Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Exportar datos de registro a Simple Storage Service (Amazon S3) utilizando la consola
En los siguientes ejemplos, utiliza la CloudWatch consola de Amazon para exportar todos los datos de un grupo de CloudWatch registros de Amazon Logs denominado `my-log-group` a un bucket de Amazon S3 denominado`amzn-s3-demo-bucket`.
Se admite la exportación de datos de registro a buckets de S3 cifrados por SSE-KMS. No se admite la exportación a buckets que están cifrados con DSSE-KMS.
Los detalles de cómo configurar la exportación dependen de si el bucket de Amazon S3 al que desea exportar está en la misma cuenta que los registros que se están exportando o en una diferente.
**Topics**
+ [Exportación desde la misma cuenta (consola)](#ExportSingleAccount)
+ [Exportación multicuenta (consola)](#ExportCrossAccount)
## Exportación desde la misma cuenta (consola)
Si el bucket de Amazon S3 está en la misma cuenta que los registros que se exportan, siga las instrucciones de esta sección.
**Topics**
+ [Cómo crear un bucket de Amazon S3 (consola)](#CreateS3BucketConsole)
+ [Configure los permisos de acceso (consola)](#CreateIAMUser-With-S3-Access)
+ [Establecer permisos en un bucket de Amazon S3 (consola)](#S3PermissionsConsole)
+ [(Opcional) Exportación a un bucket de Amazon S3 de destino cifrado con SSE-KMS (consola)](#S3-Export-KMSEncrypted)
+ [Crea una tarea de exportación (consola)](#CreateExportTaskConsole)
### Cómo crear un bucket de Amazon S3 (consola)
Te recomendamos que utilices un depósito creado específicamente para CloudWatch los registros. Sin embargo, si desea utilizar un bucket existente, puede pasar al paso 2.
**nota**
El bucket de Amazon S3 debe residir en la misma región que los datos de registro para exportar. CloudWatch Logs no admite la exportación de datos a buckets de Amazon S3 de una región diferente.
**Creación de un bucket de Amazon S3**
1. Abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. De ser necesario, cambie la región. En la barra de navegación, elija la región en la que residen sus CloudWatch registros.
1. Seleccione la opción **Crear bucket**.
1. En **Bucket Name (Nombre del bucket)**, escriba un nombre para el bucket.
1. En **Región**, selecciona la región en la que residen CloudWatch los datos de tus registros.
1. Seleccione **Crear**.
### Configure los permisos de acceso (consola)
Para crear la tarea de exportación, tendrás que iniciar sesión con el rol de `AmazonS3ReadOnlyAccess` IAM y tener los siguientes permisos:
+ `logs:CreateExportTask`
+ `logs:CancelExportTask`
+ `logs:DescribeExportTasks`
+ `logs:DescribeLogStreams`
+ `logs:DescribeLogGroups`
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
+ Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de [Creación de un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de AWS IAM Identity Center *.
+ Usuarios gestionados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
+ Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
+ (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.
### Establecer permisos en un bucket de Amazon S3 (consola)
De forma predeterminada, todos los buckets y objetos de Amazon S3 son privados. Solo el propietario del recurso, el Cuenta de AWS que creó el depósito, puede acceder al depósito y a cualquier objeto que contenga. No obstante, el propietario del recurso puede elegir conceder permisos de acceso a otros recursos y usuarios escribiendo una política de acceso.
Cuando establezca la política, le recomendamos que incluya una cadena generada aleatoriamente como prefijo para el bucket, de manera que solo se exporten al bucket los flujos de registros deseados.
**importante**
Para que las exportaciones a los buckets de Amazon S3 sean más seguras, ahora debe especificar la lista de cuentas de origen que pueden exportar datos de registro a su bucket de S3.
En el siguiente ejemplo, la lista de cuentas IDs de la `aws:SourceAccount` clave serían las cuentas desde las que un usuario puede exportar los datos de registro a su bucket de Amazon S3. La clave `aws:SourceArn` sería el recurso para el que se está tomando la acción. Puede restringirla a un grupo de registro específico o utilizar un comodín como se muestra en este ejemplo.
Le recomendamos que también incluya el ID de cuenta de la cuenta en la que se creó el bucket de S3 para permitir la exportación dentro de la misma cuenta.
**Para configurar permisos en un bucket de Amazon S3**
1. En la consola de Amazon S3, elija el bucket que ha creado.
1. Elija **Permissions (Permisos)**, **Bucket policy (Política de bucket)**.
1. En el **Bucket Policy Editor** (Editor de políticas de bucket), agregue la siguiente política. Cambie `amzn-s3-demo-bucket` por el nombre de su bucket de S3. Asegúrese de especificar el punto de conexión de la región correcta, como `us-west-1`, en **Entidad principal**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCloudWatchLogsGetBucketAcl",
"Action": "s3:GetBucketAcl",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Sid": "AllowCloudWatchLogsPutObject",
"Action": "s3:PutObject",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
}
]
}
```
------
1. Elija **Save** para definir la política que acaba de añadir como política de acceso en su bucket. Esta política permite a CloudWatch Logs exportar los datos de registro a su bucket de Amazon S3. El propietario del bucket tiene permisos completos en todos los objetos exportados.
**aviso**
Si el bucket existente ya tiene una o más políticas asociadas, añada las instrucciones para que CloudWatch Logs acceda a esa política o políticas. Le recomendamos que evalúe el conjunto de permisos resultante para asegurarse de que sean adecuados para los usuarios que van a tener acceso al bucket.
### (Opcional) Exportación a un bucket de Amazon S3 de destino cifrado con SSE-KMS (consola)
Este paso solo es necesario si va a exportar a un bucket de Amazon S3 que utilice cifrado del lado del servidor con. AWS KMS keys Este cifrado se conoce como SSE-KMS.
**Para exportar a un bucket cifrado con SSE-KMS**
1. [Abra la AWS KMS consola en /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En la barra de navegación izquierda, elija **Customer managed keys** (Claves administradas por el cliente).
Elija **Create Key** (Crear clave).
1. En **Key type (Tipo de clave)**, elija **Symmetric (Simétrica)**.
1. En **Key usage** (Uso de clave), elija **Encrypt and decrypt** (Cifrar y descifrar) y, a continuación, elija **Next** (Siguiente).
1. En **Add labels** (Agregar etiquetas), introduzca un alias para la clave y, si lo desea, una descripción o etiquetas. A continuación, elija **Siguiente**.
1. En **Key administrators** (Administradores de claves), seleccione quién puede administrar esta clave y, a continuación, elija **Next** (Siguiente).
1. En **Define key usage permissions** (Definir permisos de uso de claves), no realice cambios y seleccione **Next** (Siguiente).
1. Revise la configuración y seleccione **Finish** (Finalizar).
1. En la página **Customer managed keys** (Claves administradas por el cliente), elija el nombre de la clave que acaba de crear.
1. Elija la sección **Key policy** (Política de claves) y luego **Switch to policy view** (Cambiar a la vista de política).
1. En la sección **Key policy** (Política de claves), elija **Edit** (Editar).
1. Agregue la siguiente declaración a la lista de declaraciones de políticas de claves. Cuando lo haga, *Region* sustitúyalo por la región de sus registros y *account-ARN* sustitúyalo por el ARN de la cuenta propietaria de la clave KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CWL Service Principal usage",
"Effect": "Allow",
"Principal": {
"Service": "logs.Region.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "account-ARN"
},
"Action": [
"kms:GetKeyPolicy*",
"kms:PutKeyPolicy*",
"kms:DescribeKey*",
"kms:CreateAlias*",
"kms:ScheduleKeyDeletion*",
"kms:Decrypt"
],
"Resource": "*"
}
]
}
```
------
1. Seleccione **Save changes (Guardar cambios)**.
1. Abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Encuentre el bucket que creó en [Crear un bucket de S3 (CLI)](S3ExportTasks.md#CreateS3Bucket) y elija el nombre de bucket.
1. Elija la pestaña **Propiedades**. Luego, en **Default Encryption** (Cifrado predeterminado), elija **Edit** (Editar).
1. En **Server-side Encryption** (Cifrado del servidor), elija **Enable** (Habilitar).
1. En **Encryption type** (Tipo de cifrado), elija **AWS Key Management Service key (SSE-KMS)** (Clave de KMS [SSE-KMS]).
1. **Elige una de tus AWS KMS claves** y busca la clave que creaste.
1. En **Bucket key** (Clave de bucket), seleccione **Enable** (Habilitar).
1. Seleccione **Save changes (Guardar cambios)**.
### Crea una tarea de exportación (consola)
En este procedimiento, se crea la tarea de exportación para exportar los registros de un grupo de registros.
**Para exportar datos a Amazon S3 mediante la CloudWatch consola**
1. Inicie sesión con los permisos necesarios, tal y como se indica en [Configure los permisos de acceso (consola)](#CreateIAMUser-With-S3-Access).
1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación, seleccione **Grupos de registro**.
1. En la pantalla **Log Groups (Grupos de registro)** elija el nombre del grupo de registro.
1. En **Actions (Acciones)**, seleccione **Export to Amazon S3 (Exportar datos a Amazon S3)**.
1. En la pantalla **Export data to Amazon S3 (Exportar datos a Amazon S3) **, debajo de **Define data export (Definir datos para exportar)**, defina el intervalo de tiempo para los datos a exportar mediante **From (Desde)** y **To (Hasta)**.
1. Si su grupo de registro tiene varios flujos de registro, puede proporcionar un prefijo de flujo de registro para limitar los datos del grupo de registro a un flujo específico. Elija **Advanced (Avanzadas)** y, a continuación, en **Stream prefix (Prefijo del flujo)**, escriba el prefijo del flujo de registros.
1. En **Choose S3 bucket** (Elegir bucket de S3), elija la cuenta asociada con el bucket de S3.
1. En **S3 bucket name**, elija un bucket de &S3;.
1. En **Export data to (Prefijo del bucket de S3)**, escriba la cadena generada aleatoriamente que especificó en la política del bucket.
1. Elija **Export (Exportar)** para exportar los datos de registro a Amazon S3.
1. Para ver el estado de los datos de registro exportados a Amazon S3, elija **Actions (Acciones)** y luego **View all exports to Amazon S3 (Ver todas las exportaciones a Amazon S3)**.
## Exportación multicuenta (consola)
Si el bucket de Amazon S3 está en una cuenta diferente a la de los registros que se exportan, siga las instrucciones de esta sección.
**Topics**
+ [Crear un bucket de Amazon S3 para la exportación entre cuentas (consola)](#CreateS3BucketConsole-crossaccount)
+ [Configura los permisos de acceso para la exportación entre cuentas (consola)](#CreateIAMUser-With-S3-Access-crossaccount)
+ [Configure los permisos en un bucket de S3 para la exportación entre cuentas (consola)](#S3PermissionsConsole-crossaccount)
+ [(Opcional) Exportación a un bucket de Amazon S3 de destino cifrado con SSE-KMS para la exportación entre cuentas (consola)](#S3-Export-KMSEncrypted-crossaccount)
+ [Crea una tarea de exportación para exportarla entre cuentas (consola)](#CreateExportTaskConsole-crossaccount)
### Crear un bucket de Amazon S3 para la exportación entre cuentas (consola)
Le recomendamos que utilice un bucket creado específicamente para CloudWatch Logs. Sin embargo, si desea utilizar un depósito existente, puede omitir este procedimiento.
**nota**
El bucket de Amazon S3 debe residir en la misma región que los datos de registro para exportar. CloudWatch Logs no admite la exportación de datos a buckets de Amazon S3 de una región diferente.
**Creación de un bucket de Amazon S3**
1. Abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. De ser necesario, cambie la región. En la barra de navegación, elija la región en la que residen sus CloudWatch registros.
1. Seleccione la opción **Crear bucket**.
1. En **Bucket Name (Nombre del bucket)**, escriba un nombre para el bucket.
1. En **Región**, selecciona la región en la que residen CloudWatch los datos de tus registros.
1. Seleccione **Crear**.
### Configura los permisos de acceso para la exportación entre cuentas (consola)
En primer lugar, debe crear una nueva política de IAM para permitir que CloudWatch Logs incluya la `s3:PutObject` acción del bucket Amazon S3 de destino en la cuenta de destino.
Además de la `s3:PutObject` acción, las acciones adicionales incluidas en la política dependen de si el bucket de destino utiliza el AWS KMS cifrado o si lo ha ACLs habilitado mediante la configuración de [propiedad de objetos de S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html).
+ Si utiliza el cifrado de KMS, añada las acciones `kms:GenerateDataKey` y `kms:Decrypt` para el recurso clave
+ Si ACLs están habilitadas en el bucket, añada la `s3:PutObjectAcl` acción para el recurso del bucket
Cambie `amzn-s3-demo-bucket` el nombre del depósito de S3 de destino en las siguientes políticas.
**Para crear una política de IAM a fin de exportar registros a un bucket de Amazon S3**
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En el panel de navegación de la izquierda, elija **Políticas**.
1. Elija **Crear política**.
1. En la sección **Editor de políticas**, elija **JSON**.
1. Si el depósito de destino no utiliza AWS KMS cifrado, pegue la siguiente política en el editor.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
Si el depósito de destino utiliza AWS KMS cifrado, pegue la siguiente política en el editor.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
},
{
"Effect": "Allow",
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
]
}
```
------
Si ACLs están habilitadas en el bucket de destino, añada el bloque s3: PutObjectAcl al s3: PutObject Action en las políticas anteriores.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
1. Elija **Siguiente**.
1. Escriba un nombre para la política. Utilizará este nombre para adjuntar la política a su rol de IAM.
1. Elija **Crear política** para guardar la nueva política.
Para crear una tarea de exportación, debe iniciar sesión con un rol de IAM que tenga la política `AmazonS3ReadOnlyAccess` administrada asociada, la política de IAM creada anteriormente y también con los siguientes permisos:
+ `logs:CreateExportTask`
+ `logs:CancelExportTask`
+ `logs:DescribeExportTasks`
+ `logs:DescribeLogStreams`
+ `logs:DescribeLogGroups`
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
+ Usuarios y grupos en: AWS IAM Identity Center
Cree un conjunto de permisos. Siga las instrucciones de [Creación de un conjunto de permisos](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) en la *Guía del usuario de AWS IAM Identity Center *.
+ Usuarios gestionados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en [Creación de un rol para un proveedor de identidad de terceros (federación)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) en la *Guía del usuario de IAM*.
+ Usuarios de IAM:
+ Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en [Creación de un rol para un usuario de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) en la *Guía del usuario de IAM*.
+ (No recomendado) Adjunte una política directamente a un usuario o agregue un usuario a un grupo de usuarios. Siga las instrucciones descritas en [Adición de permisos a un usuario (consola)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) de la *Guía del usuario de IAM*.
### Configure los permisos en un bucket de S3 para la exportación entre cuentas (consola)
De forma predeterminada, los buckets y los objetos de S3 son privados. Solo el propietario del recurso, el Cuenta de AWS que creó el depósito, puede acceder al depósito y a cualquier objeto que contenga. No obstante, el propietario del recurso puede elegir conceder permisos de acceso a otros recursos y usuarios escribiendo una política de acceso.
Cuando establezca la política, le recomendamos que incluya una cadena generada aleatoriamente como prefijo para el bucket, de manera que solo se exporten al bucket los flujos de registros deseados.
**importante**
Para que las exportaciones a los buckets de S3 sean más seguras, ahora debe especificar la lista de cuentas de origen que pueden exportar datos de registro a su bucket de S3.
En el siguiente ejemplo, la lista de cuentas IDs de la `aws:SourceAccount` clave serían las cuentas desde las que un usuario puede exportar los datos de registro a su bucket de S3. La clave `aws:SourceArn` sería el recurso para el que se está tomando la acción. Puede restringirla a un grupo de registro específico o utilizar un comodín como se muestra en este ejemplo.
Le recomendamos que también incluya el ID de cuenta de la cuenta en la que se creó el bucket de S3 para permitir la exportación dentro de la misma cuenta.
**Para configurar permisos en un bucket de Amazon S3**
1. En la consola de Amazon S3, elija el bucket que ha creado.
1. Elija **Permissions (Permisos)**, **Bucket policy (Política de bucket)**.
1. En el **Bucket Policy Editor** (Editor de políticas de bucket), agregue la siguiente política. Cambie `amzn-s3-demo-bucket` por el nombre de su bucket de S3. Asegúrese de especificar el punto de conexión de la región correcta, como `us-east-1`, en **Entidad principal**.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "s3:GetBucketAcl",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Action": "s3:PutObject",
"Effect": "Allow",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Principal": { "Service": "logs.us-east-1.amazonaws.com" },
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": [
"123456789012",
"111122223333"
]
},
"ArnLike": {
"aws:SourceArn": [
"arn:aws:logs:us-east-1:123456789012:log-group:*",
"arn:aws:logs:us-east-1:111122223333:log-group:*"
]
}
}
},
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/role_name"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
1. Elija **Save** para definir la política que acaba de añadir como política de acceso en su bucket. Esta política permite a CloudWatch Logs exportar datos de registro a su bucket de S3. El propietario del bucket tiene permisos completos en todos los objetos exportados.
**aviso**
Si el bucket existente ya tiene una o más políticas asociadas, añada las instrucciones para que CloudWatch Logs acceda a esa política o políticas. Le recomendamos que evalúe el conjunto de permisos resultante para asegurarse de que sean adecuados para los usuarios que van a tener acceso al bucket.
### (Opcional) Exportación a un bucket de Amazon S3 de destino cifrado con SSE-KMS para la exportación entre cuentas (consola)
Este procedimiento solo es necesario si va a exportar a un bucket de S3 que utilice el cifrado del lado del servidor con. AWS KMS keys Este cifrado se conoce como SSE-KMS.
**Para exportar a un bucket cifrado con SSE-KMS**
1. [Abra la AWS KMS consola en /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En la barra de navegación izquierda, elija **Customer managed keys** (Claves administradas por el cliente).
Elija **Create Key** (Crear clave).
1. En **Key type (Tipo de clave)**, elija **Symmetric (Simétrica)**.
1. En **Key usage** (Uso de clave), elija **Encrypt and decrypt** (Cifrar y descifrar) y, a continuación, elija **Next** (Siguiente).
1. En **Add labels** (Agregar etiquetas), introduzca un alias para la clave y, si lo desea, una descripción o etiquetas. A continuación, elija **Siguiente**.
1. En **Key administrators** (Administradores de claves), seleccione quién puede administrar esta clave y, a continuación, elija **Next** (Siguiente).
1. En **Define key usage permissions** (Definir permisos de uso de claves), no realice cambios y seleccione **Next** (Siguiente).
1. Revise la configuración y seleccione **Finish** (Finalizar).
1. En la página **Customer managed keys** (Claves administradas por el cliente), elija el nombre de la clave que acaba de crear.
1. Elija la sección **Key policy** (Política de claves) y luego **Switch to policy view** (Cambiar a la vista de política).
1. En la sección **Key policy** (Política de claves), elija **Edit** (Editar).
1. Agregue la siguiente declaración a la lista de declaraciones de políticas de claves. Cuando lo haga, *us-east-1* sustitúyalo por la región de sus registros, *account-ARN* por el ARN de la cuenta propietaria de la clave de KMS, *123456789012* por el número de cuenta que posee la clave de KMS, *key\$1id* por el ID de la clave de kms-key y por el rol utilizado para *role\$1name* crear la tarea de exportación.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow CWL Service Principal usage",
"Effect": "Allow",
"Principal": {
"Service": "logs.us-east-1.amazonaws.com"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM User Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "account-ARN"
},
"Action": [
"kms:GetKeyPolicy*",
"kms:PutKeyPolicy*",
"kms:DescribeKey*",
"kms:CreateAlias*",
"kms:ScheduleKeyDeletion*",
"kms:Decrypt"
],
"Resource": "*"
},
{
"Sid": "Enable IAM Role Permissions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/role_name"
},
"Action": [
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-id"
}
]
}
```
------
1. Seleccione **Save changes (Guardar cambios)**.
1. Abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Encuentre el bucket que creó en [Crear un bucket de S3 (CLI)](S3ExportTasks.md#CreateS3Bucket) y elija el nombre de bucket.
1. Elija la pestaña **Propiedades**. Luego, en **Default Encryption** (Cifrado predeterminado), elija **Edit** (Editar).
1. En **Server-side Encryption** (Cifrado del servidor), elija **Enable** (Habilitar).
1. En **Encryption type** (Tipo de cifrado), elija **AWS Key Management Service key (SSE-KMS)** (Clave de KMS [SSE-KMS]).
1. Selecciona **Elige una de tus AWS KMS claves** y busca la clave que creaste.
1. En **Bucket key** (Clave de bucket), seleccione **Enable** (Habilitar).
1. Seleccione **Save changes (Guardar cambios)**.
### Crea una tarea de exportación para exportarla entre cuentas (consola)
En este procedimiento, creará la tarea de exportación para exportar los registros de un grupo de registros.
**Para exportar datos a Amazon S3 mediante la CloudWatch consola**
1. Inicie sesión con los permisos necesarios, tal y como se indica en [Configure los permisos de acceso (consola)](#CreateIAMUser-With-S3-Access).
1. Abra la CloudWatch consola en [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. En el panel de navegación, seleccione **Grupos de registro**.
1. En la pantalla **Log Groups (Grupos de registro)** elija el nombre del grupo de registro.
1. En **Actions (Acciones)**, seleccione **Export to Amazon S3 (Exportar datos a Amazon S3)**.
1. En la pantalla **Export data to Amazon S3 (Exportar datos a Amazon S3) **, debajo de **Define data export (Definir datos para exportar)**, defina el intervalo de tiempo para los datos a exportar mediante **From (Desde)** y **To (Hasta)**.
1. Si su grupo de registro tiene varios flujos de registro, puede proporcionar un prefijo de flujo de registro para limitar los datos del grupo de registro a un flujo específico. Elija **Advanced (Avanzadas)** y, a continuación, en **Stream prefix (Prefijo del flujo)**, escriba el prefijo del flujo de registros.
1. En **Choose S3 bucket** (Elegir bucket de S3), elija la cuenta asociada con el bucket de S3.
1. En **S3 bucket name** (Nombre del bucket de S3), elija un bucket de S3.
1. En **Export data to (Prefijo del bucket de S3)**, escriba la cadena generada aleatoriamente que especificó en la política del bucket.
1. Elija **Export (Exportar)** para exportar los datos de registro a Amazon S3.
1. Para ver el estado de los datos de registro exportados a Amazon S3, elija **Actions (Acciones)** y luego **View all exports to Amazon S3 (Ver todas las exportaciones a Amazon S3)**.