Eventos de datos Eventos de solo lectura y de solo escritura Registrar eventos de datos con la Consola de administración de AWS Registrar eventos de datos con la AWS Command Line Interface Registrar eventos de datos para la conformidad con AWS Config Registro de eventos de datos con los SDK de AWS

Registro de eventos de datos

En esta sección se describe cómo registrar eventos de datos a través de la consola de CloudTrail y la AWS CLI.

De forma predeterminada, los registros y los almacenes de datos de eventos no registran eventos de datos. Se aplican cargos adicionales a los eventos de datos. Para más información, consulte Precios de AWS CloudTrail.

Los eventos de datos proporcionan información sobre las operaciones realizadas en un recurso o dentro de él. Se denominan también operaciones del plano de datos. Los eventos de datos suelen ser actividades de gran volumen.

Algunos ejemplos de eventos de datos son los siguientes:

Actividad de la API en el nivel de objeto de Amazon S3 (por ejemplo, las operaciones GetObject, DeleteObject y PutObject de la API) en objetos de los buckets de S3.
Actividad de ejecución de funciones de AWS Lambda (la API Invoke).
La actividad de PutAuditEvents de CloudTrail en un canal de CloudTrail Lake que se utiliza para registrar eventos externos a AWS.
Operaciones de la API Publish y PublishBatch de Amazon SNS sobre temas.

Puede usar selectores de eventos avanzados para crear selectores detallados que le ayuden a controlar los costos al registrar únicamente los eventos específicos de interés para sus casos de uso. Por ejemplo, puede utilizar selectores de eventos avanzados para registrar llamadas a la API específicas si agrega un filtro en el campo eventName. Para obtener más información, consulte Filtrado de los eventos de datos mediante selectores de eventos avanzados.

nota

Los eventos que registran sus registros de seguimiento están disponibles en Amazon EventBridge. Por ejemplo, si decide registrar eventos de datos para objetos de S3, pero no eventos de administración, el registro de seguimiento procesará y registrará únicamente los eventos de datos relativos a los objetos de S3 indicados. Los eventos de datos relativos a estos objetos de S3 están disponibles en Amazon EventBridge. Para obtener más información, consulte los eventos de servicio de AWS ofrecidos a través de CloudTrail en la Guía del usuario de Amazon EventBridge y en la Referencia de eventos de AWS.

Contenido

Eventos de datos

En la siguiente tabla, se muestran los tipos de recursos disponibles para los registros de seguimiento y los almacenes de datos de eventos. En la columna Tipo de recurso (consola), se muestra la selección adecuada en la consola. En la columna resources.type value, se muestra el valor de resources.type que debe especificar para incluir eventos de datos de ese tipo en el registro de seguimiento o el almacén de datos de eventos por medio de la AWS CLI o las API de CloudTrail.

En el caso de los registros de seguimiento, puede utilizar selectores de eventos básicos o avanzados para registrar eventos de datos de objetos de Amazon S3 en buckets, funciones de Lambda y tablas de DynamoDB de uso general (se muestran en las tres primeras filas de la tabla). Solo puede usar selectores de eventos avanzados para registrar los tipos de recursos que se muestran en las filas restantes.

En el caso de los almacenes de datos de eventos, puede utilizar selectores de eventos avanzados para que se incluyan eventos de datos únicamente.

Eventos de datos compatibles con AWS CloudTrail

Servicio de AWS	Descripción	Tipo de recurso (consola)	resources.type value
Amazon RDS	Actividad de la API de Amazon RDS en un clúster de base de datos.	API de datos de RDS: clúster de base de datos	`AWS::RDS::DBCluster`
Amazon S3	Actividad de la API en el nivel de objeto de Amazon S3 (por ejemplo, las operaciones `GetObject`, `DeleteObject` y `PutObject` de la API) en objetos de los buckets de uso general.	S3	`AWS::S3::Object`
Amazon S3	Actividad de la API de Amazon S3 en los puntos de acceso.	Punto de acceso de S	`AWS::S3::AccessPoint`
Amazon S3	Actividad de la API en el nivel de objeto de Amazon S3 (por ejemplo, las operaciones `GetObject`, `DeleteObject` y `PutObject` de la API) en objetos de los buckets de directorio.	S3 Express	`AWS::S3Express::Object`
Amazon S3	Actividad de la API en los puntos de acceso de Amazon S3 Object Lambda, como las llamadas a `CompleteMultipartUpload` y `GetObject`.	S3 Object Lambda	`AWS::S3ObjectLambda::AccessPoint`
Amazon S3	Actividad de la API de Amazon FSx en volúmenes.	Volumen de FSx	`AWS::FSx::Volume`
Tablas de Amazon S3	Actividad de la API de Amazon S3 en las tablas.	Tabla de S3	`AWS::S3Tables::Table`
Tablas de Amazon S3	Actividad de la API de Amazon S3 en los buckets de las tablas.	Bucket de tablas de S3	`AWS::S3Tables::TableBucket`
Amazon S3 Vectors	Actividad de la API de Amazon S3 en los buckets de vectores.	Bucket de vector S3	`AWS::S3Vectors::VectorBucket`
Amazon S3 Vectors	Actividad de la API de Amazon S3 en índices de vectores.	Índice de vector S3	`AWS::S3Vectors::Index`
Amazon S3 en Outposts	Actividad de la API en cuanto a objetos de Amazon S3 en Outposts.	S3 Outposts	`AWS::S3Outposts::Object`
Amazon SNS	Operaciones de la API `Publish` de Amazon SNS en los puntos de conexión de la plataforma.	Punto de conexión de la plataforma de SNS	`AWS::SNS::PlatformEndpoint`
Amazon SNS	Operaciones de la API `Publish` y `PublishBatch` de Amazon SNS sobre temas.	Tema de SNS	`AWS::SNS::Topic`
Amazon SQS	Actividad de la API de Amazon SQS en los mensajes.	SQS	`AWS::SQS::Queue`
AWS Supply Chain	Actividad de la API de AWS Supply Chain en una instancia.	Supply Chain	`AWS::SCN::Instance`
Amazon SWF	Actividad de la API de Amazon SWF en los dominios.	Dominio de SWF	`AWS::SWF::Domain`
AWS AppConfig	Actividad de la API de AWS AppConfig para operaciones de configuración, como las llamadas a `StartConfigurationSession` y `GetLatestConfiguration`.	AWS AppConfig	`AWS::AppConfig::Configuration`
AWS AppSync	Actividad de la API de AWS AppSync en las API GraphQL de AppSync.	AppSync GraphQL	`AWS::AppSync::GraphQLApi`
Amazon Aurora DSQL	Actividad de la API de Amazon Aurora DSQL en los recursos del clúster.	Amazon Aurora DSQL	`AWS::DSQL::Cluster`
Intercambio de datos B2B de AWS	Actividad de la API de intercambio de datos entre empresas para operaciones de Transformer, como las llamadas a `GetTransformerJob` y `StartTransformerJob`.	Intercambio de datos entre empresas	`AWS::B2BI::Transformer`
AWS Backup	Actividad de la API de datos de búsqueda de AWS Backup en trabajos de búsqueda.	AWS Backup API de datos de búsqueda de	`AWS::Backup::SearchJob`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en un alias de agente.	Alias de agente de Bedrock	`AWS::Bedrock::AgentAlias`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en invocaciones asíncronas.	Invocación asíncrona de Bedrock	`AWS::Bedrock::AsyncInvoke`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en un alias de flujo.	Alias de flujo de Bedrock	`AWS::Bedrock::FlowAlias`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en barreras de protección.	Barrera de protección de Bedrock	`AWS::Bedrock::Guardrail`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en un agente insertado	Agente insertado e invocado en Bedrock	`AWS::Bedrock::InlineAgent`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en una base de conocimientos.	Base de conocimientos de Bedrock	`AWS::Bedrock::KnowledgeBase`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en modelos.	Modelo de Bedrock	`AWS::Bedrock::Model`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en peticiones.	Petición de Bedrock	`AWS::Bedrock::PromptVersion`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en sesiones.	Sesión de Bedrock	`AWS::Bedrock::Session`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en ejecuciones de flujo.	Ejecución de flujo de Bedrock	`AWS::Bedrock::FlowExecution`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en una política de razonamiento automatizado.	Política de razonamiento automatizado de Bedrock	`AWS::Bedrock::AutomatedReasoningPolicy`
Amazon Bedrock	Actividad de la API de Amazon Bedrock en una versión de la política de razonamiento automatizado.	Versión de la política de razonamiento automatizado de Bedrock	`AWS::Bedrock::AutomatedReasoningPolicyVersion`
Amazon Bedrock	Actividad de la API del proyecto de automatización de datos de Amazon Bedrock.	Proyectos de automatización de datos de Bedrock	`AWS::Bedrock::DataAutomationProject`
Amazon Bedrock	Actividad de la API de invocación de automatización de datos de Bedrock.	Invocación de automatización de datos de Bedrock	`AWS::Bedrock::DataAutomationInvocation`
Amazon Bedrock	Actividad de la API del perfil de automatización de datos de Amazon Bedrock.	Perfil de automatización de datos de Bedrock	`AWS::Bedrock::DataAutomationProfile`
Amazon Bedrock	Actividad de la API del esquema de Amazon Bedrock.	Esquema de Bedrock	`AWS::Bedrock::Blueprint`
Amazon Bedrock	Actividad de la API de intérprete de código de Amazon Bedrock.	Intérprete de código AgentCore de Bedrock	`AWS::BedrockAgentCore::CodeInterpreter`
Amazon Bedrock	Actividad de la API del navegador Amazon Bedrock.	Navegador AgentCore de Bedrock	`AWS::BedrockAgentCore::Browser`
Amazon Bedrock	Actividad de la API de identidad de carga de trabajo de Amazon Bedrock.	Identidad de carga de trabajo de AgentCore de Bedrock	`AWS::BedrockAgentCore::WorkloadIdentity`
Amazon Bedrock	Actividad de la API del directorio de identidad de carga de trabajo de Amazon Bedrock.	Directorio de identidad de carga de trabajo de AgentCore de Bedrock	`AWS::BedrockAgentCore::WorkloadIdentityDirectory`
Amazon Bedrock	Actividad de la API de bóveda de token de Amazon Bedrock .	Bóveda de token de AgentCore de Bedrock	`AWS::BedrockAgentCore::TokenVault`
Amazon Bedrock	Actividad de la API de CredentialProvider de APIKey de Amazon Bedrock.	CredentialProvider de APIKey de AgentCore de Bedrock	`AWS::BedrockAgentCore::APIKeyCredentialProvider`
Amazon Bedrock	Actividad de la API de tiempo de ejecución de Amazon Bedrock.	Tiempo de ejecución de AgentCore de Bedrock	`AWS::BedrockAgentCore::Runtime`
Amazon Bedrock	Actividad de la API del tiempo de ejecución del punto de conexión de Amazon Bedrock.	Tiempo de ejecución de AgentCore del punto de conexión de Bedrock	`AWS::BedrockAgentCore::RuntimeEndpoint`
Amazon Bedrock	Actividad de la API de la puerta de enlace de Amazon Bedrock.	Puerta de enlace AgentCore de Bedrock	`AWS::BedrockAgentCore::Gateway`
Amazon Bedrock	Actividad de la API de memoria de Amazon Bedrock.	Memoria de AgentCore de Bedrock	`AWS::BedrockAgentCore::Memory`
Amazon Bedrock	Actividad de la API de CredentialProvider de Oauth2 de Amazon Bedrock.	CredentialProvider de Oauth2 de AgentCore de Bedrock	`AWS::BedrockAgentCore::OAuth2CredentialProvider`
Amazon Bedrock	Actividad de API personalizada del navegador Amazon Bedrock.	Navegador AgentCore personalizado de Bedrock	`AWS::BedrockAgentCore::BrowserCustom`
Amazon Bedrock	Actividad de la API de intérprete de código personalizado de Amazon Bedrock.	Intérprete de código AgentCore personalizado de Bedrock	`AWS::BedrockAgentCore::CodeInterpreterCustom`
Amazon Bedrock	Actividad de la API de la herramienta de Amazon Bedrock.	Herramienta de Bedrock	`AWS::Bedrock::Tool`
AWS Cloud Map	Actividad AWS Cloud Map de la API en un espacio de nombres.	AWS Cloud Map Espacio de nombres de	`AWS::ServiceDiscovery::Namespace`
AWS Cloud Map	Actividad AWS Cloud Map de la API en un servicio.	AWS Cloud Map Servicio de	`AWS::ServiceDiscovery::Service`
Amazon CloudFront	Actividad de la API de CloudFront en un KeyValueStore.	CloudFront KeyValueStore	`AWS::CloudFront::KeyValueStore`
AWS CloudTrail	La actividad de `PutAuditEvents` de CloudTrail en un canal de CloudTrail Lake que se utiliza para registrar eventos externos a AWS.	Canal de CloudTrail	`AWS::CloudTrail::Channel`
Amazon CloudWatch	Actividad de la API de Amazon CloudWatch en las métricas.	Métrica de CloudWatch	`AWS::CloudWatch::Metric`
Monitor de flujo de red de Amazon CloudWatch	Actividad de la API del monitor de flujo de red de Amazon CloudWatch en los monitores.	Monitor de flujo de red	`AWS::NetworkFlowMonitor::Monitor`
Monitor de flujo de red de Amazon CloudWatch	Actividad de la API del monitor de flujo de red de Amazon CloudWatch en el alcance.	Agente del monitor de flujo de red del alcance	`AWS::NetworkFlowMonitor::Scope`
Amazon CloudWatch RUM	Actividad de la API de Amazon CloudWatch RUM en los monitores de aplicaciones.	Monitor de aplicaciones de RUM	`AWS::RUM::AppMonitor`
Generador de perfiles de Amazon CodeGuru	Actividad de la API de perfiles de CodeGuru en grupos de creación de perfiles.	Grupo de perfiles de CodeGuru	`AWS::CodeGuruProfiler::ProfilingGroup`
Amazon CodeWhisperer	Actividad de la API de Amazon CodeWhisperer en una personalización.	Personalización de CodeWhisperer	`AWS::CodeWhisperer::Customization`
Amazon CodeWhisperer	Actividad de la API de Amazon CodeWhisperer en un perfil.	CodeWhisperer	`AWS::CodeWhisperer::Profile`
Amazon Cognito	Actividad de la API de Amazon Cognito en los grupos de identidades de Amazon Cognito.	Grupos de identidades de Cognito	`AWS::Cognito::IdentityPool`
AWS Data Exchange	Actividad de la API de AWS Data Exchange en los activos.	Activo de Data Exchange	`AWS::DataExchange::Asset`
Amazon Data Firehose	Actividad de la API del flujo de entrega de Amazon Data Firehose	Amazon Data Firehose	`AWS::KinesisFirehose::DeliveryStream`
AWS Deadline Cloud	Deadline Cloud Actividad de la API de en las flotas.	Deadline Cloud Flota de	`AWS::Deadline::Fleet`
AWS Deadline Cloud	Deadline Cloud Actividad de la API de en los trabajos.	Deadline Cloud Trabajo de	`AWS::Deadline::Job`
AWS Deadline Cloud	Deadline Cloud Actividad de la API de en las colas.	Deadline Cloud Cola de	`AWS::Deadline::Queue`
AWS Deadline Cloud	Deadline Cloud Actividad de la API de en los trabajadores.	Deadline Cloud Trabajador de	`AWS::Deadline::Worker`
Amazon DynamoDB	Actividad de la API en el nivel de elemento de Amazon DynamoDB en las tablas (por ejemplo, las operaciones `PutItem`, `DeleteItem` y `UpdateItem` de la API). nota Para las tablas con flujos habilitados, el campo `resources` del evento de datos contiene `AWS::DynamoDB::Stream` y `AWS::DynamoDB::Table`. Si especifica `AWS::DynamoDB::Table` como `resources.type`, registrará tanto los eventos de la tabla de DynamoDB como los de los flujos de DynamoDB de forma predeterminada. Para excluir eventos de flujos, agregue un filtro en el campo `eventName`.	DynamoDB	`AWS::DynamoDB::Table`
Amazon DynamoDB	Actividad de la API de Amazon DynamoDB en los flujos.	DynamoDB Streams	`AWS::DynamoDB::Stream`
Amazon Elastic Block Store	API directas de Amazon Elastic Block Store (EBS), como `PutSnapshotBlock`, `GetSnapshotBlock` y `ListChangedBlocks` en instantáneas de Amazon EBS.	API directas de Amazon EBS	`AWS::EC2::Snapshot`
Amazon Elastic Compute Cloud	Actividad de la API del punto de conexión de Amazon EC2 Instance Connect	Punto de conexión a EC2 Instance Connect	`AWS::EC2::InstanceConnectEndpoint`
Amazon Elastic Container Service	Actividad de la API de Amazon Elastic Container Service en una instancia de contenedor.	Instancia de contenedor de ECS	`AWS::ECS::ContainerInstance`
Amazon Elastic Kubernetes Service	Actividad de la API de Amazon Elastic Kubernetes Service en los paneles.	Paneles de Amazon Elastic Kubernetes Service	`AWS::EKS::Dashboard`
Amazon EMR	Actividad de la API de Amazon EMR en un espacio de trabajo de registros de escritura anticipada.	Espacio de trabajo de registro de escritura anticipada de EMR	`AWS::EMRWAL::Workspace`
Mensajes SMS para usuarios finales de AWS	Actividad de la API de Mensajes SMS para usuarios finales de AWS en las identidades de origen.	Identidad de origen de SMS Voice	`AWS::SMSVoice::OriginationIdentity`
Mensajes SMS para usuarios finales de AWS	Actividad de la API de mensajes SMS para usuarios finales de AWS en los mensajes.	Mensaje de voz de SMS	`AWS::SMSVoice::Message`
Mensajes de redes sociales para usuarios finales de AWS	Actividad de la API de Mensajes de redes sociales para usuarios finales de AWS en los ID de números de teléfono.	ID de número de teléfono de mensajes de redes sociales	`AWS::SocialMessaging::PhoneNumberId`
Mensajes de redes sociales para usuarios finales de AWS	Actividad de la API de Mensajes de redes sociales de AWS para usuarios finales en los ID de Waba.	ID de Waba ID de mensajes de redes sociales	`AWS::SocialMessaging::WabaId`
Amazon FinSpace	Amazon FinSpace Actividad de la API de en entornos.	FinSpace	`AWS::FinSpace::Environment`
Amazon GameLift Streams	Actividad de la API de transmisión de Amazon GameLift Streams en las aplicaciones.	Aplicación de GameLift Streams	`AWS::GameLiftStreams::Application`
Amazon GameLift Streams	Actividad de la API de transmisión de Amazon GameLift Streams en los grupos de transmisión.	Grupo de transmisiones de GameLift Streams	`AWS::GameLiftStreams::StreamGroup`
AWS Glue	Actividad de la API de AWS Glue en tablas creadas por Lake Formation.	Lake Formation	`AWS::Glue::Table`
Amazon GuardDuty	Actividad de la API de Amazon GuardDuty para un detector.	Detector de GuardDuty	`AWS::GuardDuty::Detector`
AWS HealthImaging	Actividad de la API de AWS HealthImaging en los almacenes de datos.	Almacén de datos de MedicalImaging	`AWS::MedicalImaging::Datastore`
AWS HealthImaging	Actividad de la API del conjunto de imágenes de AWS HealthImaging.	Conjunto de imágenes de MedicalImaging	`AWS::MedicalImaging::Imageset`
AWS IoT	Actividad de la API de AWS IoT en los certificados.	Certificado IoT	`AWS::IoT::Certificate`
AWS IoT	Actividad de la API de AWS IoT en los objetos.	Objeto de IoT	`AWS::IoT::Thing`
AWS IoT Greengrass Version 2	Actividad de la API de Greengrass desde un dispositivo principal de Greengrass en una versión del componente. nota Greengrass no registra los eventos de acceso denegado.	Versión del componente IoT Greengrass	`AWS::GreengrassV2::ComponentVersion`
AWS IoT Greengrass Version 2	Actividad de la API de Greengrass desde un dispositivo principal de Greengrass en una implementación. nota Greengrass no registra los eventos de acceso denegado.	Implementación de IoT Greengrass	`AWS::GreengrassV2::Deployment`
AWS IoT SiteWise	Actividad de la API de IoT SiteWise en los activos.	Activo de IoT SiteWise	`AWS::IoTSiteWise::Asset`
AWS IoT SiteWise	Actividad de la API de IoT SiteWise en las series temporales.	Series temporales de IoT SiteWise	`AWS::IoTSiteWise::TimeSeries`
AWS IoT SiteWiseAsistente de	Actividad de la API de Sitewise Assistant en las conversaciones.	Conversación con Sitewise Assist	`AWS::SitewiseAssistant::Conversation`
AWS IoT TwinMaker	Actividad de la API de IoT TwinMaker en una entidad.	Entidad de IoT TwinMaker	`AWS::IoTTwinMaker::Entity`
AWS IoT TwinMaker	Actividad de la API de IoT TwinMaker en un espacio de trabajo.	Espacio de trabajo de IoT TwinMaker	`AWS::IoTTwinMaker::Workspace`
Amazon Kendra Intelligent Ranking	Actividad de la API de Amazon Kendra Intelligent Ranking en los planes de ejecución de nuevas puntuaciones.	Kendra Ranking	`AWS::KendraRanking::ExecutionPlan`
Amazon Keyspaces (for Apache Cassandra)	Actividad de la API de Amazon Keyspaces en una tabla.	Tabla de Cassandra	`AWS::Cassandra::Table`
Amazon Keyspaces (for Apache Cassandra)	Actividad de la API de Amazon Keyspaces (para Apache Cassandra) en transmisiones de Cassandra CDC.	Transmisiones de Cassandra CDC	`AWS::Cassandra::Stream`
Amazon Kinesis Data Streams	Actividad de la API de Kinesis Data Streams en los flujos.	Flujo de Kinesis	`AWS::Kinesis::Stream`
Amazon Kinesis Data Streams	Actividad de la API de Kinesis Data Streams en los consumidores de flujos.	Consumidor de flujos de Kinesis	`AWS::Kinesis::StreamConsumer`
Amazon Kinesis Video Streams	Actividad de la API de Kinesis Video Streams en transmisiones de video, como llamadas a `GetMedia` y `PutMedia`.	Kinesis Video Streams	`AWS::KinesisVideo::Stream`
Amazon Kinesis Video Streams	Actividad de la API del canal de señalización de video de Kinesis Video Streams.	Canal de señalización de video de Kinesis	`AWS::KinesisVideo::SignalingChannel`
AWS Lambda	Actividad de ejecución de funciones de AWS Lambda (la API `Invoke`).	Lambda	`AWS::Lambda::Function`
Mapas de Amazon Location	Actividad de la API de mapas de Amazon Location	Mapas geográficos	`AWS::GeoMaps::Provider`
Amazon Location Places	Actividad de la API de Amazon Location Places.	Lugares geográficos	`AWS::GeoPlaces::Provider`
Rutas de Amazon Location	Actividad de la API de rutas de Amazon Location	Rutas geográficas	`AWS::GeoRoutes::Provider`
Amazon Machine Learning	Actividad de la API de machine learning en modelos de ML.	MLModel de maching learning	`AWS::MachineLearning::MlModel`
Amazon Managed Blockchain	Actividad de la API de Amazon Managed Blockchain en una red.	Red de Managed Blockchain	`AWS::ManagedBlockchain::Network`
Amazon Managed Blockchain	Llamadas JSON-RPC de Amazon Managed Blockchain en nodos de Ethereum, como `eth_getBalance` o `eth_getBlockByNumber`.	Managed Blockchain	`AWS::ManagedBlockchain::Node`
Amazon Managed Blockchain Query	Actividad de la API de Amazon Managed Blockchain Query.	Managed Blockchain Query	`AWS::ManagedBlockchainQuery::QueryAPI`
Amazon Managed Workflows para Apache Airflow	Actividad de la API de Amazon MWAA en entornos.	Managed Apache Airflow	`AWS::MWAA::Environment`
Gráfico de Amazon Neptune	Actividades de la API de datos, por ejemplo, consultas, algoritmos o búsquedas vectoriales, en un gráfico de Neptune.	Gráfico de Neptune	`AWS::NeptuneGraph::Graph`
Amazon One Enterprise	Actividad de la API de Amazon One Enterprise en una clave de usuario.	Clave de usuario de Amazon One	`AWS::One::UKey`
Amazon One Enterprise	Actividad de la API de Amazon One Enterprise en los usuarios.	Usuario de Amazon One	`AWS::One::User`
AWS Payment Cryptography	Actividad de la API de AWS Payment Cryptography en los alias.	Alias de Payment Cryptography	`AWS::PaymentCryptography::Alias`
AWS Payment Cryptography	Actividad de la API de AWS Payment Cryptography en las claves.	Clave de Payment Cryptography	`AWS::PaymentCryptography::Key`
Amazon Pinpoint	Actividad de la API de Amazon Pinpoint en aplicaciones de segmentación móvil.	Aplicación de segmentación móvil	`AWS::Pinpoint::App`
AWS Private CA	Conector AWS Private CA para la actividad de la API de Active Directory.	AWS Private CA Conector para Active Directory	`AWS::PCAConnectorAD::Connector`
AWS Private CA	Conector de AWS Private CA para la actividad de la API de SCEP.	AWS Private CA Conector para SCEP	`AWS::PCAConnectorSCEP::Connector`
Amazon Q Apps	Actividad de la API de datos en Amazon Q Apps.	Amazon Q Apps	`AWS::QApps::QApp`
Amazon Q Apps	Actividad de la API de datos en las sesiones de Amazon Q Apps.	Sesión de Amazon Q App	`AWS::QApps::QAppSession`
Amazon Q Business	Actividad de la API de Amazon Q Business en una aplicación.	Aplicación de Amazon Q Business	`AWS::QBusiness::Application`
Amazon Q Business	Actividad de la API de Amazon Q Business en un origen de datos.	Origen de datos de Amazon Q Business	`AWS::QBusiness::DataSource`
Amazon Q Business	Actividad de la API de Amazon Q Business en un índice.	Índice de Amazon Q Business	`AWS::QBusiness::Index`
Amazon Q Business	Actividad de la API de Amazon Q Business en una experiencia web.	Experiencia web de Amazon Q Business	`AWS::QBusiness::WebExperience`
Amazon Q Business	Actividad de la API de integración de Amazon Q Business.	Integración de Amazon Q Business	`AWS::QBusiness::Integration`
Amazon Q Developer	Actividad de la API de Amazon Q Developer en una integración.	Integración para Q Developer	`AWS::QDeveloper::Integration`
Amazon Q Developer	Actividad de la API de Amazon Q Developer en investigaciones operativas.	Grupos de investigación de AIOps	`AWS::AIOps::InvestigationGroup`
Amazon Quick Suite	Actividad de la API de Amazon Quick Suite en un conector de acciones.	AWS Acciones de QuickSuite de	`AWS::Quicksight::ActionConnector`
Amazon Quick Suite	Actividad de la API de flujo de Amazon Quick Suite.	AWS::QuickSight::Flow	`AWS::QuickSight::Flow`
Amazon Quick Suite	Actividad de la API de FlowSession de Amazon Quick Suite.	AWS::QuickSight::FlowSession	`AWS::QuickSight::FlowSession`
Amazon SageMaker AI	Actividad de `InvokeEndpointWithResponseStream` de Amazon SageMaker AI en puntos de conexión.	Punto de conexión de SageMaker AI	`AWS::SageMaker::Endpoint`
Amazon SageMaker AI	Actividad de la API de Amazon SageMaker AI en los almacenes de características.	Almacén de características de SageMaker AI	`AWS::SageMaker::FeatureGroup`
Amazon SageMaker AI	Actividad de la API de Amazon SageMaker AI en los componentes del registro de seguimiento experimental.	Componente de prueba del experimento de métricas de SageMaker AI	`AWS::SageMaker::ExperimentTrialComponent`
Amazon SageMaker AI	Actividad de la API MLFlow de Amazon SageMaker AI.	MLflow de Sagemaker	`AWS::SageMaker::MlflowTrackingServer`
AWS Signer	Actividad de la API de Signer sobre el trabajo de firma.	Trabajo de firma de Signer	`AWS::Signer::SigningJob`
AWS Signer	Actividad de la API de Signer sobre los trabajos de firma.	Perfil de firma del Signer	`AWS::Signer::SigningProfile`
Amazon Simple Email Service	Actividad de la API de Amazon Simple Email Service (Amazon SES) en conjuntos de configuraciones.	Conjunto de configuración de SES	`AWS::SES::ConfigurationSet`
Amazon Simple Email Service	Actividad de la API de Amazon Simple Email Service (Amazon SES) en identidades de correo electrónico.	Identidad de SES	`AWS::SES::EmailIdentity`
Amazon Simple Email Service	Actividad de la API de Amazon Simple Email Service (Amazon SES) en plantillas.	Plantilla de SES	`AWS::SES::Template`
Amazon SimpleDB	Actividad de la API de Amazon SimpleDB en los dominios.	Dominio de SimpleDB	`AWS::SDB::Domain`
AWS Step Functions	Actividad de la API de Step Functions en las actividades.	Step Functions	`AWS::StepFunctions::Activity`
AWS Step Functions	Actividad de la API de Step Functions en una máquina de estado.	Máquina de estado de Step Functions	`AWS::StepFunctions::StateMachine`
AWS Systems Manager	Actividad de la API de Systems Manager en los canales de control.	Systems Manager	`AWS::SSMMessages::ControlChannel`
AWS Systems Manager	Actividad de la API de Systems Manager sobre las evaluaciones de impacto.	Evaluación de impacto de SSM	`AWS::SSM::ExecutionPreview`
AWS Systems Manager	Actividad de la API de Systems Manager en los nodos administrados.	Nodo administrado de Systems Manager	`AWS::SSM::ManagedNode`
Amazon Timestream	Actividad de la API `Query` de Amazon Timestream en las bases de datos.	Base de datos de Timestream	`AWS::Timestream::Database`
Amazon Timestream	Actividad de la API de Amazon Timestream en los puntos de conexión regionales.	Punto de conexión regional de Timestream	`AWS::Timestream::RegionalEndpoint`
Amazon Timestream	Actividad de la API `Query` de Amazon Timestream en las tablas.	Tabla de Timestream	`AWS::Timestream::Table`
Amazon Verified Permissions	Actividad de la API de Amazon Verified Permissions en un almacén de políticas.	Amazon Verified Permissions	`AWS::VerifiedPermissions::PolicyStore`
Cliente ligero de Amazon WorkSpaces	Actividad de la API de cliente ligero de WorkSpaces en un dispositivo.	Dispositivo de cliente ligero	`AWS::ThinClient::Device`
Cliente ligero de Amazon WorkSpaces	Actividad de la API de cliente ligero de WorkSpaces en un entorno.	Entorno de cliente ligero	`AWS::ThinClient::Environment`
AWS X-Ray	Actividad de la API de X-Ray en los registros de seguimiento.	Registros de seguimiento de X-Ray	`AWS::XRay::Trace`

Para registrar eventos de datos de CloudTrail, debe agregar explícitamente cada tipo de recurso cuya actividad desee recopilar. Para obtener más información, consulte Creación de un registro de seguimiento con la consola de CloudTrail y Creación de un almacén de datos de eventos para eventos de CloudTrail con la consola.

En un registro de seguimiento o un almacén de datos de eventos de una sola región, puede registrar eventos de datos solo para los recursos a los que puede acceder en esa región. Aunque los buckets de S3 son globales, las funciones AWS Lambda y las tablas de DynamoDB son regionales.

Se aplican cargos adicionales para registrar eventos de datos. Para conocer los precios de CloudTrail, consulte Precios de AWS CloudTrail.

Ejemplos: registrar eventos de datos para objetos de Amazon S3

Registrar eventos de datos de todos los objetos de S3 de un bucket de S3

En el ejemplo siguiente, se ilustra cómo funciona el registro cuando se configura para todos los eventos de datos de un bucket de S3 llamado amzn-s3-demo-bucket. En este ejemplo, el usuario de CloudTrail especificó un prefijo vacío y la opción que permite registrar eventos de datos de Read (Lectura) y Write (Escritura).

Un usuario carga un objeto en amzn-s3-demo-bucket.
La operación de API PutObject es una API de nivel de objetos de Amazon S3. Se registra como un evento de datos en CloudTrail. Como el usuario de CloudTrail especificó un bucket de S3 con un prefijo vacío, se registran los eventos que tienen lugar en cualquiera de los objetos de dicho bucket. El registro de seguimiento o almacén de datos de eventos procesa y registra el evento.
Otro usuario carga un objeto en amzn-s3-demo-bucket2.
La operación de API PutObject tuvo lugar en un objeto de un bucket de S3 que no estaba especificado en el registro de seguimiento o el almacén de datos de eventos. El registro de seguimiento o el almacén de datos de eventos no registra el evento.

Registrar eventos de datos para objetos de S3 concretos

En el ejemplo siguiente, se muestra cómo funciona el registro cuando se configura un registro de seguimiento o un almacén de datos de eventos para registrar eventos de objetos de S3 específicos. En este ejemplo, el usuario de CloudTrail especificó un bucket de S3 llamado amzn-s3-demo-bucket3, con el prefijo my-images y la opción que únicamente permite registrar eventos de datos de Escritura.

Un usuario elimina un objeto que comienza con el prefijo my-images del bucket; por ejemplo arn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg.
La operación de API DeleteObject es una API de nivel de objetos de Amazon S3. Se registra como un evento de datos Write (Escritura) en CloudTrail. El evento tuvo lugar en un objeto que coincide con el bucket de S3 y el prefijo especificados en el registro de seguimiento o almacén de datos de eventos. El registro de seguimiento o almacén de datos de eventos procesa y registra el evento.
Otro usuario elimina un objeto con un prefijo diferente del bucket de S3; por ejemplo arn:aws:s3:::amzn-s3-demo-bucket3/my-videos/example.avi.
El evento tuvo lugar en un objeto que no coincide con el prefijo especificado en el registro de seguimiento o almacén de datos de eventos. El registro de seguimiento o el almacén de datos de eventos no registra el evento.
Un usuario llama a la operación de API GetObject para el objeto arn:aws:s3:::amzn-s3-demo-bucket3/my-images/example.jpg.
El evento tuvo lugar en un bucket y un prefijo especificados en el registro de seguimiento o almacén de datos de eventos, pero GetObject es una API de nivel de objetos de Amazon S3 de tipo lectura. Se registra como un evento de datos de lectura en CloudTrail y el registro de seguimiento o almacén de datos de eventos no está configurado para eventos de lectura. El registro de seguimiento o el almacén de datos de eventos no registra el evento.

nota

En el caso de los registros de seguimiento, si registra eventos de datos para determinados buckets de Amazon S3, recomendamos que no utilice un bucket de Amazon S3 para el que registre eventos de datos si desea recibir los archivos de registros que especificó en la sección de eventos de datos del registro de seguimiento. Si se utiliza el mismo bucket de Amazon S3, el seguimiento registra un evento de datos cada vez que los archivos de registros se envían al bucket de Amazon S3. Los archivos de registro contienen el total de eventos enviados a intervalos y, por tanto, no hay una relación 1:1 entre el evento y el archivo de registro; el evento se registra en el siguiente archivo de registro. Por ejemplo, cuando CloudTrail envía los registros, el evento PutObject se produce en el bucket de S3. Si el bucket de S3 también está indicado en la sección de eventos de datos, el registro de seguimiento procesa y registra el evento PutObject como evento de datos. Esta acción es otro evento PutObject y el registro de seguimiento procesa y registra el evento una vez más.

Para evitar registrar eventos de datos para el bucket de Amazon S3 en el que recibe los archivos de registros si configura un registro de seguimiento para registrar todos los eventos de datos de Amazon S3 de su cuenta de AWS, considere la posibilidad de configurar el envío de archivos de registros a un bucket de Amazon S3 que pertenezca a otra cuenta de AWS. Para obtener más información, consulte Recepción de archivos de registro de CloudTrail de varias cuentas.

Registrar eventos de datos para objetos de S3 en otras cuentas de AWS

Cuando configure el registro de seguimiento para que registre eventos de datos, también puede indicar los objetos de S3 que pertenecen a otras cuentas de AWS. Cuando un evento se produce en un objeto indicado, CloudTrail evalúa si el evento coincide con cualquier registro de seguimiento en cada cuenta. Si el evento coincide con la configuración de un registro de seguimiento, este procesa y registra el evento para dicha cuenta. Por lo general, tanto los intermediarios de la API como los propietarios de recursos pueden recibir eventos.

Si tiene un objeto de S3 y lo indica en su registro de seguimiento, su registro de seguimiento registra eventos que se produzcan en el objeto de su cuenta. Dado que posee el objeto, su registro de seguimiento también registra los eventos cuando otras cuentas llaman al objeto.

Si especifica un objeto de S3 en su registro de seguimiento y otra cuenta posee el objeto, su registro de seguimiento únicamente registra los eventos que se produzcan en dicho objeto en su cuenta. Su registro de seguimiento no registra los eventos que se producen en otras cuentas.

Ejemplo: Registrar eventos de datos para un objeto de Amazon S3 para dos cuentas de AWS

El siguiente ejemplo muestra cómo dos cuentas de AWS configuran CloudTrail para registrar eventos para el mismo objeto de S3.

En su cuenta, usted desea que su registro de seguimiento registre eventos de datos para todos los objetos en el bucket de S3 denominado amzn-s3-demo-bucket. Configura el registro de seguimiento indicando el bucket de S3 con un prefijo de objeto vacío.
Bob tiene una cuenta independiente a la que se ha permitido el acceso al bucket de S3. Bob también quiere registrar los eventos de datos para todos los objetos en el mismo bucket de S3. Para su registro de seguimiento, configura su registro de seguimiento e indica el mismo bucket de S3 con un prefijo de objeto vacío.
Bob carga un objeto al bucket de S3 con la operación de API PutObject.
Este evento se produjo en su cuenta y coincide con la configuración de su registro de seguimiento. El registro de seguimiento de Bob procesa y registra el evento.
Dado que posee el bucket de S3 y el evento coincide con la configuración de su registro de seguimiento, su registro de seguimiento también procesa y registra el mismo evento. Debido a que ahora hay dos copias del evento (una registrada en el registro de seguimiento de Bob y otra en el suyo), CloudTrail cobra dos copias del evento de datos.
Usted carga un objeto en el bucket de S3.
Este evento se produce en su cuenta y coincide con la configuración de su registro de seguimiento. Su registro de seguimiento procesa y registra el evento.
Dado que el evento no se produce en la cuenta de Bob, y que no posee el bucket de S3, el registro de seguimiento de Bob no registra el evento. CloudTrail cobra solo una copia de este evento de datos.

Ejemplo: registrar eventos de datos para todos los buckets, incluido un bucket de S3 utilizado por dos cuentas de AWS

En el ejemplo siguiente se muestra el comportamiento de registro cuando Select all S3 buckets in your account (Seleccionar todos los buckets de S3 en su cuenta) está habilitado para los registros de seguimiento que recopilan eventos de datos en una cuenta de AWS.

En su cuenta, desea que su registro de seguimiento registre eventos de datos para todos los buckets de S3. Puede configurar el registro de seguimiento al elegir eventos de Read (Lectura), eventos de Write (Escritura), o ambos para All current and future S3 buckets (Todos los buckets de S3 actuales y futuros) en Data events (Eventos de datos).
Bob tiene una cuenta independiente a la que se le ha concedido acceso a un bucket de S3 en su cuenta. Desea registrar eventos de datos para el bucket al que tiene acceso. Configura su registro de seguimiento para obtener eventos de datos para todos los buckets de S3.
Bob carga un objeto al bucket de S3 con la operación de API PutObject.
Este evento se produjo en su cuenta y coincide con la configuración de su registro de seguimiento. El registro de seguimiento de Bob procesa y registra el evento.
Dado que posee el bucket de S3 y el evento coincide con la configuración de su registro de seguimiento, su registro de seguimiento también procesa y registra el evento. Dado que ahora hay dos copias del evento (una registrada en el registro de seguimiento de Bob y otra en el suyo), CloudTrail cobra a cada cuenta una copia del evento de datos.
Usted carga un objeto en el bucket de S3.
Este evento se produce en su cuenta y coincide con la configuración de su registro de seguimiento. Su registro de seguimiento procesa y registra el evento.
Dado que el evento no se produce en la cuenta de Bob, y que no posee el bucket de S3, el registro de seguimiento de Bob no registra el evento. CloudTrail cobra solo una copia de este evento de datos en su cuenta.
Un tercer usuario, Mary, tiene acceso al bucket de S3 y ejecuta una operación GetObject en el bucket. Tiene un registro de seguimiento configurado para registrar eventos de datos en todos los buckets de S3 de su cuenta. Dado que ella es quien llama a la API, CloudTrail registra un evento de datos en su registro de seguimiento. Aunque Bob tiene acceso al bucket, no es el propietario del recurso, por lo que no se registra ningún evento en su registro de seguimiento esta vez. Como propietario del recurso, recibirá un evento en su registro de seguimiento sobre la operación GetObject que Mary llamó. CloudTrail cobra a su cuenta y a la cuenta de Mary cada copia del evento de datos: una en el registro de seguimiento de Mary y otra, en la suya.

Eventos de solo lectura y de solo escritura

Cuando configure su registro de seguimiento o almacén de datos de eventos para registrar eventos de datos y administración, puede indicar si desea que se registren eventos de solo lectura, de solo escritura, o ambos.

Lectura

Los eventos de Read (Lectura) incluyen operaciones de la API que leen sus recursos, pero no realizan cambios. Por ejemplo, los eventos de solo lectura incluyen las operaciones de la API de Amazon EC2 DescribeSecurityGroups y DescribeSubnets. Estas operaciones devuelven únicamente información sobre sus recursos de Amazon EC2 y no cambian las configuraciones.
Escritura

Los eventos de Write (Escritura) incluyen operaciones de la API que modifican (o podrían modificar) sus recursos. Por ejemplo, las operaciones de la API de Amazon EC2 RunInstances y TerminateInstances modifican sus instancias.

Ejemplo: Registro de eventos de lectura y escritura en registros de seguimiento individuales

El ejemplo siguiente muestra cómo puede configurar registros de seguimiento para dividir la actividad de registro de una cuenta en diferentes buckets de S3: un bucket llamado amzn-s3-demo-bucket1 recibe los eventos de solo lectura y un segundo bucket, amzn-s3-demo-bucket2, aquellos de solo escritura.

Usted crea un registro de seguimiento y elige el bucket de S3 llamado amzn-s3-demo-bucket1 para recibir los archivos de registro. A continuación, actualiza el registro de seguimiento para indicar que desea registrar los eventos de administración y los eventos de datos de Read (Lectura).
Usted crea un segundo registro de seguimiento y elige el bucket de S3 amzn-s3-demo-bucket2 para recibir los archivos de registro. A continuación, actualiza el registro de seguimiento para indicar que desea registrar los eventos de administración y los eventos de datos de Write (Escritura).
En su cuenta se generan las operaciones de la API DescribeInstances y TerminateInstances de Amazon EC2.
La operación de API DescribeInstances es un evento de solo lectura y coincide con la configuración del primer registro de seguimiento. El registro de seguimiento registra y envía el evento al amzn-s3-demo-bucket1.
La operación de API TerminateInstances es un evento de solo escritura y coincide con la configuración del segundo registro de seguimiento. El registro de seguimiento registra y envía el evento al amzn-s3-demo-bucket2 .

Registrar eventos de datos con la Consola de administración de AWS

En los siguientes procedimientos, se describe cómo actualizar un almacén de datos de eventos existente o un registro de seguimiento de eventos para registrar los eventos de datos mediante la Consola de administración de AWS. Para obtener información acerca de cómo crear un almacén de datos de eventos para registrar eventos de datos, consulte Creación de un almacén de datos de eventos para eventos de CloudTrail con la consola. Para obtener más información sobre cómo crear un registro de seguimiento para registrar eventos de datos, consulte Creación de un registro de seguimiento con la consola.

En el caso de los registros de seguimiento, los pasos para registrar los eventos de datos varían en función de si utiliza selectores de eventos avanzados o selectores de eventos básicos. Con los selectores de eventos avanzados puede registrar eventos de datos de todos los tipos de recursos, pero si utiliza selectores de eventos básicos, solo podrá registrar eventos de datos de buckets de Amazon S3 y objetos de buckets, funciones de AWS Lambda y tablas de Amazon DynamoDB.

Utilice los siguientes procedimientos para actualizar un almacén de datos de eventos existente para registrar los eventos de datos. Para obtener más información sobre la utilización de selectores de eventos avanzados, consulte Filtrado de los eventos de datos mediante selectores de eventos avanzados en este tema.

Inicie sesión en la Consola de administración de AWS y abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/.
En el panel de navegación, en Lago, elija Almacenes de datos de eventos.
En la página Almacenes de datos de eventos, seleccione el almacén de datos de eventos que desee actualizar.

nota
Solo puede habilitar los eventos de datos en los almacenes de datos de eventos que contienen eventos de CloudTrail. No puede habilitar los eventos de datos en los almacenes de datos de eventos de CloudTrail para elementos de configuración de AWS Config, eventos de CloudTrail Insights ni eventos que no son de AWS.
En la página de detalles, en Eventos de datos, seleccione Editar.
Si aún no registra eventos de datos, elija la casilla Data events (Eventos de datos).
En Tipo de recurso, elija el tipo de recurso en el que desea registrar los eventos de datos.
Elija una plantilla de selector de registros. Puede elegir una plantilla predefinida o elegir Personalizar para definir sus propias condiciones de recopilación de eventos.

Puede elegir entre las siguientes plantillas predefinidas:
- Registrar todos los eventos: elija esta plantilla para registrar todos los eventos.
- Registrar solo eventos de lectura: elija esta plantilla para registrar solo eventos de lectura. Los eventos de solo lectura son eventos que no cambian el estado de un recurso, como los eventos Get* o Describe*.
- Registrar solo eventos de escritura: elija esta plantilla para registrar solo eventos de escritura. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos Put*, Delete* o Write*.
- Registrar solo eventos de la Consola de administración de AWS: elija esta plantilla para registrar solo los eventos que se originan en la Consola de administración de AWS.
- Excluir eventos iniciados de Servicio de AWS: elija esta plantilla para excluir los eventos de Servicio de AWS que tienen un eventType de AwsServiceEvent y los eventos iniciados con roles vinculados a Servicio de AWS (SLR).
(Opcional) En Nombre del selector, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo opcional para un selector de eventos avanzado, como “Registrar eventos de datos para solo dos buckets de S3”. El nombre del selector aparece como Name en el selector de eventos avanzado y se puede ver si se amplía la vista JSON.
Si seleccionó Personalizado, en los selectores de eventos avanzados se crea una expresión basada en los valores de los campos de los selectores de eventos avanzados.

nota
Los selectores no admiten el uso de caracteres comodín como *. Para hacer coincidir varios valores con una sola condición, puede usar StartsWith, EndsWith, NotStartsWith o NotEndsWith a fin de hacer coincidir de manera explícita el principio o el final del campo de evento.
1. Elija uno de los siguientes campos.
  - readOnly: readOnly se puede establecer en es igual a con el valor true o false. Los eventos de datos de solo lectura son eventos que no cambian el estado de un recurso, como eventos Get* o Describe*. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos Put*, Delete* o Write*. Para registrar eventos read y write, no agregue un selector de readOnly.
  - eventName - eventName puede utilizar cualquier operador. Puede utilizarlo para incluir o excluir cualquier evento de datos registrado en CloudTrail, como PutBucket, GetItem o GetSnapshotBlock.
  - eventSource: el tipo de evento que se va a incluir o excluir. Este campo puede utilizar cualquier operador.
  - eventType: el tipo de evento que se va a incluir o excluir. Por ejemplo, puede establecer este campo en no igual a AwsServiceEvent para excluir Servicio de AWSEventos de . Para obtener una lista de los tipos de eventos, consulte eventType en CloudTrail registra el contenido de los eventos de administración, de datos y de actividad de la red.
  - sessionCredentialFromConsole: incluya o excluya los eventos que se originan en una sesión de la Consola de administración de AWS. Este campo se puede establecer como igual o no igual con un valor de true.
  - userIdentity.arn: incluya o excluya eventos para las acciones realizadas por identidades de IAM específicas. Para obtener más información, consulte Elemento userIdentity de CloudTrail.
  - resources.ARN: puede utilizar cualquier operador con resources.ARN, pero si utiliza es igual a o no es igual a, el valor debe coincidir exactamente con el ARN de un recurso válido del tipo especificado en la plantilla como el valor de resources.type.
    
    nota
    No puede usar el campo resources.ARN para filtrar los tipos de recursos que no tienen ARN.
    
    Para obtener más información sobre los formatos del ARN de los recursos de eventos de datos, consulte Acciones, recursos y claves de condición para los Servicios de AWS en la Referencia de autorizaciones de servicio.
2. En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones. Por ejemplo, para excluir eventos de datos de dos buckets de S3 de los eventos de datos registrados en su almacén de datos de eventos, puede establecer el campo en resources.ARN, configurar el operador en no comienza por y, a continuación, pegar un ARN de bucket de S3 para los que no desea registrar eventos.
  
  Para agregar el segundo bucket de S3, seleccione + Condición y, a continuación, repita la instrucción anterior, pegue el ARN o busque un bucket diferente.
  
  Para obtener información sobre cómo evalúa CloudTrail varias condiciones, consulte Cómo evalúa CloudTrail varias condiciones de un campo.
  
  nota
  Puede tener un máximo de 500 valores para todos los selectores de un almacén de datos de eventos. Esto incluye matrices de varios valores para un selector como eventName. Si tiene valores únicos para todos los selectores, puede agregar un máximo de 500 condiciones a un selector.
3. Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos. Por ejemplo, no especifique un ARN en un selector para que sea igual a un valor y luego especifique que el ARN no sea igual al mismo valor en otro selector.
Para agregar otro tipo de datos en el que registrar eventos de datos, elija Agregar tipo de evento de datos. Repita el paso 6 hasta este paso a fin de configurar selectores de eventos avanzados para otro tipo de recursos.
Una vez que haya revisado y verificado las elecciones, seleccione Guardar cambios.

En la Consola de administración de AWS, si su registro de seguimiento utiliza selectores de eventos avanzados, puede seleccionar entre plantillas predefinidas que registran todos los eventos de datos en un recurso seleccionado. Después de elegir una plantilla de selector de registros, puede personalizar la plantilla con el fin de incluir solo los eventos de datos que más desee ver. Para obtener más información sobre la utilización de selectores de eventos avanzados, consulte Filtrado de los eventos de datos mediante selectores de eventos avanzados en este tema.

En las páginas Panel o Registros de seguimiento de la consola de CloudTrail, seleccione el registro de seguimiento que desea actualizar.
En la página de detalles, en Eventos de datos, seleccione Editar.
Si aún no registra eventos de datos, elija la casilla Data events (Eventos de datos).
En Tipo de recurso, elija el tipo de recurso en el que desea registrar los eventos de datos.
Elija una plantilla de selector de registros. Puede elegir una plantilla predefinida o elegir Personalizar para definir sus propias condiciones de recopilación de eventos.

Puede elegir entre las siguientes plantillas predefinidas:
- Registrar todos los eventos: elija esta plantilla para registrar todos los eventos.
- Registrar solo eventos de lectura: elija esta plantilla para registrar solo eventos de lectura. Los eventos de solo lectura son eventos que no cambian el estado de un recurso, como los eventos Get* o Describe*.
- Registrar solo eventos de escritura: elija esta plantilla para registrar solo eventos de escritura. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos Put*, Delete* o Write*.
- Registrar solo eventos de la Consola de administración de AWS: elija esta plantilla para registrar solo los eventos que se originan en la Consola de administración de AWS.
- Excluir eventos iniciados de Servicio de AWS: elija esta plantilla para excluir los eventos de Servicio de AWS que tienen un eventType de AwsServiceEvent y los eventos iniciados con roles vinculados a Servicio de AWS (SLR).
nota
Elegir una plantilla predefinida para los buckets de S3 permite el registro de eventos de datos de todos los buckets que haya actualmente en la cuenta de AWS, así como de cualquier otro bucket que pudiera crear después de generar el registro de seguimiento. Esta opción habilita también el registro de la actividad de eventos de datos realizada por cualquier usuario o rol de su cuenta de AWS, aunque esta se realice en un bucket que pertenezca a otra cuenta de AWS.
Si el registro de seguimiento solo aplica a una región, elegir una plantilla predefinida que registra todos los buckets de S3 permite el registro de eventos de datos de todos los buckets en la misma región que el registro de seguimiento, así como de cualquier otro bucket que cree posteriormente en esa región. No registrará los eventos de datos de los buckets de Amazon S3 en otras regiones de la cuenta de AWS.
Si crea un registro de seguimiento en todas las regiones, elegir una plantilla predefinida para las funciones Lambda permite el registro de eventos de datos de todas las funciones que se encuentran actualmente en la cuenta de AWS, así como de cualquier función Lambda que cree en cualquier región después de crear el registro de seguimiento. Si va a crear un registro de seguimiento para una sola región (en el caso de los registros de seguimiento, solo puede hacerlo mediante la AWS CLI), esta opción habilita el registro de eventos de datos de todas las funciones que se encuentran actualmente en esa región en la cuenta de AWS, así como de cualquier función de Lambda que cree en esa región después de crear el registro de seguimiento. No habilita el registro de eventos de datos de las funciones Lambda creadas en otras regiones.
El registrar eventos de datos de todas las funciones habilita también el registro de la actividad de eventos de datos realizada por cualquier usuario o rol de su cuenta de AWS, aunque esta se realice en una función que pertenezca a otra cuenta de AWS.
(Opcional) En Nombre del selector, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo opcional para un selector de eventos avanzado, como “Registrar eventos de datos para solo dos buckets de S3”. El nombre del selector aparece como Name en el selector de eventos avanzado y se puede ver si se amplía la vista JSON.
Si seleccionó Personalizado, en los selectores de eventos avanzados se crea una expresión basada en los valores de los campos de los selectores de eventos avanzados.

nota
Los selectores no admiten el uso de caracteres comodín como *. Para hacer coincidir varios valores con una sola condición, puede usar StartsWith, EndsWith, NotStartsWith o NotEndsWith a fin de hacer coincidir de manera explícita el principio o el final del campo de evento.
1. Elija uno de los siguientes campos.
  - readOnly: readOnly se puede establecer en es igual a con el valor true o false. Los eventos de datos de solo lectura son eventos que no cambian el estado de un recurso, como eventos Get* o Describe*. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos Put*, Delete* o Write*. Para registrar eventos read y write, no agregue un selector de readOnly.
  - eventName - eventName puede utilizar cualquier operador. Puede utilizarlo para incluir o excluir cualquier evento de datos registrado en CloudTrail, como PutBucket, GetItem o GetSnapshotBlock.
  - eventSource: el tipo de evento que se va a incluir o excluir. Este campo puede utilizar cualquier operador.
  - eventType: el tipo de evento que se va a incluir o excluir. Por ejemplo, puede establecer este campo en no igual a AwsServiceEvent para excluir Servicio de AWSEventos de . Para obtener una lista de los tipos de eventos, consulte eventType en CloudTrail registra el contenido de los eventos de administración, de datos y de actividad de la red.
  - sessionCredentialFromConsole: incluya o excluya los eventos que se originan en una sesión de la Consola de administración de AWS. Este campo se puede establecer como igual o no igual con un valor de true.
  - userIdentity.arn: incluya o excluya eventos para las acciones realizadas por identidades de IAM específicas. Para obtener más información, consulte Elemento userIdentity de CloudTrail.
  - resources.ARN: puede utilizar cualquier operador con resources.ARN, pero si utiliza es igual a o no es igual a, el valor debe coincidir exactamente con el ARN de un recurso válido del tipo especificado en la plantilla como el valor de resources.type.
    
    nota
    No puede usar el campo resources.ARN para filtrar los tipos de recursos que no tienen ARN.
    
    Para obtener más información sobre los formatos del ARN de los recursos de eventos de datos, consulte Acciones, recursos y claves de condición para los Servicios de AWS en la Referencia de autorizaciones de servicio.
2. En cada campo, seleccione + Condición para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones. Por ejemplo, para excluir eventos de datos de dos buckets de S3 de los eventos de datos registrados en su almacén de datos de eventos, puede establecer el campo en resources.ARN, configurar el operador en no comienza por y, a continuación, pegar un ARN de bucket de S3 para los que no desea registrar eventos.
  
  Para agregar el segundo bucket de S3, seleccione + Condición y, a continuación, repita la instrucción anterior, pegue el ARN o busque un bucket diferente.
  
  Para obtener información sobre cómo evalúa CloudTrail varias condiciones, consulte Cómo evalúa CloudTrail varias condiciones de un campo.
  
  nota
  Puede tener un máximo de 500 valores para todos los selectores de un almacén de datos de eventos. Esto incluye matrices de varios valores para un selector como eventName. Si tiene valores únicos para todos los selectores, puede agregar un máximo de 500 condiciones a un selector.
3. Elija + Field (+ campos) para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos. Por ejemplo, no especifique un ARN en un selector para que sea igual a un valor y luego especifique que el ARN no sea igual al mismo valor en otro selector.
Para agregar otro tipo de datos en el que registrar eventos de datos, elija Agregar tipo de evento de datos. Repita los 4 pasos hasta este paso a fin de configurar selectores de eventos avanzados para el tipo de recursos.
Una vez que haya revisado y verificado las elecciones, seleccione Guardar cambios.

Utilice los siguientes procedimientos para actualizar un registro de seguimiento existente para registrar los eventos de datos con selectores de eventos básicos.

Inicie sesión en la Consola de administración de AWS y abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/.
Abra la página Trails (Registros de seguimiento) de la consola de CloudTrail y elija el nombre del registro de seguimiento.

nota
Aunque puede editar un registro de seguimiento existente para registrar eventos de datos, como práctica recomendada, considere la posibilidad de crear un registro de seguimiento independiente específicamente para registrar eventos de datos.
En Data events (Eventos de datos), elija Edit (Editar).
Para buckets de Amazon S3:
1. En Data event source (Fuente de evento de datos), elija S3.
2. Puede registrar All current and future S3 buckets (Todos los buckets de S3 actuales y futuros) o bien, especificar buckets o funciones individuales. De forma predeterminada, los eventos de datos se registran para todos los buckets de S3 actuales y futuros.
  
  nota
  Conservar la opción predeterminada All current and future S3 buckets (Todos los buckets de S3 actuales y futuros) permite registrar los eventos de datos de todos los buckets que haya actualmente en la cuenta de AWS, así como de cualquier otro bucket que pudiera crear después de generar el registro de seguimiento. Esta opción habilita también el registro de la actividad de eventos de datos realizada por cualquier usuario o rol de su cuenta de AWS, aunque esta se realice en un bucket que pertenezca a otra cuenta de AWS.
  Si crea un registro de seguimiento para una única región (mediante la AWS CLI), la opción Select all S3 buckets in your account (Seleccionar todos los buckets de S3 de la cuenta) habilita el registro de eventos de datos de todos los buckets que estén en la misma región que el registro de seguimiento, así como de cualquier otro bucket que pudiera crear posteriormente en esa región. No registrará los eventos de datos de los buckets de Amazon S3 en otras regiones de la cuenta de AWS.
3. Si conserva la opción predeterminada, All current and future S3 buckets (Todos los buckets de S3 actuales y futuros), elija registrar eventos de Read (Lectura), Write (Escritura) o ambos.
4. Para seleccionar buckets individuales, desmarque las casillas de verificación Read (Lectura) y Write (Escritura) en All current and future S3 buckets (Todos los buckets de S3 actuales y futuros). En Individual bucket selection (Selección de bucket individual), busque un bucket en el que registrar los eventos de datos. Para buscar buckets específicos, escriba un prefijo de bucket para el bucket que desee. En esta ventana puede seleccionar varios buckets. Elija Add bucket (Agregar bucket) para registrar eventos de datos en más buckets. Elija registrar eventos de Read (Lectura), como GetObject, Write (Escritura), como PutObject, o de ambos.
  
  Esta configuración tiene prioridad sobre la configuración individual de cada bucket. Por ejemplo, si establece la configuración para que se registren los eventos de tipo Read de todos los buckets de S3 y posteriormente decide agregar un determinado bucket en el registro de eventos de datos, la opción Read ya aparecerá seleccionada en el bucket que agregue. Esta selección no se puede anular. Solo se puede configurar la opción Write.
  
  Para eliminar un bucket del registro, elija X.
Para agregar otro tipo de datos en el que registrar eventos de datos, elija Agregar tipo de evento de datos.
Para funciones Lambda:
1. En Data event source (Fuente de evento de datos), elija Lambda.
2. En Lambda function (Función Lambda), elija All regions (Todas las regiones) para registrar todas las funciones Lambda, o Input function as ARN (Función de entrada como ARN) a fin de registrar eventos de datos en una función específica.
  
  Para registrar eventos de datos de todas las funciones Lambda de su cuenta de AWS, seleccione Log all current and future functions (Registrar todas las funciones actuales y futuras). Esta configuración tiene prioridad sobre la configuración individual de cada función. Se registran todas las funciones aunque no se muestren.
  
  nota
  Si va a crear un registro de seguimiento para todas las regiones, esta opción habilita el registro de eventos de datos de todas las funciones que se encuentran actualmente en la cuenta de AWS, así como de cualquier función Lambda que cree en cualquier región después de crear el registro de seguimiento. Si va a crear un registro de seguimiento para una sola región (mediante la AWS CLI), esta opción habilita el registro de eventos de datos de todas las funciones que se encuentran actualmente en esa región en la cuenta de AWS, así como de cualquier función Lambda que cree en esa región después de crear el registro de seguimiento. No habilita el registro de eventos de datos de las funciones Lambda creadas en otras regiones.
  El registrar eventos de datos de todas las funciones habilita también el registro de la actividad de eventos de datos realizada por cualquier usuario o rol de su cuenta de AWS, aunque esta se realice en una función que pertenezca a otra cuenta de AWS.
3. Si elige Input function as ARN (Función de entrada como ARN), ingrese el ARN de una función Lambda.
  
  nota
  Si tiene más de 15 000 funciones Lambda en su cuenta, no podrá ver ni seleccionar todas las funciones en la consola de CloudTrail cuando cree un registro de seguimiento. Sí que puede seleccionar la opción para registrar todas las funciones, aunque estas no se muestren. Si desea registrar eventos de datos para funciones específicas, puede añadir manualmente una función si conoce su ARN. También puede finalizar la creación del registro de seguimiento en la consola y, a continuación, utilizar la AWS CLI y el comando put-event-selectors a fin de configurar el registro de eventos de datos para funciones Lambda específicas. Para obtener más información, consulte Administración de registros de seguimiento con la AWS CLI.
Para agregar otro tipo de datos en el que registrar eventos de datos, elija Agregar tipo de evento de datos.
Para tablas de DynamoDB:
1. En Data event source (Fuente de evento de datos), elija DynamoDB.
2. En DynamoDB table selection (Selección de tabla de DynamoDB), elija Browse (Examinar) para seleccionar una tabla o pegue el ARN de una tabla de DynamoDB a la que tenga acceso. El ARN de la tabla de DynamoDB utiliza el siguiente formato:
```
arn:partition:dynamodb:region:account_ID:table/table_name
```
  Para agregar otra tabla, elija Add row (Agregar fila) y busque una tabla o pegue el ARN de una tabla a la que tenga acceso.
Seleccione Save changes (Guardar cambios).

Registrar eventos de datos con la AWS Command Line Interface

Puede configurar sus registros de seguimiento o los almacenes de datos de eventos para que registren los eventos de datos con la AWS CLI.

Temas

Registro de eventos de datos para registros de seguimiento con la AWS CLI
Registro de eventos de datos para los almacenes de datos de eventos con la AWS CLI

Registro de eventos de datos para registros de seguimiento con la AWS CLI

Puede configurar sus registros de seguimiento para que registren los eventos de administración y los de datos con la AWS CLI.

nota

Tenga en cuenta que, si su cuenta está registrando más de una copia de eventos de administración, generará cargos. Siempre hay un cargo por registrar eventos de datos. Para más información, consulte Precios de AWS CloudTrail.
Puede utilizar selectores de eventos avanzados o selectores de eventos básicos, pero no ambos. Si aplica selectores de eventos avanzados a un registro de seguimiento, se sobrescriben todos los selectores de eventos básicos existentes.
Si su registro de seguimiento utiliza selectores de eventos básicos, solo puede registrar los siguientes tipos de recursos:
- AWS::DynamoDB::Table
- AWS::Lambda::Function
- AWS::S3::Object
Para registrar tipos de recursos adicionales, necesitará utilizar selectores de eventos avanzados. Para convertir un registro de seguimiento en selectores de eventos avanzados, ejecute el comando get-event-selectors para confirmar los selectores de eventos actuales y, a continuación, configure los selectores de eventos avanzados para que coincidan con la cobertura de los selectores de eventos anteriores. Luego, agregue selectores para cualquier tipo de recurso para el que desee registrar eventos de datos.
Puede utilizar selectores de eventos avanzados para filtrar en función del valor de los campos compatibles del selector de eventos avanzados, así podrá registrar solo los eventos de datos que le interesen. Para obtener más información sobre la configuración de estos campos, consulte AdvancedFieldSelector en la Referencia de la API de AWS CloudTrail y Filtrado de los eventos de datos mediante selectores de eventos avanzados en esta guía.

Para consultar si su registro de seguimiento está registrando los eventos de administración y de datos, ejecute el comando get-event-selectors.


aws cloudtrail get-event-selectors --trail-name TrailName

El comando devuelve los selectores de eventos del registro de seguimiento.

Temas

Registrar los eventos de datos de los registros de seguimiento mediante selectores de eventos avanzados
Registrar todos los eventos de Amazon S3 de un bucket de Amazon S3 mediante selectores de eventos avanzados
Registrar eventos de Amazon S3 en eventos de AWS Outposts mediante selectores de eventos avanzados
Registrar eventos mediante selectores de eventos básicos

Registrar los eventos de datos de los registros de seguimiento mediante selectores de eventos avanzados

nota

Si aplica selectores de eventos avanzados a un registro de seguimiento, se sobrescriben todos los selectores de eventos básicos existentes. Antes de configurar los selectores de eventos avanzados, ejecute el comando get-event-selectors para confirmar los selectores de eventos actuales y, a continuación, configure los selectores de eventos avanzados para que coincidan con la cobertura de los selectores de eventos anteriores. Luego, agregue selectores para cualquier evento de datos adicional que desee registrar.

En el siguiente ejemplo se crean selectores de eventos avanzados personalizados para un registro de seguimiento denominado TrailName a fin de incluir eventos de administración de lectura y escritura (se omite el selector readOnly), eventos de datos PutObject y DeleteObject de todas las combinaciones de bucket/prefijo de Amazon S3, excepto para un bucket llamado amzn-s3-demo-bucket y eventos de datos para una función de AWS Lambda denominada MyLambdaFunction. Dado que se trata de selectores de eventos avanzados personalizados, cada conjunto de selectores tiene un nombre descriptivo. Tenga en cuenta que una barra diagonal final forma parte del valor de ARN para los buckets de S3.


aws cloudtrail put-event-selectors --trail-name TrailName --advanced-event-selectors
'[
  {
    "Name": "Log readOnly and writeOnly management events",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Management"] }
    ]
  },
  {
    "Name": "Log PutObject and DeleteObject events for all but one bucket",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
      { "Field": "eventName", "Equals": ["PutObject","DeleteObject"] },
      { "Field": "resources.ARN", "NotStartsWith": ["arn:aws:s3:::amzn-s3-demo-bucket/"] }
    ]
  },
  {
    "Name": "Log data plane actions on MyLambdaFunction",
    "FieldSelectors": [
      { "Field": "eventCategory", "Equals": ["Data"] },
      { "Field": "resources.type", "Equals": ["AWS::Lambda::Function"] },
      { "Field": "resources.ARN", "Equals": ["arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction"] }
    ]
  }
]'

El ejemplo devuelve los selectores de eventos avanzados configurados para el registro de seguimiento.


{
  "AdvancedEventSelectors": [
    {
      "Name": "Log readOnly and writeOnly management events",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Management" ]
        }
      ]
    },
    {
      "Name": "Log PutObject and DeleteObject events for all but one bucket",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Data" ]
        },
        {
          "Field": "resources.type", 
          "Equals": [ "AWS::S3::Object" ]
        },
        {
          "Field": "resources.ARN", 
          "NotStartsWith": [ "arn:aws:s3:::amzn-s3-demo-bucket/" ]
        },
      ]
    },
{
      "Name": "Log data plane actions on MyLambdaFunction",
      "FieldSelectors": [
        {
          "Field": "eventCategory", 
          "Equals": [ "Data" ]
        },
        {
          "Field": "resources.type", 
          "Equals": [ "AWS::Lambda::Function" ]
        },
        {
          "Field": "eventName", 
          "Equals": [ "Invoke" ]
        },
        {
          "Field": "resources.ARN", 
          "Equals": [ "arn:aws:lambda:us-east-2:111122223333:function/MyLambdaFunction" ]
        }
      ]
    }
  ],
  "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName"
}

Registrar todos los eventos de Amazon S3 de un bucket de Amazon S3 mediante selectores de eventos avanzados

nota

Si aplica selectores de eventos avanzados a un registro de seguimiento, se sobrescriben todos los selectores de eventos básicos existentes.

El ejemplo siguiente muestra cómo configurar su registro de seguimiento para que incluya eventos de datos para todos los objetos de Amazon S3 en un bucket de S3 específico. El valor de los eventos de S3 para el campo resources.type es AWS::S3::Object. Debido a que los valores de ARN para los objetos de S3 y los buckets de S3 son ligeramente diferentes, debe agregar el operador StartsWith para resources.ARN a fin de capturar todos los eventos.


aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
    {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
                { "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::amzn-s3-demo-bucket/"] }
            ]
        }
]'

El comando devuelve el siguiente resultado de ejemplo.


{
    "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:partition:s3:::amzn-s3-demo-bucket/"
                    ]
                }
            ]
        }
    ]
}

Registrar eventos de Amazon S3 en eventos de AWS Outposts mediante selectores de eventos avanzados

nota

Si aplica selectores de eventos avanzados a un registro de seguimiento, se sobrescriben todos los selectores de eventos básicos existentes.

En el siguiente ejemplo se muestra cómo configurar su registro de seguimiento para que incluya todos los eventos de datos de todos los objetos de Amazon S3 on Outposts.


aws cloudtrail put-event-selectors --trail-name TrailName --region region \
--advanced-event-selectors \
'[
    {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
            ]
    }
]'

El comando devuelve el siguiente resultado de ejemplo.


{
    "TrailARN": "arn:aws:cloudtrail:region:account_ID:trail/TrailName",
    "AdvancedEventSelectors": [
        {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3Outposts::Object"
                    ]
                }
            ]
        }
    ]
}

Registrar eventos mediante selectores de eventos básicos

A continuación, se muestra un resultado de ejemplo del comando get-event-selectors que muestra los selectores de eventos básicos. De forma predeterminada, cuando se crea un registro de seguimiento mediante la AWS CLI, un registro de seguimiento registra todos los eventos de administración. De manera predeterminada, los registros de seguimiento no registran eventos de datos.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
    "EventSelectors": [
        {
            "IncludeManagementEvents": true,
            "DataResources": [],
            "ReadWriteType": "All"
        }
    ]
}

Para configurar el registro de seguimiento para que registre los eventos de administración y de datos, ejecute el comando put-event-selectors.

En el ejemplo siguiente, se muestra cómo utilizar selectores de eventos básicos a fin de configurar su registro de seguimiento de manera que incluya todos los eventos de administración y de datos para los objetos de S3 en dos prefijos de bucket de S3. Puede especificar entre 1 y 5 selectores de eventos en los registros de seguimiento. Puede especificar entre 1 y 250 recursos de datos en los registros de seguimiento.

nota

El número máximo de recursos de datos de S3 es 250, si elige limitar los eventos de datos mediante selectores de eventos básicos.


aws cloudtrail put-event-selectors --trail-name TrailName --event-selectors '[{ "ReadWriteType": "All", "IncludeManagementEvents":true, "DataResources": [{ "Type": "AWS::S3::Object", "Values": ["arn:aws:s3:::amzn-s3-demo-bucket1/prefix", "arn:aws:s3:::amzn-s3-demo-bucket2;/prefix2"] }] }]'

El comando devuelve los selectores de eventos configurados para el registro de seguimiento.


{
    "TrailARN": "arn:aws:cloudtrail:us-east-2:123456789012:trail/TrailName",
    "EventSelectors": [
        {
            "IncludeManagementEvents": true,
            "DataResources": [
                {
                    "Values": [
                        "arn:aws:s3:::amzn-s3-demo-bucket1/prefix",
                        "arn:aws:s3:::amzn-s3-demo-bucket2/prefix2",
                    ],
                    "Type": "AWS::S3::Object"
                }
            ],
            "ReadWriteType": "All"
        }
    ]
}

Registro de eventos de datos para los almacenes de datos de eventos con la AWS CLI

Puede configurar sus almacenes de datos de eventos para que incluyan los eventos de datos con la AWS CLI. Utilice el comando create-event-data-store para crear un nuevo almacén de datos de eventos para registrar los eventos de datos. Utilice el comando update-event-data-store para actualizar los selectores de eventos avanzados de un almacén de datos de eventos existente.

Puede configurar los selectores de eventos avanzados para que registren eventos de datos en un almacén de datos de eventos. Para obtener una lista con los campos compatibles, consulte Filtrado de los eventos de datos mediante selectores de eventos avanzados.

Para ver si el almacén de datos de eventos incluye eventos de datos, ejecute el comando get-event-data-store.


aws cloudtrail get-event-data-store --event-data-store EventDataStoreARN

El comando devuelve la configuración del almacén de datos de eventos.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE6441aa",
    "Name": "ebs-data-events",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "Log all EBS direct APIs on EBS snapshots",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::EC2::Snapshot"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-11-04T15:57:33.701000+00:00",
    "UpdatedTimestamp": "2023-11-20T20:37:34.228000+00:00"
}

Temas

Incluir todos los eventos de Amazon S3 en un bucket específico
Incluir Amazon S3 en los eventos de AWS Outposts

Incluir todos los eventos de Amazon S3 en un bucket específico

En el ejemplo siguiente, se muestra cómo crear un almacén de datos de eventos para que incluya todos los eventos de datos de todos los objetos de Amazon S3 en un bucket de S3 específico de uso general y para que excluya los eventos Servicio de AWS y los eventos que genera bucket-scanner-role userIdentity. El valor de los eventos de S3 para el campo resources.type es AWS::S3::Object. Debido a que los valores de ARN para los objetos de S3 y los buckets de S3 son ligeramente diferentes, debe agregar el operador StartsWith para resources.ARN a fin de capturar todos los eventos.


aws cloudtrail create-event-data-store --name "EventDataStoreName" --multi-region-enabled \
--advanced-event-selectors \
'[
    {
        "Name": "S3EventSelector",
        "FieldSelectors": [
            { "Field": "eventCategory", "Equals": ["Data"] },
            { "Field": "resources.type", "Equals": ["AWS::S3::Object"] },
            { "Field": "resources.ARN", "StartsWith": ["arn:partition:s3:::amzn-s3-demo-bucket/"] },
            { "Field": "userIdentity.arn", "NotStartsWith": ["arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"]},
            { "Field": "eventType","NotEquals": ["AwsServiceEvent"]}
        ]
    }
]'

El comando devuelve el siguiente resultado de ejemplo.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLE492-301f-4053-ac5e-EXAMPLE441aa",
    "Name": "EventDataStoreName",
    "Status": "ENABLED",
    "AdvancedEventSelectors": [
        {
            "Name": "S3EventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.ARN",
                    "StartsWith": [
                        "arn:partition:s3:::amzn-s3-demo-bucket/"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3::Object"
                    ]
                },
                { 
                    "Field": "userIdentity.arn", 
                    "NotStartsWith": [
                        "arn:aws:sts::123456789012:assumed-role/bucket-scanner-role"
                     ]
                },
                { 
                    "Field": "eventType",
                    "NotEquals": [
                        "AwsServiceEvent"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2024-11-04T15:57:33.701000+00:00",
    "UpdatedTimestamp": "2024-11-20T20:49:21.766000+00:00"
}

Incluir Amazon S3 en los eventos de AWS Outposts

En el ejemplo siguiente, se muestra cómo crear un almacén de datos de eventos que incluya todos los eventos de datos de todos los objetos de Amazon S3 en Outposts.


aws cloudtrail create-event-data-store --name EventDataStoreName \
--advanced-event-selectors \
'[
    {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                { "Field": "eventCategory", "Equals": ["Data"] },
                { "Field": "resources.type", "Equals": ["AWS::S3Outposts::Object"] }
            ]
        }
]'

El comando devuelve el siguiente resultado de ejemplo.


{
    "EventDataStoreArn": "arn:aws:cloudtrail:us-east-1:111122223333:eventdatastore/EXAMPLEb4a8-99b1-4ec2-9258-EXAMPLEc890",
    "Name": "EventDataStoreName",
    "Status": "CREATED",
    "AdvancedEventSelectors": [
        {
            "Name": "OutpostsEventSelector",
            "FieldSelectors": [
                {
                    "Field": "eventCategory",
                    "Equals": [
                        "Data"
                    ]
                },
                {
                    "Field": "resources.type",
                    "Equals": [
                        "AWS::S3Outposts::Object"
                    ]
                }
            ]
        }
    ],
    "MultiRegionEnabled": true,
    "OrganizationEnabled": false,
    "BillingMode": "EXTENDABLE_RETENTION_PRICING",
    "RetentionPeriod": 366,
    "TerminationProtectionEnabled": true,
    "CreatedTimestamp": "2023-02-20T21:00:17.673000+00:00",
    "UpdatedTimestamp": "2023-02-20T21:00:17.820000+00:00"
}

Registrar eventos de datos para la conformidad con AWS Config

Si utiliza paquetes de cumplimiento de AWS Config para ayudar a su empresa a mantener la conformidad con los estándares formalizados, como los requeridos por el Programa Federal de Administración de Riesgos y Autorizaciones (FedRAMP) o el Instituto Nacional de Estándares y Tecnología (NIST), los paquetes de cumplimiento para los marcos de conformidad generalmente requieren que registre eventos de datos para los buckets de Amazon S3, como mínimo. Los paquetes de cumplimiento para los marcos de conformidad incluyen una regla administrada denominada cloudtrail-s3-dataevents-enabled que comprueba el registro de eventos de datos de S3 en su cuenta. Varios paquetes de cumplimiento que no están asociados con marcos de conformidad también requieren el registro de eventos de datos de S3. A continuación, se muestran ejemplos de paquetes de cumplimiento que incluyen esta regla.

Para obtener una lista completa de los paquetes de cumplimiento de muestra disponibles en AWS Config, consulte Plantillas de ejemplo del paquete de cumplimiento en la Guía para desarrolladores de AWS Config.

Registro de eventos de datos con los SDK de AWS

Ejecute la operación GetEventSelectors para saber si el registro de seguimiento está registrando los eventos de datos. Para configurar sus registros de seguimiento para que registren eventos de datos, ejecute la operación PutEventSelectors. Para obtener más información, consulte la Referencia de la API de AWS CloudTrail.

Ejecute la operación GetEventDataStore para saber si el almacén de datos de eventos está registrando los eventos de datos. Puede configurar sus almacenes de datos de eventos para incluir eventos de datos ejecutando las operaciones CreateEventDataStore o UpdateEventDataStore y especificando los selectores de eventos avanzados. Para obtener más información, consulte Creación, actualización y administración de almacenes de datos de eventos con la AWS CLI y la AWS CloudTrail API Reference.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Eventos de administración

Filtrado de los eventos de datos mediante selectores de eventos avanzados