Creación de un almacén de datos de eventos para eventos de datos de S3 - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de un almacén de datos de eventos para eventos de datos de S3

Puede crear un almacén de datos de eventos para registrar CloudTrail eventos (eventos de administración, eventos de datos), eventos de CloudTrail Insights, AWS Audit Manager pruebas, elementos de AWS Config configuración o no AWS eventos.

Al crear un banco de datos de eventos para eventos de datos, elige los tipos de recursos Servicios de AWS y los tipos de recursos para los que desea registrar los eventos de datos. Para obtener información sobre Servicios de AWS los eventos de datos de registro, consulteEventos de datos.

En este tutorial se muestra cómo crear un almacén de datos de eventos para los eventos de datos de Amazon S3. En este tutorial, en lugar de registrar todos los eventos de datos de Amazon S3, seleccionaremos una plantilla de selector de registros personalizada para registrar los eventos solo cuando se elimine un objeto de un bucket de S3 específico.

Para crear un almacén de datos de eventos para eventos de datos de S3
  1. Inicie sesión en AWS Management Console y abra la CloudTrail consola en https://console.aws.amazon.com/cloudtrail/.

  2. En el panel de navegación, en Lago, elija Almacenes de datos de eventos.

  3. Elija Create event data store (Crear almacén de datos de eventos).

  4. En la página Configurar el almacén de datos de eventos, en Detalles generales, asigne un nombre al banco de datos de eventos, comos3-data-events-eds. Como práctica recomendada, utilice un nombre que identifique rápidamente el propósito del almacén de datos de eventos. Para obtener información sobre los requisitos de CloudTrail nomenclatura, consulteRequisitos de nomenclatura para CloudTrail los recursos, los buckets de S3 y las claves de KMS.

  5. Elija la Opción de precios que desee usar para el almacén de datos de eventos. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como los periodos de retención predeterminado y máximo del almacén de datos de eventos. Para obtener más información, consulte AWS CloudTrail Precios y Gestión de los costos de los CloudTrail lagos.

    Están disponibles las siguientes opciones:

    • Precio de retención ampliable por un año: en general se recomienda si prevé incorporar menos de 25 TB de datos de eventos al mes y desea un periodo de retención flexible de hasta 10 años. Durante los primeros 366 días (el periodo de retención predeterminado), el almacenamiento se incluye sin cargo adicional en los precios de incorporación. Después de 366 días, la retención prolongada está disponible a un pay-as-you-go precio determinado. Esta es la opción predeterminada.

      • Periodo de retención predeterminado: 366 días.

      • Periodo máximo de retención: 3653 días.

    • Precio de retención ampliable por un año: se recomienda si prevé incorporar más de 25 TB de datos de eventos al mes y desea un periodo de retención de hasta 7 años. La retención está incluida en los precios de incorporación sin costo adicional.

      • Periodo de retención predeterminado: 2557 días.

      • Periodo máximo de retención: 2557 días.

  6. Especifique un periodo de retención para el almacén de datos de eventos. Los periodos de retención pueden oscilar entre 7 y 3653 días (unos 10 años) para la opción Precios de retención ampliables por un año, o entre 7 días y 2557 días (unos siete años) para la opción Precios de retención por siete años.

    CloudTrail Lake determina si se debe retener un evento comprobando si el eventTime evento se encuentra dentro del período de retención especificado. Por ejemplo, si especificas un período de retención de 90 días, CloudTrail eliminará los eventos cuando eventTime tengan más de 90 días.

  7. (Opcional) En Cifrado, seleccione si quiere cifrar el almacén de datos de eventos con su propia clave de KMS. De forma predeterminada, todos los eventos de un almacén de datos de eventos se cifran CloudTrail mediante una clave de KMS que le AWS pertenece y administra por usted.

    Para habilitar el cifrado con su propia clave de KMS, seleccione Usar mi propia AWS KMS key. Elija Nuevo para que se AWS KMS key cree una por usted, o bien elija Existente para usar una clave de KMS existente. En Introducir un alias de KMS, especifique un alias en el formato alias/MyAliasName. El uso de su propia clave de KMS requiere que edite la política de claves de KMS para permitir el cifrado y el descifrado de los CloudTrail registros. Para obtener más información, consulteConfigurar políticas AWS KMS clave para CloudTrail. CloudTrail también admite claves AWS KMS multirregionales. Para obtener más información sobre las claves de varias regiones, consulte Uso de claves de varias regiones en la Guía para desarrolladores de AWS Key Management Service .

    El uso de su propia clave KMS conlleva AWS KMS costes de cifrado y descifrado. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar.

    nota

    Para habilitar el AWS Key Management Service cifrado en un almacén de datos de eventos de la organización, debe usar una clave KMS existente para la cuenta de administración.

  8. (Opcional) Si desea realizar consultas con los datos de su evento mediante Amazon Athena, elija Habilitar en Federación de consultas de Lake. La federación le permite ver los metadatos asociados al almacén de datos de eventos en el catálogo de datos de AWS Glue y ejecutar consultas SQL con los datos de eventos en Athena. Los metadatos de la tabla almacenados en el catálogo de AWS Glue datos permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar. Para obtener más información, consulte Federar un almacén de datos de eventos.

    Para habilitar la federación de consultas de Lake, seleccione Habilitar y, a continuación, haga lo siguiente:

    1. Elija si desea crear un nuevo rol o utilizar un rol de IAM existente. AWS Lake Formation utiliza este rol para administrar los permisos del almacén de datos de eventos federados. Al crear un nuevo rol mediante la CloudTrail consola, crea CloudTrail automáticamente un rol con los permisos necesarios. Si elige un rol existente, asegúrese de que la política del rol proporcione los permisos mínimos requeridos.

    2. Si va a crear un rol nuevo, introduzca un nombre para identificarlo.

    3. Si está utilizando un rol existente, elija el rol que desea usar. El rol debe existir en su cuenta.

  9. (Opcional) Seleccione Activar la política de recursos para añadir una política basada en recursos al banco de datos de eventos. Las políticas basadas en recursos te permiten controlar qué directores pueden realizar acciones en el banco de datos de tu evento. Por ejemplo, puede agregar una política basada en recursos que permita a los usuarios raíz de otras cuentas consultar este banco de datos de eventos y ver los resultados de la consulta. Para ver ejemplos de políticas, consulte Ejemplos de políticas basadas en recursos para almacenes de datos de eventos.

    Una política basada en recursos incluye una o más declaraciones. Cada declaración de la política define las entidades principales a las que se permite o deniega el acceso al almacén de datos de eventos y las acciones que las entidades principales pueden realizar en el recurso del almacén de datos de eventos.

    Las políticas basadas en recursos para los almacenes de datos de eventos admiten las siguientes acciones:

    • cloudtrail:StartQuery

    • cloudtrail:CancelQuery

    • cloudtrail:ListQueries

    • cloudtrail:DescribeQuery

    • cloudtrail:GetQueryResults

    • cloudtrail:GenerateQuery

    • cloudtrail:GenerateQueryResultsSummary

    • cloudtrail:GetEventDataStore

    Para los almacenes de datos de eventos de la organización, CloudTrail crea una política predeterminada basada en los recursos que enumera las acciones que las cuentas de los administradores delegados pueden realizar en los almacenes de datos de eventos de la organización. Los permisos de esta política se derivan de los permisos de administrador delegados en. AWS Organizations Esta política se actualiza automáticamente cuando se producen cambios en el almacén de datos de eventos de la organización o en la organización (por ejemplo, si se registra o se elimina una cuenta de administrador CloudTrail delegado).

  10. (Opcional) En Etiquetas, agregue una o más etiquetas personalizadas (pares clave-valor) a su almacén de datos de eventos. Las etiquetas pueden ayudarle a identificar los almacenes de datos de sus CloudTrail eventos. Por ejemplo, podría adjuntar una etiqueta con el nombre stage y el valor prod. Puede utilizar etiquetas para limitar el acceso al almacén de datos de eventos. También puede utilizar etiquetas para hacer un seguimiento de los costos de consulta e ingesta del almacén de datos de eventos.

    Para obtener más información acerca de cómo usar etiquetas para hacer un seguimiento de los costos, consulte Creación de etiquetas de asignación de costes definidas por el usuario para los almacenes de datos de eventos de CloudTrail Lake. Para obtener información sobre cómo utilizar las políticas de IAM para autorizar el acceso a un almacén de datos de eventos en función de etiquetas, consulte Ejemplos: Denegación de acceso para crear o eliminar almacenes de datos de eventos en función de etiquetas. Para obtener información sobre cómo utilizar las etiquetas AWS, consulte Cómo etiquetar AWS los recursos en la Guía del usuario sobre cómo etiquetar AWS los recursos.

  11. Elija Next (Siguiente) para configurar el almacén de datos de eventos.

  12. En la página Seleccionar eventos, deje las selecciones predeterminadas en Tipo de evento.

    Seleccione el tipo de evento para el almacén de datos de eventos
  13. Para CloudTrail los eventos, selecciona Eventos de datos y anula la selección de los Eventos de administración. Para obtener más información sobre los eventos de datos, consulte Registro de eventos de datos.

    Elija eventos CloudTrail de datos para el almacén de datos de eventos
  14. Deje la configuración predeterminada para Copiar eventos de los registros de seguimiento. Utilizaría esta opción para copiar los eventos de los registros de seguimiento existentes en el almacén de datos de eventos. Para obtener más información, consulte Copiar eventos de registro de seguimiento en un almacén de datos de eventos.

  15. Seleccione Activar para todas las cuentas de mi organización si se trata de un almacén de datos de eventos de la organización. No podrá cambiar esta opción a menos que tenga cuentas configuradas en AWS Organizations.

  16. En Configuración adicional, deje las selecciones predeterminadas. De forma predeterminada, un banco de datos de eventos recopila los eventos de todos Regiones de AWS y comienza a ingerirlos cuando se crea.

  17. En Eventos de datos, lleve a cabo las siguientes selecciones:

    1. En Tipo de recurso, elige S3. El tipo de recurso identifica el Servicio de AWS recurso en el que se registran los eventos de datos.

    2. En Plantilla de selector de registros, seleccione Personalizado. Si selecciona Personalizado, puede definir un selector de eventos personalizado para filtrar los campos eventName, resources.ARN y readOnly. Para obtener información sobre estos campos, consulte AdvancedFieldSelectorla referencia de la AWS CloudTrail API.

    3. (Opcional) En Nombre del selector, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo para un selector de eventos avanzado, como «Registrar las llamadas a la DeleteObject API para un segmento de S3 específico». El nombre del selector aparece como Name en el selector de eventos avanzado y se puede ver si se amplía la vista JSON.

      Vista JSON ampliada que muestra selectores de eventos avanzados
    4. En Selectores de eventos avanzados, crearemos un selector de eventos personalizado para filtrar por los campos eventName y resources.ARN. Los selectores de eventos avanzados para un almacén de datos de eventos funcionan igual que los selectores de eventos avanzados que se aplican a un registro de seguimiento. Para obtener más información sobre cómo crear selectores de eventos avanzados, consulte Registrar eventos de datos con selectores de eventos avanzados.

      1. En Campo, seleccione eventName. En Operador, seleccione equals. En Valor, introduzca DeleteObject. Seleccione + Campo para filtrar por otro campo.

      2. En Campo, seleccione resources.ARN. En Operador, elija StartsWith. En Value, introduce el ARN de tu bucket (por ejemplo, arn:aws:s3:::). amzn-s3-demo-bucket Para obtener información acerca de cómo obtener el ARN, consulte Recursos de Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

    Configuración de eventos de datos de S3
  18. Elija Next (Siguiente) para revisar las opciones seleccionadas.

  19. En la página Review and create (Revisar y crear), revise las opciones seleccionadas. Elija Edit (Editar) para realizar cambios en una sección. Cuando esté listo para crear el almacén de datos de eventos, elija Create event data store (Crear almacén de datos de eventos).

  20. El nuevo almacén de datos de eventos aparece en la tabla Almacenes de datos de eventos de la página Almacenes de datos de eventos.

    A partir de este momento, el almacén de datos de eventos captura los eventos que coinciden con sus selectores de eventos avanzados. Los eventos que ocurrieron antes de que creara el almacén de datos de eventos no estarán en el almacén de datos de eventos, a menos que opte por copiar los eventos de registro de seguimiento existentes.

Ahora puede ejecutar consultas en su almacén de datos de eventos. Para obtener más información acerca de cómo ver y ejecutar consultas de ejemplo, consulte Visualización de consultas de ejemplo con la CloudTrail consola.

Para obtener más información sobre Lake, consulte. CloudTrail Trabajar con AWS CloudTrail Lake