Configuración del registrador de sesiones para Amazon WorkSpaces Secure Browser - Navegador Amazon WorkSpaces Secure
Depósitos S3 con cifrado KMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración del registrador de sesiones para Amazon WorkSpaces Secure Browser

aviso

Al activar el registrador de sesiones, se deshabilitan las siguientes funciones de Chrome:

  • Modo incógnito

  • Herramientas para desarrolladores

  • Cambio de perfil de Chrome

Para activar el registrador de sesiones en un portal de navegador WorkSpaces seguro, primero debe identificar el bucket de Amazon S3 donde se recopilarán los eventos de la sesión. Puede usar un depósito existente que ya almacene registros similares o crear uno nuevo específicamente para este propósito.

El bucket de Amazon S3 debe tener una política de bucket que conceda permiso a WorkSpaces Secure Browser para escribir registros en él. Recomendamos colocar el bucket de Amazon S3 en la misma región Cuenta de AWS y región que su portal WorkSpaces Secure Browser.

No hay ningún requisito de denominación para el bucket de Amazon S3. Para crear un depósito nuevo, sigue los pasos que se indican a continuación o consulta Cómo crear un depósito de uso general en la Guía del usuario de Amazon Simple Storage Service. Para obtener orientación sobre la configuración de los permisos, consulte las políticas de bucket para Amazon S3 en la Guía del usuario de Amazon Simple Storage Service.

A continuación, se muestra un ejemplo de política para su bucket de Amazon S3. Asegúrese de actualizar la política con el nombre de su bucket de Amazon S3. Ten en cuenta que el director es «workspaces-web.amazonaws.com». 


  {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSessionLogger",
            "Effect": "Allow",
            "Principal": {
                "Service": "workspaces-web.amazonaws.com"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": [
                "arn:aws:s3:::bucket-name/*"
            ]
        }
    ]
 }

La activación del Session Logger en su portal WorkSpaces Secure Browser podría conllevar cargos por parte de Amazon S3. Para obtener información, consulte Precios de Amazon S3.

Para obtener más información sobre los eventos relacionados con la sesión que captura Session Logger, consulte. Eventos de sesión en Session Logger para Amazon WorkSpaces Secure Browser

Depósitos S3 con cifrado KMS (opcional)

WorkSpaces El registrador de sesiones de Secure Browser es totalmente compatible con los buckets de Amazon S3 con el AWS KMS cifrado activado. Para garantizar una funcionalidad de registro adecuada con su bucket cifrado de Amazon S3, debe conceder a Session Logger los permisos necesarios para usar su AWS KMS clave.

Añada la siguiente política a la configuración de AWS KMS claves:


{
  "Sid": "Session Logger",
  "Effect": "Allow",
  "Principal": {
    "Service": "workspaces-web.amazonaws.com"
  },
  "Action": [
    "kms:Encrypt",
    "kms:GenerateDataKey*"
  ],
  "Resource": "*"
},

En la AWS consola, seleccione el portal de WorkSpaces Secure Browser desde el que recopilará los eventos y elija la pestaña Registrador de sesiones y luego Editar.

Introduzca la siguiente información para configurar el registrador de sesiones para el portal:

  • Ubicación de S3 (obligatorio): el nombre del depósito de Amazon S3 donde se entregarán los eventos.

  • Prefijo clave (opcional): la carpeta donde se entregan los eventos. Si la carpeta no existe, se creará. Si el campo se deja en blanco, el Session Logger escribirá los eventos en la raíz del bucket de Amazon S3.

En Avanzado, puede configurar los siguientes campos:

  • Filtro de eventos: esta es la lista de eventos monitoreados por el Session Logger.

    • Todos: si selecciona esta opción, se supervisarán todos los eventos actuales y futuros

    • Incluir: esto le permite seleccionar manualmente los eventos específicos que desea supervisar. Solo se registrarán los eventos seleccionados explícitamente. Los nuevos eventos que se introduzcan en futuras actualizaciones no se supervisarán, a menos que se agreguen manualmente a la selección.

  • Formato de archivo

    • JSON (predeterminado): se trata de un formato de archivo en el que cada archivo de registro se presenta como un conjunto de eventos. Recomendamos este formato para la mayoría de los casos de uso.

    • JSONLines: Este es un formato de archivo optimizado para Amazon Athena.

  • Estructura de carpetas: determina cómo se almacenan los archivos de registro.

    • Plano (predeterminado): todos los archivos de registro se encuentran en una sola carpeta.

    • Anidados por fecha: los archivos de registro se organizan en carpetas por fecha y hora. Particionado para Amazon Athena y optimizado para las consultas de Amazon Athena.

Puede probar la configuración del registrador de sesiones y asegurarse de que el registrador de sesiones funciona correctamente. Una vez completada la configuración, el sistema intenta escribir un archivo de prueba con el nombre _workspaces_secure_browser.tmp del bucket y la carpeta de Amazon S3 especificados. Esto sirve como validación tanto de la funcionalidad de registro como de la configuración de los permisos.

También puede ejecutar una sesión de prueba iniciando una sesión de Secure Browser en el portal y utilizando el navegador como lo haría normalmente. El registrador de sesiones escribe los archivos de registro en el bucket de Amazon S3 configurado cada 15 minutos durante una sesión activa o cuando finaliza la sesión.

Tras finalizar la sesión o esperar al siguiente intervalo de registro, compruebe el bucket de Amazon S3 para confirmar que los archivos de registro de la sesión se han generado y almacenado según lo previsto.