Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Recepción de archivos de CloudTrail registro de varias cuentas
Puede hacer que CloudTrail entregue archivos de registro de varios Cuentas de AWS a un único bucket de Amazon S3. Por ejemplo, tiene cuatro cuentas Cuentas de AWS con las cuentas IDs 1111, 222222222222, 333333333333 y 444444444444, y quiere configurarlos para entregar los archivos de registro de estas cuatro cuentas CloudTrail a un depósito que pertenece a la cuenta 1111. Para ello, siga los pasos que se describen a continuación por orden:
1. Active un registro de seguimiento en la cuenta a la que pertenecerá el bucket de destino (111111111111 en este ejemplo). No cree ningún registro de seguimiento para las demás cuentas todavía.
Para obtener instrucciones, consulte [Creación de un registro de seguimiento con la consola](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console).
1. Actualice la política en su bucket de destino para conceder permisos entre cuentas a CloudTrail.
Para obtener instrucciones, consulte [Configuración de la política de bucket para varias cuentas](cloudtrail-set-bucket-policy-for-multiple-accounts.md).
1. Cree un registro de seguimiento en las demás cuentas (222222222222, 333333333333 y 444444444444 en este ejemplo) en las que desee registrar la actividad. Cuando cree el registro de seguimiento en cada cuenta, especifique el bucket de Amazon S3 que pertenece a la cuenta que ha especificado en el paso 1 (111111111111 en este ejemplo). Para obtener instrucciones, consulte [Crea registros de seguimiento en cuentas adicionales](turn-on-cloudtrail-in-additional-accounts.md).
**nota**
Si decide habilitar el cifrado SSE-KMS, la política de claves de KMS debe CloudTrail permitir el uso de la clave para cifrar los archivos de registro y los archivos de resumen, y permitir que los usuarios que especifique lean los archivos de registro o los archivos de resumen sin cifrar. Para obtener más información sobre cómo editar manualmente la política de claves, consulte [Configurar políticas AWS KMS clave para CloudTrail](create-kms-key-policy-for-cloudtrail.md).
## Eliminar la cuenta del propietario del bucket para los eventos de datos invocados IDs por otras cuentas
Históricamente, si CloudTrail los eventos de datos estaban habilitados en una persona que llamaba a la API Cuenta de AWS de eventos de datos de Amazon S3, se CloudTrail mostraba el ID de cuenta del propietario del bucket de S3 en el evento de datos (por ejemplo,`PutObject`). Esto ocurría incluso si la cuenta del propietario del bucket no tenía activados los eventos de datos de S3.
Ahora, CloudTrail elimina el ID de cuenta del propietario del bucket de S3 del `resources` bloque si se cumplen las dos condiciones siguientes:
+ La llamada a la API del evento de datos proviene de un propietario Cuenta de AWS diferente al del bucket de Amazon S3.
+ El llamante de la API recibió un error `AccessDenied` que era solo para la cuenta del llamante.
El propietario del recurso en el que se realizó la llamada a la API sigue recibiendo el evento completo.
Los siguientes fragmentos de registro de eventos son un ejemplo del comportamiento esperado. En el fragmento `Historic`, se muestra el ID de cuenta 123456789012 del propietario del bucket de S3 a un llamante de la API de otra cuenta. En el ejemplo del comportamiento actual, no se muestra el ID de la cuenta del propietario del bucket.
```
# Historic
"resources": [
{
"type": "AWS::S3::Object",
"ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/"
},
{
"accountId": "123456789012",
"type": "AWS::S3::Bucket",
"ARN": "arn:aws:s3:::amzn-s3-demo-bucket2"
}
]
```
El siguiente es el comportamiento actual.
```
# Current
"resources": [
{
"type": "AWS::S3::Object",
"ARNPrefix": "arn:aws:s3:::amzn-s3-demo-bucket2/"
},
{
"accountId": "",
"type": "AWS::S3::Bucket",
"ARN": "arn:aws:s3:::amzn-s3-demo-bucket2"
}
]
```
**Topics**
+ [Eliminar la cuenta del propietario del bucket para los eventos de datos invocados IDs por otras cuentas](#cloudtrail-receive-logs-s3-owner-id-redaction)
+ [Configuración de la política de bucket para varias cuentas](cloudtrail-set-bucket-policy-for-multiple-accounts.md)
+ [Crea registros de seguimiento en cuentas adicionales](turn-on-cloudtrail-in-additional-accounts.md)
# Configuración de la política de bucket para varias cuentas
Para que un bucket reciba archivos de registro desde varias cuentas, su política de bucket debe conceder permiso a CloudTrail para escribir los archivos de registro desde todas las cuentas que especifique. Esto significa que debe modificar la política de bucket de su bucket de destino para conceder CloudTrail permiso para escribir archivos de registro de cada cuenta especificada.
**nota**
Por motivos de seguridad, los usuarios sin autorización no pueden crear un registro de seguimiento que incluya `AWSLogs/` como parámetro `S3KeyPrefix`.
**Para modificar los permisos de bucket para que los archivos puedan recibirse desde varias cuentas**
1. Inicie sesión Consola de administración de AWS con la cuenta propietaria del bucket (en este ejemplo) y abra la consola Amazon S3.
1. Elija el depósito en el que se CloudTrail entregan los archivos de registro y, a continuación, elija **Permisos**.
1. Para **Bucket policy** (Política de bucket), elija **Edit** (Editar).
1. Modifique la política existente para añadir una línea para cada cuenta adicional cuyos archivos de registro desea enviar a este bucket. Consulte la siguiente política de ejemplo y preste atención a la línea `Resource` subrayada donde se especifica un segundo ID de cuenta. Como práctica recomendada de seguridad, agregue una clave de conción `aws:SourceArn` de la política de bucket de Amazon S3. Esto ayuda a evitar el acceso no autorizado a su bucket de S3. Si tiene trazas existentes, asegúrese de agregar una o más claves de condición.
**nota**
Un ID de AWS cuenta es un número de doce dígitos que incluye los ceros iniciales.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20131101",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:SourceArn": [
"arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
"arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
]
}
}
},
{
"Sid": "AWSCloudTrailWrite20131101",
"Effect": "Allow",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/111111111111/*",
"arn:aws:s3:::amzn-s3-demo-bucket/optionalLogFilePrefix/AWSLogs/222222222222/*"
],
"Condition": {
"StringEquals": {
"aws:SourceArn": [
"arn:aws:cloudtrail:region:111111111111:trail/primaryTrailName",
"arn:aws:cloudtrail:region:222222222222:trail/secondaryTrailName"
],
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
# Crea registros de seguimiento en cuentas adicionales
Puede utilizar la consola o la AWS CLI para crear rutas adicionales Cuentas de AWS y agregar sus archivos de registro a un bucket de Amazon S3. Como alternativa, puede crear un registro de la organización para registrar todo Cuentas de AWS lo que forma parte de una organización AWS Organizations. Para obtener más información, consulte [Creación de un registro de seguimiento para una organización](creating-trail-organization.md).
## Utilizar la consola para crear registros en AWS cuentas adicionales
Puedes usar la CloudTrail consola para crear rutas en cuentas adicionales.
1. Inicia sesión Consola de administración de AWS con la cuenta para la que quieres crear una ruta. Siga los pasos de [Creación de un registro de seguimiento con la consola](cloudtrail-create-a-trail-using-the-console-first-time.md#creating-a-trail-in-the-console) para crear un registro de seguimiento mediante la consola.
1. En **Storage Location** (Ubicación de almacenamiento), elija **Use existing S3 bucket** (Usar bucket de S3 existente). Use la casilla de texto para introducir el nombre del bucket que usa a fin de almacenar los archivos de registro de todas las cuentas.
**nota**
La política de bucket debe conceder CloudTrail permiso para escribir en él. Para obtener más información sobre cómo editar manualmente la política del bucket, consulte [Configuración de la política de bucket para varias cuentas](cloudtrail-set-bucket-policy-for-multiple-accounts.md).
![\[Usar un bucket de S3 existente\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/cloudtrail-use-existing-bucket.png)
1. En **Prefijo**, introduzca el prefijo que utiliza para almacenar los archivos de registro en todas las cuentas. Si eliges usar un prefijo diferente al que especificaste en tu política de bucket, debes editar la política de bucket en tu bucket de destino para poder escribir CloudTrail archivos de registro en tu bucket con este nuevo prefijo.
## Uso de la CLI para crear un registro en AWS cuentas adicionales
Puede usar las herramientas de línea de AWS comandos para crear registros en cuentas adicionales y agregar sus archivos de registro a un bucket de Amazon S3. Para obtener más información sobre estas herramientas, consulte [Cloudtrail](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/) en la *Referencia de los comandos de la AWS CLI *.
Cree un registro de seguimiento mediante el comando **create-trail** y especifique lo siguiente:
+ `--name` especifica el nombre del registro de seguimiento.
+ `--s3-bucket-name` especifica el bucket de Amazon S3 que utiliza para almacenar los archivos de registro de todas las cuentas.
+ `--s3-prefix` especifica un prefijo para la ruta de envío de los archivos de registro (opcional).
+ `--is-multi-region-trail`especifica que este registro registrará los eventos en todas AWS las regiones de la partición en la que esté trabajando.
Puede crear un registro para cada región en la que una cuenta ejecute AWS recursos.
El siguiente comando de ejemplo muestra cómo crear un registro de seguimiento para sus otras cuentas mediante la AWS CLI. Para enviar archivos de registros para estas cuentas al bucket que ha creado en su primera cuenta (en este ejemplo, 111111111111), especifique el nombre del bucket en la opción `--s3-bucket-name`. Los nombres del bucket de Amazon S3 son exclusivos a nivel global.
```
aws cloudtrail create-trail --name my-trail --s3-bucket-name amzn-s3-demo-bucket --is-multi-region-trail
```
Al ejecutar el comando, verá un resultado parecido al siguiente:
```
{
"IncludeGlobalServiceEvents": true,
"Name": "AWSCloudTrailExample",
"TrailARN": "arn:aws:cloudtrail:us-east-2:222222222222:trail/my-trail",
"LogFileValidationEnabled": false,
"IsMultiRegionTrail": true,
"IsOrganizationTrail": false,
"S3BucketName": "amzn-s3-demo-bucket"
}
```
Para obtener más información sobre el uso CloudTrail de las herramientas de línea de AWS comandos, consulte la [referencia de la línea de CloudTrail comandos](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/index.html).