Actualización de un almacén de datos de eventos con la consola - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Actualización de un almacén de datos de eventos con la consola

En esta sección, se describe cómo actualizar la configuración de un almacén de datos de eventos mediante la Consola de administración de AWS. Para obtener información sobre cómo actualizar un banco de datos de eventos mediante el AWS CLI, consulteActualice un banco de datos de eventos con el AWS CLI.

Para actualizar un almacén de datos de eventos

  1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación, en Lago, elija Almacenes de datos de eventos.

  3. Elija el almacén de datos de eventos que desea actualizar. Esta acción abre la página de detalles del almacén de datos de eventos.

  4. En Detalles generales, elija Editar para cambiar la siguiente configuración:

    • Nombre del almacén de datos de eventos: cambie el nombre que identifica el almacén de datos de eventos.

    • Opción de precios: en el caso de los almacenes de datos de eventos que utilizan la opción Precios de retención de siete años, puede optar por utilizar en su lugar Precio de retención ampliable por un año. Recomendamos un precio de retención ampliable por un año para los almacenes de datos de eventos que incorporen menos de 25 TB de datos de eventos al mes. También recomendamos precios de retención ampliables por un año si busca un periodo de retención flexible de hasta 10 años. Para obtener más información, consulte AWS CloudTrail Precios y Gestión de los costos de los CloudTrail lagos.

      nota

      No puede cambiar la opción de precios de los almacenes de datos de eventos que utilizan Precios de retención ampliables por un año. Si quiere usar Precio de retención de siete años, detenga la incorporación en el almacén de datos de eventos actual. A continuación, cree un nuevo almacén de datos de eventos con la opción Precios de retención de siete años.

    • Periodo de retención: cambie el periodo de retención del almacén de datos de eventos. El periodo de retención determina cuánto tiempo se conservan los datos del evento en el almacén de datos de eventos. Los periodos de retención pueden oscilar entre 7 y 3653 días (unos 10 años) para la opción Precios de retención ampliables por un año, o entre 7 días y 2557 días (unos siete años) para la opción Precios de retención por siete años.

      nota

      Si reduce el período de retención de un almacén de datos de eventos, CloudTrail se eliminarán los eventos que tengan un período de retención eventTime anterior al nuevo. Por ejemplo, si el período de retención anterior era de 365 días y lo reduces a 100 días, CloudTrail se eliminarán los eventos con una eventTime antigüedad superior a 100 días.

    • Cifrado: para cifrar su almacén de datos de eventos con su propia clave de KMS, seleccione Usar mi propia AWS KMS key. De forma predeterminada, todos los eventos de un almacén de datos de eventos se cifran con CloudTrail. El uso de su propia clave KMS conlleva AWS KMS costes de cifrado y descifrado.

      nota

      Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar.

    • Seleccione Incluir la región actual en el almacén de datos de eventos para incluir solo los eventos registrados en la Región de AWS actual. Si no elige esta opción, su almacén de datos de eventos incluirá eventos de todas las regiones.

    • Para que su almacén de datos de eventos recopile eventos de todas las cuentas de una AWS Organizations organización, seleccione Activar para todas las cuentas de mi organización. Esta opción solo está disponible si ha iniciado sesión con la cuenta de administración de su organización y el tipo de evento del banco de datos de CloudTraileventos es eventos o elementos de configuración.

    Cuando haya finalizado, elija Guardar cambios.

  5. En Federación de consultas de Lake, seleccione Editar para activar o desactivar la federación de consultas de Lake. Al habilitar la federación de consultas de Lake, puede ver los metadatos del almacén de datos de su evento en el catálogo de AWS Glue datos y ejecutar consultas SQL en los datos del evento mediante Amazon Athena. Al deshabilitar la federación de consultas de Lake, se deshabilita la integración con AWS Glue AWS Lake Formation, y Amazon Athena. Tras deshabilitar la federación de consultas de Lake, ya no podrá consultar sus datos en Athena. Al deshabilitar la federación, no se elimina ningún dato de CloudTrail Lake y puede seguir realizando consultas en Lake. CloudTrail

    Para habilitar la federación, haga lo siguiente:

    1. Seleccione Habilitar.

    2. Elija si desea crear un nuevo rol de IAM, o utilizar un rol existente. Al crear un rol nuevo, crea CloudTrail automáticamente un rol con los permisos necesarios. Si utiliza un rol existente, asegúrese de que la política del rol proporcione los permisos mínimos requeridos.

    3. Si está creando un rol de IAM nuevo, ingrese un nombre para el rol.

    4. Si elige un rol de IAM existente, elija el rol que quiere usar. El rol debe existir en su cuenta.

    Cuando haya terminado, seleccione Guardar cambios.

  6. En la Política de recursos, elija Editar para agregar o revisar la política basada en recursos para el almacén de datos de eventos.

    Las políticas basadas en recursos le permiten controlar qué entidades principales pueden realizar acciones en el almacén de datos de eventos. Por ejemplo, puede agregar una política basada en recursos para permitir a los usuarios raíz de otras cuentas consultar el almacén de datos de eventos y ver los resultados de las consultas. Para ver ejemplos de políticas, consulte Ejemplos de políticas basadas en recursos para almacenes de datos de eventos.

    Una política basada en recursos incluye una o más instrucciones. Cada instrucción de la política define las entidades principales a las que se les permite o deniega el acceso al almacén de datos de eventos y las acciones que las entidades principales pueden realizar en el recurso del almacén de datos de eventos.

    Las políticas basadas en recursos para los almacenes de datos de eventos admiten las siguientes acciones:

    • cloudtrail:StartQuery

    • cloudtrail:CancelQuery

    • cloudtrail:ListQueries

    • cloudtrail:DescribeQuery

    • cloudtrail:GetQueryResults

    • cloudtrail:GenerateQuery

    • cloudtrail:GenerateQueryResultsSummary

    • cloudtrail:GetEventDataStore

    Para los almacenes de datos de eventos de la organización, CloudTrail crea una política predeterminada basada en los recursos que enumera las acciones que las cuentas de administrador delegado pueden realizar en los almacenes de datos de eventos de la organización. Los permisos de esta política se obtienen de los permisos del administrador delegado en AWS Organizations. Esta política se actualiza automáticamente tras los cambios en el almacén de datos de eventos de la organización o en la organización (por ejemplo, si se registra o CloudTrail se elimina una cuenta de administrador delegado).

  7. Edite cualquier configuración adicional específica del Tipo de evento del almacén de datos de eventos.

    Configuración de los eventos CloudTrail

    • Para cambiar los eventos que registra tu almacén de datos de eventos, selecciona Editar en CloudTrail eventos.

    • En Eventos de administración, elija Editar para cambiar la configuración de registro de eventos de administración. Para obtener más información, consulte Actualización de la configuración de eventos de administración de un almacén de datos de eventos existente.

    • En Eventos de datos, elija Editar para cambiar la configuración de los eventos de datos. Puede elegir qué tipos de recursos quiere registrar y elegir la plantilla de selección de registros que quiere usar. Para obtener más información, consulte Actualizar un almacén de datos de eventos existente para registrar los eventos de datos mediante la consola.

    • En Eventos de actividad de la red, seleccione Editar para modificar la configuración de los eventos de actividad de la red. Puede elegir qué tipo de evento de actividad de la red quiere registrar y elegir la plantilla del selector de registros que quiere usar. Para obtener más información, consulte Actualización de un almacén de datos de eventos existente para registrar los eventos de actividad de red.

    • En Enriquecer eventos, ampliar el tamaño del evento, elija Editar para agregar o eliminar las etiquetas de recursos y las claves de condición global de IAM, y amplíe el tamaño del evento.

      En Enriquecer eventos agregue hasta 50 claves de etiqueta de recurso y 50 claves de condición global de IAM para ofrecer metadatos adicionales sobre los eventos. Esto le ayuda a clasificar y agrupar los eventos relacionados.

      Si agregas claves de etiquetas de recursos, CloudTrail se incluirán las claves de etiqueta seleccionadas asociadas a los recursos que participaron en la llamada a la API. Los eventos de la API relacionados con recursos eliminados no tendrán etiquetas de recurso.

      Si añades claves de condición globales de IAM, CloudTrail se incluirá información sobre las claves de condición seleccionadas que se evaluaron durante el proceso de autorización, incluidos detalles adicionales sobre la entidad principal, la sesión, la red y la propia solicitud.

      La información sobre las claves de etiqueta de recurso y las claves de condición global de IAM se muestra en el campo eventContext del evento. Para obtener más información, consulte Enriquece CloudTrail los eventos añadiendo claves de etiquetas de recursos y claves de condición globales de IAM.

      nota

      Si un evento contiene un recurso que no pertenece a la región del evento, no CloudTrail rellenará las etiquetas de este recurso porque la recuperación de etiquetas se limita a la región del evento.

      Seleccione Expandir el tamaño del evento para ampliar la carga útil del evento de 256 KB a 1 MB. Esta opción se activa de manera automática al agregar claves de etiqueta de recurso o claves de condición global de IAM para garantizar que todas las claves agregadas se incluyan en el evento.

      Ampliar el tamaño del evento es útil para analizar y solucionar problemas de eventos, ya que permite ver el contenido completo de los siguientes campos siempre que la carga útil del evento sea inferior a 1 MB:

      • annotation

      • requestID

      • additionalEventData

      • serviceEventDetails

      • userAgent

      • errorCode

      • responseElements

      • requestParameters

      • errorMessage

      Para obtener más información sobre estos campos, consulta el contenido del CloudTrail registro.

      Cuando haya finalizado, elija Guardar cambios.

    Configuración de los eventos a partir de la integración

    En Integraciones, elija su integración. Luego elija Editar, para cambiar la siguiente configuración:

    • En Detalles de la integración, cambie el nombre que identifica el canal de su integración.

    • En Ubicación de entrega del evento, elija el destino para sus eventos.

    • En Resource policy (Política de recursos), configure la política de recursos para el canal de la integración.

    Cuando haya finalizado, elija Guardar cambios.

    Para obtener más información sobre estas opciones, consulte Cree una integración con un CloudTrail socio con la consola.

  8. Para agregar, cambiar o eliminar etiquetas, seleccione Editar en Etiquetas. Puede agregar hasta 50 pares de claves y etiquetas para que lo ayuden a identificar, ordenar su almacén de datos de eventos y controlar el acceso a él. Cuando haya finalizado, elija Guardar cambios.