Creación de varios registros de seguimiento - AWS CloudTrail

Creación de varios registros de seguimiento

Puede utilizar los archivos de registros de CloudTrail para solucionar problemas de funcionamiento o seguridad en su cuenta de AWS. Puede crear registros de seguimiento para diferentes usuarios, que pueden crear y administrar sus propios registros de seguimiento. Puede configurar registros de seguimiento para enviar archivos de registro a buckets de S3 diferentes o buckets de S3 compartidos.

nota

La primera copia de los eventos de administración de cada Región de AWS de una cuenta es gratuita. Si crea más registros de seguimiento que envían los mismos eventos de administración a otros destinos, las entregas posteriores generarán costos de CloudTrail. Para obtener más información sobre los costos de CloudTrail, consulte Precios de AWS CloudTrail y Administración de los costos de los registros de seguimiento de CloudTrail.

Por ejemplo, es posible que tenga los siguientes usuarios:

  • Un administrador de seguridad crea un registro de seguimiento en la región de Europa (Irlanda) y configura el cifrado de los archivos de registros de KMS. El registro de seguimiento envía los archivos de registros a un bucket de S3 en la región de Europa (Irlanda).

  • Un auditor de TI crea un registro de seguimiento en la región de Europa (Irlanda) y configura la validación de la integridad de los archivos de registros para garantizar que estos no han cambiado desde que CloudTrail los entregó. El registro de seguimiento se encuentra configurado para enviar archivos de registros a un bucket de S3 en la región de Europa (Fráncfort)

  • Un desarrollador crea un registro de seguimiento en la región de Europa (Fráncfort) y configura alarmas de CloudWatch para recibir notificaciones de la actividad específica de la API. El registro de seguimiento comparte el mismo bucket de S3 que ha configurado el registro de seguimiento para la integridad de los archivos de registro.

  • Otro desarrollador crea un registro de seguimiento en la región de Europa (Fráncfort) y configura SNS. Los archivos de registros se entregan en un bucket de S3 diferente en la región de Europa (Fráncfort)​.

La imagen siguiente ilustra este ejemplo.

Un ejemplo de entrega de archivos de registro para varios registros de seguimiento
nota

Puede crear hasta cinco registros de seguimiento por Región de AWS. Un registro de seguimiento multirregión cuenta como un registro de seguimiento por región.

Puede utilizar los permisos de nivel de recursos para administrar la capacidad de un usuario para realizar operaciones específicas en CloudTrail.

Por ejemplo, puede conceder a un usuario permiso para ver la actividad del registro de seguimiento, pero impedir que inicie o detenga dicho registro. Puede conceder a otro usuario permiso completo para crear y eliminar registros de seguimiento. De este modo, dispondrá de control exhaustivo de los registros de seguimiento y el acceso de los usuarios.

Para obtener más información sobre los permisos de nivel de recursos de , consulte Ejemplos: creación y aplicación de políticas para acciones en registros de seguimiento específicos.

Para obtener más información sobre varios registros de seguimiento, consulte las Preguntas frecuentes sobre CloudTrail.