Centralización de registros entre cuentas y regiones - Amazon CloudWatch Logs
Conceptos de centralización de datosConfiguración de la centralización de registrosMonitoreo de la centralización

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Centralización de registros entre cuentas y regiones

La centralización de datos de Registros de Amazon CloudWatch funciona con AWS Organizations para recopilar los datos de registro de varias cuentas de miembros en un repositorio de datos mediante reglas de centralización entre cuentas y regiones. Usted define las reglas que replican automáticamente los datos de registro de varias cuentas y Regiones de AWS en una cuenta centralizada dentro de su organización. Esta capacidad optimiza la consolidación de los registros para mejorar la supervisión, el análisis y el cumplimiento centralizados en toda su infraestructura de AWS.

La centralización de datos de Registros de CloudWatch ofrece flexibilidad de configuración para cumplir con los requisitos operativos y de seguridad, como la capacidad de configurar una región de respaldo durante la configuración de las reglas en la cuenta de destino para garantizar una mayor resiliencia. Además, se tiene pleno control sobre el comportamiento de cifrado de los grupos de registros copiados de las cuentas de origen para gestionar los datos originalmente cifrados con claves de KMS administradas por el cliente.

nota

La característica de centralización de Registros de CloudWatch solo procesa los nuevos datos de registro que llegan a las cuentas de origen después de crear la regla de centralización. Los datos de registro históricos (registros que existían antes de la creación de la regla) no están centralizados.

Conceptos de centralización de datos

Antes de empezar a utilizar la centralización de datos de Registros de CloudWatch, es necesario familiarizarse con los siguientes conceptos clave:

Regla de centralización

Una configuración que define cómo se replican los datos de registro de las cuentas y regiones de origen en una cuenta y región de destino. Las reglas especifican los criterios de origen y la configuración de destino.

Cuenta de origen

La cuenta AWS en la que se originan los datos de registro. Los eventos de registro de las cuentas de origen se replican en la cuenta de destino en función de las reglas de centralización que se definan.

Cuenta de destino

La cuenta AWS de destino en la que se almacenan los datos de registro replicados. Esta cuenta sirve como ubicación centralizada para el análisis y el monitoreo de los registros.

Región de respaldo

Una región secundaria opcional dentro de la cuenta de destino donde se pueden replicar los datos de registro para aumentar la resiliencia y la recuperación ante desastres.

Cifrado de Registros de CloudWatch

Los datos del grupo de registro siempre se cifran en Registros de CloudWatch. De forma predeterminada, Registros de CloudWatch utiliza el cifrado del servidor con el modo Galois/Counter Mode (AES-GCM) estándar de cifrado avanzado de 256 bits para cifrar los datos de registro en reposo. Como alternativa, se puede utilizar AWS Key Management Service para este cifrado. Si se hace esto, el cifrado se realiza con una clave de KMS propiedad de AWS o una clave de KMS administrada por el cliente. El cifrado de la clave de KMS con AWS KMS se habilita en el nivel del grupo de registro mediante la asociación de una clave de KMS con un grupo de registro, ya sea al crear el grupo de registro o después de crearlo. Después de asociar una clave de KMS con un grupo de registro, todos los datos ingeridos recientemente para el grupo de registro se cifran mediante la clave. Estos datos se almacenan en formato cifrado durante todo el periodo de retención. Registros de CloudWatch descifra estos datos siempre que se solicita. Registros de CloudWatch debe tener permisos para la clave de KMS cuando se soliciten datos cifrados, como cuando se ejecuta una regla de centralización de registros en una cuenta de origen. Si se utilizan claves de KMS administradas por el cliente, actualice las claves de KMS asociadas a los grupos de registros de origen y destino con la etiqueta LogsManaged = true. Para obtener más información, consulte Claves de AWS KMS en la Guía para desarrolladores de AWS Key Management Service.

Configuración de la centralización de registros

Para configurar la centralización de Registros de CloudWatch, debe configurar reglas de centralización que definan cómo fluyen los datos de registro desde los grupos de registros de las cuentas de origen a los grupos de registros de su cuenta de destino.

Una vez que la regla de centralización esté habilitada y los eventos de registro se estén replicando en la cuenta de destino, se pueden crear filtros de métricas, suscripciones y cuentas en los grupos de registros centralizados con capacidades de filtrado mejoradas. Estos filtros pueden centrarse en eventos de registro de cuentas y regiones de origen específicas, y pueden emitir información de cuentas y regiones de origen como dimensiones métricas. Para obtener más información, consulte Creación de métricas a partir de eventos de registro mediante filtros.

Requisitos previos

  • AWS Organizations deben estar configurados y las cuentas de origen y destino deben pertenecer a la organización.

  • El acceso de confianza debe estar habilitado para CloudWatch, la cuenta de administración y la cuenta de destino, de modo que se permita el acceso a los datos de registro.

Creación de una regla de centralización

Utilice el siguiente procedimiento para crear una regla de centralización que replique los datos de registro de las cuentas de origen a la cuenta de destino.

Creación de una regla de centralización

  1. Navegue hasta la consola de CloudWatch en la cuenta de administración o administrador delegado de la organización.

  2. Seleccione Configuración.

  3. Navegue a la pestaña Organización.

  4. Elija Configurar regla.

  5. Especifique los detalles de la fuente mediante la configuración de los siguientes campos y, a continuación, seleccione Siguiente:

    1. Nombre de regla de centralización: introduzca un nombre exclusivo para la regla de centralización.

    2. Cuentas de origen: defina los criterios de selección de fuentes para seleccionar las cuentas a partir de las cuales se centralizarán los datos de telemetría. Los criterios de selección pueden incluir:

      • Una de la lista de las cuentas de miembros de la organización.

      • Una lista de las unidades organizativas de la organización.

      • Toda la organización.

      Se pueden proporcionar los criterios de selección de dos modos:

      • Builder: una experiencia basada en clics para generar los criterios de selección de la fuente

      • Editor: un cuadro de texto de formato libre para proporcionar los criterios de selección de la fuente

      Sintaxis compatible para los criterios de selección de fuentes:

      • Claves compatibles: OrganizationId | OrganizationUnitId | AccountId | *

      • Operadores compatibles: = | IN | OR

    3. Regiones de origen: seleccione una lista de regiones para buscar los datos de telemetría que desee centralizar.

  6. Especifique los detalles de destino mediante la configuración de los siguientes campos y, a continuación, seleccione Siguiente:

    1. Cuenta de destino: seleccione una cuenta de la organización que sirva de destino central para los datos de telemetría.

    2. Región de destino: seleccione una región principal que almacene una copia de los datos de telemetría centralizados.

    3. Región de respaldo: de manera opcional, seleccione una región que almacene una copia de los datos de telemetría centralizados.

  7. Especifique los detalles de telemetría mediante la configuración de los siguientes campos y, a continuación, seleccione Siguiente:

    1. Grupos de registro: elija una de las siguientes opciones:

      • Todos los grupos de registros: centralice los registros de todos los grupos de registros de las cuentas de origen.

      • Filtrar grupo de registros: centralice los registros de un subconjunto de grupos de registros en las cuentas de origen, según los criterios de selección de un grupo de registros. Se pueden proporcionar los criterios de selección de dos modos:

        • Builder: una experiencia basada en clics para generar los criterios de selección del grupo de registros.

        • Editor: un cuadro de texto de formato libre para proporcionar los criterios de selección del grupo de registros.

        Sintaxis compatible para los criterios de selección de grupos de registros:

        • Claves compatibles: LogGroupName | *

        • Operadores compatibles: = | != | IN | NOT IN | AND | OR | LIKE | NOT LIKE

    2. Grupo de registros cifrados de KMS

      importante

      Las reglas de centralización de CloudWatch no podrán entregar los registros de la cuenta de origen a los grupos de registros de destino si la clave de KMS provista en la regla de centralización no permite que Registros de CloudWatch la utilice. Para obtener más información, consulte Paso 2: establecer permisos en la clave de KMS.

      Seleccione una de las siguientes opciones:

      • No centralice los grupos de registros cifrados con claves de KMS administradas por el cliente: evite la centralización de los eventos de registro de los grupos de registros de origen cifrados con claves de KMS administradas por el cliente.

      • Centralice los grupos de registros cifrados con claves de KMS administradas por el cliente en la cuenta de destino con una clave de AWS KMS administrada: centralice los eventos de registro de los grupos de registro de origen cifrados con claves de KMS administradas por el cliente en grupos de registro de destino que no estén asociados a las claves de KMS administradas por el cliente, sino que utilicen una clave de AWS KMS administrada.

        Cuando se selecciona esta opción, también se debe establecer lo siguiente:

        • ARN de clave de cifrado de destino: ARN de la clave de KMS que pertenece a la cuenta de destino y a la región de destino principal, que se asociará a los grupos de registros de destino recién creados.

        • ARN de clave de cifrado de respaldo: (opcional) ARN de la clave de KMS que pertenece a la cuenta de destino y a la región de destino de respaldo, que se asociará a los grupos de registros de destino recién creados.

        nota

        Tenga en cuenta que esta configuración solo se aplica cuando el grupo de registros de origen se cifra con claves de KMS administradas por el cliente y solo se aplica a los grupos de registros recién creados en la cuenta de destino.

  8. Revise la regla de centralización, y de manera opcional, realice modificaciones de última hora y elija Crear política de centralización.

Modificación de una regla de centralización

Utilice el siguiente procedimiento para modificar una regla de centralización existente.

Modificación de una regla de centralización

  1. Navegue hasta la consola de CloudWatch en la cuenta de administración o administrador delegado de la organización.

  2. Seleccione Configuración.

  3. Navegue a la pestaña Organización.

  4. Elija Administrar reglas.

  5. Seleccione la regla que se desea actualizar, y elija Editar.

  6. Actualice la configuración de la regla según sea necesario y seleccione Siguiente para continuar con cada paso.

  7. En el paso 4, Revisar y configurar, elija Actualizar la política de centralización.

Visualización de una regla de centralización

Utilice el siguiente procedimiento para ver una regla de centralización existente.

Visualización de una regla de centralización

  1. Navegue hasta la consola de CloudWatch en la cuenta de administración o administrador delegado de la organización.

  2. Seleccione Configuración.

  3. Navegue a la pestaña Organización.

  4. Elija Administrar reglas.

  5. Vea una lista de todas las reglas de centralización existentes y elija un nombre de regla específico para ver sus detalles.

Eliminación de una regla de centralización

Utilice el siguiente procedimiento para eliminar una regla de centralización existente.

Eliminación de una regla de centralización

  1. Navegue hasta la consola de CloudWatch en la cuenta de administración o administrador delegado de la organización.

  2. Seleccione Configuración.

  3. Navegue a la pestaña Organización.

  4. Elija Administrar reglas.

  5. Seleccione la regla que quiera eliminar y elija Eliminar.

  6. Confirme la eliminación y elija Eliminar.

Monitoreo de la centralización

Puede monitorear el estado y el rendimiento de las reglas de centralización mediante las métricas de CloudWatch, la consola de Registros de CloudWatch Logs y los registros de AWS CloudTrail. Esto ayuda a garantizar que los datos de registro se replican correctamente y a identificar cualquier problema con la configuración de centralización.

Monitoreo centralizado en la consola

Utilice la consola de Registros de CloudWatch para ver el estado y la actividad de las reglas de centralización.

Monitoreo de las reglas de centralización en la consola

  1. Navegue hasta la consola de CloudWatch en la cuenta de administración o administrador delegado de la organización.

  2. Seleccione Configuración.

  3. Navegue a la pestaña Organización.

  4. Elija Administrar reglas.

  5. Revise la lista de reglas de centralización, que muestra:

    • Nombre de la regla: el nombre de cada regla de centralización

    • Estado de la regla: estado operativo actual (activo, inactivo, error)

    • Fecha de creación: cuándo se creó la regla

    • ID de cuenta de destino: la identificación de la cuenta de destino

    • Región de destino: la región de la cuenta de destino

  6. Elija un nombre de regla específico para ver los detalles de la configuración de la regla

Monitoreo de la centralización

Se pueden supervisar las reglas de centralización mediante la interfaz de la consola y las operaciones de la API.

Las capacidades de monitoreo actuales incluyen:

  • Estado de salud de las reglas: supervise el estado general de las reglas de centralización a través de la consola o de la API de GetCentralizationRuleForOrganization

  • Configuración de las reglas: revise la configuración de las reglas y las marcas de tiempo de la última actualización

  • Motivos del error: consulte la información detallada sobre los errores cuando las reglas estén marcadas como UNHEALTHY

  • Actividad de la API: haga un seguimiento de las llamadas a la API de centralización a través de los registros de CloudTrail

Monitoreo del estado de la regla

Cada regla de centralización tiene un estado de salud que indica si funciona correctamente. Puede verificar el estado de las reglas desde la consola o mediante programación mediante la API.

Los estados de salud reglamentarios incluyen:

  • HEALTHY: la regla funciona con normalidad y replica los datos de registro según lo configurado

  • UNHEALTHY: la regla ha detectado problemas y es posible que no esté replicando los datos correctamente

  • PROVISIONING: la centralización de la organización está en proceso de creación.

Cuando una regla se marca como UNHEALTHY, el campo FailureReason proporciona detalles sobre el problema específico que debe abordarse.

Monitoreo de las llamadas a la API de centralización con AWS CloudTrail

AWS CloudTrail registra las llamadas a la API realizadas al servicio de centralización, lo que le permite realizar un seguimiento de los cambios de configuración y solucionar los problemas de las cuentas que son miembros de su AWS Organizations.

Los eventos clave de CloudTrail para la centralización incluyen:

  • CreateCentralizationRuleForOrganization: cuando se crea una nueva regla de centralización

  • UpdateCentralizationRuleForOrganization: cuando se modifica una regla existente

  • DeleteCentralizationRuleForOrganization: cuando se elimina una regla

  • GetCentralizationRuleForOrganization: cuando se recuperan los detalles de la regla

  • ListCentralizationRulesForOrganization: cuando las reglas aparecen en la lista

Se pueden usar los registros de CloudTrail para auditar los cambios en la configuración de la centralización y correlacionarlos con problemas de rendimiento o errores de replicación.