo hay.• describe-trails (p. 84) para devolver información sobre los registros de seguimiento de una región de

AWS.• get-trail (p. 84) para devolver la información de configuración de un registro de seguimiento.• get-trail-status (p. 84) para devolver información sobre el estado actual de un registro de seguimiento.• get-event-selectors (p. 87) para devolver información sobre los selectores de eventos configurados

para un registro de seguimiento.• get-insight-selectors para devolver información sobre los selectores de eventos de Insights configurados

para un registro de seguimiento.

Comandos admitidos para crear y actualizar registros de seguimiento: create-traily update-trail

Los comandos create-trail y update-trail ofrecen diversas funciones para la creación yadministración de registros de seguimiento, entre las que se incluyen:

• Crear un registro de seguimiento que reciba archivos de registro de distintas regiones o actualizar unregistro de seguimiento con la opción --is-multi-region-trail. En la mayoría de los casos, debecrear registros de seguimiento que registren eventos de todas las regiones de AWS.

• Crear un registro de seguimiento que reciba archivos de registro de todas las cuentas de AWS de unaorganización con la opción --is-organization-trail.

• Convertir un registro de seguimiento de varias regiones en un registro de seguimiento de una sola regióncon la opción --no-is-multi-region-trail.

• Habilitar o deshabilitar el cifrado de archivos de registro con la opción --kms-key-id. La opciónespecifica una clave de AWS KMS que ya se ha creado y a la que se ha asociado una política quepermite a CloudTrail cifrar los archivos de registro. Para obtener más información, consulte Habilitar ydeshabilitar el cifrado de archivos de registro de CloudTrail con la AWS CLI (p. 275).

Version 1.077



https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutInsightSelectors.html

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetInsightSelectors.html


• Habilitar o deshabilitar la validación de archivos de registro con las opciones --enable-log-file-validation y --no-enable-log-file-validation. Para obtener más información, consulteValidación de la integridad de los archivos de registro de CloudTrail (p. 200).

• Especificar un grupo de registros y un rol de CloudWatch Logs para que CloudTrail pueda enviar eventosa un grupo de registros de CloudWatch Logs. Para obtener más información, consulte Monitoreo dearchivos de registro de CloudTrail con Amazon CloudWatch Logs (p. 134).

Comandos obsoletos: create-subscription y update-subscriptionImportant

Los comandos create-subscription y update-subscription se usaban para crear yactualizar registros de seguimiento, pero ya no están disponibles. No utilice estos comandos.No proporcionan funcionalidad completa para la creación y administración de registros deseguimiento.Si ha configurado una automatización que utilice uno de estos comandos o ambos, lerecomendamos que actualice el código o los scripts para que utilicen los comandos admitidos,como create-trail.

Uso de create-trailPuede utilizar el comando create-trail para crear registros de seguimiento configuradosespecíficamente para satisfacer sus necesidades empresariales. Cuando utilice la AWS CLI, recuerde quelos comandos se ejecutan en la región de AWS configurada para su perfil. Si desea ejecutar los comandosen otra región, cambie la región predeterminada de su perfil o utilice el parámetro --region con el comando.

Creación de un registro de seguimiento que se aplique a todas las regiones

Para crear un registro de seguimiento que se aplique a todas las regiones, utilice la opción --is-multi-region-trail. De forma predeterminada, el comando create-trail crea un registro de seguimientoque registra los eventos únicamente en la región de AWS donde se creó el registro de seguimiento. Paraasegurarse de que registra los eventos de servicio globales y captura toda la actividad de los eventos deadministración de su cuenta de AWS, debe crear registros de seguimiento que registren los eventos detodas las regiones de AWS.

Note

Al crear un registro de seguimiento, si especifica un bucket de Amazon S3 que no se ha creadocon CloudTrail, debe asociarle la política correspondiente. Consulte Política de bucket de AmazonS3 para CloudTrail (p. 249).

En el siguiente ejemplo, se crea un registro de seguimiento denominado my-trail y una etiqueta con unaclave denominada Group con el valor Marketing que envía los archivos de registro de todas las regionesa un bucket existente denominado my-bucket.

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail --tags-list [key=Group,value=Marketing]

Para confirmar que el registro de seguimiento existe en todas las regiones, el elementoIsMultiRegionTrail del resultado muestra true.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",

Version 1.078


"LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}

Note

Utilice el comando start-logging para empezar a ejecutar el registro de seguimiento.

Iniciar el registro de seguimiento

Cuando el comando create-trail termine de ejecutarse, ejecute el comando start-logging paraempezar a ejecutar ese registro de seguimiento.

Note

En la consola de CloudTrail, el registro se activa de forma automática cuando se crean registrosde seguimiento.

En el ejemplo siguiente, se inicia el registro para un registro de seguimiento.

aws cloudtrail start-logging --name my-trail

Este comando no devuelve ningún resultado, pero puede utilizar el comando get-trail-status paraverificar que ha comenzado el registro.

aws cloudtrail get-trail-status --name my-trail

Para confirmar que el registro de seguimiento está funcionando, el elemento IsLogging del resultadomuestra true.

{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": ""}

Crear un registro de seguimiento para una sola región

El siguiente comando crea un registro de seguimiento para una única región. El bucket de Amazon S3especificado ya debe existir y tener aplicados los permisos de CloudTrail adecuados. Para obtener másinformación, consulte Política de bucket de Amazon S3 para CloudTrail (p. 249).

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket

Para obtener más información, consulte Requisitos de nomenclatura de registros de seguimiento deCloudTrail (p. 111).

Version 1.079


A continuación, se muestra un ejemplo del resultado.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}

Creación de un registro de seguimiento que se aplica a todas las regiones y quetiene activada la validación de archivos de registro

Para habilitar la validación de archivos de registro cuando se utiliza create-trail, use la opción --enable-log-file-validation.

Para obtener información sobre la validación de archivos de registro, consulte Validación de la integridadde los archivos de registro de CloudTrail (p. 200).

El ejemplo siguiente crea un registro de seguimiento que envía los archivos de registro de todas lasregiones al bucket especificado. El comando utiliza la opción --enable-log-file-validation.

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail --enable-log-file-validation

Para confirmar que la validación de archivos de registro está activada, el elementoLogFileValidationEnabled del resultado muestra true.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}

Uso de update-trailPuede utilizar el comando update-trail para cambiar las opciones de configuración de un registro deseguimiento. También puede utilizar los comandos add-tags y remove-tags para añadir y eliminar etiquetaspara un registro de seguimiento. Solo puede actualizar los registros de seguimiento de la región de AWSen la que se creó el registro de seguimiento (su región principal). Cuando utilice la AWS CLI, recuerde quelos comandos se ejecutan en la región de AWS configurada para su perfil. Si desea ejecutar los comandosen otra región, cambie la región predeterminada de su perfil o utilice el parámetro --region con el comando.

Note

Si utiliza la AWS CLI o uno de los SDK de AWS para modificar un registro de seguimiento,asegúrese de que la política del bucket del registro de seguimiento está actualizada. Para que subucket reciba automáticamente eventos de una nueva región de AWS, la política debe contenerel nombre completo del servicio, cloudtrail.amazonaws.com. Para obtener más información,consulte Política de bucket de Amazon S3 para CloudTrail (p. 249).

Version 1.080


Conversión de un registro de seguimiento que se aplica a una sola región en unoque se aplique a todas las regionesPara cambiar un registro de seguimiento existente de forma que se aplique a todas las regiones, utilice laopción --is-multi-region-trail.

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

Para confirmar que el registro de seguimiento se aplica ahora a todas las regiones, el elementoIsMultiRegionTrail del resultado muestra true.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}

Conversión de un registro de seguimiento de varias regiones en un registro deseguimiento de una sola regiónPara cambiar un registro de seguimiento de varias regiones de forma que se aplique solamente a la regiónen la que se creó, utilice la opción --no-is-multi-region-trail.

aws cloudtrail update-trail --name my-trail --no-is-multi-region-trail

Para confirmar que el registro de seguimiento se aplica ahora a una sola región, el elementoIsMultiRegionTrail del resultado muestra false.


Habilitación y deshabilitación del registro de eventos de servicios globalesPara cambiar un registro de seguimiento de forma que no registre eventos de servicios globales, utilice laopción --no-include-global-service-events.

aws cloudtrail update-trail --name my-trail --no-include-global-service-events

Para confirmar que el registro de seguimiento ya no registra eventos de servicios globales, el elementoIncludeGlobalServiceEvents del resultado muestra false.

{ "IncludeGlobalServiceEvents": false, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",

Version 1.081


"LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}

Para cambiar un registro de seguimiento de forma que registre eventos de servicios globales, utilice laopción --include-global-service-events.

Habilitación de la validación de archivos de registroPara activar la validación de archivos de registro para un registro de seguimiento, utilice la opción --enable-log-file-validation. Los archivos de resumen se envían al bucket de Amazon S3 paradicho registro de seguimiento.

aws cloudtrail update-trail --name my-trail --enable-log-file-validation

Para confirmar que la validación de archivos de registro está activada, el elementoLogFileValidationEnabled del resultado muestra true.

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": true, "IsMultiRegionTrail": false, "IsOrganizationTrail": false, "S3BucketName": "my-bucket"}

Desactivar la validación de archivos de registroPara desactivar la validación de archivos de registro para un registro de seguimiento, utilice la opción --no-enable-log-file-validation.

aws cloudtrail update-trail --name my-trail-name --no-enable-log-file-validation

Para confirmar que la validación de archivos de registro está desactivada, el elementoLogFileValidationEnabled del resultado muestra false.


Para validar archivos de registro con la AWS CLI, consulte Validación de la integridad de los archivos deregistro de CloudTrail con la AWS CLI (p. 202).

Administración de registros de seguimiento con la AWS CLILa AWS CLI incluye otros comandos que le ayudan a administrar sus registros de seguimiento. Estoscomandos permiten agregar etiquetas a los registros de seguimiento, obtener su estado, iniciar y detener

Version 1.082


el registro en ellos y eliminarlos. Debe ejecutar estos comandos desde la misma región de AWS en laque se creó el registro de seguimiento (su región principal). Cuando utilice la AWS CLI, recuerde que loscomandos se ejecutan en la región de AWS configurada para su perfil. Si desea ejecutar los comandos enotra región, cambie la región predeterminada de su perfil o utilice el parámetro --region con el comando.

Temas• Adición de una o varias etiquetas a un registro de seguimiento (p. 83)• Listado de las etiquetas de uno o varios registros de seguimiento (p. 83)• Eliminación de una o varias etiquetas de un registro de seguimiento (p. 84)• Recuperación de la configuración de registros de seguimiento y del estado de un registro de

seguimiento (p. 84)• Configuración de selectores de eventos de Insights (p. 86)• Configuración de selectores de eventos (p. 87)• Detención e inicio del registro de un registro de seguimiento (p. 90)• Eliminación de un registro de seguimiento (p. 90)

Adición de una o varias etiquetas a un registro de seguimiento

Para agregar una o varias etiquetas a un registro de seguimiento existente, utilice el comando add-tags.

En el siguiente ejemplo, se añade una etiqueta denominada Owner con el valor Mary a un registro deseguimiento con el ARN arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail en laregión EE.UU. Este (Ohio).

aws cloudtrail add-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail --tags-list Key=Owner,Value=Mary --region us-east-2

Si se ejecuta correctamente, este comando no devuelve nada.

Listado de las etiquetas de uno o varios registros de seguimiento

Para ver las etiquetas asociadas a uno o varios registros de seguimiento existentes, utilice el comando list-tags.

En el ejemplo siguiente, se muestran las etiquetas de Trail1 y Trail2.

aws cloudtrail list-tags --resource-id-list arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2

Si se ejecuta correctamente, este comando proporciona información similar a la siguiente.

{ "ResourceTagList": [ { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1", "TagsList": [ { "Value": "Alice", "Key": "Name" }, { "Value": "Ohio", "Key": "Location" }

Version 1.083


] }, { "ResourceId": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail2", "TagsList": [ { "Value": "Bob", "Key": "Name" } ] } ]}

Eliminación de una o varias etiquetas de un registro de seguimiento

Para eliminar una o varias etiquetas de un registro de seguimiento existente, utilice el comando remove-tags.

En el siguiente ejemplo, se eliminan las etiquetas denominadas Location y Name de un registro deseguimiento con el ARN arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 en laregión EE.UU. Este (Ohio).

aws cloudtrail remove-tags --resource-id arn:aws:cloudtrail:us-east-2:123456789012:trail/Trail1 --tags-list Key=Name Key=Location --region us-east-2

Si se ejecuta correctamente, este comando no devuelve nada.

Recuperación de la configuración de registros de seguimiento y del estado de unregistro de seguimiento

Utilice el comando describe-trails para recuperar información sobre los registros de seguimiento deuna región de AWS. En el siguiente ejemplo, se devuelve información sobre los registros de seguimientoconfigurados en la región EE.UU. Este (Ohio).

aws cloudtrail describe-trails --region us-east-2

Si el comando se ejecuta correctamente, verá un resultado similar al siguiente.

{ "trailList": [ { "Name": "my-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, }, { "Name": "my-special-trail", "S3BucketName": "another-bucket", "S3KeyPrefix": "example-prefix", "IncludeGlobalServiceEvents": false,

Version 1.084


"IsMultiRegionTrail": false, "HomeRegion": "us-east-2", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-special-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": true, "IsOrganizationTrail": false }, { "Name": "my-org-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-1" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-org-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": true } ]}

Utilice el comando get-trail para recuperar información de configuración sobre un registro deseguimiento específico. En el ejemplo siguiente se devuelve la información de configuración de un registrode seguimiento denominado my-trail.

aws cloudtrail get-trail - -name my-trail

Si se ejecuta correctamente, este comando proporciona información similar a la siguiente.

{ "Trail": { "Name": "my-trail", "S3BucketName": "my-bucket", "S3KeyPrefix": "my-prefix", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "HomeRegion": "us-east-2" "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "HasCustomEventSelectors": false, "SnsTopicName": "my-topic", "IsOrganizationTrail": false, }}

Ejecute el comando get-trail-status para recuperar el estado de un registro de seguimiento. Debeejecutar este comando desde la región de AWS en la que se creó el registro de seguimiento (la regiónprincipal) o especificar esa región mediante el parámetro --region.

Note

Si el registro de seguimiento es de organización y usted es una cuenta miembro de laorganización en AWS Organizations, debe proporcionar el ARN completo de ese registro deseguimiento, y no solo el nombre.

aws cloudtrail get-trail-status --name my-trail

Si el comando se ejecuta correctamente, verá un resultado similar al siguiente.

Version 1.085


{ "LatestDeliveryTime": 1441139757.497, "LatestDeliveryAttemptTime": "2015-09-01T20:35:57Z", "LatestNotificationAttemptSucceeded": "2015-09-01T20:35:57Z", "LatestDeliveryAttemptSucceeded": "2015-09-01T20:35:57Z", "IsLogging": true, "TimeLoggingStarted": "2015-09-01T00:54:02Z", "StartLoggingTime": 1441068842.76, "LatestDigestDeliveryTime": 1441140723.629, "LatestNotificationAttemptTime": "2015-09-01T20:35:57Z", "TimeLoggingStopped": ""}

Además de los campos que se muestran en el código JSON anterior, el estado contiene los siguientescampos si hay errores de Amazon SNS o Amazon S3:

• LatestNotificationError. Contiene el error emitido por Amazon SNS si se produce un error en unasuscripción a un tema.

• LatestDeliveryError. Contiene el error emitido por Amazon S3 si CloudTrail no puede enviar unarchivo de registro a un bucket.

Configuración de selectores de eventos de Insights

Habilite los eventos de Insights en un registro de seguimiento ejecutando ApiCallRateInsight yespecificando InsightType como valor del atributo put-insight-selectors. Para ver la configuración delos selectores de Insights de un registro de seguimiento, ejecute el comando get-insight-selectors.Debe ejecutar este comando desde la región de AWS en la que se creó el registro de seguimiento (laregión principal) o especificar esa región añadiendo el parámetro --region al comando.

Ejemplo: Un registro de seguimiento que registra eventos de Insights

En el ejemplo siguiente se utiliza put-insight-selectors para crear un selector de eventos de Insights paraun registro de seguimiento denominado TrailName3. Esto habilita la recopilación de eventos de Insightspara el registro de seguimiento TrailName3.

aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '{"InsightType": "ApiCallRateInsight"}'

El ejemplo devuelve el selector de eventos de Insights configurado para el registro de seguimiento.

{ "InsightSelectors": [ { "InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"}

Ejemplo: Desactivar la recopilación de eventos de Insights para un registro de seguimiento

En el ejemplo siguiente se utiliza put-insight-selectors para eliminar el selector de eventos de Insights paraun registro de seguimiento denominado TrailName3. Al borrar la cadena JSON de selectores de Insights,se deshabilita la recopilación de eventos de Insights para el registro de seguimiento TrailName3.

aws cloudtrail put-insight-selectors --trail-name TrailName3 --insight-selectors '[]'

Version 1.086


El ejemplo devuelve el selector de eventos de Insights ahora vacío que está configurado para el registro deseguimiento.

{ "InsightSelectors": [ { "InsightType": "" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName3"}

Configuración de selectores de eventos

Para ver la configuración de los selectores de eventos de un registro de seguimiento, ejecute el comandoget-event-selectors. Debe ejecutar este comando desde la región de AWS en la que se creó elregistro de seguimiento (la región principal) o especificar esa región mediante el parámetro --region.

aws cloudtrail get-event-selectors --trail-name TrailName

Note

Si el registro de seguimiento es de organización y usted es una cuenta miembro de laorganización en AWS Organizations, debe proporcionar el ARN completo de ese registro deseguimiento, y no solo el nombre.

El ejemplo siguiente devuelve la configuración predeterminada de un selector de eventos de un registro deseguimiento.

{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}

Para crear un selector de eventos, ejecute el comando put-event-selectors. Cuando se produceun evento en su cuenta, CloudTrail evalúa la configuración de sus registros de seguimiento. Si elevento coincide con algún selector de eventos de un registro de seguimiento, se procesa el registro deseguimiento y se registra el evento. Puede configurar hasta cinco selectores de eventos para un registro deseguimiento y hasta 250 recursos de datos para un registro de seguimiento. Para obtener más información,consulte Registro de eventos de datos para registros de seguimiento (p. 121).

Temas• Ejemplo: Un registro de seguimiento con selectores de eventos específicos (p. 88)• Ejemplo: Un registro de seguimiento que registra todos los eventos de administración y

datos (p. 88)• Ejemplo: Un registro de seguimiento que no registra eventos de AWS Key Management

Service (p. 89)• Ejemplo: un seguimiento que registra eventos de AWS Key Management Service relevantes de bajo

volumen (p. 90)

Version 1.087


Ejemplo: Un registro de seguimiento con selectores de eventos específicos

El siguiente ejemplo crea un selector de eventos para que un registro de seguimiento denominadoTrailName incluya eventos de administración de solo lectura y de solo escritura, eventos de datos parados combinaciones de bucket/prefijo de Amazon S3 y eventos de datos para una sola función de AWSLambda denominada hello-world-python-function.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix","arn:aws:s3:::mybucket2/prefix2"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda:us-west-2:999999999999:function:hello-world-python-function"]}]}]'

El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento.

{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda:us-west-2:123456789012:function:hello-world-python-function" ], "Type": "AWS::Lambda::Function" }, ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}

Ejemplo: Un registro de seguimiento que registra todos los eventos de administración y datos

El siguiente ejemplo crea un selector de eventos para un registro de seguimiento denominadoTrailName2 que incluye todos los eventos, incluidos los eventos de administración de solo lectura y soloescritura, así como todos los eventos de datos de todos los buckets de Amazon S3 y las funciones deAWS Lambda de la cuenta de AWS.

Note

Si el registro de seguimiento se aplica solo a una región, solo se registrarán los eventos de dicharegión, aunque los parámetros del selector de eventos especifiquen todos los buckets de AmazonS3 y las funciones de Lambda. Los selectores de eventos solo se aplican a las regiones en lasque se crea el registro de seguimiento.

aws cloudtrail put-event-selectors --trail-name TrailName2 --event-selectors '[{"ReadWriteType": "All","IncludeManagementEvents": true,"DataResources": [{"Type":"AWS::S3::Object", "Values": ["arn:aws:s3:::"]},{"Type": "AWS::Lambda::Function","Values": ["arn:aws:lambda"]}]}]'

El ejemplo devuelve los selectores de eventos configurados para el registro de seguimiento.

Version 1.088


{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::" ], "Type": "AWS::S3::Object" }, { "Values": [ "arn:aws:lambda" ], "Type": "AWS::Lambda::Function" }, ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName2"}

Ejemplo: Un registro de seguimiento que no registra eventos de AWS Key Management Service

En el ejemplo siguiente se crea un selector de eventos para un registro de seguimiento denominadoTrailName que incluye eventos de administración de solo lectura y de solo escritura, pero excluye loseventos de AWS Key Management Service (AWS KMS). Como los eventos de AWS KMS se tratan comoeventos de administración y puede haber una gran cantidad de ellos, su factura de CloudTrail se puedever incrementada si tiene más de un registro de seguimiento que captura eventos de administración.El usuario de este ejemplo ha optado por excluir los eventos de AWS KMS de todos los registros deseguimiento menos uno. Para excluir un origen de eventos, añada ExcludeManagementEventSourcesa los selectores de eventos y especifique un origen de eventos en el valor de cadena. En esta versión,puede excluir eventos de kms.amazonaws.com.

Para iniciar de nuevo el registro de eventos de AWS KMS en un registro de seguimiento, pase una cadenavacía como valor de ExcludeManagementEventSources.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'

El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento:

{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "kms.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}

Para iniciar de nuevo el registro de eventos de AWS KMS en un registro de seguimiento, pase una cadenavacía como el valor de ExcludeManagementEventSources, como se muestra en el siguiente comando.

Version 1.089


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'

Ejemplo: un seguimiento que registra eventos de AWS Key Management Service relevantes debajo volumen

En el ejemplo siguiente, se crear un selector de eventos para un seguimiento llamadoNombreSeguimiento que incluye los eventos de administración de solo escritura y los eventos de AWSKMS. Como los eventos de AWS KMS se tratan como eventos de administración y puede haber unagran cantidad de ellos, su factura de CloudTrail se puede ver incrementada si tiene más de un registrode seguimiento que captura eventos de administración. El usuario de este ejemplo ha optado por incluireventos de AWS KMS de escritura, entre los que se incluyen Disable, Delete y ScheduleKey, pero yano se incluyen acciones de gran volumen como Encrypt, Decrypt y GenerateDataKey (que ahora setratan como eventos de lectura).

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'

El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento: Esto registra loseventos de administración de solo escritura, incluidos los eventos de AWS KMS.

{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "WriteOnly" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}

Detención e inicio del registro de un registro de seguimientoLos siguientes comandos inician y detienen el registro de CloudTrail.

aws cloudtrail start-logging --name awscloudtrail-example

aws cloudtrail stop-logging --name awscloudtrail-example

Note

Antes de eliminar un bucket, ejecute el comando stop-logging para detener el envío deeventos al bucket. Si no detiene el registro, CloudTrail trata de enviar los archivos de registro a unbucket con el mismo nombre durante un período de tiempo limitado.Si detiene el registro o elimina un registro de seguimiento, CloudTrail Insights se deshabilita enese registro de seguimiento.

Eliminación de un registro de seguimientoPuede eliminar un registro de seguimiento con el siguiente comando. Puede eliminar un registro deseguimiento únicamente en la región en la que lo creó (la región principal).

aws cloudtrail delete-trail --name awscloudtrail-example

Version 1.090


seguimiento para una organización

Cuando se elimina un registro de seguimiento, no se elimina el bucket de Amazon S3 ni el tema deAmazon SNS asociados. Utilice la Consola de administración de AWS, la AWS CLI o la API de serviciopara eliminar estos recursos por separado.

Creación de un registro de seguimiento para unaorganización

Si ha creado una organización en AWS Organizations, puede crear un registro de seguimiento queregistrará todos los eventos de todas las cuentas de AWS en dicha organización. Esto es lo que a veces sedenomina registro de seguimiento de organización. También puede elegir editar un registro de seguimientoexistente en la cuenta maestra y aplicarlo a una organización, convirtiéndolo en un registro de seguimientode organización. La organización realiza un seguimiento de los eventos de registro de la cuenta principaly de todas las cuentas miembro de la organización. Para obtener más información acerca de AWSOrganizations, consulte Terminología y conceptos de Organizaciones.

Note

Debe iniciar sesión con la cuenta maestra de la organización para poder crear un registro deseguimiento de la organización. También debe tener permisos suficientes para el usuario o el rolde IAM en la cuenta maestra con el fin de poder crear correctamente un registro de seguimientode la organización. Si no tiene permisos suficientes, no puede ver la opción para aplicar unregistro de seguimiento a una organización.

Al crear un registro de seguimiento de organización, se creará un registro de seguimiento con el nombreque le asigne en cada cuenta de AWS que pertenezca a su organización. Los usuarios con permisosde CloudTrail en cuentas miembro podrán ver este registro de seguimiento cuando inicien sesión en laconsola de AWS CloudTrail desde sus cuentas de AWS o cuando ejecuten comandos de la AWS CLItales como describe-trail. Sin embargo, los usuarios de las cuentas miembro no tendrán permisossuficientes para eliminar el registro de seguimiento de la organización, activar o desactivar el registro,cambiar los tipos de eventos registrados o alterar el registro de seguimiento de la organización.

Al crear un registro de seguimiento de la organización en la consola, o cuando habilita CloudTrail comoun servicio de confianza en Organizaciones, se crea un rol vinculado a servicio para realizar tareas deregistro en las cuentas miembro de la organización. Este rol se denomina AWSServiceRoleForCloudTraily es necesario para que CloudTrail registre correctamente los eventos de una organización. Si se añadeuna cuenta de AWS a una organización, el registro de seguimiento de la organización y el rol vinculadoa servicio se agregarán a esa cuenta de AWS, y comenzará automáticamente el registro de esa cuentaen el registro de seguimiento de la organización. Si se elimina una cuenta de AWS de una organización,el registro de seguimiento de la organización y el rol vinculado a servicio se eliminarán de la cuentade AWS que ya no forma parte de la organización. Sin embargo, los archivos de registro de la cuentaeliminada creados antes de la eliminación de la cuenta permanecerán en el bucket de Amazon S3, dondese almacenan los archivos de registro del registro de seguimiento.

En el ejemplo siguiente, un usuario de la cuenta maestra 111111111111 crea un registro de seguimientollamado MyOrganizationTrail para la organización o-exampleorgid. El registro de seguimientoregistra la actividad de todas las cuentas de la organización en el mismo bucket de Amazon S3. Todas lascuentas de la organización pueden ver MyOrganizationTrail en su lista de registros de seguimiento,pero las cuentas miembro no podrá eliminar ni modificar el registro de seguimiento de la organización.Solo la cuenta maestra podrá cambiar o eliminar el registro de seguimiento de la organización, del mismomodo que solo dicha cuenta puede eliminar una cuenta miembro de una organización. Del mismo modo,de forma predeterminada, solo la cuenta maestra tiene acceso al bucket de Amazon S3 bucket-de-mi-organización para el registro de seguimiento y los registros que contiene. La estructura de bucketde alto nivel para los archivos de registro contiene una carpeta con el nombre del ID de la organización,con subcarpetas con el nombre de los ID de cada cuenta de la organización. Los eventos de cada cuentamiembro se registran en la carpeta correspondiente al ID de la cuenta miembro. Si la cuenta miembro

Version 1.091

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html


seguimiento para una organización

444444444444 se elimina de la organización en el futuro, MyOrganizationTrail y el rol vinculado aservicio ya no aparecerán en la cuenta de AWS 444444444444, y no se registrarán más eventos paraesa cuenta en el registro de seguimiento de la organización. Sin embargo, la carpeta 444444444444permanece en el bucket de Amazon S3, con todos los registros creados antes de la eliminación de lacuenta de la organización.

En este ejemplo, el ARN del registro de seguimiento creado en la cuenta maestra esaws:cloudtrail:us-east-2:111111111111:trail/MyOrganizationTrail. Este ARN tambiénes el ARN del registro de seguimiento en todas las cuentas miembro.

Los registros de seguimiento de organización son similares a los normales en muchos aspectos. Puedecrear varios registros de seguimiento para su organización y elegir si desea crear uno de organizaciónen todas las regiones o en una sola región, y qué tipo de eventos desea que se guarden en el registrode seguimiento de organización, al igual que en cualquier otro registro de seguimiento. Sin embargo,hay algunas diferencias. Por ejemplo, al crear un registro de seguimiento en la consola y elegir si desearegistrar los eventos de datos para los buckets de Amazon S3 o las funciones de AWS Lambda, los únicosrecursos que aparecen en la consola de CloudTrail son los de la cuenta maestra, pero puede añadirlos ARN de los recursos de las cuentas miembro. Los eventos de datos para los recursos de cuentamiembro especificados se registrarán sin tener que configurar manualmente el acceso entre cuentas adichos recursos. Para obtener más información sobre el registro de eventos de administración, eventos deInsights y eventos de datos, consulte Uso de archivos de registro de CloudTrail (p. 114).

También puede configurar otros servicios de AWS para efectuar un análisis más detallado y actuar en losdatos de evento recopilados en los registros de CloudTrail para un registro de seguimiento de organizaciónde la misma manera que lo haría con otro registro de seguimiento. Por ejemplo, puede analizar los datosen un registro de seguimiento de organización mediante Amazon Athena. Para obtener más información,consulte Integraciones de servicios de AWS con registros de CloudTrail (p. 22).

Temas• Prácticas recomendadas para pasar de los registros de seguimiento de cuentas de miembro a los

registros de seguimiento de la organización (p. 93)• Prepararse para crear un registro de seguimiento para la organización (p. 93)• Crear un registro de seguimiento para la organización en la consola (p. 95)• Creación de un registro de seguimiento para una organización con la AWS Command Line

Interface (p. 100)

Version 1.092

AWS CloudTrail Guía del usuarioPrácticas recomendadas para pasar de los

registros de seguimiento de cuentas de miembroa los registros de seguimiento de la organización

Prácticas recomendadas para pasar de los registrosde seguimiento de cuentas de miembro a los registrosde seguimiento de la organizaciónSi ya tiene registros de seguimiento de CloudTrail configurados para cuentas de miembro individuales,pero desea pasar a un registro de seguimiento de organización para registrar eventos en todas lascuentas, no desea perder eventos eliminando registros de seguimiento de cuentas de miembroindividuales antes de crear un registro de seguimiento de la organización. Pero cuando tiene dos registrosde seguimiento, incurre en costos más altos debido a la copia adicional de los eventos enviados al registrode seguimiento de la organización.

Para ayudar a administrar los costos, pero evitar que se pierdan eventos antes de que comience la entregadel registro en el registro de seguimiento de la organización, plantéese mantener tanto los registros deseguimiento de la cuenta de miembro individual como el registro de seguimiento de la organización duranteun día. Esto garantiza que el registros de seguimiento de la organización registre todos los eventos, perosolo incurra en costos de eventos duplicados durante un día. Después del primer día, puede dejar deiniciar sesión (o eliminar) cualquier registro de seguimiento de cuenta de miembro individual.

Prepararse para crear un registro de seguimiento parala organizaciónAntes de crear un registro de seguimiento para su organización, deberá asegurarse de que tanto suorganización como su cuenta maestra estén configuradas correctamente para la creación de registros deseguimiento.

• Su organización debe tener todas las características habilitadas para poder crear un registro deseguimiento para ella. Para obtener más información, consulte Habilitar todas las características en laorganización.

• La cuenta maestra debe tener el rol AWSServiceRoleForOrganizations. Este rol lo crea Organizacionesautomáticamente al crear su organización y es necesario para que CloudTrail registre los eventos de unaorganización. Para obtener más información, consulte Organizaciones y roles vinculados a servicios.

• El usuario o rol de IAM que se utilizará para crear el registro de seguimiento de organización en lacuenta maestra debe tener permisos suficientes para crear un registro de seguimiento de organización.Como mínimo, para crear un registro de seguimiento de organización, debe contar con la políticaAWSCloudTrailFullAccess o permisos equivalentes. También debe tener permisos suficientes en IAMy Organizaciones para crear el rol vinculado a servicio y habilitar el acceso de confianza. La siguientepolítica de ejemplo muestra los permisos mínimos necesarios.

Note

La política AWSCloudTrailFullAccess no se ha concebido para compartirla con carácter generalen la cuenta de AWS. En su lugar, se debe restringir a los administradores de la cuenta deAWS debido al alto nivel de confidencialidad de la información que recopila CloudTrail. Losusuarios con este rol tienen la capacidad de desactivar o reconfigurar las funciones de auditoríamás importantes y confidenciales de sus cuentas de AWS. Por este motivo, el acceso a estapolítica se tiene que supervisar y controlar de cerca.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GetRole",

Version 1.093

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html


https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_integrate_services-using_slrs

AWS CloudTrail Guía del usuarioPrepararse para crear un registro

de seguimiento para la organización

"organizations:EnableAWSServiceAccess", "organizations:ListAccounts", "iam:CreateServiceLinkedRole", "organizations:DisableAWSServiceAccess", "organizations:DescribeOrganization", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" } ]}

• Si desea utilizar la AWS CLI o las API de CloudTrail para crear un registro de seguimiento deorganización, debe habilitar el acceso de confianza para CloudTrail en Organizaciones y debe crearmanualmente un bucket de Amazon S3 con una política que permita el registro para un registro deseguimiento de organización. Para obtener más información, consulte Creación de un registro deseguimiento para una organización con la AWS Command Line Interface (p. 100).

• Para utilizar un rol de IAM existente para agregar el monitoreo de un registro de seguimiento deorganización a Amazon CloudWatch Logs, debe modificar manualmente el rol de IAM para permitirel envío de CloudWatch Logs para las cuentas miembro al grupo de CloudWatch Logs de la cuentamaestra, tal y como se muestra en el ejemplo siguiente.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*" ] } ]}

Puede obtener más información sobre CloudTrail y Amazon CloudWatch Logs en Monitoreo de archivosde registro de CloudTrail con Amazon CloudWatch Logs (p. 134). Además, considere los límitesen CloudWatch Logs y las consideraciones de precio para el servicio antes de decidir habilitar laexperiencia para un registro de seguimiento de organización. Para obtener más información, consulteLímites de CloudWatch Logs y Precios de Amazon CloudWatch.

• Si desea registrar eventos de datos en el registro de seguimiento de organización para determinadosbuckets de Amazon S3 o funciones de AWS Lambda en las cuentas miembro, reúna una lista de

Version 1.094

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html


AWS CloudTrail Guía del usuarioCrear un registro de seguimiento

para la organización en la consola

nombres de recursos de Amazon (ARN) para cada uno de esos recursos. Los recursos de cuentamiembro no se muestran en la consola de CloudTrail cuando se crea un registro de seguimiento; solose pueden mostrar las funciones de Amazon S3 y de Lambda de la cuenta maestra. Del mismo modo,si desea añadir recursos de miembro específicos al crear o actualizar un registro de seguimiento deorganización en la línea de comandos, necesitará los ARN de dichos recursos.

Note

Se aplican cargos adicionales por el registro de eventos de datos. Para obtener informaciónacerca de los precios de CloudTrail, consulte Precios de AWS CloudTrail.

También debe considerar la posibilidad de revisar cuántos registros de seguimiento ya existen en la cuentamaestra y en las cuentas miembro antes de crear un registro de seguimiento de organización. CloudTraillimita el número de registros de seguimiento que se pueden crear en cada región. No puede superar estelímite en la región en la que cree el registro de seguimiento de organización en la cuenta maestra. Sinembargo, el registro de seguimiento se creará en las cuentas miembro, incluso si estas han alcanzado ellímite de registros de seguimiento en una región. Aunque el primer registro de seguimiento en cualquierregión es gratuito, se aplican cargos a los adicionales. Para reducir el costo potencial de un registrode seguimiento de organización, considere la posibilidad de eliminar cualquier registro de seguimientoinnecesario en las cuentas maestra y miembro. Para obtener más información acerca de los precios deCloudTrail, consulte Precios de AWS CloudTrail.

Crear un registro de seguimiento para la organizaciónen la consolaPara crear un registro de seguimiento de organización en la consola de CloudTrail, debe iniciar sesiónen ella utilizando un usuario o rol de IAM de la cuenta maestra con permisos suficientes (p. 93). Si noha iniciado sesión con la cuenta maestra, no verá la opción para aplicar un registro de seguimiento a unaorganización cuando cree o edite un registro de seguimiento en la consola de CloudTrail.

Puede optar por configurar un registro de seguimiento de organización de varias maneras. Por ejemplo,puede hacer lo siguiente:

• Especifique si desea que el registro de seguimiento se aplique a todas las regiones o a una sola región.El valor predeterminado consiste en crear un registro de seguimiento para todas las regiones. Paraobtener más información, consulte Funcionamiento de CloudTrail (p. 1).

• Especifique si desea aplicar el registro de seguimiento a su organización. El valor predeterminado es nohacerlo; debe elegir esta opción para crear un registro de seguimiento de organización.

• Especifique qué bucket de Amazon S3 se utilizará para recibir los archivos de registro para el registro deseguimiento de organización. Puede elegir un bucket de Amazon S3 existente en la cuenta maestra ocrear uno específicamente para el registro de seguimiento de organización.

• Para los eventos de administración y datos, especifique si desea registrar los eventos de solo lectura,de solo escritura o todos los eventos. Los eventos de Insights se basan solo en eventos de escritura.Puede especificar el registro de eventos de datos para determinados buckets de Amazon S3 y funcionesde AWS Lambda en la cuenta maestra seleccionándolos de las listas de la consola y en las cuentasmiembro si especifica los ARN de cada recurso para el que desea habilitar el registro de eventos dedatos. Para obtener más información, consulte Eventos de datos (p. 121).

Para crear un registro de seguimiento de organización con la Consola de administración de AWS


Debe iniciar sesión como usuario, rol o cuenta raíz en la cuenta maestra con permisossuficientes (p. 93) para crear un registro de seguimiento de organización.

Version 1.095







2. En la selección de regiones, elija la región en la que desea que se cree el registro de seguimiento.3. Elija Trails (Registros de seguimiento) y, a continuación, elija Create trail (Crear registro de

seguimiento).

Tip

Si ve Get Started Now (Comience ahora) en lugar de Trails (Registros de seguimiento),seleccione esa opción.

4. En la página Create Trail (Crear registro de seguimiento), escriba el nombre del registro deseguimiento de organización en Trail name (Nombre de registro de seguimiento). Este nombre debeser único en la cuenta maestra y en todas las cuentas miembro. Tenga en cuenta que este nombrede registro de seguimiento aparecerá en todas las cuentas miembro en la consola de CloudTrail paraesas cuentas, así como en la lista de registros de seguimiento que proporcionan la AWS CLI y laAPI. Considere la posibilidad de proporcionar un nombre sencillo para este registro de seguimientoque cumpla los requisitos de nomenclatura. Para obtener más información, consulte Requisitos denomenclatura de registros de seguimiento de CloudTrail (p. 111).

5. En Apply trail to all regions, elija Yes para recibir los archivos de registro de todas las regiones. Estaes la configuración predeterminada y recomendada. Si elige No, el registro de seguimiento soloregistra los archivos de la región en la que crea el registro de seguimiento.

6. En Apply trail to my organization (Aplicar registro de seguimiento a mi organización), elija Yes (Sí).Solo verá esta opción si ha iniciado sesión en la consola con un usuario o rol de IAM en la cuentamaestra. Para crear correctamente un registro de seguimiento de organización, asegúrese de que elusuario o el rol tengan permisos suficientes (p. 93).

7. En Management events (Eventos de administración), para Read/Write events (Eventos de lectura/escritura), elija si desea que el registro de seguimiento registre All (Todo), Read-only (Solo lectura),Write-only (Solo escritura) o None (Ninguno). De forma predeterminada, los registros de seguimientoregistran todos los eventos de administración. Para obtener más información, consulte Eventos deadministración (p. 117).

8. En Insights events (Eventos de Insights), para Log Insights events (Registrar eventos de Insights),seleccione Yes (Sí) si desea que su registro de seguimiento registre eventos de Insights. De formapredeterminada, los registros de seguimiento no registran eventos de Insights. Para obtener másinformación acerca de los eventos de Insights, consulte Registro de eventos de Insights para registrosde seguimiento (p. 129). Esta opción se aplica a todas las cuentas de la organización. Se aplicancargos adicionales por registrar eventos de Insights. Para obtener información acerca de los preciosde CloudTrail, consulte Precios de AWS CloudTrail.

9. En Data events (Eventos de datos), puede especificar el registro de eventos de datos para bucketsde Amazon S3 o funciones de AWS Lambda. Puede elegir de las listas de determinados bucketsde Amazon S3 y funciones de Lambda de la cuenta maestra, pero estas listas no incluyen ningunainformación de recursos para las cuentas miembro. Para añadir recursos específicos en las cuentasmiembro, debe proporcionar los ARN de los buckets de Amazon S3 y las funciones de Lambda. Si loprefiere, puede seleccionar la opción para registrar todos los buckets de Amazon S3 y funciones deLambda. Esta opción se aplica a todas las cuentas de la organización.

De forma predeterminada, los registros de seguimiento no registran eventos de datos. Se aplicancargos adicionales por el registro de eventos de datos. Para obtener información acerca de los preciosde CloudTrail, consulte Precios de AWS CloudTrail.

Para los buckets de Amazon S3:

• Seleccione la pestaña S3.• Para especificar un bucket en la cuenta maestra, elija Add S3 bucket (Añadir bucket de S3). Elija el

bucket de la lista que aparece cuando se elige Nombre de bucket o escriba el nombre y el prefijo delbucket de S3 (opcional) del que desea registrar los eventos de datos. En cada bucket, especifiquesi desea registrar eventos de tipo Read (Lectura), como GetObject; de tipo Write (Escritura), comoPutObject, o de ambos tipos. Para obtener más información, consulte Eventos de datos (p. 121).

Version 1.096





• Para especificar un bucket en una cuenta miembro, elija Add S3 bucket (Añadir bucket de S3).Escriba o pegue el ARN de ese bucket en Bucket name (Nombre de bucket). En cada bucket,especifique si desea registrar eventos de tipo Read (Lectura), como GetObject; de tipo Write(Escritura), como PutObject, o de ambos tipos. Para obtener más información, consulte Eventosde datos (p. 121).

• Si desea registrar los eventos de datos de todos los buckets de S3 en todas las cuentas de suorganización, seleccione Select all S3 buckets in your account (Seleccionar todos los bucketsde S3 de la cuenta). Elija después si desea registrar eventos de tipo Read, como GetObject;de tipo Write, como PutObject, o de ambos tipos. Esta configuración tiene prioridad sobrela configuración individual de cada bucket en las cuentas maestra y miembro. Por ejemplo, siestablece la configuración para que se registren los eventos de tipo Read de todos los buckets deS3 y posteriormente decide agregar un determinado bucket en el registro de eventos de datos, laopción Read ya aparecerá seleccionada en el bucket que agregue. Esta selección no se puedeanular. Solo se puede configurar la opción Write.

Note

Si selecciona la opción Select all S3 buckets in your account (Seleccionar todos los bucketsde S3 de la cuenta), podrá registrar los eventos de datos de todos los buckets de todaslas cuentas que haya actualmente en la organización, así como de cualquier otro bucketcreado en las cuentas maestra y miembro después de generar el registro de seguimiento.Esta opción habilita también el registro de la actividad de eventos de datos realizada porcualquier usuario o rol de su cuenta maestra, aunque esta se realice en un bucket quepertenezca a otra cuenta de AWS fuera de su organización.Si el registro de seguimiento se aplica únicamente a una región, la opción Select all S3buckets in your account (Seleccionar todos los buckets de S3 de la cuenta) habilita elregistro de eventos de datos de todos los buckets de la organización que estén en lamisma región que el registro de seguimiento, así como de cualquier otro bucket creado enlas cuentas maestra y miembro en esa registro después de habilitar la opción. No registrarádatos de eventos de buckets de Amazon S3 de otras regiones de su organización.

Para las funciones de Lambda:

• Elija la pestaña Lambda.• Para especificar el registro de eventos de datos para funciones individuales de su cuenta maestra,

selecciónelos de la lista. Solo se enumeran las funciones de la cuenta maestra. Las funciones de lascuentas miembro no aparecen en la lista.

Note

Si tiene más de 15 000 funciones de Lambda en su cuenta maestra, no podrá ver niseleccionar todas las funciones en la consola de CloudTrail cuando cree un registro deseguimiento. Sí que puede seleccionar la opción para registrar todas las funciones, aunqueestas no se muestren. Si desea registrar eventos de datos para funciones específicas,puede añadir manualmente una función si conoce su ARN. También puede finalizar lacreación del registro de seguimiento en la consola y, a continuación, utilizar la AWS CLIy el comando put-event-selectors para configurar el registro de eventos de datos parafunciones de Lambda específicas. Para obtener más información, consulte Administraciónde registros de seguimiento con la AWS CLI (p. 82).

• Para especificar el registro de eventos de datos para funciones individuales en cuentas miembro,seleccione Add function (Añadir función) y, a continuación, escriba o pegue el ARN de la función enla cuenta miembro.

• Para registrar eventos de datos de todas las funciones de Lambda de su organización, seleccioneLog all current and future functions (Registrar todas las funciones actuales y futuras). Estaconfiguración tiene prioridad sobre la configuración individual de cada función. Se registran todas lasfunciones aunque no se muestren.

Version 1.097



Note

Si va a crear un registro de seguimiento para todas las regiones, esta opción habilita elregistro de eventos de datos de todas las funciones que se encuentran actualmente en suorganización, así como de cualquier función de Lambda que se pueda crear en las cuentasmaestra y miembro en cualquier región cuando termine de crear el registro de seguimiento.Si va a crear un registro de seguimiento para una sola región, esta opción habilita elregistro de eventos de datos de todas las funciones que se encuentran actualmente en estaregión en todas las cuentas de su organización, así como de cualquier función de Lambdacreada en dicha región y en las cuentas maestra y miembro en cualquier región cuandotermine de crear el registro de seguimiento. No habilita el registro de eventos de datos defunciones de Lambda creadas en otras regiones.El registro de eventos de datos de todas las funciones también habilita el registro de laactividad de eventos de datos realizada por cualquier usuario o rol de su cuenta maestra,aunque esta se realice en una función que pertenezca a otra cuenta de AWS fuera de laorganización.

10. Para Storage location, en Create a S3 bucket, elija Yes para crear un bucket. Cuando se crea unbucket, CloudTrail crea y aplica las políticas de buckets necesarias para un registro de seguimiento deorganización.

Note

Si selecciona No, elija un bucket de Amazon S3 existente. La política de bucket se actualizarápara permitir el registro para un registro de seguimiento de organización. Para obtenermás información sobre cómo crear o editar manualmente la política de bucket, consulteCreación de un registro de seguimiento para una organización con la AWS Command LineInterface (p. 100).

11. En S3 bucket, escriba un nombre para el bucket que desea designar para almacenar los archivos deregistro. El nombre debe ser único de forma global. Para obtener más información, consulte Requisitosde nomenclatura para buckets de Amazon S3 (p. 111).

12. Para configurar opciones avanzadas, consulte Configuración de opciones avanzadas para el registrode seguimiento de organización (p. 98). De lo contrario, seleccione Create.

13. El nuevo registro de seguimiento aparece en la página Trails. Un registro de seguimiento deorganización puede tardar hasta 24 horas en crearse en todas las regiones de todas las cuentasmiembro. La página Trails muestra los registros de seguimiento de su cuenta de todas las regiones.En unos 15 minutos, CloudTrail publica los archivos de registro que muestran las llamadas a la APIde AWS realizadas en su organización. Puede ver los archivos de registro del bucket de Amazon S3especificado.

Note

No se puede cambiar el nombre de un registro de seguimiento una vez creado. En su lugar,puede eliminar el registro de seguimiento y crear uno nuevo.

Configuración de opciones avanzadas para el registro deseguimiento de organizaciónPuede configurar las siguientes opciones para el registro de seguimiento de organización:

• Especificar un prefijo de archivo de registro para el bucket de Amazon S3 que recibe los archivos deregistro

• Cifre los archivos de registro con AWS Key Management Service (SSE-KMS) en lugar de con el cifradopredeterminado (claves administradas por Amazon S3 (SSE-S3)).

• Activar la validación de archivos de registro para los registros

Version 1.098




• Configurar Amazon SNS para que le notifique cuando se envíen archivos de registro.

Para configurar opciones avanzadas para el registro de seguimiento

1. En Storage location, elija Advanced.2. En el campo Log file prefix escriba un prefijo para el bucket de Amazon S3. El prefijo se suma a la

dirección URL de un objeto de Amazon S3 que crea una organización en forma de carpeta en subucket. La ubicación en la que se almacenarán los archivos de registro aparece en el campo de texto.

3. En Encrypt log files with SSE-KMS (Cifrar los archivos de registro con SSE-KMS), elija Yes (Sí) sidesea cifrar sus archivos de registro con SSE-KMS en vez de con SSE-S3.

4. En Create a new KMS key (Crear una nueva clave de KMS), elija Yes (Sí) para crear una clave en lacuenta maestra o No para utilizar una existente en la cuenta maestra.

5. Si ha elegido Yes, escriba un alias en el campo KMS key. CloudTrail cifra de los archivos de registrocon la clave y añade la política.

Note

Si selecciona No, elija una clave de KMS existente. También puede escribir el ARN de unaclave de otra cuenta. Para obtener más información, consulte Actualización de un registrode seguimiento para utilizar su clave CMK (p. 274). La política de claves debe permitir queCloudTrail use la clave para cifrar los archivos de registro y que los usuarios especificadoslean archivos de registro en formato no cifrado. Para obtener más información sobre cómoeditar manualmente la política de claves, consulte Configuración de políticas de claves deAWS KMS para CloudTrail (p. 267).

6. En Enable log file validation (Habilitar la validación de archivos de registro), elija Yes (Sí) para que seenvíen los resúmenes de archivos de registro a su bucket de Amazon S3. Puede utilizar los archivosde resumen para comprobar que sus archivos de registro no cambian después de que CloudTrail losenvía. Para obtener más información, consulte Validación de la integridad de los archivos de registrode CloudTrail (p. 200).

7. En Send SNS notification for every log file delivery, elija Yes si desea recibir una notificación cada vezque se envíe un archivo de registro a su bucket. CloudTrail almacena varios eventos en un archivo deregistro. Las notificaciones de SNS se envían para cada archivo de registro, no para cada evento.

8. En Create a SNS topic, elija Yes para crear un tema o elija No para usar uno existente. Si va a crearun registro de seguimiento que se aplica a todas las regiones, las notificaciones de SNS de los envíosde archivos de registro de todas las regiones se envían al tema de SNS que cree.

Note

Si selecciona No, elija un tema existente. También puede especificar el ARN de un tema deotra región o de una cuenta con los permisos adecuados. Para obtener más información,consulte Política de temas de Amazon SNS para CloudTrail (p. 254).

9. Si selecciona Yes (Sí), escriba un nombre en el campo SNS topic (Tema de SNS).

Si crea un tema, deberá suscribirse al tema para recibir una notificación del envío de archivosde registro. Puede suscribirse desde la consola de Amazon SNS. Debido a la frecuencia de lasnotificaciones, le recomendamos que configure la suscripción para que se use una cola de AmazonSQS para administrar las notificaciones mediante programación. Para obtener más información,consulte Guía de introducción a Amazon Simple Notification Service.

10. Elija Create (Crear).

Pasos siguientesDespués de crear el registro de seguimiento, puede volver a él para realizar cambios:

Version 1.099

https://docs.aws.amazon.com/sns/latest/gsg/

AWS CloudTrail Guía del usuarioCreación de un registro de seguimiento para una

organización con la AWS Command Line Interface

• Cambie la configuración de su registro de seguimiento editándolo. Para obtener más información,consulte Actualización de un registro de seguimiento (p. 74).

• Configure el bucket de Amazon S3 para permitir que determinados usuarios de IAM de las cuentasmiembro puedan leer los archivos de registro de la organización, si lo desean. Para obtenermás información, consulte Compartición de archivos de registro de CloudTrail entre cuentas deAWS (p. 191).

• Configure CloudTrail para que envíe los archivos de registro a CloudWatch Logs. Para obtener másinformación, consulte Envío de eventos a CloudWatch Logs (p. 134) y el elemento CloudWatchLogs (p. 94) en Prepararse para crear un registro de seguimiento para la organización (p. 93).

• Cree una tabla y úsela para ejecutar una consulta en Amazon Athena con el fin de analizar su actividadde servicio de AWS. Para obtener más información, consulte Creación de una tabla para registros deCloudTrail en la consola de CloudTrail en la Guía del usuario de Amazon Athena.

• Añadir etiquetas personalizadas (pares de clave-valor) al registro de seguimiento• Para crear otro registro de seguimiento de organización, vuelva a la página Trails (Registros de

seguimiento) y elija Create trail (Crear registro de seguimiento).

Note

Cuando configure un registro de seguimiento, podrá elegir un bucket de Amazon S3 y un tema deSNS que pertenezcan a otra cuenta. Sin embargo, si desea que CloudTrail envíe los eventos a ungrupo de archivos de registro de CloudWatch Logs, debe elegir un grupo de archivos de registroque exista en la cuenta actual.

Creación de un registro de seguimiento para unaorganización con la AWS Command Line InterfacePuede crear un registro de seguimiento de organización mediante la AWS CLI. La AWS CLI se actualizaperiódicamente con funcionalidad y comandos adicionales. Para ayudar a garantizar el éxito, asegúrese deque ha instalado o actualizado una versión reciente de la AWS CLI antes de comenzar.

Note

Los ejemplos de esta sección son específicos para la creación y actualización de registros deseguimiento de organización. Para obtener ejemplos del uso de AWS CLI para administrarregistros de seguimiento, consulte Administración de registros de seguimiento con la AWSCLI (p. 82). Al crear o actualizar un registro de seguimiento de organización con la AWS CLI,debe utilizar un perfil de AWS CLI en la cuenta maestra con permisos suficientes.Debe configurar el bucket de Amazon S3 utilizado para una registro de seguimiento deorganización con permisos suficientes.

Creación o actualización de un bucket de Amazon S3 parautilizarlo para almacenar los archivos de registro de un registrode seguimiento de organización.Debe especificar un bucket de Amazon S3 para recibir los archivos de registro de un registro deseguimiento de organización. Este bucket debe tener una política que permita a CloudTrail guardar losarchivos de registro de la organización en el bucket.

A continuación, se muestra un ejemplo de política para un bucket de Amazon S3 denominado my-organization-bucket. Este bucket pertenece a una cuenta de AWS con el ID 111111111111, quees la cuenta maestra de una organización con el ID o-exampleorgid que permite utilizar el registro deseguimiento de organización. También permite el registro de la cuenta 111111111111 en caso de que secambie el registro de seguimiento de uno de organización a otro solo para esa cuenta.

Version 1.0100






{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::my-organization-bucket" }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-organization-bucket/AWSLogs/111111111111/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-organization-bucket/AWSLogs/o-exampleorgid/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ]}

Esta política de ejemplo no permite que ningún usuario de las cuentas miembro obtenga acceso a losarchivos de registro creados para la organización. De forma predeterminada, únicamente tendrá acceso alos archivos de registro de organización la cuenta maestra. Para obtener información sobre cómo permitirel acceso de lectura al bucket de Amazon S3 para los usuarios de IAM de las cuentas miembro, consulteCompartición de archivos de registro de CloudTrail entre cuentas de AWS (p. 191).

Habilitación de CloudTrail como servicio de confianza en AWSOrganizationsPara poder crear un registro de seguimiento de organización, primero debe habilitar todas lascaracterísticas en Organizaciones. Para obtener más información, consulte Habilitar todas lascaracterísticas en la organización o ejecute el siguiente comando mediante un perfil con permisossuficientes en la cuenta maestra:

Version 1.0101





aws organizations enable-all-features

Después de habilitar todas las características, debe configurar Organizaciones para que confíe enCloudTrail como un servicio de confianza.

Para crear la relación de servicio de confianza entre AWS Organizations y CloudTrail, abra un terminal ouna línea de comandos y utilice un perfil en la cuenta maestra. Ejecute el comando aws organizationsenable-aws-service-access, como se muestra en el ejemplo siguiente.

aws organizations enable-aws-service-access --service-principal cloudtrail.amazonaws.com

Uso de create-trailCreación de un registro de seguimiento de organización que se aplique a todaslas regionesPara crear un registro de seguimiento de organización que se aplique a todas las regiones, utilice lasopciones --is-organization-trail y --is-multi-region-trail.

Note

Al crear o actualizar un registro de seguimiento de organización con la AWS CLI, debe utilizar unperfil de AWS CLI en la cuenta maestra con permisos suficientes.

El ejemplo siguiente crea un registro de seguimiento de organización que envía registros de todas lasregiones a un bucket existente denominado my-bucket:

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-organization-trail --is-multi-region-trail

Para confirmar que el registro de seguimiento existe en todas las regiones, los elementosIsOrganizationTrail e IsMultiRegionTrail muestran en la salida true:

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket"}

Note

Utilice el comando start-logging para empezar a ejecutar el registro de seguimiento.Para obtener más información, consulte Detención e inicio del registro de un registro deseguimiento (p. 90).

Creación de un registro de seguimiento de organización como registro deseguimiento de una sola regiónEl comando siguiente crea un registro de seguimiento de organización que solo registra eventos en unasola región de AWS, también conocido como registro de seguimiento de una sola región. La región deAWS en la que se registrarán los eventos es la región especificada en el perfil de configuración para laAWS CLI.

Version 1.0102



aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-organization-trail

Para obtener más información, consulte Requisitos de nomenclatura de registros de seguimiento deCloudTrail (p. 111).

Resultados de ejemplo:

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": false, "IsOrganizationTrail": true, "S3BucketName": "my-bucket"}

De forma predeterminada, el comando create-trail crea un registro de seguimiento para una solaregión y ese registro no permite la validación de archivos de registro.

Note

Utilice el comando start-logging para empezar a ejecutar el registro de seguimiento.

Uso de update-trail para actualizar un registro de seguimiento deorganizaciónPuede utilizar el comando update-trail para cambiar las opciones de configuración de un registro deseguimiento de organización o para aplicar un registro de seguimiento existente para una sola cuentade AWS a toda una organización. Al hacerlo, recuerde que puede ejecutar el comando update-trailúnicamente desde la región en la que se creó el registro de seguimiento.

Note

Si utiliza la AWS CLI o uno de los SDK de AWS para modificar un registro de seguimiento,asegúrese de que la política del bucket del registro de seguimiento está actualizada. Para obtenermás información, consulte Creación de un registro de seguimiento para una organización con laAWS Command Line Interface (p. 100).Al crear o actualizar un registro de seguimiento de organización con la AWS CLI, debe utilizar unperfil de AWS CLI en la cuenta maestra con permisos suficientes.

Aplicación de un registro de seguimiento existente a una organización

Para cambiar un registro de seguimiento existente de modo que también se aplique a una organización enlugar de a una sola cuenta de AWS, utilice la opción --is-organization-trail:

aws cloudtrail update-trail --name my-trail --is-organization-trail

Para confirmar que el registro de seguimiento se aplica ahora a la organización, el elementoIsOrganizationTrail del resultado muestra true:

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail",

Version 1.0103

AWS CloudTrail Guía del usuarioObtención y visualización de

archivos de registro de CloudTrail

"LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket"}

En el ejemplo anterior, el registro de seguimiento se configuró previamente para que se aplicara a todaslas regiones ("IsMultiRegionTrail": true). Si hubiera sido un registro de seguimiento que solo seaplicara a una sola región, el resultado sería "IsMultiRegionTrail": false.

Conversión de un registro de seguimiento de organización que se aplica a unasola región en uno que se aplique a todas las regiones

Para cambiar un registro de seguimiento de organización existente de forma que se aplique a todas lasregiones, utilice la opción --is-multi-region-trail:

aws cloudtrail update-trail --name my-trail --is-multi-region-trail

Para confirmar que el registro de seguimiento se aplica ahora a todas las regiones, el elementoIsMultiRegionTrail del resultado muestra true:

{ "IncludeGlobalServiceEvents": true, "Name": "my-trail", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/my-trail", "LogFileValidationEnabled": false, "IsMultiRegionTrail": true, "IsOrganizationTrail": true, "S3BucketName": "my-bucket"}

Obtención y visualización de archivos de registro deCloudTrail

Después de haber creado y configurado un seguimiento para capturar los archivos de registro que desee,tendrá que ser capaz de encontrar los archivos de registro y de interpretar la información que contienen.

CloudTrail envía los archivos de registro al bucket de Amazon S3 que indique al crear el registro deseguimiento. Normalmente, los archivos de registro aparecen en el bucket al cabo de los 15 minutossiguientes de la llamada a la API de AWS grabada u otro evento de AWS. Normalmente, los Insightsevents se envían al bucket tras 30 minutos de actividad inusual. Después de habilitar Insights events porprimera vez, los primeros Insights events aparecen al cabo de 36 horas, si se detecta actividad inusual.

Temas• Búsqueda de los archivos de registro de CloudTrail (p. 104)• Descarga de los archivos de registro de CloudTrail (p. 106)

Búsqueda de los archivos de registro de CloudTrailCloudTrail publica archivos de registro en su bucket de S3, en un archivo gzip. En el bucket de S3, elarchivo de registro tiene un nombre con formato que incluye los siguientes elementos:

Version 1.0104

AWS CloudTrail Guía del usuarioBúsqueda de los archivos de registro de CloudTrail

• El nombre de bucket que ha especificado al crear el registro de seguimiento (que se encuentra en lapágina Trails de la consola de CloudTrail)

• El prefijo (opcional) que haya especificado al crear el registro de seguimiento• La cadena "AWSLogs"• El número de cuenta• La cadena "CloudTrail"• Un identificador de región como, por ejemplo, us-west-1• El año en que se publicó el archivo de registro con el formato YYYY• El mes en que se publicó el archivo de registro con el formato MM• El día en que se publicó el archivo de registro con el formato DD• Cadena alfanumérica que desambigua el archivo de otros que abarcan el mismo período de tiempo

El ejemplo siguiente muestra un nombre de objeto del archivo de registro completo:

bucket_name/prefix_name/AWSLogs/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz

Note

Para los registros de seguimiento de organización, el nombre de objeto del archivo de registroincluye el ID de la unidad organizativa en la ruta, tal y como se indica a continuación:

bucket_name/prefix_name/AWSLogs/OU-ID/Account ID/CloudTrail/region/YYYY/MM/DD/file_name.json.gz

Para recuperar un archivo de registro, puede utilizar la consola de Amazon S3, la interfaz de línea decomandos (CLI) de Amazon S3 o la API.

Para encontrar los archivos de registro con la consola de Amazon S3

1. Abra la consola de Amazon S3.2. Elija el bucket especificado.3. Recorra la jerarquía de objetos hasta que encuentre el archivo de registro que desee.

Todos los archivos de registro tienen la extensión .gz.

Verá una jerarquía de objetos similar a la del siguiente ejemplo, pero con otro nombre de bucket, ID decuenta, región y fecha.

All Buckets Bucket_Name AWSLogs 123456789012 CloudTrail us-west-1 2014 06 20

Un archivo de registro para la jerarquía de objetos anterior se parecerá a lo siguiente:

Version 1.0105

AWS CloudTrail Guía del usuarioDescarga de los archivos de registro de CloudTrail

123456789012_CloudTrail_us-west-1_20140620T1255ZHdkvFTXOA3Vnhbc.json.gz

Note

Aunque es poco frecuente, puede recibir archivos de registro que contengan uno o más eventosduplicados. Los eventos duplicados tendrán el mismo eventID. Para obtener más informaciónacerca del campo eventID, consulte Contenido de los registros de CloudTrail (p. 279).

Descarga de los archivos de registro de CloudTrailLos archivos de registro están en formato JSON. Si tiene un complemento de visor de JSON instalado,puede ver los archivos directamente en el navegador. Haga doble clic en el nombre de archivo de registroen el bucket para abrir una nueva ventana o pestaña del navegador. El código JSON se muestra enformato legible.

Por ejemplo, si utiliza Mozilla Firefox, también puede descargar el complemento JSONView. ConJSONView puede hacer doble clic en el archivo .gz comprimido en su bucket para abrir el archivo deregistro en formato JSON.

Los archivos de registro de CloudTrail son objetos de Amazon S3. Puede utilizar la consola de Amazon S3,la AWS Command Line Interface (CLI) o la API de Amazon S3 para recuperar los archivos de registro.

Para obtener más información, consulte Trabajo con objetos de Amazon S3 en la Guía paradesarrolladores de Amazon Simple Storage Service.

En el procedimiento siguiente se describe cómo descargar un archivo de registro con la Consola deadministración de AWS.

Para descargar y leer un archivo de registro

1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.2. Elija el bucket y el archivo de registro que desea descargar.3. Elija Descargar o Descargar como y siga las instrucciones para guardar el archivo. Se guarda en

formato comprimido.

Note

Algunos navegadores, como Chrome, extraen automáticamente el archivo de registroautomáticamente. Si lo hace así su navegador, vaya al paso 5.

4. Utilice un producto como 7-Zip para extraer el archivo de registro.5. Abra el archivo de registro en un editor de texto como Notepad++.

Para obtener más información sobre los campos de eventos que pueden aparecer en una entrada dearchivo de registro, consulte Referencia de eventos de registro de CloudTrail (p. 277).

AWS colabora con terceros especialistas en el registro y análisis para proporcionar soluciones que usan lainformación de CloudTrail. Para obtener más información, consulte Red de socios de AWS: socios de AWSCloudTrail.

Note

También puede utilizar la característica Event history para buscar eventos con el fin de crear,actualizar y eliminar la actividad de la API durante los últimos 90 días.Para obtener más información, consulte Ver eventos con el historial de eventos deCloudTrail (p. 44).

Version 1.0106

https://addons.mozilla.org/en-us/firefox/addon/jsonview

https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingObjects.html

https://console.aws.amazon.com/s3/

http://www.7-zip.org

https://aws.amazon.com/cloudtrail/partners

https://aws.amazon.com/cloudtrail/partners

AWS CloudTrail Guía del usuarioConfiguración de notificaciones

de Amazon SNS para CloudTrail

Configuración de notificaciones de Amazon SNSpara CloudTrail

Puede recibir una notificación cada vez que CloudTrail publique nuevos archivos de registro en su bucketde Amazon S3. Además, puede administrar las notificaciones con Amazon Simple Notification Service(Amazon SNS).

Las notificaciones son opcionales. Si desea recibir notificaciones, configure CloudTrail para que envíeinformación actualizada sobre un tema de Amazon SNS cada vez que se envíe un archivo de registronuevo. Para recibir estas notificaciones, puede utilizar Amazon SNS para suscribirse al tema. Comosuscriptor puede obtener las actualizaciones enviadas a una cola de Amazon Simple Queue Service(Amazon SQS), lo que le permite gestionar estas notificaciones mediante programa.

Temas• Configuración de CloudTrail para enviar notificaciones (p. 107)

Configuración de CloudTrail para enviar notificacionesPuede configurar un registro de seguimiento para utilizar un tema de Amazon SNS. Puede utilizar laconsola de CloudTrail o el comando aws cloudtrail create-trail de la CLI para crear el tema. CloudTrail creael tema de Amazon SNS automáticamente y asocia una política adecuada, de forma que CloudTrail tengapermiso para publicar en ese tema.

Los nombres de tema de SNS creados deben cumplir los siguientes requisitos:

• Deben tener entre 1 y 256 caracteres.• Deben contener letras ASCII en mayúsculas y minúsculas, números, guiones bajos o guiones.

Cuando configure notificaciones de un registro de seguimiento aplicable a todas las regiones, lasnotificaciones de todas las regiones se envían al tema de Amazon SNS que haya especificado. Si tieneuno o varios registros de seguimiento específicos de una región, será preciso que cree un tema para cadaregión y que se suscriba a cada uno por individual.

Para recibir notificaciones, suscríbase al tema o los temas de Amazon SNS que utiliza CloudTrail. Estose hace con la consola de Amazon SNS o los comandos de la CLI de Amazon SNS. Para obtener másinformación, consulte Suscribirse a un tema en la Guía para desarrolladores de Amazon Simple NotificationService.

Note

CloudTrail envía una notificación cuando los archivos de registro se escriben en el bucket deAmazon S3. Las cuentas activas pueden generar un gran número de notificaciones. Si se suscribemediante correo electrónico o SMS, puede recibir un gran volumen de mensajes. Se recomiendaque se suscriba con Amazon Simple Queue Service (Amazon SQS), puesto que le permitegestionar las notificaciones mediante programación. Para obtener más información, consulte eltema sobre cómo subscribir una cola a un tema de Amazon SNS en la Guía para desarrolladoresde Amazon Simple Queue Service.

La notificación Amazon SNS consta de un objeto JSON que incluye un campo Message. El campoMessage muestra la ruta completa al archivo de registro, tal y como aparece En el ejemplo siguiente:

{ "s3Bucket": "your-bucket-name","s3ObjectKey": ["AWSLogs/123456789012/CloudTrail/us-east-2/2013/12/13/123456789012_CloudTrail_us-west-2_20131213T1920Z_LnPgDQnpkSKEsppV.json.gz"]

Version 1.0107

https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-trail.html

https://docs.aws.amazon.com/sns/latest/dg/SubscribeTopic.html

https://docs.aws.amazon.com/AWSSimpleQueueService/latest/SQSDeveloperGuide/sqssubscribe.html

AWS CloudTrail Guía del usuarioControlar los permisos de usuario para CloudTrail

}

Si se envían múltiples archivos de registro al bucket de Amazon S3 es posible que las notificacionescontengan varios registros, tal como se muestra En el ejemplo siguiente:

{ "s3Bucket": "your-bucket-name", "s3ObjectKey": [ "AWSLogs/123456789012/CloudTrail/us-east-2/2016/08/11/123456789012_CloudTrail_us-east-2_20160811T2215Z_kpaMYavMQA9Ahp7L.json.gz", "AWSLogs/123456789012/CloudTrail/us-east-2/2016/08/11/123456789012_CloudTrail_us-east-2_20160811T2210Z_zqDkyQv3TK8ZdLr0.json.gz", "AWSLogs/123456789012/CloudTrail/us-east-2/2016/08/11/123456789012_CloudTrail_us-east-2_20160811T2205Z_jaMVRa6JfdLCJYHP.json.gz" ]}

Si decide recibir notificaciones por correo electrónico, el cuerpo del mensaje incluirá el contenido delcampo Message. Para obtener una descripción completa de la estructura JSON, consulte el tema sobrecómo enviar mensajes de Amazon SNS a las colas de Amazon SQS en la Guía para desarrolladores deAmazon Simple Notification Service. Solo el campo Message muestra información de CloudTrail. Losdemás campos contienen información del servicio de Amazon SNS.

Si crea un registro de seguimiento con la API de CloudTrail, podrá especificar un tema de Amazon SNSque ya exista al que quiera que CloudTrail envíe notificaciones con las operaciones CreateTrailo UpdateTrail. Debe asegurarse de que el tema existe y que tiene los permisos necesarios paraque CloudTrail pueda enviarle notificaciones. Consulte Política de temas de Amazon SNS paraCloudTrail (p. 254).

Recursos adicionalesPara obtener más información acerca de los temas de Amazon SNS y suscribirse a ellos, consulte la Guíapara desarrolladores de Amazon Simple Notification Service.

Controlar los permisos de usuario para CloudTrailAWS CloudTrail se integra con AWS Identity and Access Management (IAM), lo que le permite controlar elacceso a CloudTrail y a otros recursos de AWS que requiere CloudTrail, incluidos los buckets de AmazonS3 y los temas de Amazon Simple Notification Service (Amazon SNS). Puede utilizar AWS Identity andAccess Management para controlar qué usuarios de AWS pueden crear, configurar o eliminar registrosde seguimiento de AWS CloudTrail, comenzar y detener el registro y tener acceso a los buckets quecontienen información de registro. Para obtener más información, consulte Administración de identidades yaccesos en AWS CloudTrail (p. 231).

Los siguientes temas también pueden ayudarle a comprender los permisos, las políticas y la seguridad deCloudTrail:

• Requisitos de nomenclatura para buckets de Amazon S3 (p. 111)• Política de bucket de Amazon S3 para CloudTrail (p. 249)• Un ejemplo de política de bucket para el registro de seguimiento de una organización en Creación de un

registro de seguimiento para una organización con la AWS Command Line Interface (p. 100).• Política de temas de Amazon SNS para CloudTrail (p. 254)• Cifrado de archivos de registro de CloudTrail con claves administradas de AWS KMS (SSE-

KMS) (p. 265)

Version 1.0108

https://docs.aws.amazon.com/sns/latest/dg/SendMessageToSQS.html

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_CreateTrail.html

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_UpdateTrail.html

https://docs.aws.amazon.com/sns/latest/dg/


AWS CloudTrail Guía del usuarioConsejos para la administración de registros de seguimiento

• Política de claves predeterminada creada en la consola de CloudTrail (p. 273)• Concesión de permisos para ver la información de AWS Config en la consola de CloudTrail (p. 248)• Compartición de archivos de registro de CloudTrail entre cuentas de AWS (p. 191)• Permisos necesarios para crear un registro de seguimiento de organización (p. 93)• Usar un rol de IAM previamente existente para agregar la monitorización de un registro de seguimiento

de organización a Amazon CloudWatch Logs (p. 94)

Consejos para la administración de registros deseguimiento

• A partir del 12 de abril de 2019, los registros de seguimiento solo serán visibles en las regiones deAWS en las que registren eventos. Si crea un registro de seguimiento que registre eventos en todaslas regiones de AWS, aparecerá en la consola en todas las regiones de AWS. Si crea un registro deseguimiento que solo registra los eventos en una región de AWS, podrá verlo y administrarlo únicamenteen esa región de AWS.

• Para editar un registro de seguimiento de la lista, elija el nombre del registro.• Configure al menos un registro de seguimiento que se aplique a todas las regiones, de forma que reciba

archivos de registro de todas las regiones de su cuenta.• Para registrar eventos de una región concreta y enviar los archivos de registro a un bucket de S3 en la

misma región, puede actualizar el registro de seguimiento para aplicarlo a una única región. Esto resultaútil si desea conservar los archivos de registro separados. Por ejemplo, es posible que desee que losusuarios administren sus propios registros en regiones concretas, o separar las alarmas de CloudWatchLogs por región.

• Para registrar eventos de varias cuentas de AWS en un solo registro de seguimiento, considere laposibilidad de crear una organización en AWS Organizations y, a continuación, crear un registro deseguimiento de organización.

• La creación de varios registros de seguimiento generará costos adicionales. Para obtener másinformación sobre los precios, consulte AWS CloudTrail Precios.

Temas• Administración de los costos de CloudTrail (p. 109)• Requisitos de nomenclatura de registros de seguimiento de CloudTrail (p. 111)• Requisitos de nomenclatura para buckets de Amazon S3 (p. 111)• Requisitos de asignación del nombre del alias a AWS KMS (p. 112)

Administración de los costos de CloudTrailComo práctica recomendada, le recomendamos utilizar las herramientas y los servicios de AWS quepueden ayudarle a administrar los costos de CloudTrail. También puede configurar y administrar losregistros de seguimiento de CloudTrail de forma que capture los datos que necesita y, al mismo tiempo,le siga resultando rentable. Para obtener más información acerca de los precios de CloudTrail, consultePrecios de AWS CloudTrail.

Herramientas para ayudar a administrar los costosPresupuestos de AWS, una característica de AWS Billing and Cost Management, le permite definirpresupuestos personalizados que le avisan cuando los costos o el uso superan (o se prevé que superen)el importe presupuestado.

Version 1.0109



AWS CloudTrail Guía del usuarioAdministración de los costos de CloudTrail

Cuando cree varios registros de seguimiento, le recomendamos crear un presupuesto para CloudTrailmediante Presupuestos de AWS, ya que puede ayudarle a realizar un seguimiento de los gastos deCloudTrail Los presupuestos basados en costos ayudan a tomar conciencia sobre cuánto se le facturarápor el uso de CloudTrail. Las alertas de presupuesto le notifican el momento en que su factura alcanzael límite que ha definido. Cuando reciba una alerta de presupuesto, puede realizar cambios antes de quefinalice el ciclo de facturación para administrar los costos.

Después de crear un presupuesto, puede utilizar Cost Explorer de AWS para descubrir cómo los costosde CloudTrail repercuten en la factura global de AWS. En Cost Explorer de AWS. después de añadirCloudTrail al filtro Service (Servicio), puede comparar los gastos históricos de CloudTrail con los gastosdel mes hasta la fecha (MTD) actuales, por región y cuenta. Esta característica le ayuda a monitorizary detectar costos inesperados en sus gastos mensuales de CloudTrail. Las características adicionalesde Cost Explorer le permiten comparar los gastos de CloudTrail con los gastos mensuales en el nivel derecursos específico, proporcionando información sobre lo que podría estar propiciando el aumento o ladisminución de los costos en su factura.

Para comenzar a utilizar Presupuestos de AWS, abra AWS Billing and Cost Management y, a continuación,elija Budgets (Presupuestos) en la barra de navegación izquierda. Le recomendamos configurar alertas depresupuesto cuando cree un presupuesto para realizar un seguimiento de los gastos de CloudTrail. Paraobtener más información acerca de cómo utilizar Presupuestos de AWS, consulte Gestión de costos conpresupuestos y Prácticas recomendadas para Presupuestos de AWS.

Configuración de registros de seguimientoCloudTrail ofrece flexibilidad en la configuración de registros de seguimiento en su cuenta. Algunasdecisiones que toma durante el proceso de configuración requieren que conozca las repercusiones en lafactura de CloudTrail. A continuación se muestran ejemplos de cómo las configuraciones de registro deseguimiento pueden repercutir en su factura de CloudTrail.

Creación de varios registros de seguimiento

La primera entrega de cada evento de administración de una cuenta es gratuita. Si crea más registrosde seguimiento que envían los mismos eventos de administración a otros destinos, las entregasposteriores incurrirán en costos de CloudTrail. Puede hacerlo para permitir que diferentes grupos deusuarios (tales como desarrolladores, personal de seguridad y auditores de TI) reciban sus propiascopias de los archivos de registro. En el caso de eventos de datos, todas las entregas incurren encostos de CloudTrail, incluida la primera.

A medida que crea más registros de seguimiento, es especialmente importante estar familiarizado conlos registros y comprender los tipos y los volúmenes de eventos generados por los recursos de sucuenta. Esto le ayuda a prever el volumen de eventos que están asociados a una cuenta y a planificarlos costos de registro de seguimiento. Por ejemplo, el uso del cifrado en el servidor administradopor AWS KMS (SSE-KMS) en los buckets de S3 puede dar lugar a un gran número de eventos deadministración de AWS KMS en CloudTrail. Los volúmenes de mayor tamaño de eventos en variosregistros de seguimiento también pueden repercutir en los costos.

Para ayudar a limitar el número de eventos que se registran en el registro de seguimiento, puedefiltrar los eventos de AWS KMS seleccionando No en Log AWS KMS events (Registrar eventos deAWS KMS) en las páginas Create trail (Crear registro de seguimiento) o Update trail (Actualizarregistro de seguimiento). Para obtener más información, consulte Creación de un registro deseguimiento (p. 69) o Actualización de un registro de seguimiento (p. 74) en esta guía.

AWS Organizations

Al configurar un registro de seguimiento de Organizaciones con CloudTrail, CloudTrail replica elregistro de seguimiento en cada cuenta miembro de su organización. Se crea el nuevo registro deseguimiento, además de los registros de seguimiento existentes en las cuentas miembro. Asegúresede que la configuración del registro de seguimiento principal coincide con la forma en que deseaque los registros de seguimiento se configuren en todas las cuentas de una organización, ya que laconfiguración del registro de seguimiento principal se propaga a todas las cuentas.

Version 1.0110

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-best-practices.html#budgets-best-practices-alerts

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-create.html

https://console.aws.amazon.com/billing

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-managing-costs.html


https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/budgets-best-practices.html

AWS CloudTrail Guía del usuarioRequisitos de nomenclatura de

registros de seguimiento de CloudTrail

Dado que Organizaciones crea un registro de seguimiento en cada cuenta miembro, una cuentamiembro individual que crea un registro de seguimiento adicional para recopilar los mismos eventosde administración que el registro de seguimiento de Organizaciones recopila una segunda copiade los eventos. La segunda copia se cobra en la cuenta. Del mismo modo, si una cuenta tiene unregistro de seguimiento de varias regiones y crea un segundo registro de seguimiento en de una únicaregión para recopilar los mismos eventos de administración que el registro de seguimiento de variasregiones, el registro de seguimiento de una única región envía una segunda copia de los eventos. Seaplican cargos a la segunda copia.

Véase también• Precios de AWS CloudTrail• Gestión de costos con presupuestos• Comenzar a usar Cost Explorer• Prepararse para crear un registro de seguimiento para la organización (p. 93)

Requisitos de nomenclatura de registros deseguimiento de CloudTrailLos nombres de los registros de seguimiento de CloudTrail deben cumplir los requisitos siguientes:

• Deben contener solo letras ASCII (a-z, A-Z), números (0-9), puntos (.), guiones bajos (_) y guiones (-).• Deben empezar por una letra o un número y terminar con una letra o un número.• Deben tener entre 3 y 128 caracteres.• No deben tener puntos, guiones bajo o guiones adyacentes. Nombres como mi-_espaciodenombres y

mi-\-espaciodenombres no son válidos.• No deben tener el formado de una dirección IP (por ejemplo, 192.168.5.4).

Requisitos de nomenclatura para buckets de AmazonS3El bucket de Amazon S3 que utiliza para almacenar archivos de registro de CloudTrail debe tener unnombre que cumpla los requisitos de nomenclatura para las regiones que no siguen los estándares deEE. UU. Amazon S3 define un nombre de bucket como una serie de una o varias etiquetas, separadas porpuntos, que se atiene a las reglas siguientes:

• El nombre del bucket puede tener entre 3 y 63 caracteres y puede contener únicamente caracteres enminúsculas, números, puntos y guiones.

• Cada etiqueta en el nombre del bucket debe empezar por un carácter en minúsculas o un número.• El nombre del bucket no puede contener guiones bajos, terminar en guion, puntos suspensivos ni utilizar

guiones junto con puntos.• El nombre del bucket no puede tener el formato de una dirección IP (198.51.100.24).

Warning

Dado que S3 permite que el bucket se pueda utilizar como una dirección URL con accesopúblico, el nombre del bucket que elija deberá ser único de forma global. Si hay otra cuenta queya haya creado un bucket con el nombre que eligió, deberá utilizar otro nombre. Para obtener

Version 1.0111



https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/ce-getting-started.html

AWS CloudTrail Guía del usuarioRequisitos de asignación del nombre del alias a AWS KMS

más información, consulte Bucket Restrictions and Limitations en Guía para desarrolladores deAmazon Simple Storage Service.

Requisitos de asignación del nombre del alias a AWSKMSAl crear una clave maestra del cliente (CMK), puede elegir un alias para identificarla. Por ejemplo, puedeelegir el alias "KMS-CloudTrail-us-west-2" para cifrar los registros de un registro de seguimiento específico.

El alias debe cumplir los siguientes requisitos:

• Entre 1 y 32 caracteres, incluidos• Contener caracteres alfanuméricos (A-Z, a-z, 0-9), guiones (-), barras oblicuas (/) y guiones bajos (_)• No puede empezar con aws

Para obtener más información, consulte Creación de claves en la AWS Key Management ServiceDeveloper Guide.

Uso de AWS CloudTrail con los puntos de conexiónde la VPC de tipo interfaz

Si utiliza Amazon Virtual Private Cloud (Amazon VPC) para alojar sus recursos de AWS puede estableceruna conexión privada entre su VPC y AWS CloudTrail. Puede utilizar esta conexión para habilitar queCloudTrail se comunique con sus recursos en su VPC sin pasar por la red pública de Internet.

Amazon VPC es un servicio de AWS que puede utilizar para lanzar recursos de AWS en una red virtualque usted defina. Con una VPC, puede controlar la configuración de la red, como el rango de direccionesIP, las subredes, las tablas de ruteo y las gateways de red. Con puntos de conexión de la VPC, elenrutamiento entre la VPC y servicios de AWS se controlan mediante la red de AWS y puede utilizar IAMpolíticas para controlar el acceso a los recursos de servicio.

Para conectar su VPC a CloudTrail, debe definir un punto de enlace de la VPC de tipo interfaz paraCloudTrail. Un punto de enlace de interfaz es una interfaz de red elástica con una dirección IP privadaque actúa como punto de entrada para el tráfico dirigido a un servicio de AWS compatible. El punto deenlace ofrece conectividad escalable de confianza con CloudTrail sin necesidad de utilizar una gatewayde Internet, una instancia de conversión de las direcciones de red (NAT) o una conexión de VPN. Paraobtener más información, consulte ¿Qué es Amazon VPC? en la Guía del usuario de Amazon VPC.

Los puntos de conexión de la VPC de tipo interfaz utilizan la tecnología de AWS PrivateLink, unatecnología de AWS que permite la comunicación privada entre los servicios de AWS mediante una interfazde red elástica con direcciones IP privadas. Para obtener más información, consulte AWS PrivateLink.

Los siguientes pasos son para usuarios de Amazon VPC. Para obtener más información, consulteIntroducción en la Guía del usuario de Amazon VPC.

Disponibilidad.CloudTrail actualmente admite puntos de conexión de la VPC en las regiones AWS siguientes:

• EE.UU. Este (Ohio)• US East (N. Virginia)

Version 1.0112

https://docs.aws.amazon.com/AmazonS3/latest/dev/BucketRestrictions.html

https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html

https://docs.aws.amazon.com/vpc/latest/userguide/

https://aws.amazon.com/privatelink/

https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html

AWS CloudTrail Guía del usuarioCrear un punto de conexión de la VPC para CloudTrail

• EE.UU. Oeste (Norte de California)• EE.UU. Oeste (Oregón)• África (Ciudad del Cabo)• Asia Pacífico (Mumbai)• Asia Pacífico (Osaka-local)• Asia Pacífico (Seúl)• Asia Pacífico (Singapur)• Asia Pacífico (Sídney)• Asia Pacífico (Tokio)• Canadá (Central)• Europa (Fráncfort)• Europa (Irlanda)• Europa (Londres)• Europa (Milán)• Europa (París)• Europa (Estocolmo)• Medio Oriente (Baréin)• América del Sur (São Paulo)• AWS GovCloud (EE.UU. Este)• AWS GovCloud (US-West)

Crear un punto de conexión de la VPC para CloudTrailPara comenzar a utilizar CloudTrail con su VPC, cree un punto de enlace de la VPC de tipo interfaz paraCloudTrail. Para obtener más información, consulte Creación de un punto de enlace de interfaz en la Guíadel usuario de Amazon VPC.

No es necesario cambiar la configuración de CloudTrail. CloudTrail llama a otros AWS servicios de enlacepúblicos o privados mediante interfaz de enlace de la VPC, están en uso.

Version 1.0113

https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint.html


Uso de archivos de registro deCloudTrail

Puede realizar tareas más avanzadas con sus archivos de CloudTrail.

• Crear varios registros de seguimiento por región• Monitorice los archivos de registro de CloudTrail enviándolos a CloudWatch Logs.• Compartir archivos de registro entre cuentas• Utilizar la biblioteca de procesamiento de AWS de CloudTrail para escribir aplicaciones de

procesamiento de registros en Java.• Valide sus archivos de registro para comprobar que no han cambiado después de haber sido enviados

por CloudTrail.

Cuando se produce un evento en su cuenta, CloudTrail evalúa si coincide con la configuración de susregistros de seguimiento. Solo se envían al bucket de Amazon S3 y al grupo de registro de AmazonCloudWatch Logs los eventos que coinciden con la configuración del registro de seguimiento.

Puede configurar varios registros de seguimiento de forma distinta, de modo que procesen y registrenúnicamente los eventos que especifique. Por ejemplo, un registro de seguimiento puede registrar eventosde datos de solo lectura y de administración, con el fin de que todos los eventos de solo lectura se incluyanen un bucket de S3. Otro registro de seguimiento puede registrar únicamente eventos en datos de soloescritura y de gestión, con el fin de que todos los eventos de solo escritura se incluyan en un bucket de S3específico.

También puede configurar sus registros de seguimiento con un registro para que envíe todos los eventosde administración a un bucket de S3, y otro que registre y envíe todos los eventos de datos a otro bucketde S3.

Puede configurar sus registros de seguimiento para que registren lo siguiente:

• Datos de eventos (p. 121): estos eventos proporcionan visibilidad de las operaciones realizadas en unrecurso o dentro de él. Se denominan también operaciones del plano de datos.

• Eventos de administración (p. 117): proporcionan visibilidad de las operaciones de administración quese realizan en los recursos de su cuenta de AWS. Se denominan también operaciones del plano decontrol. Los eventos de administración también pueden incluir eventos no generados por la API que seproducen en su cuenta. Por ejemplo, cuando un usuario inicia sesión en su cuenta, CloudTrail registrael evento ConsoleLogin. Para obtener más información, consulte Eventos no generados por la APIcapturados por CloudTrail (p. 292).

Note

No todos los servicios de AWS admiten eventos de CloudTrail. Para obtener más informaciónacerca de los servicios compatibles, consulte Servicios e integraciones compatibles conCloudTrail (p. 21). Para obtener información detallada sobre las API que se registran paraun determinado servicio, consulte la documentación del servicio en Servicios e integracionescompatibles con CloudTrail (p. 21).

• Insights events (p. 129): los Insights events capturan la actividad inusual que se detecta en su cuenta.Si ha habilitado Insights events y CloudTrail detecta actividad inusual, se registran Insights events en

Version 1.0114

AWS CloudTrail Guía del usuarioCrear varios registros de seguimiento

el bucket de S3 de destino para su registro de seguimiento, pero en una carpeta diferente. Tambiénpuede ver el tipo de evento de Insights y el periodo de tiempo del incidente consultando los Insightsevents en la consola de CloudTrail. A diferencia de otros tipos de eventos capturados en un registro deseguimiento de CloudTrail, los Insights events solo se registran cuando CloudTrail detecta cambios en eluso de la API de su cuenta que difieren considerablemente de los patrones de uso típicos de la cuenta.

Los Insights events se generan solo para las API de administración write.

Temas• Crear varios registros de seguimiento (p. 115)• Registro de eventos de administración para registros de seguimiento (p. 117)• Registro de eventos de datos para registros de seguimiento (p. 121)• Registro de eventos de Insights para registros de seguimiento (p. 129)• Recibir archivos de registro de CloudTrail de varias regiones (p. 133)• Monitoreo de archivos de registro de CloudTrail con Amazon CloudWatch Logs (p. 134)• Recepción de archivos de registro de CloudTrail de varias cuentas (p. 188)• Compartición de archivos de registro de CloudTrail entre cuentas de AWS (p. 191)• Validación de la integridad de los archivos de registro de CloudTrail (p. 200)• Uso de la CloudTrail Processing Library (p. 221)

Crear varios registros de seguimientoPuede utilizar los archivos de registro de CloudTrail para solucionar problemas de funcionamientoo seguridad en su cuenta de AWS. Puede crear registros de seguimiento para diferentes usuarios,que pueden crear y administrar sus propios registros de seguimiento. Puede configurar registros deseguimiento para enviar archivos de registro a buckets de S3 diferentes o buckets de S3 compartidos.

Note

La creación de varios registros de seguimiento generará costos adicionales. Para obtener másinformación, consulte Precios de AWS CloudTrail.

Por ejemplo, es posible que tenga los siguientes usuarios:

• Un administrador de seguridad crea un registro de seguimiento en Región de Europa (Irlanda) yconfigura el cifrado de los archivos de registro de KMS. El registro de seguimiento entrega los archivosde registro a un bucket de S3 en Región de Europa (Irlanda).

• Un auditor de TI crea un registro de seguimiento en Región de Europa (Irlanda) y configura la validaciónde la integridad de los archivos de registro para garantizar que estos no han cambiado desde queCloudTrail los entregó. El registro de seguimiento está configurado para entregar archivos de registro aun bucket de S3 en Región de Europa (Fráncfort)

• Un desarrollador crea un registro de seguimiento en Región de Europa (Fráncfort) y configura alarmasde CloudWatch para recibir notificaciones de la actividad específica de la API. El registro de seguimientocomparte el mismo bucket de S3 que ha configurado el registro de seguimiento para la integridad de losarchivos de registro.

• Otro desarrollador crea un registro de seguimiento en Región de Europa (Fráncfort) y configura SNS.Los archivos de registro se entregan en un bucket de S3 diferente de Región de Europa (Fráncfort).

La imagen siguiente ilustra este ejemplo.

Version 1.0115


AWS CloudTrail Guía del usuarioCrear varios registros de seguimiento

Note

Puede crear hasta cinco registros de seguimiento por región. Un registro de seguimiento queregistra la actividad de todas las regiones cuenta como un registro de seguimiento por región.

Puede utilizar los permisos de nivel de recursos para administrar la capacidad de un usuario de realizaroperaciones específicas en CloudTrail.

Por ejemplo, puede conceder a un usuario permiso para ver la actividad del registro de seguimiento, peroimpedir que inicie o detenga dicho registro. Puede conceder a otro usuario permiso completo para creary eliminar registros de seguimiento. De este modo, dispondrá de control exhaustivo de los registros deseguimiento y el acceso de los usuarios.

Para obtener más información sobre los permisos de nivel de recursos, consulte Ejemplos: Creación yaplicación de políticas para acciones en registros de seguimiento específicos (p. 241).

Para obtener más información sobre varios registros de seguimiento, consulte los siguientes recursos:

• ¿Cómo se comporta CloudTrail a nivel regional y global? (p. 10)• Preguntas frecuentes de CloudTrail

Version 1.0116

https://aws.amazon.com/cloudtrail/faqs/

AWS CloudTrail Guía del usuarioRegistro de eventos de administración

para registros de seguimiento

Registro de eventos de administración pararegistros de seguimiento

De forma predeterminada, los registros de seguimiento registran todos los eventos de administración y noincluyen los eventos de datos ni de Insights. Se aplican cargos adicionales por los eventos de datos o deInsights. Para obtener más información, consulte Precios de AWS CloudTrail.

Contenido• Eventos de administración (p. 117)

• Registro de eventos de administración con la Consola de administración de AWS (p. 117)• Eventos de solo lectura y de solo escritura (p. 118)• Registro de eventos con la AWS Command Line Interface (p. 119)• Registro de eventos con el SDK de AWS (p. 121)• Envío de eventos a Amazon CloudWatch Logs (p. 121)

Eventos de administraciónLos eventos de administración proporcionan visibilidad de las operaciones de administración que serealizan en los recursos de una cuenta de AWS. Se denominan también operaciones del plano de control.Algunos ejemplos de eventos de administración son los siguientes:

• Configuración de la seguridad (por ejemplo, operaciones de la API AttachRolePolicy de IAM)• Registro de dispositivos (por ejemplo, operaciones de la API CreateDefaultVpc de Amazon EC2)• Configuración de reglas para el direccionamiento de datos (por ejemplo, operaciones de la APICreateSubnet de Amazon EC2)

• Configuración del registro (por ejemplo, operaciones de la API CreateTrail de AWS CloudTrail)

Los eventos de administración también pueden incluir eventos no generados por la API que se producenen su cuenta. Por ejemplo, cuando un usuario inicia sesión en su cuenta, CloudTrail registra el eventoConsoleLogin. Para obtener más información, consulte Eventos no generados por la API capturadospor CloudTrail (p. 292). Para obtener una lista de eventos de administración compatibles que CloudTrailregistra para servicios de AWS, consulte Servicios e integraciones compatibles con CloudTrail (p. 21).

De forma predeterminada, los registros de seguimiento están configurados para registrar eventos deadministración. Para obtener una lista de eventos de administración compatibles que CloudTrail registrapara servicios de AWS, consulte Servicios e integraciones compatibles con CloudTrail (p. 21).

Note

La característica Event history de CloudTrail admite únicamente eventos de administración. Enel historial de eventos no se admiten todos los eventos de administración. Para obtener másinformación, consulte Ver eventos con el historial de eventos de CloudTrail (p. 44).

Registro de eventos de administración con la Consola deadministración de AWS1. Diríjase a la página Trails de la consola de CloudTrail y elija el registro de seguimiento.2. Para Management events, haga clic en el icono de lápiz.

• Para Read/Write events, elija si desea que su registro de seguimiento recoja All, Read-only, Write-only o None y, a continuación, elija Save.

Version 1.0117


AWS CloudTrail Guía del usuarioEventos de solo lectura y de solo escritura

• En Log AWS KMS events (Registrar eventos de AWS KMS), elija Yes (Sí) para registrar eventos deAWS Key Management Service (AWS KMS) en su registro de seguimiento. Elija No para sacar loseventos de AWS KMS de su registro de seguimiento. El valor predeterminado es Yes (Sí).

En general, las acciones de AWS KMS como Encrypt, Decrypt y GenerateDataKey generanun gran volumen (más del 99 %) de eventos. Estas acciones se registran ahora como eventosde lectura. Las acciones de AWS KMS relevantes de bajo volumen, como Disable, Delete yScheduleKey (que normalmente representan menos del 0,5 % del volumen de eventos de AWSKMS) se registran como eventos de escritura.

Para excluir eventos de gran volumen como Encrypt, Decrypt y GenerateDataKey, y seguirregistrando eventos relevantes como Disable, Delete y ScheduleKey, elija registrar eventos deadministración de solo escritura y elija Sí en Registrar eventos de AWS KMS.

Cuando termine, elija Save (Guardar).

Eventos de solo lectura y de solo escrituraCuando configure su registro de seguimiento para registrar eventos de administración, puede indicar sidesea que se registren eventos de solo lectura, de solo escritura, ambos o ninguno.

• Solo lectura

Los eventos de solo lectura incluyen los roles de API que leen sus recursos, pero no realizancambios. Por ejemplo, los eventos de solo lectura incluyen los roles de API de Amazon EC2DescribeSecurityGroups y DescribeSubnets. Estas funciones devuelven únicamente informaciónsobre sus recursos de Amazon EC2 y no cambian las configuraciones.

• Solo escritura

Los eventos de solo escritura incluyen funciones de API que modifican (o podrían modificar)sus recursos. Por ejemplo, las operaciones de API de Amazon EC2 RunInstances yTerminateInstances modifican sus instancias.

• Todo

Su registro de seguimiento registra ambas.• Ninguno

Su registro de seguimiento no registra eventos de administración de solo lectura ni de solo escritura.

Ejemplo: Registro de eventos de solo lectura y de solo escritura en registros de seguimientoindividuales

El ejemplo siguiente muestra cómo puede configurar registros de seguimiento para dividir la actividadde registro de una cuenta en diferentes buckets de S3: un bucket recibe los eventos de solo lectura y unsegundo bucket, aquellos de solo escritura.

1. Usted crea un registro de seguimiento y elige un bucket de S3 llamado read-only-bucket pararecibir los archivos de registro. A continuación, actualiza el registro de seguimiento para indicar quedesea registrar los eventos de administración de solo lectura.

2. Usted crea un segundo registro de seguimiento y elige un bucket de S3 denominado write-only-bucket para recibir los archivos de registro. A continuación, actualiza el registro de seguimiento paraindicar que desea registrar los eventos de administración de solo escritura.

3. En su cuenta se generan los roles de API de Amazon EC2 DescribeInstances yTerminateInstances.

Version 1.0118

AWS CloudTrail Guía del usuarioRegistro de eventos con la AWS Command Line Interface

4. La operación de API DescribeInstances es un evento de solo lectura y coincide con laconfiguración del primer registro de seguimiento. El registro de seguimiento registra y envía el eventoal read-only-bucket.

5. La operación de API TerminateInstances es un evento de solo escritura y coincide con laconfiguración del segundo registro de seguimiento. El registro de seguimiento registra y envía elevento al write-only-bucket.

Registro de eventos con la AWS Command LineInterfacePuede configurar sus registros de seguimiento para que registren los eventos de administración con laAWS CLI.

Para saber si su registro de seguimiento está registrando los eventos de administración, ejecute elcomando get-event-selectors.


El ejemplo siguiente devuelve la configuración predeterminada de un registro de seguimiento. De formapredeterminada, los registros de seguimiento registran todos los eventos de administración, registran loseventos de todos los orígenes de eventos y no registran los eventos de datos.

{ "EventSelectors": [ { "ExcludeManagementEventSources": [], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}

Para configurar el registro de seguimiento para que registre los eventos de administración, ejecuteel comando put-event-selectors. El ejemplo siguiente muestra cómo configurar su registro deseguimiento para que incluya todos los eventos de administración para dos objetos de S3. Puedeespecificar entre 1 y 5 selectores de eventos en los registros de seguimiento. Puede especificar entre 1 y250 recursos de datos en los registros de seguimiento.

Note

El número máximo de recursos de datos de S3 es 250, independientemente del número deselectores de eventos.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2"] }] }]'

El ejemplo siguiente devuelve el selector de eventos configurado para el registro de seguimiento.

{ "EventSelectors": [ { "ExcludeManagementEventSources": [],

Version 1.0119


"IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2", ], "Type": "AWS::S3::Object" } ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}

Para excluir los eventos de AWS Key Management Service (AWS KMS) del registro de seguimiento,ejecute el comando put-event-selectors y añada el atributo ExcludeManagementEventSourcescon un valor de kms.amazonaws.com. En el ejemplo siguiente se crea un selector de eventos para unregistro de seguimiento denominado TrailName que incluye eventos de administración de solo lecturay de solo escritura, pero excluye los eventos de AWS KMS. Como AWS KMS puede generar un granvolumen de eventos, el usuario de este ejemplo podría querer limitar los eventos para administrar elcosto de un registro de seguimiento. En esta versión, solo puede excluir eventos del origen de eventoskms.amazonaws.com.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": ["kms.amazonaws.com"],"IncludeManagementEvents": true]}]'

El ejemplo devuelve el selector de eventos configurado para el registro de seguimiento.

{ "EventSelectors": [ { "ExcludeManagementEventSources": [ "kms.amazonaws.com" ], "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}

Para iniciar de nuevo el registro de eventos de AWS KMS en un registro de seguimiento, pase una cadenavacía como el valor de ExcludeManagementEventSources, como se muestra en el siguiente comando.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "All","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'

Para registrar eventos de AWS KMS relevantes en un seguimiento como Disable, Delete yScheduleKey, y excluir eventos de AWS KMS de gran volumen como Encrypt, Decrypt yGenerateDataKey, registre eventos de administración de solo escritura y mantenga la configuraciónpredeterminada para registrar eventos de AWS KMS, como se muestra en el ejemplo siguiente.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{"ReadWriteType": "WriteOnly","ExcludeManagementEventSources": [],"IncludeManagementEvents": true]}]'

Version 1.0120

AWS CloudTrail Guía del usuarioRegistro de eventos con el SDK de AWS

Registro de eventos con el SDK de AWSUtilice la operación GetEventSelectors para saber si el registro de seguimiento está registrando los eventosde administración para un registro de seguimiento. Puede configurar sus registros de seguimiento paraque registren los eventos de administración con la operación PutEventSelectors. Para obtener másinformación, consulte AWS CloudTrail API Reference.

Envío de eventos a Amazon CloudWatch LogsCloudTrail admite el envío de los eventos de datos y de administración a CloudWatch Logs. Cuandoconfigure su registro de seguimiento para enviar eventos a su grupo de registros de CloudWatch Logs,CloudTrail envía únicamente los eventos que indique en el registro de seguimiento. Por ejemplo, siconfigura el registro de seguimiento para que registre únicamente eventos de administración, el registrode seguimiento envía los eventos de administración solo a su grupo de registros de CloudWatch Logs.Para obtener más información, consulte Monitoreo de archivos de registro de CloudTrail con AmazonCloudWatch Logs (p. 134).

Registro de eventos de datos para registros deseguimiento

De forma predeterminada, los registros de seguimiento no registran eventos de datos. Se aplican cargosadicionales a los eventos de datos. Para obtener más información, consulte Precios de AWS CloudTrail.

Note

Los eventos que registran sus registros de seguimiento están disponibles en Amazon CloudWatchEvents. Por ejemplo, si configura un registro de seguimiento para que registre eventos de objetosde S3, pero no eventos de administración, procesará y registrará únicamente los eventos de datosrelativos a los objetos de S3 indicados. Los eventos de datos relativos a estos objetos de S3 estándisponibles en Amazon CloudWatch Events. Para obtener más información, consulte Eventos dellamadas de la API de AWS en la Guía del usuario de Amazon CloudWatch Events.

Contenido• Eventos de datos (p. 121)

• Registro de eventos de datos con la Consola de administración de AWS (p. 122)• Ejemplos: Registro de eventos de datos para objetos de Amazon S3 (p. 124)• Registro de eventos de datos para objetos de S3 en otras cuentas de AWS (p. 125)

• Eventos de solo lectura y de solo escritura (p. 126)• Registro de eventos con la AWS Command Line Interface (p. 127)• Registro de eventos con el SDK de AWS (p. 128)• Envío de eventos a Amazon CloudWatch Logs (p. 128)

Eventos de datosLos eventos de datos muestran información sobre las operaciones realizadas en un recurso o dentro de él.Se denominan también operaciones del plano de datos. Los eventos de datos suelen ser actividades degran volumen.

Algunos ejemplos de eventos de datos son los siguientes:

• Actividad de la API de nivel de objeto de Amazon S3 (por ejemplo, las operaciones GetObject,DeleteObject y PutObject de la API).

Version 1.0121

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetEventSelectors.html

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html



https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/EventTypes.html#api_event_type

https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/EventTypes.html#api_event_type

AWS CloudTrail Guía del usuarioEventos de datos

• Actividad de ejecución de funciones de AWS Lambda (la API Invoke).

Los eventos de datos están deshabilitados de forma predeterminada cuando crea un registro deseguimiento. Para registrar eventos de datos de CloudTrail, debe añadir explícitamente los recursos o tiposde recursos admitidos cuya actividad desea recopilar en un registro de seguimiento. Para obtener másinformación, consulte Creación de un registro de seguimiento (p. 69) y Eventos de datos (p. 121).

Se aplican cargos adicionales por el registro de eventos de datos. Para obtener información acerca de losprecios de CloudTrail, consulte Precios de AWS CloudTrail.

Registro de eventos de datos con la Consola de administraciónde AWS1. Diríjase a la página Trails (Registros de seguimiento) de la consola de CloudTrail y elija Create trail

(Crear registro de seguimiento).

Note

Aunque puede editar un registro de seguimiento existente para añadir el registro de eventosde datos, como práctica recomendada, considere la posibilidad de crear un registro deseguimiento independiente específicamente para el registro de eventos de datos.

2. En Data events, elija el icono de lápiz para habilitar la edición.3. Para los eventos de datos de Amazon S3, en la pestaña S3:

a. Si desea registrar los eventos de datos de todos los buckets de Amazon S3 en su cuenta deAWS, seleccione Select all S3 buckets in your account. A continuación, elija si desea registrareventos de tipo Read, como GetObject; de tipo Write, como PutObject, o de ambos tipos.Esta configuración tiene prioridad sobre los ajustes configurados en los buckets individuales. Porejemplo, si establece la configuración para que se registren los eventos de tipo Read de todos losbuckets de S3 y después decide incluir un bucket específico en el registro de eventos de datos, laopción Read ya aparecerá seleccionada en dicho bucket. Esta selección no se puede anular. Solose puede configurar la opción Write.

Note

Si selecciona o borra una opción aplicable a todos los buckets, ese cambio se efectuaráen cada uno de los buckets, incluidos aquellos que se hubieran configurado de formaindividual. Si efectúa cambios en los ajustes de los eventos de datos de todos losbuckets, considere la posibilidad de revisar después la configuración específica de cadabucket.Si configura el registro de eventos de datos para todos los buckets de su cuenta de AWSy no desea realizar una pista de auditoría del registro de eventos de datos, considere laposibilidad de enviar los archivos de registro a un bucket de Amazon S3 que pertenezcaa otra cuenta de AWS. Para obtener más información, consulte Recepción de archivosde registro de CloudTrail de varias cuentas (p. 188) y the section called “Ejemplos:Registro de eventos de datos para objetos de Amazon S3” (p. 124).

b. Para configurar el registro de eventos de datos de cada bucket de Amazon S3, seleccione AddS3 bucket. Escriba el nombre y el prefijo del bucket (opcional). Para cada registro de seguimiento,puede añadir hasta 250 recursos de datos, como los prefijos de objeto y bucket de Amazon S3.El conjunto total de recursos de eventos de datos individuales no puede ser superior a 250 en unregistro de seguimiento. Este total incluye otros recursos de datos, como funciones de Lambda.Esta limitación no se aplica si el registro de eventos de datos se configura para todos los bucketsde Amazon S3.

• Para registrar eventos de datos de todos los objetos de S3 en un bucket, especifique un bucketde S3 y un prefijo vacío. Cuando un evento se produce en un objeto de dicho bucket de S3, el

Version 1.0122



registro de seguimiento procesa y registra el evento. Para obtener más información, consulteEjemplo: Registro de eventos de datos para todos los objetos de S3 (p. 124).

• Para registrar los eventos de datos de prefijos de S3, especifique un bucket de S3 y el prefijodel objeto. Cuando un evento se produce en un objeto en dicho bucket de S3 y el objetocomienza por el prefijo indicado, el registro de seguimiento procesa y registra el evento. Paraobtener más información, consulte Ejemplo: Registro de eventos de datos para objetos de S3específicos (p. 124).

• También puede especificar objetos de S3 que pertenezcan a otras cuentas de AWS. Paraobtener más información, consulte Registro de eventos de datos para objetos de S3 en otrascuentas de AWS (p. 125).

c. En cada recurso, especifique si desea registrar los eventos de tipo Read, Write o los dos.d. Puede editar el nombre del bucket, el prefijo, la opción Read/Write o eliminar el recurso eligiendo

el icono x.

Note

Si ha configurado el registro de eventos de datos para todos los buckets de S3 incluidosen la cuenta de AWS, la configuración establecida tendrá prioridad sobre la configuraciónindividual de cada bucket. En este caso, si una opción está establecida para todos losbuckets, no se puede modificar.

4. Para los eventos de datos de Lambda, en la pestaña Lambda:

a. Si desea configurar el registro de eventos de datos para funciones de Lambda individuales,seleccione estas funciones de la lista. Si el registro de seguimiento se aplica a todas las regionesde AWS, puede seleccionar funciones en todas las regiones de su cuenta de AWS. Si el registrode seguimiento se aplica a una única región, solo puede seleccionar funciones en esa región.Para cada registro de seguimiento, puede añadir hasta 250 recursos de datos, como funcionesde Lambda individuales. El total de recursos de eventos de datos individuales no puede sersuperior a 250 en cada registro de seguimiento. Este total incluye otros recursos de datos, comolos prefijos de objeto y bucket de Amazon S3. Esta limitación no se aplica si el registro de eventosde datos se configura para todas funciones de Lambda.

Note

Si tiene más de 15 000 funciones de Lambda en su cuenta, no podrá ver ni seleccionartodas las funciones en la consola de CloudTrail. Sí que puede seleccionar la opciónpara registrar todas las funciones de Lambda. También puede añadir manualmenteuna función si conoce su ARN, o bien puede usar la AWS CLI y el comando put-event-selectors para configurar el registro de eventos de datos específico para los recursos.Para obtener más información, consulte Administración de registros de seguimiento conla AWS CLI (p. 82).

b. Para configurar el registro de eventos de datos de todas las funciones de Lambda de su cuentade AWS y de todas las funciones Lambda que cree en el futuro, seleccione Log all current andfuture functions. Si el registro de seguimiento se aplica a todas las regiones, se registrarán todaslas funciones de todas las regiones de su cuenta de AWS, incluidas las que cree en cualquierregión. Si el registro de seguimiento se aplica a una única región, se registrarán todas lasfunciones de la región actual y todas las que cree en esa región, pero no se habilitará el registrode funciones en otras regiones. El registro de eventos de datos de todas las funciones habilitarátambién el registro de la actividad de eventos de datos realizada por cualquier usuario o rol de sucuenta de AWS, aunque esta se realice en una función que pertenezca a otra cuenta de AWS.

5. Seleccione Save.

Version 1.0123


Ejemplos: Registro de eventos de datos para objetos de AmazonS3Registro de eventos de datos para todos los objetos de S3 de un bucket de S3

En el ejemplo siguiente, se ilustra cómo funciona el registro cuando se configura para todos los eventosde datos de un bucket de S3 llamado bucket-1. En este ejemplo, el usuario de CloudTrail especificó unprefijo vacío y la opción que permite registrar eventos de datos de tipo Read y Write.

1. Un usuario carga un objeto en bucket-1.2. La operación de API PutObject es una API de nivel de objetos de Amazon S3. Se registra como

un evento de datos en CloudTrail. Como el usuario CloudTrail especificó un bucket de S3 con unprefijo vacío, se registran los eventos que tienen lugar en cualquiera de los objetos de dicho bucket. Elregistro de seguimiento procesa y registra el evento.

3. Otro usuario carga un objeto en bucket-2.4. La operación de API PutObject tuvo lugar en un objeto de un bucket de S3 que no estaba

especificada en el registro de seguimiento. El registro de seguimiento no registra el evento.

Registro de eventos de datos para objetos de S3 específicos

En el ejemplo siguiente, se muestra cómo funciona el registro cuando se configura un registro deseguimiento para los eventos de objetos de S3 específicos. En este ejemplo, el usuario de CloudTrailespecificó un bucket de S3 llamado bucket-3 con el prefijo my-images y seleccionó la opción queúnicamente permite registrar eventos de datos de tipo Write.

1. Un usuario elimina un objeto que comienza con el prefijo my-images del bucket; por ejemploarn:aws:s3:::bucket-3/my-images/example.jpg.

2. La operación de API DeleteObject es una API de nivel de objetos de Amazon S3. Se registra comoun evento de datos de tipo Write en CloudTrail. El evento tuvo lugar en un objeto que coincide conel bucket de S3 y el prefijo especificados en el registro de seguimiento. El registro de seguimientoprocesa y registra el evento.

3. Otro usuario elimina un objeto con un prefijo diferente del bucket de S3; por ejemploarn:aws:s3:::bucket-3/my-videos/example.avi.

4. El evento tuvo lugar en un objeto que no coincide con el prefijo especificado en el registro deseguimiento. El registro de seguimiento no registra el evento.

5. Un usuario llama a la operación de API GetObject para el objeto arn:aws:s3:::bucket-3/my-images/example.jpg.

6. El evento tuvo lugar en un bucket y un prefijo especificados en el registro de seguimiento, peroGetObject es una API de nivel de objetos de Amazon S3 de tipo Read (lectura). Por tanto, seregistra como un evento de datos de tipo Read en CloudTrail y el registro de seguimiento no estáconfigurado para eventos de tipo Read. El registro de seguimiento no registra el evento.

Note

Si registra eventos de datos para determinados buckets de Amazon S3, le recomendamos que noutilice un bucket de Amazon S3 para el que registre eventos de datos si desea recibir los archivosde registro que especificó en la sección de eventos de datos. Si se utiliza el mismo bucket deAmazon S3, el seguimiento registra un evento de datos cada vez que los archivos de registro seenvían al bucket de Amazon S3. Los archivos de registro contienen el total de eventos enviados aintervalos y, por tanto, no hay una relación 1:1 entre el evento y el archivo de registro; el evento seregistra en el siguiente archivo de registro. Por ejemplo, cuando el registro de seguimiento envíalos registros, el evento PutObject se produce en el bucket de S3. Si el bucket de S3 también

Version 1.0124


está indicado en la sección de eventos de datos, el registro de seguimiento procesa y registra elevento PutObject como evento de datos. Esta acción es otro evento PutObject y el registrode seguimiento procesa y registra el evento una vez más. Para obtener más información, consulteFuncionamiento de CloudTrail (p. 1).Para evitar registrar eventos de datos para el bucket de Amazon S3 en el que recibe losarchivos de registro si configura un registro de seguimiento para registrar todos los eventos dedatos de Amazon S3 de su cuenta de AWS, considere la posibilidad de configurar el envío dearchivos de registro a un bucket de Amazon S3 que pertenezca a otra cuenta de AWS. Paraobtener más información, consulte Recepción de archivos de registro de CloudTrail de variascuentas (p. 188).

Registro de eventos de datos para objetos de S3 en otrascuentas de AWSCuando configure el registro de seguimiento para que registre eventos de datos, también puede indicarlos objetos de S3 que pertenecen a otras cuentas de AWS. Cuando un evento se produce en un objetoindicado, CloudTrail evalúa si el evento coincide con cualquier registro de seguimiento de cualquier cuenta.Si el evento coincide con la configuración de un registro de seguimiento, este procesa y registra el eventopara dicha cuenta. Por lo general, tanto los intermediarios de la API como los propietarios de recursospueden recibir eventos.

Si tiene un objeto de S3 y lo indica en su registro de seguimiento, su registro de seguimiento registraeventos que se produzcan en el objeto de su cuenta. Dado que posee el objeto, su registro de seguimientotambién registra los eventos cuando otras cuentas llaman al objeto.

Si especifica un objeto de S3 en su registro de seguimiento y otra cuenta posee el objeto, su registro deseguimiento únicamente registra los eventos que se produzcan en dicho objeto en su cuenta. Su registrode seguimiento no registra los eventos que se producen en otras cuentas.

Ejemplo: Registro de eventos de datos para un objeto de S3 para dos cuentas de AWS

El siguiente ejemplo muestra cómo dos cuentas de AWS configuran CloudTrail para registrar eventos parael mismo objeto de S3.

1. En su cuenta, usted desea que su registro de seguimiento registre eventos de datos para todoslos objetos en el bucket de S3 denominado owner-bucket. Configura el registro de seguimientoindicando el bucket de S3 con un prefijo de objeto vacío.

2. Bob tiene una cuenta independiente a la que se ha permitido el acceso al bucket de S3. Bob tambiénquiere registrar los eventos de datos para todos los objetos en el mismo bucket de S3. Para su registrode seguimiento, configura su registro de seguimiento e indica el mismo bucket de S3 con un prefijo deobjeto vacío.

3. Bob carga un objeto al bucket de S3 con la operación de API PutObject.4. Este evento se produjo en su cuenta y coincide con la configuración de su registro de seguimiento. El

registro de seguimiento de Bob procesa y registra el evento.5. Dado que posee el bucket de S3 y el evento coincide con la configuración de su registro de

seguimiento, su registro de seguimiento también procesa y registra el mismo evento. Debido a queahora hay dos copias del evento (una registrada en el registro de seguimiento de Bob y otra registradaen el suyo), CloudTrail cobra dos copias del evento de datos.

6. Usted carga un objeto en el bucket de S3.7. Este evento se produce en su cuenta y coincide con la configuración de su registro de seguimiento. Su

registro de seguimiento procesa y registra el evento.8. Debido a que el evento no ocurrió en la cuenta de Bob, y no es dueño del bucket de S3, el registro de

seguimiento de Bob no registra el evento. CloudTrail cobra solo una copia de este evento de datos.

Version 1.0125

AWS CloudTrail Guía del usuarioEventos de solo lectura y de solo escritura

Ejemplo: registro de eventos de datos para todos los buckets, incluido un bucket de S3 utilizadopor dos cuentas de AWS

En el ejemplo siguiente se muestra el comportamiento de registro cuando Select all S3 buckets inyour account (Seleccionar todos los buckets de S3 en su cuenta) está habilitado para los registros deseguimiento que recopilan eventos de datos en una cuenta de AWS.

1. En su cuenta, desea que su registro de seguimiento registre eventos de datos para todos losbuckets de S3. Configure el registro de seguimiento eligiendo Select all S3 buckets in your account(Seleccionar todos los buckets de S3 en su cuenta) en Data events (Eventos de datos).

2. Bob tiene una cuenta independiente a la que se le ha concedido acceso a un bucket de S3 en sucuenta. Desea registrar eventos de datos para el bucket al que tiene acceso. Configura su registro deseguimiento para obtener eventos de datos para todos los buckets de S3.

3. Bob carga un objeto al bucket de S3 con la operación de API PutObject.4. Este evento se produjo en su cuenta y coincide con la configuración de su registro de seguimiento. El

registro de seguimiento de Bob procesa y registra el evento.5. Dado que posee el bucket de S3 y el evento coincide con la configuración de su registro de

seguimiento, su registro de seguimiento también procesa y registra el evento. Dado que ahora hay doscopias del evento (una registrada en el registro de seguimiento de Bob y otro registrado en la suya),CloudTrail cobra a cada cuenta una copia del evento de datos.

6. Usted carga un objeto en el bucket de S3.7. Este evento se produce en su cuenta y coincide con la configuración de su registro de seguimiento. Su

registro de seguimiento procesa y registra el evento.8. Dado que el evento no ocurrió en la cuenta de Bob y no es dueño del bucket de S3, el registro de

seguimiento de Bob no registra el evento. CloudTrail cobra solo una copia de este evento de datos ensu cuenta.

9. Un tercer usuario, Mary, tiene acceso al bucket de S3 y ejecuta una operación GetObject en elbucket. Tiene un registro de seguimiento configurado para registrar eventos de datos en todos losbuckets de S3 de su cuenta. Dado que ella es el intermediario de la API, CloudTrail registra un eventode datos en su registro de seguimiento. Aunque Bob tiene acceso al bucket, no es el propietariodel recurso, por lo que no se registra ningún evento en su registro de seguimiento esta vez. Comopropietario del recurso, usted recibe un evento en su registro de seguimiento sobre la operaciónGetObject a la que Mary llamó. CloudTrail cobra en su cuenta y en la cuenta de Mary cada copia delevento de datos: una en el registro de seguimiento de Mary y otra en la suya.

Eventos de solo lectura y de solo escrituraCuando configure su registro de seguimiento para registrar eventos de datos y de administración, puedeindicar si desea que se registren eventos de solo lectura, de solo escritura, ambos o ninguno. Los eventosde Insights registran solo la actividad basada en eventos de solo escritura.

• Solo lectura

Los eventos de solo lectura incluyen los roles de API que leen sus recursos, pero no realizancambios. Por ejemplo, los eventos de solo lectura incluyen los roles de API de Amazon EC2DescribeSecurityGroups y DescribeSubnets. Estas funciones devuelven únicamente informaciónsobre sus recursos de Amazon EC2 y no cambian las configuraciones.

• Solo escritura

Los eventos de solo escritura incluyen funciones de API que modifican (o podrían modificar)sus recursos. Por ejemplo, las operaciones de API de Amazon EC2 RunInstances yTerminateInstances modifican sus instancias.

• Todo

Version 1.0126


Su registro de seguimiento registra ambas.• Ninguno

Su registro de seguimiento no registra eventos de administración de solo lectura ni de solo escritura.

Ejemplo: Registro de eventos de solo lectura y de solo escritura en registros de seguimientoindividuales

El ejemplo siguiente muestra cómo puede configurar registros de seguimiento para dividir la actividadde registro de una cuenta en diferentes buckets de S3: un bucket recibe los eventos de solo lectura y unsegundo bucket, aquellos de solo escritura.

1. Usted crea un registro de seguimiento y elige un bucket de S3 llamado read-only-bucket pararecibir los archivos de registro. A continuación, actualiza el registro de seguimiento para indicar quedesea registrar los eventos de administración y los eventos de datos de solo lectura.

2. Usted crea un segundo registro de seguimiento y elige un bucket de S3 denominado write-only-bucket para recibir los archivos de registro. A continuación, actualiza el registro de seguimiento paraindicar que desea registrar los eventos de administración y los eventos de datos de solo escritura.

3. En su cuenta se generan los roles de API de Amazon EC2 DescribeInstances yTerminateInstances.

4. La operación de API DescribeInstances es un evento de solo lectura y coincide con laconfiguración del primer registro de seguimiento. El registro de seguimiento registra y envía el eventoal read-only-bucket.

5. La operación de API TerminateInstances es un evento de solo escritura y coincide con laconfiguración del segundo registro de seguimiento. El registro de seguimiento registra y envía elevento al write-only-bucket.

Registro de eventos con la AWS Command LineInterfacePuede configurar sus registros de seguimiento para que registren los eventos de administración y los dedatos con la AWS CLI.

Para ver si su registro de seguimiento está registrando los eventos de administración y de datos, ejecute elcomando get-event-selectors.


El ejemplo siguiente devuelve la configuración predeterminada de un registro de seguimiento. De formapredeterminada, los registros de seguimiento registran todos los eventos de administración y no registranlos eventos de datos.

{ "EventSelectors": [ { "IncludeManagementEvents": true, "DataResources": [], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}

Version 1.0127


Para configurar el registro de seguimiento para que registre los eventos de administración y de datos,ejecute el comando put-event-selectors. El ejemplo siguiente muestra cómo configurar su registrode seguimiento para que incluya todos los eventos de administración y de datos para dos objetos de S3.Puede especificar entre 1 y 5 selectores de eventos en los registros de seguimiento. Puede especificarentre 1 y 250 recursos de datos en los registros de seguimiento.

Note

El número máximo de recursos de datos de S3 es 250, independientemente del número deselectores de eventos.

aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2"] }] }]'

El ejemplo siguiente devuelve el selector de eventos configurado para el registro de seguimiento.

{ "EventSelectors": [ { "IncludeManagementEvents": true, "DataResources": [ { "Values": [ "arn:aws:s3:::mybucket/prefix", "arn:aws:s3:::mybucket2/prefix2", ], "Type": "AWS::S3::Object" } ], "ReadWriteType": "All" } ], "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"}

Registro de eventos con el SDK de AWSUtilice la operación GetEventSelectors para saber si el registro de seguimiento está registrando loseventos de datos para un registro de seguimiento. Puede configurar sus registros de seguimiento para queregistren eventos de datos con la operación PutEventSelectors. Para obtener más información, consulteAWS CloudTrail API Reference.

Envío de eventos a Amazon CloudWatch LogsCloudTrail admite el envío de eventos de datos a CloudWatch Logs. Cuando configure su registrode seguimiento para enviar eventos a su grupo de registros de CloudWatch Logs, CloudTrail envíaúnicamente los eventos que indique en el registro de seguimiento. Por ejemplo, si configura el registro deseguimiento para que registre únicamente eventos de datos, el registro de seguimiento envía los eventosde datos solo a su grupo de registros de CloudWatch Logs. Para obtener más información, consulteMonitoreo de archivos de registro de CloudTrail con Amazon CloudWatch Logs (p. 134).

Version 1.0128

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetEventSelectors.html

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutEventSelectors.html


AWS CloudTrail Guía del usuarioRegistro de eventos de Insightspara registros de seguimiento

Registro de eventos de Insights para registros deseguimiento

AWS CloudTrail Insights ayuda a los usuarios de AWS a identificar y responder a la actividad inusualasociada a las llamadas a la API write mediante el análisis continuo de los eventos de administración deCloudTrail.

Los Insights events se registran cuando CloudTrail detecta actividad inusual de la API de administraciónwrite en su cuenta. Si ha habilitado CloudTrail Insights y CloudTrail detecta actividad inusual, losInsights events se envían al bucket de S3 de destino para su seguimiento. También puede ver el tipode información y el periodo de tiempo del incidente consultando los Insights events en la consola deCloudTrail. A diferencia de otros tipos de eventos capturados en un registro de seguimiento de CloudTrail,los Insights events solo se registran cuando CloudTrail detecta cambios en el uso de la API de su cuentaque difieren considerablemente de los patrones de uso típicos de la cuenta.

CloudTrail Insights monitoriza continuamente los eventos de administración write de CloudTrail y utilizamodelos matemáticos para determinar los niveles normales de actividad de eventos de API y servicio deuna cuenta. CloudTrail Insights identifica el comportamiento que no concuerda con los patrones normales,genera Insights events y envía esos eventos a una carpeta /CloudTrail-Insight en el bucket de S3de destino elegido para su registro de seguimiento. También puede obtener acceso a los Insights eventsy consultarlos en la Consola de administración de AWS de CloudTrail. Para obtener más informaciónacerca de cómo obtener acceso a los Insights events y consultarlos en la consola y mediante la AWS CLI,consulte Consulta de eventos de CloudTrail Insights (p. 55) en esta guía.

De forma predeterminada, los registros de seguimiento registran todos los eventos de administración y noincluyen los eventos de datos ni los Insights events. Se aplican cargos adicionales a los eventos de datos yInsights events. Para obtener más información, consulte Precios de AWS CloudTrail.

Cuando se produce un evento en su cuenta, CloudTrail evalúa si coincide con la configuración de susregistros de seguimiento. Solo se envían al bucket de Amazon S3 y al grupo de registro de AmazonCloudWatch Logs los eventos que coinciden con la configuración del registro de seguimiento.

Contenido• Descripción de Insights (p. 129)• Registro de eventos de Insights con la Consola de administración de AWS (p. 132)• Registro de eventos de Insights con la AWS Command Line Interface (p. 132)• Registro de eventos con el SDK de AWS (p. 133)• Envío de eventos a Amazon CloudWatch Logs (p. 133)

Descripción de InsightsCloudTrail Insights puede ayudarle a detectar actividad de API inusual en su cuenta de AWS mediante lacreación de Insights events. CloudTrail Insights rastrea sus patrones normales de volumen de llamadas alas API y genera Insights events cuando el volumen no concuerda con los patrones normales. Los Insightsevents se generan para las API de administración write.

Después de habilitar CloudTrail Insights por primera vez en un registro de seguimiento, CloudTrail puedetardar hasta 36 horas en enviar el primer evento de Insights, si se detecta actividad inusual. CloudTrailInsights analiza los eventos de administración "write" que se producen en una sola región, no globalmente.Los eventos de CloudTrail Insights se generan en la misma región en la que se generan sus eventos deadministración de soporte técnico.

En la siguiente imagen se muestra un ejemplo de Insights events. Para abrir las páginas de detalles de unevento de Insights, elija un nombre de evento de Insights en las páginas Dashboard (Panel) o Insights. La

Version 1.0129


AWS CloudTrail Guía del usuarioDescripción de Insights

página de detalles de un evento de Insights muestra un gráfico del volumen de llamadas a una API que seprodujeron durante un periodo de tiempo antes y después de registrar uno o varios Insights events. En elgráfico, los Insights events se resaltan con barras verticales y el ancho de la barra muestra la hora de inicioy finalización del evento de Insights.

En este ejemplo, una banda de resaltado vertical muestra números inusuales de llamadas a la APIAWS Administrador de sistemas UpdateInstanceInformation en una cuenta. En el área resaltada,como el número de llamadas a UpdateInstanceInformation aumentó por encima del intervalonormal de 100,4 llamadas por minuto de la cuenta, CloudTrail registró un evento de Insights cuandodetectó la actividad inusual. El evento de Insights registró que se realizaron hasta 875 llamadas aUpdateInstanceInformation alrededor de las 13:37 h. Estas son aproximadamente 775 llamadas porminuto más a esa API que las previstas para la cuenta. En este ejemplo, el intervalo de tiempo del gráficoes de una hora: 13:10 h. PDT con fecha del 1 de noviembre de 2019 a las 14:10 h. PDT con fecha del 1de noviembre de 2019. La hora de inicio de este evento es 13:37 h. PDT con fecha del 1 de noviembre de2019 y 13:38 h como hora de finalización. PDT.

La columna de la izquierda muestra los Insights events relacionados con la API en cuestión que tienen elmismo tipo de evento de Insights.

Version 1.0130

AWS CloudTrail Guía del usuarioDescripción de Insights

En la pestaña CloudTrail events (Eventos de CloudTrail) puede ver los eventos relacionados queCloudTrail analizó para determinar que se produjo una actividad inusual. Tenga en cuenta que ya se haaplicado un filtro para el nombre del evento de Insights, que también es el nombre de la API relacionada.La pestaña CloudTrail events (Eventos de CloudTrail) muestra los eventos de administración de CloudTrailrelacionados con la API en cuestión que se produjeron entre la hora de inicio y de finalización del eventode Insights. Estos eventos le ayudan a realizar un análisis más detallado para determinar la causaprobable de un evento de Insights y las razones de la actividad inusual de la API.

Si deshabilita CloudTrail Insights en un registro de seguimiento o detiene el registro en un registro deseguimiento (lo que deshabilita CloudTrail Insights), es posible que tenga Insights events almacenadosen su bucket de S3 de destino o que estos eventos se muestren en la página Insights de la consola con laprimera fecha en la que habilitó Insights.

Version 1.0131

AWS CloudTrail Guía del usuarioRegistro de eventos de Insights con

la Consola de administración de AWS

Registro de eventos de Insights con la Consola deadministración de AWSHabilite la recopilación de eventos de Insights en un registro de seguimiento existente. De formapredeterminada, la recopilación de eventos de Insights no está habilitada.

1. Vaya a la página Trails (Registros de seguimiento) de la consola de CloudTrail y elija un registro deseguimiento.

2. En Insights events, elija el icono de lápiz.3. En Log Insights events (Registrar Insights events), elija Yes (Sí). Elija Save para guardar los cambios.

CloudTrail puede tardar hasta 36 horas en enviar los primeros Insights events, si se detecta actividadinusual.

Registro de eventos de Insights con la AWSCommand Line InterfacePuede configurar los registros de seguimiento para que registren Insights events mediante la AWS CLI.

Para saber si el registro de seguimiento está registrando Insights events, ejecute el comando get-insight-selectors.

aws cloudtrail get-insight-selectors --trail-name TrailName

El siguiente resultado muestra la configuración predeterminada de un registro de seguimiento. Deforma predeterminada, los registros de seguimiento no registran Insights events. El valor del atributoInsightType está vacío y no se especifican selectores de eventos de Insight, porque la recopilación deeventos de Insights no está habilitada.

{ "InsightSelectors": [ { "InsightType": "" } ], "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"}

Para configurar el registro de seguimiento para que registre Insights events, ejecute el comando put-insight-selectors. En el siguiente ejemplo se muestra cómo configurar el registro de seguimientopara incluir Insights events. En esta versión, el único selector de Insights es ApiCallRateInsight.

aws cloudtrail put-insight-selectors --trail-name TrailName --insight-selectors '[{"InsightType": "ApiCallRateInsight"}]'

El siguiente resultado muestra el selector de eventos de Insights configurado para el registro deseguimiento.

{ "InsightSelectors": [ {

Version 1.0132


"InsightType": "ApiCallRateInsight" } ], "TrailARN": "arn:aws:cloudtrail:us-east-1:123456789012:trail/TrailName"}

Registro de eventos con el SDK de AWSEjecute la operación GetInsightSelectors para saber si el registro de seguimiento está registrando Insightsevents. Puede configurar los registros de seguimiento para que registren Insights events con la operaciónPutInsightSelectors. Para obtener más información, consulte la AWS CloudTrail API Reference.

Envío de eventos a Amazon CloudWatch LogsCloudTrail admite el envío de Insights events a CloudWatch Logs. Cuando configura el registro deseguimiento para enviar Insights events a su grupo de registros de CloudWatch Logs, CloudTrail Insightsenvía únicamente los eventos que indique en el registro de seguimiento. Por ejemplo, si configurael registro de seguimiento para registrar eventos de administración y Insights events, el registro deseguimiento envía los eventos de administración y Insights events al grupo de registros de CloudWatchLogs. Para configurar Eventos de CloudWatch con la consola de CloudWatch o la API, elija el tipode evento AWS Insight via CloudTrail en la página Create rule (Crear regla) de la consola deCloudWatch. Para obtener más información, consulte Monitoreo de archivos de registro de CloudTrail conAmazon CloudWatch Logs (p. 134).

Recibir archivos de registro de CloudTrail de variasregiones

Puede configurar CloudTrail para que envíe los archivos de registro de varias regiones a un único bucketde S3 de una sola cuenta. Suponga, por ejemplo, que tiene un registro de seguimiento en Región EE.UU.Oeste (Oregón) que está configurado para enviar archivos de registro a un bucket de S3 y un grupode archivos de registro de CloudWatch Logs. Cuando aplica el registro de seguimiento a todas lasregiones, CloudTrail crea un nuevo registro de seguimiento en todas las demás regiones. Este registro deseguimiento tiene la configuración original. CloudTrail envía los archivos de registro al mismo bucket de S3y grupo de archivos de registro de CloudWatch Logs. Siempre que CloudTrail tenga permisos para escribiren un bucket de S3, el bucket para un registro de seguimiento de varias regiones no tiene que estar en laregión de inicio del registro de seguimiento.

Para recibir archivos de registro de CloudTrail de varias regiones


2. Elija Trails y, a continuación, elija un nombre de registro de seguimiento.3. Haga clic en el icono de lápiz situado junto a Apply trail to all regions y, a continuación, elija Yes.4. Seleccione Save. El registro de seguimiento se replica en todas las regiones. CloudTrail envía los

archivos de registro de todas las regiones al bucket de S3 especificado.

Note

Cuando se lanza una nueva región en la partición de aws, CloudTrail crea automáticamenteun registro de seguimiento en la nueva región con la misma configuración que el registro deseguimiento original.

Version 1.0133

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_GetInsightSelectors.html

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_PutInsightSelectors.html





AWS CloudTrail Guía del usuarioMonitoreo de archivos de registro de

CloudTrail con Amazon CloudWatch Logs

Para obtener más información, consulte los recursos siguientes:

• ¿Cómo se comporta CloudTrail a nivel regional y global? (p. 10)• Preguntas frecuentes de CloudTrail

Monitoreo de archivos de registro de CloudTrail conAmazon CloudWatch Logs

Puede configurar CloudTrail con CloudWatch Logs para monitorear sus archivos de seguimiento y recibirnotificaciones cuando se produzca una actividad específica.

1. Configure un registro de seguimiento para enviar eventos de registro a CloudWatch Logs.2. Defina filtros de métricas de CloudWatch Logs para evaluar los eventos de registro con el fin

de encontrar términos, frases o valores coincidentes. Por ejemplo, puede monitorizar eventosConsoleLogin.

3. Asigne métricas de CloudWatch a filtros de métricas.4. Cree alarmas de CloudWatch que se activen en función de los umbrales y los períodos de tiempo

especificados. Puede configurar alarmas para enviar notificaciones cuando se activen las alarmaspara que pueda emprender acciones.

5. También puede configurar CloudWatch para que realice automáticamente una acción en respuesta auna alarma.

Se aplican los precios estándar de Amazon CloudWatch y Amazon CloudWatch Logs. Para obtener másinformación, consulte Precios de Amazon CloudWatch.

Para obtener más información acerca de las regiones en las que puede configurar seguimientos paraenviar registros a CloudWatch Logs, consulte Regiones y cuotas de Amazon CloudWatch Logs en laReferencia general de AWS.

La región AWS GovCloud (EE.UU. Oeste) requiere una cuenta independiente. Para obtener másinformación, consulte AWS GovCloud (EE.UU. Oeste).

Temas• Envío de eventos a CloudWatch Logs (p. 134)• Creación de alarmas de CloudWatch con una plantilla de AWS CloudFormation. (p. 139)• Ejemplos de creación de alarmas de CloudWatch para eventos de CloudTrail (p. 151)• Ejemplos de creación de alarmas de CloudWatch para eventos de CloudTrail (p. 176)• Configurar notificaciones para alarmas de CloudWatch Logs (p. 185)• Impedir que CloudTrail envíe eventos a CloudWatch Logs (p. 185)• Nombres de grupos de registros y secuencias de registros de CloudWatch para CloudTrail (p. 186)• Documento de política de roles para que CloudTrail use CloudWatch Logs para el monitoreo (p. 186)

Envío de eventos a CloudWatch LogsSi configura el registro de seguimiento para que envíe eventos a CloudWatch Logs, CloudTrail envía sololos eventos que coinciden con la configuración de dicho registro. Por ejemplo, si configura el registro deseguimiento para que registre únicamente eventos de datos, dicho registro de seguimiento envía los datos

Version 1.0134

https://aws.amazon.com/cloudtrail/faqs/


https://docs.aws.amazon.com/general/latest/gr/cwl_region.html

https://aws.amazon.com/govcloud-us/

AWS CloudTrail Guía del usuarioEnvío de eventos a CloudWatch Logs

de eventos solo a su grupo de registros de CloudWatch Logs. CloudTrail admite el envío de eventos dedatos, de Insights y de administración a CloudWatch Logs. Para obtener más información, consulte Uso dearchivos de registro de CloudTrail (p. 114).

Para enviar eventos a un grupo de registros de CloudWatch Logs.

• Asegúrese de que tiene permisos suficientes para crear o especificar un rol de IAM. Para obtenermás información, consulte Concesión de permisos para ver y configurar la información de AmazonCloudWatch Logs en la consola de CloudTrail (p. 249).

• Cree un nuevo registro de seguimiento o especifique uno existente. Para obtener más información,consulte Crear y actualizar un registro de seguimiento con la consola (p. 69).

• Cree un grupo de registros o especifique uno existente.• Especifique un rol de IAM Si está modificando un rol de IAM existente para un registro de seguimiento

de organización, debe actualizar manualmente la política para permitir el registro para el registro deseguimiento de organización. Para obtener más información, consulte este ejemplo de política (p. 138)y Creación de un registro de seguimiento para una organización (p. 91).

• Asocie una política de rol o utilice la opción predeterminada.

Contenido• Configuración de la monitorización de CloudWatch Logs con la consola (p. 135)

• Creación de un grupo de registros o especificación de un grupo de registrosexistente (p. 135)

• Especificación de un rol de IAM (p. 136)• Visualización de eventos en la consola de CloudWatch (p. 136)

• Configuración de la monitorización de CloudWatch Logs con la AWS CLI (p. 137)• Creación de un grupo de registros (p. 137)• Creación de un rol (p. 137)• Creación de un documento de políticas (p. 138)• Actualización del registro de seguimiento (p. 139)

• Limitación (p. 139)

Configuración de la monitorización de CloudWatch Logs con laconsolaPuede utilizar la Consola de administración de AWS para configurar el registro de seguimiento y enviareventos a CloudWatch Logs con fines de monitorización.

Creación de un grupo de registros o especificación de un grupo de registrosexistente

CloudTrail utiliza un grupo de registros de CloudWatch Logs como punto de enlace para el envío deeventos de registro. Puede crear un grupo de registros o especificar uno existente.

Para crear o especificar un grupo de registros

1. Asegúrese de que ha iniciado sesión con un usuario o un rol administrativo de IAM que tengapermisos suficientes para configurar la integración con CloudWatch Logs. Para obtener másinformación, consulte Concesión de permisos para ver y configurar la información de AmazonCloudWatch Logs en la consola de CloudTrail (p. 249).

2. Abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/.

Version 1.0135



3. Elija el nombre del registro de seguimiento. Si elige un registro de seguimiento aplicable a todas lasregiones, se le redirigirá a la región en la que se creó. Puede crear un grupo de registros o elegir ungrupo de registros existente en la misma región que el registro de seguimiento.

Note

Un registro de seguimiento aplicable a todas las regiones envía archivos de registro desdetodas las regiones al grupo de registros de CloudWatch Logs que especifique.

4. En CloudWatch Logs, elija Configure.5. Para New or existing log group, escriba el nombre del grupo de registros y, a continuación, Continue.

Para obtener más información, consulte Nombres de grupos de registros y secuencias de registros deCloudWatch para CloudTrail (p. 186).

6. Para el rol de IAM, elija un rol existente o cree uno. Si crea un rol de IAM, escriba un nombre de rol.7. Elija Allow (Permitir) para conceder a CloudTrail permisos para crear un flujo de registros de

CloudWatch Logs y enviar eventos.

Especificación de un rol de IAM

Puede especificar el rol que debe asumir CloudTrail para enviar eventos al flujo de registros.

Para especificar un rol

1. De forma predeterminada, CloudTrail_CloudWatchLogs_Role se especifica automáticamente.La política de roles predeterminada posee los permisos necesarios para crear un flujo de registrosde CloudWatch Logs en un grupo de registros que se haya especificado y para enviar eventos deCloudTrail a dicho flujo.

Note

Si desea utilizar este rol para un grupo de registro para un registro de seguimiento deorganización, debe modificar manualmente la política después de crear el rol. Para obtenermás información, consulte este ejemplo de política (p. 138) y Creación de un registro deseguimiento para una organización (p. 91).

a. Para verificar el rol, vaya a la consola de AWS Identity and Access Management en https://console.aws.amazon.com/iam/.

b. Elija Roles y, a continuación, seleccione CloudTrail_CloudWatchLogs_Role.c. Para ver el contenido de la política de roles, elija View Policy Document.

2. Puede especificar otro rol, pero debe asociar la política de roles necesaria al rol existente si deseautilizarlo para enviar eventos a CloudWatch Logs. Para obtener más información, consulte Documentode política de roles para que CloudTrail use CloudWatch Logs para el monitoreo (p. 186).

Visualización de eventos en la consola de CloudWatch

Después de configurar su registro de seguimiento para enviar eventos a su grupo de registros deCloudWatch Logs, puede ver los eventos en la consola de CloudWatch. Normalmente, CloudTrail envía loseventos al grupo de registros unos minutos después de realizar una llamada a la API.

Para ver eventos en la consola de CloudWatch

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. Seleccione Logs.3. Elija el grupo de registros especificado para el registro de seguimiento.4. Elija el nombre del flujo de registros.

Version 1.0136

https://console.aws.amazon.com/iam/

https://console.aws.amazon.com/iam/

https://console.aws.amazon.com/cloudwatch/


5. Para ver los detalles del evento que ha registrado el registro de seguimiento, elija un evento.

Note

La columna Time (UTC) de la consola de CloudWatch indica cuándo se ha enviado el evento algrupo de registros. Para ver la hora real a la que CloudTrail ha registrado el evento, consulte elcampo eventTime.

Configuración de la monitorización de CloudWatch Logs con laAWS CLIPuede utilizar la AWS CLI para configurar CloudTrail y enviar eventos a CloudWatch Logs paramonitorearlos.

Creación de un grupo de registros

1. Si no dispone de un grupo de registros, cree un grupo de registros de CloudWatch Logs como unpunto de enlace de envío para los eventos de registro utilizando el comando create-log-group deCloudWatch Logs.

aws logs create-log-group --log-group-name name

El ejemplo siguiente crea un grupo de registros denominado CloudTrail/logs:

aws logs create-log-group --log-group-name CloudTrail/logs

2. Recupere el nombre de recurso de Amazon (ARN) del grupo de registros.

aws logs describe-log-groups

Creación de un rol

Cree un rol para CloudTrail que le permita enviar eventos al grupo de registros de CloudWatch Logs.El comando create-role de IAM usa dos parámetros: un nombre de rol y una ruta de archivo a undocumento de políticas de roles en formato JSON. El documento de políticas que utiliza concederápermisos de AssumeRole a CloudTrail El comando create-role crea el rol con los permisosnecesarios.

Para crear el archivo JSON que contendrá el documento de política, abra un editor de texto y guarde elsiguiente contenido de política en un archivo denominado assume_role_policy_document.json.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "sts:AssumeRole" } ]}

Version 1.0137


Ejecute el siguiente comando para crear el rol con permisos de AssumeRole para CloudTrail.

aws iam create-role --role-name role_name --assume-role-policy-document file://<path to assume_role_policy_document>.json

Cuando el comando se complete, tome nota del ARN del rol en la salida.

Creación de un documento de políticas

Cree el siguiente documento de políticas de roles para CloudTrail. Este documento concede a CloudTraillos permisos necesarios para crear un flujo de registros de CloudWatch Logs en el grupo de registros queespecifique y enviar eventos de CloudTrail a dicho flujo.

{ "Version": "2012-10-17", "Statement": [ {

"Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*" ]

}, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:region:accountID:log-group:log_group_name:log-stream:accountID_CloudTrail_region*" ] } ]}

Guarde el documento de políticas en un archivo denominado role-policy-document.json.

Si está creando una política que podría utilizarse también para registros de seguimiento de organización,tendrá que configurarla de forma ligeramente distinta. Por ejemplo, la siguiente política concede aCloudTrail los permisos necesarios para crear un flujo de registro de CloudWatch Logs en el grupode registro que especifique y para enviar eventos de CloudTrail a ese flujo de registro tanto para losregistros de seguimiento de la cuenta de AWS 111111111111 como para los registros de seguimiento deorganización creados en la cuenta 111111111111 que se aplican a la organización de AWS Organizationscon el ID de o-exampleorgid:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [

Version 1.0138

AWS CloudTrail Guía del usuarioCreación de alarmas de CloudWatch con

una plantilla de AWS CloudFormation.

"logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*", ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/DefaultLogGroupTest:log-stream:o-exampleorgid_*", ] } ]}

Para obtener más información acerca de los registros de seguimiento de organización, consulte Creaciónde un registro de seguimiento para una organización (p. 91).

Ejecute el siguiente comando para aplicar la política al rol.

aws iam put-role-policy --role-name role_name --policy-name cloudtrail-policy --policy-document file://<path to role-policy-document>.json

Actualización del registro de seguimiento

Actualice el registro de seguimiento con el grupo de registros y la información de roles utilizando elcomando update-trail de CloudTrail.

aws cloudtrail update-trail --name trail_name --cloud-watch-logs-log-group-arn log_group_arn --cloud-watch-logs-role-arn role_arn

Para obtener más información sobre los comandos de AWS CLI, consulte la Referencia de línea decomandos de AWS CloudTrail.

LimitaciónComo CloudWatch Logs tiene un límite de tamaño de eventos de 256 KB, CloudTrail no envía eventosque superen los 256 KB a CloudWatch Logs. Por ejemplo, una llamada a la API RunInstances de EC2para iniciar 500 instancias superaría el límite de 256 KB. CloudTrail no envía el evento a CloudWatch Logs.Para garantizar que CloudTrail envíe eventos a CloudWatch Logs, divida las solicitudes de gran tamaño enlotes más pequeños.

Creación de alarmas de CloudWatch con una plantillade AWS CloudFormation.Después de configurar el registro de seguimiento para entregar archivos de registro a su grupo de registrode CloudWatch, puede crear filtros y alarmas de métricas de CloudWatch para monitorear los eventos de

Version 1.0139



https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch_limits_cwl.html



los archivos de registro. Por ejemplo, puede especificar un evento como la operación RunInstances deAmazon EC2, de forma que CloudWatch le envíe notificaciones cuando ese evento se produzca en sucuenta. Puede crear sus filtros y alarmas por separado o usar la plantilla de AWS CloudFormation paradefinirlos todos al mismo tiempo.

Puede utilizar la plantilla de ejemplo de CloudFormation tal y como está, o como referencia para crear supropia plantilla.

Temas• Plantilla de ejemplo de CloudFormation (p. 140)• Creación un stack de CloudFormation con la plantilla (p. 140)• Contenido de la plantilla de CloudFormation (p. 148)

Plantilla de ejemplo de CloudFormationLa plantilla de CloudFormation tiene filtros y alarmas de métricas de CloudWatch de modo que recibenotificaciones por correo electrónico cuando se realizan determinadas llamadas a la API relacionadas conla seguridad en su cuenta de AWS.

La plantilla está disponible en un archivo zip en la siguiente ubicación:CloudWatch_Alarms_for_CloudTrail_API_Activity.zip.

La plantilla define los filtros de métricas que monitorean las operaciones de creación, eliminación yactualización de los siguientes tipos de recurso:

• Instancias Amazon EC2• Políticas de IAM• Gateways de Internet• ACL de red• Grupos de seguridad

Cuando se produce una llamada a la API en su cuenta, un filtro de métricas la monitorea. Si la llamada ala API supera los umbrales especificados, se activa la alarma y CloudWatch le envía una notificación porcorreo electrónico.

De forma predeterminada, la mayoría de los filtros de la plantilla activan una alarma cuando se produceun evento monitorizado en un período de cinco minutos. Puede modificar estos umbrales de alarma segúnsus requisitos. Por ejemplo, puede monitorear tres eventos en un periodo de diez minutos. Para realizarcambios, edite la plantilla o, después de cargarla, especifique los umbrales en la consola de CloudWatch.

Note

Dado que CloudTrail normalmente entrega archivos de registro cada cinco minutos, especifiquelos periodos de alarma de cinco minutos como mínimo.

Para ver los filtros y alarmas de métricas en la plantilla y las llamadas a la API que activan lasnotificaciones por correo electrónico, consulte Contenido de la plantilla de CloudFormation (p. 148).

Creación un stack de CloudFormation con la plantillaUna pila de CloudFormation es una colección de recursos relacionados que usted aprovisiona y actualizacomo una única unidad. En el procedimiento siguiente se describe cómo crear el stack y validar ladirección de correo electrónico que recibe las notificaciones.

Version 1.0140

samples/CloudWatch_Alarms_for_CloudTrail_API_Activity.zip




Para crear un stack de CloudFormation con la plantilla

1. Configure su el registro de seguimiento para entregar los archivos de registro a su grupo de registrosde CloudWatch Logs. Consulte Envío de eventos a CloudWatch Logs (p. 134).

2. Descargue la plantilla de CloudFormation: CloudWatch_Alarms_for_CloudTrail_API_Activity.zip.3. Abra la consola de AWS CloudFormation en https://console.aws.amazon.com/cloudformation.4. Elija Create Stack.

5. En la página Select Template, escriba el nombre del stack en Name. El siguiente ejemplo utilizaCloudWatchAlarmsForCloudTrail.

6. En Source, elija Upload a template to Amazon S3.

Version 1.0141

samples/CloudWatch_Alarms_for_CloudTrail_API_Activity.zip

https://console.aws.amazon.com/cloudformation/



7. Elija Choose File y, a continuación, seleccione la plantilla de AWS CloudFormation que hadescargado.

8. Seleccione Siguiente.9. En la página Specify Parameters, escriba la dirección de correo electrónico para recibir notificaciones

en Email.10. En LogGroupName, escriba el nombre del grupo de registros que ha especificado al configurar el

registro de seguimiento para entregar archivos de registro a CloudWatch Logs.

Version 1.0142



11. Seleccione Siguiente.12. En Options, puede crear etiquetas o configurar otras opciones avanzadas. Estas opciones no son

obligatorias.

Version 1.0143



13. Seleccione Siguiente.14. En la página Review, compruebe que la configuración es correcta.

Version 1.0144



15. Seleccione Create. La pila se crea en unos minutos.

16. Después de que se cree el stack, recibirá un correo electrónico en la dirección que haya especificado.

Version 1.0145



17. En el correo electrónico, elija Confirm subscription. Recibirá notificaciones por correo electrónicocuando se activen las alarmas especificadas en la plantilla.

Se ha enviado la siguiente notificación de ejemplo cuando una llamada a la API ha cambiado lapolítica de IAM que ha desencadenado la alarma de métricas.

Version 1.0146



Version 1.0147



Contenido de la plantilla de CloudFormationEn las siguientes tablas se muestran los filtros y alarmas de métricas de la plantilla, su finalidad y lasllamadas a la API que activan las notificaciones por correo electrónico. Las notificaciones se activancuando en su cuenta de producen una o más llamadas a la API acordes con uno de los filtros en la lista.

Puede revisar el filtro de métricas o las definiciones de alarma en la consola de CloudWatch.

Eventos de bucket de Amazon S3

Filtro de métricas y alarma Monitorizary enviarnotificacionespara:

Notificaciones activadas por una ovarias de las siguientes operaciones dela API:

S3BucketChangesMetricFilter

S3BucketChangesAlarm

Llamadas a la APIque cambian lapolítica del bucket,el ciclo de vida, lareplicación o lasACL.

PutBucketAcl

DeleteBucketPolicy

PutBucketPolicy

DeleteBucketLifecycle

PutBucketLifecycle

DeleteBucketReplication

PutBucketReplication

DeleteBucketCors

PutBucketCors

Eventos de red



SecurityGroupChangesMetricFilter

SecurityGroupChangesAlarm

Llamadas a laAPI que crean,actualizan yeliminan grupos deseguridad.

CreateSecurityGroup

DeleteSecurityGroup

AuthorizeSecurityGroupEgress

RevokeSecurityGroupEgress

AuthorizeSecurityGroupIngress

RevokeSecurityGroupIngress

NetworkAclChangesMetricFilter

NetworkAclChangesAlarm

Llamadas a laAPI que crean,actualizan yeliminan ACL dered.

CreateNetworkAcl

DeleteNetworkAcl

CreateNetworkAclEntry

DeleteNetworkAclEntry

Version 1.0148






ReplaceNetworkAclAssociation

ReplaceNetworkAclEntry

GatewayChangesMetricFilter

GatewayChangesAlarm

Llamadas a laAPI que crean,actualizan yeliminan clientes ypuertos de enlacea internet.

CreateCustomerGateway

DeleteCustomerGateway

AttachInternetGateway

CreateInternetGateway

DeleteInternetGateway

DetachInternetGateway

VpcChangesMetricFilter

VpcChangesAlarm

Llamadas a laAPI que crean,actualizany eliminannubes virtualesprivadas (VPC),interconexiones deVPC y conexionesde VPC ainstancias EC2clásicas medianteClassicLink.

CreateVpc

DeleteVpc

ModifyVpcAttribute

AcceptVpcPeeringConnection

CreateVpcPeeringConnection

DeleteVpcPeeringConnection

RejectVpcPeeringConnection

AttachClassicLinkVpc

DetachClassicLinkVpc

DisableVpcClassicLink

EnableVpcClassicLink

Eventos de Amazon EC2



EC2InstanceChangesMetricFilter

EC2InstanceChangesAlarm

Creación,finalización, inicio,parada y reiniciode instancias EC2.

RebootInstances

RunInstances

StartInstances

StopInstances

TerminateInstances

Version 1.0149





EC2LargeInstanceChangesMetricFilter

EC2LargeInstanceChangesAlarm

Creación,finalización, inicio,parada y reiniciode instancias EC2grandes de 4x y8x.

Al menos una de las siguientesoperaciones de API:

RebootInstances

RunInstances

StartInstances

StopInstances

TerminateInstances

y al menos uno de los siguientes tiposde instancia:

instancetype=*.4xlarge

instancetype=*.8xlarge

Eventos de CloudTrail y IAM



CloudTrailChangesMetricFilter

CloudTrailChangesAlarm

Crear, eliminar yactualizar registrosde seguimiento.Cuando comienzay se para elregistro paraun registro deseguimiento.

CreateTrail

DeleteTrail

StartLogging

StopLogging

UpdateTrail

ConsoleSignInFailuresMetricFilter

ConsoleSignInFailuresAlarm

Errores de iniciode sesión de laconsola

eventName es ConsoleLogin

y

errorMessage es "Failedauthentication"

AuthorizationFailuresMetricFilter

AuthorizationFailuresAlarm

Errores deautorización

Cualquier llamada a la API que generaun código de error: AccessDenied

o bien

*UnauthorizedOperation.

IAMPolicyChangesMetricFilter

IAMPolicyChangesAlarm

Cambios en laspolíticas de IAM

AttachGroupPolicy

DeleteGroupPolicy

Version 1.0150

AWS CloudTrail Guía del usuarioEjemplos de creación de alarmas de

CloudWatch para eventos de CloudTrail



DetachGroupPolicy

PutGroupPolicy

CreatePolicy

DeletePolicy

CreatePolicyVersion

DeletePolicyVersion

AttachRolePolicy

DeleteRolePolicy

DetachRolePolicy

PutRolePolicy

AttachUserPolicy

DeleteUserPolicy

DetachUserPolicy

PutUserPolicy

Ejemplos de creación de alarmas de CloudWatch paraeventos de CloudTrailEn este tema se describe cómo configurar alarmas para eventos de CloudTrail utilizando situaciones deejemplo.

Requisitos previos

Para poder utilizar los ejemplos en este tema, debe:

• Crear un registro de seguimiento con la consola o CLI.• Cree un grupo de registros.• Especifique o cree un rol IAM que conceda a CloudTrail permisos para crear una secuencia de registros

de CloudWatch Logs en el grupo de registros que especifique y para entregar eventos de CloudTraila dicha secuencia de registros. El valor predeterminado CloudTrail_CloudWatchLogs_Role seencarga de ello por usted.

Para obtener más información, consulte Envío de eventos a CloudWatch Logs (p. 134).

Crear un filtro de métricas y crear una alarma

Para crear una alarma, primero debe crear un filtro de métricas y, a continuación, configurar unaalarma basada en el filtro. Los procedimientos se muestran para todos los ejemplos. Para obtener más

Version 1.0151



información acerca de la sintaxis de los filtros de métricas y los patrones de los eventos de registro deCloudTrail, consulte las secciones relacionadas con JSON de sintaxis de filtros y patrones en la AmazonCloudWatch Logs User Guide.

Note

En lugar de crear manualmente los siguientes ejemplos de filtros de métricas y alarmas, puedeutilizar una plantilla de AWS CloudFormation para crearlos todos de una vez. Para obtenermás información, consulte Creación de alarmas de CloudWatch con una plantilla de AWSCloudFormation. (p. 139).

Temas• Ejemplo: Actividad de bucket de Amazon S3 (p. 152)• Ejemplo: Cambios de configuración del grupo de seguridad (p. 155)• Ejemplo: Cambios en la lista de control de acceso (ACL) a red (p. 158)• Ejemplo: Cambios en la gateway de red (p. 160)• Ejemplo: Cambios en Amazon Virtual Private Cloud (VPC) (p. 162)• Ejemplo: Cambios en instancias de Amazon EC2 (p. 164)• Ejemplo: Cambios en instancias de gran tamaño EC2 (p. 166)• Ejemplo: Cambios en CloudTrail (p. 168)• Ejemplo: Errores de inicio de sesión de la consola (p. 170)• Ejemplo: Errores de autorización (p. 172)• Ejemplo: Cambios en políticas de IAM (p. 174)

Ejemplo: Actividad de bucket de Amazon S3Siga este procedimiento para crear una alarma de Amazon CloudWatch que se dispara cuando se produceuna llamada a la API de Amazon S3 a la política de bucket PUT o DELETE, el ciclo de vida de bucket, lareplicación de bucket o a PUT, un bucket ACL.

La alarma también se activa para los eventos PUT y DELETE en buckets de CORS (uso compartido derecursos entre orígenes). Para obtener más información, consulte el tema sobre cómo habilitar el usocompartido de recursos entre orígenes en la Guía para desarrolladores de Amazon Simple Storage Service

Crear un filtro de métricas

1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.2. En el panel de navegación, elija Logs.3. En la lista de grupos de registros, seleccione la casilla de verificación junto al grupo que ha creado

para los eventos de registro de CloudTrail4. Elija Create Metric Filter.5. En la pantalla Define Logs Metric Filter, seleccione Filter Pattern y luego escriba lo siguiente:

{ ($.eventSource = s3.amazonaws.com) && (($.eventName = PutBucketAcl) || ($.eventName = PutBucketPolicy) || ($.eventName = PutBucketCors) || ($.eventName = PutBucketLifecycle) || ($.eventName = PutBucketReplication) || ($.eventName = DeleteBucketPolicy) || ($.eventName = DeleteBucketCors) || ($.eventName = DeleteBucketLifecycle) || ($.eventName = DeleteBucketReplication)) }

6. Elija Assign Metric.7. Para Filter Name, escriba S3BucketActivity.

Version 1.0152

https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/cors.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/cors.html




8. Para Metric Namespace, escriba CloudTrailMetrics.9. Para Metric Name, escriba S3BucketActivityEventCount.10. Elija Show advanced metric settings.11. Para Metric Value, escriba 1.12. Elija Create Filter.

Crear una alarma

Después de crear el filtro de métricas, siga este procedimiento para crear una alarma.

1. En la página Filters for Log_Group_Name, junto al nombre de filtro S3BucketActivity, elija CreateAlarm.

2. En la página Create Alarm, especifique los valores siguientes.

Version 1.0153



Version 1.0154



Opción Valor

Actividad de bucket de S3

1

1

5 minutos

Sum

Cerca del cuadro Select a notification list, seleccione New list y, acontinuación, escriba un nombre de tema único para la lista.

Elija Email list y luego escriba la dirección de correo electrónico ala que desea que se envíen las notificaciones. Recibirá un correoelectrónico en esta dirección para confirmar que ha creado estaalarma.

3. Elija Create Alarm.

Prueba de la alarma de actividad de bucket S3

Puede probar la alarma cambiando la política de bucket S3.

Para probar la alarma

1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.2. Elija un bucket S3 en una región que esté registrando su registro de seguimiento. Por ejemplo, si

su registro de seguimiento está registrando solo en Región EE.UU Este (Ohio), elija un bucket dela misma región. Si su registro de seguimiento se aplica a todas las regiones, elija un bucket S3 encualquier región.

3. Elija Permissions y, a continuación, seleccione Bucket Policy.4. Utilice el Bucket policy editor para cambiar la política y, a continuación, seleccione Save.5. Su registro de seguimiento recoge la operación PutBucketPolicy y suministra el evento a su grupo

de registros de CloudWatch Logs. El evento activa la alarma métrica y CloudWatch Logs le envía unanotificación sobre el cambio.

Ejemplo: Cambios de configuración del grupo de seguridadSiga este procedimiento para crear una alarma de Amazon CloudWatch que se dispare cuando seproduzcan cambios de configuración que impliquen a grupos de seguridad.



para los eventos de registro de CloudTrail

Version 1.0155





4. Elija Create Metric Filter.5. En la pantalla Define Logs Metric Filter, seleccione Filter Pattern y luego escriba lo siguiente:

{ ($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName = AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }

6. Elija Assign Metric.7. Para Filter Name, escriba SecurityGroupEvents.8. Para Metric Namespace, escriba CloudTrailMetrics.9. Para Metric Name, escriba SecurityGroupEventCount.10. Elija Show advanced metric settings.11. Para Metric Value, escriba 1.12. Elija Create Filter.

Crear una alarma


1. En la página Filters for Log_Group_Name, junto al nombre de filtro, elija Create Alarm.2. En la página Create Alarm, especifique los valores siguientes.

Version 1.0156



Opción Valor

Cambios de configuración del grupo de seguridad

>=1

1

5 minutos

Sum


Version 1.0157



Opción Valor



Ejemplo: Cambios en la lista de control de acceso (ACL) a redSiga este procedimiento para crear una alarma de Amazon CloudWatch que se dispare cuando seproduzcan cambios de configuración que impliquen a ACL de red.




{ ($.eventName = CreateNetworkAcl) || ($.eventName = CreateNetworkAclEntry) || ($.eventName = DeleteNetworkAcl) || ($.eventName = DeleteNetworkAclEntry) || ($.eventName = ReplaceNetworkAclEntry) || ($.eventName = ReplaceNetworkAclAssociation) }

6. Elija Assign Metric.7. Para Filter Name, escriba NetworkACLEvents.8. Para Metric Namespace, escriba CloudTrailMetrics.9. Para Metric Name, escriba NetworkACLEventCount.10. Elija Show advanced metric settings.11. Para Metric Value, escriba 1.12. Elija Create Filter.

Crear una alarma



Version 1.0158




Opción Valor

Cambios en la configuración de ACL de red

>=1

1

5 minutos

Sum


Version 1.0159



Opción Valor



Ejemplo: Cambios en la gateway de redSiga este procedimiento para crear una alarma de Amazon CloudWatch que se dispare cuando seproduzca una llamada a la API para crear, actualizar o eliminar un cliente o gateway de Internet.




{ ($.eventName = CreateCustomerGateway) || ($.eventName = DeleteCustomerGateway) || ($.eventName = AttachInternetGateway) || ($.eventName = CreateInternetGateway) || ($.eventName = DeleteInternetGateway) || ($.eventName = DetachInternetGateway) }

6. Elija Assign Metric.7. Para Filter Name, escriba GatewayChanges.8. Para Metric Namespace, escriba CloudTrailMetrics.9. Para Metric Name, escriba GatewayEventCount.10. Elija Show advanced metric settings.11. Para Metric Value, escriba 1.12. Elija Create Filter.

Ejemplo: Crear una alarma



Version 1.0160




Opción Valor

Cambios en la gateway de red

1

1

5 minutos

Sum


Version 1.0161



Opción Valor



Ejemplo: Cambios en Amazon Virtual Private Cloud (VPC)Siga este procedimiento para crear una alarma de Amazon CloudWatch que se dispare cuando se efectúeuna llamada a la API para crear, actualizar o eliminar una Amazon VPC, una interconexión de AmazonVPC; o una conexión Amazon VPC a instancias clásicas de Amazon EC2.




{ ($.eventName = CreateVpc) || ($.eventName = DeleteVpc) || ($.eventName = ModifyVpcAttribute) || ($.eventName = AcceptVpcPeeringConnection) || ($.eventName = CreateVpcPeeringConnection) || ($.eventName = DeleteVpcPeeringConnection) || ($.eventName = RejectVpcPeeringConnection) || ($.eventName = AttachClassicLinkVpc) || ($.eventName = DetachClassicLinkVpc) || ($.eventName = DisableVpcClassicLink) || ($.eventName = EnableVpcClassicLink) }

6. Elija Assign Metric.7. Para Filter Name, escriba VpcChanges.8. Para Metric Namespace, escriba CloudTrailMetrics.9. Para Metric Name, escriba VpcEventCount.10. Elija Show advanced metric settings.11. Para Metric Value, escriba 1.12. Elija Create Filter.

Crear una alarma



Version 1.0162




Opción Valor

Cambios en VPC

1

1

5 minutos

Sum


Version 1.0163



Opción Valor



Ejemplo: Cambios en instancias de Amazon EC2Siga este procedimiento para crear una alarma de Amazon CloudWatch que se dispare cuando seproduzca una llamada a la API para crear, terminar, comenzar, detener o recargar una instancia AmazonEC2;




{ ($.eventName = RunInstances) || ($.eventName = RebootInstances) || ($.eventName = StartInstances) || ($.eventName = StopInstances) || ($.eventName = TerminateInstances) }

6. Elija Assign Metric.7. Para Filter Name, escriba EC2InstanceChanges.8. Para Metric Namespace, escriba CloudTrailMetrics.9. Para Metric Name, escriba EC2InstanceEventCount.10. Elija Show advanced metric settings.11. Para Metric Value, escriba 1.12. Elija Create Filter.

Crear una alarma



Version 1.0164




Opción Valor

Cambios en instancias de EC2

1

1

5 minutos

Sum


Version 1.0165



Opción Valor



Ejemplo: Cambios en instancias de gran tamaño EC2Siga este procedimiento para crear una alarma de Amazon CloudWatch que se dispare cuando se produceuna llamada a la API para crear una instancia Amazon EC2 de tamaño 4x u 8x.




{ ($.eventName = RunInstances) && (($.requestParameters.instanceType = *.8xlarge) || ($.requestParameters.instanceType = *.4xlarge)) }

6. Elija Assign Metric.7. Para Filter Name, escriba EC2LargeInstanceChanges.8. Para Metric Namespace, escriba CloudTrailMetrics.9. Para Metric Name, escriba EC2LargeInstanceEventCount.10. Elija Show advanced metric settings.11. Para Metric Value, escriba 1.12. Elija Create Filter.

Crear una alarma



Version 1.0166




Opción Valor

Cambios en instancias de gran tamaño EC2

1

1

5 minutos

Sum


Version 1.0167



Opción Valor



Ejemplo: Cambios en CloudTrailSiga este procedimiento para crear una alarma de Amazon CloudWatch que se dispare cuando seproduzca una llamada a la API para crear, actualizar o eliminar un registro de seguimiento CloudTrail, opara comenzar o detener el registro de un registro de seguimiento.




{ ($.eventName = CreateTrail) || ($.eventName = UpdateTrail) || ($.eventName = DeleteTrail) || ($.eventName = StartLogging) || ($.eventName = StopLogging) }

6. Elija Assign Metric.7. Para Filter Name, escriba CloudTrailChanges.8. Para Metric Namespace, escriba CloudTrailMetrics.9. Para Metric Name, escriba CloudTrailEventCount.10. Elija Show advanced metric settings.11. Para Metric Value, escriba 1.12. Elija Create Filter.

Crear una alarma



Version 1.0168




Opción Valor

Cambios en CloudTrail

1

1

5 minutos

Sum


Version 1.0169



Opción Valor



Ejemplo: Errores de inicio de sesión de la consolaSiga este procedimiento para crear una alarma de Amazon CloudWatch que se dispare cuando existantres o más errores de inicio de sesión durante un periodo de cinco minutos.




{ ($.eventName = ConsoleLogin) && ($.errorMessage = "Failed authentication") }

6. Elija Assign Metric.7. Para Filter Name, escriba ConsoleSignInFailures.8. Para Metric Namespace, escriba CloudTrailMetrics.9. Para Metric Name, escriba ConsoleSigninFailureCount.10. Elija Show advanced metric settings.11. Para Metric Value, escriba 1.12. Elija Create Filter.

Crear una alarma



Version 1.0170




Opción Valor

Errores de inicio de sesión de la consola

>=3

1

5 minutos

Sum


Version 1.0171



Opción Valor



Ejemplo: Errores de autorizaciónSiga este procedimiento para crear una alarma de Amazon CloudWatch que se dispare cuando se hagauna llamada no autorizada a la API.




{ ($.errorCode = "*UnauthorizedOperation") || ($.errorCode = "AccessDenied*") }

6. Elija Assign Metric.7. Para Filter Name, escriba AuthorizationFailures.8. Para Metric Namespace, escriba CloudTrailMetrics.9. Para Metric Name, escriba AuthorizationFailureCount.10. Elija Show advanced metric settings.11. Para Metric Value, escriba 1.12. Elija Create Filter.

Crear una alarma



Version 1.0172




Opción Valor

Errores de autorización

1

1

5 minutos

Sum


Version 1.0173



Opción Valor



Ejemplo: Cambios en políticas de IAMSiga este procedimiento para crear una alarma de Amazon CloudWatch que se dispare cuando seproduzca una llamada a la API para cambiar una política IAM.




{($.eventName=DeleteGroupPolicy)||($.eventName=DeleteRolePolicy)||($.eventName=DeleteUserPolicy)||($.eventName=PutGroupPolicy)||($.eventName=PutRolePolicy)||($.eventName=PutUserPolicy)||($.eventName=CreatePolicy)||($.eventName=DeletePolicy)||($.eventName=CreatePolicyVersion)||($.eventName=DeletePolicyVersion)||($.eventName=AttachRolePolicy)||($.eventName=DetachRolePolicy)||($.eventName=AttachUserPolicy)||($.eventName=DetachUserPolicy)||($.eventName=AttachGroupPolicy)||($.eventName=DetachGroupPolicy)}

6. Elija Assign Metric.7. Para Filter Name, escriba IAMPolicyChanges.8. Para Metric Namespace, escriba CloudTrailMetrics.9. Para Metric Name, escriba IAMPolicyEventCount.10. Elija Show advanced metric settings.11. Para Metric Value, escriba 1.12. Elija Create Filter.

Crear una alarma



Version 1.0174




Opción Valor

Cambios en políticas de IAM

1

1

5 minutos

Sum


Version 1.0175



Opción Valor



Ejemplos de creación de alarmas de CloudWatch paraeventos de CloudTrailLas prácticas recomendadas para AWS Identity and Access Management (IAM) no recomiendan usarlas credenciales de la cuenta raíz para tener acceso a AWS. En su lugar, debería crear usuarios de IAMindividuales para poder proporcionar a cada usuario un conjunto único de credenciales de seguridad. Lasprácticas recomendadas de IAM también aconsejan habilitar Multi-Factor Authentication (MFA) para losusuarios de IAM con acceso a recursos o API confidenciales.

Puede monitorear si una actividad en la cuenta de AWS cumple estas prácticas recomendadas mediantela creación de alarmas de CloudWatch que le notificarán cuándo se utilizaron las credenciales de la cuentapara obtener acceso a AWS, o cuando se han producido actividades de inicio de sesión con la API o con laconsola sin que haya habido autenticación MFA. Estas alarmas se describen en este documento.

Para configurar alarmas son precisos dos pasos principales:

• Crear un filtro de métricas.• Crear una alarma basada en el filtro.

Temas• Ejemplo: Monitorizar el uso de una cuenta raíz (p. 176)• Ejemplo: Monitorizar la actividad de la API sin Multi-Factor Authentication (MFA) (p. 179)• Ejemplo: Monitorizar el inicio de sesión de la consola sin Multi-Factor Authentication (MFA) (p. 182)

Ejemplo: Monitorizar el uso de una cuenta raízEn esta situación se describe cómo utilizar la consola de administración de AWS para crear una alarma deAmazon CloudWatch que se activa cuando se utilizan las credenciales de la cuenta raíz.




{ $.userIdentity.type = "Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }

Version 1.0176

https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/IAMBestPractices.html#enable-mfa-for-privileged-users




Note

Para obtener más información acerca de la sintaxis de los filtros de métricas y los patronesde los eventos de registro de CloudTrail, consulte las secciones relacionadas con JSON desintaxis de filtros y patrones en la guía de usuario de Amazon CloudWatch.

6. Elija Assign Metric y, en la pantalla Create Metric Filter and Assign a Metric, en el cuadro Filter Name,escriba RootAccountUsage.

7. En Metric Details, en el cuadro Metric Namespace, escriba CloudTrailMetrics.8. En el campo Metric Name, escriba RootAccountUsageCount.9. Elija Metric Value y, a continuación, escriba 1.

Note

Si no aparece Metric Value, elija Show advanced metric settings en primer lugar.10. Cuando haya terminado, seleccione Create Filter.

Crear una alarma

Estos pasos son una continuación de los pasos anteriores para crear un filtro de métricas.


Version 1.0177

https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/FilterAndPatternSyntax.html



Version 1.0178



Opción Valor

Root Account Usage

>=1

1

5 minutos

Sum


Elija Email list y luego escriba la dirección de correo electrónico ala que desea que se envíen las notificaciones. (Recibirá un correoelectrónico en esta dirección para confirmar que ha creado estaalarma).

3. Cuando haya terminado, seleccione Create Alarm.

Ejemplo: Monitorizar la actividad de la API sin Multi-FactorAuthentication (MFA)Esta situación muestra cómo se utiliza la consola de administración de AWS para crear una alarma deAmazon CloudWatch que se activa cuando las llamadas a la API se realizan sin utilizar Multi-FactorAuthentication (MFA).




{ $.userIdentity.sessionContext.attributes.mfaAuthenticated != "true" }

Note


6. Elija Assign Metric y, en la pantalla Create Metric Filter and Assign a Metric, en el cuadro Filter Name,escriba ApiActivityWithoutMFA.

7. En Metric Details, en el cuadro Metric Namespace, escriba CloudTrailMetrics.8. En el cuadro Metric Name, escriba ApiActivityWithoutMFACount.

Version 1.0179





9. Elija Metric Value y, a continuación, escriba 1.

Note


Crear una alarma



Version 1.0180



Version 1.0181



Opción Valor

Api Activity Without MFA

>=1

1

5 minutos

Sum




Ejemplo: Monitorizar el inicio de sesión de la consola sin Multi-Factor Authentication (MFA)Esta situación muestra cómo se utiliza la consola de administración de AWS para crear una alarma deAmazon CloudWatch que se active cuando se inicie sesión en la consola sin Multi-Factor Authentication.




{ $.eventName = "ConsoleLogin" && $.additionalEventData.MFAUsed = "No" }

Note


6. Elija Assign Metric y, en la pantalla Create Metric Filter and Assign a Metric, en el cuadro Filter Name,escriba ConsoleSignInWithoutMfa.

7. En Metric Details, en el cuadro Metric Namespace, escriba CloudTrailMetrics.8. En el campo Metric Name, escriba ConsoleSignInWithoutMfaCount.9. Elija Metric Value y, a continuación, escriba 1.

Version 1.0182





Note


Ejemplo: Crear una alarma



Version 1.0183



Version 1.0184

AWS CloudTrail Guía del usuarioConfigurar notificaciones para alarmas de CloudWatch Logs

Opción Valor

Console Sign In Without MFA

1

1

5 minutos

Sum




Configurar notificaciones para alarmas de CloudWatchLogsPuede configurar CloudWatch Logs para enviar una notificación cuando se active una alarma paraCloudTrail. De esta forma, podrá responder rápidamente a eventos operativos críticos registrados eneventos de CloudTrail y detectados por CloudWatch Logs. CloudWatch utiliza Amazon Simple NotificationService (SNS) para enviar correos electrónicos. Para obtener más información, consulte ConfigurarAmazon SNS en la Guía para desarrolladores de CloudWatch.

Impedir que CloudTrail envíe eventos a CloudWatchLogsPuede detener el envío de eventos a CloudWatch Logs si elimina el punto de enlace de entrega.

Consola de administración de AWSPara eliminar el punto de enlace de entrega de los registros de CloudWatch mediante la consolade administración de AWS

1. Inicie sesión en la consola de administración de AWS.2. Desplácese hasta la consola de CloudTrail.3. En el panel de navegación, haga clic en Configuration.4. En la sección CloudWatch Logs (opcional), haga clic en el icono Delete (papelera).5. Haga clic en Continue para confirmar.

Version 1.0185

http://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/US_SetupSNS.html

http://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/US_SetupSNS.html

AWS CloudTrail Guía del usuarioNombres de grupos de registros y secuenciasde registros de CloudWatch para CloudTrail

AWSInterfaz de línea de comandos (CLI)Puede eliminar el grupo de registros de CloudWatch Logs como punto de enlace de entrega con elcomando update-trail. El siguiente comando borra el grupo de registros y el rol de la configuración delregistro de seguimiento.

aws cloudtrail update-trail --name trailname --cloud-watch-logs-log-group-arn="" --cloud-watch-logs-role-arn=""

Nombres de grupos de registros y secuencias deregistros de CloudWatch para CloudTrailAmazon CloudWatch mostrará el grupo de registros que usted creó para eventos de CloudTrail junto concualquier otro grupo de registros que tenga en una región. Le recomendamos que utilice un nombre degrupo de registros que le permita distinguirlo de otros grupos de registros. Por ejemplo, CloudTrail/logs. Los nombres de grupo de registros puede tener de 1 a 512 caracteres de longitud. Entre loscaracteres permitidos se incluyen a-z, A-Z, 0-9, "_" (carácter de subrayado), "-" (guion), "/" (barra diagonal)y "." (punto).

Cuando CloudTrail crea la secuencia de registros para el grupo de registro, nombra la secuencia deregistros conforme al formato siguiente: account_ID_CloudTrail_source_region.

Note

Si el volumen de registros de CloudTrail es grande, se pueden crear varias secuencias deregistros para enviar datos de registro a su grupo de registros.

Documento de política de roles para que CloudTrailuse CloudWatch Logs para el monitoreoEsta sección describe la política de confianza necesaria para que el rol de CloudTrail envíe eventosde registro a CloudWatch Logs. Puede adjuntar un documento de políticas a un rol cuando configureCloudTrail para enviar eventos, como se describe en Envío de eventos a CloudWatch Logs (p. 134).También puede crear un rol con IAM. Para obtener más información, consulte la información sobrecreación de un rol para un servicio de AWS (consola de administración de AWS) o sobre creación de un rol(CLI y API).

El siguiente documento de políticas de ejemplo contiene los permisos necesarios para crear una secuenciade registro de CloudWatch en el grupo de registro que indique y para enviar eventos de CloudTrail a dichasecuencia de registro en la región EE.UU. Este (Ohio). (Esta es la política predeterminada para el rol deIAM predeterminado CloudTrail_CloudWatchLogs_Role).

{ "Version": "2012-10-17", "Statement": [ {

"Sid": "AWSCloudTrailCreateLogStream2014110", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*"

Version 1.0186

http://docs.aws.amazon.com/IAM/latest/UserGuide/create-role-xacct.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/Using_CreateRole_CLIAPI.html

http://docs.aws.amazon.com/IAM/latest/UserGuide/Using_CreateRole_CLIAPI.html

AWS CloudTrail Guía del usuarioDocumento de política de roles para que

CloudTrail use CloudWatch Logs para el monitoreo

]

}, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:accountID:log-group:log_group_name:log-stream:CloudTrail_log_stream_name_prefix*" ] } ]}

Si va a crear una política que también se puede utilizar para los registros de seguimiento de organización,deberá modificarla a partir la política predeterminada creada para el rol. Por ejemplo, la siguiente políticaconcede a CloudTrail los permisos necesarios para crear un flujo de registro de CloudWatch Logs en elgrupo de registro que especifique como el valor de log_group_name, y para enviar eventos de CloudTraila ese flujo de registro tanto para los registros de seguimiento de la cuenta de AWS 111111111111 comopara los registros de seguimiento de organización creados en la cuenta de 111111111111 que se aplican ala organización de AWS Organizations con el ID de o-exampleorgid:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailCreateLogStream20141101", "Effect": "Allow", "Action": [ "logs:CreateLogStream" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name:log-stream:o-exampleorgid_*" ] }, { "Sid": "AWSCloudTrailPutLogEvents20141101", "Effect": "Allow", "Action": [ "logs:PutLogEvents" ], "Resource": [ "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name:log-stream:111111111111_CloudTrail_us-east-2*", "arn:aws:logs:us-east-2:111111111111:log-group:CloudTrail/log_group_name:log-stream:o-exampleorgid_*" ] } ]}

Para obtener más información acerca de los registros de seguimiento de organización, consulte Creaciónde un registro de seguimiento para una organización (p. 91).

Version 1.0187

AWS CloudTrail Guía del usuarioRecepción de archivos de registrode CloudTrail de varias cuentas

Recepción de archivos de registro de CloudTrail devarias cuentas

Puede hacer que CloudTrail entregue los archivos de registro de varias cuentas de AWS a un solobucket de Amazon S3. Por ejemplo, tiene cuatro cuentas de AWS con los ID de cuenta 111111111111,222222222222, 333333333333 y 444444444444 y desea configurar CloudTrail para que entregue losarchivos de registro de las cuatro cuentas a un bucket que pertenece a la cuenta 111111111111. Para ello,siga los pasos que se describen a continuación por orden:

1. Active CloudTrail en la cuenta a la que pertenecerá el bucket de destino (111111111111 en esteejemplo). No active CloudTrail en las otras cuentas aún.

Para obtener instrucciones, consulte Creación de un registro de seguimiento (p. 69).2. Actualice la política en su bucket de destino para conceder permisos entre cuentas a CloudTrail.

Para obtener instrucciones, consulte Configuración de la política de bucket para variascuentas (p. 188).

3. Active CloudTrail en las otras cuentas (222222222222, 333333333333 y 444444444444 en esteejemplo). Configure CloudTrail en estas cuentas para utilizar el mismo bucket que pertenece a la cuentaque ha especificado en el paso 1 (111111111111 en este ejemplo).

Para obtener instrucciones, consulte Activación de CloudTrail en cuentas adicionales (p. 189).

Temas• Configuración de la política de bucket para varias cuentas (p. 188)• Activación de CloudTrail en cuentas adicionales (p. 189)

Configuración de la política de bucket para variascuentasPara que un bucket reciba archivos de registro desde varias cuentas, su política de bucket debe concederpermiso a CloudTrail para escribir los archivos de registro desde todas las cuentas que especifique. Estosignifica que debe modificar la política de bucket en su bucket de destino para conceder a CloudTrailpermiso para escribir los archivos de registro desde cada cuenta especificada.

Para modificar los permisos de bucket para que los archivos puedan recibirse desde variascuentas

1. Inicie sesión en la Consola de administración de AWS con la cuenta que posee el bucket(111111111111 en este ejemplo) y abra la consola de Amazon S3.

2. Elija el bucket al que CloudTrail envía los archivos de registro y, a continuación, elija Properties.3. Elija Permissions.4. Elija Edit Bucket Policy.5. Modifique la política existente para añadir una línea para cada cuenta adicional cuyos archivos de

registro desea enviar a este bucket. Consulte la siguiente política de ejemplo y preste atención a lalínea Resource subrayada donde se especifica un segundo ID de cuenta.

Note

Un ID de cuenta de AWS es un número de 12 dígitos. No hay que omitir los ceros a laizquierda.

Version 1.0188

AWS CloudTrail Guía del usuarioActivación de CloudTrail en cuentas adicionales

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::myBucketName" }, { "Sid": "AWSCloudTrailWrite20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "s3:PutObject", "Resource": [ "arn:aws:s3:::myBucketName/[optional] myLogFilePrefix/AWSLogs/111111111111/*", "arn:aws:s3:::myBucketName/[optional] myLogFilePrefix/AWSLogs/222222222222/*" ], "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ]}

Activación de CloudTrail en cuentas adicionalesPuede utilizar la consola o la interfaz de línea de comandos para activar CloudTrail en otras cuentas deAWS.

Uso de la consola para activar CloudTrail en otras cuentas deAWSPuede utilizar la consola de CloudTrail para activar CloudTrail en otras cuentas.

1. Inicie sesión en la consola de administración de AWS con las credenciales de 222222222222 de lacuenta y abra la consola de AWS CloudTrail. En la barra de navegación, seleccione la región en la quedesea activar CloudTrail.

2. Seleccione Get Started Now.3. En la página siguiente, escriba un nombre para su registro de seguimiento en el cuadro Trail name.4. En Create a new S3 bucket, elija No. Utilice la casilla de texto para introducir el nombre del bucket

que ha creado anteriormente para almacenar los archivos de registro cuando inició sesión utilizandolas credenciales de 111111111111 de la cuenta. CloudTrail muestra una advertencia en la que lepregunta si está seguro de que desea especificar un bucket de S3 en otra cuenta. Verifique el nombredel bucket que ha introducido.

5. Seleccione Advanced.6. En el campo Log file prefix, escriba el mismo prefijo que escribió para almacenar los archivos de

registro al activar CloudTrail con las credenciales de 111111111111 de la cuenta. Si decide utilizar un

Version 1.0189

AWS CloudTrail Guía del usuarioActivación de CloudTrail en cuentas adicionales

prefijo distinto al que introdujo al activar CloudTrail en la primera cuenta, deberá editar la política delbucket en su bucket de destino para permitir que CloudTrail escriba archivos de registro en su bucketcon este nuevo prefijo.

7. (Opcional) Elija Yes o No en SNS notification for every log file delivery? Si ha elegido Yes, escriba unnombre para el tema de Amazon SNS en el campo SNS topic (new).

Note

Amazon SNS es un servicio regional, por lo que si decide crear un tema, dicho tema existiráen la misma región en la que activó CloudTrail. Si tiene un registro de seguimiento quese aplica a todas las regiones, puede elegir un tema de Amazon SNS en cualquier regiónsiempre que tenga la política correcta aplicada en el tema. Para obtener más información,consulte Política de temas de Amazon SNS para CloudTrail (p. 254).

8. Elija Turn On.

En unos 15 minutos, CloudTrail empieza la publicación de archivos de registro que muestran las llamadasde AWS realizadas en sus cuentas en dicha región desde el momento en que completó los pasosanteriores.

Uso de la CLI para activar CloudTrail en otras cuentas de AWSPuede utilizar las herramientas de la línea de comandos de AWS para activar CloudTrail en otras cuentasy agregar sus archivos de registro en un bucket de Amazon S3. Para obtener más información sobre estasherramientas, consulte AWS Command Line Interface Guía del usuario.

Para activar CloudTrail en las otras cuentas, utilice el comando create-trail con los parámetrossiguientes:

• --name especifica el nombre del registro de seguimiento.• --s3-bucket-name especifica el bucket de Amazon S3 existente que creó al activar CloudTrail en su

primera cuenta (111111111111 en este ejemplo).• --s3-prefix especifica un prefijo para la ruta de envío de los archivos de registro (opcional).• --is-multi-region-trail especifica que este registro de seguimiento registrará eventos de todas

las regiones de AWS.

A diferencia de los registros de seguimiento creados mediante la consola, debe asignar un nombre a cadaregistro de seguimiento que cree con la AWS CLI. Puede crear un registro de seguimiento para cadaregión en la que una cuenta ejecuta recursos de AWS.

El siguiente comando de ejemplo muestra cómo crear un registro de seguimiento para sus otras cuentasmediante la AWS CLI. Para enviar los archivos de registro de estas cuentas al bucket que creó en suprimera cuenta (111111111111 en este ejemplo), especifique el nombre del bucket en la opción --s3-bucket-name. Los nombres de los buckets de Amazon S3 son únicos de forma global.

aws cloudtrail create-trail --name my-trail --s3-bucket-name my-bucket --is-multi-region-trail

Al ejecutar el comando, verá un resultado parecido al siguiente:

{ "IncludeGlobalServiceEvents": true, "Name": "AWSCloudTrailExample", "TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail", "LogFileValidationEnabled": false,

Version 1.0190


AWS CloudTrail Guía del usuarioCompartición de archivos de registrode CloudTrail entre cuentas de AWS

"IsMultiRegionTrail": true, "IsOrganizationTrail": false, "S3BucketName": "MyBucketBelongingToAccount111111111111"}

Para obtener más información sobre el uso de CloudTrail desde las herramientas de línea de comandos deAWS, consulte la Referencia de la línea de comandos de CloudTrail.

Compartición de archivos de registro de CloudTrailentre cuentas de AWS

En esta sección se explica cómo compartir archivos de registro de CloudTrail entre varias cuentas deAWS. Supongamos que los archivos de registro se han recibido en un solo bucket de Amazon S3, que esel valor predeterminado para un registro de seguimiento creado en la consola de CloudTrail. En la primerasituación, aprenderá a conceder acceso de solo lectura a las cuentas que han generado los archivos deregistro colocados en el bucket de Amazon S3. En la segunda situación, aprenderá a conceder acceso atodos los archivos de registro a una cuenta de terceros que puede analizar los archivos.

Para compartir archivos de registro entre varias cuentas de AWS, debe realizar los siguientes pasosgenerales. Estos pasos se explican en detalle más adelante en esta sección.

• Cree un rol de IAM para cada cuenta con la que desea compartir archivos de registro.• Para cada uno de estos roles de IAM, cree una política de acceso de solo lectura a la cuenta con la que

quiere compartir los archivos de registro.• Haga que un usuario de IAM de cada cuenta suponga de forma programada el rol adecuado y recupere

los archivos de registro.

Esta sección recorre los pasos anteriores en el contexto de dos situaciones de uso compartido diferentes:la concesión de acceso a los archivos de registro de cada cuenta que han generado esos archivos y eluso compartido de archivos de registro con un tercero. La mayoría de los pasos que realiza para las dossituaciones son los mismos; la diferencia importante radica en el tipo de permiso que concede el rol deIAM a cada cuenta. Es decir, puede conceder permiso a una cuenta para leer únicamente sus propiosarchivos de registro, o bien puede conceder permiso a una cuenta para leer todos los archivos de registro.Para obtener más información acerca de la administración de permisos para los roles de IAM, consulte lasección Roles (delegación y federación) en la Guía del usuario de IAM.

Situación 1: Concesión de acceso a la cuenta que hagenerado los archivos de registroEn esta situación, vamos a suponer que su compañía consta de dos unidades de negocio y que mantienetres cuentas de AWS. La primera cuenta, la cuenta A, es la cuenta de nivel superior. Por ejemplo, la podríaadministrar el departamento de TI de la compañía y, por lo tanto, este será responsable de recopilarlos archivos de registro de los demás servicios y unidades de negocio en un solo bucket. Las otras doscuentas, B y C, corresponden a unidades de negocio de la compañía.

En esta situación, se supone que ya ha configurado los archivos de registro de las tres cuentas que sevan a entregar a un solo bucket de Amazon S3 y que la cuenta A tiene control total sobre ese bucket, tal ycomo se muestra en la siguiente ilustración.

Version 1.0191


https://docs.aws.amazon.com/IAM/latest/UserGuide/WorkingWithRoles.html

AWS CloudTrail Guía del usuarioSituación 1: Concesión de acceso a la cuenta

que ha generado los archivos de registro

Aunque el bucket de Amazon S3 contiene archivos de registro que han generado las cuentas A, B y C,las cuentas B y C no tienen acceso inicialmente a los archivos de registro que han generado las cuentasB y C. El usuario dará a cada unidad de negocio acceso de solo lectura a los archivos de registro que segeneren, tal y como se muestra en la siguiente ilustración.

Para conceder acceso de solo lectura a los archivos de registro que generan las cuentas B y C, debe hacerlo siguiente en la cuenta A. Recuerde que la cuenta A tiene el control completo del bucket de Amazon S3.

Version 1.0192

AWS CloudTrail Guía del usuarioSituación 2: Concesión de acceso a todos los registros

• Cree un rol de IAM para la cuenta B y otro rol de IAM para la cuenta C. Cómo: Creación de unrol (p. 194)

• Para el rol de IAM que ha creado para la cuenta B, cree una política de acceso de solo lectura a losarchivos de registro generados por la cuenta B. Para el rol de IAM que ha creado para la cuenta C, creeuna política de acceso de solo lectura a los archivos de registro generados por la cuenta C. Cómo: Crearuna política de acceso para conceder acceso a las cuentas de su propiedad (p. 195)

• Haga que un usuario de IAM de la cuenta B asuma mediante programación el rol que se ha creado parala cuenta B. Haga que un usuario de IAM de la cuenta C asuma mediante programación el rol que se hacreado para la cuenta C. El propietario de la cuenta correspondiente debe dar a cada usuario de IAMpermiso para asumir el rol. Cómo: Creación de políticas de permisos para usuarios de IAM (p. 199).

• Por último, el propietario de la cuenta que concede el permiso debe ser administrador y debe conocer elARN del rol de la cuenta A que se asume. Cómo: Llamada a AssumeRole (p. 199).

Los usuarios de IAM de las cuentas B y C pueden recuperar mediante programación sus propios archivosde registro, pero no los archivos de registro de cualquier otra cuenta.

Situación 2: Concesión de acceso a todos los registrosEn esta situación, supongamos que la compañía está estructurada como en la situación anterior, es decir,consta de dos unidades de negocio y mantiene tres cuentas de AWS. La primera cuenta, la cuenta A, es lacuenta de nivel superior. Por ejemplo, podría estar administrada por el departamento de TI de la compañíay, por lo tanto, este será responsable de colocar los demás archivos de registro en un único bucket. Lasotras dos cuentas, B y C, corresponden a cada una de las unidades de negocio de la compañía.

Al igual que en la situación anterior, en esta situación se supone que ya ha colocado los archivos deregistro de las tres cuentas en un solo bucket de Amazon S3 y que la cuenta A tiene control total sobredicho bucket.

Por último, también se supone que su compañía desea compartir todos los archivos de registro detodas las cuentas (A, B y C) con un tercero. Vamos a suponer que el tercero tiene una cuenta de AWSdenominada cuenta Z, tal y como se muestra en la siguiente ilustración.

Para compartir todos los archivos de registro de su compañía con la cuenta Z, debe hacer lo siguiente enla cuenta A, que es la que tiene control total sobre el bucket de Amazon S3.

• Cree un rol de IAM para la cuenta Z. Cómo: Creación de un rol (p. 194)

Version 1.0193

AWS CloudTrail Guía del usuarioCreación de un rol

• Para el rol de IAM que se ha creado para la cuenta Z, cree una política de acceso de solo lectura alos archivos de registro generados por las cuentas A, B y C. Cómo: Crear una política de acceso paraconceder acceso a un tercero (p. 197)

• Haga que un usuario de IAM de la cuenta Z asuma mediante programación el rol y luego recupere losarchivos de registro correspondientes. El propietario de la cuenta Z debe dar al usuario de IAM permisopara asumir el rol. Cómo: Creación de políticas de permisos para usuarios de IAM (p. 199). Asimismo,el propietario de la cuenta que concede el permiso debe ser administrador y conocer el ARN del rol de lacuenta A que se asume. Cómo: Llamada a AssumeRole (p. 199).

Creación de un rolAl agrupar archivos de registro de varias cuentas en un solo bucket de Amazon S3, solo la cuenta quetiene el control completo del bucket (la cuenta A en nuestro ejemplo) tiene pleno acceso de lectura a todoslos archivos de registro del bucket. Las cuentas B, C y Z de nuestro ejemplo no tienen ningún derechohasta que se le conceda. Por lo tanto, para compartir los archivos de registro de CloudTrail de AWS deuna cuenta con otra (es decir, para completar la Situación 1 o la Situación 2 descritas anteriormente enesta sección), debe habilitar el acceso entre cuentas. Para ello, puede crear roles de IAM y sus políticas deacceso asociadas.

RolesCree un rol de IAM para cada cuenta a la que desea otorgar acceso. En nuestro ejemplo, tendrá tres roles,uno para cada una de las cuentas B, C y Z. Cada rol de IAM define una política de acceso o permisos quepermite a las cuentas acceder a los recursos (archivos de registro) propiedad de la cuenta A. Los permisosse vinculan con cada rol y se asocian a cada cuenta (B, C o Z) únicamente cuando se supone el rol. Paraobtener más información acerca de la administración de permisos para los roles de IAM, consulte Rolesde IAM en la Guía del usuario de IAM. Para obtener más información sobre cómo asumir un rol, consulteAsumir un rol (p. 198).

PolíticasExisten dos políticas para cada rol de IAM que cree. La política de confianza especifica una entidad deconfianza o un principal. En nuestro ejemplo, las cuentas B, C y Z son entidades de confianza y un usuariode IAM con los permisos adecuados puede suponer el rol.

La política de confianza se crea automáticamente al utilizar la consola para crear el rol. Si usa el SDK paracrear el rol, debe indicar la política de confianza como un parámetro de la API CreateRole. Si usa la CLIpara crear el rol, debe especificar la política de confianza en el comando de CLI create-role.

La política de acceso a roles (o permisos) que debe crear como propietario de la cuenta A define lasacciones y los recursos a los que tiene permiso de acceso el elemento principal o la entidad de confianza(en este caso, los archivos de registro de CloudTrail). En la situación 1, se concede acceso a los archivosde registro a la cuenta que los ha generado, tal y como se explica en Crear una política de acceso paraconceder acceso a las cuentas de su propiedad (p. 195). En la situación 2, se proporciona acceso delectura a todos los archivos de registro a un tercero, tal y como se explica en Crear una política de accesopara conceder acceso a un tercero (p. 197).

Si desea obtener más información acerca de cómo crear y trabajar con las políticas de IAM, consulte lasección Administración de acceso en la Guía del usuario de IAM.

Creación de un rolPara crear un rol con la consola

1. Inicie sesión en la consola de administración de AWS como administrador de la cuenta A.

Version 1.0194

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html

AWS CloudTrail Guía del usuarioCrear una política de acceso para conceder

acceso a las cuentas de su propiedad

2. Desplácese hasta la consola de IAM.3. Seleccione Roles en el panel de navegación.4. Elija Create New Role.5. Escriba un nombre para el nuevo rol y, a continuación, elija Next Step.6. Elija Role for Cross-Account Access.7. En la situación 1, siga estos pasos para proporcionar el acceso entre cuentas de su propiedad:

a. Elija Provide access between AWS accounts you own.b. Escriba el ID de 12 dígitos de la cuenta (B, C o Z) para conceder acceso.c. Marque la casilla Require MFA si desea que el usuario proporcione autenticación multifactor antes de

asumir el rol.

Para la situación 2, siga estos pasos para proporcionar acceso a una cuenta de terceros. En nuestroejemplo, debería realizar estos pasos para la cuenta Z, el analizador de registros de terceros:a. Elija Allows IAM users from a 3rd party AWS account to access this account.b. Escriba el ID de 12 dígitos de la cuenta (cuenta Z) para conceder acceso.c. Escriba un ID externo que proporcione más control sobre quién puede asumir el rol. Para obtener

más información, consulte Cómo utilizar un ID externo al otorgar acceso a los recursos de AWS aterceros en la Guía del usuario de IAM.

8. Elija Next Step para asociar una política que establezca los permisos para este rol.9. En Attach Policy, elija la política AmazonS3ReadOnlyAccess.

Note

De forma predeterminada, la política AmazonS3ReadOnlyAccess concede derechos derecuperación y enumera todos los buckets de Amazon S3 de su cuenta.

• Para conceder a una cuenta acceso únicamente a los archivos de registro de esa cuenta (situación 1),consulte Crear una política de acceso para conceder acceso a las cuentas de su propiedad (p. 195).

• Para conceder a una cuenta acceso a todos los archivos de registro del bucket de Amazon S3(Situación 2), consulte Crear una política de acceso para conceder acceso a un tercero (p. 197).

10.Seleccione Next Step11.Revise la información del rol.

Note

Puede editar el nombre de rol en este momento si lo desea, pero si lo hace, volverá a la páginaStep 2: Select Role Type donde debe escribir de nuevo la información del rol.

12.Elija Create Role. Cuando finalice el proceso de creación de roles, el rol que ha creado aparecerá en lalista de funciones.

Crear una política de acceso para conceder acceso alas cuentas de su propiedadEn el Escenario 1, como usuario administrador de la cuenta A, tiene control completo sobre el bucket deAmazon S3 en el que CloudTrail escribe archivos de registro para las cuentas B y C. Desea compartir losarchivos de registro de cada unidad de negocio con la unidad de negocio que los ha creado. pero no deseaque una unidad pueda leer los archivos de registro de las demás unidades.

Por ejemplo, para compartir archivos de registro de la Cuenta B con la Cuenta B pero no con la CuentaC, debe crear un nuevo rol de IAM en la Cuenta A que especifique que la Cuenta B es una cuenta deconfianza. Esta política de confianza de rol especifica que se puede confiar en la Cuenta B para queasuma el rol creado por la Cuenta A y debe ser similar al siguiente ejemplo. La política de confianza se

Version 1.0195

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html


AWS CloudTrail Guía del usuarioCrear una política de acceso para conceder

acceso a las cuentas de su propiedad

crea automáticamente si crea el rol mediante la consola. Si usa el SDK para crear el rol, debe indicar lapolítica de confianza como un parámetro de la API CreateRole. Si usa la CLI para crear el rol, debeespecificar la política de confianza en el comando de CLI create-role.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account-B-id:root" }, "Action": "sts:AssumeRole" } ]}

Asimismo, debe crear una política de acceso para especificar que la Cuenta B pueda leer desde solo laubicación en la que la Cuenta B escribió sus archivos de registro. La política de acceso debe tener unaspecto similar al siguiente. Tenga en cuenta que el ARN Resource incluye el ID de cuenta de 12 dígitosde la Cuenta B y el prefijo especificado, si hay alguno, cuando activó CloudTrail para la Cuenta B duranteel proceso de agregación. Para obtener más información sobre cómo especificar un prefijo, consulteActivación de CloudTrail en cuentas adicionales (p. 189).

Important

Debe asegurarse de que el prefijo de la política de acceso sea exactamente igual al prefijoespecificado cuando activó CloudTrail para la Cuenta B. En caso contrario, debe editar la políticade acceso del rol de IAM de la Cuenta A para incorporar el prefijo real de la Cuenta B. Si el prefijode la política de acceso del rol no es exactamente el mismo que el prefijo que especificó cuandoactivó CloudTrail en la Cuenta B, la Cuenta B no tendrá acceso a sus archivos de registro.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/account-B-id/*" }, { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::bucket-name" } ]}

El rol que cree para la Cuenta C debe ser prácticamente idéntica a la que creó para la Cuenta B. Lapolítica de acceso de cada rol debe incluir el ID y el prefijo de cuenta correctos para que cada cuentapueda leer solo desde la ubicación en la que CloudTrail escribió los archivos de registro de esa cuenta.

Version 1.0196

AWS CloudTrail Guía del usuarioCrear una política de acceso para

conceder acceso a un tercero

Una vez creados los roles de cada cuenta y especificadas las políticas de confianza y accesocorrespondientes, y cuando el administrador haya concedido acceso a un usuario de IAM de cada cuenta,un usuario de IAM de las cuentas B o C podrán suponer el rol mediante programación.

Una vez creados los roles para cada cuenta y especificadas las políticas de confianza y accesocorrespondientes, un usuario de IAM de cada una de las cuentas en las que se acaba de establecer larelación de confianza (B o C) debe suponer el rol mediante programación para poder leer los archivos deregistro del bucket de Amazon S3.

Para obtener más información, consulte Asumir un rol (p. 198).

Crear una política de acceso para conceder acceso aun terceroLa Cuenta A debe crear un rol de IAM distinta para la Cuenta Z, el analizador de terceros de la Situación 2.Al crear el rol, AWS crea automáticamente la relación de confianza, que especifica que se puede confiar enla Cuenta Z para que suponga el rol. La política de acceso del rol especifica qué acciones puede realizar laCuenta Z. Para obtener más información sobre la creación de roles y políticas de roles, consulte Creaciónde un rol (p. 194).

Por ejemplo, la relación de confianza creada por AWS especifica que se puede confiar en la Cuenta Zpara que suponga el rol creado por la Cuenta A. A continuación se incluye un ejemplo de una política deconfianza:

{ "Version": "2012-10-17", "Statement": [{ "Sid": "", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::account-Z-id:root"}, "Action": "sts:AssumeRole" }]}

Si ha especificado un ID externo al crear el rol para la Cuenta Z, su política de acceso contieneun elemento Condition adicional que comprueba el ID exclusivo asignado por la Cuenta Z. Lacomprobación se realiza cuando se asume el rol. La siguiente política de acceso de ejemplo contiene unelemento Condition.

Para obtener más información, consulte Cómo utilizar un ID externo al otorgar acceso a los recursos deAWS a terceros en la Guía del usuario de IAM.

{ "Version": "2012-10-17", "Statement": [{ "Sid": "", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::account-Z-id:root"}, "Action": "sts:AssumeRole", "Condition": {"StringEquals": {"sts:ExternalId": "external-ID-issued-by-account-Z"}} }]}

Asimismo, debe crear una política de acceso para el rol de la Cuenta A para especificar que la CuentaZ pueda leer todos los archivos de registro del bucket de Amazon S3. La política de acceso tendrá un

Version 1.0197



AWS CloudTrail Guía del usuarioAsumir un rol

aspecto similar a la del siguiente ejemplo. El carácter comodín (*) al final del valor de Resource indicaque la Cuenta Z puede tener acceso a cualquier archivo de registro del bucket de S3 para el que se le haconcedido acceso.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::bucket-name/*" }, { "Effect": "Allow", "Action": [ "s3:Get*", "s3:List*" ], "Resource": "arn:aws:s3:::bucket-name" } ]}

Después de crear un rol para la Cuenta Z y especificar la relación de confianza y la política de accesocorrespondientes, un usuario de IAM de la Cuenta Z debe suponer el rol mediante programación parapoder leer archivos de registro del bucket. Para obtener más información, consulte Asumir un rol (p. 198).

Asumir un rolDebe designar un usuario de IAM aparte para que asuma cada rol que haya creado en cada cuenta, yasegurarse de que cada usuario de IAM dispone de los permisos adecuados.

Usuarios y roles de IAMDespués de crear los roles y las políticas necesarias en una cuenta A para las situaciones 1 y 2, debedesignar un usuario de IAM en cada una de las cuentas B, C y Z. Cada usuario de IAM supondrá medianteprogramación el rol adecuado para acceder a los archivos de registro. Es decir, el usuario en la cuenta Basumirá el rol creado para la cuenta B, el usuario en la cuenta C supondrá el rol creada para la cuenta C yel usuario en la cuenta Z supondrá el rol creado para la cuenta Z. Cuando un usuario supone un rol, AWSdevuelve credenciales de seguridad provisionales que se pueden utilizar con el fin de realizar solicitudespara enumerar, recuperar, copiar o eliminar archivos de registro según los permisos que se concedieron através de la política de acceso asociada al rol.

Para obtener más información sobre cómo trabajar con usuarios de IAM, consulte Cómo trabajar congrupos y usuarios de IAM.

La principal diferencia entre las situaciones 1 y 2 se encuentra en la política de acceso que se crea paracada rol de IAM en cada una de estas situaciones.

• En la situación 1, las políticas de acceso para las cuentas B y C solo permiten a cada cuenta leer suspropios archivos de registro. Para obtener más información, consulte Crear una política de acceso paraconceder acceso a las cuentas de su propiedad (p. 195).

• En la situación 2, la política de acceso para la cuenta Z le permite leer todos los archivos de registroque se añadan al bucket de Amazon S3. Para obtener más información, consulte Crear una política deacceso para conceder acceso a un tercero (p. 197).

Version 1.0198

https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_WorkingWithGroupsAndUsers.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_WorkingWithGroupsAndUsers.html

AWS CloudTrail Guía del usuarioAsumir un rol

Creación de políticas de permisos para usuarios de IAMPara realizar las acciones que permiten los roles, el usuario de IAM debe tener permiso para llamar a laAPI AssumeRole de AWS STS. Debe editar la política basada en usuarios para cada usuario de IAMcon el fin concederles los permisos pertinentes. Es decir, debe establecer un elemento Resource en lapolítica que esté vinculada al usuario de IAM. El ejemplo siguiente muestra una política para un usuariode IAM en la cuenta B que permite a este usuario suponer un rol denominado "Test", la cual había creadoanteriormente la cuenta A.

Para adjuntar la política necesaria al rol de IAM

1. Inicie sesión en la Consola de administración de AWS y abra la consola de IAM.2. Elija el usuario cuyos permisos desea modificar.3. Elija la pestaña Permissions.4. Elija Custom Policy.5. Elija Use the policy editor to customize your own set of permissions.6. Escriba un nombre para la política.7. Copie la política siguiente en el espacio proporcionado para el documento de la política.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["sts:AssumeRole"], "Resource": "arn:aws:iam::account-A-id:role/Test" } ]}

Important

Solo los usuarios de IAM pueden suponer un rol. Si trata de usar las credenciales de la cuentaraíz de AWS para suponer un rol, se denegará el acceso.

Llamada a AssumeRoleUn usuario de una cuenta B, C o Z pueden asumir un rol creando una aplicación que llame a la APIAssumeRole de AWS STS y pase el nombre de la sesión del rol, el nombre del recurso de Amazon (ARN)del rol que se va a asumir y un ID externo opcional. El nombre de la sesión del rol lo define la cuenta Acuando crea el rol que se va a asumir. El identificador externo, en su caso, lo define la cuenta Z y se pasaa la cuenta A para que lo incluya al crear el rol. Para obtener más información, consulte Cómo utilizar un IDexterno al otorgar acceso a los recursos de AWS a terceros en Guía del usuario de IAM. Puede recuperarel ARN de la cuenta A si abre la consola de IAM.

Para buscar un valor de ARN en la cuenta A con la consola de IAM

1. Elija Roles2. Seleccione el rol que desea examinar.3. Busque Role ARN en la sección Summary.

La API de AssumeRole devuelve credenciales provisionales que podrán utilizar los usuarios en las cuentasB, C o Z para obtener acceso a los recursos de la cuenta A. En este ejemplo, los recursos a los que quiere

Version 1.0199

https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html




AWS CloudTrail Guía del usuarioDejar de compartir archivos de registro

CloudTrail entre cuentas de AWS

tener acceso son el bucket de Amazon S3 y los archivos de registro que este contiene. Las credencialesprovisionales tienen los permisos que definió en la política de acceso del rol.

El ejemplo siguiente con Python (que utiliza AWS SDK for Python (Boto)) muestra cómo llamar aAssumeRole y cómo utilizar las credenciales de seguridad provisionales que se devuelven para mostrartodos los buckets de Amazon S3 bajo control de la cuenta A.

def list_buckets_from_assumed_role(user_key, assume_role_arn, session_name): """ Assumes a role that grants permission to list the Amazon S3 buckets in the account. Uses the temporary credentials from the role to list the buckets that are owned by the assumed role's account.

:param user_key: The access key of a user that has permission to assume the role. :param assume_role_arn: The Amazon Resource Name (ARN) of the role that grants access to list the other account's buckets. :param session_name: The name of the STS session. """ sts_client = boto3.client( 'sts', aws_access_key_id=user_key.id, aws_secret_access_key=user_key.secret) response = sts_client.assume_role( RoleArn=assume_role_arn, RoleSessionName=session_name) temp_credentials = response['Credentials'] print(f"Assumed role {assume_role_arn} and got temporary credentials.")

# Create an S3 resource that can access the account with the temporary credentials. s3_resource = boto3.resource( 's3', aws_access_key_id=temp_credentials['AccessKeyId'], aws_secret_access_key=temp_credentials['SecretAccessKey'], aws_session_token=temp_credentials['SessionToken'])

print(f"Listing buckets for the assumed role's account:") for bucket in s3_resource.buckets.all(): print(bucket.name)

Dejar de compartir archivos de registro CloudTrailentre cuentas de AWSPara dejar de compartir archivos de registro con otra cuenta de AWS, solo tiene que eliminar el rol quecreó para esa cuenta en Creación de un rol (p. 194).

1. Inicie sesión en la consola de administración de AWS como un usuario de IAM con permisos de niveladministrativo para la cuenta A.

2. Desplácese hasta la consola de IAM.3. En el panel de navegación, haga clic en Roles.4. Seleccione el rol que desea eliminar.5. Haga clic con el botón derecho y seleccione Delete Role en el menú contextual.

Validación de la integridad de los archivos deregistro de CloudTrail

Para determinar si un archivo de registro se ha modificado, eliminado o continúa igual después delenvío de CloudTrail, puede usar la validación de la integridad de los archivos de registro de CloudTrail.

Version 1.0200

https://aws.amazon.com/tools/

AWS CloudTrail Guía del usuario¿Por qué utilizarla?

Esta característica se compila mediante los algoritmos estándar de la industria: SHA-256 para el hash ySHA-256 con RSA para la firma digital. De ese modo, resulta imposible desde el punto de vista informáticomodificar, eliminar o falsificar archivos de registro de CloudTrail sin que se sepa. Puede utilizar la AWS CLIpara validar los archivos en la ubicación donde los envía CloudTrail.

¿Por qué utilizarla?Los archivos de registro validados son muy valiosos para las investigaciones de seguridad y forenses.Por ejemplo, un archivo de registro validado le permite afirmar positivamente que el archivo de registroen sí no ha cambiado, o que determinadas credenciales de usuario han realizado una actividad de la APIespecífica. El proceso de validación de la integridad de los archivos de registro de CloudTrail también lepermiten saber si un archivo de registro se ha eliminado o cambiado, o afirmar positivamente que no sehan enviado archivos de registro a su cuenta durante un período de tiempo determinado.

Cómo funcionaAl habilitar la validación de la integridad de los archivos de registro, CloudTrail crea un valor hash paracada archivo de registro que envía. Cada hora, CloudTrail también crea y envía un archivo que hacereferencia a los archivos de registro de la última hora y contiene un hash de cada uno de ellos. Estearchivo se denomina archivo de resumen. CloudTrail firma cada archivo de resumen con la clave privadade un par de claves pública y privada. Después del envío, puede utilizar la clave pública para validar elarchivo de resumen. CloudTrail utiliza pares de claves diferentes para cada región de AWS.

Los archivos de resumen se envían al mismo bucket de Amazon S3 asociado con su registro deseguimiento como sus archivos de registro de CloudTrail. Si los archivos de registro se envían desde todaslas regiones o desde varias cuentas a un solo bucket de Amazon S3, CloudTrail enviará los archivos deresumen desde esas regiones y cuentas al mismo bucket.

Los archivos de resumen se colocan en una carpeta independiente de los archivos de registro. Estaseparación de archivos de resumen y archivos de registro le permite aplicar las políticas de seguridaddetalladas y permite a las soluciones de procesamiento de registros existentes seguir funcionando sinmodificaciones. Cada archivo de resumen también contiene la firma digital del archivo de resumen anterior,si existe. La firma del archivo de resumen actual se almacena en las propiedades de los metadatos delobjeto de Amazon S3 del archivo de resumen. Para obtener más información sobre el contenido de losarchivos de resumen, consulte Estructura de los archivos de resumen de CloudTrail (p. 208).

Almacenamiento de los archivos de registro y de resumenPuede almacenar los archivos de registro y de resumen de CloudTrail en Amazon S3 o S3 Glacier deforma segura, duradera y económica durante un período de tiempo indefinido. Para mejorar la seguridadde los archivos de resumen almacenados en Amazon S3, puede usar Amazon S3 MFA Delete.

Activación de la validación y los archivos de validaciónPara habilitar la validación de la integridad de los archivos de registro, puede utilizar la Consola deadministración de AWS, la AWS CLI o la API de CloudTrail. Para obtener más información, consulteHabilitación de la validación de la integridad de los archivos de registro de CloudTrail (p. 202).

Para validar la integridad de los archivos de registro de CloudTrail, puede utilizar la AWS CLI o crear supropia solución. La AWS CLI validará archivos en la ubicación donde los ha enviado CloudTrail. Si deseavalidar los registros que ha movido en otra ubicación, ya sea en Amazon S3 o en algún otro lugar, puedecrear sus propias herramientas de validación.

Para obtener información acerca de la validación de los registros con AWS CLI, consulte Validaciónde la integridad de los archivos de registro de CloudTrail con la AWS CLI (p. 202). Para obtener másinformación sobre el desarrollo de las implementaciones personalizadas para la validación de los archivos

Version 1.0201

https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingMFADelete.html

AWS CloudTrail Guía del usuarioHabilitación de la validación de la integridad

de los archivos de registro de CloudTrail

de registro de CloudTrail, consulte Implementaciones personalizadas para validar la integridad de losarchivos de registro de CloudTrail (p. 213).

Habilitación de la validación de la integridad de losarchivos de registro de CloudTrailPuede habilitar la validación de la integridad de los archivos de registro con la interfaz de línea decomandos (AWS CLI) de la Consola de administración de AWS de AWS o con la API de CloudTrail.CloudTrail empieza a enviar archivos de resumen en aproximadamente una hora.

Consola de administración de AWSPara habilitar la validación de la integridad de los archivos de registro con la consola de CloudTrail,elija Yes en la opción Enable log file validation cuando cree o actualice un registro de seguimiento. Deforma predeterminada, este rol está habilitado en los nuevos registros de seguimiento. Para obtener másinformación, consulte Crear y actualizar un registro de seguimiento con la consola (p. 69).

AWS CLIPara habilitar la validación de la integridad de los archivos de registro con la AWS CLI, utilice la opción--enable-log-file-validation con los comandos create-trail o update-trail. Para deshabilitarla validación de la integridad de los archivos de registro, utilice la opción --no-enable-log-file-validation.

Ejemplo

El siguiente comando update-trail permite la validación de archivos de registro y comienza a enviararchivos de resumen al bucket de Amazon S3 del registro de seguimiento indicado.

aws cloudtrail update-trail --name your-trail-name --enable-log-file-validation

API de CloudTrailPara habilitar la validación de la integridad de los archivos de registro con la API de CloudTrail, defina elparámetro de la solicitud EnableLogFileValidation como true cuando llame a CreateTrail oUpdateTrail.

Para obtener más información, consulte CreateTrail y UpdateTrail en la AWS CloudTrail API Reference.

Validación de la integridad de los archivos de registrode CloudTrail con la AWS CLIPara validar los registros con la AWS Command Line Interface, utilice el comando validate-logs deCloudTrail. El comando utiliza los archivos de resumen enviados a su bucket de Amazon S3 para realizarla validación. Para obtener más información sobre los archivos de resumen, consulte Estructura de losarchivos de resumen de CloudTrail (p. 208).

La AWS CLI le permite detectar los siguientes tipos de cambios:

• Modificación o eliminación de archivos de registro de CloudTrail• Modificación o eliminación de archivos de resumen de CloudTrail• Modificación o eliminación de ambos tipos de archivo

Version 1.0202

https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/create-trail.html

https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-trail.html

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/api_CreateTrail.html

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_UpdateTrail.html


AWS CloudTrail Guía del usuarioValidación de la integridad de los archivosde registro de CloudTrail con la AWS CLI

Note

La AWS CLI valida únicamente los archivos de registro a los que hacen referencia los archivos deresumen. Para obtener más información, consulte Comprobación de si CloudTrail ha enviado unarchivo determinado (p. 208).

Requisitos previosPara validar la integridad de los archivos de registro con la AWS CLI, deben cumplirse las siguientescondiciones:

• Debe disponer de conectividad en línea a AWS.• Debe disponer de acceso de lectura al bucket de Amazon S3 que contiene los archivos de resumen y de

registro.• Los archivos de registro y de resumen no tienen que haberse transferido desde la ubicación de Amazon

S3 original desde donde los envió CloudTrail.

Note

Los archivos de registro descargados al disco local no se pueden validar con la AWS CLI. Paraobtener instrucciones sobre cómo crear sus propias herramientas para la validación, consulteImplementaciones personalizadas para validar la integridad de los archivos de registro deCloudTrail (p. 213).

validate-logsSintaxisA continuación se presenta la sintaxis de validate-logs. Los parámetros opcionales se muestran entrecorchetes.

aws cloudtrail validate-logs --trail-arn <trailARN> --start-time <start-time>[--end-time <end-time>] [--s3-bucket <bucket-name>] [--s3-prefix <prefix>] [--verbose]

OpcionesA continuación se enumeran las opciones de la línea de comandos para validate-logs. Las opciones--trail-arn y --start-time son obligatorias.

--start-time

Especifica que se validarán los archivos de registro enviados en o después del valor de la marcatemporal de inicio UTC especificada. Ejemplo: 2015-01-08T05:21:42Z.

--end-time

De forma opcional, especifica que se validarán los archivos de registro enviados en o antes del valorde la marca temporal de inicio UTC especificada. El valor predeterminado es la hora UTC actual(Date.now()). Ejemplo: 2015-01-08T12:31:41Z.

Note

Para el intervalo de tiempo especificado, el comando validate-logs compruebaúnicamente los archivos de registro a los que se hace referencia en los archivos de resumencorrespondientes. No se verifica ningún otro archivo de registro en el bucket de Amazon S3.Para obtener más información, consulte Comprobación de si CloudTrail ha enviado un archivodeterminado (p. 208).

Version 1.0203


--s3-bucket

De forma opcional, especifica el bucket de Amazon S3 donde se almacenan los archivos de resumen.Si no se especifica un nombre de bucket, la AWS CLI lo recuperará llamando DescribeTrails().

--prefix

De forma opcional, especifica el prefijo de Amazon S3, donde se almacenan los archivos de resumen.Si no se especifica, AWS CLI lo recuperará llamando a DescribeTrails().

Note

Debe utilizar esta opción sólo si el prefijo actual es diferente del prefijo en uso durante elintervalo de tiempo especificado.

--trail-arn

Especifica el nombre de recurso de Amazon (ARN) del registro de seguimiento a validar. El formato deun ARN de registro de seguimiento es como sigue.

arn:aws:cloudtrail:us-east-2:111111111111:trail/MyTrailName

Note

Para obtener el ARN de un registro de seguimiento, puede utilizar el comando describe-trails antes de ejecutar validate-logs.Se recomienda especificar el nombre del bucket y el prefijo además del ARN del registro deseguimiento si los archivos de registro se han enviado a más de un bucket en el intervalo detiempo especificado, y si desea restringir la validación a los archivos de registro en tan solouno de los buckets.

--verbose

De forma opcional, emite información de validación para cada archivo de resumen o de registro en elintervalo de tiempo especificado. El resultado indica si el archivo no ha cambiado, se ha modificadoo se ha eliminado. En el modo no detallado (predeterminado), la información se muestra sólo paraaquellos casos en los que se ha producido un error de validación.

Ejemplo

En el ejemplo siguiente se validan archivos de registro de la hora de inicio especificada hasta elmomento actual, utilizando el bucket de Amazon S3 configurado para el registro de seguimiento actual yespecificando resultados detallados.

aws cloudtrail validate-logs --start-time 2015-08-27T00:00:00Z --end-time 2015-08-28T00:00:00Z --trail-arn arn:aws:cloudtrail:us-east-2:111111111111:trail/my-trail-name --verbose

Funcionamiento de validate-logs

El comando validate-logs empieza validando el archivo de resumen más reciente en el intervalode tiempo especificado. En primer lugar, verifica que el archivo de resumen se haya descargado desdela ubicación a la que dice pertenecer. En otras palabras, si la CLI descarga el archivo de resumen df1

Version 1.0204


desde la ubicación de S3 p1, validate-logs comprobará que p1 == df1.digestS3Bucket + '/' +df1.digestS3Object.

Si la firma del archivo de resumen es válida, comprueba el valor hash de cada uno de los registros alos que se hace referencia en el archivo de resumen. A continuación, el comando va hacia atrás en eltiempo y valida los archivos de resumen anteriores y sus archivos de registro de referencia sucesivamente.Continúa así hasta llegar al valor especificado para start-time o hasta que finalice la cadena deresumen. Si falta un archivo de resumen o no es válido, el intervalo de tiempo que no se puede validaraparecerá en el resultado.

Resultados de la validaciónLos resultados de la validación comienzan con un encabezado de resumen con el siguiente formato:

Validating log files for trail trail_ARN between time_stamp and time_stamp

Cada línea del resultado principal contiene los resultados de validación de un único archivo de registro ode resumen y con el siguiente formato:

<Digest file | Log file> <S3 path> <Validation Message>

En la siguiente tabla se describen los posibles mensajes de validación para los archivos de registro y deresumen.

Tipo de archivo Mensaje de validación Descripción

Digest file valid La firma del archivo de resumen es válida.También se pueden verificar los archivos deregistro a los que hace referencia. Este mensajese incluirá solo en el modo detallado.

Digest file INVALID: has been movedfrom its original location

El bucket o el objeto de S3 desde el que se hatomado el archivo de resumen no coincide conlas ubicaciones del bucket o el objeto de S3registradas en el propio archivo de resumen.

Digest file INVALID: invalid format El formato del archivo de resumen no es válido.Los archivos de registro correspondientes alintervalo de tiempo que representa el archivo deresumen no se pueden validar.

Digest file INVALID: not found No se ha encontrado el archivo de resumen.Los archivos de registro correspondientes alintervalo de tiempo que representa el archivo deresumen no se pueden validar.

Digest file INVALID: public key notfound for fingerprintHuella digital

No se ha encontrado la clave públicacorrespondiente a la huella digital registrada enel archivo de resumen. El archivo de resumenno se puede validar.

Digest file INVALID: signatureverification failed

La firma del archivo de resumen no es válida.Dado que el archivo de resumen no esválido, los archivos de registro a los que hacereferencia no se pueden validar y no se puedenhacer afirmaciones sobre la actividad de la APIen dichos archivos.

Version 1.0205


Tipo de archivo Mensaje de validación Descripción

Digest file INVALID: Unable toload PKCS #1 key withfingerprint Huella digital

Dado que no se ha podido cargar la clavepública codificada DER en formato PKCS #1que contiene la huella digital especificada, no seha podido validar el archivo de resumen.

Log file valid El archivo de registro se ha validado y no se hamodificado desde el momento del envío. Estemensaje se incluirá solo en el modo detallado.

Log file INVALID: hash valuedoesn't match

El hash para el archivo de registro no coincide.El archivo de registro se ha modificado despuésdel envío de CloudTrail.

Log file INVALID: invalid format El formato del archivo de registro no es válido.El archivo de registro no se puede validar.

Log file INVALID: not found No se ha encontrado el archivo de registro y nose puede validar.

La salida incluye información resumida sobre los resultados emitidos.

Ejemplos de resultados

Detallado

El siguiente comando validate-logs de ejemplo, usa el indicador --verbose y produce la salida deejemplo que se indica a continuación. [...] indica que la salida de muestra se ha abreviado.

aws cloudtrail validate-logs --trail-arn arn:aws:cloudtrail:us-east-2:111111111111:trail/example-trail-name --start-time 2015-08-31T22:00:00Z --end-time 2015-09-01T19:17:29Z --verbose

Validating log files for trail arn:aws:cloudtrail:us-east-2:111111111111:trail/example-trail-name between 2015-08-31T22:00:00Z and 2015-09-01T19:17:29Z Digest file s3://example-bucket/AWSLogs/111111111111/CloudTrail-Digest/us-east-2/2015/09/01/111111111111_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T201728Z.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1925Z_WZZw1RymnjCRjxXc.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1915Z_POuvV87nu6pfAV2W.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1930Z_l2QgXhAKVm1QXiIA.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1920Z_eQJteBBrfpBCqOqw.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1950Z_9g5A6qlR2B5KaRdq.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1920Z_i4DNCC12BuXd6Ru7.json.gz valid

Version 1.0206


Log file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1915Z_Sg5caf2RH6Jdx0EJ.json.gz validDigest file s3://example-bucket/AWSLogs/111111111111/CloudTrail-Digest/us-east-2/2015/09/01/111111111111_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T191728Z.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/09/01/111111111111_CloudTrail_us-east-2_20150901T1910Z_YYSFiuFQk4nrtnEW.json.gz valid[...]Log file s3://example-bucket/AWSLogs/144218288521/CloudTrail/us-east-2/2015/09/01/144218288521_CloudTrail_us-east-2_20150901T1055Z_0Sfy6m9f6iBzmoPF.json.gz validLog file s3://example-bucket/AWSLogs/144218288521/CloudTrail/us-east-2/2015/09/01/144218288521_CloudTrail_us-east-2_20150901T1040Z_lLa3QzVLpOed7igR.json.gz valid

Digest file s3://example-bucket/AWSLogs/144218288521/CloudTrail-Digest/us-east-2/2015/09/01/144218288521_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T101728Z.json.gz INVALID: signature verification failed

Digest file s3://example-bucket/AWSLogs/144218288521/CloudTrail-Digest/us-east-2/2015/09/01/144218288521_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T091728Z.json.gz validLog file s3://example-bucket/AWSLogs/144218288521/CloudTrail/us-east-2/2015/09/01/144218288521_CloudTrail_us-east-2_20150901T0830Z_eaFvO3dwHo4NCqqc.json.gz validDigest file s3://example-bucket/AWSLogs/144218288521/CloudTrail-Digest/us-east-2/2015/09/01/144218288521_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T081728Z.json.gz validDigest file s3://example-bucket/AWSLogs/144218288521/CloudTrail-Digest/us-east-2/2015/09/01/144218288521_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T071728Z.json.gz valid[...]Log file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/08/31/111111111111_CloudTrail_us-east-2_20150831T2245Z_mbJkEO5kNcDnVhGh.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/08/31/111111111111_CloudTrail_us-east-2_20150831T2225Z_IQ6kXy8sKU03RSPr.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/08/31/111111111111_CloudTrail_us-east-2_20150831T2230Z_eRPVRTxHQ5498ROA.json.gz validLog file s3://example-bucket/AWSLogs/111111111111/CloudTrail/us-east-2/2015/08/31/111111111111_CloudTrail_us-east-2_20150831T2255Z_IlWawYZGvTWB5vYN.json.gz validDigest file s3://example-bucket/AWSLogs/111111111111/CloudTrail-Digest/us-east-2/2015/08/31/111111111111_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150831T221728Z.json.gz valid

Results requested for 2015-08-31T22:00:00Z to 2015-09-01T19:17:29ZResults found for 2015-08-31T22:17:28Z to 2015-09-01T20:17:28Z:

22/23 digest files valid, 1/23 digest files INVALID63/63 log files valid

No detallado

El siguiente comando validate-logs de ejemplo no utiliza el indicador --verbose. En el resultadode ejemplo que sigue ha surgido un error. Solo devuelve la información del encabezado, de error y deresumen.

Version 1.0207

AWS CloudTrail Guía del usuarioEstructura de los archivos de resumen de CloudTrail

aws cloudtrail validate-logs --trail-arn arn:aws:cloudtrail:us-east-2:111111111111:trail/example-trail-name --start-time 2015-08-31T22:00:00Z --end-time 2015-09-01T19:17:29Z

Validating log files for trail arn:aws:cloudtrail:us-east-2:111111111111:trail/example-trail-name between 2015-08-31T22:00:00Z and 2015-09-01T19:17:29Z

Digest file s3://example-bucket/AWSLogs/144218288521/CloudTrail-Digest/us-east-2/2015/09/01/144218288521_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150901T101728Z.json.gz INVALID: signature verification failed

Results requested for 2015-08-31T22:00:00Z to 2015-09-01T19:17:29ZResults found for 2015-08-31T22:17:28Z to 2015-09-01T20:17:28Z:

22/23 digest files valid, 1/23 digest files INVALID63/63 log files valid

Comprobación de si CloudTrail ha enviado un archivodeterminadoPara comprobar si CloudTrail ha enviado un archivo determinado a su bucket, ejecute validate-logs enel modo detallado para el período de tiempo que incluye el archivo. Si el archivo aparece en el resultado devalidate-logs, significa que lo ha enviado CloudTrail.

Estructura de los archivos de resumen de CloudTrailCada archivo de resumen contiene los nombres de los archivos de registro que se enviaron al bucket deAmazon S3 durante la última hora, los valores hash para esos archivos de registro y la firma digital delarchivo de resumen anterior. La firma del archivo de resumen actual se almacena en las propiedades delos metadatos del objeto de archivo de resumen. Las firmas digitales y los valores hash se utilizan paravalidar la integridad de los archivos de registro y del archivo de resumen en sí.

Ubicación del archivo de resumenLos archivos de resumen se envían a una ubicación de bucket de Amazon S3 con la sintaxis siguiente.

s3://s3-bucket-name/optional-prefix/AWSLogs/aws-account-id/CloudTrail-Digest/ region/digest-end-year/digest-end-month/digest-end-date/ aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz

Note

Para los registros de seguimiento de organización, la ubicación del bucket también incluye el IDde la unidad organizativa, tal y como se indica a continuación:

s3://s3-bucket-name/optional-prefix/AWSLogs/OU-ID/aws-account-id/CloudTrail-Digest/ region/digest-end-year/digest-end-month/digest-end-date/ aws-account-id_CloudTrail-Digest_region_trail-name_region_digest_end_timestamp.json.gz

Contenido de un archivo de resumen de ejemploEl ejemplo siguiente de archivo de resumen contiene información de un registro CloudTrail.

{ "awsAccountId": "111122223333", "digestStartTime": "2015-08-17T14:01:31Z",

Version 1.0208


"digestEndTime": "2015-08-17T15:01:31Z", "digestS3Bucket": "S3-bucket-name", "digestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/17/111122223333_CloudTrail-Digest_us-east-2_your-trail-name_us-east-2_20150817T150131Z.json.gz", "digestPublicKeyFingerprint": "31e8b5433410dfb61a9dc45cc65b22ff", "digestSignatureAlgorithm": "SHA256withRSA", "newestEventTime": "2015-08-17T14:52:27Z", "oldestEventTime": "2015-08-17T14:42:27Z", "previousDigestS3Bucket": "S3-bucket-name", "previousDigestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/17/111122223333_CloudTrail-Digest_us-east-2_your-trail-name_us-east-2_20150817T140131Z.json.gz", "previousDigestHashValue": "97fb791cf91ffc440d274f8190dbdd9aa09c34432aba82739df18b6d3c13df2d", "previousDigestHashAlgorithm": "SHA-256", "previousDigestSignature": "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", "logFiles": [ { "s3Bucket": "S3-bucket-name", "s3Object": "AWSLogs/111122223333/CloudTrail/us-east-2/2015/08/17/111122223333_CloudTrail_us-east-2_20150817T1445Z_9nYN7gp2eWAJHIfT.json.gz", "hashValue": "9bb6196fc6b84d6f075a56548feca262bd99ba3c2de41b618e5b6e22c1fc71f6", "hashAlgorithm": "SHA-256", "newestEventTime": "2015-08-17T14:52:27Z", "oldestEventTime": "2015-08-17T14:42:27Z" } ]}

Descripciones de los campos de los archivos de resumenA continuación de describe cada campo del archivo de resumen:

awsAccountId

El ID de la cuenta de AWS para que el que se ha enviado el archivo de resumen.

digestStartTime

El intervalo de tiempo UTC inicial que cubre el archivo de resumen, donde se toma como referenciala hora en que CloudTrail envió los archivos de registro. Esto significa que, si el intervalo de tiempo es[Ta, Tb], el resumen contendrá todos los archivos de registro que se enviaron al cliente entre Ta y Tb.

digestEndTime

El intervalo de tiempo UTC final que cubre el archivo de resumen, donde se toma como referencia lahora en que CloudTrail envió los archivos de registro. Esto significa que, si el intervalo de tiempo es[Ta, Tb], el resumen contendrá todos los archivos de registro que se enviaron al cliente entre Ta y Tb.

digestS3Bucket

El nombre del bucket de Amazon S3 donde se envió el archivo de resumen actual.

digestS3Object

La clave de objeto de Amazon S3 (es decir, la ubicación del bucket de Amazon S3) del archivo deresumen actual. Las dos primeras regiones en la cadena muestran la región desde la que se ha

Version 1.0209


enviado el archivo de resumen. La última región (después de your-trail-name) es la regiónprincipal del registro de seguimiento. La región principal es la región en la que se creó el archivo deseguimiento. Cuando el archivo de seguimiento se refiere a múltiples regiones, esta puede diferir de laregión desde la que se envió el archivo de resumen.

newestEventTime

La hora UTC del evento más reciente de todos los eventos en los archivos de registro del resumen.

oldestEventTime

La hora UTC del evento más antiguo de todos los eventos en los archivos de registro del resumen.Note

Si el archivo de resumen se envía tarde, el valor de oldestEventTime será anterior al valorde digestStartTime.

previousDigestS3Bucket

El bucket de Amazon S3 donde se envió el archivo de resumen anterior.

previousDigestS3Object

La clave de objeto de Amazon S3 (es decir, la ubicación del bucket de Amazon S3) del archivo deresumen anterior.

previousDigestHashValue

El valor de hash codificado hexadecimal de los contenidos sin comprimir del archivo de resumenanterior.

previousDigestHashAlgorithm

El nombre del algoritmo hash que se utilizó para resumir el archivo de resumen anterior.

publicKeyFingerprint

La huella digital codificada hexadecimal de la clave pública que coincide con la clave privada utilizadapara firmar este archivo de resumen. Puede recuperar las claves públicas del intervalo de tiempocorrespondiente para el archivo de resumen mediante la AWS CLI o la API de CloudTrail. De lasclaves públicas que se devuelven, se podrá utilizar para validar el archivo de resumen aquella cuyahuella digital coincida con este valor. Para obtener información sobre cómo recuperar claves públicaspara archivos de resumen, consulte el comando de la AWS CLI list-public-keys o la API deCloudTrail ListPublicKeys.

Note

CloudTrail utiliza diferentes pares de claves públicas y privadas por región. Cada archivo deresumen se firma con una clave privada única para su región. Por tanto, al validar un archivode resumen proveniente de una región determinada, será preciso que busque en esa mismaregión la clave pública correspondiente.

digestSignatureAlgorithm

El algoritmo que se utiliza para firmar el archivo de resumen.

Version 1.0210

https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/list-public-keys.html

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_ListPublicKeys.html


logFiles.s3Bucket

El nombre del bucket de Amazon S3 para el archivo de registro.

logFiles.s3Object

La clave de objeto de Amazon S3 del archivo de registro actual.

logFiles.newestEventTime

La hora UTC del evento más reciente en el archivo de registro. Este momento también se correspondecon la marca temporal del propio archivo de registro.

logFiles.oldestEventTime

La hora UTC del evento más antiguo en el archivo de registro.

logFiles.hashValue

El valor hash codificado hexadecimal del contenido del archivo de registro sin comprimir.

logFiles.hashAlgorithm

El algoritmo hash que se utiliza para el archivo de registro.

Archivo de resumen de inicioCuando se empieza a validar la integridad del archivo de registro, se genera un archivo de resumende inicio. También se genera un archivo de resumen de inicio cuando se reinicia la validación de laintegridad del archivo de registro (para ello se deshabilita y, después, se vuelve a habilitar la validación dela integridad del archivo, o bien, se detiene el registro y, más adelante, este se reinicia con la validaciónhabilitada). En un archivo de resumen de inicio, los siguientes campos relativos al archivo de resumenanterior tendrán un valor NULL:

• previousDigestS3Bucket

• previousDigestS3Object

• previousDigestHashValue

• previousDigestHashAlgorithm

• previousDigestSignature

Archivos de resumen vacíosCloudTrail enviará un archivo de resumen incluso cuando no hubiera habido actividad de la API en sucuenta durante el período de una hora que representa el archivo de resumen. Esto puede resultar útilcuando necesite confirmar que no se enviaron archivos de registro durante la hora de la que informa elarchivo de resumen.

El ejemplo siguiente muestra el contenido de un archivo de resumen correspondiente a una hora en laque no hubo actividad en la API. Tenga en cuenta que el campo logFiles:[ ] al final del contenido delarchivo de resumen está vacío.

{ "awsAccountId": "111122223333",

Version 1.0211


"digestStartTime": "2015-08-20T17:01:31Z", "digestEndTime": "2015-08-20T18:01:31Z", "digestS3Bucket": "example-bucket-name", "digestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/20/111122223333_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150820T180131Z.json.gz", "digestPublicKeyFingerprint": "31e8b5433410dfb61a9dc45cc65b22ff", "digestSignatureAlgorithm": "SHA256withRSA", "newestEventTime": null, "oldestEventTime": null, "previousDigestS3Bucket": "example-bucket-name", "previousDigestS3Object": "AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/20/111122223333_CloudTrail-Digest_us-east-2_example-trail-name_us-east-2_20150820T170131Z.json.gz", "previousDigestHashValue": "ed96c4bac9eaa8fe9716ca0e515da51938be651b1db31d781956416a9d05cdfa", "previousDigestHashAlgorithm": "SHA-256", "previousDigestSignature": "82705525fb0fe7f919f9434e5b7138cb41793c776c7414f3520c0242902daa8cc8286b29263d2627f2f259471c745b1654af76e2073264b2510fd45236b3aea4d80c0e8e6455223d7bd54ff80af0edf22a5f14fa856626daec919f0591479aa4f213787ba1e1076328dcf8ff624e03a977fa5612dcf58594c590fd8c1c5b48bddf43fc84ecc00b41bedd0ff7f293c3e2de8dcdc78f98b03e17577f5822ba842399d69eb79921c0429773509520e08c8b518702d987dfbb3a4e5d8c5f17673ce1f989dfff82d4becf24e452f20d3bcac94ad50131f93e57f10155536acb54c60efbe9d57228c2b930bc6082b2318e3ccd36834a8e835b8d112dbf32145f445c11", "logFiles": []}

Firma del archivo de resumenLa información de la firma de un archivo de resumen se encuentra en dos propiedades de los metadatosdel objeto del archivo de resumen de Amazon S3. Cada archivo de resumen presenta las siguientesentradas de metadatos:

• x-amz-meta-signature

El valor codificado hexadecimal de la firma del archivo de resumen. A continuación se muestra unejemplo de firma:

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

• x-amz-meta-signature-algorithm

A continuación se muestra un ejemplo de valor del algoritmo que se utilizó para generar la firma delresumen:

SHA256withRSA

Encadenado de archivos de resumenDado que cada archivo de resumen contiene una referencia al archivo de resumen anterior, es posible"encadenar"; esto permite utilizar herramientas de validación, como la AWS CLI, para detectar si se haeliminado un archivo de resumen. También hace posible que los archivos de resumen en un intervalo detiempo determinado se puedan inspeccionar sucesivamente; se empieza por el más reciente.

Note

Cuando se deshabilita la validación de la integridad de los archivos de registro, la cadena dearchivos de resumen se rompe después de una hora. CloudTrail no creará archivos de resumenpara archivos de registro que se enviaron durante un período en el que no estaba habilitada lavalidación de la integridad de los archivos de registro. Por ejemplo, si habilita la validación dela integridad de los archivos de registro a las 12:00 del medio día del 1 de enero, la deshabilita

Version 1.0212

AWS CloudTrail Guía del usuarioImplementaciones personalizadas para validar la

integridad de los archivos de registro de CloudTrail

el 2 enero a la misma hora y la vuelve a habilitar el 10 de enero, también a la misma hora, nose crearán archivos de resumen para los archivos de registro enviados desde las 12 del mediodía del 2 de enero hasta el 10 de enero a la misma hora. Lo mismo sucede cuando se detiene elregistro de CloudTrail o se elimina un registro de seguimiento.

Si se detiene la operación de registro o se elimina el registro de seguimiento, CloudTrail enviará un archivode resumen final. Este archivo de resumen puede contener información sobre los archivos de registrorestantes que cubren eventos hasta el evento StopLogging, e inclusive.

Implementaciones personalizadas para validar laintegridad de los archivos de registro de CloudTrailDado que CloudTrail utiliza funciones hash y algoritmos criptográficos disponibles de manera gratuita yestándar en el sector, puede crear sus propias herramientas para validar la integridad de los archivosde registro de CloudTrail. Cuando se habilita la validación de la integridad de los archivos de registro,CloudTrail entrega archivos de resumen a su bucket de Amazon S3. Puede utilizar estos archivos paraimplementar su propia solución de validación. Para obtener más información sobre los archivos deresumen, consulte Estructura de los archivos de resumen de CloudTrail (p. 208).

En este tema se describe cómo se firman los archivos de resumen. A continuación, se detallan los pasosque debe seguir para implementar una solución que valide los archivos de resumen y los archivos deregistro a los que hacen referencia.

Cómo se firman los archivos de resumen de CloudTrailLos archivos de resumen de CloudTrail se firman con firmas digitales RSA. Para cada archivo de resumen,CloudTrail hace lo siguiente:

1. Crea una cadena para firmar datos basada en campos del archivo de resumen designados (que sedescriben en la sección siguiente).

2. Obtiene una clave privada única para la región.3. Pasa el hash SHA-256 de la cadena y la clave privada al algoritmo de firma RSA, que produce una firma

digital.4. Codifica el código de bytes de la firma en formato hexadecimal.5. Coloca la firma digital en la propiedad de metadatos x-amz-meta-signature del objeto del archivo

de resumen de Amazon S3.

Contenido de la cadena de firma de datosLos siguientes objetos de CloudTrail están incluidos en la cadena para la firma de datos:

• La marca de tiempo de finalización del archivo de resumen en formato extendido UTC (por ejemplo,2015-05-08T07:19:37Z)

• La ruta S3 del archivo de resumen actual• El hash SHA-256 en codificación hexadecimal del archivo de resumen actual• La firma en codificación hexadecimal del archivo de resumen anterior

Más adelante en este documento se proporciona el formato de cálculo de esta cadena y una cadena deejemplo.

Pasos de implementación de la validación personalizadaCuando implemente una solución de validación personalizada, deberá validar en primer lugar el archivo deresumen y, a continuación, los archivos de registro a los que hace referencia.

Version 1.0213



Validar el archivo de resumen

Para validar un archivo de resumen, necesita su firma, la clave pública cuya clave privada se ha utilizadopara firmarlo y una cadena de firma de datos que debe calcular.

1. Obtenga el archivo de resumen.2. Compruebe que el archivo de resumen se haya recuperado de su ubicación original.3. Obtenga la firma en codificación hexadecimal del archivo de resumen.4. Obtenga la huella en codificación hexadecimal de la clave pública cuya clave privada se ha utilizado

para firmar el archivo de resumen.5. Recupere las claves públicas para el intervalo de tiempo correspondiente al archivo de resumen.6. De entre las claves públicas recuperadas, elija la clave pública cuya huella coincida con la del archivo

de resumen.7. Con el hash y otros campos del archivo de resumen, vuelva a crear la cadena de firma que se utiliza

para verificar la firma de dicho archivo.8. Valide la firma pasando el hash SHA-256 de la cadena, la clave pública y la firma como parámetros al

algoritmo de verificación de firmas RSA. Si el resultado es verdadero, el archivo de resumen es válido.

Validar los archivos de registro

Si el archivo de resumen es válido, valide cada uno de los archivos de registro a los que hace referencia.

1. Para validar la integridad de un archivo de registro, calcule su valor de hash SHA-256 en su contenidosin comprimir y compare los resultados con el hash del archivo de registro (registrado en formatohexadecimal) en el resumen. Si los hash coinciden, el archivo de registro es válido.

2. Sírvase de la información del archivo de resumen anterior que se incluye en el archivo de resumenactual para validar los archivos de resumen anteriores y sus correspondientes archivos de registro demanera sucesiva.

En las siguientes secciones se describen estos pasos de manera detallada.

A. Obtenga el archivo de resumen

Los primeros pasos sirven para obtener el archivo de resumen más reciente, verificar que lo ha recuperadode la ubicación original, verificar su firma digital y obtener la huella de la clave pública.

1. Utilice S3 Get o la clase AmazonS3Client (por ejemplo), para obtener el archivo de resumen másreciente de su bucket de Amazon S3 para el intervalo de tiempo que desee validar.

2. Compruebe que el bucket de S3 y el objeto S3 utilizados para recuperar el archivo coinciden con lasubicaciones del objeto S3 del bucket de S3 que se registran en el propio archivo de resumen.

3. A continuación, obtenga la firma digital del archivo de resumen desde la propiedad de metadatos x-amz-meta-signature del objeto del archivo de resumen en Amazon S3.

4. En el archivo de resumen, obtenga la huella de la clave pública cuya clave privada se ha utilizado parafirmar el archivo de resumen en el campo digestPublicKeyFingerprint.

B. Recupere la clave pública para validar el archivo de resumen

A fin de obtener la clave pública para validar el archivo de resumen, puede utilizar la AWS CLI o la API de CloudTrail. En ambos casos, debe especificar un intervalo de tiempo (es decir, una hora de inicio y unade finalización) para los archivos de resumen que desea validar. Se podrían devolver una o varias clavespúblicas para el intervalo de tiempo que se especifique. Las claves devueltas pueden tener intervalos detiempo de validez que se solapan.

Version 1.0214

https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectGET.html

https://docs.aws.amazon.com/AWSJavaSDK/latest/javadoc/com/amazonaws/services/s3/AmazonS3Client.html



Note

Dado que CloudTrail; utiliza diferentes pares de claves públicas/privadas por región, cada archivode resumen se firma con una clave privada única para su región. Por lo tanto, al validar un archivode resumen desde una región determinada, debe recuperar su clave pública desde la mismaregión.

Utilizar la AWS CLI para recuperar claves públicas

A fin de recuperar las claves públicas para los archivos de resumen mediante la AWS CLI, utilice elcomando cloudtrail list-public-keys. El comando tiene el siguiente formato:

aws cloudtrail list-public-keys [--start-time <start-time>] [--end-time <end-time>]

Los parámetros de la hora de inicio y de finalización son marcas de tiempo UTC (opcionales). Si no seespecifica, se utiliza la hora actual y se devuelven las claves públicas que actualmente están activas.

Respuesta de ejemplo

La respuesta será una lista de objetos JSON que representan las claves devueltas:

{ "publicKeyList": [ { "ValidityStartTime": "1436317441.0", "ValidityEndTime": "1438909441.0", "Value": "MIIBCgKCAQEAn11L2YZ9h7onug2ILi1MWyHiMRsTQjfWE+pHVRLk1QjfWhirG+lpOa8NrwQ/r7Ah5bNL6HepznOU9XTDSfmmnP97mqyc7z/upfZdS/AHhYcGaz7n6Wc/RRBU6VmiPCrAUojuSk6/GjvA8iOPFsYDuBtviXarvuLPlrT9kAd4Lb+rFfR5peEgBEkhlzc5HuWO7S0y+KunqxX6jQBnXGMtxmPBPP0FylgWGNdFtks/4YSKcgqwH0YDcawP9GGGDAeCIqPWIXDLG1jOjRRzWfCmD0iJUkz8vTsn4hq/5ZxRFE7UBAUiVcGbdnDdvVfhF9C3dQiDq3k7adQIziLT0cShgQIDAQAB", "Fingerprint": "8eba5db5bea9b640d1c96a77256fe7f2" }, { "ValidityStartTime": "1434589460.0", "ValidityEndTime": "1437181460.0", "Value": "MIIBCgKCAQEApfYL2FiZhpN74LNWVUzhR+VheYhwhYm8w0n5Gf6i95ylW5kBAWKVEmnAQG7BvS5g9SMqFDQx52fW7NWV44IvfJ2xGXT+wT+DgR6ZQ+6yxskQNqV5YcXj4Aa5Zz4jJfsYjDuO2MDTZNIzNvBNzaBJ+r2WIWAJ/Xq54kyF63B6WE38vKuDE7nSd1FqQuEoNBFLPInvgggYe2Ym1Refe2z71wNcJ2kY+q0h1BSHrSM8RWuJIw7MXwF9iQncg9jYzUlNJomozQzAG5wSRfbplcCYNY40xvGd/aAmO0m+Y+XFMrKwtLCwseHPvj843qVno6x4BJN9bpWnoPo9sdsbGoiK3QIDAQAB", "Fingerprint": "8933b39ddc64d26d8e14ffbf6566fee4" }, { "ValidityStartTime": "1434589370.0", "ValidityEndTime": "1437181370.0", "Value": "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqlzPJbvZJ42UdcmLfPUqXYNfOs6I8lCfao/tOs8CmzPOEdtLWugB9xoIUz78qVHdKIqxbaG4jWHfJBiOSSFBM0lt8cdVo4TnRa7oG9io5pysS6DJhBBAeXsicufsiFJR+wrUNh8RSLxL4k6G1+BhLX20tJkZ/erT97tDGBujAelqseGg3vPZbTx9SMfOLN65PdLFudLP7Gat0Z9p5jw/rjpclKfo9Bfc3heeBxWGKwBBOKnFAaN9V57pOaosCvPKmHd9bg7jsQkI9Xp22IzGLsTFJZYVA3KiTAElDMu80iFXPHEq9hKNbt9e4URFam+1utKVEiLkR2disdCmPTK0VQIDAQAB", "Fingerprint": "31e8b5433410dfb61a9dc45cc65b22ff" } ]}

Utilice la API de CloudTrail para recuperar claves públicas

Para recuperar las claves públicas para los archivos de resumen mediante la API, de CloudTrail, paselos valores de la hora de inicio y finalización a la API de ListPublicKeys. La API ListPublicKeys

Version 1.0215



devuelve las claves públicas cuyas claves privadas se han utilizado para firmar archivos de resumenen el intervalo de tiempo especificado. Para cada clave pública, la API también devuelve la huellacorrespondiente.

ListPublicKeys

En esta sección se describen los parámetros de solicitud y los elementos de respuesta de la APIListPublicKeys.

Note

La codificación de los campos binarios de ListPublicKeys está sujeta a cambios.

Parámetros de solicitud

Nombre Descripción

StartTime Opcionalmente, especifica el inicio del intervalo de tiempo (en UTC) para buscarlas claves públicas para los archivos de resumen de CloudTrail. Si StartTime noestá especificado, se utiliza la hora actual y se devuelve la clave pública actual.

Tipo: DateTime

EndTime Opcionalmente, especifica el fin del intervalo de tiempo (en UTC) para buscarlas claves públicas para los archivos de resumen de CloudTrail. Si EndTime noestá especificado, se utiliza la hora actual.

Tipo: DateTime

Elementos de respuesta

PublicKeyList, una matriz de objetos PublicKey que contiene:

Nombre Descripción

Value El valor de clave pública codificado de DER en formato PKCS # 1.

Tipo: Blob

ValidityStartTime La hora de inicio de la validez de la clave pública.

Tipo: DateTime

ValidityEndTime La hora de finalización de la validez de la clave pública.

Tipo: DateTime

Fingerprint La huella de la clave pública. La huella puede utilizarse para identificar la clavepública que debe usar para validar el archivo de resumen.

Tipo: String

C. Elija la clave pública que va a utilizar para la validación

De entre las claves públicas recuperadas por list-public-keys o ListPublicKeys, elija la clavepública devuelta cuya huella coincida con la registrada en el campo digestPublicKeyFingerprint delarchivo de resumen. Esta es la clave pública que utilizará para validar el archivo de resumen.

Version 1.0216



D. Vuelva a crear la cadena de la firma de datosAhora que ya tiene la firma del archivo de resumen y la clave pública asociada, debe calcular la cadena defirma de datos. Después de haber calculado la cadena de la firma de datos, tendrá las entradas necesariaspara verificar la firma.

La cadena de firma de datos tiene el siguiente formato:

Data_To_Sign_String = Digest_End_Timestamp_in_UTC_Extended_format + '\n' + Current_Digest_File_S3_Path + '\n' + Hex(Sha256(current-digest-file-content)) + '\n' + Previous_digest_signature_in_hex

Este es un ejemplo de Data_To_Sign_String.

2015-08-12T04:01:31ZS3-bucket-name/AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/12/111122223333_us-east-2_CloudTrail-Digest_us-east-2_20150812T040131Z.json.gz4ff08d7c6ecd6eb313257e839645d20363ee3784a2328a7d76b99b53cc9bcacd6e8540b83c3ac86a0312d971a225361d28ed0af20d70c211a2d405e32abf529a8145c2966e3bb47362383a52441545ed091fb81d4c7c09dd152b84e79099ce7a9ec35d2b264eb92eb6e090f1e5ec5d40ec8a0729c02ff57f9e30d5343a8591638f8b794972ce15bb3063a0197298b0aee2c1c8af74ec620261529265e83a9834ebef6054979d3e9a6767dfa6fdb4ae153436c567d6ae208f988047ccfc8e5e41f7d0121e54ed66b1b904f80fb2ce304458a2a6b91685b699434b946c52589e9438f8ebe5a0d80522b2f043b3710b87d2cda43e5c1e0db921d8d540b9ad5f6d4$31b1f4a8ef2d758424329583897339493a082bb36e782143ee5464b4e3eb4ef6

Después de volver a crear esta cadena, puede validar el archivo de resumen.

E. Valide el archivo de resumenPase el hash SHA-256 de la cadena de firma de datos recreada, la firma digital y la clave pública alalgoritmo de verificación de la firma RSA. Si el resultado es verdadero, la firma del archivo de resumen severifica y el archivo de resumen es válido.

F. Valide los archivos de registroUna vez que haya validado el archivo de resumen, puede validar los archivos de registro a los que hacereferencia. El archivo de resumen contiene hashes SHA-256 de los archivos de registro. Si uno de losarchivos de registro se ha modificado después de que CloudTrail lo haya entregado, los hashes SHA-256cambiarán y la firma del archivo de resumen no coincidirá.

A continuación se muestra cómo validar los archivos de registro:

1. Realice una operación S3 Get para el archivo de registro utilizando la información de la ubicación deS3 en los campos logFiles.s3Bucket y logFiles.s3Object del archivo de resumen.

2. Si la operación S3 Get se realiza correctamente, itérela en los archivos de registro que se encuentranen la matriz logFiles del archivo de resumen mediante los siguientes pasos:a. Recupere el hash original del archivo desde el campo logFiles.hashValue del registro

correspondiente en el archivo de resumen.b. Convierta en hash el contenido sin comprimir del archivo de registro con el algoritmo de hash

especificado en logFiles.hashAlgorithm.c. Compare el valor de hash que ha generado con el valor para el registro en el archivo de resumen. Si

los hash coinciden, el archivo de registro es válido.

G. Valide los archivos de registro y de resumen adicionalesEn cada archivo de resumen, los siguientes campos proporcionan la ubicación y la firma del archivo deresumen anterior:

Version 1.0217



• previousDigestS3Bucket

• previousDigestS3Object

• previousDigestSignature

Utilice esta información para visitar archivos de resumen anteriores de forma secuencial. Para ello, validela firma de cada archivo de resumen y de los archivos de registro a los que hacen referencia mediantelos pasos que se indican en las secciones anteriores. La única diferencia es que, para los archivos deresumen anteriores, no es necesario recuperar la firma digital de las propiedades de los metadatos deAmazon S3 del objeto del archivo de resumen. La firma del archivo de resumen anterior se proporcionaautomáticamente en el campo previousDigestSignature.

Puede retroceder hasta llegar al archivo de resumen de partida o hasta que la cadena de archivos deresumen se rompa, lo que ocurra primero.

Validación de archivos de registro y de resumen sin conexiónCuando valida archivos de registro y de resumen sin conexión, generalmente puede seguir losprocedimientos descritos en las secciones anteriores. No obstante, debe tener en cuenta lo siguiente:

Uso del archivo de resumen más reciente

La firma digital del archivo de resumen más reciente (es decir, "actual") se encuentra en las propiedadesde metadatos de Amazon S3 del objeto del archivo de resumen. En una situación sin conexión, la firmadigital del archivo de resumen actual no estará disponible.

Hay dos maneras posibles de abordar esta situación:

• Dado que la firma digital del archivo de resumen anterior se encuentra en el archivo de resumen actual,empiece la validación desde el archivo de resumen que esté junto al último. Con este método, el archivode resumen más reciente no se puede validar.

• Como primer paso, obtenga la firma del archivo de resumen actual de las propiedades de metadatosdel objeto del archivo de resumen (por ejemplo, mediante una llamada a la API getObjectMetadata deAmazon S3) y, a continuación, guárdelo de forma segura sin conexión. Esto permite que el archivo deresumen actual se valide junto con los archivos anteriores de la cadena.

Resolución de la ruta de acceso

Los campos de los archivos de resumen descargados, como s3Object y previousDigestS3Object,seguirán apuntando a ubicaciones online de Amazon S3 para archivos de registro y archivos de resumen.Las soluciones sin conexión deben encontrar una forma de volverlos a direccionar a la ruta actual de losarchivos de registro y de resumen descargados.

Claves públicas

Para realizar la validación sin conexión, primero se deben obtener en línea todas las claves públicasque necesita para validar los archivos de registro en un intervalo de tiempo determinado (llamando aListPublicKeys, por ejemplo) y, a continuación, guardarlos de forma segura sin conexión. Este pasodebe repetirse siempre que desee validar más archivos fuera del intervalo de tiempo inicial especificado.

Fragmento de código de validación de ejemploEl siguiente fragmento de código de ejemplo muestra el código básico para validar archivos de resumeny archivos de registro de CloudTrail. El código básico no depende del estado en línea o sin conexión; es

Version 1.0218

https://docs.aws.amazon.com/AWSJavaSDK/latest/javadoc/com/amazonaws/services/s3/AmazonS3.html#getObjectMetadata(com.amazonaws.services.s3.model.GetObjectMetadataRequest)



decir, el usuario es quien debe decidir si va a implementarlo con o sin conexión a AWS. La implementaciónsugerida utiliza Java Cryptography Extension (ECC) y Bouncy Castle como proveedor de seguridad.

En el fragmento de código de ejemplo, se muestra lo siguiente:

• Cómo crear la cadena de firma de datos que se utiliza para validar la firma de archivos de resumen.• Cómo verificar la firma de archivos de resumen.• Cómo verificar los valores hash del archivo de registro.• Una estructura de código para validar una cadena de archivos de resumen.

import java.util.Arrays;import java.security.MessageDigest;import java.security.KeyFactory;import java.security.PublicKey;import java.security.Security;import java.security.Signature;import java.security.spec.X509EncodedKeySpec;import org.json.JSONObject;import org.bouncycastle.jce.provider.BouncyCastleProvider;import org.apache.commons.codec.binary.Hex; public class DigestFileValidator { public void validateDigestFile(String digestS3Bucket, String digestS3Object, String digestSignature) { // Using the Bouncy Castle provider as a JCE security provider - http://www.bouncycastle.org/ Security.addProvider(new BouncyCastleProvider()); // Load the digest file from S3 (using Amazon S3 Client) or from your local copy JSONObject digestFile = loadDigestFileInMemory(digestS3Bucket, digestS3Object); // Check that the digest file has been retrieved from its original location if (!digestFile.getString("digestS3Bucket").equals(digestS3Bucket) || !digestFile.getString("digestS3Object").equals(digestS3Object)) { System.err.println("Digest file has been moved from its original location."); } else { // Compute digest file hash MessageDigest messageDigest = MessageDigest.getInstance("SHA-256"); messageDigest.update(convertToByteArray(digestFile)); byte[] digestFileHash = messageDigest.digest(); messageDigest.reset(); // Compute the data to sign String dataToSign = String.format("%s%n%s/%s%n%s%n%s", digestFile.getString("digestEndTime"), digestFile.getString("digestS3Bucket"), digestFile.getString("digestS3Object"), // Constructing the S3 path of the digest file as part of the data to sign Hex.encodeHexString(digestFileHash), digestFile.getString("previousDigestSignature")); byte[] signatureContent = Hex.decodeHex(digestSignature); /* NOTE: To find the right public key to verify the signature, call CloudTrail ListPublicKey API to get a list of public keys, then match by the publicKeyFingerprint in the digest file. Also, the public key bytes

Version 1.0219

https://en.wikipedia.org/wiki/Java_Cryptography_Extension

http://www.bouncycastle.org/



returned from ListPublicKey API are DER encoded in PKCS#1 format: PublicKeyInfo ::= SEQUENCE { algorithm AlgorithmIdentifier, PublicKey BIT STRING } AlgorithmIdentifier ::= SEQUENCE { algorithm OBJECT IDENTIFIER, parameters ANY DEFINED BY algorithm OPTIONAL } */ pkcs1PublicKeyBytes = getPublicKey(digestFile.getString("digestPublicKeyFingerprint"))); // Transform the PKCS#1 formatted public key to x.509 format. RSAPublicKey rsaPublicKey = RSAPublicKey.getInstance(pkcs1PublicKeyBytes); AlgorithmIdentifier rsaEncryption = new AlgorithmIdentifier(PKCSObjectIdentifiers.rsaEncryption, null); SubjectPublicKeyInfo publicKeyInfo = new SubjectPublicKeyInfo(rsaEncryption, rsaPublicKey); // Create the PublicKey object needed for the signature validation PublicKey publicKey = KeyFactory.getInstance("RSA", "BC").generatePublic(new X509EncodedKeySpec(publicKeyInfo.getEncoded())); // Verify signature Signature signature = Signature.getInstance("SHA256withRSA", "BC"); signature.initVerify(publicKey); signature.update(dataToSign.getBytes("UTF-8")); if (signature.verify(signatureContent)) { System.out.println("Digest file signature is valid, validating log files…"); for (int i = 0; i < digestFile.getJSONArray("logFiles").length(); i++) { JSONObject logFileMetadata = digestFile.getJSONArray("logFiles").getJSONObject(i); // Compute log file hash byte[] logFileContent = loadUncompressedLogFileInMemory( logFileMetadata.getString("s3Bucket"), logFileMetadata.getString("s3Object") ); messageDigest.update(logFileContent); byte[] logFileHash = messageDigest.digest(); messageDigest.reset(); // Retrieve expected hash for the log file being processed byte[] expectedHash = Hex.decodeHex(logFileMetadata.getString("hashValue")); boolean signaturesMatch = Arrays.equals(expectedHash, logFileHash); if (!signaturesMatch) { System.err.println(String.format("Log file: %s/%s hash doesn't match.\tExpected: %s Actual: %s", logFileMetadata.getString("s3Bucket"), logFileMetadata.getString("s3Object"), Hex.encodeHexString(expectedHash), Hex.encodeHexString(logFileHash))); } else { System.out.println(String.format("Log file: %s/%s hash match", logFileMetadata.getString("s3Bucket"), logFileMetadata.getString("s3Object"))); } }

Version 1.0220

AWS CloudTrail Guía del usuarioUso de la CloudTrail Processing Library

} else { System.err.println("Digest signature failed validation."); } System.out.println("Digest file validation completed."); if (chainValidationIsEnabled()) { // This enables the digests' chain validation validateDigestFile( digestFile.getString("previousDigestS3Bucket"), digestFile.getString("previousDigestS3Object"), digestFile.getString("previousDigestSignature")); } } }}

Uso de la CloudTrail Processing LibraryLa CloudTrail Processing Library es una biblioteca de Java que ofrece una forma sencilla de procesarregistros de AWS CloudTrail. Será necesario que proporcione los detalles de configuración de la cola deSQS de CloudTrail y escriba código para procesar eventos. El CloudTrail Processing Library se encargadel resto. Sondea la cola Amazon SQS, lee y analiza los mensajes de la cola, descarga archivos deregistro de CloudTrail, analiza los eventos de los archivos de registro y pasa los eventos a su código comoobjetos Java.

La CloudTrail Processing Library es altamente escalable y tolerante a errores. Se ocupa del procesamientoparalelo de archivos de registro, de modo que pueden procesarse tantos registros como sea necesario.Gestiona los errores de red relacionados con tiempos de espera y recursos inaccesibles.

El siguiente tema muestra cómo utilizar la CloudTrail Processing Library para procesar registros deCloudTrail en sus proyectos Java.

La biblioteca se suministra como un proyecto de código abierto con licencia de Apache y está disponible enGitHub:

• https://github.com/aws/aws-cloudtrail-processing-library

El código fuente de la biblioteca incluye código de muestra, que puede utilizar como base para sus propiosproyectos.

Temas• Requisitos mínimos (p. 221)• Procesamiento de registros de CloudTrail (p. 222)• Temas avanzados (p. 226)• Recursos adicionales (p. 229)

Requisitos mínimosPara utilizar la CloudTrail Processing Library, debe disponer de lo siguiente:

• AWS SDK for Java 1.10.27

Version 1.0221

https://github.com/aws/aws-cloudtrail-processing-library

https://github.com/aws/aws-sdk-java

AWS CloudTrail Guía del usuarioProcesamiento de registros de CloudTrail

• Java 1.7

Procesamiento de registros de CloudTrailPara procesar registros de CloudTrail en su aplicación de Java:

1. Adición de la CloudTrail Processing Library a su proyecto (p. 222)2. Configuración de la CloudTrail Processing Library (p. 223)3. Implementación del procesador de eventos (p. 225)4. Invocación y ejecución del ejecutor de procesos (p. 225)

Adición de la CloudTrail Processing Library a su proyectoPara utilizar la CloudTrail Processing Library, debe añadirla al classpath de su proyecto de Java.

Contenido• Adición de la biblioteca a un proyecto Apache Ant (p. 222)• Adición de la biblioteca a un proyecto Apache Maven (p. 222)• Adición de la biblioteca a un proyecto Eclipse (p. 223)• Adición de la biblioteca a un proyecto IntelliJ (p. 223)

Adición de la biblioteca a un proyecto Apache Ant

Para añadir la biblioteca a un proyecto Apache Ant

1. Download or clone the CloudTrail Processing Library source code from GitHub:

• https://github.com/aws/aws-cloudtrail-processing-library2. Build the .jar file from source as described in the README:

mvn clean install -Dgpg.skip=true

3. Copie el archivo resultante .jar en el proyecto y añádalo al archivo build.xml del proyecto. Porejemplo:

<classpath> <pathelement path="${classpath}"/> <pathelement location="lib/aws-cloudtrail-processing-library-1.2.0.jar"/></classpath>

Adición de la biblioteca a un proyecto Apache Maven

La CloudTrail Processing Library está disponible para Apache Maven. Puede añadirla a su proyectoescribiendo una única dependencia en su archivo pom.xml de proyectos.

Para añadir la CloudTrail Processing Library a un proyecto Maven

• Abra su archivo pom.xml de proyecto Maven y añada la siguiente dependencia:

Version 1.0222

http://docs.oracle.com/javase/7/docs/webnotes/install/


https://github.com/aws/aws-cloudtrail-processing-library/blob/master/README.rst

http://maven.apache.org/


<dependency> <groupId>com.amazonaws</groupId> <artifactId>aws-cloudtrail-processing-library</artifactId> <version>1.2.0</version></dependency>

Adición de la biblioteca a un proyecto Eclipse

Para añadir la CloudTrail Processing Library a un proyecto Eclipse




3. Copie la compilación aws-cloudtrail-processing-library-1.2.0.jar en un directorio del proyecto (por logeneral, lib).

4. Haga clic con el nombre de su proyecto Project Explorer de Eclipse, elija Build Path y, a continuación,elija Configure

5. En la ventana Java Build Path, elija la pestaña Libraries.6. Haga clic en Add JARs... y vaya a la ruta donde hubiera copiado aws-cloudtrail-processing-

library-1.2.0.jar.7. Elija OK para completar la adición de la .jar a su proyecto.

Adición de la biblioteca a un proyecto IntelliJ

Para añadir la CloudTrail Processing Library a un proyecto IntelliJ




3. En File, seleccione Project Structure.4. Elija Modules y, a continuación, elija Dependencies.5. Elija + JARS or Directories (+ JARS o directorios) y, a continuación, vaya a la ruta en la que hubiera

creado el aws-cloudtrail-processing-library-1.2.0.jar.6. Elija Apply y, a continuación, elija OK para completar la adición de la .jar a su proyecto.

Configuración de la CloudTrail Processing LibraryPuede configurar la CloudTrail Processing Library creando un archivo de propiedades de classpath quese cargará en el tiempo de ejecución o mediante la creación de un objeto ClientConfiguration yestableciendo las opciones de configuración manualmente.

Suministro de un archivo de propiedadesPuede escribir un archivo de propiedades classpath que proporcione las opciones de configuración para laaplicación. El siguiente ejemplo muestra el archivo de opciones que puede definir:

Version 1.0223






# AWS access key. (Required)accessKey = your_access_key

# AWS secret key. (Required)secretKey = your_secret_key

# The SQS URL used to pull CloudTrail notification from. (Required)sqsUrl = your_sqs_queue_url

# The SQS end point specific to a region.sqsRegion = us-east-1

# A period of time during which Amazon SQS prevents other consuming components# from receiving and processing that message.visibilityTimeout = 60

# The S3 region to use.s3Region = us-east-1

# Number of threads used to download S3 files in parallel. Callbacks can be# invoked from any thread.threadCount = 1

# The time allowed, in seconds, for threads to shut down after# AWSCloudTrailEventProcessingExecutor.stop() is called. If they are still# running beyond this time, they will be forcibly terminated.threadTerminationDelaySeconds = 60

# The maximum number of AWSCloudTrailClientEvents sent to a single invocation# of processEvents().maxEventsPerEmit = 10

# Whether to include raw event information in CloudTrailDeliveryInfo.enableRawEventInfo = false

# Whether to delete SQS message when the CloudTrail Processing Library is unable to process the notification.deleteMessageUponFailure = false

Se requieren los siguientes parámetros:

• sqsUrl – Ofrece la URL para extraer sus notificaciones CloudTrail. Si no especifica este valor,AWSCloudTrailProcessingExecutor toma una IllegalStateException.

• accessKey – Un identificador único para su cuenta, como AKIAIOSFODNN7EXAMPLE.• secretKey – Un identificador único para su cuenta, como wJalrXUtnFEMI/K7MDENG/

bPxRfiCYEXAMPLEKEY.

Los parámetros accessKey y secretKey proporcionan sus credenciales de AWS a la biblioteca, paraque esta pueda obtener acceso a AWS en su nombre.

Los valores predeterminados del resto de parámetros los establece la biblioteca. Para obtener másinformación, consulte la referencia de la biblioteca de procesamiento de AWS CloudTrail.

Creación de una ClientConfiguration

En lugar de establecer opciones a través de las propiedades de classpath, puede proporcionar opcionespara AWSCloudTrailProcessingExecutor inicializando y definiendo opciones en un objetoClientConfiguration, como se muestra en el ejemplo siguiente:

ClientConfiguration basicConfig = new ClientConfiguration(

Version 1.0224

https://docs.aws.amazon.com/awscloudtrail/latest/processinglib


"http://sqs.us-east-1.amazonaws.com/123456789012/queue2", new DefaultAWSCredentialsProviderChain());

basicConfig.setEnableRawEventInfo(true);basicConfig.setThreadCount(4);basicConfig.setnEventsPerEmit(20);

Implementación del procesador de eventosPara procesar los registros de CloudTrail, debe implementar un EventsProcessor que reciba los datosdel registro de CloudTrail. A continuación se muestra una implementación de ejemplo:

public class SampleEventsProcessor implements EventsProcessor {

public void process(List<CloudTrailEvent> events) { int i = 0; for (CloudTrailEvent event : events) { System.out.println(String.format("Process event %d : %s", i++, event.getEventData())); } }}

Cuando se implementa un EventsProcessor, debe implementar la devolución de llamada process()que AWSCloudTrailProcessingExecutor utiliza para enviarle eventos de CloudTrail. Los eventos sesuministran en una lista de objetos CloudTrailClientEvent.

El objeto CloudTrailClientEvent proporciona un CloudTrailEvent yCloudTrailEventMetadata que puede utilizar para leer el evento de CloudTrail y enviar información.

Este sencillo ejemplo imprime la información de eventos para todos los eventos pasados aSampleEventsProcessor. En su propia implementación, puede procesar registros según estime másconveniente. AWSCloudTrailProcessingExecutor sigue enviando eventos a su EventsProcessorsiempre que tenga eventos que enviar y se siga ejecutando.

Invocación y ejecución del ejecutor de procesosDespués de escribir un EventsProcessor y haber establecido valores de configuraciónpara la CloudTrail Processing Library (bien en un archivo de propiedades o mediante laclase ClientConfiguration), puede utilizar estos elementos para inicializar y utilizar unAWSCloudTrailProcessingExecutor.

Para utilizar AWSCloudTrailProcessingExecutor con el fin de procesar eventos deCloudTrail

1. Cree una instancia para el objeto AWSCloudTrailProcessingExecutor.Builder. El constructorde Builder toma un objeto EventsProcessor y un nombre de archivo de propiedades declasspath.

2. Llame al método predeterminado build() de Builder para configurar y obtener un objetoAWSCloudTrailProcessingExecutor.

3. Utilice los métodos start() y stop() de AWSCloudTrailProcessingExecutor para comenzar yfinalizar el procesamiento de eventos de CloudTrail.

public class SampleApp { public static void main(String[] args) throws InterruptedException { AWSCloudTrailProcessingExecutor executor = new

Version 1.0225

AWS CloudTrail Guía del usuarioTemas avanzados

AWSCloudTrailProcessingExecutor.Builder(new SampleEventsProcessor(), "/myproject/cloudtrailprocessing.properties").build();

executor.start(); Thread.sleep(24 * 60 * 60 * 1000); // let it run for a while (optional) executor.stop(); // optional }}

Temas avanzadosTemas

• Filtrar los eventos que se van a procesar (p. 226)• Notificación del progreso (p. 227)• Control de errores (p. 228)

Filtrar los eventos que se van a procesarDe forma predeterminada, todos los registros del bucket de S3 de la cola de Amazon SQS y todos loseventos que contienen se envían a su EventsProcessor. La CloudTrail Processing Library proporcionainterfaces opcionales que puede implementar para filtrar los orígenes que se utilizan para obtener registrosde CloudTrail y para filtrar los eventos que le interesa procesar.

SourceFilter

Puede implementar la interfaz SourceFilter para elegir si procesa o no los registros desde unorigen que se haya proporcionado. SourceFilter declara un método único de devolución dellamada, filterSource(), que recibe un objeto CloudTrailSource. Para evitar procesar eventosdesde un origen, devuelve false desde filterSource().

La CloudTrail Processing Library llama al método filterSource() después de que la bibliotecasondee si hay registros en la cola Amazon SQS. Esto ocurre antes de que la biblioteca comience elfiltrado de eventos o el procesamiento de los registros.

A continuación se muestra una implementación de ejemplo:

public class SampleSourceFilter implements SourceFilter{ private static final int MAX_RECEIVED_COUNT = 3;

private static List<String> accountIDs ; static { accountIDs = new ArrayList<>(); accountIDs.add("123456789012"); accountIDs.add("234567890123"); }

@Override public boolean filterSource(CloudTrailSource source) throws CallbackException { source = (SQSBasedSource) source; Map<String, String> sourceAttributes = source.getSourceAttributes();

String accountId = sourceAttributes.get( SourceAttributeKeys.ACCOUNT_ID.getAttributeKey());

String receivedCount = sourceAttributes.get( SourceAttributeKeys.APPROXIMATE_RECEIVE_COUNT.getAttributeKey());

int approximateReceivedCount = Integer.parseInt(receivedCount);

Version 1.0226


return approximateReceivedCount <= MAX_RECEIVED_COUNT && accountIDs.contains(accountId); }}

Si no proporciona su propio SourceFilter, en ese caso se utilizará DefaultSourceFilter, lo quepermite procesar todos los orígenes (siempre devuelve true).

EventFilter

Puede implementar la interfaz EventFilter para elegir si un evento de CloudTrail se envíaa su EventsProcessor. EventFilter declara un método único de devolución de llamada,filterEvent(), que recibe un objeto CloudTrailEvent. Para evitar que se procese el evento,devuelve false desde filterEvent().

La CloudTrail Processing Library llama al método filterEvent() después de que la bibliotecasondee si hay registros en la cola Amazon SQS y después del filtrado de orígenes. Esto ocurre antesde que la biblioteca comience el procesamiento de eventos de los registros.

Consulte la siguiente implementación de ejemplo:

public class SampleEventFilter implements EventFilter{

private static final String EC2_EVENTS = "ec2.amazonaws.com";

@Override public boolean filterEvent(CloudTrailClientEvent clientEvent) throws CallbackException { CloudTrailEvent event = clientEvent.getEvent();

String eventSource = event.getEventSource(); String eventName = event.getEventName();

return eventSource.equals(EC2_EVENTS) && eventName.startsWith("Delete"); }}

Si no proporciona su propio EventFilter, en ese caso se utilizará DefaultEventFilter, lo quepermite procesar todos los eventos (siempre devuelve true).

Notificación del progresoImplemente la interfaz ProgressReporter para personalizar los informes de progreso de CloudTrailProcessing Library. ProgressReporter declara dos métodos: reportStart() y reportEnd(), a losque se llama al principio y al final de las siguientes operaciones:

• Sondeo de mensajes desde Amazon SQS• Análisis de mensajes desde Amazon SQS• Procesamiento de un origen de Amazon SQS para registros de CloudTrail• Eliminación de mensajes desde Amazon SQS• Descarga de un archivo de registro de CloudTrail• Procesamiento de un archivo de registro de CloudTrail

Ambos métodos reciben un objeto ProgressStatus que contiene información sobre la operaciónrealizada. El miembro progressState es miembro de la enumeración ProgressState que identifica laoperación actual. Este miembro puede contener información adicional en el miembro progressInfo. Por

Version 1.0227


otra parte, cualquier objeto que se devuelva desde reportStart() se pasa a reportEnd(), de formaque podrá proporcionar información contextualizada como, por ejemplo, el momento en que se comenzó aprocesar el evento.

A continuación viene una implementación de ejemplo que proporciona información sobre cuánto tiempotarda una operación en completarse:

public class SampleProgressReporter implements ProgressReporter { private static final Log logger = LogFactory.getLog(DefaultProgressReporter.class);

@Override public Object reportStart(ProgressStatus status) { return new Date(); }

@Override public void reportEnd(ProgressStatus status, Object startDate) { System.out.println(status.getProgressState().toString() + " is " + status.getProgressInfo().isSuccess() + " , and latency is " + Math.abs(((Date) startDate).getTime()-new Date().getTime()) + " milliseconds."); }}

Si no implementa su propio ProgressReporter, en ese caso se sustituirá porDefaultExceptionHandler, que imprime el nombre del estado que se esté ejecutando.

Control de erroresCon la interfaz ExceptionHandler puede controlar de forma especial las excepciones que se produzcandurante el procesamiento de los registros. ExceptionHandler declara un método único de devoluciónde llamada, handleException(), que recibe un objeto ProcessingLibraryException con contextosobre la excepción que se ha producido.

Puede utilizar el método ProcessingLibraryException de getStatus() transferido para saber quéoperación se ejecutó cuando se produjo la excepción y obtener información adicional sobre el estado de laoperación. ProcessingLibraryException se deriva de la clase Exception estándar de Java, por loque también puede recuperar información sobre la excepción invocando a cualquiera de los métodos deexcepción.

Consulte la siguiente implementación de ejemplo:

public class SampleExceptionHandler implements ExceptionHandler{ private static final Log logger = LogFactory.getLog(DefaultProgressReporter.class);

@Override public void handleException(ProcessingLibraryException exception) { ProgressStatus status = exception.getStatus(); ProgressState state = status.getProgressState(); ProgressInfo info = status.getProgressInfo();

System.err.println(String.format( "Exception. Progress State: %s. Progress Information: %s.", state, info)); }}

Si no proporciona su propio ExceptionHandler, en ese caso se sustituirá porDefaultExceptionHandler, que imprime un mensaje de error estándar.

Version 1.0228

AWS CloudTrail Guía del usuarioRecursos adicionales

Note

Si el parámetro deleteMessageUponFailure es true, la CloudTrail Processing Library nodistingue las excepciones generales de los errores de procesamiento y puede eliminar mensajesde la cola.

1. Por ejemplo, utilice la marca SourceFilter para filtrar los mensajes por marca de tiempo.2. Sin embargo, no tiene los permisos necesarios para acceder al bucket S3 que recibe los

archivos de registro de CloudTrail. Dado que no dispone de los permisos necesarios, se lanzaun AmazonServiceException. La CloudTrail Processing Library envuelve esto en unaCallBackException.

3. DefaultExceptionHandler registra esto como un error, pero no identifica la causa raíz,que es el hecho de que no dispone de los permisos necesarios. La CloudTrail ProcessingLibrary considera esto un error de procesamiento y elimina el mensaje, incluso si el mensajeincluye un archivo de registro de CloudTrail válido.

Si desea filtrar los mensajes con SourceFilter, verifique que su ExceptionHandler puededistinguir las excepciones de servicio de los errores de procesamiento.

Recursos adicionalesPara obtener más información sobre la CloudTrail Processing Library, consulte lo siguiente:

• El proyecto GitHub de CloudTrail Processing Library, que incluye el código de muestra que ilustra cómoimplementar una aplicación de CloudTrail Processing Library.

• La documentación del paquete de Java de la CloudTrail Processing Library.

Version 1.0229


https://github.com/aws/aws-cloudtrail-processing-library/tree/master/src/sample

https://docs.aws.amazon.com/awscloudtrail/latest/processinglib

AWS CloudTrail Guía del usuarioProtección de los datos

Seguridad en AWS CloudTrailLa seguridad en la nube de AWS es la mayor prioridad. Como cliente de AWS, se beneficiará de unaarquitectura de red y un centro de datos diseñados para satisfacer los requisitos de seguridad de lasorganizaciones más exigentes.

La seguridad es una responsabilidad compartida entre AWS y usted. El modelo de responsabilidadcompartida la describe como seguridad de la nube y seguridad en la nube:

• Seguridad de la nube: AWS es responsable de proteger la infraestructura que ejecuta servicios deAWS en la nube de AWS. AWS también proporciona servicios que puede utilizar de forma segura.Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marcode los programas de conformidad de AWS. Para obtener más información acerca de los programas deconformidad que se aplican a AWS CloudTrail, consulte Servicios de AWS en el ámbito del programa deconformidad.

• Seguridad en la nube: su responsabilidad viene determinada por el servicio de AWS que utilice. Tambiénes responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa yla legislación y los reglamentos aplicables.

Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuandose utiliza CloudTrail. En los siguientes temas, se le mostrará cómo configurar CloudTrail para satisfacersus objetivos de seguridad y conformidad. También puede aprender a utilizar otros servicios de AWS quele ayudan a supervisar y proteger sus recursos de CloudTrail.

Temas• Protección de los datos en AWS CloudTrail (p. 230)• Administración de identidades y accesos en AWS CloudTrail (p. 231)• Validación de la conformidad de AWS CloudTrail (p. 260)• Resiliencia en AWS CloudTrail (p. 260)• Seguridad de la infraestructura en AWS CloudTrail (p. 261)• Prácticas recomendadas de seguridad de AWS CloudTrail (p. 262)• Cifrado de archivos de registro de CloudTrail con claves administradas de AWS KMS (SSE-

KMS) (p. 265)

Protección de los datos en AWS CloudTrailAWS CloudTrail cumple los requisitos del modelo de responsabilidad compartida de AWS, que incluyereglamentos y directrices para la protección de datos. AWS es responsable de proteger la infraestructuraglobal que ejecuta todos los servicios de AWS. AWS mantiene el control de los datos alojados en estainfraestructura, incluidos los controles de configuración de la seguridad para el tratamiento del contenidoy los datos personales de los clientes. Los clientes de AWS y los socios de APN, que actúan comocontroladores o procesadores de datos, son responsables de todos los datos personales que colocan en lanube de AWS.

Para fines de protección de datos, le recomendamos proteger las credenciales de la cuenta de AWS yconfigurar cuentas de usuario individuales con AWS Identity and Access Management (IAM), de modo quea cada usuario se le concedan únicamente los permisos necesarios para llevar a cabo su trabajo. Tambiénle recomendamos proteger sus datos de las siguientes formas:

• Utilice la autenticación multifactor (MFA) con cada cuenta.

Version 1.0230

http://aws.amazon.com/compliance/shared-responsibility-model/


http://aws.amazon.com/compliance/programs/

http://aws.amazon.com/compliance/services-in-scope/



AWS CloudTrail Guía del usuarioIdentity and Access Management

• Utilice SSL/TLS para comunicarse con los recursos de AWS.

• Cree un registro de seguimiento para registrar la actividad de los usuarios y de la API con AWSCloudTrail.

• Utilice las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminadosdentro de los servicios de AWS.

• Utilice los servicios de seguridad administrados avanzados como, por ejemplo, Amazon Macie, queayudan a detectar y proteger los datos personales almacenados en Amazon S3.

Le recomendamos encarecidamente que nunca introduzca información de identificación confidencial,como, por ejemplo, números de cuenta de sus clientes, en los campos de formato libre, como el campoName (Nombre). No debe introducir esta información cuando trabaje con CloudTrail u otros servicios deAWS a través de la consola, la API, la AWS CLI de AWS o los SDK de AWS. Cualquier dato que escribaen CloudTrail o en otros servicios se puede incluir en los registros de diagnóstico. Cuando proporcione unaURL a un servidor externo, no incluya información de credenciales en la URL para validar la solicitud paraese servidor.

Para obtener más información sobre la protección de datos, consulte la entrada de blog relativa al modelode responsabilidad compartida de AWS y GDPR en el blog de seguridad de AWS.

De forma predeterminada, los archivos de registro de eventos de CloudTrail se cifran mediante el cifradodel lado del servidor (SSE) de Amazon S3. También puede optar por cifrar los archivos de registro con unaclave AWS Key Management Service (AWS KMS). Puede almacenar sus archivos de registro en su bucketdurante el tiempo que quiera. También puede definir reglas de ciclo de vida de Amazon S3 para archivar oeliminar archivos de registro automáticamente. Si desea recibir notificaciones sobre el envío y la validaciónde archivos de registro, puede configurar las notificaciones de Amazon SNS.

Las siguientes prácticas recomendadas de seguridad también evalúan la protección de datos enCloudTrail:

• Cifrado de archivos de registro de CloudTrail con claves administradas de AWS KMS (SSE-KMS) (p. 265)

• Política de bucket de Amazon S3 para CloudTrail (p. 249)• Validación de la integridad de los archivos de registro de CloudTrail (p. 200)• Compartición de archivos de registro de CloudTrail entre cuentas de AWS (p. 191)

Dado que los archivos de registro de CloudTrail se almacenan en uno o varios buckets en Amazon S3,también debe revisar la información sobre protección de datos en la Guía para desarrolladores de AmazonSimple Storage Service. Para obtener más información, consulte Protección de datos en Amazon S3.

Administración de identidades y accesos en AWSCloudTrail

AWS Identity and Access Management (IAM) es un servicio de AWS que ayuda a un administrador acontrolar de forma segura el acceso a los recursos de AWS. Los administradores de IAM controlan quiénpuede ser autenticado (iniciar sesión) y estar autorizado (tener permisos) para utilizar los recursos deCloudTrail. IAM es un servicio de AWS que se puede utilizar sin costo adicional.

Temas• Público (p. 232)• Autenticación con identidades (p. 232)

Version 1.0231

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

https://docs.aws.amazon.com/AmazonS3/latest/dev/DataDurability.html

AWS CloudTrail Guía del usuarioPúblico

• Administración de acceso mediante políticas (p. 234)• Funcionamiento de AWS CloudTrail con IAM (p. 236)• Ejemplos de políticas basadas en identidad de AWS CloudTrail (p. 239)• Política de bucket de Amazon S3 para CloudTrail (p. 249)• Política de temas de Amazon SNS para CloudTrail (p. 254)• Solución de problemas de identidad y acceso en AWS CloudTrail (p. 256)• Uso de roles vinculados a servicios en AWS CloudTrail (p. 258)

PúblicoLa forma en que utilice AWS Identity and Access Management (IAM) difiere, en función del trabajo querealice en CloudTrail.

Usuario de servicio: si utiliza el servicio CloudTrail para realizar su trabajo, su administrador le proporcionalas credenciales y los permisos que necesita. A medida que utilice más características de CloudTrailpara realizar su trabajo, es posible que necesite permisos adicionales. Entender cómo se administrael acceso puede ayudarle a solicitar los permisos correctos a su administrador. Si no puede accedera una característica en CloudTrail, consulte Solución de problemas de identidad y acceso en AWSCloudTrail (p. 256).

Administrador de servicio: si está a cargo de los recursos de CloudTrail en su empresa, probablementetenga acceso completo a CloudTrail. Su trabajo consiste en determinar qué a características y recursosde CloudTrail deben acceder sus empleados. A continuación, debe enviar solicitudes a su administradorde IAM para cambiar los permisos de los usuarios de su servicio. Revise la información de esta páginapara conocer los conceptos básicos de IAM. Para obtener más información sobre cómo su empresa puedeutilizar IAM con CloudTrail, consulte Funcionamiento de AWS CloudTrail con IAM (p. 236).

Administrator de IAM: si es un administrador de IAM, es posible que quiera conocer información sobrecómo escribir políticas para administrar el acceso a CloudTrail. Para ver ejemplos de políticas basadas enla identidad de CloudTrail que puede utilizar en IAM, consulte Ejemplos de políticas basadas en identidadde AWS CloudTrail (p. 239).

Autenticación con identidadesLa autenticación es la manera de iniciar sesión en AWS mediante credenciales de identidad. Para obtenermás información acerca del inicio de sesión con la Consola de administración de AWS, consulte Laconsola de IAM y la página de inicio de sesión en la Guía del usuario de IAM.

Debe estar autenticado (haber iniciado sesión en AWS) como Usuario de la cuenta raíz de AWS, usuariode IAM o asumiendo un rol de IAM. También puede utilizar la autenticación de inicio de sesión único desu empresa o incluso iniciar sesión con Google o Facebook. En estos casos, su administrador habráconfigurado previamente la federación de identidad mediante roles de IAM. Cuando obtiene acceso a AWSmediante credenciales de otra empresa, asume un rol indirectamente.

Para iniciar sesión directamente en la Consola de administración de AWS, use su contraseña con sucorreo electrónico usuario raíz o su nombre de usuario de IAM. Puede obtener acceso a AWS medianteprogramación utilizando sus claves de acceso usuario raíz o de usuario de IAM. AWS proporciona SDK yherramientas de línea de comandos para firmar criptográficamente su solicitud con sus credenciales. Si noutiliza las herramientas de AWS, debe firmar usted mismo la solicitud. Para ello, utilice Signature Version4, un protocolo para autenticar solicitudes de API de entrada. Para obtener más información acerca de laautenticación de solicitudes, consulte Proceso de firma Signature Version 4 en la AWS General Reference.

Independientemente del método de autenticación que utilice, es posible que también deba proporcionarinformación de seguridad adicional. Por ejemplo, AWS le recomienda el uso de la autenticación multifactor

Version 1.0232

https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html

https://console.aws.amazon.com/

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

AWS CloudTrail Guía del usuarioAutenticación con identidades

(MFA) para aumentar la seguridad de su cuenta. Para obtener más información, consulte Uso de Multi-Factor Authentication (MFA) en AWS en la Guía del usuario de IAM.

Usuario raíz de la cuenta de AWSCuando se crea por primera vez una cuenta de AWS, se comienza con una única identidad de inicio desesión que tiene acceso completo a todos los servicios y recursos de AWS de la cuenta. Esta identidadrecibe el nombre de AWS de la cuenta de usuario raíz y se obtiene acceso a ella iniciando sesión con ladirección de correo electrónico y la contraseña que utilizó para crear la cuenta. Le recomendamos queno utilice usuario raíz en sus tareas cotidianas, ni siquiera en las tareas administrativas. En lugar de ello,es mejor ceñirse a la práctica recomendada de utilizar exclusivamente usuario raíz para crear el primerusuario de IAM. A continuación, guarde las credenciales de usuario raíz en un lugar seguro y utilícelasúnicamente para algunas tareas de administración de cuentas y servicios.

Usuarios y grupos de IAMUn usuario de IAM es una entidad de la cuenta de AWS que dispone de permisos específicos para unasola persona o aplicación. Un usuario de IAM puede tener credenciales a largo plazo, como un nombrede usuario y una contraseña o un conjunto de claves de acceso. Para obtener más información acerca decómo generar claves de acceso, consulte Administración de las claves de acceso de los usuarios de IAMen la Guía del usuario de IAM. Al generar claves de acceso para un usuario de IAM, asegúrese de ver yguardar de forma segura el par de claves. No puede recuperar la clave de acceso secreta en el futuro. Ensu lugar, debe generar un nuevo par de claves de acceso.

Un grupo de IAM es una identidad que especifica un conjunto de usuarios de IAM. No puede iniciar sesióncomo grupo. Puede usar los grupos para especificar permisos para varios usuarios a la vez. Los gruposfacilitan la administración de los permisos de grandes conjuntos de usuarios. Por ejemplo, podría tener ungrupo cuyo nombre fuese Administradores de IAM y conceder permisos a dicho grupo para administrar losrecursos de IAM.

Los usuarios son diferentes de los roles. Un usuario se asocia exclusivamente a una persona o aplicación,pero la intención es que cualquier usuario pueda asumir un rol que necesite. Los usuarios tienencredenciales permanentes a largo plazo y los roles proporcionan credenciales temporales. Para obtenermás información, consulte Cuándo crear un usuario de IAM (en lugar de un rol) en la Guía del usuario deIAM.

Roles de IAMUn rol de IAM es una entidad de la cuenta de AWS que dispone de permisos específicos. Es similar aun usuario de IAM, pero no está asociado a una determinada persona. Puede asumir temporalmente unrol de IAM en la Consola de administración de AWS cambiando de roles. Puede asumir un rol llamandoa una operación de la AWS CLI o de la API de AWS, o utilizando una URL personalizada. Para obtenermás información acerca de los métodos para el uso de roles, consulte Uso de roles de IAM en la Guía delusuario de IAM.

Los roles de IAM con credenciales temporales son útiles en las siguientes situaciones:

• Permisos de usuario temporales de IAM: un usuario de IAM puede asumir un rol de IAM para recibirtemporalmente permisos distintos que le permitan realizar una tarea concreta.

• Acceso de usuario federado: En lugar de crear un usuario de IAM, puede utilizar identidades existentesde AWS Directory Service, del directorio de usuarios de la empresa o de un proveedor de identidadesweb. A estas identidades se les llama usuarios federados. AWS asigna una función a un usuariofederado cuando se solicita acceso a través de un proveedor de identidad. Para obtener másinformación acerca de los usuarios federados, consulte Usuarios federados y roles en la Guía delusuario de IAM.

• Acceso entre cuentas: puede utilizar un rol de IAM para permitir que alguien (una entidad principal deconfianza) de otra cuenta obtenga acceso a los recursos de su cuenta. Los roles son la forma principal

Version 1.0233

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles

AWS CloudTrail Guía del usuarioAdministración de acceso mediante políticas

de conceder acceso entre cuentas. Sin embargo, con algunos servicios de AWS, puede asociar unapolítica directamente a un recurso (en lugar de utilizar un rol como proxy). Para obtener informaciónacerca de la diferencia entre los roles y las políticas basadas en recursos para el acceso entre cuentas,consulte Cómo los roles de IAM difieren de las políticas basadas en recursos en la Guía del usuario deIAM.

• Acceso a servicios de AWS: Un rol de servicio es un rol de IAM que un servicio asume para realizaracciones en su cuenta en su nombre. Al configurar algunos de los entornos de los servicios de AWS,debe definir un rol que el servicio asumirá. Este rol de servicio debe incluir todos los permisos queson necesarios para que el servicio pueda acceder a los recursos de AWS que necesita. Los roles deservicio varían de servicio a servicio, pero muchos le permiten elegir sus permisos, siempre y cuandose cumplan los requisitos documentados para dicho servicio. Los roles de servicio ofrecen acceso solodentro de su cuenta y no se pueden utilizar para otorgar acceso a servicios en otras cuentas. Puedecrear, modificar y eliminar un rol de servicio desde IAM. Por ejemplo, puede crear un rol que permitaa Amazon Redshift tener acceso a un bucket de Amazon S3 en su nombre y, a continuación, cargarlos datos de ese bucket en un clúster de Amazon Redshift. Para obtener más información, consulteCreación de un rol para delegar permisos a un servicio de AWS en la Guía del usuario de IAM.

• Aplicaciones que se ejecutan en Amazon EC2: Puede utilizar un rol de IAM para administrarcredenciales temporales para las aplicaciones que se ejecutan en una instancia EC2 y realizansolicitudes de la AWS CLI o la API de AWS. Es preferible hacerlo de este modo a almacenar claves deacceso en la instancia EC2. Para asignar un rol de AWS a una instancia EC2 y ponerla a disposición detodas las aplicaciones, cree un perfil de instancia asociado a la misma. Un perfil de instancia contiene elrol y permite a los programas que se ejecutan en la instancia EC2 obtener credenciales temporales. Paraobtener más información, consulte Uso de un rol de IAM para conceder permisos a aplicaciones que seejecutan en instancias Amazon EC2 en la Guía del usuario de IAM.

Para obtener información acerca del uso de los roles de IAM, consulte Cuándo crear un rol de IAM (en vezde un usuario) en la Guía del usuario de IAM.

Administración de acceso mediante políticasPara controlar el acceso en AWS, se crean políticas y se asocian a identidades de IAM o recursos deAWS. Una política es un objeto de AWS que, cuando se asocia a una identidad o un recurso, definesus permisos. AWS evalúa estas políticas cuando una entidad principal (usuario raíz, usuario de IAM orol de IAM) realiza una solicitud. Los permisos en las políticas determinan si la solicitud se permite o sedeniega. Las mayoría de las políticas se almacenan en AWS como documentos JSON. Para obtenermás información acerca de la estructura y el contenido de los documentos de política JSON, consulteInformación general de las políticas de JSON en la Guía del usuario de IAM.

Un administrador de IAM puede utilizar las políticas para especificar quién tiene acceso a los recursos deAWS y qué acciones se pueden realizar en dichos recursos. Cada entidad de IAM (usuario o rol) comienzasin permisos. En otras palabras, de forma predeterminada, los usuarios no pueden hacer nada, ni siquieracambiar sus propias contraseñas. Para conceder permiso a un usuario para hacer algo, el administradordebe asociarle una política de permisos. O bien el administrador puede añadir al usuario a un grupo quetenga los permisos necesarios. Cuando el administrador concede permisos a un grupo, todos los usuariosde ese grupo obtienen los permisos.

Las políticas de IAM definen permisos para una acción independientemente del método que se utilicepara realizar la operación. Por ejemplo, suponga que dispone de una política que permite la accióniam:GetRole. Un usuario con dicha política puede obtener información del usuario de la Consola deadministración de AWS, la AWS CLI o la API de AWS.

Políticas basadas en la identidadLas políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociara una identidad, como por ejemplo un usuario, un rol o un grupo de IAM. Estas políticas controlan qué

Version 1.0234

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json

AWS CloudTrail Guía del usuarioAdministración de acceso mediante políticas

acciones puede realizar dicha identidad, en qué recursos y en qué condiciones. Para obtener másinformación acerca de cómo crear una política basada en identidad, consulte Creación de políticas de IAMen la Guía del usuario de IAM.

Las políticas basadas en identidad pueden clasificarse además como políticas insertadas o políticasadministradas. Las políticas insertadas se integran directamente en un único usuario, grupo o rol. Laspolíticas administradas son políticas independientes que puede asociar a varios usuarios, grupos y rolesde su cuenta de AWS. Las políticas administradas incluyen las políticas administradas por AWS y laspolíticas administradas por el cliente. Para obtener más información acerca de cómo elegir una políticaadministrada o una política insertada, consulte Elegir entre políticas administradas y políticas insertadas enla Guía del usuario de IAM.

Políticas basadas en recursosLas políticas basadas en recursos son documentos de política JSON que puede asociar a un recursocomo, por ejemplo, un bucket de Amazon S3. Los administradores de servicios pueden utilizar estaspolíticas para definir qué acciones puede realizar un principal especificado (miembro de cuenta, usuario orol) en dicho recurso y bajo qué condiciones. Las políticas basadas en recursos son políticas insertadas.No existen políticas basadas en recursos que sean administradas.

Listas de control de acceso (ACL)Las listas de control de acceso (ACL) son un tipo de política que controlan qué entidades principales(cuentas, miembros, usuarios o roles) tienen permisos para obtener acceso a un recurso. Las ACL sonsimilares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticaJSON. Amazon S3, AWS WAF y Amazon VPC son ejemplos de servicios que admiten ACL. Para obtenermás información sobre las ACL, consulte Información general de las Access Control Lists (ACL, Listas decontrol de acceso) en la Guía para desarrolladores de Amazon Simple Storage Service.

Otros tipos de políticasAWS admite otros tipos de políticas menos frecuentes. Estos tipos de políticas pueden establecer elmáximo de permisos que los tipos de políticas más frecuentes le otorgan.

• Límites de permisos: un límite de permisos es una característica avanzada que le permite definir lospermisos máximos que una política basada en identidad puede conceder a una entidad de IAM (usuarioo rol de IAM). Puede establecer un límite de permisos para una identidad. Los permisos resultantes sonla intersección de las políticas basadas en identidades de la entidad y los límites de sus permisos. Laspolíticas basadas en recursos que especifiquen el usuario o rol en el campo Principal no estaránrestringidas por el límite de permisos. Una denegación explícita en cualquiera de estas políticas anularáel permiso. Para obtener más información acerca de los límites de permisos, consulte see Límites depermisos para las entidades de IAM en la Guía del usuario de IAM.

• Políticas de control de servicios (SCP): las SCP son políticas de JSON que especifican los permisosmáximos para una organización o unidad organizativa (OU) en AWS Organizations. AWS Organizationses un servicio que le permite agrupar y administrar de forma centralizada varias cuentas de AWSque posee su negocio. Si habilita todas las funciones en una organización, entonces podrá aplicarpolíticas de control de servicio (SCP) a una o todas sus cuentas. Una SCP limita los permisos para lasentidades de las cuentas de miembros, incluido cada Usuario de la cuenta raíz de AWS. Para obtenermás información acerca de Organizaciones y las SCP, consulte Funcionamiento de las SCP en la Guíadel usuario de AWS Organizations.

• Políticas de sesión: las políticas de sesión son políticas avanzadas que se pasan como parámetrocuando se crea una sesión temporal mediante programación para un rol o un usuario federado. Lospermisos de la sesión resultantes son la intersección de las políticas basadas en identidades del rol y laspolíticas de la sesión. Los permisos también pueden proceder de una política basada en recursos. Unadenegación explícita en cualquiera de estas políticas anulará el permiso. Para obtener más información,consulte Políticas de sesión en la Guía del usuario de IAM.

Version 1.0235

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline

https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session

AWS CloudTrail Guía del usuarioFuncionamiento de AWS CloudTrail con IAM

Varios tipos de políticasCuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicadosde entender. Para obtener información acerca de cómo AWS determina si permitir una solicitud cuandohay varios tipos de políticas implicados, consulte Lógica de evaluación de políticas en la Guía del usuariode IAM.

Funcionamiento de AWS CloudTrail con IAMAntes de utilizar IAM para administrar el acceso a CloudTrail, debe saber qué características de IAM estándisponibles para su uso con CloudTrail. Para obtener una perspectiva general de cómo CloudTrail y otrosservicios de AWS funcionan con IAM, consulte Servicios de AWS que funcionan con IAM en la Guía delusuario de IAM.

CloudTrail funciona con políticas basadas en identidad de IAM, pero no funciona con políticas basadas enrecursos. Para obtener más información acerca de las diferencias entre las políticas basadas en identidady las políticas basadas en recursos, consulte Políticas basadas identidad y políticas basadas en recursosen la guía del usuario de IAM.

Temas• Políticas basadas en identidades de CloudTrail (p. 236)• Políticas basadas en recursos de CloudTrail (p. 238)• Listas de control de acceso (ACL) (p. 238)• Autorización basada en etiquetas de CloudTrail (p. 238)• Roles de IAM de CloudTrail (p. 239)

Políticas basadas en identidades de CloudTrailCon las políticas basadas en identidades de IAM, puede especificar los recursos y las acciones permitidaso denegadas, así como las condiciones en las que se permiten o deniegan las acciones. CloudTrail escompatible con acciones y recursos específicos. No hay claves de condición específicas del servicio deCloudTrail que se puedan utilizar en el elemento Condition de las instrucciones de la política. Paraobtener más información acerca de los elementos que utiliza en una política de JSON, consulte Referenciade los elementos de las políticas de JSON de IAM en la Guía del usuario de IAM.

Actions

El elemento Action de una política basada en la identidad de IAM describe la acción o las accionesespecíficas que la política permitirá o denegará. Las acciones de la política generalmente tienen el mismonombre que la operación de API de AWS asociada. La acción se utiliza en una política para otorgarpermisos para realizar la operación asociada.

Las acciones de las políticas de CloudTrail utilizan el siguiente prefijo antes de la acción: cloudtrail:.Por ejemplo, para conceder a alguien permiso para crear una lista de las etiquetas de un registro deseguimiento con la operación ListTags de la API, incluya la acción cloudtrail:ListTags en supolítica. Las instrucciones de política deben incluir un elemento NotAction o Action. CloudTrail definesu propio conjunto de acciones que describen las tareas que se pueden realizar con este servicio.

Para especificar varias acciones en una única instrucción, sepárelas con comas del siguiente modo:

"Action": [ "cloudtrail:AddTags", "cloudtrail:ListTags", "cloudtrail:RemoveTags

Version 1.0236

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html


Puede utilizar caracteres comodín para especificar varias acciones (*). Por ejemplo, para especificar todaslas acciones que comiencen por la palabra Get, incluya la siguiente acción:

"Action": "cloudtrail:Get*"

Para ver una lista de acciones de CloudTrail, consulte Actions Defined by AWS CloudTrail en la Guía delusuario de IAM.

Recursos.

El elemento Resource especifica el objeto u objetos a los que se aplica la acción. Las instrucciones debencontener un elemento Resource o NotResource. Especifique un recurso con un ARN o el caráctercomodín (*) para indicar que la instrucción se aplica a todos los recursos.

.

En CloudTrail, el recurso principal es un registro de seguimiento. Cada recurso tiene asociado un nombrede recurso de Amazon (ARN) único. En una política, se usa un ARN para identificar el recurso al que seaplica la política. CloudTrail no admite actualmente otros tipos de recursos, que a veces se conocen comosubrecursos.

El recurso de registro de seguimiento de CloudTrail tiene el siguiente ARN:

arn:${Partition}:cloudtrail:${Region}:${Account}:trail/{TrailName}

Para obtener más información acerca del formato de los ARN, consulte Nombres de recursos de Amazon(ARN) y espacios de nombres de servicios de AWS.

Por ejemplo, en el caso de una cuenta de AWS con el ID 123456789012, para especificar en lainstrucción un registro de seguimiento denominado My-Trail que existe en la región EE.UU. Este (Ohio),utilice el siguiente ARN:

"Resource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-Trail"

Para especificar todos los registros de seguimiento que pertenezcan a una cuenta específica de esa regiónde AWS, utilice el carácter comodín (*):

"Resource": "arn:aws:cloudtrail:us-east-2:123456789012:trail/*"

Algunas acciones de CloudTrail, como las empleadas para la creación de recursos, no se pueden llevar acabo en un recurso específico. En dichos casos, debe utilizar el carácter comodín (*).

"Resource": "*"

En muchas acciones de la API de CloudTrail se utilizan varios recursos. Por ejemplo, CreateTrailrequiere un bucket de Amazon S3 para almacenar los archivos de registro, por lo que un usuario de IAMdebe tener permisos para escribir en él. Para especificar varios recursos en una única instrucción, separelos ARN con comas.

"Resource": [ "resource1", "resource2"

Version 1.0237

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html#awscloudtrail-actions-as-permissions




Para ver una lista de los tipos de recursos de CloudTrail y sus ARN, consulte Resources Defined by AWSCloudTrail en la Guía del usuario de IAM. Para obtener información acerca de con qué acciones puedeespecificar los ARN de cada recurso, consulte Actions Defined by AWS CloudTrail.

Claves de condición

El elemento Condition (o bloque de Condition) permite especificar condiciones en las que entra envigor una instrucción. El elemento Condition es opcional. Puede crear expresiones condicionales queutilicen operadores de condición, tales como igual o menor que, para que coincida la condición de lapolítica con valores de la solicitud.

Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento deCondition, AWS las evalúa mediante una operación AND lógica. Si especifica varios valores para unaúnica clave de condición, AWS evalúa la condición con una operación lógica OR. Se deben cumplir todaslas condiciones antes de que se concedan los permisos de la instrucción.

También puede utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puedeconceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombrede usuario de IAM. Para obtener más información, consulte Elementos de la política de IAM: Variables yetiquetas en la Guía del usuario de IAM.

CloudTrail no define sus propias claves de condición, pero permite la utilización de algunas claves decondición globales. Para ver todas las claves de condición globales de AWS, consulte Claves de contextode condición globales de AWS en la Guía del usuario de IAM.

Para ver una lista de las claves de condición admitidas por CloudTrail, consulte Condition Keys for AWSCloudTrail en la Guía del usuario de IAM. Para obtener más información acerca de las acciones y losrecursos con los que puede utilizar una clave de condición, consulte Actions Defined by AWS CloudTrail.

Ejemplos

Para ver ejemplos de políticas basadas en identidad de CloudTrail, consulte Ejemplos de políticas basadasen identidad de AWS CloudTrail (p. 239).

Políticas basadas en recursos de CloudTrailCloudTrail no admite las políticas basadas en recursos.

Listas de control de acceso (ACL)Las listas de control de acceso (ACL) son listas de beneficiarios que se pueden asociar a los recursos.Conceden a las cuentas permisos de acceso al recurso al que están asociadas. Aunque CloudTrail noadmite las ACL, Amazon S3 sí. Por ejemplo, puede asociar las ACL a un recurso de bucket de AmazonS3 en el que se almacenan los archivos de registro de uno o varios registros de seguimiento. Para obtenermás información acerca de cómo asociar ACL a los buckets, consulte Administración de accesocon ACL en la Guía para desarrolladores de Amazon Simple Storage Service.

Autorización basada en etiquetas de CloudTrail.

Aunque puede asociar etiquetas a los recursos de CloudTrail, CloudTrail no admite el control del acceso enfunción de las etiquetas.

Puede adjuntar etiquetas a los recursos de CloudTrail o transferirlas en una solicitud a CloudTrail. Paraobtener más información acerca del etiquetado de recursos de CloudTrail, consulte Creación de un registro

Version 1.0238

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html#awscloudtrail-resources-for-iam-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html#awscloudtrail-resources-for-iam-policies


https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html#awscloudtrail-policy-keys

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awscloudtrail.html#awscloudtrail-policy-keys


https://docs.aws.amazon.com/AmazonS3/latest/dev/S3_ACLs_UsingACLs.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/S3_ACLs_UsingACLs.html

AWS CloudTrail Guía del usuarioEjemplos de políticas basadas en identidad

de seguimiento (p. 69) y Creación, actualización y administración de registros de seguimiento con la AWSCommand Line Interface (p. 76).

Roles de IAM de CloudTrailUn rol de IAM es una entidad de la cuenta de AWS que dispone de permisos específicos.

Uso de credenciales temporales con CloudTrail

Puede utilizar credenciales temporales para iniciar sesión con federación, asumir un rol de IAM o asumir unrol de acceso entre cuentas. Las credenciales de seguridad temporales se obtienen mediante una llamadaa operaciones de la API de AWS STS, como AssumeRole o GetFederationToken.

CloudTrail admite el uso de credenciales temporales.

Roles vinculados a servicios

Los roles vinculados a servicios permiten a los servicios de AWS obtener acceso a los recursos de otrosservicios para completar una acción en su nombre. Los roles vinculados a servicios aparecen en la cuentade IAM y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos delos roles vinculados a servicios.

CloudTrail admite un rol vinculado a un servicio para la integración con AWS Organizations. Este rol esnecesario para la creación de un registro de seguimiento de organización, que registra los eventos detodas las cuentas de AWS de una organización. Para obtener más información acerca de cómo crearo administrar roles vinculados a servicios de CloudTrail, consulte the section called “Uso de funcionesvinculadas a servicios” (p. 258).

Roles de servicio

Esta característica permite que un servicio asuma un rol de servicio en nombre de usted. Este rol permiteque el servicio obtenga acceso a los recursos de otros servicios para completar una acción en su nombre.Los roles de servicio aparecen en su cuenta de IAM y son propiedad de la cuenta. Esto significa que unadministrador de IAM puede cambiar los permisos de este rol. Sin embargo, hacerlo podría deteriorar lafuncionalidad del servicio.

CloudTrail admite roles de servicio.

Ejemplos de políticas basadas en identidad de AWSCloudTrailDe forma predeterminada, los usuarios y roles de IAM no tienen permiso para crear, ver ni modificarrecursos de CloudTrail. Tampoco pueden realizar tareas mediante la Consola de administración deAWS, la AWS CLI, o la API de AWS. Un administrador de IAM debe crear políticas de IAM que concedanpermisos a los usuarios y a los roles para realizar operaciones de la API concretas en los recursosespecificados que necesiten. El administrador debe asociar esas políticas a los usuarios, grupos o roles deIAM que necesiten esos permisos.

Para obtener más información acerca de cómo crear una política basada en identidad de IAM con estosdocumentos de políticas de JSON de ejemplo, consulte Creación de políticas en la pestaña JSON en laGuía del usuario de IAM.

Temas• Prácticas recomendadas relativas a políticas (p. 240)• Ejemplo: Permitir y denegar acciones para un registro de seguimiento especificado (p. 240)

Version 1.0239



https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor


• Ejemplos: Creación y aplicación de políticas para acciones en registros de seguimientoespecíficos (p. 241)

• Concesión de permisos para utilizar la consola de CloudTrail (p. 243)• Permitir a los usuarios ver sus propios permisos (p. 245)• Concesión de permisos personalizados a los usuarios de CloudTrail (p. 245)

Prácticas recomendadas relativas a políticasLas políticas basadas en identidad son muy eficaces. Determinan si alguien puede crear, acceder oeliminar los recursos de CloudTrail de su cuenta. Estas acciones pueden generar costes adicionalespara su cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas enidentidad:

• Introducción sobre el uso de políticas administradas de AWS: para comenzar a utilizar CloudTrailrápidamente, utilice las políticas administradas de AWS para proporcionar a los empleados los permisosnecesarios. Estas políticas ya están disponibles en su cuenta y las mantiene y actualiza AWS. Paraobtener más información, consulte Introducción sobre el uso de permisos con políticas administradas deAWS en la Guía del usuario de IAM.

• Conceder privilegios mínimos: al crear políticas personalizadas, conceda solo los permisos necesariospara llevar a cabo una tarea. Comience con un conjunto mínimo de permisos y conceda permisosadicionales según sea necesario. Por lo general, es más seguro que comenzar con permisos que sondemasiado tolerantes e intentar hacerlos más severos más adelante. Para obtener más información,consulte Conceder privilegios mínimos en la Guía del usuario de IAM.

• Habilitar MFA para operaciones confidenciales: para mayor seguridad, obligue a los usuarios deIAM a que utilicen la autenticación multifactor (MFA) para acceder a recursos u operaciones de APIconfidenciales. Para obtener más información, consulte Uso de Multi-Factor Authentication (MFA) enAWS en la Guía del usuario de IAM.

• Utilizar condiciones de política para mayor seguridad: en la medida en que sea práctico, defina lascondiciones en las que sus políticas basadas en identidad permitan el acceso a un recurso. Por ejemplo,puede escribir condiciones para especificar un rango de direcciones IP permitidas desde el que debeproceder una solicitud. También puede escribir condiciones para permitir solicitudes solo en un intervalode hora o fecha especificado o para solicitar el uso de SSL o MFA. Para obtener más información,consulte Elementos de la política de JSON de IAM: condición en la Guía del usuario de IAM.

CloudTrail no tiene claves de contexto específicas de servicios que se puedan utilizar en el elementoCondition de las instrucciones de política.

Ejemplo: Permitir y denegar acciones para un registro deseguimiento especificadoEn el ejemplo siguiente, se muestra una política que permite a los usuarios que la tienen ver el estado yla configuración de un registro de seguimiento e iniciar y detener el registro de un registro de seguimientodenominado My-First-Trail. Este registro de seguimiento se creó en la región EE.UU. Este (Ohio) (suregión principal) en la cuenta de AWS con el ID 123456789012.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging", "cloudtrail:GetTrail",

Version 1.0240

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege



https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html


"cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ]}

En el ejemplo siguiente, se muestra una política que deniega explícitamente las acciones de CloudTrailpara cualquier registro de seguimiento que no se denomine My-First-Trail.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "cloudtrail:*" ], "NotResource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" ] } ]}

Ejemplos: Creación y aplicación de políticas para acciones enregistros de seguimiento específicosPuede utilizar los permisos y las políticas para controlar la capacidad de un usuario de realizar accionesespecíficas en los registros de seguimiento de CloudTrail.

Por ejemplo, no desea que los usuarios del grupo de desarrolladores de su empresa inicien o detenganun registro de seguimiento específico, pero desea concederles permiso para realizar las accionesDescribeTrails y GetTrailStatus en dicho registro. Desea que los usuarios del grupo dedesarrolladores realicen las acciones StartLogging o StopLogging en los registros de seguimientoque ellos administran.

Puede crear dos instrucciones de política y, a continuación, asociarlas al grupo de desarrolladores quecree en IAM. Para obtener más información acerca de los grupos de IAM, consulte Grupos de IAM en laGuía del usuario de IAM.

En la primera, deniega las acciones StartLogging y StopLogging del ARN del registro deseguimiento que especifique. En el ejemplo siguiente, el ARN del registro de seguimiento esarn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446057698000", "Effect": "Deny", "Action": [ "cloudtrail:StartLogging", "cloudtrail:StopLogging" ], "Resource": [ "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail"

Version 1.0241

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html


] } ]}

En la segunda política, las acciones DescribeTrails y GetTrailStatus están permitidas en todos losrecursos de CloudTrail:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1446072643000", "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus" ], "Resource": [ "*" ] } ]}

Si un usuario del grupo de desarrolladores intenta iniciar o detener el registro de seguimiento que haespecificado en la primera política, ese usuario obtiene una excepción de acceso denegado. Los usuariosdel grupo de desarrolladores pueden iniciar y detener los registros de seguimiento que crean y administran.

Los siguientes ejemplos de CLI muestran que el grupo de desarrolladores se ha configurado en un perfilde AWS CLI denominado devgroup. En primer lugar, un usuario de devgroup ejecuta el comandodescribe-trails.

$ aws --profile devgroup cloudtrail describe-trails

El comando se completa correctamente:

{ "trailList": [ { "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Example-Trail", "IsMultiRegionTrail": false, "S3BucketName": "myS3bucket ", "HomeRegion": "us-east-2" } ]}

El usuario ejecuta el comando get-trail-status en el registro de seguimiento que ha especificado enla primera política.

$ aws --profile devgroup cloudtrail get-trail-status --name Example-Trail

El comando se completa correctamente:

{

Version 1.0242


"LatestDeliveryTime": 1449517556.256, "LatestDeliveryAttemptTime": "2015-12-07T19:45:56Z", "LatestNotificationAttemptSucceeded": "", "LatestDeliveryAttemptSucceeded": "2015-12-07T19:45:56Z", "IsLogging": true, "TimeLoggingStarted": "2015-12-07T19:36:27Z", "StartLoggingTime": 1449516987.685, "StopLoggingTime": 1449516977.332, "LatestNotificationAttemptTime": "", "TimeLoggingStopped": "2015-12-07T19:36:17Z"}

A continuación, un usuario de devgroup ejecuta el comando stop-logging en el mismo registro deseguimiento.

$ aws --profile devgroup cloudtrail stop-logging --name Example-Trail

El comando devuelve una excepción de acceso denegado:

A client error (AccessDeniedException) occurred when calling the StopLogging operation: Unknown

El usuario ejecuta el comando start-logging en el mismo registro de seguimiento.

$ aws --profile devgroup cloudtrail start-logging --name Example-Trail

El comando devuelve una excepción de acceso denegado:

A client error (AccessDeniedException) occurred when calling the StartLogging operation: Unknown

Concesión de permisos para utilizar la consola de CloudTrailConcesión de permisos de administración de CloudTrail

Para permitir a los usuarios administrar un registro de seguimiento de CloudTrail, debe conceder permisosde manera explícita a los usuarios de IAM para realizar las acciones asociadas a tareas de CloudTrail.Para la mayoría de las situaciones, puede hacerlo a través de una política administrada de AWS quecontenga los permisos predefinidos.

Note

Los permisos que conceda a los usuarios para realizar tareas de administración de CloudTrailno son los mismos que los permisos que CloudTrail requiere para enviar los archivos de registroa buckets de Amazon S3 o enviar notificaciones a temas de Amazon SNS. Para obtenermás información acerca de estos permisos, consulte Política de bucket de Amazon S3 paraCloudTrail (p. 249).Si configura la integración con Amazon CloudWatch Logs, CloudTrail también requiere un rolque pueda asumir para enviar los eventos a un grupo de registros de Amazon CloudWatch Logs.Esto requerirá permisos adicionales para crear el rol, así como el rol en sí. Para obtener másinformación, consulte Concesión de permisos para ver y configurar la información de AmazonCloudWatch Logs en la consola de CloudTrail (p. 249) y Envío de eventos a CloudWatchLogs (p. 134).

Un enfoque típico es crear un grupo de IAM que tenga los permisos pertinentes y, a continuación, añadirusuarios de IAM a dicho grupo. Por ejemplo, puede crear un grupo de IAM para los usuarios que tengan

Version 1.0243


acceso completo a las acciones de CloudTrail y un grupo independiente para los usuarios que necesitenver la información del registro de seguimiento, pero ni crear ni cambiar los registros.

Para crear un grupo de IAM y usuarios para acceder a CloudTrail

1. Abra la consola de IAM en https://console.aws.amazon.com/iam.2. En el panel, elija Groups en el panel de navegación y, a continuación, elija Create New Group.3. Escriba un nombre y elija Next Step.4. En la página Attach Policy (Asociar política), busque y elija una de las políticas siguientes para

CloudTrail:

• AWSCloudTrailFullAccess. Esta política ofrece a los usuarios del grupo acceso completo a lasacciones de CloudTrail. Estos usuarios disponen de permisos para administrar el bucket de AmazonS3, el grupo de registros de CloudWatch Logs y un tema de Amazon SNS para un registro deseguimiento.

Note

La política AWSCloudTrailFullAccess no se ha concebido para compartirla con caráctergeneral en la cuenta de AWS. Los usuarios con este rol tienen la capacidad de desactivaro reconfigurar las funciones de auditoría más importantes y confidenciales de sus cuentasde AWS. Por este motivo, esta política debe aplicarse únicamente a los administradores decuentas y su uso debe ser controlado y monitorizado estrictamente.

• AWSCloudTrailReadOnlyAccess. Esta política permite a los usuarios del grupo ver la consola deCloudTrail, incluidos los últimos eventos y el historial de eventos. Estos usuarios también puedenver registro de seguimientos existentes y sus buckets. Los usuarios pueden descargar un archivo dehistorial de eventos, pero no pueden crear o actualizar registro de seguimientos.

Note

También puede crear una política personalizada que conceda permisos para accionesconcretas. Para obtener más información, consulte Concesión de permisos personalizados alos usuarios de CloudTrail (p. 245).

5. Seleccione Next Step.6. Revise la información del grupo que está a punto de crear.

Note

Puede editar el nombre del grupo, pero tendrá que elegir la política de nuevo.7. Elija Create Group. El grupo que ha creado aparece en la lista de grupos.8. Elija el nombre de grupo que ha creado, seleccione Group Actions y, a continuación, elija Add Users to

Group.9. En la página Add Users to Group, seleccione los usuarios de IAM existentes y, a continuación, elija

Add Users. Si aún no tiene usuarios de IAM, seleccione Create New Users, escriba los nombres de losusuarios y, a continuación, seleccione Create.

10. Si ha creado usuarios, elija Users en el panel de navegación y haga lo siguiente para cada uno deellos:

a. Elija el usuario.b. Si el usuario va a utilizar la consola para administrar CloudTrail, en la pestaña Security

Credentials, elija Manage Password y, a continuación, cree una contraseña para el usuario.c. Si el usuario va a utilizar la CLI o la API para administrar CloudTrail y todavía no ha creado

las claves de acceso, en la pestaña Security Credentials, elija Manage Access Keys y, acontinuación, cree las claves de acceso. Almacene las claves en un lugar seguro.

d. De a cada usuario sus credenciales (claves de acceso o contraseña).

Version 1.0244

https://console.aws.amazon.com/iam


Recursos adicionales

Para obtener más información sobre la creación de usuarios, grupos, políticas y permisos de IAM, consulteCreación de un grupo de administradores con la consola y Permisos y políticas en la Guía del usuario deIAM.

No es necesario que conceda permisos de consola mínimos a aquellos usuarios que solo realizanllamadas a la AWS CLI o a la API de AWS. En su lugar, permite acceso únicamente a las acciones quecoincidan con la operación de API que intenta realizar.

Permitir a los usuarios ver sus propios permisosEn este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver laspolíticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluyepermisos para llevar a cabo esta acción en la consola o mediante programación con la AWS CLI o la APIde AWS.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ]}

Concesión de permisos personalizados a los usuarios deCloudTrailLas políticas de CloudTrail conceden permisos a los usuarios que trabajan con CloudTrail. Si necesitaconceder diferentes permisos a los usuarios, puede asociar una política de CloudTrail a un grupo deIAM o a un usuario. Puede editar la política para incluir o excluir permisos específicos. También puedecrear su propia política personalizada. Las políticas son documentos JSON que definen las acciones quepuede realizar un usuario y los recursos en los que este puede llevar a cabo dichas acciones. Para verejemplos específicos, consulte Ejemplo: Permitir y denegar acciones para un registro de seguimiento

Version 1.0245

https://docs.aws.amazon.com/IAM/latest/UserGuide/GSGHowToCreateAdminsGroup.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html


especificado (p. 240) y Ejemplos: Creación y aplicación de políticas para acciones en registros deseguimiento específicos (p. 241).

Contenido• Acceso de solo lectura (p. 246)• Acceso completo (p. 247)• Concesión de permisos para ver la información de AWS Config en la consola de CloudTrail (p. 248)• Concesión de permisos para ver y configurar la información de Amazon CloudWatch Logs en la

consola de CloudTrail (p. 249)• Información adicional (p. 249)

Acceso de solo lecturaEl siguiente ejemplo muestra una política que concede acceso de solo lectura a registros de seguimientode CloudTrail. Equivale a la política administrada AWSCloudTrailReadOnlyAccess. Se concede permisoa los usuarios para ver la información de los registros de seguimiento, pero no para crear o actualizarregistros de seguimiento. La política también concede permiso para leer objetos en buckets de AmazonS3, pero no para crearlos ni eliminarlos.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetBucketLocation" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrail", "cloudtrail:GetTrailStatus", "cloudtrail:LookupEvents", "cloudtrail:ListPublicKeys", "cloudtrail:ListTags", "s3:ListAllMyBuckets", "kms:ListAliases", "lambda:ListFunctions" ], "Resource": "*" } ]}

En las declaraciones de políticas, el elemento Effect especifica si las acciones se permiten o se niegan.El elemento Action enumera las acciones específicas que puede realizar el usuario. El elementoResource enumera los recursos de AWS en los que el usuario puede realizar estas acciones. Para laspolíticas que controlan el acceso a las acciones de CloudTrail, el elemento Resource normalmente estáestablecido en *, un carácter comodín que significa "todos los recursos".

Los valores en el elemento Action corresponden a las API que admiten los servicios. Las acciones estánprecedidas por cloudtrail: para indicar que se refieren a acciones de CloudTrail. Puede utilizar elcarácter comodín * en el elemento Action, como en los siguientes ejemplos:

• "Action": ["cloudtrail:*Logging"]

Version 1.0246


Esto permite todas las acciones de CloudTrail que finalizan con "Logging" (StartLogging,StopLogging).

• "Action": ["cloudtrail:*"]

Esto permite todas las acciones de CloudTrail, pero no acciones para otros servicios de AWS.• "Action": ["*"]

Esto permite todas las acciones de AWS. Este permiso es adecuado para un usuario que actúa comoadministrador de AWS en su cuenta.

La política de solo lectura no concede permiso al usuario para las acciones CreateTrail, UpdateTrail,StartLogging y StopLogging. Los usuarios con esta política no pueden crear y actualizar registros deseguimiento, ni activar y desactivar los registros. Para ver la lista de las acciones de CloudTrail, consulte laAWS CloudTrail API Reference.

Acceso completoEl siguiente ejemplo muestra una política que concede acceso completo a CloudTrail. Equivale a la políticaadministrada AWSCloudTrailFullAccess. Se concede a los usuarios el permiso para realizar todas lasacciones de CloudTrail. También permite a los usuarios registrar eventos de datos en Amazon S3 y AWSLambda, administrar archivos en buckets de Amazon S3, administrar cómo monitoriza CloudWatch Logslos eventos de registro de CloudTrail y administrar los temas de Amazon SNS en la cuenta a la que estáasociado el usuario.

Important

Los permisos de la política AWSCloudTrailFullAccess o equivalentes no se han concebidopara compartirlos con carácter general en la cuenta de AWS. Los usuarios con este rol ouno equivalente tienen la capacidad de desactivar o reconfigurar las funciones de auditoríamás importantes y confidenciales de sus cuentas de AWS. Por este motivo, esta políticadebe aplicarse únicamente a los administradores de cuentas y su uso debe ser controlado ymonitorizado estrictamente.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sns:AddPermission", "sns:CreateTopic", "sns:DeleteTopic", "sns:ListTopics", "sns:SetTopicAttributes", "sns:GetTopicAttributes" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "s3:CreateBucket", "s3:DeleteBucket", "s3:ListAllMyBuckets", "s3:PutBucketPolicy", "s3:ListBucket", "s3:GetObject", "s3:GetBucketLocation", "s3:GetBucketPolicy" ],

Version 1.0247



"Resource": "*" }, { "Effect": "Allow", "Action": "cloudtrail:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:GetRolePolicy", "iam:GetUser" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "cloudtrail.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "kms:ListKeys", "kms:ListAliases" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "lambda:ListFunctions" ], "Resource": "*" } ]}

Concesión de permisos para ver la información de AWS Config en la consola deCloudTrail

Puede consultar la información del evento en la consola de CloudTrail, incluidos los recursos relacionadoscon ese evento. Para estos recursos, puede elegir el icono de AWS Config para ver el calendario de eserecurso en la consola de AWS Config. Asocie esta política a los usuarios para concederles acceso de sololectura a AWS Config. La política no les concede permiso para cambiar los ajustes en AWS Config.

{ "Version": "2012-10-17",

Version 1.0248

AWS CloudTrail Guía del usuarioPolítica de bucket de Amazon S3 para CloudTrail

"Statement": [{ "Effect": "Allow", "Action": [ "config:Get*", "config:Describe*", "config:List*" ], "Resource": "*" }]}

Para obtener más información, consulte Ver recursos a los que se hace referencia con AWS Config (p. 48).

Concesión de permisos para ver y configurar la información de AmazonCloudWatch Logs en la consola de CloudTrailPuede ver y configurar el envío de eventos a CloudWatch Logs en la consola de CloudTrail si tienepermisos suficientes. Estos permisos pueden ser más amplios que los que se conceden a losadministradores de CloudTrail. Asocie esta política a los administradores que van a configurar yadministrar la integración de CloudTrail con CloudWatch Logs. La política no les concede permisos enCloudTrail o en CloudWatch Logs directamente, sino que concede los permisos necesarios para crear yconfigurar el rol que CloudTrail asumirá para enviar los eventos correctamente al grupo de CloudWatchLogs.

{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:CreateRole" "iam:PutRolePolicy" "iam:ListRoles" "iam:GetRolePolicy" "iam:GetUser" ], "Resource": "*" }]}

Para obtener más información, consulte Monitoreo de archivos de registro de CloudTrail con AmazonCloudWatch Logs (p. 134).

Información adicionalPara obtener más información sobre la creación de usuarios, grupos, políticas y permisos de IAM, consulteCreación del primer grupo de usuarios y administradores de IAM y Administración de acceso en la Guía delusuario de IAM.

Política de bucket de Amazon S3 para CloudTrailDe forma predeterminada, los buckets y los objetos de Amazon S3 son privados. Solo el propietario delrecurso (la cuenta de AWS que creó el bucket) puede tener acceso al bucket y a los objetos que contiene.El propietario del recurso puede conceder permisos de acceso a otros recursos y usuarios escribiendo unapolítica de acceso.

Si desea crear o modificar un bucket de Amazon S3 para que reciba los archivos de registro de unregistro de seguimiento de organización, deberá modificar aún más la política del bucket. Para obtenermás información, consulte Creación de un registro de seguimiento para una organización con la AWSCommand Line Interface (p. 100).

Version 1.0249

https://docs.aws.amazon.com/IAM/latest/UserGuide/GSGHowToCreateAdminsGroup.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/PermissionsAndPolicies.html


Para enviar archivos de registro a un bucket de S3, CloudTrail debe tener los permisos necesarios yno puede estar configurado como bucket de pago por solicitante. CloudTrail asocia automáticamentelos permisos necesarios al bucket de Amazon S3 cuando este se crea como parte de la creación oactualización de un registro de seguimiento en la consola de CloudTrail.

CloudTrail añade automáticamente los siguientes campos a la política:

• Los SID permitidos• El nombre del bucket• El nombre principal del servicio para CloudTrail.• El nombre de la carpeta donde se almacenan los archivos de registro, incluido el nombre del bucket, un

prefijo (si se ha especificado) y su ID de cuenta de AWS.

La siguiente política permite a CloudTrail escribir archivos de registro en el bucket de regionescompatibles. Para obtener más información, consulte Regiones admitidas de CloudTrail (p. 13).

Política de bucket de S3

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::myBucketName" }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/[optional prefix]/AWSLogs/myAccountID/*", "Condition": {"StringEquals": {"s3:x-amz-acl": "bucket-owner-full-control"}} } ]}

Contenido• Especificar un bucket existente para el envío de archivos de registro de CloudTrail (p. 250)• Recibir archivos de registro de otras cuentas (p. 251)• Creación o actualización de un bucket de Amazon S3 para utilizarlo para almacenar los archivos de

registro de un registro de seguimiento de organización. (p. 251)• Solucionar problemas con la política de bucket de S3 (p. 252)

• Errores comunes de configuración de la política de S3 (p. 252)• Cambiar un prefijo de un bucket existente (p. 253)

• Recursos adicionales (p. 254)

Especificar un bucket existente para el envío de archivos deregistro de CloudTrailSi especificó un bucket de S3 como ubicación de almacenamiento para el envío de archivos de registro,debe asociar una política al bucket que permita a CloudTrail escribir en él.

Version 1.0250

https://docs.aws.amazon.com/AmazonS3/latest/dev/RequesterPaysBuckets.html


Note

Es recomendable que use un bucket de S3 dedicado para los archivos de registro de CloudTrail.

Para añadir la política de CloudTrail necesaria a un bucket de Amazon S3

1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.2. Elija el bucket donde desea que CloudTrail envíe los archivos de registro y, a continuación, elija

Properties.3. Elija Permissions.4. Elija Edit Bucket Policy.5. Copie Política de bucket de S3 (p. 250) en la ventana Bucket Policy Editor. Sustituya los marcadores

de posición en cursiva por los nombres del prefijo del bucket y el número de cuenta. Si especificó unprefijo cuando creó el registro de seguimiento, inclúyalo aquí. El prefijo es un añadido opcional a laclave del objeto de S3 que crea una organización en forma de carpeta en su bucket.

Note

Si el bucket existente ya tiene una o varias políticas asociadas, añada las instrucciones paraque CloudTrail tenga acceso a dicha política o políticas. Evalúe el conjunto de permisosresultante para asegurarse de que sean adecuados para los usuarios que van a tener accesoal bucket.

Recibir archivos de registro de otras cuentasPuede configurar CloudTrail para que envíe los archivos de registro de varias cuentas de AWS a un únicobucket de S3. Para obtener más información, consulte Recepción de archivos de registro de CloudTrail devarias cuentas (p. 188).

Creación o actualización de un bucket de Amazon S3 parautilizarlo para almacenar los archivos de registro de un registrode seguimiento de organización.Debe especificar un bucket de Amazon S3 para recibir los archivos de registro de un registro deseguimiento de organización. Este bucket debe tener una política que permita a CloudTrail guardar losarchivos de registro de la organización en el bucket.

A continuación, se muestra un ejemplo de política para un bucket de Amazon S3 denominado my-organization-bucket. Este bucket pertenece a una cuenta de AWS con el ID 111111111111, quees la cuenta maestra de una organización con el ID o-exampleorgid que permite utilizar el registro deseguimiento de organización. También permite el registro de la cuenta 111111111111 en caso de que secambie el registro de seguimiento de uno de organización a otro solo para esa cuenta.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:GetBucketAcl",

Version 1.0251



"Resource": "arn:aws:s3:::my-organization-bucket" }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-organization-bucket/AWSLogs/111111111111/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com" ] }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::my-organization-bucket/AWSLogs/o-exampleorgid/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ]}

Esta política de ejemplo no permite que ningún usuario de las cuentas miembro obtenga acceso a losarchivos de registro creados para la organización. De forma predeterminada, únicamente tendrá acceso alos archivos de registro de organización la cuenta maestra. Para obtener información sobre cómo permitirel acceso de lectura al bucket de Amazon S3 para los usuarios de IAM de las cuentas miembro, consulteCompartición de archivos de registro de CloudTrail entre cuentas de AWS (p. 191).

Solucionar problemas con la política de bucket de S3En las secciones siguientes se describe cómo solucionar problemas con la política de bucket de S3.

Errores comunes de configuración de la política de S3

Cuando crea un nuevo bucket como parte de la creación o actualización de un registro de seguimiento,CloudTrail asocia los permisos necesarios a su bucket. La política de bucket usa el nombre principal delservicio, "cloudtrail.amazonaws.com", que permite a CloudTrail enviar archivos de registro de todaslas regiones.

Si CloudTrail no envía archivos de registro de una región, es posible que su bucket tenga una políticaantigua que especifique los ID de cuenta de CloudTrail de cada región. Esta política concede a CloudTrailpermiso para enviar archivos de registro solo para las regiones especificadas.

Le recomendamos que actualice la política para usar un permiso con el nombre principal del serviciode CloudTrail. Para ello, sustituya los ARN del ID de cuenta por el nombre principal del servicio:"cloudtrail.amazonaws.com". De este modo, se concederá a CloudTrail permiso para enviar

Version 1.0252


archivos de registro de las regiones nuevas y actuales. A continuación se muestra un ejemplo deconfiguración de directiva recomendada:

Example Ejemplo de política de bucket con nombre principal del servicio

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::bucket-1" }, { "Sid": "AWSCloudTrailWrite20150319", "Effect": "Allow", "Principal": {"Service": "cloudtrail.amazonaws.com"}, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket-1/my-prefix/AWSLogs/123456789012/*", "Condition": {"StringEquals": {"s3:x-amz-acl": "bucket-owner-full-control"}} } ]}

Cambiar un prefijo de un bucket existente

Si intenta añadir, modificar o eliminar el prefijo de un archivo de registro para un bucket de S3 que recibearchivos de registro de un registro de seguimiento, puede que aparezca el error: There is a problemwith the bucket policy. Una política de bucket con un prefijo incorrecto puede impedir que su registrode seguimiento envíe archivos de registro al bucket. Para solucionar este problema, utilice la consolade Amazon S3 para actualizar el prefijo en la política del bucket y, a continuación, utilice la consola deCloudTrail para especificar el mismo prefijo para el bucket del registro de seguimiento.

Para actualizar el prefijo del archivo de registro de un bucket de S3

1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.2. Elija el bucket para el que desea modificar el prefijo y, a continuación, elija Properties.3. Elija Permissions.4. Elija Edit Bucket Policy.5. En la política del bucket, en la acción s3:PutObject, edite la entrada Resource para añadir,

modificar o eliminar el prefijo del archivo de registro según sea necesario.

"Action": "s3:PutObject", "Resource": "arn:aws:s3:::myBucketName/prefix/AWSLogs/myAccountID/*",

6. Seleccione Save.7. Abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/.8. Elija su registro de seguimiento y, en Storage location, haga clic en el icono del lápiz para editar la

configuración del bucket.9. En S3 bucket, elija el bucket con el prefijo que va a cambiar.10. En Log file prefix, actualice el prefijo de forma que coincida con el prefijo que ha escrito en la política

del bucket.11. Seleccione Save.

Version 1.0253



AWS CloudTrail Guía del usuarioPolítica de temas de Amazon SNS para CloudTrail

Recursos adicionalesPara obtener más información sobre las políticas y los buckets de S3, consulte la Guía paradesarrolladores de Amazon Simple Storage Service.

Política de temas de Amazon SNS para CloudTrailPara enviar notificaciones a un tema de SNS, CloudTrail debe tener los permisos necesarios. CloudTrailasocia automáticamente los permisos necesarios al tema cuando se crea un tema de Amazon SNS comoparte de la creación o actualización de un registro de seguimiento en la consola de CloudTrail.

CloudTrail añade automáticamente la siguiente instrucción a la política con los siguientes campos:

• Los SID permitidos• El nombre principal del servicio para CloudTrail.• El tema de SNS, incluida la región, el ID de cuenta y el nombre del tema

La siguiente política permite que CloudTrail envíe notificaciones sobre el envío de archivos de registrodesde las regiones admitidas. Para obtener más información, consulte Regiones admitidas deCloudTrail (p. 13).

Política de temas de SNS

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailSNSPolicy20131101", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "SNS:Publish", "Resource": "arn:aws:sns:region:SNSTopicOwnerAccountId:SNSTopicName" } ]}

Si quiere utilizar un tema de Amazon SNS cifrado con AWS KMS para enviar notificaciones, también debehabilitar la compatibilidad entre el origen del evento (CloudTrail) y el tema cifrado añadiendo la siguienteinstrucción a la política de la clave maestra del cliente (CMK).

Política de CMK

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": [ "kms:GenerateDataKey*", "kms:Decrypt" ], "Resource": "*" }

Version 1.0254

https://docs.aws.amazon.com/AmazonS3/latest/dev/

https://docs.aws.amazon.com/AmazonS3/latest/dev/

AWS CloudTrail Guía del usuarioPolítica de temas de Amazon SNS para CloudTrail

]}

Para obtener más información, consulte Habilitar la compatibilidad entre los orígenes de eventos de losservicios de AWS y los temas cifrados.

Contenido• Especificación de un tema existente para enviar notificaciones (p. 255)• Resolución de problemas de la política de temas de SNS (p. 255)

• Errores comunes de configuración de la política de SNS (p. 255)• Recursos adicionales (p. 256)

Especificación de un tema existente para enviar notificacionesPuede añadir manualmente los permisos para un tema de Amazon SNS a su política de temas en laconsola de Amazon SNS y, a continuación, especificar el tema en la consola de CloudTrail.

Para actualizar manualmente una política de temas de SNS

1. Abra la consola de Amazon SNS en https://console.aws.amazon.com/sns/v3/home/.2. Elija Topics y, a continuación, seleccione el tema.3. Elija Other topic actions y, a continuación, seleccione Edit topic policy.4. Elija Advanced view y añada la instrucción de Política de temas de SNS (p. 254) con los valores

adecuados para la región, el ID de cuenta y el nombre del tema.5. Seleccione Update policy (Actualizar política).6. Si su tema es un tema cifrado, debe dar a CloudTrail los permisos kms:GenerateDataKey*

y kms:Decrypt. Para obtener más información, consulte Política de CMK para tema de SNScifrado (p. 254).

7. Vuelva a la consola de CloudTrail y especifique el tema para el registro de seguimiento.

Resolución de problemas de la política de temas de SNSEn las secciones siguientes se describe cómo solucionar problemas de la política de temas de SNS.

Errores comunes de configuración de la política de SNSAl crear un nuevo tema como parte de la creación o actualización de un registro de seguimiento, CloudTrailasocia los permisos necesarios a su tema. La política de temas utiliza el nombre principal del servicio,"cloudtrail.amazonaws.com", lo que permite a CloudTrail enviar notificaciones a todas las regiones.

Si CloudTrail no envía notificaciones a una región, es posible que su tema tenga una política antigua queespecifique los ID de cuenta de CloudTrail para cada región. Esta política concede a CloudTrail permisopara enviar notificaciones solo a las regiones especificadas.

La siguiente política de temas permite a CloudTrail enviar notificaciones a únicamente las nueve regionesespecificadas:

Example política del tema con ID de la cuenta

{ "Version": "2012-10-17", "Statement": [{ "Sid": "AWSCloudTrailSNSPolicy20131101", "Effect": "Allow",

Version 1.0255

https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html#sns-what-permissions-for-sse

https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html#sns-what-permissions-for-sse

https://console.aws.amazon.com/sns/v3/home

AWS CloudTrail Guía del usuarioSolución de problemas

"Principal": {"AWS": [ "arn:aws:iam::903692715234:root", "arn:aws:iam::035351147821:root", "arn:aws:iam::859597730677:root", "arn:aws:iam::814480443879:root", "arn:aws:iam::216624486486:root", "arn:aws:iam::086441151436:root", "arn:aws:iam::388731089494:root", "arn:aws:iam::284668455005:root", "arn:aws:iam::113285607260:root" ]}, "Action": "SNS:Publish", "Resource": "aws:arn:sns:us-east-1:123456789012:myTopic" }]}

Esta política utiliza un permiso basado en los ID de cuenta de CloudTrail individuales. Para enviarregistros a una nueva región, debe actualizar manualmente la política para incluir el ID de cuenta deCloudTrail de esa región. Por ejemplo, como CloudTrail ha incorporado la compatibilidad con RegiónEE.UU Este (Ohio), debe actualizar la política para añadir el ARN del ID de cuenta de esa región:"arn:aws:iam::475085895292:root".

Le recomendamos que actualice la política para usar un permiso con el nombre principal del serviciode CloudTrail. Para ello, sustituya los ARN del ID de cuenta por el nombre principal del servicio:"cloudtrail.amazonaws.com".

De este modo, permite a CloudTrail enviar notificaciones para las regiones nuevas y las actuales. Acontinuación se incluye una versión actualizada de la política anterior:

Example política del tema con el nombre principal del servicio

{ "Version": "2012-10-17", "Statement": [{ "Sid": "AWSCloudTrailSNSPolicy20131101", "Effect": "Allow", "Principal": {Service": "cloudtrail.amazonaws.com"}, "Action": "SNS:Publish", "Resource": arn:aws:sns:us-west-2:123456789012:myTopic" }]}

Compruebe que la política tiene los valores correctos:

• En el campo Resource, especifique el número de cuenta del propietario del tema. Para temas que hayacreado usted, especifique su número de cuenta.

• Especifique los valores adecuados para la región y el nombre del tema de SNS.

Recursos adicionalesPara obtener más información acerca de los temas de SNS y de la suscripción a ellos, consulte Guía paradesarrolladores de Amazon Simple Notification Service.

Solución de problemas de identidad y acceso en AWSCloudTrailUtilice la información siguiente para diagnosticar y solucionar los problemas comunes que puedan surgircuando trabaje con CloudTrail e IAM.

Version 1.0256



AWS CloudTrail Guía del usuarioSolución de problemas

Temas• No tengo autorización para realizar una acción en CloudTrail (p. 257)• Soy administrador y deseo permitir que otros obtengan acceso a CloudTrail (p. 257)• Quiero permitir a personas externas a mi cuenta de AWS el acceso a mis recursos de

CloudTrail (p. 257)

No tengo autorización para realizar una acción en CloudTrailSi la Consola de administración de AWS le indica que no está autorizado para llevar a cabo una acción,debe ponerse en contacto con su administrador para recibir ayuda. Su administrador es la persona que lefacilitó su nombre de usuario y contraseña.

El siguiente error de ejemplo se produce cuando el usuario de IAM mateojackson intenta utilizarla consola para ver los detalles de un registro de seguimiento pero no tiene la política administradacorrespondiente de CloudTrail(AWSCloudTrailFullAccess o AWSCloudTrailReadOnlyAccess) o no se hanaplicado los permisos equivalentes a su cuenta.

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: cloudtrail:GetTrailStatus on resource: My-Trail

En este caso, Mateo solicita a su administrador que actualice sus políticas para que pueda tener acceso ala información del registro de seguimiento y al estado en la consola.

Si ha iniciado sesión con un usuario o un rol de IAM que tiene la política administradaAWSCloudTrailFullAccess o sus permisos equivalentes y no puede configurar la integración de AWSConfig o Amazon CloudWatch Logs con un registro de seguimiento, es posible que no tenga lospermisos necesarios para la integración con dichos servicios. Para obtener más información, consulteConcesión de permisos para ver la información de AWS Config en la consola de CloudTrail (p. 248) yConcesión de permisos para ver y configurar la información de Amazon CloudWatch Logs en la consola deCloudTrail (p. 249).

Soy administrador y deseo permitir que otros obtengan acceso aCloudTrailPara permitir que otros usuarios tengan acceso a CloudTrail, debe crear una entidad de IAM (usuario,grupo o rol) para la persona o la aplicación que necesita acceso. Esta persona utilizará las credencialesde la entidad para obtener acceso a AWS. A continuación, debe asociar una política a la entidadque le conceda los permisos correctos en CloudTrail. Para ver ejemplos de cómo hacerlo, consulteConcesión de permisos personalizados a los usuarios de CloudTrail (p. 245) y Concesión de permisos deadministración de CloudTrail (p. 243).

Quiero permitir a personas externas a mi cuenta de AWS elacceso a mis recursos de CloudTrailPuede crear un rol y compartir la información de CloudTrail entre varias cuentas de AWS. Para obtenermás información, consulte Compartición de archivos de registro de CloudTrail entre cuentas deAWS (p. 191).

Puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedanutilizar para acceder a sus recursos. Puede especificar una persona de confianza para que asuma el rol.En el caso de los servicios que admitan las políticas basadas en recursos o las listas de control de acceso(ACL), puede utilizar dichas políticas para conceder a las personas acceso a sus recursos.

Para obtener más información, consulte lo siguiente:

Version 1.0257

AWS CloudTrail Guía del usuarioUso de funciones vinculadas a servicios

• Para obtener información acerca de si CloudTrail admite estas características, consulte Funcionamientode AWS CloudTrail con IAM (p. 236).

• Para aprender cómo proporcionar acceso a sus recursos en cuentas de AWS de su propiedad, consulteProporcionar acceso a un usuario de IAM a otra cuenta de AWS de la que es propietario en la Guía delusuario de IAM.

• Para obtener información acerca de cómo ofrecer acceso a sus recursos a cuentas de AWS de terceros,consulte Proporcionar acceso a las cuentas de AWS propiedad de terceros en la Guía del usuario deIAM.

• Para obtener información acerca de cómo ofrecer acceso a la identidad federada, consulte Proporcionaracceso a usuarios autenticados externamente (identidad federada) en la Guía del usuario de IAM.

• Para obtener información acerca de la diferencia entre utilizar los roles y las políticas basadas enrecursos para el acceso entre cuentas, consulte Cómo los roles de IAM difieren de las políticas basadasen recursos en la Guía del usuario de IAM.

Uso de roles vinculados a servicios en AWSCloudTrailAWS CloudTrail utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rolvinculado a un servicio es un tipo de rol de IAM único que está vinculado directamente a CloudTrail. Losroles vinculados a servicios están predefinidos por CloudTrail e incluyen todos los permisos que el serviciorequiere para llamar a otros servicios de AWS en su nombre.

Con un rol vinculado a un servicio, resulta más sencillo configurar CloudTrail, porque no es preciso agregarlos permisos necesarios manualmente. CloudTrail define los permisos de sus roles vinculados al servicio y,a menos que esté definido de otra manera, solo CloudTrail puede asumir sus roles. Los permisos definidosincluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar aninguna otra entidad de IAM.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Serviciosde AWS que funcionan con IAM y busque los servicios que tienen Sí en la columna Rol vinculado aservicio. Seleccione una opción Sí con un enlace para ver la documentación acerca del rol vinculado alservicio en cuestión.

Permisos de los roles vinculados a servicios para CloudTrailCloudTrail utiliza el rol vinculado a servicio denominado AWSServiceRoleForCloudTrail: This service linkedrole is used for supporting the organization trail feature.

El rol vinculado a servicio AWSServiceRoleForCloudTrail confía en los siguientes servicios para asumir elrol:

• cloudtrail.amazonaws.com

Este rol se utiliza para admitir la creación y la administración de registros de seguimiento de organizaciónen CloudTrail. Para obtener más información, consulte Creación de un registro de seguimiento para unaorganización (p. 91).

La política de permisos del rol permite que CloudTrail realice las siguientes acciones en los recursosespecificados:

• Acción: All en todos los recursos de CloudTrail.• Acción: organizations:DescribeAccount en todos los recursos de Organizaciones.• Acción: organizations:DescribeOrganizations en todos los recursos de Organizaciones.

Version 1.0258

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html



https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role



AWS CloudTrail Guía del usuarioUso de funciones vinculadas a servicios

• Acción: organizations:ListAccounts en todos los recursos de Organizaciones.• Acción: organizations:ListAWSServiceAccessForOrganization en todos los recursos de

Organizaciones.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, un grupo o un rol) crear,editar o eliminar un rol vinculado a un servicio. Para obtener más información, consulte Permisos de rolesvinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a un servicio para CloudTrailNo necesita crear manualmente un rol vinculado a un servicio. Al crear un registro de seguimiento deorganización en la Consola de administración de AWS, la AWS CLI o la API de AWS, CloudTrail crea el rolvinculado al servicio en su nombre.

Si elimina este rol vinculado al servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso paravolver a crear el rol en su cuenta. Cuando se crea un registro de seguimiento de organización, CloudTrailvuelve a crear el rol vinculado al servicio automáticamente.

Edición de un rol vinculado a un servicio para CloudTrailCloudTrail no le permite editar el rol vinculado a servicio AWSServiceRoleForCloudTrail. Después decrear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacerreferencia al mismo. Sin embargo, puede editar la descripción de la función utilizando IAM. Para obtenermás información, consulte Editar un rol vinculado a un servicio en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio para CloudTrailNo es necesario eliminar manualmente el rol AWSServiceRoleForCloudTrail. Al cambiar un registrode seguimiento de organización a uno que se aplica a una sola cuenta de AWS en la Consola deadministración de AWS, la AWS CLI o la API de AWS, CloudTrail limpia los recursos y elimina el rolvinculado al servicio automáticamente. Del mismo modo, si una cuenta de AWS se elimina de unaorganización de Organizaciones, el rol AWSServiceRoleForCloudTrail se elimina automáticamente dedicha cuenta de AWS.

También puede utilizar la consola de IAM, la AWS CLI o la API de AWS para eliminar manualmente el rolvinculado al servicio. Para ello, primero debe limpiar manualmente los recursos del rol vinculado al serviciopara poder eliminarlo después manualmente.

Note

Si el servicio CloudTrail está utilizando el rol cuando se intenta eliminar los recursos, es posibleque no se pueda efectuar la operación de borrado. En tal caso, espere unos minutos e intente denuevo la operación.

Para eliminar un recurso que el rol AWSServiceRoleForCloudTrail está utilizando, puede elegir una de lassiguientes opciones:

• Eliminar la cuenta de AWS de la organización en Organizaciones.• Actualizar el registro de seguimiento para que deje de ser un registro de seguimiento de organización.• Eliminar el registro de seguimiento.

Para obtener más información, consulte Creación de un registro de seguimiento para unaorganización (p. 91), Actualización de un registro de seguimiento (p. 74) y Eliminación de un registro deseguimiento (p. 76).

Para eliminar manualmente el rol vinculado al servicio utilizando IAM

Version 1.0259

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role

AWS CloudTrail Guía del usuarioValidación de la conformidad

Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicioAWSServiceRoleForCloudTrail. Para obtener más información, consulte Eliminar un rol vinculado a unservicio en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados a servicios deCloudTrailCloudTrail permite el uso de roles vinculados a servicios en todas las regiones en las que CloudTrail yOrganizaciones están disponibles conjuntamente. Para obtener más información, consulte AWS Regionsand Endpoints.

Validación de la conformidad de AWS CloudTrailAuditores externos evalúan la seguridad y la conformidad de AWS CloudTrail como parte de variosprogramas de conformidad de AWS. Estos incluye SOC, PCI, FedRAMP, HIPAA y otros.

Para obtener una lista de los servicios de AWS en el ámbito de programas de conformidad específicos,consulte Servicios de AWS en el ámbito del programa de conformidad. Para obtener información general,consulte Programas de conformidad de AWS.

Puede descargar los informes de auditoría de terceros utilizando AWS Artifact. Para obtener másinformación, consulte la sección Descarga de informes en AWS Artifact.

Su responsabilidad de conformidad al utilizar CloudTrail se determina en función de la sensibilidad de losdatos, los objetivos de cumplimiento de su empresa y la legislación y los reglamentos correspondientes.AWS proporciona los siguientes recursos para ayudar con la conformidad:

• Guías de inicio rápido de seguridad y conformidad: estas guías de implementación tratanconsideraciones sobre arquitectura y ofrecen pasos para implementar los entornos de referenciacentrados en la seguridad y la conformidad en AWS.

• Documento técnico sobre arquitectura para seguridad y conformidad de HIPAA: este documento técnicodescribe cómo las empresas pueden utilizar AWS para crear aplicaciones conformes con HIPAA.

• Recursos de conformidad de AWS: este conjunto de manuales y guías podría aplicarse a su sector yubicación.

• AWS Config: este servicio de AWS evalúa en qué medida las configuraciones de los recursos cumplenlas prácticas internas, las directrices del sector y las normativas.

• AWS Security Hub: este servicio de AWS ofrece una vista integral de su estado de seguridad en AWSque le ayuda a comprobar la conformidad con las normas del sector de seguridad y las prácticasrecomendadas.

• Amazon S3 Inventory puede ayudarle a auditar y generar informes sobre el estado de replicación ycifrado de los buckets de Amazon S3 que utiliza para almacenar los archivos de registro y sus objetospara satisfacer sus necesidades empresariales, de conformidad y legales.

Resiliencia en AWS CloudTrailLa infraestructura global de AWS está conformada por regiones y zonas de disponibilidad de AWS. Lasregiones de AWS proporcionan varias zonas de disponibilidad físicamente independientes y aisladasque se encuentran conectadas mediante redes con un alto nivel de rendimiento y redundancia, ademásde baja latencia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datosque realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Laszonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las

Version 1.0260

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role




http://aws.amazon.com/compliance/programs/

https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html

http://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance

https://d0.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf

http://aws.amazon.com/compliance/resources/

https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html

https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html

AWS CloudTrail Guía del usuarioSeguridad de la infraestructura

infraestructuras tradicionales de centros de datos únicos o múltiples. Si tiene la necesidad específicade replicar los archivos de registro de CloudTrail a mayores distancias geográficas, puede utilizar lareplicación entre regiones para los buckets de Amazon S3 del registro de seguimiento, que permite copiarobjetos de manera automática y asíncrona entre buckets de distintas regiones de AWS.

Para obtener más información sobre zonas de disponibilidad y las regiones de AWS, consulteInfraestructura global de AWS.

Además de la infraestructura global de AWS, CloudTrail ofrece varias características que le ayudan consus necesidades de resiliencia y copia de seguridad de los datos.

Registros de seguimiento que registran eventos de todas las regiones de AWS

Cuando se aplica un registro de seguimiento a todas las regiones de AWS, CloudTrail crea registros deseguimiento con una configuración idéntica en el resto de las regiones de AWS de la cuenta. Cuando AWSañade una región, la configuración de ese registro de seguimiento se crea automáticamente en la nuevaregión.

Control de versiones, configuración del ciclo de vida y protección del bloqueo de objetos para los datos deregistro deCloudTrail

Dado que CloudTrail utiliza buckets de Amazon S3 para almacenar los archivos de registro, también esposible utilizar las características que proporciona Amazon S3 para ayudar a satisfacer las necesidades deresiliencia y copia de seguridad de datos. Para obtener más información, consulte Resiliencia en AmazonS3.

Seguridad de la infraestructura en AWS CloudTrailAl tratarse de un servicio administrado, AWS CloudTrail está protegido por los procedimientos deseguridad de red globales de AWS que se describen en el documento técnico Amazon Web Services:Información general sobre los procesos de seguridad.

Puede utilizar llamadas a la API publicadas en AWS para tener acceso a CloudTrail a través de la red.Los clientes deben ser compatibles con Transport Layer Security (TLS) 1.0 o una versión posterior.Le recomendamos TLS 1.2 o una versión posterior. Los clientes también deben ser compatibles conconjuntos de cifrado con confidencialidad directa total (PFS) tales como Ephemeral Diffie-Hellman (DHE)o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La mayoría de los sistemas modernos como Java 7 yposteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de accesosecreta que esté asociada a una entidad principal de IAM. También puede utilizar AWS Security TokenService (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Las siguientes prácticas recomendadas de seguridad también evalúan la seguridad de la infraestructura enCloudTrail:

• Considerar la posibilidad de utilizar puntos de enlace de Amazon VPC para el acceso de los registros deseguimiento. (p. 112)

• Considerar la posibilidad de utilizar puntos de enlace de Amazon VPC para tener acceso a los bucketsde Amazon S3. Para obtener más información, consulte Ejemplo de políticas de bucket para puntos deenlace de la VPC para Amazon S3.

• Identificar y auditar todos los buckets de Amazon S3 que contienen archivos de registro de CloudTrail.Considere la posibilidad de utilizar etiquetas para ayudar a identificar los registros de seguimiento deCloudTrail y los buckets de Amazon S3 que contienen los archivos de registro de CloudTrail. Esto lepermitirá utilizar grupos de recursos para los recursos de CloudTrail. Para obtener más información,consulte Grupos de recursos de AWS.

Version 1.0261

https://docs.aws.amazon.com/AmazonS3/latest/dev/crr.html

http://aws.amazon.com/about-aws/global-infrastructure/

https://docs.aws.amazon.com/AmazonS3/latest/dev/disaster-recovery-resiliency.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/disaster-recovery-resiliency.html

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies-vpc-endpoint.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies-vpc-endpoint.html

https://docs.aws.amazon.com/ARG/latest/userguide/welcome.html

AWS CloudTrail Guía del usuarioPrácticas recomendadas de seguridad

Prácticas recomendadas de seguridad de AWSCloudTrail

AWS CloudTrail ofrece una serie de características de seguridad que debe tener en cuenta a la hora dedesarrollar e implementar sus propias políticas de seguridad. Las siguientes prácticas recomendadasson directrices generales y no suponen una solución de seguridad completa. Puesto que es posible queestas prácticas recomendadas no sean adecuadas o suficientes para el entorno, considérelas comoconsideraciones útiles en lugar de como normas.

Temas• Prácticas recomendadas de seguridad de supervisión de CloudTrail (p. 262)• Prácticas recomendadas de seguridad preventivas de CloudTrail (p. 263)

Prácticas recomendadas de seguridad de supervisiónde CloudTrailCrear un registro de seguimiento

Para mantener un registro continuo de los eventos de la cuenta de AWS, debe crear un registro deseguimiento. Aunque CloudTrail proporciona 90 días de información del historial de eventos para loseventos de administración en la consola de CloudTrail sin crear un registro de seguimiento, no es unregistro permanente y no proporciona información acerca de todos los tipos de eventos posibles. Paradisponer de un registro continuado con todos los tipos de eventos que especifique, debe crear un registrode seguimiento, que envía los archivos de registro al bucket de Amazon S3 que especifique.

Para administrar los datos de CloudTrail con mayor facilidad, considere la posibilidad de crear un registrode seguimiento para los eventos de administración de todas las regiones de AWS y, a continuación, crearregistros de seguimiento adicionales para tipos de eventos específicos de los recursos, como, por ejemplo,la actividad de los buckets de Amazon S3 o las funciones de AWS Lambda.

Estas son algunas de las acciones que puede realizar:

• Crear un registro de seguimiento para su cuenta de AWS (p. 70)• Crear un registro de seguimiento para una organización (p. 91)

Aplicar registros de seguimiento a todas las regiones de AWS

Si desea obtener un registro completo de los eventos relacionados con un usuario, un rol o un servicio desu cuenta de AWS, cada registro de seguimiento debe configurarse para registrar los eventos de todaslas regiones de AWS. Al registrar los eventos de todas las regiones de AWS, puede estar seguro de quese registran todos los eventos que se producen en su cuenta de AWS, independientemente de la regiónde AWS en que se hayan producido. Esto incluye el registro de los eventos de servicios globales (p. 12),que se registran en una región de AWS específica de dicho servicio. Cuando se crea un registro deseguimiento que se aplica a todas las regiones, CloudTrail registra los eventos de cada región y envía losarchivos de registro de eventos de CloudTrail al bucket de S3 que se especifique. Si se añade una regiónde AWS después de crear un registro de seguimiento que se aplica a todas las regiones, la región nuevase incluye automáticamente, y también se registran sus eventos. Esta es la opción predeterminada al crearun registro de seguimiento en la consola de CloudTrail.


• Crear un registro de seguimiento para su cuenta de AWS (p. 70)

Version 1.0262

AWS CloudTrail Guía del usuarioPrácticas recomendadas de

seguridad preventivas de CloudTrail

• Actualizar un registro de seguimiento existente (p. 74)para registrar los eventos de todas las regiones deAWS

• Implementar controles de supervisión continuos para ayudar a garantizar que todos los registros deseguimiento que se han creado registran los eventos de todas las regiones de AWS mediante la reglamulti-region-cloud-trail-enabled de AWS Config.

Habilitar la integridad de los archivos de registro de CloudTrail

Los archivos de registro validados son especialmente valiosos para las investigaciones de seguridad yforenses. Por ejemplo, un archivo de registro validado le permite afirmar positivamente que el archivo deregistro en sí no ha cambiado, o que determinadas credenciales de usuario han realizado una actividadde la API específica. El proceso de validación de la integridad de los archivos de registro de CloudTrailtambién le permite saber si un archivo de registro se ha eliminado o modificado, o afirmar con certezaque no se han enviado archivos de registro a su cuenta durante un período de tiempo determinado.La validación de la integridad de los archivos de registro de CloudTrail utiliza los algoritmos estándardel sector: SHA-256 para aplicar la función hash y SHA-256 con RSA para la firma digital. De esemodo, resulta imposible modificar, eliminar o falsificar los archivos de registro de CloudTrail por mediosinformáticos sin que se sepa. Para obtener más información, consulte Activación de la validación y losarchivos de validación (p. 201).

Realizar la integración con Amazon CloudWatch Logs

CloudWatch Logs le permite monitorizar y recibir alertas para los eventos específicos capturadospor CloudTrail. Los eventos que se envían a CloudWatch Logs son los que se han configurado pararegistrarlos con el registro de seguimiento, por lo que tiene que asegurarse de que ha configurado elregistro o los registros de seguimiento para registrar los tipos de eventos (eventos de administración y/oeventos de datos) que le interese monitorizar.

Por ejemplo, puede monitorizar los principales eventos de administración relacionados con la seguridad yla red, como los eventos de inicio de sesión erróneo en la consola de AWS (p. 170) y los cambios en lasinstancias de Amazon EC2 (p. 164) como el lanzamiento, la eliminación y el reinicio de instancias.


• Revisar el ejemplo Integraciones de CloudWatch Logs con CloudTrail (p. 151).• Configurar el registro de seguimiento para enviar eventos a CloudWatch Logs (p. 134).• Considerar la posibilidad de implementar controles de supervisión continuos para ayudar a garantizar

que todos los registros de seguimiento están enviando eventos a CloudWatch Logs para lamonitorización mediante la regla cloud-trail-cloud-watch-logs-enabled de AWS Config.

Prácticas recomendadas de seguridad preventivas deCloudTrailLas siguientes prácticas recomendadas para CloudTrail pueden serle de utilidad para evitar incidentes deseguridad.

Efectuar el registro en un bucket de Amazon S3 dedicado y centralizado

Los archivos de registro de CloudTrail son un registro de auditoría de las acciones realizadas por unusuario, un rol o un servicio de AWS. La integridad, plenitud y disponibilidad de estos registros esfundamental para fines forenses y de auditoría. Al efectuar el registro en un bucket de Amazon S3dedicado y centralizado, es posible aplicar controles de seguridad, acceso y separación de funcionesestrictos.


Version 1.0263

https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloud-trail-enabled.html

https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html

AWS CloudTrail Guía del usuarioPrácticas recomendadas de

seguridad preventivas de CloudTrail

• Crear una cuenta de AWS independiente como cuenta de archivo de registro. Si utiliza AWSOrganizations, inscriba esta cuenta en la organización y considere la posibilidad de crear un registrode seguimiento de la organización (p. 91) para registrar los datos de todas las cuentas de AWS de laorganización.

• Si no utiliza Organizaciones, pero quiere registrar los datos de varias cuentas de AWS, cree un registrode seguimiento (p. 70) para registrar la actividad en esta cuenta de archivo de registro. Restringir elacceso a esta cuenta únicamente a los usuarios administrativos de confianza que necesiten acceso a losdatos de auditoría y de la cuenta.

• Como parte de la creación de un registro de seguimiento, tanto si se trata de un registro de seguimientode organización como si es para una única cuenta de AWS, cree un bucket de Amazon S3 dedicadopara almacenar los archivos de registro de este registro de seguimiento.

• Si desea registrar la actividad de más de una cuenta de AWS, modifique la política de bucket (p. 188)para permitir el registro y el almacenamiento de los archivos de registro de todas las cuentas de AWSpara las que desea registrar la actividad de la cuenta de AWS.

• Si no utiliza un registro de seguimiento de organización, cree registros de seguimiento en todas suscuentas de AWS y especifique el bucket de Amazon S3 en la cuenta de archivos de registro.

Utilizar el cifrado del lado del servidor con claves administradas por AWS KMS

De forma predeterminada, los archivos de registro que envía CloudTrail a su bucket se cifran mediante elsistema de Amazon de cifrado del lado del servidor con claves de cifrado administradas por Amazon S3(SSE-S3). Para proporcionar una capa de seguridad que pueda administrarse directamente, puede utilizaren su lugar el cifrado del lado del servidor con claves administradas por AWS KMS (SSE-KMS) para losarchivos de registro de CloudTrail. Para utilizar SSE-KMS con CloudTrail, debe crear y administrar unaclave de KMS, también llamada clave maestra del cliente (CMK).

Note

Si utiliza SSE-KMS y la validación de archivos de registro, y ha modificado la política de bucket deAmazon S3 para permitir exclusivamente archivos cifrados mediante SSE-KMS, no podrá crearregistros de seguimiento que utilicen dicho bucket a menos que modifique la política de bucketpara permitir el cifrado AES256 específicamente, tal y como se muestra en el siguiente ejemplo delínea de política.

"StringNotEquals": { "s3:x-amz-server-side-encryption": ["aws:kms", "AES256"] }


• Conocer las ventajas de cifrar los archivos de registro con SSE-KMS (p. 265).• Crear una CMK para utilizarla para el cifrado de archivos de registro (p. 267).• Configurar el cifrado de los archivos de registro para los registros de seguimiento. (p. 274)• Considerar la posibilidad de implementar controles de supervisión continuos para ayudar a garantizar

que todos los registros de seguimiento están cifrado los archivos de registro con SSE-KMS mediante laregla cloud-trail-encryption-enabled de AWS Config.

Implementar el acceso con privilegios mínimos a los buckets de Amazon S3 en los que se almacenan losarchivos de registro

Los registros de seguimiento de CloudTrail registran los eventos en el bucket de Amazon S3 que seespecifique. Estos archivos de registro contienen un registro de auditoría de las acciones realizadas porlos usuarios, los roles y los servicios de AWS. La integridad y plenitud de estos archivos de registro sonfundamentales para fines forenses y de auditoría. Con el fin de ayudar a garantizar esa integridad, debecumplir el principio de privilegios mínimos al crear o modificar el acceso a cualquier bucket de Amazon S3utilizado para almacenar los archivos de registro de CloudTrail.

Version 1.0264





https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html

AWS CloudTrail Guía del usuarioCifrado de archivos de registro de CloudTrail conclaves administradas de AWS KMS (SSE-KMS)


• Examinar la política de bucket de Amazon S3 (p. 249) de todos y cada uno de los buckets en losque se almacenan los archivos de registro y ajustarla si es necesario para eliminar cualquier accesoinnecesario. Esta política de bucket se generará automáticamente si crea un registro de seguimientomediante la consola de CloudTrail, pero también puede crearla y administrarla manualmente.

• Si utiliza el mismo bucket de Amazon S3 para almacenar los archivos de registro de varias cuentas deAWS, siga las instrucciones para recibir los archivos de registro de varias cuentas (p. 188).

• Si utiliza un registro de seguimiento de organización, no olvide seguir las instrucciones de los registrosde seguimiento de organización (p. 91) y examine la política de ejemplo para un bucket de Amazon S3para el registro de seguimiento de una organización en Creación de un registro de seguimiento para unaorganización con la AWS Command Line Interface (p. 100).

• Consulte la documentación de seguridad de Amazon S3 y el tutorial de ejemplo para proteger un bucket.

Habilitar la función MFA Delete en el bucket de Amazon S3 en el que se almacenan los archivos deregistro

La configuración de la multi-factor authentication (MFA) o autenticación multifactor garantiza que cualquierintento de cambiar el estado de control de versiones del bucket o de eliminar definitivamente una versiónde un objeto requiere una autenticación adicional. Esto ayuda a impedir cualquier operación que podríaponer en peligro la integridad de los archivos de registro, incluso si un usuario consigue la contraseña deun usuario de IAM que tenga permisos para eliminar objetos de Amazon S3 de forma definitiva.


• Ver las instrucciones de uso de la función MFADelete.• Añadir una política de bucket de Amazon S3 que requiera el uso de la MFA.

Configurar la administración del ciclo de vida de los objetos en el bucket de Amazon S3 en el que sealmacenan los archivos de registro

De foma predeterminada, el registro de seguimiento de CloudTrail almacena los archivos de registro deforma indefinida en el bucket de Amazon S3 configurado para el registro de seguimiento. Puede utilizar lasreglas de administración del ciclo de vida de los objetos de Amazon S3 para definir la política de retenciónque mejor se adapte a sus necesidades empresariales y de auditoría. Por ejemplo, es posible que deseearchivar los archivos de registro que tengan más de un año de antigüedad en Amazon Glacier, o eliminararchivos de registro transcurrido un cierto tiempo.

Limitar el acceso a la política AWSCloudTrailFullAccess

Los usuarios que tienen la política AWSCloudTrailFullAccess (p. 247) tienen la capacidad de deshabilitaro reconfigurar las más funciones de auditoría más importantes y confidenciales de sus cuentas de AWS.Esta política no se ha concebido para compartirla ni aplicarla con carácter general a los usuarios y los rolesde una cuenta de AWS. Limite la aplicación de esta política al menor número de personas posible, las queespera que actúen como administradores de la cuenta de AWS.

Cifrado de archivos de registro de CloudTrail conclaves administradas de AWS KMS (SSE-KMS)

De forma predeterminada, los archivos de registro que envía CloudTrail a su bucket se cifran mediante elsistema de Amazon de cifrado del lado del servidor con claves de cifrado administradas por Amazon S3(SSE-S3). Para proporcionar una capa de seguridad que pueda administrarse directamente, puede utilizar

Version 1.0265


https://docs.aws.amazon.com/AmazonS3/latest/dev/walkthrough1.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html#MultiFactorAutenticationDelete

https://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies.html#example-bucket-policies-use-case-7

https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lifecycle-mgmt.html



AWS CloudTrail Guía del usuarioHabilitación del cifrado de los archivos de registro

en su lugar el cifrado del lado del servidor con claves administradas por AWS KMS (SSE-KMS) para losarchivos de registro de CloudTrail.

Note

La habilitación del cifrado del lado del servidor cifra los archivos de registro, pero no losarchivos de resumen, con SSE-KMS. Los archivos de resumen se cifran con claves de cifradoadministradas por Amazon S3 (SSE-S3).

Para utilizar SSE-KMS con CloudTrail, debe crear y administrar una clave de KMS, también llamadaclave maestra del cliente (CMK). Es preciso adjuntar una política a la clave que determine qué usuariospueden utilizar la clave para cifrar y descifrar archivos de registro de CloudTrail. El proceso de descifradotranscurre de manera fluida a través de S3. Cuando los usuarios autorizados de la clave leen archivosde registro de CloudTrail, S3 administrar el descifrado y los usuarios autorizados pueden leer archivos deregistro ya sin cifrado.

Este enfoque tiene las siguientes ventajas:

• Puede crear y gestionar las claves de cifrado CMK usted mismo.• Puede utilizar una única clave CMK para cifrar y descifrar los archivos de registro de varias cuentas en

todas las regiones.• Puede controlar quién puede usar su clave para cifrar y descifrar archivos de registro de CloudTrail.

Puede asignar permisos para la clave a los usuarios de su organización, según sus requisitos.• Aumenta la seguridad. Con esta característica, se necesitan los siguientes permisos para poder leer

archivos de registro:• Un usuario debe tener permisos de lectura de S3 para el bucket que contiene los archivos de registro.• También se debe aplicar a un usuario una política o un rol que conceda permisos de descifrado por la

política de la CMK.• Puesto que S3 descifra automáticamente los archivos de registro para las solicitudes de los usuarios

autorizados para utilizar la CMK, el cifrado SSE-KMS de los archivos de registro de CloudTrail escompatible con versiones anteriores de las aplicaciones que leen datos de registro de CloudTrail.

Note

La CMK que elija debe crearse en la misma región de AWS que el bucket de Amazon S3 querecibe los archivos de registro. Por ejemplo, si los archivos de registro se almacenarán en unbucket de la región EE.UU. Este (Ohio), debe crear o elegir una CMK que se haya creado enesa región. Para verificar la región a la que pertenece un bucket de Amazon S3, consulte suspropiedades en la consola de Amazon S3.

Habilitación del cifrado de los archivos de registroNote

Si crea una clave CMK en la consola de CloudTrail, CloudTrail añade las secciones de la políticade CMK necesarias por usted. Siga estos procedimientos si ha creado una clave en la consola deIAM o en la AWS CLI y necesita añadir manualmente las secciones de la política necesarias.

Para habilitar el cifrado SSE-KMS para los archivos de registro de CloudTrail, siga estos pasos generales:

1. Cree una clave CMK.

• Para obtener más información acerca de la creación de CMK con Consola de administración deAWS, consulte Creación de claves en la AWS Key Management Service Developer Guide.

• Para obtener información sobre cómo crear una CMK con la AWS CLI, consulte create-key.

Version 1.0266





https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html

https://docs.aws.amazon.com/cli/latest/reference/kms/create-key.html

AWS CloudTrail Guía del usuarioConceder permisos para crear una CMK

Note

La clave CMK que elija debe estar en la misma región que el bucket de S3 que recibe susarchivos de registro. Para verificar la región a la que pertenece un bucket de S3, consulte suspropiedades en la consola de S3.

2. Añada secciones de política a la clave para que CloudTrail pueda cifrar y los usuarios puedandescifrar archivos de registro.

• Para obtener información sobre qué es lo que debe incluir en la política, consulte Configuración depolíticas de claves de AWS KMS para CloudTrail (p. 267).

Warning

Asegúrese de incluir permisos de descifrado en la política para todos los usuarios quenecesitan leer archivos de registro. Si no realiza este paso antes de añadir la clave a laconfiguración del registro de seguimiento, los usuarios que no dispongan de permisos dedescifrado no podrán leer archivos cifrados hasta que les conceda esos permisos.

• Para obtener más información sobre cómo editar una política con la consola de IAM, consulteModificación de una política de claves en la AWS Key Management Service Developer Guide.

• Para obtener información sobre cómo asociar una política a una CMK con la AWS CLI, consulte put-key-policy.

3. Actualice su registro de seguimiento para utilizar la clave CMK cuya política ha modificado paraCloudTrail.

• Para actualizar la configuración del registro de seguimiento con la consola de CloudTrail, consulteActualización de un registro de seguimiento para utilizar su clave CMK (p. 274).

• Para actualizar la configuración del registro de seguimiento con la AWS CLI, consulte Habilitar ydeshabilitar el cifrado de archivos de registro de CloudTrail con la AWS CLI (p. 275).

En la siguiente sección se describen las secciones de política que requiere su política para la clave CMKpara poder utilizarse junto con CloudTrail.

Conceder permisos para crear una CMKPuede conceder a los usuarios permiso para crear una clave maestra del cliente (CMK) con la políticaAWSKeyManagementServicePowerUser.

Para conceder permiso para crear una CMK

1. Abra la consola de IAM en https://console.aws.amazon.com/iam.2. Elija el usuario o grupo al que desea conceder permiso.3. Elija Permissions y, a continuación, seleccione Attach Policy.4. Busque AWSKeyManagementServicePowerUser, elija la política y, a continuación, elija Attach policy.

El usuario ahora tiene permiso para crear una CMK. Si desea crear políticas personalizadas para losusuarios, consulte Creación de políticas administradas por el cliente en la Guía del usuario de IAM.

Configuración de políticas de claves de AWS KMSpara CloudTrailPuede crear una clave maestra del cliente (CMK) de tres formas:

Version 1.0267

https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-editing

https://docs.aws.amazon.com/cli/latest/reference/kms/put-key-policy.html


https://console.aws.amazon.com/iam

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html#create-managed-policy-console

AWS CloudTrail Guía del usuarioConfiguración de políticas de claves

de AWS KMS para CloudTrail

• La consola de CloudTrail• La consola de IAM• La AWS CLI

Note

Si creado una CMK en la consola de CloudTrail, CloudTrail añade la política de CMK necesariaautomáticamente. No es necesario que añada manualmente las instrucciones de política.Consulte Política de claves predeterminada creada en la consola de CloudTrail (p. 273).

Si crea una CMK en la consola de IAM o la AWS CLI, debe agregar secciones de política a la clave parapoder usarla con CloudTrail. La política debe permitir que CloudTrail use la clave para cifrar los archivos deregistro y que los usuarios especificados lean archivos de registro en formato no cifrado.

Consulte los siguientes recursos:

• Para crear una CMK con la AWS CLI, consulte create-key.• Para editar una política de CMK para CloudTrail, consulte Edición de una política de claves en la AWS

Key Management Service Developer Guide.• Para obtener información técnica acerca de cómo CloudTrail usa AWS KMS, consulte Cómo AWS

CloudTrail usa AWS KMS en la AWS Key Management Service Developer Guide.

Secciones de la política de CMK necesarias para su uso conCloudTrailSi creó una CMK con la consola de IAM o la AWS CLI, debe añadir, como mínimo, tres instrucciones a lapolítica de CMK para trabajar con CloudTrail. No es necesario añadir manualmente instrucciones para unaCMK que se crea mediante la consola de CloudTrail.

1. Habilitar los permisos de cifrado de archivos de registro de CloudTrail. Consulte Concesión de permisosde cifrado (p. 268).

2. Habilitar los permisos de descifrado de archivos de registro de CloudTrail. Consulte Concesión depermisos de descifrado (p. 270).

3. Permitir que CloudTrail describa las propiedades de CMK. Consulte Permitir que CloudTrail describa laspropiedades de CMK (p. 272).

Note

Cuando añade las nuevas secciones a su política de CMK, no cambia las secciones existentes enla política.

Warning

Si el cifrado está habilitado en un registro de seguimiento y la CMK está deshabilitada o la políticade CMK no está correctamente configurada para CloudTrail, CloudTrail no enviará archivos deregistro hasta que se resuelva el problema con la CMK.

Concesión de permisos de cifradoExample Permitir a CloudTrail cifrar archivos de registro en nombre de cuentas específicas

CloudTrail necesita permisos explícitos para utilizar la CMK para cifrar archivos de registro en nombre decuentas específicas. Para especificar una cuenta, añada la siguiente instrucción necesaria a su política

Version 1.0268



https://docs.aws.amazon.com/kms/latest/developerguide/services-cloudtrail.html

https://docs.aws.amazon.com/kms/latest/developerguide/services-cloudtrail.html



de CMK, modificando aws-account-id según sea necesario. Puede añadir identificadores de cuentaadicionales a la sección EncryptionContext para permitir que esas cuentas utilicen CloudTrail parausar su CMK para cifrar archivos de registro.

{ "Sid": "Allow CloudTrail to encrypt logs", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "kms:GenerateDataKey*", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:cloudtrail:arn": [ "arn:aws:cloudtrail:*:aws-account-id:trail/*" ] } }}

Example

La siguiente instrucción de política de ejemplo ilustra cómo otra cuenta puede usar su CMK para cifrararchivos de registro de CloudTrail.

Escenario

• Su CMK está en la cuenta 111111111111.• Usted y la cuenta 222222222222 cifrarán los archivos de registro.

En la política, añade una o varias cuentas que cifrarán con la clave en EncryptionContext de CloudTrail.Esto impide a CloudTrail usar la clave para cifrar otros registros que no pertenezcan a las cuentas que haespecificado. Al conceder a la raíz de la cuenta 222222222222 permiso para cifrar archivos de registro,se permite al administrador de dicha cuenta asignar permisos de cifrado según sea necesario para otrosusuarios de la cuenta 222222222222 cambiando sus políticas de usuario de IAM.

Instrucción de política de CMK:

{ "Sid": "Enable CloudTrail Encrypt Permissions", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "kms:GenerateDataKey*", "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws:cloudtrail:arn": [ "arn:aws:cloudtrail:*:111111111111:trail/*", "arn:aws:cloudtrail:*:222222222222:trail/*" ] } }}

Para ver los pasos de edición de una política de CMK para su uso con CloudTrail, consulte Edición de unapolítica de claves en la AWS Key Management Service Developer Guide.

Version 1.0269





Concesión de permisos de descifradoAntes de agregar su CMK a la configuración CloudTrail, es importante que conceda permisos dedescifrado a todos los usuarios que los necesiten. Los usuarios que tienen permisos de cifrado pero nopermisos de descifrado no podrán leer archivos de registro cifrados.

Habilitar los permisos de descifrado de archivos de registro de CloudTrail

Los usuarios de su clave deben tener permisos explícitos para leer los archivos de registro que CloudTrailha cifrado. Para que los usuarios puedan leer archivos de registro cifrados, añada la siguiente instrucciónnecesaria a su política de CMK, modificando la sección Principal para añadir una línea para cadaentidad (rol o usuario) a la que desee permitir descifrar archivos de registro mediante su CMK.

{ "Sid": "Enable CloudTrail log decrypt permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::aws-account-id:user/username" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "Null": { "kms:EncryptionContext:aws:cloudtrail:arn": "false" } }}

Permitir a los usuarios de su cuenta descifrar con su CMK

Ejemplo

Esta instrucción de política ilustra cómo permitir que un usuario o un rol de IAM de su cuenta use su clavepara leer registros cifrados en el bucket de S3 de su cuenta.

Example Escenario

• Su CMK, el bucket de S3 y el usuario de IAM Bob están en la cuenta 111111111111.• Concede al usuario de IAM Bob permiso para descifrar los archivos de registro de CloudTrail en el

bucket de S3.

En la política de claves, habilita los permisos de descifrado de archivos de registro de CloudTrail para elusuario de IAM, Bob.


{ "Sid": "Enable CloudTrail log decrypt permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111111111111:user/Bob" }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "Null": { "kms:EncryptionContext:aws:cloudtrail:arn": "false" }

Version 1.0270



}}

Permitir a los usuarios de otras cuentas que descifren archivos de registro con suCMK

Puede permitir que los usuarios de otras cuentas usen su CMK para descifrar archivos de registro. Loscambios necesarios en su política de claves dependen de si el bucket de S3 se encuentra en su cuenta oen otra cuenta.

Permitir a los usuarios de un bucket de otra cuenta descifrar archivos de registro

Ejemplo

Esta instrucción de política ilustra cómo permitir que un usuario o un rol de IAM de otra cuenta use su clavepara leer archivos de registro cifrados de un bucket de S3 de la otra cuenta.

Escenario

• Su CMK está en la cuenta 111111111111.• El usuario de IAM Alice y el bucket de S3 se encuentran en la cuenta 222222222222.

En este caso, concede permiso a CloudTrail para descifrar los archivos de registro de la cuenta222222222222 y concede permiso a la política de la usuaria de IAM Alice para usar su clave KeyA, que seencuentra en la cuenta 111111111111.


{ "Sid": "Enable encrypted CloudTrail log read access", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::222222222222:root" ] }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "Null": { "kms:EncryptionContext:aws:cloudtrail:arn": "false" } }}

Instrucción de política de la usuaria de IAM Alice:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-west-2:111111111111:key/keyA" } ]}

Version 1.0271



Permitir a los usuarios de otra cuenta descifrar archivos de registro de su bucket

Example

Esta política ilustra cómo otra cuenta puede utilizar su clave para leer archivos de registro cifrados de subucket de S3.

Example Escenario

• Su CMK y el bucket de S3 se encuentran en la cuenta 111111111111.• El usuario que va a leer archivos de registro de su bucket está en la cuenta 222222222222.

Para permitir este escenario, habilite los permisos de cifrado para el rol de IAM CloudTrailReadRole de sucuenta y, a continuación, conceda a la otra cuenta permiso para asumir ese rol.


{ "Sid": "Enable encrypted CloudTrail log read access", "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::11111111111:role/CloudTrailReadRole" ] }, "Action": "kms:Decrypt", "Resource": "*", "Condition": { "Null": { "kms:EncryptionContext:aws:cloudtrail:arn": "false" } }}

Instrucción de política de entidad de confianza CloudTrailReadRole:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::222222222222:root" }, "Action": "sts:AssumeRole" } ] }

Para ver los pasos de edición de una política de CMK para su uso con CloudTrail, consulte Edición de unapolítica de claves en la AWS Key Management Service Developer Guide.

Permitir que CloudTrail describa las propiedades de CMKCloudTrail requiere la capacidad de describir las propiedades de la CMK. Para habilitar esta funcionalidad,añada la siguiente instrucción necesaria tal cual a su política de CMK. Esta instrucción no concede aCloudTrail ningún permiso distinto de los permisos que usted especifique.

{

Version 1.0272





"Sid": "Allow CloudTrail access", "Effect": "Allow", "Principal": { "Service": "cloudtrail.amazonaws.com" }, "Action": "kms:DescribeKey", "Resource": "*"}

Para obtener más información sobre cómo editar las políticas de CMK, consulte la sección sobre ediciónde políticas de claves en la AWS Key Management Service Developer Guide.

Política de claves predeterminada creada en la consola deCloudTrailSi crea una clave maestra del cliente (CMK) en la consola de CloudTrail, se crea automáticamente lasiguiente política. La política concede estos permisos:

• Concede a la cuenta de AWS (raíz) permisos para la CMK.• Permite a CloudTrail cifrar los archivos de registro bajo la CMK y describir la CMK.• Permite que todos los usuarios de las cuentas especificadas descifren archivos de registro.• Permite que todos los usuarios de la cuenta especificada creen un alias de KMS para la CMK.• Habilita el descifrado de registros entre cuentas para el ID de la cuenta que creó el registro de

seguimiento.

{ "Version": "2012-10-17", "Id": "Key policy created by CloudTrail", "Statement": [ { "Sid": "Enable IAM User Permissions", "Effect": "Allow", "Principal": {"AWS": [ "arn:aws:iam::aws-account-id:root", "arn:aws:iam::aws-account-id:user/username" ]}, "Action": "kms:*", "Resource": "*" }, { "Sid": "Allow CloudTrail to encrypt logs", "Effect": "Allow", "Principal": {"Service": ["cloudtrail.amazonaws.com"]}, "Action": "kms:GenerateDataKey*", "Resource": "*", "Condition": {"StringLike": {"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:aws-account-id:trail/*"}} }, { "Sid": "Allow CloudTrail to describe key", "Effect": "Allow", "Principal": {"Service": ["cloudtrail.amazonaws.com"]}, "Action": "kms:DescribeKey", "Resource": "*" }, { "Sid": "Allow principals in the account to decrypt log files", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": [

Version 1.0273



AWS CloudTrail Guía del usuarioActualización de un registro de

seguimiento para utilizar su clave CMK

"kms:Decrypt", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": {"kms:CallerAccount": "aws-account-id"}, "StringLike": {"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:aws-account-id:trail/*"} } }, { "Sid": "Allow alias creation during setup", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": "kms:CreateAlias", "Resource": "*", "Condition": {"StringEquals": { "kms:ViaService": "ec2.region.amazonaws.com", "kms:CallerAccount": "aws-account-id" }} }, { "Sid": "Enable cross account log decryption", "Effect": "Allow", "Principal": {"AWS": "*"}, "Action": [ "kms:Decrypt", "kms:ReEncryptFrom" ], "Resource": "*", "Condition": { "StringEquals": {"kms:CallerAccount": "aws-account-id"}, "StringLike": {"kms:EncryptionContext:aws:cloudtrail:arn": "arn:aws:cloudtrail:*:aws-account-id:trail/*"} } } ]}

Note

La instrucción final de la política permite descifrar archivos de registro entre cuentas con la CMK.

Actualización de un registro de seguimiento parautilizar su clave CMKPara actualizar un registro de seguimiento para utilizar la clave maestra de cliente (CMK) que hamodificado para CloudTrail, siga los pasos que se describen a continuación en la consola de CloudTrail.

Note

La actualización de un registro de seguimiento mediante el siguiente procedimiento cifra losarchivos de log, pero no los archivos de resumen, con SSE-KMS. Los archivos de resumen secifran con claves de cifrado administradas por Amazon S3 (SSE-S3).

Para actualizar un registro de seguimiento utilizando la AWS CLI, consulte Habilitar y deshabilitar el cifradode archivos de registro de CloudTrail con la AWS CLI (p. 275).

Para actualizar un registro de seguimiento para utilizar su clave CMK


Version 1.0274




AWS CloudTrail Guía del usuarioHabilitar y deshabilitar el cifrado de archivos

de registro de CloudTrail con la AWS CLI

2. Elija Trails (Registros de seguimiento) y, a continuación, elija un registro de seguimiento.3. En Storage location (Ubicación de almacenamiento), elija el icono de lápiz.4. En Encrypt log files with SSE-KMS (Cifrar archivos de registros con SSE-KMS), seleccione Sí para

que CloudTrail cifre sus archivos de registro con CMK.5. En Create a new KMS key, elija No.6. En KMS key, seleccione el alias de la clave CMK cuya política ha modificado para utilizarla con

CloudTrail.Note

Elija una clave CMK que esté en la misma región que el bucket de S3 que recibe susarchivos de registro. Para verificar la región a la que pertenece un bucket de S3, consulte suspropiedades en la consola de S3.

Puede escribir el nombre del alias, el ARN o el ID de clave único global. Si la clave CMK pertenecea otra cuenta, compruebe que la política de la clave tiene permisos que le permiten utilizarla. El valorpuede tener uno de los siguientes formatos:

• Nombre del alias: alias/MyAliasName• ARN del alias: arn:aws:kms:region:123456789012:alias/MyAliasName• ARN de la clave:arn:aws:kms:region:123456789012:key/12345678-1234-1234-1234-123456789012

• ID de la clave único global: 12345678-1234-1234-1234-1234567890127. Seleccione Save (Guardar).

Note

Si la CMK que eligió está desactivada o está pendiente de borrado, no podrá guardar elregistro de seguimiento con dicha CMK. Puede activar la clave CMK o elegir otra. Paraobtener más información, consulte el tema sobre cómo afecta el estado de una clave al usode la clave maestra del cliente.

Habilitar y deshabilitar el cifrado de archivos deregistro de CloudTrail con la AWS CLIEn este tema, se describe cómo habilitar y deshabilitar el cifrado de archivos de registro SSE-KMS paraCloudTrail mediante la AWS CLI. Para obtener información general, consulte Cifrado de archivos deregistro de CloudTrail con claves administradas de AWS KMS (SSE-KMS) (p. 265).

Habilitar el cifrado de los archivos de registro de CloudTrailmediante la AWS CLI1. Cree una clave con la AWS CLI. La clave que cree debe estar en la misma región que el bucket de

S3 que recibe sus archivos de registro de CloudTrail. En este paso, utilice el comando create-key deKMS.

2. Obtenga la política de claves existente para poder modificarla al utilizarla con CloudTrail. Puederecuperar la política de claves con el comando get-key-policy de KMS.

3. Agregue las secciones necesarias a la política de claves para que CloudTrail pueda cifrar los archivosde registro, así como para que los usuarios puedan descifrarlos. Asegúrese de que todos los usuariosque van a leer los archivos de registro tienen permisos para descifrarlos. No modifique las seccionesexistentes de la política. Para obtener más información sobre las secciones de políticas que se debenincluir, consulte Configuración de políticas de claves de AWS KMS para CloudTrail (p. 267).

4. Asocie el archivo de política .json modificado a la clave mediante el comando put-key-policy de KMS.

Version 1.0275

https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html

https://docs.aws.amazon.com/kms/latest/developerguide/key-state.html


https://docs.aws.amazon.com/cli/latest/reference/kms/get-key-policy.html


AWS CloudTrail Guía del usuarioHabilitar y deshabilitar el cifrado de archivos

de registro de CloudTrail con la AWS CLI

5. Ejecute el comando CloudTrail, create-trail o update-trail con el parámetro --kms-key-id.Este comando habilita el cifrado de registros.

aws cloudtrail update-trail --name Default --kms-key-id alias/MyKmsKey

El parámetro --kms-key-id especifica la clave cuya política ha modificado para CloudTrail. Puedeestar en uno de los siguientes cuatro formatos:

• Nombre del alias Ejemplo: alias/MyAliasName• ARN del alias Ejemplo: arn:aws:kms:us-east-2:123456789012:alias/MyAliasName• ARN de clave Ejemplo: arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012

• ID de la clave único global Ejemplo: 12345678-1234-1234-1234-123456789012

La respuesta será así:

{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/12345678-1234-1234-1234-123456789012", "S3BucketName": "my-bucket-name"}

La presencia del elemento KmsKeyId indica que se ha habilitado el cifrado de los archivos de registro.Los archivos de registro cifrados aparecerán en su bucket en 10 minutos aproximadamente.

Deshabilitar el cifrado de los archivos de registro de CloudTrailmediante la AWS CLIPara detener el cifrado de los registros, llame a update-trail y pase una cadena vacía al parámetrokms-key-id:

aws cloudtrail update-trail --name Default --kms-key-id ""

La respuesta será así:

{ "IncludeGlobalServiceEvents": true, "Name": "Default", "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/Default", "LogFileValidationEnabled": false, "S3BucketName": "my-bucket-name"}

La ausencia del elemento KmsKeyId indica que el cifrado de los archivos de registro ya no está habilitado.

Version 1.0276


Referencia de eventos de registro deCloudTrail

Un registro de CloudTrail es un registro en formato JSON. El registro contiene información acerca de lassolicitudes de recursos de su cuenta como, por ejemplo, quién hizo la solicitud, los servicios utilizados,las acciones realizadas y los parámetros de la acción. Los datos de los eventos se encierra dentro de unamatriz Records.

El ejemplo siguiente muestra un único registro de un evento en el que un usuario de IAM denominadoMary_Major ha llamado a la API StartLogging de CloudTrail desde la consola de CloudTrail para iniciarel proceso de registro.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDAJDPLRKLG7UEXAMPLE", "arn": "arn:aws:iam::123456789012:user/Mary_Major", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Mary_Major", "sessionContext": { "sessionIssuer": {}, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2019-06-18T22:28:31Z" } }, "invokedBy": "signin.amazonaws.com" }, "eventTime": "2019-06-19T00:18:31Z", "eventSource": "cloudtrail.amazonaws.com", "eventName": "StartLogging", "awsRegion": "us-east-2", "sourceIPAddress": "203.0.113.64", "userAgent": "signin.amazonaws.com", "requestParameters": { "name": "arn:aws:cloudtrail:us-east-2:123456789012:trail/My-First-Trail" }, "responseElements": null, "requestID": "ddf5140f-EXAMPLE", "eventID": "7116c6a1-EXAMPLE", "readOnly": false, "eventType": "AwsApiCall", "recipientAccountId": "123456789012"}, ... additional entries ...

En el ejemplo siguiente se muestra un registro único de un evento de Insights que se produjo cuando sellamó a la API UpdateInstanceAssociationStatus de AWS Administrador de sistemas un númeroinusual de veces. Hay dos eventos en un registro de eventos de Insights: un evento que marca el inicio dela información (o el inicio de la actividad inusual) y otro que marca el final. Para los eventos de Insights, elvalor de eventCategory es Insight. Un bloque insightDetails identifica el estado del evento, elorigen, el nombre, el tipo de información y el contexto, incluidas las estadísticas.

{ "Records": [

Version 1.0277


{ "eventVersion": "1.07", "eventTime": "2019-10-17T10:05:00Z", "awsRegion": "us-east-1", "eventID": "aab985f2-3a56-48cc-a8a5-e0af77606f5f", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "12edc982-3348-4794-83d3-a3db26525049", "insightDetails": { "state": "Start", "eventSource": "ssm.amazonaws.com", "eventName": "UpdateInstanceAssociationStatus", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 1.7561507937 }, "insight": { "average": 50.1 } } } }, "eventCategory": "Insight" }, { "eventVersion": "1.07", "eventTime": "2019-10-17T10:13:00Z", "awsRegion": "us-east-1", "eventID": "ce7b8ac1-3f89-4dae-8d2a-6560e32f591a", "eventType": "AwsCloudTrailInsight", "recipientAccountId": "123456789012", "sharedEventID": "12edc982-3348-4794-83d3-a3db26525049", "insightDetails": { "state": "End", "eventSource": "ssm.amazonaws.com", "eventName": "UpdateInstanceAssociationStatus", "insightType": "ApiCallRateInsight", "insightContext": { "statistics": { "baseline": { "average": 1.7561507937 }, "insight": { "average": 50 }, "insightDuration": 8 } } }, "eventCategory": "Insight" } ]}

En los siguientes temas se enumeran los campos de datos que CloudTrail captura para cada llamada a laAPI de AWS y para cada evento de inicio de sesión.

Temas• Contenido de los registros de CloudTrail (p. 279)• Elemento userIdentity de CloudTrail (p. 286)• Eventos no generados por la API capturados por CloudTrail (p. 292)

Version 1.0278

AWS CloudTrail Guía del usuarioContenido de los registros de CloudTrail

Contenido de los registros de CloudTrailEl cuerpo del registro contiene campos que le ayudan a determinar la acción solicitada, así como cuándoy dónde se realizó la solicitud. Cuando el valor de Opcional es Verdadero, el campo solo está presentecuando se aplica al servicio, la API o el tipo de evento.

eventTime

La fecha y la hora en que se realizó la solicitud, en hora universal coordinada (UTC).

Desde: 1.0

Opcional: FalsoeventVersion

La versión del formato del evento de registro. La versión actual es 1.05.

Desde: 1.0

Opcional: FalsouserIdentity

Información sobre el usuario que realizó una solicitud. Para obtener más información, consulteElemento userIdentity de CloudTrail (p. 286).

Desde: 1.0

Opcional: Falso

eventSource

El servicio para el que se realizó la solicitud. Este nombre suele ser una forma abreviada del nombredel servicio sin espacios más .amazonaws.com. Por ejemplo:• AWS CloudFormation es cloudformation.amazonaws.com.• Amazon EC2 es ec2.amazonaws.com.• Amazon Simple Workflow Service es swf.amazonaws.com.

Esta convención tiene algunas excepciones. Por ejemplo, eventSource de Amazon CloudWatch esmonitoring.amazonaws.com.

Desde: 1.0

Opcional: Falso

eventName

La acción solicitada, que es una de las acciones de la API para ese servicio.

Desde: 1.0

Opcional: Falso

awsRegion

La región de AWS para la que se realizó la solicitud, como us-east-2. Consulte Regiones admitidasde CloudTrail (p. 13).

Version 1.0279


Desde: 1.0

Opcional: Falso

sourceIPAddress

La dirección IP desde la que se realizó la solicitud. Para las acciones que se originan desde la consoladel servicio, la dirección registrada es para el recurso del cliente subyacente, no para el servidor webde la consola. Para los servicios de AWS, solo se muestra el nombre DNS.

Desde: 1.0

Opcional: Falso

userAgent

El agente a través del cual se realizó la solicitud, como la Consola de administración de AWS, unservicio de AWS, los SDK de AWS o la AWS CLI. A continuación se incluyen valores de ejemplo:• signin.amazonaws.com – la solicitud la realizó un usuario de IAM con la Consola de

administración de AWS.• console.amazonaws.com – la solicitud la realizó un usuario raíz con la Consola de

administración de AWS.• lambda.amazonaws.com – la solicitud se realizó con AWS Lambda.• aws-sdk-java – la solicitud se realizó con AWS SDK for Java.• aws-sdk-ruby – la solicitud se realizó con AWS SDK parar Ruby.• aws-cli/1.3.23 Python/2.7.6 Linux/2.6.18-164.el5 – la solicitud se realizó con la AWS

CLI instalada en Linux.

Note

En el caso de eventos originados por AWS, este campo es normalmente AWS Internal/#,donde # es un número usado para fines internos.

Desde: 1.0

Opcional: Falso

errorCode

El error del servicio de AWS si la solicitud devuelve un error.

Desde: 1.0

Opcional: Verdadero

errorMessage

Si la solicitud devuelve un error, la descripción del error. Este mensaje incluye mensajes de los erroresde autorización. CloudTrail captura el mensaje registrado por el servicio cuando trata las excepciones.Para ver un ejemplo, consulte Ejemplo de archivo de registro de código y mensaje de error (p. 19).

Note

Algunos servicios de AWS proporcionan errorCode y errorMessage en los campos denivel superior del evento. Otros servicios de AWS proporcionan información del error comoparte de responseElements.

Version 1.0280


Desde: 1.0

Opcional: Verdadero

requestParameters

Los parámetros, si hay alguno, que se enviaron con la solicitud. Estos parámetros se explican en ladocumentación de referencia de la API del servicio de AWS correspondiente.

Desde: 1.0

Opcional: Falso

responseElements

El elemento de respuesta de las acciones que realizaron cambios (acciones de creación, actualizacióno eliminación). Si una acción no cambia el estado (por ejemplo, una solicitud para obtener o mostrarobjetos), este elemento se omite. Estas acciones se explican en la documentación de referencia de laAPI del servicio de AWS correspondiente.

Desde: 1.0

Opcional: Falso

additionalEventData

Datos adicionales sobre el evento que no forman parte de la solicitud o la respuesta.

La compatibilidad con este campo empieza con eventVersion 1.00.

Desde: 1.0

Opcional: Verdadero

requestID

El valor que identifica la solicitud. El servicio al que se llama genera este valor.

La compatibilidad con este campo empieza con eventVersion 1.01.

Desde: 1.01

Opcional: Falso

eventID

GUID generado por CloudTrail para identificar de forma inequívoca cada evento. Puede utilizar estevalor para identificar un evento individual. Por ejemplo, puede utilizar el ID como clave principal pararecuperar datos de archivos de registro de una base de datos que permita realizar búsquedas.

Desde: 1.01

Opcional: Falso

eventType

Identifica el tipo de evento que generó el registro del evento. Puede ser uno de los siguientes valores:• AwsApiCall: se llamó a una API.

Version 1.0281


• AwsServiceEvent (p. 292): el servicio generó un evento relacionado con el registro deseguimiento. Por ejemplo, esto puede ocurrir cuando otra cuenta realiza una llamada con un recursode su propiedad.

• AwsConsoleSignin (p. 293): un usuario de la cuenta (raíz, IAM, federado, SAML oSwitchRole) inició sesión en la Consola de administración de AWS.

Desde: 1.02

Opcional: Falso

apiVersion

Identifica la versión de la API asociada con el valor de AwsApiCall eventType.

Desde: 1.01

Opcional: Verdadero

managementEvent

Un valor booleano que identifica si el evento es un evento de administración. managementEvent semuestra en un registro de eventos si eventVersion es 1.06 o superior y el tipo de evento es uno delos siguientes:• AwsApiCall

• AwsConsoleAction

• AwsConsoleSignIn

• AwsServiceEvent

Desde: 1.06

Opcional: Verdadero

readOnly

Identifica si esta operación es una operación de solo lectura. Puede ser uno de los siguientes valores:• true: la operación es de solo lectura (por ejemplo, DescribeTrails).• false: la operación es de solo escritura (por ejemplo, DeleteTrail).

Desde: 1.01

Opcional: Verdadero

resources

Una lista de los recursos a los que ha obtenido acceso el evento. El campo puede contener lasiguiente información:• Los ARN del recurso• El ID de cuenta del propietario del recurso• El identificador de tipo de recurso en el formato: AWS::aws-service-name::data-type-name

Por ejemplo, cuando se registra un evento AssumeRole, el campo resources puede tener unaspecto similar al siguiente:• ARN: arn:aws:iam::123456789012:role/myRole• ID de cuenta: 123456789012

Version 1.0282


• Identificador de tipo de recurso: AWS::IAM::Role

Para ver archivos de registro de ejemplo con el campo resources, consulte Evento de la API deAWS STS en el archivo de registro de CloudTrail en Guía del usuario de IAM o Registro de llamadasa la API de AWS KMS en la AWS Key Management Service Developer Guide.

Desde: 1.01

Opcional: Verdadero

recipientAccountId

Representa el ID de cuenta que recibió este evento. El recipientAccountID puede ser diferentede Elemento userIdentity de CloudTrail (p. 286) accountId. Esto puede ocurrir en el acceso derecursos entre cuentas. Por ejemplo, si una cuenta distinta usó una clave de KMS, también conocidacomo clave maestra del cliente (CMK), para llamar a la API de cifrado, los valores de accountId yrecipientAccountID serán los mismos para el evento enviado a la cuenta que realizó la llamada,pero serán diferentes para el evento que se envía a la cuenta propietaria de la CMK.

Desde: 1.02

Opcional: Verdadero

serviceEventDetails

Identifica el evento del servicio, incluido lo que activó el evento y el resultado. Para obtener másinformación, consulte Eventos de servicio de AWS (p. 292).

Desde: 1.05

Opcional: Verdadero

sharedEventID

GUID generado por CloudTrail para identificar de forma inequívoca eventos de CloudTrail de la mismaacción de AWS que se envía a diferentes cuentas de AWS.

Por ejemplo, cuando una cuenta utiliza una clave de KMS, también conocida como clave maestradel cliente (CMK), que pertenece a otra cuenta, la cuenta que utilizó la CMK y la cuenta que poseela CMK recibe eventos de CloudTrail; distintos para la misma acción. Cada evento de CloudTrailenviado para esta acción de AWS comparte el mismo sharedEventID, pero tiene eventID yrecipientAccountID únicos.

Para obtener más información, consulte Ejemplo de sharedEventID (p. 285).Note

El campo sharedEventID solo aparece cuando se envían eventos de CloudTrail a variascuentas. Si el intermediario y el propietario son la misma cuenta de AWS, CloudTrail envíasolo un evento y no se muestra el campo sharedEventID.

Desde: 1.03

Opcional: Verdadero

vpcEndpointId

Identifica el punto de enlace de la VPC en el que se realizaron las solicitudes desde una VPC a otroservicio de AWS, como Amazon S3.

Version 1.0283

https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html#stscloudtrailexample





https://docs.aws.amazon.com/kms/latest/developerguide/ct-encrypt.html



AWS CloudTrail Guía del usuarioCampos de registro de eventos de Insights

Desde: 1.04

Opcional: Verdadero

Campos de registro de eventos de InsightsLos siguientes son atributos que se muestran en la estructura JSON de un evento de Insights que difierende los de un evento de administración o de datos.

eventCategory

Muestra la categoría de eventos que se utiliza en las llamadas a LookupEvents. En los Insightsevents, el valor es insight.

Desde: 1.07

Opcional: FalsosharedEventId

Un sharedEventID de los eventos de CloudTrail Insights difiere del sharedEventID de los tiposde eventos de administración y datos de CloudTrail. En los Insights events, un sharedEventID esun GUID que genera CloudTrail Insights para identificar de forma inequívoca un evento de Insights.sharedEventID es igual en los eventos de inicio y finalización de Insights, y ayuda a conectarambos eventos para identificar de forma inequívoca la actividad inusual. sharedEventID puedeconsiderarse como el ID general de evento de Insights.

Desde: 1.07

Opcional: Falso

insightDetails

Solo eventos de Insights. Muestra información sobre los desencadenadores subyacentes de un eventode Insights, como el origen del evento, las estadísticas, el nombre de la API y si el evento es el inicio oel final del evento de Insights.

Desde: 1.07

Opcional: Falsostate

Solo eventos de Insights. Muestra si el evento representa el inicio o el final de la información (el inicioo el final de la actividad inusual). Los valores son Start o End.

Desde: 1.07

Opcional: FalsoeventName

La API de AWS para la que se detectó actividad inusual.

Desde: 1.07

Opcional: FalsoinsightType

El tipo de evento de Insights. El valor es ApiCallRateInsight.

Version 1.0284

https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_LookupEvents.html

AWS CloudTrail Guía del usuarioEjemplo de sharedEventID

Desde: 1.07

Opcional: FalsoinsightContext

Datos sobre el número de llamadas que desencadenaron el evento de Insights en comparación con elnúmero normal de llamadas por minuto a la API en cuestión.

Desde: 1.07

Opcional: Verdaderostatistics

Un contenedor para datos sobre la media típica de llamadas a la API en cuestión en una cuenta, elnúmero de llamadas que desencadenaron el evento de Insights y la duración, en minutos, del eventode Insights.

Desde: 1.07

Opcional: Verdaderobaseline

Muestra la tasa media típica de llamadas a la API en cuestión por minuto, medida en la semanaanterior, por una cuenta de una región de AWS específica.

Desde: 1.07

Opcional: Verdaderoinsight

Muestra el número inusual de llamadas a la API en cuestión que desencadena el registro de un eventode Insights. El promedio de CloudTrail Insights del evento de inicio es el número de llamadas porminuto a la API que desencadenó el evento de Insights. Por lo general, este es el primer minuto deactividad inusual. El promedio de Insights del evento de finalización es el número de llamadas porminuto a la API durante la actividad inusual, entre el evento de Insights de inicio y el evento de Insightsde finalización.

Desde: 1.07

Opcional: VerdaderoinsightDuration

La duración, en minutos, de un evento de Insights (el periodo de tiempo desde el inicio hasta el finalde la actividad inusual en la API en cuestión). insightDuration solo se produce en los Insightsevents finales.

Desde: 1.07

Opcional: Verdadero

Ejemplo de sharedEventIDA continuación se muestra un ejemplo que describe cómo CloudTrail envía dos eventos para la mismaacción:

1. Alice tiene una cuenta de AWS (111111111111) y crea una clave maestra del cliente (CMK). Es lapropietaria de esta CMK.

2. Bob tiene una cuenta AWS (222222222222). Alice concede a Bob permiso para utilizar la CMK.

Version 1.0285

AWS CloudTrail Guía del usuarioElemento userIdentity de CloudTrail

3. Cada cuenta tiene un registro de seguimiento y un bucket independiente.4. Bob utiliza la CMK para llamar a la API Encrypt.5. CloudTrail envía dos eventos distintos.

• Un evento se envía a Bob. El evento muestra que utilizó la CMK.• Un evento se envía a Alice. El evento muestra que Bob utilizó la CMK.• Los eventos tienen el mismo sharedEventID, pero el eventID y recipientAccountID son

únicos.

Identificadores de evento compartido en CloudTrail InsightsUn sharedEventID de los eventos de CloudTrail Insights difiere del sharedEventID de los tipos deeventos de administración y datos de CloudTrail. En los Insights events, un sharedEventID es un GUIDque genera CloudTrail Insights para identificar de forma inequívoca un par de eventos de Insights inicialy final. sharedEventID es igual en los eventos de inicio y finalización de Insights, y ayuda a relacionarambos eventos para identificar de forma inequívoca la actividad inusual.

sharedEventID puede considerarse como el ID general de evento de Insights.

Elemento userIdentity de CloudTrailAWS Identity and Access Management (IAM) ofrece diferentes tipos de identidades. El elementouserIdentity contiene información sobre el tipo de identidad de IAM que ha realizado la solicitud y las

Version 1.0286

AWS CloudTrail Guía del usuarioEjemplos

credenciales que se han usado. Si se utilizaron credenciales temporales, el elemento muestra cómo seobtuvieron las credenciales.

Contenido• Ejemplos (p. 287)• Campos (p. 287)• Valores de las API de AWS STS con SAML e Identidades web federadas (p. 291)

EjemplosuserIdentity con credenciales de usuario de IAM

El ejemplo siguiente muestra el elemento userIdentity de una solicitud sencilla realizada con lascredenciales de la usuaria de IAM llamada Alice.

"userIdentity": { "type": "IAMUser", "principalId": "AIDAJ45Q7YFFAREXAMPLE", "arn": "arn:aws:iam::123456789012:user/Alice", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "Alice"}

userIdentity con credenciales de seguridad temporales

El ejemplo siguiente muestra un elemento userIdentity de una solicitud realizada con credencialesde seguridad temporales obtenidas mediante la adopción de un rol de IAM. El elemento contiene detallesadicionales sobre el rol que se asumió para obtener las credenciales.

"userIdentity": { "type": "AssumedRole", "principalId": "AROAIDPPEZS35WEXAMPLE:AssumedRoleSessionName", "arn": "arn:aws:sts::123456789012:assumed-role/RoleToBeAssumed/MySessionName", "accountId": "123456789012", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "sessionContext": { "attributes": { "mfaAuthenticated": "false", "creationDate": "20131102T010628Z" }, "sessionIssuer": { "type": "Role", "principalId": "AROAIDPPEZS35WEXAMPLE", "arn": "arn:aws:iam::123456789012:role/RoleToBeAssumed", "accountId": "123456789012", "userName": "RoleToBeAssumed" } }}

CamposLos siguientes campos pueden aparecer en un elemento userIdentity.

type

El tipo de la identidad. Se admiten los siguientes valores:

Version 1.0287

AWS CloudTrail Guía del usuarioCampos

• Root – la solicitud se realizó con las credenciales de su cuenta de AWS. Si el tipo deuserIdentity es Root y configura un alias para su cuenta, el campo userName contiene el aliasde la cuenta. Para obtener más información, consulte Su ID de cuenta y alias de AWS.

• IAMUser – la solicitud se realizó con las credenciales de un usuario de IAM.• AssumedRole: la solicitud se realizó con credenciales de seguridad temporales obtenidas con un

rol a través de una llamada a la API AssumeRole de AWS Security Token Service (AWS STS).Para ello se pueden usar roles de Amazon EC2 y acceso a la API entre cuentas.

• FederatedUser: la solicitud se realizó con credenciales de seguridad temporales que seobtuvieron a través de una llamada a la API GetFederationToken de AWS STS. El elementosessionIssuer indica si se llamó a la API con credenciales de usuario raíz o de usuario de IAM.

Para obtener más información acerca de las credenciales de seguridad temporales, consulteCredenciales de seguridad temporales en la Guía del usuario de IAM.

• AWSAccount – la solicitud la realizó otra cuenta de AWS.• AWSService – la solicitud la realizó otra cuenta de AWS que pertenece a un servicio de AWS. Por

ejemplo, AWS Elastic Beanstalk asume un rol de IAM en su cuenta para llamar a otros servicios deAWS en su nombre.

AWSAccount y AWSService aparecen como type en sus archivos de registro cuando se utiliza elacceso entre cuentas mediante un rol de IAM de su propiedad.

Ejemplo: Acceso entre cuentas iniciado por otra cuenta de AWS.

1. Usted tiene un rol de IAM en su cuenta.2. Otra cuenta de AWS cambia a ese rol para asumir el rol de su cuenta.3. Como usted es propietario del rol de IAM, recibe un archivo de registro que muestra la otra cuenta

que asumió el rol. El valor de type es AWSAccount. Para ver una entrada de archivo de registrode ejemplo, consulte Evento API de AWS STS en el archivo de registro de CloudTrail.

Ejemplo: Acceso entre cuentas iniciado por un servicio de AWS

1. Usted tiene un rol de IAM en su cuenta.2. Un cuenta de AWS propiedad de un servicio de AWS asume ese rol.3. Como usted es el propietario del rol de IAM, recibe un archivo de registro que muestra el servicio

de AWS que asumió el rol. El valor de type es AWSService.

userName

El nombre descriptivo de la identidad que realizó la llamada. El valor que aparece en userName sebasa en el valor de type. En la tabla siguiente se muestra la relación entre type y userName:

type userName Descripción

Root (sin alias definido) No presente Si no ha creado un alias para su cuenta AWS, noaparece el campo userName. Para obtener másinformación sobre los alias de cuenta, consulte SuID de cuenta y alias de AWS. Tenga en cuenta queel campo userName no contendrá nunca Rootporque Root es un tipo de identidad, no un nombrede usuario.

Root (con alias definido) El alias de lacuenta

Para obtener más información sobre los alias decuenta de AWS, consulte Su ID de cuenta y alias deAWS.

Version 1.0288

https://docs.aws.amazon.com/IAM/latest/UserGuide/AccountAlias.html


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/delegation-cross-acct-access.html

https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html







type userName Descripción

IAMUser El nombre deusuario delusuario de IAM

AssumedRole No presente Para el tipo AssumedRole, puede encontrar elcampo userName de sessionContext, comoparte del elemento sessionIssuer (p. 290).Para ver una entrada de ejemplo, consulteEjemplos (p. 287).

FederatedUser No presente Las secciones sessionContext y sessionIssuercontienen información sobre la identidad que emitió lasesión para el usuario federado.

AWSService No presente

AWSAccount No presente

Note

El campo userName contiene la cadena HIDDEN_DUE_TO_SECURITY_REASONS cuando elevento registrado es un error de inicio de sesión en la consola causado por un nombre deusuario incorrecto. CloudTrail no registra el contenido en este caso, ya que el texto podríacontener información confidencial, como en los siguientes ejemplos:• Un usuario escribe por error una contraseña en el campo de nombre de usuario.• Un usuario hace clic en el enlace de una página de inicio de sesión de una cuenta de AWS,

pero escribe el número de una cuenta diferente.• Un usuario escribe por error el nombre de una cuenta de correo electrónico personal, un

identificador de inicio de sesión en un banco u otro identificador privado.principalId

Un identificador único para la entidad que ha efectuado la llamada. Para las solicitudes realizadascon credenciales de seguridad temporales, este valor incluye el nombre de la sesión que se pasa a lallamada API AssumeRole, AssumeRoleWithWebIdentity o GetFederationToken.

arn

El nombre de recurso de Amazon (ARN) de la entidad principal que realizó la llamada. La últimasección del arn contiene el usuario o el rol que realizó la llamada.

accountId

La cuenta que posee la entidad que concedió permisos para la solicitud. Si la solicitud se realizó concredenciales de seguridad temporales, esta es la cuenta propiedad de usuario o rol de IAM que seutilizó para obtener las credenciales.

accessKeyId

El ID de clave de acceso que se utilizó para firmar la solicitud. Si la solicitud se realizó concredenciales de seguridad temporales, este es el ID de clave de acceso de las credencialestemporales.

sessionContext

Si la solicitud se realizó con credenciales de seguridad temporales, un elemento que proporcionainformación sobre la sesión que se creó para esas credenciales. Las sesiones se crean cuando sellama a alguna API que devuelve credenciales temporales. Las sesiones también se crean cuando

Version 1.0289


los usuarios trabajan en la consola y cuando los usuarios realizan una solicitud a través de la API queincluyen la autenticación multifactor. Los atributos de este elemento son:• creationDate – la fecha y la hora en que se emitieron las credenciales de seguridad temporales.

(representadas con la notación básica ISO 8601).• mfaAuthenticated – el valor es true si el usuario raíz o el usuario de IAM cuyas credenciales se

han utilizado para la solicitud también se autenticó con un dispositivo MFA; de lo contrario, false.invokedBy

El nombre del servicio de AWS que ha realizado la solicitud, como Amazon EC2 Auto Scaling o AWSElastic Beanstalk.

sessionIssuer

Si la solicitud se realizó con credenciales de seguridad temporales, un elemento que proporcionainformación acerca de cómo se obtuvieron las credenciales. Por ejemplo, si las credenciales deseguridad temporales se obtuvieron asumiendo un rol, este elemento proporciona información acercadel rol asumido. Si las credenciales se obtuvieron con las credenciales de un usuario raíz o un usuariode IAM para llamar a GetFederationToken en AWS STS, el elemento proporciona informaciónsobre la cuenta raíz o el usuario de IAM. Los atributos de este elemento son:• type – el origen de las credenciales de seguridad temporales, como Root, IAMUser o Role.• userName – el nombre descriptivo del usuario o el rol que emitió la sesión. El valor que aparece

depende del valor type de la identidad sessionIssuer. En la tabla siguiente se muestra larelación entre sessionIssuer type y userName:

sessionIssuer type userName Descripción

Root (sin alias definido) No presente Si no ha creado un alias para su cuenta, no apareceel campo userName. Para obtener más informaciónsobre los alias de cuenta de AWS, consulte Su IDde cuenta y alias de AWS. Tenga en cuenta que elcampo userName no contendrá nunca Root porqueRoot es un tipo de identidad, no un nombre deusuario.

Root (con alias definido) El alias de lacuenta

Para obtener más información sobre los alias decuenta de AWS, consulte Su ID de cuenta y alias deAWS.

IAMUser El nombre deusuario delusuario de IAM

Esto también se aplica cuando un usuario federadoutiliza una sesión emitida por IAMUser.

Role El nombre delrol

Un rol asumido por un usuario de IAM, un serviciode AWS o un usuario federado de identidad web enuna sesión de rol.

• principalId – el ID interno de la entidad que se utilizó para obtener las credenciales.• arn – el ARN del origen (cuenta, usuario de IAM o rol) que se utilizó para obtener credenciales de

seguridad temporales.• accountId – la cuenta que posee la entidad que se utilizó para obtener las credenciales.

webIdFederationData

Si la solicitud se realizó con credenciales de seguridad temporales obtenidas por federación deidentidades web, un elemento que muestra información sobre el proveedor de identidad. Los atributosde este elemento son:• federatedProvider – el nombre principal del proveedor de identidad (por ejemplo,www.amazon.com para Login with Amazon o accounts.google.com para Google).

Version 1.0290






https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_oidc.html

AWS CloudTrail Guía del usuarioValores de las API de AWS STS conSAML e Identidades web federadas

• attributes – el ID de aplicación e ID de usuario tal como los indicó el proveedor (por ejemplo,www.amazon.com:app_id y www.amazon.com:user_id para Login with Amazon). Para obtenermás información, consulte Claves disponibles para las identidades web federadas en la Guía delusuario de IAM.

Valores de las API de AWS STS con SAML eIdentidades web federadasAWS CloudTrail admite el registro de llamadas a la API de AWS Security Token Service (AWSSTS) realizadas con el lenguaje de marcado para confirmaciones de seguridad (SAML) y lasIdentidades web federadas. Cuando se realiza una llamada a las API AssumeRoleWithSAML yAssumeRoleWithWebIdentity, CloudTrail registra la llamada y envía el evento a su bucket de AmazonS3.

El elemento userIdentity de estas API contiene los siguientes valores.

type

El tipo de identidad.• SAMLUser – la solicitud se realizó con una aserción SAML.• WebIdentityUser – la solicitud la realizó un proveedor de identidades web federadas.

principalId

Un identificador único para la entidad que ha efectuado la llamada.• Para SAMLUser, este identificador es una combinación de las claves saml:namequalifier ysaml:sub.

• Para WebIdentityUser, es una combinación del emisor, el ID de aplicación y el ID de usuario.userName

El nombre de la identidad que realizó la llamada.• Para SAMLUser, esta es la clave de saml:sub. Consulte Claves disponibles para la federación

basada en SAML.• Para WebIdentityUser, este es el ID de usuario. Consulte Claves disponibles para las

identidades web federadas.

identityProvider

El nombre principal del proveedor de identidad externo. Este campo aparece únicamente para lostipos SAMLUser o WebIdentityUser.• Para SAMLUser, es la clave de saml:namequalifier de la aserción de SAML.• Para WebIdentityUser, es el nombre de emisor del proveedor de federación de identidades web.

Puede ser un proveedor que haya configurado, como los siguientes:• cognito-identity.amazon.com para Amazon Cognito• www.amazon.com para Login with Amazon• accounts.google.com para Google• graph.facebook.com para Facebook

A continuación se incluye un elemento userIdentity de ejemplo para la acciónAssumeRoleWithWebIdentity.

"userIdentity": {

Version 1.0291

https://docs.aws.amazon.com/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#condition-keys-wif

https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html

https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#condition-keys-saml

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#condition-keys-saml

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#condition-keys-wif

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#condition-keys-wif

AWS CloudTrail Guía del usuarioEventos no generados por la API capturados por CloudTrail

"type": "WebIdentityUser", "principalId": "accounts.google.com:application-id.apps.googleusercontent.com:user-id", "userName": "user-id", "identityProvider": "accounts.google.com" }

Para ver archivos de registro de ejemplo de cómo aparece el elemento userIdentity para los tiposSAMLUser y WebIdentityUser, consulte Registro de eventos de IAM con AWS CloudTrail.

Eventos no generados por la API capturados porCloudTrail

Además de registrar llamadas a la API de AWS, CloudTrail captura otros eventos relacionados que podríanafectar a la seguridad o conformidad de su cuenta de AWS o que pueden ayudarle a solucionar problemasoperativos.

Temas• Eventos de servicio de AWS (p. 292)• Eventos de inicio de sesión de la consola de AWS (p. 293)

Eventos de servicio de AWSCloudTrail permite registrar eventos de servicios no generados por la API. Estos eventos se creanmediante los servicios de AWS, pero no se desencadenan directamente por una solicitud a una API públicade AWS. Para estos eventos, el campo eventType tiene el valor AwsServiceEvent.

A continuación, se muestra un escenario de ejemplo de un evento de servicio de AWS que se generacuando una clave administrada por el cliente (CMK) se rota automáticamente en AWS Key ManagementService (AWS KMS). Para obtener más información acerca de la rotación de claves, consulte Rotación declaves maestras de cliente.

{ "eventVersion": "1.05", "userIdentity": { "accountId": "123456789012", "invokedBy": "AWS Internal" }, "eventTime": "2019-06-02T00:06:08Z", "eventSource": "kms.amazonaws.com", "eventName": "RotateKey", "awsRegion": "us-east-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "requestParameters": null, "responseElements": null, "eventID": "234f004b-EXAMPLE", "readOnly": false, "resources": [ { "ARN": "arn:aws:kms:us-east-2:123456789012:key/7944f0ec-EXAMPLE", "accountId": "123456789012", "type": "AWS::KMS::Key" } ], "eventType": "AwsServiceEvent", "recipientAccountId": "123456789012",

Version 1.0292


https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html

AWS CloudTrail Guía del usuarioEventos de inicio de sesión de la consola de AWS

"serviceEventDetails": { "keyId": "7944f0ec-EXAMPLE" }}

Eventos de inicio de sesión de la consola de AWSCloudTrail registra los intentos de iniciar sesión en la consola de administración de AWS, los foros dedebate de AWS y el Centro de AWS Support. Todos los eventos de inicio de sesión de usuarios raíz y deusuarios de IAM, así como todos los eventos de inicio de sesión de usuarios federados, generan archivosde registro de CloudTrail.

Registros de ejemplo de usuarios de IAMEl siguiente registro muestra que una usuaria de IAM (Anaya) ha iniciado sesión correctamente en laConsola de administración de AWS sin usar la autenticación multifactor.

{ "Records":[ { "eventVersion":"1.05", "userIdentity":{ "type":"IAMUser", "principalId":"AIDACKCEVSQ6C2EXAMPLE", "arn":"arn:aws:iam::111122223333:user/anaya", "accountId":"111122223333", "userName":"anaya" }, "eventTime":"2018-08-29T16:24:34Z", "eventSource":"signin.amazonaws.com", "eventName":"ConsoleLogin", "awsRegion":"us-east-2", "sourceIPAddress":"192.0.2.0", "userAgent":"Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:62.0) Gecko/20100101 Firefox/62.0", "requestParameters":null, "responseElements":{ "ConsoleLogin":"Success" }, "additionalEventData":{ "MobileVersion":"No", "LoginTo":"https://console.aws.amazon.com/sns", "MFAUsed":"No" }, "eventID":"3fcfb182-98f8-4744-bd45-10a395ab61cb", "eventType": "AwsConsoleSignin" } ]}

El siguiente registro muestra que una usuaria de IAM (Anaya) inició sesión en la Consola de administraciónde AWS con Multi-Factor Authentication (MFA).

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:user/anaya", "accountId": "111122223333",

Version 1.0293


"userName": "anaya" }, "eventTime": "2018-07-24T18:34:07Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36", "requestParameters": null, "responseElements": { "ConsoleLogin": "Success" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAUsed": "Yes" }, "eventID": "fed06f42-cb12-4764-8c69-121063dc79b9", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333"}

El siguiente registro muestra que un usuario de IAM intentó iniciar sesión, pero no lo consiguió.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "accountId": "111122223333", "accessKeyId": "", "userName": "anaya" }, "eventTime": "2018-07-24T18:32:11Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36", "errorMessage": "Failed authentication", "requestParameters": null, "responseElements": { "ConsoleLogin": "Failure" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAUsed": "Yes" }, "eventID": "d38ce1b3-4575-4cb8-a632-611b8243bfc3", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333"}

A continuación, se muestra que el proceso de inicio registro comprobó si se requería Multi-FactorAuthentication (MFA) para un usuario de IAM durante el inicio de sesión.

{

Version 1.0294


"eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "accountId": "111122223333", "accessKeyId": "", "userName": "anaya" }, "eventTime": "2018-07-24T18:33:45Z", "eventSource": "signin.amazonaws.com", "eventName": "CheckMfa", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36", "requestParameters": null, "responseElements": { "CheckMfa": "Success" }, "additionalEventData": { "MfaType": "U2F MFA" }, "eventID": "f8ef8fc5-e3e8-4ee1-9d52-2f412ddf17e3", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333"}

Registros de ejemplo de usuarios raízA continuación, se muestra un evento de inicio de sesión correcto para un usuario raíz que no usa MFA.

{ "eventVersion": "1.05", "userIdentity": { "type": "Root", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "" }, "eventTime": "2018-08-29T16:24:34Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:62.0) Gecko/20100101 Firefox/62.0", "requestParameters": null, "responseElements": { "ConsoleLogin": "Success" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAUsed": "No" }, "eventID": "deb1e1f9-c99b-4612-8e9f-21f93b5d79c0", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333"}

A continuación, se muestra un evento de inicio de sesión erróneo para un usuario raíz que no usa MFA.

Version 1.0295


{ "eventVersion": "1.05", "userIdentity": { "type": "Root", "principalId": "AIDACKCEVSQ6C2EXAMPLE", "arn": "arn:aws:iam::111122223333:root", "accountId": "111122223333", "accessKeyId": "" }, "eventTime": "2018-08-25T18:10:29Z", "eventSource": "signin.amazonaws.com", "eventName": "ConsoleLogin", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36", "errorMessage": "Failed authentication", "requestParameters": null, "responseElements": { "ConsoleLogin": "Failure" }, "additionalEventData": { "LoginTo": "https://console.aws.amazon.com/console/home?state=hashArgs%23&isauthcode=true", "MobileVersion": "No", "MFAUsed": "No" }, "eventID": "a4fbbe77-91a0-4238-804a-64314184edb6", "eventType": "AwsConsoleSignIn", "recipientAccountId": "111122223333"}

Version 1.0296


Historial de revisiónEn la siguiente tabla se describen los cambios importantes en la documentación para AWS CloudTrail.Para obtener notificaciones sobre las actualizaciones de esta documentación, puede suscribirse a unafuente RSS.

• Versión de la API: 01-11-2013• Actualización de la documentación más reciente: 28 de mayo de 2020

update-history-change update-history-description update-history-date

Se añadió compatibilidad paralos servicios (p. 297)

Esta versión es compatiblecon Amazon Macie. ConsulteServicios e integracionescompatibles con AWS CloudTrail.

May 19, 2020


Esta versión es compatiblecon Amazon Kendra. ConsulteServicios e integracionescompatibles con AWS CloudTrail.

May 13, 2020


Esta versión es compatible conAWS IoT SiteWise. ConsulteServicios e integracionescompatibles con AWS CloudTrail.

April 29, 2020

Se añadió compatibilidad conregiones (p. 297)

Esta versión es compatible conuna región más: Europa (Milán).Consulte Regiones compatiblesde AWS CloudTrail.

April 28, 2020

Servicio y soporte regionalañadidos (p. 297)

Esta versión es compatible conAmazon AppFlow. ConsulteServicios e integracionescompatibles con AWS CloudTrail.También se ha añadido soportepara Región de África (Ciudaddel Cabo). Consulte Regionescompatibles de AWS CloudTrail.

April 22, 2020

Se añadiófuncionalidad (p. 297)

Las acciones de AWS KMS degran volumen como Encrypt,Decrypty GenerateDataKeyse registran ahora como eventosde lectura. Si decide registrartodos los eventos de AWS KMSen su seguimiento, así comolos eventos de administraciónde escritura, el seguimientoregistrará las acciones relevantesde AWS KMS como Disable,Delete y ScheduleKey.

April 7, 2020


Esta versión es compatiblecon Amazon CodeGuru

February 7, 2020

Version 1.0297

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html






https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-supported-regions.html







Reviewer. Consulte Servicios eintegraciones compatibles conAWS CloudTrail.


Esta versión es compatible conel servicio Amazon ManagedApache Cassandra. ConsulteServicios e integracionescompatibles con AWS CloudTrail.

January 17, 2020


Esta versión es compatible conAmazon Connect. ConsulteServicios e integracionescompatibles con AWS CloudTrail.

December 13, 2019

Documentaciónactualizada (p. 297)

Esta actualización es compatiblecon la siguiente versión deparche para la biblioteca deprocesamiento de CloudTrail.Actualice las referencias delarchivo .jar en la guía del usuariopara utilizar la última versión,aws-cloudtrail-processing-library-1.2.0.jar. Para obtenermás información, consulte Usode la biblioteca de procesamientode CloudTrail y Biblioteca deprocesamiento de CloudTrail enGitHub.

November 21, 2019


Esta versión es compatible conAWS CloudTrail Insights y leayuda a detectar actividadesinusuales en su cuenta. ConsulteRegistro de Insights events pararegistros de seguimiento.

November 20, 2019


Esta versión añade una opciónpara filtrar eventos de AWSKey Management Service enun registro de seguimiento.Consulte Creación de un registrode seguimiento.

November 20, 2019


Esta versión es compatiblecon Notificaciones de AWSCodeStar. Consulte Servicios eintegraciones compatibles conAWS CloudTrail.

November 7, 2019


Esta versión admite la adiciónde etiquetas al crear un registroseguimiento en CloudTrail,ya sea utilizando la consolade CloudTrail o la API. Estaversión agrega dos nuevas API,GetTrail y ListTrails.

November 1, 2019

Version 1.0298








https://docs.aws.amazon.com/awscloudtrail/latest/userguide/use-the-cloudtrail-processing-library.html





https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-insights-events-with-cloudtrail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-insights-events-with-cloudtrail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html






Esta versión es compatiblecon AWS App Mesh. ConsulteServicios e integracionescompatibles con AWS CloudTrail.

October 17, 2019


Esta versión es compatible conAmazon Translate. ConsulteServicios e integracionescompatibles con AWS CloudTrail.

October 17, 2019

Actualización de ladocumentación (p. 297)

El tema Unsupported Services(Servicios no compatibles) se harestaurado y actualizado paraincluir únicamente los serviciosde AWS que actualmente noregistran eventos en CloudTrail.Consulte CloudTrail Servicios nocompatibles.

October 7, 2019


La documentación seha actualizado concambios en la política deAWSCloudTrailFullAccess.Se ha actualizado una políticade ejemplo que muestrapermisos equivalentes aAWSCloudTrailFullAccesspara restringir los recursos sobrelos que puede actuar la acciónde iam:PassRole a aquellosque coinciden con la siguientedeclaración de condición:"iam:PassedToService":"cloudtrail.amazonaws.com".Más ejemplos de AWS CloudTrailPolíticas de ejemplo basadas enla identidad.

September 24, 2019


La documentación se haactualizado con un nuevo tema,Administración de los costosde CloudTrail, para ayudarle aobtener los datos de registro quenecesita de CloudTrail sin tenerque superar su presupuesto.

September 3, 2019


Esta versión es compatible conAWS Control Tower. ConsulteServicios e integracionescompatibles con AWS CloudTrail.

August 13, 2019


Esta versión es compatible conuna región más: Medio Oriente(Baréin). Consulte Regionescompatibles de AWS CloudTrail.

July 29, 2019

Version 1.0299





https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-unsupported-aws-services.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-unsupported-aws-services.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/security_iam_id-based-policy-examples.html#grant-custom-permissions-for-cloudtrail-users-full-access



https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trail-manage-costs.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trail-manage-costs.html







La documentación se haactualizado con informaciónsobre seguridad de CloudTrail.Consulte Seguridad en AWSCloudTrail.

July 3, 2019


Esta versión es compatible conAWS Ground Station. ConsulteServicios e integracionescompatibles con AWS CloudTrail.

June 6, 2019


Esta versión es compatible conAWS IoT Things Graph. ConsulteServicios e integracionescompatibles con AWS CloudTrail.

June 4, 2019


Esta versión es compatiblecon Amazon AppStream2.0. Consulte Servicios eintegraciones compatibles conAWS CloudTrail.

April 25, 2019


Esta versión es compatible conuna región más: Asia Pacífico(Hong Kong). Consulte Regionescompatibles de AWS CloudTrail.

April 24, 2019


Esta versión es compatiblecon Amazon Kinesis DataAnalytics. Consulte Servicios eintegraciones compatibles conAWS CloudTrail.

March 22, 2019


Esta versión es compatible conAWS Backup. Consulte Serviciose integraciones compatibles conAWS CloudTrail.

February 4, 2019


Esta versión es compatible conAmazon WorkLink. ConsulteServicios e integracionescompatibles con AWS CloudTrail.

January 23, 2019


Esta versión es compatible conAWS Cloud9. Consulte Serviciose integraciones compatibles conAWS CloudTrail.

January 21, 2019


Esta versión es compatible conAWS Elemental MediaLive.Consulte Servicios eintegraciones compatibles conAWS CloudTrail.

January 19, 2019


Esta versión es compatible conAmazon Comprehend. ConsulteServicios e integracionescompatibles con AWS CloudTrail.

January 18, 2019

Version 1.0300

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/WhatIsCloudTrail-Security.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/WhatIsCloudTrail-Security.html




























Esta versión es compatible conAWS Elemental MediaPackage.Consulte Servicios eintegraciones compatibles conAWS CloudTrail.

December 21, 2018


Esta versión es compatible conuna región más: UE Estocolmo.Consulte Regiones compatiblesde AWS CloudTrail.

December 11, 2018


La documentación se haactualizado con informaciónsobre los servicios compatiblesy no compatibles. ConsulteServicios e integracionescompatibles con AWS CloudTrail.

December 3, 2018


Esta versión es compatible conAWS Resource Access Manager(AWS RAM). Consulte Serviciose integraciones compatibles conAWS CloudTrail.

November 20, 2018

Funcionalidadactualizada (p. 297)

Esta versión admite la creaciónde un registro de seguimientoen CloudTrail que registra loseventos de todas las cuentasde AWS en una organización enAWS Organizations. ConsulteCreación de un registrode seguimiento para unaorganización.

November 19, 2018


Esta versión es compatible conla API de SMS y voz de AmazonPinpoint. Consulte Servicios eintegraciones compatibles conAWS CloudTrail.

November 16, 2018


Esta versión es compatible conAWS IoT Greengrass. ConsulteServicios e integracionescompatibles con AWS CloudTrail.

October 29, 2018


Esta versión admite el uso defiltros adicionales en Eventhistory (Historial de eventos).Consulte Visualización deeventos de CloudTrail en laconsola de CloudTrail.

October 18, 2018

Version 1.0301











https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html








https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events-console.html



AWS CloudTrail Guía del usuarioActualizaciones anteriores

Documentaciónactualizada (p. 297)

Esta actualización es compatiblecon la siguiente versión deparche para la biblioteca deprocesamiento de CloudTrail.Actualice las referencias delarchivo .jar en la guía del usuariopara utilizar la última versión,aws-cloudtrail-processing-library-1.1.3.jar. Para obtenermás información, consulte Usode la biblioteca de procesamientode CloudTrail y Biblioteca deprocesamiento de CloudTrail enGitHub.

October 18, 2018


Esta versión admite el uso deAmazon Virtual Private Cloud(Amazon VPC) para estableceruna conexión privada entre suVPC y AWS CloudTrail. ConsulteUso de AWS CloudTrail con lospuntos de enlace de la VPC detipo interfaz.

August 9, 2018


Esta versión es compatible conAdministrador de ciclo de vidade datos de Amazon. ConsulteServicios e integracionescompatibles con AWS CloudTrail.

July 24, 2018


Esta versión es compatible conAmazon MQ. Consulte Serviciose integraciones compatibles conAWS CloudTrail.

July 19, 2018


Esta versión es compatible conla CLI de AWS Mobile. ConsulteServicios e integracionescompatibles con AWS CloudTrail.

June 29, 2018

Notificación del historial dela documentación de AWSCloudTrail disponible a través deuna fuente RSS (p. 297)

Ahora puede recibirnotificaciones sobre lasactualizaciones de ladocumentación de AWSCloudTrail suscribiéndose a unafuente RSS.

June 29, 2018

Actualizaciones anterioresEn la siguiente tabla se describe el historial de versiones de la documentación de AWS CloudTrailanteriores al 29 de junio de 2018.

Version 1.0302






https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-and-interface-VPC.html











Cambio Descripción Fecha de laversión

Se añadió compatibilidadpara los servicios

Esta versión es compatible con Amazon RDS PerformanceInsights. Para obtener más información, consulte Serviciose integraciones compatibles de CloudTrail.

21 de juniode 2018

Se añadió funcionalidad Esta versión permite registrar todos los eventos deadministración de CloudTrail en el historial de eventos.Para obtener más información, consulte Ver eventos con elhistorial de eventos de CloudTrail (p. 44).

14 de juniode 2018


Esta versión es compatible con AWS Billing and CostManagement. Consulte Servicios e integracionescompatibles con CloudTrail (p. 21).

7 de junio de2018


Esta versión es compatible con Amazon Elastic ContainerService for Kubernetes (Amazon EKS). Consulte Serviciose integraciones compatibles con CloudTrail (p. 21).

5 de junio de2018

Documentación actualizada Esta actualización es compatible con la siguienteversión del parche de la biblioteca de procesamiento deCloudTrail:

• Actualice las referencias al archivo .jar en la guía delusuario para poder utilizar la versión más reciente: aws-cloudtrail-processing-library-1.1.2.jar.

Para obtener más información, consulte Uso de laCloudTrail Processing Library (p. 221) y Biblioteca deprocesamiento de CloudTrail en GitHub.

16 de mayode 2018


Esta versión es compatible con AWS Billing and CostManagement. Consulte Servicios e integracionescompatibles con CloudTrail (p. 21).

7 de junio de2018


Esta versión es compatible con Amazon Elastic ContainerService for Kubernetes (Amazon EKS). Consulte Serviciose integraciones compatibles con CloudTrail (p. 21).

5 de junio de2018

Documentación actualizada Esta actualización es compatible con la siguienteversión del parche de la biblioteca de procesamiento deCloudTrail:

• Actualice las referencias al archivo .jar en la guía delusuario para poder utilizar la versión más reciente: aws-cloudtrail-processing-library-1.1.2.jar.


16 de mayode 2018


Esta versión es compatible con AWS X-Ray.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

25 de abrilde 2018

Version 1.0303










Esta versión es compatible con AWS IoT Analytics.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

23 de abrilde 2018


Esta versión es compatible con Secrets Manager.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

10 de abrilde 2018


Esta versión es compatible con Amazon Rekognition.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

6 de abril de2018


Esta versión es compatible con la entidad de certificaciónprivada (PCA) de AWS. Consulte Servicios e integracionescompatibles con CloudTrail (p. 21).

4 de abril de2018

Se añadió funcionalidad Esta versión facilita la búsqueda en archivos de registrode CloudTrail con Amazon Athena. Puede crear tablasautomáticamente para consultar los registros directamentedesde la consola de CloudTrail y utilizar esas tablaspara ejecutar consultas en Athena. Para obtenermás información, consulte Servicios e integracionescompatibles con CloudTrail (p. 21) y Creación de una tablapara registros de CloudTrail en la consola de CloudTrail.

15 de marzode 2018


Esta versión es compatible con AWS AppSync.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

13 defebrero de2018

Se añadió compatibilidadcon regiones

Esta versión es compatible con una región más: AsiaPacífico (Osaka-local) (ap-noreste-3). Consulte Regionesadmitidas de CloudTrail (p. 13).

12 defebrero de2018


Esta versión es compatible con AWS Shield.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

12 defebrero de2018


Esta versión es compatible con Amazon SageMaker.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

11 de enerode 2018


Esta versión es compatible con AWS Batch.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

10 de enerode 2018

Se añadió funcionalidad Esta versión permite ampliar la cantidad de actividad dela cuenta que está disponible en el historial de eventosde CloudTrail a 90 días. También puede personalizar lavisualización de las columnas para ver mejor los eventosde CloudTrail. Para obtener más información, consulte Vereventos con el historial de eventos de CloudTrail (p. 44).

12 dediciembre de2017


Esta versión es compatible con Amazon WorkMail.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).


Version 1.0304






Esta versión es compatible con Alexa for Business, AWSElemental MediaConvert y AWS Elemental MediaStore.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).


Se añadió funcionalidad ydocumentación

Esta versión admite el registro de eventos de datos parafunciones de AWS Lambda.

Para obtener más información, consulte Registro deeventos de datos para registros de seguimiento (p. 121).

30 denoviembrede 2017


Esta versión admite el registro de eventos de datos parafunciones de AWS Lambda.

Para obtener más información, consulte Registro deeventos de datos para registros de seguimiento (p. 121).



Esta versión admite las siguientes actualizaciones de labiblioteca de procesamiento de CloudTrail:

• Añade compatibilidad con la identificación mediantevalores booleanos de eventos de administración.

• Actualice la versión de eventos de CloudTrail a 1.06.




Esta versión es compatible con AWS Glue.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).


Nueva documentación Esta versión añade un nuevo tema: Límites en AWSCloudTrail (p. 33).

19 deoctubre de2017

Documentación actualizada Esta versión es una actualización de la documentaciónsobre las API compatibles con el historial de eventos deCloudTrail para Amazon Athena, AWS CodeBuild, AmazonEC2 Container Registry y AWS Migration Hub.

13 deoctubre de2017


Esta versión es compatible con Amazon Chime.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

27 deseptiembrede 2017


Esta versión permite configurar el registro de eventos dedatos para todos los buckets de Amazon S3 incluidos ensu cuenta de AWS. Consulte Registro de eventos de datospara registros de seguimiento (p. 121).



Esta versión es compatible con Amazon Lex.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

15 de agostode 2017

Version 1.0305






Esta versión admite AWS Migration Hub. ConsulteServicios e integraciones compatibles conCloudTrail (p. 21).

14 de agostode 2017


Esta versión admite que se active CloudTrail de formapredeterminada para todas las cuentas de AWS. Losúltimos siete días de actividad de la cuenta estándisponibles en el historial de eventos CloudTrail y loseventos más recientes aparecen en el panel de la consola.La característica anteriormente conocido como el historialde la actividad de la API se ha reemplazado por el historialde eventos.

Para obtener más información, consulte Funcionamientode CloudTrail (p. 1).

14 de agostode 2017


Esta versión admite las descarga de eventos desdela consola la CloudTrail en la página de historial de laactividad de la API. Puede descargar eventos en formatoJSON o CSV.

Para obtener más información, consulte Descarga deeventos (p. 48).

27 de juliode 2017

Se añadió funcionalidad Esta versión admite el registro de las operaciones de laAPI en el nivel de objeto de Amazon S3 en dos regionesadicionales Europa (Londres) y Canadá (Central).

Para obtener más información, consulte Uso de archivosde registro de CloudTrail (p. 114).

19 de juliode 2017


Esta versión es compatible con las búsquedas de las APIpara Amazon CloudWatch Events en la función de historialde actividad de API de CloudTrail.

27 de juniode 2017


Esta versión es compatible con las API adicionales de lafunción de historial de actividad de la API de CloudTrailpara estos servicios:

• AWS CloudHSM• Amazon Cognito• Amazon DynamoDB• Amazon EC2• Kinesis• AWS Storage Gateway

27 de juniode 2017


Esta versión es compatible con AWS CodeStar.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

14 de juniode 2017

Version 1.0306




Esta versión admite las siguientes actualizaciones de labiblioteca de procesamiento de CloudTrail:

• Añade compatibilidad con diferentes formatos demensajes SQS de la misma cola SQS para identificarlos archivos de registro de CloudTrail. Se admiten lossiguientes formatos:• Notificaciones que CloudTrail envía a un tema de SNS• Notificaciones que Amazon S3 envía a un tema de

SNS• Notificaciones que Amazon S3 envía directamente a

una cola SQS• Añade compatibilidad con ladeleteMessageUponFailure propiedad, que sepuede utilizar para eliminar mensajes que no se puedenprocesar.


1 de junio de2017


Esta versión es compatible con Amazon Athena.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

19 de mayode 2017

Se añadió funcionalidad Esta versión es compatible con el envío de eventos dedatos a Amazon CloudWatch Logs.

Para obtener más información sobre cómo configurar elregistro de seguimiento para registrar eventos de datos,consulte Eventos de datos (p. 121).

Para obtener más información sobre cómo enviar eventosa CloudWatch Logs, consulte Monitoreo de archivosde registro de CloudTrail con Amazon CloudWatchLogs (p. 134).

9 de mayode 2017


Esta versión es compatible con el servicio de mediciónde AWS Marketplace. Consulte Servicios e integracionescompatibles con CloudTrail (p. 21).

2 de mayode 2017


Esta versión es compatible con Amazon QuickSight.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

28 de abrilde 2017


Esta versión permite usar la consola actualizada paracrear registros de seguimiento nuevos. A partir de ahorapuede configurar registros de seguimiento nuevos pararegistrar eventos de administración y de datos. Paraobtener más información, consulte Creación de un registrode seguimiento (p. 69).

11 de abrilde 2017

Version 1.0307





Se añadió documentación Si CloudTrail no envía registros al bucket de S3 ninotificaciones de SNS desde algunas regiones en sucuenta, es posible que deba actualizar las políticas.

Para obtener más información sobre cómo actualizar lapolítica del bucket de S3, consulte Errores comunes deconfiguración de la política de S3 (p. 252).

Para obtener más información sobre cómo actualizar lapolítica de temas de SNS, consulte Errores comunes deconfiguración de la política de SNS (p. 255).

31 de marzode 2017


Esta versión es compatible con AWS Organizations.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

27 defebrero de2017


Esta versión permite usar la consola actualizada paraconfigurar registros de seguimiento para registrareventos de administración y de datos. Para obtener másinformación, consulte Uso de archivos de registro deCloudTrail (p. 114).

10 defebrero de2017


Esta versión es compatible con Amazon Cloud Directory.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

26 de enerode 2017


Esta versión es compatible con las búsquedas de lasAPI para AWS CodeCommit, Amazon GameLift y AWSManaged Services en el historial de actividad de API deCloudTrail.

26 de enerode 2017

Se añadió funcionalidad Esta versión admite la integración con AWS PersonalHealth Dashboard.Puede utilizar Personal Health Dashboard para identificarsi los registros de seguimiento no pueden enviar registrosa temas de SNS o buckets de S3. Esto podría ocurrir sihay problemas con la política para el bucket de S3 o eltema de SNS. Personal Health Dashboard informa sobrelos registros de seguimiento afectados y sugiere métodospara corregir la política.

Para obtener más información, consulte Guía del usuariode AWS Health.

24 de enerode 2017


Esta versión permite filtrar por origen de evento en laconsola de CloudTrail. El origen del evento muestra elservicio AWS al que se emitió la solicitud.

Para obtener más información, consulte Visualización deeventos de CloudTrail en la consola de CloudTrail (p. 45).

12 de enerode 2017


Esta versión es compatible con AWS CodeCommit.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

11 de enerode 2017

Version 1.0308

https://docs.aws.amazon.com/health/latest/ug/

https://docs.aws.amazon.com/health/latest/ug/




Esta versión es compatible con Amazon Lightsail.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).



Esta versión es compatible con AWS Managed Services.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).



Esta versión es compatible con Región de Europa(Londres). Consulte Regiones admitidas deCloudTrail (p. 13).



Esta versión es compatible con Región Canadá (Central).Consulte Regiones admitidas de CloudTrail (p. 13).



Esta versión es compatible con AWS CodeBuild(consulte Servicios e integraciones compatibles conCloudTrail (p. 21)).

Esta versión es compatible con AWS Health.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

Esta versión es compatible con AWS Step Functions.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).



Esta versión es compatible con Amazon Polly.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).



Esta versión es compatible con AWS OpsWorks for ChefAutomate. Consulte Servicios e integraciones compatiblescon CloudTrail (p. 21).



Esta versión permite configurar el registro de seguimientopara registrar eventos de solo lectura, solo escritura otodos los eventos.

CloudTrail permite que se registren operaciones de APIen el nivel de objetos de Amazon S3 como, por ejemplo,GetObject, PutObjecty DeleteObject. Puedeconfigurar los registros de seguimiento para registraroperaciones de API de nivel de objeto.

Para obtener más información, consulte Uso de archivosde registro de CloudTrail (p. 114).



Esta versión admite más valores para el campo type en elelemento userIdentity: AWSAccount y AWSService.Para obtener más información, consulte Campos (p. 287)para userIdentity.


Version 1.0309




Esta versión es compatible con AWS Server MigrationService. Consulte Servicios e integraciones compatiblescon CloudTrail (p. 21).



Esta versión es compatible con Auto Scaling deaplicaciones. Consulte Servicios e integracionescompatibles con CloudTrail (p. 21).

31 deoctubre de2016


Esta versión es compatible con Región EE.UU Este (Ohio).Consulte Regiones admitidas de CloudTrail (p. 13).

17 deoctubre de2016


Esta versión permite registrar eventos de serviciosde AWS no generados por la API. Para obtenermás información, consulte Eventos de servicio deAWS (p. 292).



Esta versión permite usar la consola de CloudTrail paraver los tipos de recursos que admite AWS Config. Paraobtener más información, consulte Ver recursos a los quese hace referencia con AWS Config (p. 48).

7 de julio de2016


Esta versión es compatible con AWS Service Catalog.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

6 de julio de2016


Esta versión es compatible con Amazon Elastic FileSystem (Amazon EFS). Consulte Servicios e integracionescompatibles con CloudTrail (p. 21).

28 de juniode 2016


Esta versión admite una región más: ap-south-1 (AsiaPacífico (Mumbai)). Consulte Regiones admitidas deCloudTrail (p. 13).

27 de juniode 2016


Esta versión es compatible con AWS Application DiscoveryService. Consulte Servicios e integraciones compatiblescon CloudTrail (p. 21).

12 de mayode 2016


Esta versión es compatible con CloudWatch Logs en laregión América del Sur (São Paulo). Para obtener másinformación, consulte Monitoreo de archivos de registro deCloudTrail con Amazon CloudWatch Logs (p. 134).

6 de mayode 2016


Esta versión es compatible con AWS WAF.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

28 de abrilde 2016


Esta versión es compatible con AWS Support.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

21 de abrilde 2016


Esta versión es compatible con Amazon Inspector.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

20 de abrilde 2016

Version 1.0310




Esta versión es compatible con AWS IoT. ConsulteServicios e integraciones compatibles conCloudTrail (p. 21).

11 de abrilde 2016


Esta versión permite registrar llamadas a la API de AWSSecurity Token Service (AWS STS) realizadas con ellenguaje de marcado para confirmaciones de seguridad(SAML) e identidad federada web. Para obtener másinformación, consulte Valores de las API de AWS STS conSAML e Identidades web federadas (p. 291).

28 de marzode 2016


Esta versión es compatible con AWS Certificate Manager.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

25 de marzode 2016


Esta versión es compatible con Amazon Kinesis DataFirehose. Consulte Servicios e integraciones compatiblescon CloudTrail (p. 21).

17 de marzode 2016


Esta versión es compatible con Amazon CloudWatchLogs. Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

10 de marzode 2016


Esta versión es compatible con Amazon Cognito.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

18 defebrero de2016


Esta versión es compatible con AWS Database MigrationService. Consulte Servicios e integraciones compatiblescon CloudTrail (p. 21).

4 de febrerode 2016


Esta versión es compatible con Amazon GameLift(GameLift). Consulte Servicios e integraciones compatiblescon CloudTrail (p. 21).

27 de enerode 2016


Esta versión es compatible con Amazon CloudWatchEvents. Consulte Servicios e integraciones compatiblescon CloudTrail (p. 21).

16 de enerode 2016


Esta versión es compatible con una región más: ap-noreste-2 (Asia Pacífico (Seúl)). Consulte Regionesadmitidas de CloudTrail (p. 13).

6 de enerode 2016


Esta versión es compatible con Amazon EC2 ContainerRegistry (Amazon ECR). Consulte Servicios eintegraciones compatibles con CloudTrail (p. 21).



Esta versión permite activar CloudTrail en todas lasregiones y múltiples registros de seguimiento por región.Para obtener más información, consulte ¿Cómo secomporta CloudTrail a nivel regional y global? (p. 10).



Esta versión es compatible con Amazon Machine Learning.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).


Version 1.0311




Esta versión es compatible con el cifrado de los archivosde registro, la validación de la integridad de los archivosde registro y el etiquetado. Para obtener más información,consulte Cifrado de archivos de registro de CloudTrail conclaves administradas de AWS KMS (SSE-KMS) (p. 265),Validación de la integridad de los archivos de registrode CloudTrail (p. 200) y Actualización de un registro deseguimiento (p. 74).

1 de octubrede 2015


Esta versión es compatible con Amazon ElasticsearchService. Consulte Servicios e integraciones compatiblescon CloudTrail (p. 21).

1 de octubrede 2015


Esta versión admite eventos en nivel de bucket de AmazonS3. Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).



Esta versión es compatible con AWS Device Farm.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

13 de juliode 2015


Esta versión es compatible con Amazon API Gateway.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

9 de julio de2015


Esta versión es compatible con CodePipeline.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

9 de julio de2015


Esta versión es compatible con Amazon DynamoDB.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

28 de mayode 2015


Esta versión es compatible con CloudWatch Logs enla región EE.UU. Oeste (Norte de California). Consultelas Notas de la versión de CloudTrail. Para obtenermás información sobre la compatibilidad de CloudTrailcon supervisión mediante CloudWatch Logs consulteMonitoreo de archivos de registro de CloudTrail conAmazon CloudWatch Logs (p. 134).

19 de mayode 2015


Esta versión es compatible con AWS Directory Service.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

14 de mayode 2015


Esta versión es compatible con Amazon Simple EmailService (Amazon SES). Consulte Servicios e integracionescompatibles con CloudTrail (p. 21).

7 de mayode 2015


Esta versión es compatible con Amazon Elastic ContainerService (consulte Servicios e integraciones compatiblescon CloudTrail (p. 21)).

9 de abril de2015


Esta versión es compatible con AWS Lambda.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

9 de abril de2015

Version 1.0312

https://aws.amazon.com/releasenotes/AWS-CloudTrail/2111879456744216




Esta versión es compatible con Amazon WorkSpaces.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

9 de abril de2015

Esta versión permite buscar actividades de AWS quehaya detectado CloudTrail (eventos de CloudTrail). Puedebuscar y filtrar eventos en su cuenta relacionados conactividades de creación, modificación o eliminación.Para buscar estos eventos, puede utilizar la consola deCloudTrail, la AWS Command Line Interface (AWS CLI)o AWS SDK. Para obtener más información, consulte Vereventos con el historial de eventos de CloudTrail (p. 44).

12 de marzode 2015

Se añadió compatibilidadcon servicios ydocumentación nueva

Esta versión es compatible con Amazon CloudWatch Logsen las regiones Asia Pacífico (Singapur), Asia Pacífico(Sídney), Asia Pacífico (Tokio) y Europa (Fráncfort). Seañadieron otros ejemplos de alarma de CloudWatch altema sobre creación de alarmas de CloudWatch paraeventos de CloudTrail y una página nueva sobre el uso deuna plantilla de AWS CloudFormation para crear alarmasde CloudWatch.

5 de marzode 2015

Se añadió compatibilidadcon la API

Esta versión compatible con Amazon EC2 SystemsManager (SSM) SSM le permite configurar, gestionar eimplementar fácilmente configuraciones de instancia deWindows personalizadas. Para obtener más informaciónsobre SSM, consulte el tema sobre administraciónde la configuración de instancias de Windows. Paraobtener información sobre las llamadas a la API de SSMregistradas por CloudTrail, consulte el tema sobre registrode llamadas a la API de SSM mediante AWS CloudTrail.

17 defebrero de2015

Nueva documentación Se añadió una nueva sección que describe lacompatibilidad de CloudTrail con los puntos de enlaceregionales de AWS Security Token Service (AWS STS) ala página sobre conceptos de CloudTrail.

17 defebrero de2015


Esta versión es compatible con Amazon Route 53.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

11 defebrero de2015


Esta versión es compatible con AWS Config.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

10 defebrero de2015


Esta versión es compatible con AWS CloudHSM.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

8 de enerode 2015


Esta versión es compatible con AWS CodeDeploy.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).


Version 1.0313

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudwatch-alarms-for-cloudtrail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudwatch-alarms-for-cloudtrail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/use-cloudformation-template-to-create-cloudwatch-alarms.html



https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-configuration-manage.html

https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/ec2-configuration-manage.html



https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-concepts.html




Esta versión es compatible con AWS Storage Gateway.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).



Esta versión es compatible con una región más: us-gov-west-1 (AWS GovCloud (US-West)). Consulte Regionesadmitidas de CloudTrail (p. 13).



Esta versión es compatible con Amazon S3 Glacier.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).



Esta versión es compatible con AWS Data Pipeline.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).



Esta versión es compatible con AWS Key ManagementService. Consulte Servicios e integraciones compatiblescon CloudTrail (p. 21).


Nueva documentación Se añadió la sección nueva Monitoreo de archivosde registro de CloudTrail con Amazon CloudWatchLogs (p. 134) a la guía. Describe cómo utilizar AmazonCloudWatch Logs para supervisar los eventos de registrode CloudTrail.


Nueva documentación Se añadió la sección nueva Uso de la CloudTrailProcessing Library (p. 221) a la guía. Proporcionainformación sobre cómo escribir un procesador deregistros de CloudTrail en Java mediante la biblioteca deprocesamiento de AWS CloudTrail.



Esta versión es compatible con Amazon ElasticTranscoder. Consulte Servicios e integracionescompatibles con CloudTrail (p. 21).

27 deoctubre de2014


Esta versión es compatible con una región más: eu-central-1 (Europa (Fráncfort)). Consulte Regionesadmitidas de CloudTrail (p. 13).

23 deoctubre de2014


Esta versión es compatible con Amazon CloudSearch.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

16 deoctubre de2014


Esta versión es compatible con Amazon SimpleNotification Service. Consulte Servicios e integracionescompatibles con CloudTrail (p. 21).

09 deoctubre de2014


Esta versión es compatible con Amazon ElastiCache.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).



Esta versión es compatible con Amazon WorkDocs.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

27 de agostode 2014

Version 1.0314



Se añadió contenido nuevo Esta versión incluye un tema que trata sobre el registro deeventos de inicio de sesión. Consulte Eventos de inicio desesión de la consola de AWS (p. 293).

24 de juliode 2014

Se añadió contenido nuevo El elemento eventVersion de esta versión se haactualizado a la versión 1.02 y se han añadido tresnuevos campos. Consulte Contenido de los registros deCloudTrail (p. 279).

18 de juliode 2014


Esta versión es compatible con Auto Scaling(consulte Servicios e integraciones compatibles conCloudTrail (p. 21)).

17 de juliode 2014


Esta versión admite tres regiones más: ap-southeast-1(Asia Pacífico (Singapur)), ap-noreste-1 (Asia Pacífico(Tokio)), sa-east-1 (América del Sur (São Paulo)). ConsulteRegiones admitidas de CloudTrail (p. 13).

30 de juniode 2014

Compatibilidad adicionalcon servicio

Esta versión es compatible con Amazon Redshift.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

10 de juniode 2014


Esta versión es compatible con AWS OpsWorks.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

5 de junio de2014


Esta versión es compatible con Amazon CloudFront.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

28 de mayode 2014


Esta versión admite tres regiones más: us-west-1 (EE.UU.Oeste (Norte de California)), eu-west-1 (Europa (Irlanda)),ap-southeast-2 (Asia Pacífico (Sídney)). ConsulteRegiones admitidas de CloudTrail (p. 13).

13 de mayode 2014


Esta versión es compatible con Amazon Simple WorkflowService. Consulte Servicios e integraciones compatiblescon CloudTrail (p. 21).

9 de mayode 2014

Se añadió contenido nuevo Esta versión incluye temas sobre el uso compartido dearchivos de registro entre cuentas. Consulte Comparticiónde archivos de registro de CloudTrail entre cuentas deAWS (p. 191).

2 de mayode 2014


Esta versión es compatible con Amazon CloudWatch.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

28 de abrilde 2014


Esta versión es compatible con Amazon Kinesis.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

22 de abrilde 2014


Esta versión es compatible con AWS Direct Connect.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

11 de abrilde 2014

Version 1.0315




Esta versión es compatible con Amazon EMR.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

4 de abril de2014


Esta versión es compatible con Elastic Beanstalk.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

2 de abril de2014

Compatibilidad adicionalcon servicio

Esta versión es compatible con AWS CloudFormation.Consulte Servicios e integraciones compatibles conCloudTrail (p. 21).

7 de marzode 2014

Nueva guía Esta versión incorpora AWS CloudTrail. 13 denoviembrede 2013

Version 1.0316


AWS glossaryFor the latest AWS terminology, see the AWS glossary in the AWS General Reference.

Version 1.0317

https://docs.aws.amazon.com/general/latest/gr/glos-chap.html

Documents

AWS CloudTrail - Guía del usuario · AWS CloudTrail Guía del usuario Funcionamiento de CloudTrail Un registro de seguimiento aplicable a todas las regiones Cuando se crea un registro