Centralización de registros entre cuentas y regiones - Amazon CloudWatch Logs
Conceptos de centralización de datosConfiguración de la centralización de registrosCentralización de la supervisión

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Centralización de registros entre cuentas y regiones

La centralización de datos de Amazon CloudWatch Logs AWS Organizations permite recopilar datos de registro de varias cuentas de miembros en un repositorio de datos mediante reglas de centralización entre cuentas y regiones. Usted define las reglas que replican automáticamente los datos de registro de varias cuentas y los colocan Regiones de AWS en una cuenta centralizada dentro de su organización. Esta capacidad optimiza la consolidación de registros para mejorar la supervisión, el análisis y el cumplimiento centralizados en toda la AWS infraestructura.

CloudWatch La centralización de los datos de los registros ofrece flexibilidad de configuración para cumplir con los requisitos operativos y de seguridad, como la posibilidad de configurar una región de respaldo durante la configuración de las reglas en la cuenta de destino para garantizar una mayor resiliencia. Además, tiene pleno control sobre el comportamiento de cifrado de los grupos de registros copiados de las cuentas de origen para gestionar los datos originalmente cifrados con claves KMS administradas por el cliente.

Conceptos de centralización de datos

Antes de empezar a utilizar la centralización de datos de CloudWatch Logs, familiarícese con los siguientes conceptos:

Regla de centralización

Configuración que define cómo se replican los datos de registro de las cuentas y regiones de origen en una cuenta y región de destino. Las reglas especifican los criterios de origen y la configuración de destino.

Cuenta de origen

La AWS cuenta en la que se originan los datos de registro. Los eventos de registro de las cuentas de origen se replican en la cuenta de destino en función de las reglas de centralización que defina.

Cuenta de destino

La AWS cuenta de destino en la que se almacenan los datos de registro replicados. Esta cuenta sirve como ubicación centralizada para el análisis y la supervisión de los registros.

Región de Backup

Una región secundaria opcional dentro de la cuenta de destino donde se pueden replicar los datos de registro para aumentar la resiliencia y la recuperación ante desastres.

Cifrado en los registros CloudWatch

Los datos de los grupos de registros siempre se cifran en CloudWatch los registros. De forma predeterminada, CloudWatch Logs utiliza el cifrado del lado del servidor con el Galois/Counter modo estándar de cifrado avanzado (AES-GCM) de 256 bits para cifrar los datos de registro en reposo. Como alternativa, puede usar el Servicio de administración de claves para este cifrado. AWS Si lo hace, el cifrado se realiza mediante una clave KMS AWS propia o una clave KMS administrada por el cliente. El cifrado de claves de AWS KMS mediante KMS se habilita a nivel de grupo de registros, mediante la asociación de una clave de KMS a un grupo de registros, ya sea al crear el grupo de registros o después de su existencia. Después de asociar una clave de KMS con un grupo de registro, todos los datos ingeridos recientemente para el grupo de registro se cifran mediante la clave. Estos datos se almacenan en formato cifrado durante todo el período de retención. CloudWatch Logs descifra estos datos siempre que se solicitan. CloudWatch Los registros deben tener permisos para la clave KMS siempre que se soliciten datos cifrados, por ejemplo, cuando se ejecuta una regla de centralización de registros en una cuenta de origen. Si utiliza claves de KMS administradas por el cliente, actualice las claves de KMS asociadas a los grupos de registros de origen y destino con la etiquetaLogsManaged = true. Para obtener más información, consulte las claves AWS KMS en la Guía AWS para desarrolladores del Servicio de administración de claves

Configuración de la centralización de registros

Para configurar la centralización de CloudWatch registros, debe configurar reglas de centralización que definan cómo fluyen los datos de registro desde los grupos de registros de las cuentas de origen a los grupos de registros de su cuenta de destino.

Una vez que la regla de centralización esté habilitada y los eventos de registro se estén replicando en la cuenta de destino, puede crear filtros de métricas, suscripciones y cuentas en los grupos de registros centralizados con capacidades de filtrado mejoradas. Estos filtros pueden centrarse en eventos de registro de cuentas y regiones de origen específicas, y pueden emitir información de cuentas y regiones de origen como dimensiones métricas. Para obtener más información, consulte Creación de métricas a partir de eventos de registro mediante filtros.

Requisitos previos

  • AWS Organizations deben estar configurados y las cuentas de origen y destino deben pertenecer a la organización.

  • El acceso confiable debe estar habilitado para la cuenta de administración y la cuenta de destino CloudWatch, por lo que debe proporcionarse acceso a los datos de registro.

Crear una regla de centralización

Utilice el siguiente procedimiento para crear una regla de centralización que replique los datos de registro de las cuentas de origen a la cuenta de destino.

Para crear una regla de centralización

  1. Navegue hasta la CloudWatch consola de la cuenta de administración o administrador delegado de la organización.

  2. Elija Configuración.

  3. Navegue a la pestaña Organización.

  4. Selecciona Configurar regla.

  5. Especifique los detalles de la fuente configurando los siguientes campos y, a continuación, seleccione Siguiente:

    1. Nombre de la regla de centralización: introduzca un nombre exclusivo para la regla de centralización.

    2. Cuentas de origen: defina los criterios de selección de fuentes para seleccionar las cuentas a partir de las cuales se centralizarán los datos de telemetría. Los criterios de selección pueden incluir:

      • Una lista de las cuentas de los miembros de la organización

      • Una lista de las unidades organizativas de la organización

      • Toda la organización

      Puede proporcionar los criterios de selección de dos modos:

      • Builder: una experiencia basada en clics para generar los criterios de selección de la fuente

      • Editor: un cuadro de texto de formato libre para proporcionar los criterios de selección de la fuente

      Sintaxis admitida para los criterios de selección de fuentes:

      • Claves compatibles: OrganizationId | OrganizationUnitId | AccountId | *

      • Operadores compatibles: = | IN | OR

    3. Regiones de origen: seleccione una lista de regiones para buscar los datos de telemetría que desee centralizar.

  6. Especifique los detalles del destino configurando los siguientes campos y, a continuación, seleccione Siguiente:

    1. Cuenta de destino: seleccione una cuenta de la organización que sirva de destino central para los datos de telemetría.

    2. Región de destino: seleccione una región principal que almacene una copia de los datos de telemetría centralizados.

    3. Región de Backup: si lo desea, seleccione una región que almacene una segunda copia de los datos de telemetría centralizados.

  7. Especifique los datos de telemetría configurando los siguientes campos y, a continuación, seleccione Siguiente:

    1. Grupos de registros: elija una de las siguientes opciones:

      • Todos los grupos de registros: centralice los registros de todos los grupos de registros de las cuentas de origen.

      • Filtrar grupo de registros: centralice los registros de un subconjunto de grupos de registros en las cuentas de origen, según los criterios de selección de un grupo de registros. Puede proporcionar los criterios de selección de dos modos:

        • Generador: una experiencia basada en clics para generar los criterios de selección del grupo de registros

        • Editor: un cuadro de texto de formato libre para proporcionar los criterios de selección del grupo de registros

        Sintaxis admitida para los criterios de selección de grupos de registros:

        • Claves compatibles: LogGroupName | *

        • Operadores compatibles: = |! = | EN | NO EN | Y | O | ME GUSTA | NO ME GUSTA

    2. Grupo de registros cifrados de KMS

      importante

      CloudWatch Las reglas de centralización no podrán entregar los registros de la cuenta de origen a los grupos de registros de destino si la clave de KMS proporcionada en la regla de centralización no permite que CloudWatch Logs la utilice. Para obtener más información, consulte Paso 2: establecer permisos en la clave de KMS.

      Seleccione una de las siguientes opciones:

      • No centralice los grupos de registros cifrados con claves de KMS administradas por el cliente: evite la centralización de los eventos de registro de los grupos de registros de origen cifrados con claves de KMS administradas por el cliente.

      • Centralice los grupos de registros cifrados con claves KMS administradas por el cliente en la cuenta de destino con una clave KMS AWS administrada: centralice los eventos de registro de los grupos de registro de origen cifrados con claves KMS administradas por el cliente en grupos de registro de destino que no estén asociados a las claves KMS administradas por el cliente, sino que utilicen una AWS clave KMS administrada.

        Cuando se selecciona esta configuración, también debe establecer lo siguiente:

        • Clave de cifrado de destino ARN: ARN de la clave KMS que pertenece a la cuenta de destino y a la región de destino principal, que se asociará a los grupos de registros de destino recién creados.

        • ARN de la clave de cifrado del destino de la copia de seguridad (opcional): ARN de la clave KMS que pertenece a la cuenta de destino y a la región de destino de la copia de seguridad, que se asociará a los grupos de registros de destino recién creados.

        nota

        Tenga en cuenta que esta configuración solo se aplica cuando el grupo de registros de origen se cifra con claves KMS administradas por el cliente y solo se aplica a los grupos de registros recién creados en la cuenta de destino.

  8. Revise la regla de centralización, si lo desea, realice las modificaciones de última hora y elija Crear política de centralización.

Modificar una regla de centralización

Utilice el siguiente procedimiento para modificar una regla de centralización existente.

Para modificar una regla de centralización

  1. Navegue hasta la CloudWatch consola de la cuenta de administración o administrador delegado de la organización.

  2. Elija Configuración.

  3. Navegue a la pestaña Organización.

  4. Selecciona Administrar reglas.

  5. Seleccione la regla que desee actualizar y pulse Editar.

  6. Actualice la configuración de la regla según sea necesario y seleccione Siguiente para continuar con cada paso.

  7. En el paso 4, Revisar y configurar, elija Actualizar la política de centralización.

Visualización de una regla de centralización

Utilice el siguiente procedimiento para ver los detalles de una regla de centralización existente.

Para ver una regla de centralización

  1. Navegue hasta la CloudWatch consola de la cuenta de administración o administrador delegado de la organización.

  2. Elija Configuración.

  3. Navegue a la pestaña Organización.

  4. Selecciona Administrar reglas.

  5. Vea una lista de todas las reglas de centralización existentes y elija un nombre de regla específico para ver sus detalles.

Eliminar una regla de centralización

Utilice el siguiente procedimiento para eliminar una regla de centralización existente.

Para eliminar una regla de centralización

  1. Navegue hasta la CloudWatch consola de la cuenta de administración o administrador delegado de la organización.

  2. Elija Configuración.

  3. Navegue a la pestaña Organización.

  4. Selecciona Administrar reglas.

  5. Seleccione la regla que desee eliminar y elija Eliminar.

  6. Confirme la eliminación y elija Eliminar.

Centralización de la supervisión

Puede supervisar el estado y el rendimiento de las reglas de centralización mediante CloudWatch métricas, la consola de CloudWatch registros y AWS CloudTrail los registros. Esto le ayuda a garantizar que los datos de registro se replican correctamente y a identificar cualquier problema con la configuración de centralización.

Supervisión de la centralización en la consola

Utilice la consola de CloudWatch registros para ver el estado y la actividad de sus reglas de centralización.

Para supervisar las reglas de centralización en la consola

  1. Navegue hasta la CloudWatch consola de la cuenta de administración o administrador delegado de la organización.

  2. Elija Configuración.

  3. Navegue a la pestaña Organización.

  4. Selecciona Administrar reglas.

  5. Revise la lista de reglas de centralización, que muestra:

    • Nombre de la regla: el nombre de cada regla de centralización

    • Estado de la regla: estado operativo actual (activo, inactivo, error)

    • Fecha de creación: cuando se creó la regla

    • ID de cuenta de destino: el ID de cuenta de la cuenta de destino

    • Región de destino: la región de la cuenta de destino

  6. Elija un nombre de regla específico para ver los detalles de la configuración de la regla

Supervisión de la centralización

Puede supervisar las reglas de centralización mediante la interfaz de la consola y las operaciones de la API.

Las capacidades de monitoreo actuales incluyen:

  • Estado de salud de las reglas: supervise el estado general de las reglas de centralización a través de la consola o GetCentralizationRuleForOrganization la API

  • Configuración de las reglas: revise la configuración de las reglas y las marcas de tiempo de la última actualización

  • Motivos del error: consulte la información detallada sobre los errores cuando las reglas estén marcadas como insalubres

  • Actividad de la API: rastrea las llamadas a la API de centralización a través CloudTrail de los registros

Supervisión del estado de las reglas

Cada regla de centralización tiene un estado de salud que indica si funciona correctamente. Puede comprobar el estado de las reglas a través de la consola o mediante programación mediante la API.

Los estados de estado de las reglas incluyen:

  • HEALTHY: La regla funciona con normalidad y replica los datos de registro según lo configurado

  • UNHEALTHY: La regla ha detectado problemas y es posible que no esté replicando los datos correctamente

  • PROVISIONING: La centralización de la organización está en proceso de creación.

Cuando una regla se marca como NO SALUDABLE, el FailureReason campo proporciona detalles sobre el problema específico que debe abordarse.

Supervise las llamadas a la API de centralización con AWS CloudTrail

AWS CloudTrail registra las llamadas a la API realizadas al servicio de centralización, lo que le permite realizar un seguimiento de los cambios de configuración y solucionar los problemas de las cuentas que son miembros de su empresa. AWS Organizations

CloudTrail Los eventos clave de la centralización incluyen:

  • CreateCentralizationRuleForOrganization: Cuando se crea una nueva regla de centralización

  • UpdateCentralizationRuleForOrganization: cuando se modifica una regla existente

  • DeleteCentralizationRuleForOrganization: Cuando se elimina una regla

  • GetCentralizationRuleForOrganization: Cuando se recuperan los detalles de la regla

  • ListCentralizationRulesForOrganization: Cuando las reglas aparecen en la lista

Puede utilizar CloudTrail los registros para auditar los cambios en la configuración de la centralización y correlacionarlos con problemas de rendimiento o errores de replicación.