Cómo entender los registros de seguimiento de varias regiones y las regiones optativas - AWS CloudTrail
¿Cuáles son las ventajas de los registro de seguimiento de varias regiones?¿Qué ocurre cuando se crea un registro de seguimiento de varias regiones?¿Qué sucede cuando se habilita una región optativa?¿Qué sucede cuando se deshabilita una región optativa?

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo entender los registros de seguimiento de varias regiones y las regiones optativas

Un sendero se puede aplicar a todos los Regiones de AWS que estén habilitados en su región Cuenta de AWS o se puede aplicar a una sola región. Una ruta que se aplica a todas las Regiones de AWS que están habilitadas en la suya Cuenta de AWS se denomina ruta multirregional. Como práctica recomendada, le sugerimos crear un registro de seguimiento de varias regiones, ya que captura la actividad en todas las regiones habilitadas. Todos los senderos creados con la CloudTrail consola son senderos multirregionales. Solo puede crear un sendero de una sola región mediante la operación AWS CLI o CreateTrailAPI.

Aunque la mayoría Regiones de AWS están habilitadas de forma predeterminada Cuenta de AWS, debes habilitar manualmente determinadas regiones (también denominadas regiones de suscripción). Para obtener información sobre qué regiones están habilitadas por defecto, consulte Considerations before enabling and disabling Regions en la Guía de referencia de AWS Account Management . Para ver la lista de regiones CloudTrail compatibles, consulteCloudTrail regiones compatibles.

¿Cuáles son las ventajas de los registro de seguimiento de varias regiones?

Los registros de seguimiento multirregión tienen las siguientes ventajas:

  • Los valores de configuración del registro de seguimiento se aplican de forma sistemática a todas las Regiones de AWShabilitadas .

  • Recibirá los CloudTrail eventos de todos los activados Regiones de AWS en un único bucket de Amazon S3 y, de forma opcional, en un grupo de CloudWatch registros.

  • Usted administra las configuraciones de seguimiento de todos los registros habilitados Regiones de AWS desde una sola ubicación.

¿Qué ocurre cuando se crea un registro de seguimiento de varias regiones?

Crear un registro de seguimiento de varias regiones tiene los siguientes efectos:

  • CloudTrail entrega los archivos de registro de la actividad de la cuenta de todas las cuentas habilitadas Regiones de AWS al único bucket de Amazon S3 que especifique y, opcionalmente, a un grupo de CloudWatch registros.

  • Si ha configurado un tema de Amazon SNS para la ruta, las notificaciones de SNS sobre las entregas de archivos de registro en todos los casos habilitados Regiones de AWS se envían a ese único tema de SNS.

  • Puede ver la ruta multirregional si está habilitada Regiones de AWS, pero solo puede modificar la ruta en la región de origen en la que se creó.

¿Qué sucede cuando se habilita una región optativa?

Tras activar una región de suscripción, CloudTrail crea una copia idéntica de cada ruta multirregional de la región de suscripción que hayas activado.

CloudTrail utiliza un modelo de computación distribuida denominado consistencia eventual. Como la activación de una región demora entre unos minutos y varias horas, es posible que no vea de inmediato todos los eventos en los registros de la región recién habilitada. La entrega de todos los registros de CloudTrail la región recién habilitada puede tardar varias horas. Durante este tiempo, puede ver los últimos 90 días de los eventos de administración registrados en esa región consultando el historial de CloudTrail eventos o ejecutando el aws cloudtrail lookup-events --region <region>comando. El historial de eventos está activo de forma predeterminada en su región Cuenta de AWS, captura los últimos 90 días de los eventos de administración registrados en una región y no requiere un registro.

Para obtener información sobre cómo habilitar una región opcional para su organización Cuenta de AWS, consulte Habilitar o deshabilitar una región para cuentas independientes o Habilitar o deshabilitar una región en su organización.

¿Qué sucede cuando se deshabilita una región optativa?

Como es posible que tu cuenta tenga actividad en la región que has desactivado (por ejemplo, acciones Servicios de AWS para eliminar recursos), CloudTrail seguirá capturando actividad e intentando incluir los eventos en el bucket de S3 para las rutas que no se eliminen antes de que se inhabilite la región.