Uso de AWS CloudTrail con los puntos de enlace de la VPC de la interfaz - AWS CloudTrail
RegionesCrear un punto de enlace de la VPC para CloudTrailCrear una política de punto de conexión de VPC para CloudTrailSubredes compartidas

Uso de AWS CloudTrail con los puntos de enlace de la VPC de la interfaz

Si utiliza Amazon Virtual Private Cloud (Amazon VPC) para alojar sus recursos de AWS, puede establecer una conexión privada entre su VPC y AWS CloudTrail. Puede utilizar esta conexión para habilitar que CloudTrail se comunique con sus recursos en su VPC sin pasar por la red pública de Internet.

Amazon VPC es un servicio de AWS que puede utilizar para lanzar recursos de AWS en una red virtual que usted defina. Con una VPC, puede controlar la configuración de la red, como el rango de direcciones IP, las subredes, las tablas de ruteo y las gateways de red. Con puntos de enlace de la VPC, el enrutamiento entre la VPC y los servicios de AWS se controla mediante la red de AWS y puede utilizar políticas de IAM para controlar el acceso a los recursos de servicio.

Con el fin de conectar la VPC a CloudTrail, debe definir un punto de enlace de la VPC de la interfaz para CloudTrail. Un punto de conexión de interfaz es una interfaz de red elástica con una dirección IP privada que actúa como punto de entrada para el tráfico dirigido a un servicio de AWS compatible. El punto de enlace ofrece conectividad escalable de confianza con CloudTrail sin necesidad de utilizar una gateway de Internet, una instancia de conversión de las direcciones de red (NAT) o una conexión de VPN. Para obtener más información, consulte ¿Qué es Amazon VPC en la Guía del usuario de Amazon VPC.

Los puntos de conexión de VPC de tipo interfaz utilizan la tecnología de AWSPrivateLink, una tecnología de AWS que permite la comunicación privada entre los servicios de AWS mediante una interfaz de red elástica con direcciones IP privadas. Para obtener más información, consulte AWS PrivateLink.

Las siguientes secciones son para usuarios de Amazon VPC. Para obtener más información, consulte Introducción a Amazon VPC en la Guía del usuario de Amazon VPC.

Regiones

AWS CloudTrail admite los puntos de conexión de VPC y las políticas de punto de conexión de VPC en todas las Regiones de AWS en las que se admite CloudTrail.

Crear un punto de enlace de la VPC para CloudTrail

Con el fin de comenzar a utilizar CloudTrail con la VPC, cree un punto de enlace de la VPC de interfaz para CloudTrail. Para obtener más información, consulte Acceso a un Servicio de AWS a través de un punto de conexión de VPC de interfaz en la Guía del usuario de Amazon VPC.

No necesita cambiar la configuración de CloudTrail. CloudTrail llama a otros Servicios de AWS con puntos de conexión públicos o puntos de conexión de VPC de interfaz privados, lo que esté en uso.

Crear una política de punto de conexión de VPC para CloudTrail

Una política de punto de conexión de VPC es un recurso de IAM que puede adjuntar a un punto de conexión de VPC de interfaz. La política de punto de conexión predeterminada brinda acceso completo a las API de CloudTrail a través del punto de conexión de VPC de interfaz. Para controlar el acceso otorgado a CloudTrail desde su VPC, adjunte una política de punto de conexión personalizada al punto de conexión de VPC de interfaz.

Una política de punto de conexión especifica la siguiente información:

  • Las entidades principales que pueden llevar a cabo acciones (Cuentas de AWS, usuarios de IAM y roles de IAM).

  • Las acciones que se pueden realizar.

  • Los recursos en los que se pueden llevar a cabo las acciones.

Para obtener más información acerca de las políticas de punto de conexión de VPC, incluida cómo actualizar una política, consulte Control del acceso a los servicios con puntos de conexión de VPC en la Guía del usuario de VPC de Amazon.

A continuación, se muestran ejemplos de políticas de punto de conexión de VPC personalizadas para CloudTrail.

Ejemplo: permitir todas las acciones de CloudTrail

La siguiente política de punto de conexión de VPC de muestra concede acceso a todas las acciones de CloudTrail para todas las entidades principales en todos los recursos.

JSON
{
     "Version":"2012-10-17",		 	 	 
     "Statement": [
         {
             "Action": "cloudtrail:*",
             "Effect": "Allow",
             "Resource": "*",
             "Principal": "*"
         }
     ]
}

Ejemplo: permitir acciones de CloudTrail específicas

La siguiente política de punto de conexión de VPC de muestra concede acceso para realizar las acciones de cloudtrail:ListTrails y cloudtrail:ListEventDataStores para todas las entidades principales en todos los recursos.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": ["cloudtrail:ListTrails", "cloudtrail:ListEventDataStores"],
            "Effect": "Allow",
            "Principal": "*",
            "Resource": "*"
        }
    ]
}

Ejemplo: denegar todas las acciones de CloudTrail

La siguiente política de punto de conexión de VPC de muestra deniega acceso a todas las acciones de CloudTrail para todas las entidades principales en todos los recursos.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "cloudtrail:*",
            "Effect": "Deny",
            "Principal": "*",
            "Resource": "*"
        }
    ]
}

Ejemplo: denegar acciones específicas de CloudTrail

La siguiente política de punto de conexión de VPC de muestra deniega las acciones de cloudtrail:CreateTrail y cloudtrail:CreateEventDataStore para todas las entidades principales en todos los recursos.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": ["cloudtrail:CreateTrail", "cloudtrail:CreateEventDataStore"],
            "Effect": "Deny",
            "Principal": "*",
            "Resource": "*"
        }
    ]
}

Ejemplo: permitir todas las acciones de CloudTrail desde una VPC específica

La siguiente política de punto de conexión de VPC de muestra concede acceso para realizar todas las acciones de CloudTrail para todas las entidades principales en todos los recursos, pero solo si el solicitante utiliza la VPC específica para realizar la solicitud. Reemplace vpc-id por el ID de la VPC.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "cloudtrail:*",
      "Resource": "*",
      "Principal": "*",
      "Condition": {
        "StringEquals": {
        "aws:SourceVpc": "vpc-1234567890abcdef0"
        }
      }
    }
  ]
}

Ejemplo: permitir todas las acciones de CloudTrail desde un punto de conexión de VPC específico

La siguiente política de punto de conexión de VPC de muestra concede acceso para realizar todas las acciones de CloudTrail para todas las entidades principales en todos los recursos, pero solo si el solicitante utiliza el punto de conexión de VPC específico para realizar la solicitud. Reemplace vpc-endpoint-id por su ID de punto de conexión de VPC.

JSON
{
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "cloudtrail:*",
         "Resource": "*",
         "Condition": {
             "StringEquals": {
                "aws:SourceVpce": "vpce-1a2b3c4d"
             }
         }
       }
    ]
  }

Subredes compartidas

Un punto de conexión de VPC de CloudTrail, como cualquier otro punto de conexión de VPC, solo lo puede crear una cuenta de propietario en la subred compartida. No obstante, una cuenta de participante puede usar puntos de conexión de VPC de CloudTrail en subredes que se compartan con la cuenta de participante. Para obtener más información sobre el uso compartido de Amazon VPC, consulte Compartir su VPC con otras cuentas en la Guía del usuario de Amazon VPC.