Conceptos de CloudTrail
En esta sección se resumen los conceptos básicos relacionados con CloudTrail.
Conceptos:
Eventos de CloudTrail
Un evento en CloudTrail es el registro de una actividad en una cuenta de AWS. Esta actividad puede ser una acción de una identidad de IAM o un servicio que CloudTrail puede supervisar. Los eventos de CloudTrail proporcionan un historial de las actividades de la cuenta, tanto de la API como no de esta, que se realizan a través de la Consola de administración de AWS, los SDK de AWS, las herramientas de línea de comando y otros servicios de AWS.
Los archivos de registro de CloudTrail no rastrean el orden en la pila de las llamadas a la API públicas, por lo que los eventos no aparecen en un orden específico.
CloudTrail registra cuatro tipos de eventos:
Todos los tipos de eventos utilizan un formato de registro JSON de CloudTrail.
De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos registran los eventos de administración, pero no los eventos de datos o de Insights.
Para obtener información sobre cómo integrar Servicios de AWS con CloudTrail, consulte AWSTemas de servicio de para CloudTrail.
Eventos de administración
Los eventos de administración proporcionan información sobre las operaciones de administración que se realizan en los recursos de su cuenta de AWS. Se denominan también operaciones del plano de control.
Algunos ejemplos de eventos de administración son los siguientes:
-
Configuración de la seguridad (por ejemplo, operaciones de la API AWS Identity and Access Management de
AttachRolePolicy). -
Registro de dispositivos (por ejemplo, operaciones de la API
CreateDefaultVpcde Amazon EC2). -
Configuración de reglas para el enrutamiento de datos (por ejemplo, operaciones de la API
CreateSubnetde Amazon EC2). -
Configuración del registro (por ejemplo, operaciones de la API AWS CloudTrail de
CreateTrail).
Los eventos de administración también pueden incluir eventos no generados por la API que se producen en su cuenta. Por ejemplo, cuando un usuario inicia sesión en su cuenta, CloudTrail registra el evento ConsoleLogin. Para obtener más información, consulte Eventos no generados por la API capturados por CloudTrail.
De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos de CloudTrail Lake registran los eventos de administración. Para obtener más información sobre el registro de eventos de administración, consulte Registro de eventos de administración.
Eventos de datos
Los eventos de datos proporcionan información sobre las operaciones realizadas en un recurso o dentro de él. Se denominan también operaciones del plano de datos. Los eventos de datos suelen ser actividades de gran volumen.
Algunos ejemplos de eventos de datos son los siguientes:
-
Actividad de la API en el nivel de objeto de Amazon S3 (por ejemplo, las operaciones
GetObject,DeleteObjectyPutObjectde la API) en objetos de los buckets de S3. -
Actividad de ejecución de funciones de AWS Lambda (la API
Invoke). -
La actividad de
PutAuditEventsde CloudTrail en un canal de CloudTrail Lake que se utiliza para registrar eventos externos a AWS. -
Operaciones de la API
PublishyPublishBatchde Amazon SNS sobre temas.
En la siguiente tabla, se muestran los tipos de recursos disponibles para los registros de seguimiento y los almacenes de datos de eventos. En la columna Tipo de recurso (consola), se muestra la selección adecuada en la consola. En la columna resources.type value, se muestra el valor de resources.type que debe especificar para incluir eventos de datos de ese tipo en el registro de seguimiento o el almacén de datos de eventos por medio de la AWS CLI o las API de CloudTrail.
En el caso de los registros de seguimiento, puede utilizar selectores de eventos básicos o avanzados para registrar eventos de datos de objetos de Amazon S3 en buckets, funciones de Lambda y tablas de DynamoDB de uso general (se muestran en las tres primeras filas de la tabla). Solo puede usar selectores de eventos avanzados para registrar los tipos de recursos que se muestran en las filas restantes.
En el caso de los almacenes de datos de eventos, puede utilizar selectores de eventos avanzados para que se incluyan eventos de datos únicamente.
Eventos de datos compatibles con AWS CloudTrail
| Servicio de AWS | Descripción | Tipo de recurso (consola) | resources.type value |
|---|---|---|---|
| Amazon RDS | Actividad de la API de Amazon RDS en un clúster de base de datos. |
API de datos de RDS: clúster de base de datos | AWS::RDS::DBCluster |
| Amazon S3 | Actividad de la API en el nivel de objeto de Amazon S3 (por ejemplo, las operaciones |
S3 | AWS::S3::Object |
| Amazon S3 | Actividad de la API de Amazon S3 en los puntos de acceso. |
Punto de acceso de S | AWS::S3::AccessPoint |
| Amazon S3 | Actividad de la API en el nivel de objeto de Amazon S3 (por ejemplo, las operaciones |
S3 Express | AWS::S3Express::Object |
| Amazon S3 | Actividad de la API en los puntos de acceso de Amazon S3 Object Lambda, como las llamadas a |
S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint |
| Amazon S3 | Actividad de la API de Amazon FSx en volúmenes. |
Volumen de FSx | AWS::FSx::Volume |
| Tablas de Amazon S3 | Actividad de la API de Amazon S3 en las tablas. |
Tabla de S3 | AWS::S3Tables::Table |
| Tablas de Amazon S3 | Actividad de la API de Amazon S3 en los buckets de las tablas. |
Bucket de tablas de S3 | AWS::S3Tables::TableBucket |
| Amazon S3 Vectors | Actividad de la API de Amazon S3 en los buckets de vectores. |
Bucket de vector S3 | AWS::S3Vectors::VectorBucket |
| Amazon S3 Vectors | Actividad de la API de Amazon S3 en índices de vectores. |
Índice de vector S3 | AWS::S3Vectors::Index |
| Amazon S3 en Outposts | Actividad de la API en cuanto a objetos de Amazon S3 en Outposts. |
S3 Outposts | AWS::S3Outposts::Object |
| Amazon SNS | Operaciones de la API |
Punto de conexión de la plataforma de SNS | AWS::SNS::PlatformEndpoint |
| Amazon SNS | Operaciones de la API |
Tema de SNS | AWS::SNS::Topic |
| Amazon SQS | Actividad de la API de Amazon SQS en los mensajes. |
SQS | AWS::SQS::Queue |
| AWS Supply Chain | Actividad de la API de AWS Supply Chain en una instancia. |
Supply Chain | AWS::SCN::Instance |
| Amazon SWF | Dominio de SWF | AWS::SWF::Domain |
|
| AWS AppConfig | Actividad de la API de AWS AppConfig para operaciones de configuración, como las llamadas a |
AWS AppConfig | AWS::AppConfig::Configuration |
| AWS AppSync | Actividad de la API de AWS AppSync en las API GraphQL de AppSync. |
AppSync GraphQL | AWS::AppSync::GraphQLApi |
| Amazon Aurora DSQL | Actividad de la API de Amazon Aurora DSQL en los recursos del clúster. |
Amazon Aurora DSQL | AWS::DSQL::Cluster |
| Intercambio de datos B2B de AWS | Actividad de la API de intercambio de datos entre empresas para operaciones de Transformer, como las llamadas a |
Intercambio de datos entre empresas | AWS::B2BI::Transformer |
| AWS Backup | Actividad de la API de datos de búsqueda de AWS Backup en trabajos de búsqueda. |
AWS Backup API de datos de búsqueda de | AWS::Backup::SearchJob |
| Amazon Bedrock | Actividad de la API de Amazon Bedrock en un alias de agente. | Alias de agente de Bedrock | AWS::Bedrock::AgentAlias |
| Amazon Bedrock | Actividad de la API de Amazon Bedrock en invocaciones asíncronas. | Invocación asíncrona de Bedrock | AWS::Bedrock::AsyncInvoke |
| Amazon Bedrock | Actividad de la API de Amazon Bedrock en un alias de flujo. | Alias de flujo de Bedrock | AWS::Bedrock::FlowAlias |
| Amazon Bedrock | Actividad de la API de Amazon Bedrock en barreras de protección. | Barrera de protección de Bedrock | AWS::Bedrock::Guardrail |
| Amazon Bedrock | Actividad de la API de Amazon Bedrock en un agente insertado | Agente insertado e invocado en Bedrock | AWS::Bedrock::InlineAgent |
| Amazon Bedrock | Actividad de la API de Amazon Bedrock en una base de conocimientos. | Base de conocimientos de Bedrock | AWS::Bedrock::KnowledgeBase |
| Amazon Bedrock | Actividad de la API de Amazon Bedrock en modelos. | Modelo de Bedrock | AWS::Bedrock::Model |
| Amazon Bedrock | Actividad de la API de Amazon Bedrock en peticiones. | Petición de Bedrock | AWS::Bedrock::PromptVersion |
| Amazon Bedrock | Actividad de la API de Amazon Bedrock en sesiones. | Sesión de Bedrock | AWS::Bedrock::Session |
| Amazon Bedrock | Actividad de la API de Amazon Bedrock en ejecuciones de flujo. |
Ejecución de flujo de Bedrock | AWS::Bedrock::FlowExecution |
| Amazon Bedrock | Actividad de la API de Amazon Bedrock en una política de razonamiento automatizado. |
Política de razonamiento automatizado de Bedrock | AWS::Bedrock::AutomatedReasoningPolicy |
| Amazon Bedrock | Actividad de la API de Amazon Bedrock en una versión de la política de razonamiento automatizado. |
Versión de la política de razonamiento automatizado de Bedrock | AWS::Bedrock::AutomatedReasoningPolicyVersion |
Amazon Bedrock |
Actividad de la API del proyecto de automatización de datos de Amazon Bedrock. |
Proyectos de automatización de datos de Bedrock |
|
Amazon Bedrock |
Actividad de la API de invocación de automatización de datos de Bedrock. |
Invocación de automatización de datos de Bedrock |
|
Amazon Bedrock |
Actividad de la API del perfil de automatización de datos de Amazon Bedrock. |
Perfil de automatización de datos de Bedrock |
|
Amazon Bedrock |
Actividad de la API del esquema de Amazon Bedrock. |
Esquema de Bedrock |
|
Amazon Bedrock |
Actividad de la API de intérprete de código de Amazon Bedrock. |
Intérprete de código AgentCore de Bedrock |
|
Amazon Bedrock |
Actividad de la API del navegador Amazon Bedrock. |
Navegador AgentCore de Bedrock |
|
Amazon Bedrock |
Actividad de la API de identidad de carga de trabajo de Amazon Bedrock. |
Identidad de carga de trabajo de AgentCore de Bedrock |
|
Amazon Bedrock |
Actividad de la API del directorio de identidad de carga de trabajo de Amazon Bedrock. |
Directorio de identidad de carga de trabajo de AgentCore de Bedrock |
|
Amazon Bedrock |
Actividad de la API de bóveda de token de Amazon Bedrock . |
Bóveda de token de AgentCore de Bedrock |
|
Amazon Bedrock |
Actividad de la API de CredentialProvider de APIKey de Amazon Bedrock. |
CredentialProvider de APIKey de AgentCore de Bedrock |
|
Amazon Bedrock |
Actividad de la API de tiempo de ejecución de Amazon Bedrock. |
Tiempo de ejecución de AgentCore de Bedrock |
|
Amazon Bedrock |
Actividad de la API del tiempo de ejecución del punto de conexión de Amazon Bedrock. |
Tiempo de ejecución de AgentCore del punto de conexión de Bedrock |
|
Amazon Bedrock |
Actividad de la API de la puerta de enlace de Amazon Bedrock. |
Puerta de enlace AgentCore de Bedrock |
|
Amazon Bedrock |
Actividad de la API de memoria de Amazon Bedrock. |
Memoria de AgentCore de Bedrock |
|
Amazon Bedrock |
Actividad de la API de CredentialProvider de Oauth2 de Amazon Bedrock. |
CredentialProvider de Oauth2 de AgentCore de Bedrock |
|
Amazon Bedrock |
Actividad de API personalizada del navegador Amazon Bedrock. |
Navegador AgentCore personalizado de Bedrock |
|
Amazon Bedrock |
Actividad de la API de intérprete de código personalizado de Amazon Bedrock. |
Intérprete de código AgentCore personalizado de Bedrock |
|
| Amazon Bedrock | Actividad de la API de la herramienta de Amazon Bedrock. |
Herramienta de Bedrock | AWS::Bedrock::Tool |
| AWS Cloud Map | Actividad AWS Cloud Map de la API en un espacio de nombres. | AWS Cloud Map Espacio de nombres de | |
| AWS Cloud Map | Actividad AWS Cloud Map de la API en un servicio. | AWS Cloud Map Servicio de | |
| Amazon CloudFront | Actividad de la API de CloudFront en un KeyValueStore. |
CloudFront KeyValueStore | AWS::CloudFront::KeyValueStore |
| AWS CloudTrail | La actividad de |
Canal de CloudTrail | AWS::CloudTrail::Channel |
| Amazon CloudWatch | Actividad de la API de Amazon CloudWatch en las métricas. |
Métrica de CloudWatch | AWS::CloudWatch::Metric |
| Monitor de flujo de red de Amazon CloudWatch | Actividad de la API del monitor de flujo de red de Amazon CloudWatch en los monitores. |
Monitor de flujo de red | AWS::NetworkFlowMonitor::Monitor |
| Monitor de flujo de red de Amazon CloudWatch | Actividad de la API del monitor de flujo de red de Amazon CloudWatch en el alcance. |
Agente del monitor de flujo de red del alcance | AWS::NetworkFlowMonitor::Scope |
| Amazon CloudWatch RUM | Actividad de la API de Amazon CloudWatch RUM en los monitores de aplicaciones. |
Monitor de aplicaciones de RUM | AWS::RUM::AppMonitor |
| Generador de perfiles de Amazon CodeGuru | Actividad de la API de perfiles de CodeGuru en grupos de creación de perfiles. | Grupo de perfiles de CodeGuru | AWS::CodeGuruProfiler::ProfilingGroup |
| Amazon CodeWhisperer | Actividad de la API de Amazon CodeWhisperer en una personalización. | Personalización de CodeWhisperer | AWS::CodeWhisperer::Customization |
| Amazon CodeWhisperer | Actividad de la API de Amazon CodeWhisperer en un perfil. | CodeWhisperer | AWS::CodeWhisperer::Profile |
| Amazon Cognito | Actividad de la API de Amazon Cognito en los grupos de identidades de Amazon Cognito. |
Grupos de identidades de Cognito | AWS::Cognito::IdentityPool |
| AWS Data Exchange | Actividad de la API de AWS Data Exchange en los activos. |
Activo de Data Exchange |
|
Amazon Data Firehose |
Actividad de la API del flujo de entrega de Amazon Data Firehose |
Amazon Data Firehose |
|
| AWS Deadline Cloud | Deadline Cloud Actividad de la API de en las flotas. |
Deadline Cloud Flota de |
|
| AWS Deadline Cloud | Deadline Cloud Actividad de la API de en los trabajos. |
Deadline Cloud Trabajo de |
|
| AWS Deadline Cloud | Deadline Cloud Actividad de la API de en las colas. |
Deadline Cloud Cola de |
|
| AWS Deadline Cloud | Deadline Cloud Actividad de la API de en los trabajadores. |
Deadline Cloud Trabajador de |
|
| Amazon DynamoDB | Actividad de la API en el nivel de elemento de Amazon DynamoDB en las tablas (por ejemplo, las operaciones notaPara las tablas con flujos habilitados, el campo |
DynamoDB |
|
| Amazon DynamoDB | Actividad de la API de Amazon DynamoDB en los flujos. |
DynamoDB Streams | AWS::DynamoDB::Stream |
| Amazon Elastic Block Store | API directas de Amazon Elastic Block Store (EBS), como |
API directas de Amazon EBS | AWS::EC2::Snapshot |
Amazon Elastic Compute Cloud |
Actividad de la API del punto de conexión de Amazon EC2 Instance Connect |
Punto de conexión a EC2 Instance Connect |
|
| Amazon Elastic Container Service | Actividad de la API de Amazon Elastic Container Service en una instancia de contenedor. |
Instancia de contenedor de ECS | AWS::ECS::ContainerInstance |
| Amazon Elastic Kubernetes Service | Actividad de la API de Amazon Elastic Kubernetes Service en los paneles. |
Paneles de Amazon Elastic Kubernetes Service | AWS::EKS::Dashboard |
| Amazon EMR | Actividad de la API de Amazon EMR en un espacio de trabajo de registros de escritura anticipada. | Espacio de trabajo de registro de escritura anticipada de EMR | AWS::EMRWAL::Workspace |
| Mensajes SMS para usuarios finales de AWS | Actividad de la API de Mensajes SMS para usuarios finales de AWS en las identidades de origen. | Identidad de origen de SMS Voice | AWS::SMSVoice::OriginationIdentity |
| Mensajes SMS para usuarios finales de AWS | Actividad de la API de mensajes SMS para usuarios finales de AWS en los mensajes. | Mensaje de voz de SMS | AWS::SMSVoice::Message |
| Mensajes de redes sociales para usuarios finales de AWS | Actividad de la API de Mensajes de redes sociales para usuarios finales de AWS en los ID de números de teléfono. | ID de número de teléfono de mensajes de redes sociales | AWS::SocialMessaging::PhoneNumberId |
| Mensajes de redes sociales para usuarios finales de AWS | Actividad de la API de Mensajes de redes sociales de AWS para usuarios finales en los ID de Waba. | ID de Waba ID de mensajes de redes sociales | AWS::SocialMessaging::WabaId |
| Amazon FinSpace | Amazon FinSpace Actividad de la API de en entornos. |
FinSpace | AWS::FinSpace::Environment |
| Amazon GameLift Streams | Actividad de la API de transmisión de Amazon GameLift Streams en las aplicaciones. |
Aplicación de GameLift Streams | AWS::GameLiftStreams::Application |
| Amazon GameLift Streams | Actividad de la API de transmisión de Amazon GameLift Streams en los grupos de transmisión. |
Grupo de transmisiones de GameLift Streams | AWS::GameLiftStreams::StreamGroup |
| AWS Glue | Actividad de la API de AWS Glue en tablas creadas por Lake Formation. |
Lake Formation | AWS::Glue::Table |
| Amazon GuardDuty | Actividad de la API de Amazon GuardDuty para un detector. |
Detector de GuardDuty | AWS::GuardDuty::Detector |
| AWS HealthImaging | Actividad de la API de AWS HealthImaging en los almacenes de datos. |
Almacén de datos de MedicalImaging | AWS::MedicalImaging::Datastore |
AWS HealthImaging |
Actividad de la API del conjunto de imágenes de AWS HealthImaging. |
Conjunto de imágenes de MedicalImaging |
|
| AWS IoT | Certificado IoT | AWS::IoT::Certificate |
|
| AWS IoT | Objeto de IoT | AWS::IoT::Thing |
|
| AWS IoT Greengrass Version 2 | Actividad de la API de Greengrass desde un dispositivo principal de Greengrass en una versión del componente. notaGreengrass no registra los eventos de acceso denegado. |
Versión del componente IoT Greengrass | AWS::GreengrassV2::ComponentVersion |
| AWS IoT Greengrass Version 2 | Actividad de la API de Greengrass desde un dispositivo principal de Greengrass en una implementación. notaGreengrass no registra los eventos de acceso denegado. |
Implementación de IoT Greengrass | AWS::GreengrassV2::Deployment |
| AWS IoT SiteWise | Activo de IoT SiteWise | AWS::IoTSiteWise::Asset |
|
| AWS IoT SiteWise | Actividad de la API de IoT SiteWise en las series temporales. |
Series temporales de IoT SiteWise | AWS::IoTSiteWise::TimeSeries |
| AWS IoT SiteWiseAsistente de | Actividad de la API de Sitewise Assistant en las conversaciones. |
Conversación con Sitewise Assist | AWS::SitewiseAssistant::Conversation |
| AWS IoT TwinMaker | Actividad de la API de IoT TwinMaker en una entidad. |
Entidad de IoT TwinMaker | AWS::IoTTwinMaker::Entity |
| AWS IoT TwinMaker | Actividad de la API de IoT TwinMaker en un espacio de trabajo. |
Espacio de trabajo de IoT TwinMaker | AWS::IoTTwinMaker::Workspace |
| Amazon Kendra Intelligent Ranking | Actividad de la API de Amazon Kendra Intelligent Ranking en los planes de ejecución de nuevas puntuaciones. |
Kendra Ranking | AWS::KendraRanking::ExecutionPlan |
| Amazon Keyspaces (for Apache Cassandra) | Actividad de la API de Amazon Keyspaces en una tabla. | Tabla de Cassandra | AWS::Cassandra::Table |
| Amazon Keyspaces (for Apache Cassandra) | Actividad de la API de Amazon Keyspaces (para Apache Cassandra) en transmisiones de Cassandra CDC. |
Transmisiones de Cassandra CDC | AWS::Cassandra::Stream |
| Amazon Kinesis Data Streams | Actividad de la API de Kinesis Data Streams en los flujos. | Flujo de Kinesis | AWS::Kinesis::Stream |
| Amazon Kinesis Data Streams | Actividad de la API de Kinesis Data Streams en los consumidores de flujos. | Consumidor de flujos de Kinesis | AWS::Kinesis::StreamConsumer |
| Amazon Kinesis Video Streams | Actividad de la API de Kinesis Video Streams en transmisiones de video, como llamadas a GetMedia y PutMedia. |
Kinesis Video Streams | AWS::KinesisVideo::Stream |
Amazon Kinesis Video Streams |
Actividad de la API del canal de señalización de video de Kinesis Video Streams. |
Canal de señalización de video de Kinesis |
|
| AWS Lambda | Actividad de ejecución de funciones de AWS Lambda (la API |
Lambda | AWS::Lambda::Function |
| Mapas de Amazon Location | Actividad de la API de mapas de Amazon Location | Mapas geográficos | AWS::GeoMaps::Provider |
| Amazon Location Places | Actividad de la API de Amazon Location Places. | Lugares geográficos | AWS::GeoPlaces::Provider |
| Rutas de Amazon Location | Actividad de la API de rutas de Amazon Location | Rutas geográficas | AWS::GeoRoutes::Provider |
| Amazon Machine Learning | Actividad de la API de machine learning en modelos de ML. | MLModel de maching learning | AWS::MachineLearning::MlModel |
| Amazon Managed Blockchain | Actividad de la API de Amazon Managed Blockchain en una red. |
Red de Managed Blockchain | AWS::ManagedBlockchain::Network |
| Amazon Managed Blockchain | Llamadas JSON-RPC de Amazon Managed Blockchain en nodos de Ethereum, como |
Managed Blockchain | AWS::ManagedBlockchain::Node |
| Amazon Managed Blockchain Query | Actividad de la API de Amazon Managed Blockchain Query. |
Managed Blockchain Query | AWS::ManagedBlockchainQuery::QueryAPI |
| Amazon Managed Workflows para Apache Airflow | Actividad de la API de Amazon MWAA en entornos. |
Managed Apache Airflow | AWS::MWAA::Environment |
| Gráfico de Amazon Neptune | Actividades de la API de datos, por ejemplo, consultas, algoritmos o búsquedas vectoriales, en un gráfico de Neptune. |
Gráfico de Neptune | AWS::NeptuneGraph::Graph |
| Amazon One Enterprise | Actividad de la API de Amazon One Enterprise en una clave de usuario. |
Clave de usuario de Amazon One | AWS::One::UKey |
| Amazon One Enterprise | Actividad de la API de Amazon One Enterprise en los usuarios. |
Usuario de Amazon One | AWS::One::User |
| AWS Payment Cryptography | Actividad de la API de AWS Payment Cryptography en los alias. | Alias de Payment Cryptography | AWS::PaymentCryptography::Alias |
| AWS Payment Cryptography | Actividad de la API de AWS Payment Cryptography en las claves. | Clave de Payment Cryptography | AWS::PaymentCryptography::Key |
| Amazon Pinpoint | Actividad de la API de Amazon Pinpoint en aplicaciones de segmentación móvil. |
Aplicación de segmentación móvil | AWS::Pinpoint::App |
| AWS Private CA | Conector AWS Private CA para la actividad de la API de Active Directory. |
AWS Private CA Conector para Active Directory | AWS::PCAConnectorAD::Connector |
| AWS Private CA | Conector de AWS Private CA para la actividad de la API de SCEP. |
AWS Private CA Conector para SCEP | AWS::PCAConnectorSCEP::Connector |
| Amazon Q Apps | Actividad de la API de datos en Amazon Q Apps. |
Amazon Q Apps | AWS::QApps::QApp |
| Amazon Q Apps | Actividad de la API de datos en las sesiones de Amazon Q Apps. |
Sesión de Amazon Q App | AWS::QApps::QAppSession |
| Amazon Q Business | Actividad de la API de Amazon Q Business en una aplicación. |
Aplicación de Amazon Q Business | AWS::QBusiness::Application |
| Amazon Q Business | Actividad de la API de Amazon Q Business en un origen de datos. |
Origen de datos de Amazon Q Business | AWS::QBusiness::DataSource |
| Amazon Q Business | Actividad de la API de Amazon Q Business en un índice. |
Índice de Amazon Q Business | AWS::QBusiness::Index |
| Amazon Q Business | Actividad de la API de Amazon Q Business en una experiencia web. |
Experiencia web de Amazon Q Business | AWS::QBusiness::WebExperience |
Amazon Q Business |
Actividad de la API de integración de Amazon Q Business. |
Integración de Amazon Q Business |
|
| Amazon Q Developer | Actividad de la API de Amazon Q Developer en una integración. |
Integración para Q Developer | AWS::QDeveloper::Integration |
| Amazon Q Developer | Actividad de la API de Amazon Q Developer en investigaciones operativas. |
Grupos de investigación de AIOps | AWS::AIOps::InvestigationGroup |
| Amazon Quick Suite | Actividad de la API de Amazon Quick Suite en un conector de acciones. |
AWS Acciones de QuickSuite de | AWS::Quicksight::ActionConnector |
Amazon Quick Suite |
Actividad de la API de flujo de Amazon Quick Suite. |
AWS::QuickSight::Flow |
|
Amazon Quick Suite |
Actividad de la API de FlowSession de Amazon Quick Suite. |
AWS::QuickSight::FlowSession |
|
| Amazon SageMaker AI | Actividad de InvokeEndpointWithResponseStream de Amazon SageMaker AI en puntos de conexión. |
Punto de conexión de SageMaker AI | AWS::SageMaker::Endpoint |
| Amazon SageMaker AI | Actividad de la API de Amazon SageMaker AI en los almacenes de características. |
Almacén de características de SageMaker AI | AWS::SageMaker::FeatureGroup |
| Amazon SageMaker AI | Actividad de la API de Amazon SageMaker AI en los componentes del registro de seguimiento experimental. |
Componente de prueba del experimento de métricas de SageMaker AI | AWS::SageMaker::ExperimentTrialComponent |
Amazon SageMaker AI |
Actividad de la API MLFlow de Amazon SageMaker AI. |
MLflow de Sagemaker |
|
| AWS Signer | Actividad de la API de Signer sobre el trabajo de firma. |
Trabajo de firma de Signer | AWS::Signer::SigningJob |
| AWS Signer | Actividad de la API de Signer sobre los trabajos de firma. |
Perfil de firma del Signer | AWS::Signer::SigningProfile |
| Amazon Simple Email Service | Actividad de la API de Amazon Simple Email Service (Amazon SES) en conjuntos de configuraciones. |
Conjunto de configuración de SES | AWS::SES::ConfigurationSet |
| Amazon Simple Email Service | Actividad de la API de Amazon Simple Email Service (Amazon SES) en identidades de correo electrónico. |
Identidad de SES | AWS::SES::EmailIdentity |
| Amazon Simple Email Service | Actividad de la API de Amazon Simple Email Service (Amazon SES) en plantillas. |
Plantilla de SES | AWS::SES::Template |
| Amazon SimpleDB | Actividad de la API de Amazon SimpleDB en los dominios. |
Dominio de SimpleDB | AWS::SDB::Domain |
| AWS Step Functions | Actividad de la API de Step Functions en las actividades. |
Step Functions | AWS::StepFunctions::Activity |
| AWS Step Functions | Actividad de la API de Step Functions en una máquina de estado. |
Máquina de estado de Step Functions | AWS::StepFunctions::StateMachine |
| AWS Systems Manager | Actividad de la API de Systems Manager en los canales de control. | Systems Manager | AWS::SSMMessages::ControlChannel |
| AWS Systems Manager | Actividad de la API de Systems Manager sobre las evaluaciones de impacto. | Evaluación de impacto de SSM | AWS::SSM::ExecutionPreview |
| AWS Systems Manager | Actividad de la API de Systems Manager en los nodos administrados. | Nodo administrado de Systems Manager | AWS::SSM::ManagedNode |
| Amazon Timestream | Actividad de la API Query de Amazon Timestream en las bases de datos. |
Base de datos de Timestream | AWS::Timestream::Database |
| Amazon Timestream | Actividad de la API de Amazon Timestream en los puntos de conexión regionales. | Punto de conexión regional de Timestream | AWS::Timestream::RegionalEndpoint |
| Amazon Timestream | Actividad de la API Query de Amazon Timestream en las tablas. |
Tabla de Timestream | AWS::Timestream::Table |
| Amazon Verified Permissions | Actividad de la API de Amazon Verified Permissions en un almacén de políticas. |
Amazon Verified Permissions | AWS::VerifiedPermissions::PolicyStore |
| Cliente ligero de Amazon WorkSpaces | Actividad de la API de cliente ligero de WorkSpaces en un dispositivo. | Dispositivo de cliente ligero | AWS::ThinClient::Device |
| Cliente ligero de Amazon WorkSpaces | Actividad de la API de cliente ligero de WorkSpaces en un entorno. | Entorno de cliente ligero | AWS::ThinClient::Environment |
| AWS X-Ray | Actividad de la API de X-Ray en los registros de seguimiento. |
Registros de seguimiento de X-Ray | AWS::XRay::Trace |
El registro de los eventos de datos está deshabilitado de forma predeterminada cuando crea un registro de seguimiento o un almacén de datos de eventos. Para registrar eventos de datos de CloudTrail, debe agregar explícitamente cada tipo de recurso cuya actividad desee recopilar. Para obtener más información sobre el registro de eventos de datos, consulte Registro de eventos de datos.
Se aplican cargos adicionales para registrar eventos de datos. Para conocer los precios de CloudTrail, consulte Precios de AWS CloudTrail
Eventos de actividad de la red
Los eventos de actividad de la red de CloudTrail permiten a los propietarios de los puntos de conexión de VPC grabar las llamadas a la API de AWS realizadas con sus puntos de conexión de VPC desde una VPC privada al Servicio de AWS. Los eventos de actividad de la red muestran información sobre las operaciones de recursos realizadas dentro de una VPC.
Puede registrar los eventos de actividad de la red para los siguientes servicios:
-
AWS AppConfig
-
AWS App Mesh
-
Amazon Athena
-
Intercambio de datos de AWS B2B
-
AWS Backup gateway
-
Amazon Bedrock
-
Administración de facturación y costos
-
Calculadora de precios de AWS
-
AWS Cost Explorer
-
API de control de nube de AWS
-
AWS CloudHSM
-
AWS Cloud Map
-
AWS CloudFormation
-
AWS CloudTrail
-
Amazon CloudWatch
-
Señales de aplicación de CloudWatch
-
AWS CodeDeploy
-
Amazon Comprehend Medical
-
AWS Config
-
Exportaciones de datos de AWS
-
Amazon Data Firehose
-
AWS Directory Service
-
Amazon DynamoDB
-
Amazon EC2
-
Amazon Elastic Container Service
-
Amazon Elastic File System
-
Elastic Load Balancing
-
Amazon EventBridge
-
Programador de Amazon EventBridge
-
Amazon Fraud Detector
-
capa gratuita de AWS
-
Amazon FSx
-
AWS Glue
-
AWS HealthLake
-
AWS IoT FleetWise
-
AWS IoT Secure Tunneling
-
Facturación de AWS
-
Amazon Keyspaces (for Apache Cassandra)
-
AWS KMS
-
AWS Lake Formation
-
AWS Lambda
-
AWS License Manager
-
Amazon Lookout for Equipment
-
Amazon Lookout for Vision
-
Amazon Personalize
-
Amazon Q Business
-
Amazon Rekognition
-
Amazon Relational Database Service
-
Amazon S3
nota
Amazon S3 no admite puntos de acceso de varias regiones.
-
Amazon SageMaker AI
-
AWS Secrets Manager
-
Amazon Simple Notification Service
-
Amazon Simple Queue Service
-
Amazon Simple Workflow Service
-
AWS Storage Gateway
-
Administrador de incidentes de AWS Systems Manager
-
Amazon Textract
-
Amazon Transcribe
-
Amazon Translate
-
AWS Transform
-
Amazon Verified Permissions
-
Amazon WorkMail
El registro de los eventos de actividad de la red está deshabilitado de forma predeterminada cuando crea un registro de seguimiento o un almacén de datos de eventos. A fin de registrar eventos de actividad de la red de CloudTrail, debe establecer explícitamente el origen de los eventos cuya actividad desea recopilar. Para obtener más información, consulte Registro de eventos de actividad de la red.
Se aplican cargos adicionales por el registro de eventos de actividad de la red. Para conocer los precios de CloudTrail, consulte Precios de AWS CloudTrail
Eventos de Insights
Los eventos de CloudTrail Insights capturan una tasa de llamadas inusuales de API o una actividad de tasa de error en su cuenta de AWS mediante el análisis de la actividad de administración de CloudTrail. Los eventos de Insights proporcionan información relevante, como la API asociada, el código de error, la hora del incidente y las estadísticas, que lo ayuda a conocer la actividad inusual y actuar en consecuencia. A diferencia de otros tipos de eventos capturados en un registro de seguimiento o un almacén de datos de eventos de CloudTrail, los eventos de Insights solo se registran cuando CloudTrail detecta cambios en el registro de la tasa de error o de uso de la API de su cuenta que difieren considerablemente de los patrones de uso típicos de la cuenta. Para obtener más información, consulte Trabajar con CloudTrail Insights.
Entre los ejemplos de actividad que podrían generar los eventos de Insights se incluyen los siguientes:
-
Por lo general, su cuenta registra no más de 20 llamadas a la API
deleteBucketde Amazon S3 por minuto, pero comienza a registrar un promedio de 100 llamadas a la APIdeleteBucketpor minuto. Se registra un evento de Insights al inicio de la actividad inusual y se registra otro evento de Insights para marcar el final de la actividad inusual. -
Por lo general, su cuenta registra 20 llamadas por minuto a la API
AuthorizeSecurityGroupIngressde Amazon EC2, pero comienza a registrar cero llamadas aAuthorizeSecurityGroupIngress. Un evento de Insights se registra al inicio de la actividad inusual y diez minutos más tarde, cuando finaliza la actividad inusual, se registra otro evento de Insights para marcar el final de la actividad inusual. -
Normalmente, su cuenta registra menos de uno error
AccessDeniedExceptionen un periodo de siete días en la API AWS Identity and Access Management,DeleteInstanceProfile. Su cuenta comienza a registrar un promedio de 12 erroresAccessDeniedExceptionpor minuto en la llamada a la APIDeleteInstanceProfile. Se registra un evento de Insights al inicio de la actividad de tasa de error inusual y se registra otro evento de Insights para marcar el final de la actividad inusual.
Estos ejemplos se ofrecen únicamente con fines ilustrativos. Sus resultados pueden variar según su caso de uso.
Para registrar eventos de Insights de CloudTrail, debe habilitar explícitamente los eventos de Insights en un registro de seguimiento o almacén de datos de eventos nuevo o existente. Para obtener más información acerca de la creación de un registro de seguimiento, consulte Creación de un registro de seguimiento con la consola de CloudTrail. Para obtener más información acerca de la creación de un almacén de datos de eventos, consulte Creación de un almacén de datos de eventos para los eventos de Insights con la consola.
Se aplican cargos adicionales por los eventos de Insights. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para más información, consulte Precios de AWS CloudTrail
Historial de eventos
El historial de eventos de CloudTrail proporciona un registro visible e inmutable, que se puede buscar y descargar, de los últimos 90 días de eventos de administración de CloudTrail en una Región de AWS. Puede utilizar este historial para obtener información sobre las acciones llevadas a cabo en su cuenta de AWS en la Consola de administración de AWS, los SDK de AWS, las herramientas de línea de comando y otros servicios de AWS. Puede personalizar la vista del historial de eventos en la consola de CloudTrail al seleccionar las columnas que desea mostrar. Para obtener más información, consulte Trabajar con el historial de eventos de CloudTrail.
Registros de seguimiento
Un registro de seguimiento es una configuración que permite la entrega de eventos de CloudTrail a un bucket de S3, con envío opcional a Registros de CloudWatch y Amazon EventBridge. Puede utilizar un registro de seguimiento para elegir los eventos de CloudTrail que desea enviar, cifrar sus archivos de registros de eventos de CloudTrail con una clave de AWS KMS y configurar las notificaciones de Amazon SNS para el envío del archivo de registros. Para obtener más información acerca de cómo crear y administrar un registro de seguimiento, consulte Creación de un registro de seguimiento para su Cuenta de AWS.
Registros de seguimiento multirregión y de una sola región
Puede crear registros de seguimiento multirregión y de una sola región para su Cuenta de AWS.
- registros de seguimiento multirregión
-
Cuando crea un registro de seguimiento de varias regiones, CloudTrail registra los eventos de todas las Regiones de AWS que están habilitadas en la Cuenta de AWS y envía los archivos de registro de eventos de CloudTrail al bucket de S3 que se especifique. Como práctica recomendada, le recomendamos crear un registro de seguimiento de varias regiones, ya que captura la actividad en todas las regiones habilitadas. Todos los registros de seguimiento que se crearon mediante la consola de CloudTrail son registros de seguimiento de varias regiones. Puede convertir un registro de seguimiento de una sola región en uno de varias regiones mediante la AWS CLI. Para obtener más información, consulte Cómo entender los registros de seguimiento de varias regiones y las regiones optativas, Creación de un registro de seguimiento con la consola y Conversión de un registro de seguimiento de una sola región en un registro de seguimiento de varias regiones.
- registros de seguimiento de una sola región
-
Cuando crea un registro de seguimiento de una sola región, CloudTrail solo registra los eventos de esa región. A continuación, entrega los archivos de registros de eventos de CloudTrail al bucket de Amazon S3 que especifique. Solo puede crear un registro de seguimiento de una sola región mediante la AWS CLI. Si crea registros de seguimiento individuales adicionales, puede disponer que dichos registros de seguimiento envíen los archivos de registro de eventos de CloudTrail al mismo bucket de S3 o a buckets separados. Esta es la opción predeterminada al crear un registro de seguimiento mediante la AWS CLI o la API de CloudTrail. Para obtener más información, consulte Creación, actualización y administración de registros de seguimiento con la AWS CLI.
nota
Puede especificar un bucket de Amazon S3 desde cualquier región para ambos tipos de registro de seguimiento.
Los registros de seguimiento multirregión tienen las siguientes ventajas:
-
Los valores de configuración del registro de seguimiento se aplican de forma sistemática a todas las Regiones de AWS habilitadas .
-
Recibirá eventos de CloudTrail desde todas las Regiones de AWS habilitadas en un único bucket de Amazon S3 y, de manera opcional, en un grupo de registro de Registros de CloudWatch.
-
Las configuraciones del registro de seguimiento para todas las Regiones de AWS habilitadas se administran desde una sola ubicación.
Crear un registro de seguimiento de varias regiones tiene los siguientes efectos:
-
CloudTrail envía los archivos de registros sobre la actividad de la cuenta desde todas las Regiones de AWS habilitadas al bucket de Amazon S3 que se especifique y, de manera opcional, a un grupo de registro de registros de CloudWatch.
-
Si ha configurado un tema de Amazon SNS para el registro de seguimiento, las notificaciones de SNS sobre los envíos de archivos de registros de todas las Regiones de AWS habilitadas se envían a este tema de SNS de forma exclusiva.
-
Puede ver el registro de seguimiento de varias regiones en todas las Regiones de AWS habilitadas, pero solo puede modificar el registro de seguimiento en la región de origen en la que se creó.
Independientemente de si un registro de seguimiento consta de varias regiones o de una sola región, los eventos enviados a Amazon EventBridge se reciben en el bus de eventos de cada región, en lugar de en un solo bus de eventos.
Varios registros de seguimiento por región
Si tiene diferentes grupos de usuarios, pero que están relacionados, como desarrolladores, personal de seguridad y auditores de TI, puede crear varios registros de seguimiento en cada región. De este modo, cada grupo recibe su propia copia de los archivos de registro.
CloudTrail admite cinco registros de seguimiento por región. Un registro de seguimiento multirregión cuenta como un registro de seguimiento por región.
Este es un ejemplo de una región con cinco registros de seguimiento:
-
Crea dos registros de seguimiento en la región EE. UU. Oeste (Norte de California) que se aplicarán únicamente a esta región.
-
Crea dos registros de seguimiento multirregión más en la región Oeste de EE. UU. (Norte de California).
-
Crea otro registro de seguimiento multirregión en la región Asia-Pacífico (Sídney). Este registro de seguimiento también existe como un registro de seguimiento en la región EE. UU. Oeste (Norte de California).
Puede ver una lista de los registros de seguimiento de una Región de AWS en la página Registros de seguimiento de la consola de CloudTrail. Para obtener más información, consulte Actualización de un registro de seguimiento con la consola de CloudTrail. Para conocer los precios de CloudTrail, consulte Precios de AWS CloudTrail
Registros de seguimiento de la organización
Un registro de seguimiento de organización es una configuración que permite el envío de eventos de CloudTrail en la cuenta de administración y en todas las cuentas miembro de una organización de AWS Organizations en el mismo bucket de Amazon S3, Registros de CloudWatch y Amazon EventBridge. La creación de un registro de seguimiento de organización lo ayuda a definir una estrategia uniforme de registro de eventos para su organización.
Todos los registros de seguimiento de la organización creados con la consola son registros de seguimiento multirregión que registran los eventos de las Regiones de AWS habilitadas en cada cuenta de miembro de la organización. Para registrar eventos en todas las particiones de AWS de su organización, cree un registro de seguimiento multirregión en cada partición. Puede crear un registro de seguimiento de la organización de una sola región o de varias regiones mediante la AWS CLI. Si crea un registro de seguimiento de una sola región, solo registrará la actividad en la Región de AWS del registro de seguimiento (también denominada región de origen).
Aunque la mayoría de Regiones de AWS están habilitadas por defecto en su Cuenta de AWS, debe habilitar manualmente determinadas regiones (también denominadas regiones optativas). Para obtener información sobre qué regiones están habilitadas por defecto, consulte Considerations before enabling and disabling Regions en la Guía de referencia de AWS Account Management. Para ver la lista de las regiones que admite CloudTrail, consulte Regiones compatibles con CloudTrail.
Al crear un registro de seguimiento de la organización, se creará una copia con el nombre que le asigne en las cuentas de miembros que pertenezcan a su organización.
-
Si el registro de seguimiento de la organización corresponde a una sola región y su región de origen no es una región optativa, se crea una copia en la región de origen del registro de seguimiento de la organización en cada cuenta de miembro.
-
Si el registro de seguimiento de la organización corresponde a una sola región y su región de origen es una región optativa, se crea una copia en la región de origen del registro de seguimiento de la organización en las cuentas de miembros que tengan activada esa región.
-
Si el registro de seguimiento de la organización es multirregión y su región de origen no es una región optativa, se crea una copia en cada Región de AWS habilitada en cada cuenta de miembro. Cuando una cuenta de miembro habilita una región optativa, tras la activación de dicha región se crea una copia del registro de seguimiento multirregión en la nueva región optativa habilitada.
-
Si el registro de seguimiento de la organización es multirregión y la región de origen es una región optativa, las cuentas de miembros no enviarán la actividad al registro de seguimiento de la organización a menos que habiliten la Región de AWS en la que se creó el registro de seguimiento de varias regiones. Por ejemplo, si crea un registro de seguimiento multirregión y elige la región de Europa (España) como región de origen dicho registro, solo las cuentas de miembros que hayan habilitado la región de Europa (España) en su cuenta enviarán su actividad al registro de seguimiento de la organización.
nota
CloudTrail crea registros de seguimiento de la organización en las cuentas de miembros aunque falle la validación de un recurso. Ejemplos de errores de validación:
-
Una política de buckets de Amazon S3 incorrecta
-
Una política de temas de Amazon SNS incorrecta
-
Incapacidad de realizar envíos a un grupo de registro de Registros de CloudWatch
-
Permisos insuficientes para cifrar mediante una clave de KMS
Las cuentas de miembros con permisos de CloudTrail pueden ver cualquier error de validación de un registro de seguimiento de la organización consultando la página de detalles del registro en la consola de CloudTrail o ejecutando el comando get-trail-status de la AWS CLI.
Los usuarios con permisos de CloudTrail en las cuentas de miembros podrán ver el registro de seguimiento de la organización (incluido el ARN de registro de seguimiento) cuando inicien sesión en la consola de CloudTrail desde sus cuentas de AWS, o cuando ejecuten comandos de la AWS CLI, como describe-trails (aunque las cuentas de miembros deben utilizar el ARN del registro de seguimiento de la organización, y no el nombre, cuando utilicen la AWS CLI). Sin embargo, los usuarios de las cuentas de miembros no tendrán permisos suficientes para eliminar el registro de seguimiento de la organización, activar o desactivar el registro, cambiar los tipos de eventos registrados o alterar el registro de seguimiento de la organización. Para obtener más información sobre AWS Organizations, consulte Terminología y conceptos de Organizations. Para obtener más información acerca de la creación y el uso de registros de seguimiento de organización, consulte Creación de un registro de seguimiento para una organización.
CloudTrail Lake y los almacenes de datos de eventos
CloudTrail Lake le permite ejecutar consultas precisas basadas en SQL sobre sus eventos y registrar eventos de orígenes externos a AWS, incluidas sus propias aplicaciones, y de socios que están integrados con CloudTrail. No necesita tener registros de seguimiento configurados en su cuenta para utilizar CloudTrail Lake.
Los eventos se agregan en almacenes de datos de eventos, que son colecciones inmutables de eventos en función de criterios que se seleccionan aplicando selectores de eventos avanzados. Puede conservar los datos de eventos en un almacén de datos de eventos durante un máximo de 3653 días (unos 10 años) si elige la opción Precio de retención ampliable por un año, o hasta 2557 días (unos 7 años) si elige la opción Precio de retención de siete años. Puede guardar las consultas de Lake para utilizarlas en el futuro y ver los resultados de las consultas durante un máximo de siete días. También puede guardar los resultados de las consultas en un bucket de S3. CloudTrail Lake también puede almacenar eventos de una organización en AWS Organizations en un almacén de datos de eventos, o eventos de múltiples regiones y cuentas. CloudTrail Lake forma parte de una solución de auditoría que le ayuda a realizar investigaciones de seguridad y a solucionar problemas. Para obtener más información, consulte Trabajar con AWS CloudTrail Lake y Conceptos y terminología de CloudTrail Lake.
CloudTrail Insights
CloudTrail Insights ayuda a los usuarios de AWS a identificar y responder a volúmenes inusuales de llamadas a la API o errores registrados en llamadas a la API mediante el análisis continuo de eventos de administración de CloudTrail. Un evento de Insights es un registro de niveles inusuales de actividad de API de administración write o niveles inusuales de errores devueltos en la actividad de la API de administración. De forma predeterminada, los registros de seguimiento y los almacenes de datos de eventos no registran eventos de CloudTrail Insights. En la consola, puede elegir registrar eventos de Insights cuando cree o actualice un registro de seguimiento o un almacén de datos de eventos. Cuando utiliza la API de CloudTrail, puede registrar eventos de Insights al editar la configuración de un registro de seguimiento o almacén de datos de eventos existentes con la API PutInsightSelectors. Se aplican cargos adicionales por registrar eventos de CloudTrail Insights. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para obtener más información, consulte Trabajar con CloudTrail Insights y Precios de AWS CloudTrail
Etiquetas
Una etiqueta es una clave y un valor opcional definidos por el usuario que se pueden asignar a recursos de AWS, como los registros de seguimiento de CloudTrail, los almacenes de datos de eventos y canales, los buckets de S3 que se utilizan para almacenar los archivos de registro de CloudTrail, las organizaciones y las unidades organizativas de AWS Organizations y muchos más. Si agrega las mismas etiquetas a los registros de seguimiento y a los buckets de S3 que utiliza para almacenar los archivos de registro de los registros de seguimiento, puede hacer que sea más sencillo administrar, buscar y filtrar estos recursos con Grupos de recursos de AWS. Puede implementar estrategias de etiquetado que le ayuden a encontrar y administrar los recursos de forma sencilla, coherente y eficaz. Para obtener más información, consulte Prácticas recomendadas para el etiquetado de recursos de AWS.
AWS Security Token Service y CloudTrail
AWS Security Token Service (AWS STS) es un servicio que tiene un punto de conexión global y que también admite puntos de conexión específicos para cada región. Un punto de enlace es una dirección URL que funciona como punto de entrada para solicitudes de servicios web. Por ejemplo, https://cloudtrail.us-west-2.amazonaws.com es el punto de entrada regional de EE. UU. Oeste (Oregón) para el servicio AWS CloudTrail. Los puntos de enlace regionales ayudan a reducir la latencia en sus aplicaciones.
Cuando se utiliza un punto de conexión específico para una región de AWS STS, el registro de seguimiento de esa región solo envía los eventos de AWS STS que se produzcan en esa región. Por ejemplo, si utiliza el punto de enlace sts.us-west-2.amazonaws.com, el registro de seguimiento en us-west-2 envía solamente los eventos de AWS STS que se originan en us-west-2. Para obtener más información sobre los puntos de enlace regionales de AWS STS, consulte Activación y desactivación de AWS STS en una región de AWS en la Guía del usuario de IAM.
Para obtener una lista completa de los puntos de enlace regionales de AWS, consulte Regiones y puntos de enlace de AWS en la Referencia general de AWS. Para obtener información detallada sobre los puntos de enlace de AWS STS, consulte Eventos de servicios globales.
Eventos de servicios globales
importante
A partir del 22 de noviembre de 2021, AWS CloudTrail cambió la forma en que los registros de seguimiento capturan eventos de servicios globales. Tras el cambio, los eventos creados por Amazon CloudFront,AWS Identity and Access Management y AWS STS se registrarán en la región en la que se crearon, la región Este de EE. UU. (Norte de Virginia), us-east-1. Esto hace que el tratamiento de CloudTrail de estos servicios sea coherente con el de otros servicios globales de AWS. Para continuar recibiendo eventos de servicios globales fuera de Este de EE. UU. (Norte de Virginia), asegúrese de convertir los registros de seguimiento de una sola región con el uso de eventos de servicio globales fuera de Este de EE. UU. (Norte de Virginia) en los registros de seguimiento de varias regiones. Para obtener más información acerca de la captura de eventos de servicios globales, consulte Habilitación y desactivación del registro de eventos de servicios globales más adelante en esta sección.
Por el contrario, el Historial de eventos de la consola de CloudTrail y el comando aws cloudtrail lookup-events mostrarán estos eventos en la Región de AWS en que se produjeron.
En la mayoría de los servicios, los eventos se registran en la región en la que se produjo la acción. En el caso de servicios globales como AWS Identity and Access Management (IAM), AWS STS y Amazon CloudFront, los eventos se envían a cualquier registro de seguimiento que incluya servicios globales.
En el caso de la mayoría de los servicios globales, los eventos se registran como si se produjeran en la región Este de EE. UU. (Norte de Virginia), pero algunos eventos de servicio globales se registran como si se produjeran en otras regiones, como las regiones Este de EE. UU. (Ohio) u Oeste de EE. UU. (Oregón).
Para evitar recibir eventos de servicios globales duplicados, recuerde lo siguiente:
-
De forma predeterminada, los eventos de servicios globales se envían a registros de seguimiento creados mediante la consola de CloudTrail. Los eventos se envían al bucket del registro de seguimiento.
-
Si dispone de varios registros de seguimiento para una única región, considere la posibilidad de configurarlos de forma que los eventos de servicios globales se envíen únicamente a uno de ellos. Para obtener más información, consulte Habilitación y desactivación del registro de eventos de servicios globales.
-
Si cambia la configuración de un registro de seguimiento de varias regiones a un registro de seguimiento de una sola región, el registro de eventos de servicios globales se desactiva de manera automática para dicho registro de seguimiento. De la misma manera, si cambia la configuración de un registro de seguimiento de una sola región a un registro de seguimiento de varias regiones, el registro de eventos de servicios globales se activa de manera automática para dicho registro de seguimiento.
Para obtener más información sobre cómo cambiar el registro de eventos de servicios globales de un registro de seguimiento, consulte Habilitación y desactivación del registro de eventos de servicios globales.
Ejemplo:
-
Crea un registro de seguimiento en la consola de CloudTrail. De forma predeterminada, este registro de seguimiento registra eventos de servicios globales.
-
Tiene múltiples registros de seguimiento de una sola región.
-
No es necesario que incluya los servicios globales para los registros de seguimiento de una sola región. Los eventos de servicios globales se envían al primer registro de seguimiento. Para obtener más información, consulte Creación, actualización y administración de registros de seguimiento con la AWS CLI.
nota
Cuando crea o actualiza un registro de seguimiento con la AWS CLI, los SDK de AWS o la API de CloudTrail puede determinar si desea incluir o excluir eventos de servicios globales para los registros de seguimiento. No puede configurar el registro de eventos de servicios globales en la consola de CloudTrail.
