Actualizar un almacén de datos de eventos con la AWS CLI - AWS CloudTrail
Actualizar el modo de facturación con la AWS CLIActualice el modo de retención, habilite la protección contra la terminación y especifique una AWS KMS key con la AWS CLIDeshabilitar la protección contra la terminación con la AWS CLI

Actualizar un almacén de datos de eventos con la AWS CLI

En esta sección, se ofrecen ejemplos que muestran cómo actualizar la configuración de un almacén de datos de eventos mediante la ejecución del comando update-event-data-store de la AWS CLI.

Actualizar el modo de facturación con la AWS CLI

El --billing-mode para el almacén de datos de eventos determina el costo de la incorporación y el almacenamiento de eventos, así como el periodo de retención máximo y predeterminado del almacén de datos de eventos. Si el --billing-mode del almacén de datos de eventos está establecido en FIXED_RETENTION_PRICING, puede cambiar el valor a EXTENDABLE_RETENTION_PRICING, pero por lo general se recomienda EXTENDABLE_RETENTION_PRICING si el almacén de datos de eventos incorpora menos de 25 TB de datos de eventos al mes y desea un periodo de retención flexible de hasta 3653 días. Para obtener información sobre precios, consulte Precios de AWS CloudTrail y Administración de los costos de CloudTrail Lake.

nota

No puede cambiar el valor --billing-mode de EXTENDABLE_RETENTION_PRICING a FIXED_RETENTION_PRICING. Si el modo de facturación del almacén de datos de eventos está configurado en EXTENDABLE_RETENTION_PRICING y quiere utilizar FIXED_RETENTION_PRICING en su lugar, puede detener la incorporación en el almacén de datos de eventos y crear un nuevo almacén de datos de eventos que utilice FIXED_RETENTION_PRICING.

El siguiente comando de ejemplo update-event-data-store de la AWS CLI cambia el --billing-mode del almacén de datos de eventos de FIXED_RETENTION_PRICING a EXTENDABLE_RETENTION_PRICING. El valor del parámetro --event-data-store requerido es un ARN (o el sufijo ID del ARN) y es obligatorio; los demás parámetros son opcionales. 

aws cloudtrail update-event-data-store \
--region us-east-1 \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--billing-mode EXTENDABLE_RETENTION_PRICING

A continuación, se muestra un ejemplo de respuesta.

{
    "EventDataStoreArn": "event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "management-events-eds",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 2557,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00",
    "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00"
}

Actualice el modo de retención, habilite la protección contra la terminación y especifique una AWS KMS key con la AWS CLI

El siguiente ejemplo del comando de la AWS CLI update-event-data-store actualiza un almacén de datos de eventos para cambiar su periodo de retención a 100 días y habilitar la protección contra la terminación. El valor del parámetro --event-data-store requerido es un ARN (o el sufijo ID del ARN) y es obligatorio; los demás parámetros son opcionales. En este ejemplo, se agrega el parámetro --retention-period para cambiar el periodo de retención a 100 días. Si lo desea, puede optar por habilitar el cifrado de AWS Key Management Service y especificar una AWS KMS key agregando el --kms-key-id al comando y especificando el ARN de una clave de KMS como valor. --termination-protection-enabled se agrega para habilitar la protección contra la terminación en un almacén de datos de eventos que no tenía habilitada dicha protección.

Un almacén de datos de eventos que registra eventos externos a AWS no se puede actualizar para que registre eventos de AWS. Del mismo modo, un almacén de datos de eventos que registra eventos de AWS no se puede actualizar para que registre eventos externos a AWS.

nota

Si reduce el periodo de retención de un almacén de datos de eventos, CloudTrail eliminará todos los eventos que tengan un periodo de retención de eventTime anterior al nuevo. Por ejemplo, si el periodo de retención anterior era de 365 días y lo reduce a 100 días, CloudTrail eliminará los eventos con una antigüedad de eventTime superior a 100 días.

aws cloudtrail update-event-data-store \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE \
--retention-period 100 \
--kms-key-id "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias" \
--termination-protection-enabled

A continuación, se muestra un ejemplo de respuesta.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-ee54-4813-92d5-999aeEXAMPLE",
    "Name": "my-event-data-store",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "Select all S3 data events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:aws:s3"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 100,
    "KmsKeyId": "arn:aws:kms:us-east-1:0123456789:alias/KMS_key_alias",
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00",
    "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00"
}

Deshabilitar la protección contra la terminación con la AWS CLI

De forma predeterminada, la protección contra la terminación está habilitada en un almacén de datos de eventos para proteger el almacén de datos de eventos de una eliminación accidental. No puede eliminar un almacén de datos de eventos cuando la protección contra la terminación está habilitada. Si desea eliminar el almacén de datos de eventos, primero debe deshabilitar la protección contra la terminación.

El siguiente comando de ejemplo update-event-data-store de la AWS CLI deshabilita la protección contra la terminación pasando el parámetro --no-termination-protection-enabled.

aws cloudtrail update-event-data-store \
--region us-east-1 \
--no-termination-protection-enabled \
--event-data-store arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE

A continuación, se muestra un ejemplo de respuesta.

{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:123456789012:eventdatastore/EXAMPLE-f852-4e8f-8bd1-bcf6cEXAMPLE",
    "Name": "management-events-eds",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "Default management events",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Management"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": false,
    "CreatedTimestamp": "2023-10-27T10:55:55.384000-04:00",
    "UpdatedTimestamp": "2023-10-27T10:57:05.549000-04:00"
}