ACCT.07 Entregue CloudTrail los registros a un bucket S3 protegido - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

ACCT.07 Entregue CloudTrail los registros a un bucket S3 protegido

Las acciones realizadas por los usuarios, los roles y los servicios de tu AWS cuenta se registran como eventos en AWS CloudTrail. CloudTrail está activado de forma predeterminada y, en la CloudTrail consola, puedes acceder a la información del historial de eventos de 90 días. Para ver, buscar, descargar, archivar, analizar y responder a la actividad de la cuenta en toda su AWS infraestructura, consulte Visualización de eventos con el historial de CloudTrail eventos (CloudTrail documentación).

Para conservar el CloudTrail historial más allá de 90 días con datos adicionales, debe crear una nueva ruta que envíe los archivos de registro a un depósito de Amazon Simple Storage Service (Amazon S3) para todos los tipos de eventos. Cuando crea una ruta en la CloudTrail consola, crea una ruta multirregional.

Para crear un sendero que entregue los registros de todos los usuarios Regiones de AWS a un depósito de S3

  1. Cree una ruta (CloudTrail documentación). En la página de Elegir eventos de registro, realice lo siguiente:

    1. En la Actividad de la API, elija los Lectura y Escritura.

    2. En los entornos de preproducción, elija Excluir eventos de AWS KMS . Esto excluye todos los AWS Key Management Service (AWS KMS) eventos de tu ruta. AWS KMS lee acciones como EncryptDecrypt, y GenerateDataKey puede generar un gran volumen de eventos.

      En entornos de producción, elija registrar eventos de administración de Escritura y desactive la casilla de verificación de Excluir eventos de AWS KMS . Esto excluye los eventos de AWS KMS lectura de gran volumen, pero sigue registrando los eventos de escritura relevantes, como DisableDelete, y. ScheduleKey Estas son las configuraciones de AWS KMS registro mínimas recomendadas para un entorno de producción.

  2. El nuevo registro de seguimiento aparece en la página Trails. En unos 15 minutos, CloudTrail publica los archivos de registro que muestran las llamadas a la interfaz de programación de AWS aplicaciones (API) realizadas en su cuenta. Puede ver los archivos de registro del bucket de S3 especificado.

Para ayudar a proteger los depósitos de S3 en los que se almacenan los archivos de CloudTrail registro

  1. Revise la política de buckets de Amazon S3 (CloudTrail documentación) para todos y cada uno de los buckets en los que almacene archivos de registro y ajústela según sea necesario para eliminar cualquier acceso innecesario.

  2. Como práctica recomendada de seguridad, asegúrese de agregar de forma manual una clave de condición aws:SourceArn a la política de bucket. Para obtener más información, consulte Crear o actualizar un bucket de Amazon S3 para almacenar los archivos de registro de una organización (CloudTrail documentación).

  3. Habilitar la eliminación de la MFA (documentación de Amazon S3).