Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Creación, actualización y administración de almacenes de datos de eventos con la consola
**nota**
AWS CloudTrail Lake dejará de estar abierto a nuevos clientes a partir del 31 de mayo de 2026. Si quieres usar CloudTrail Lake, regístrate antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [CloudTrail Cambio de disponibilidad del lago](cloudtrail-lake-service-availability-change.md).
Puedes usar la CloudTrail consola para crear, actualizar, eliminar y restaurar los almacenes de datos de eventos.
Puede actualizar los siguientes ajustes mediante la CloudTrail consola:
+ Puede cambiar la [opción de precio](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) de **precio de retención de siete años** a un **precio de retención ampliable por un año**.
+ Puede actualizar el periodo de retención del almacén de datos de eventos. El periodo de retención determina cuánto tiempo se conservan los datos del evento en el almacén de datos de eventos.
+ Puede convertir un almacén de datos de eventos multirregión en un almacén de datos de eventos de una sola región o viceversa.
+ La cuenta de administración de una AWS Organizations organización puede convertir un banco de datos de eventos a nivel de cuenta en un almacén de datos de eventos de la organización, o puede convertir un banco de datos de eventos de la organización en un banco de datos de eventos a nivel de cuenta. Esta configuración no está disponible en los almacenes de datos de eventos que recopilan eventos externos a. AWS
+ Puede activar o desactivar la [federación de consultas de Lake](query-federation.md). La federación de un almacén de datos de eventos le permite consultar los datos de sus eventos desde Amazon Athena.
+ Puede agregar o editar la política basada en recursos de un almacén de datos de eventos para ofrecer acceso entre cuentas al almacén de datos de eventos. Para obtener más información, consulte [Ejemplos de políticas basadas en recursos para almacenes de datos de eventos](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
+ Puede [detener la ingesta de eventos y reiniciar la ingesta](query-eds-stop-ingestion.md) de eventos en los almacenes de datos de eventos que recopilan eventos de administración, eventos de datos o elementos de AWS Config configuración.
+ Puede habilitar o deshabilitar la [protección contra la terminación](query-eds-termination-protection.md). Habilitar la protección contra la terminación impide que un almacén de datos de eventos se elimine accidentalmente. La protección contra la terminación está habilitada de forma predeterminada.
+ Puede [restaurar](query-eds-restore.md) un almacén de datos de eventos que esté pendiente de eliminación.
+ Puede agregar o eliminar etiquetas. Puede agregar hasta 50 pares de claves y etiquetas para que lo ayuden a identificar, ordenar su almacén de datos de eventos y controlar el acceso a él.
+ Puede agregar una clave de KMS para cifrar su almacén de datos de eventos. No puede eliminar una clave de KMS de un almacén de datos de eventos.
El uso de la CloudTrail consola para crear o actualizar un almacén de datos de eventos ofrece las siguientes ventajas:
+ Si está configurando un banco de datos de eventos para recopilar eventos de datos, el uso de la CloudTrail consola le permite ver los tipos de recursos de eventos de datos disponibles. Para obtener más información, consulte [Registro de eventos de datos](logging-data-events-with-cloudtrail.md).
+ Si está configurando un banco de datos de eventos para recopilar los eventos de actividad de la red, el uso de la CloudTrail consola le permite ver las fuentes de eventos para registrar los eventos de actividad de la red. Para obtener más información, consulte [Registro de eventos de actividad de la red](logging-network-events-with-cloudtrail.md).
+ Si está configurando un banco de datos de eventos para recopilar eventos fuera de él AWS, el uso de la CloudTrail consola le permite ver la información sobre los socios disponibles. Para obtener más información, consulte [Cree un almacén de datos de eventos para eventos externos AWS a la consola](event-data-store-integration-events.md).
**Topics**
+ [Cree un almacén de datos de CloudTrail eventos para eventos con la consola](query-event-data-store-cloudtrail.md)
+ [Creación de un almacén de datos de eventos para los eventos de Insights con la consola](query-event-data-store-insights.md)
+ [Creación de un almacén de datos de eventos para los elementos de configuración con la consola](query-event-data-store-config.md)
+ [Cree un almacén de datos de eventos para eventos externos AWS a la consola](event-data-store-integration-events.md)
+ [Actualización de un almacén de datos de eventos con la consola](query-event-data-store-update.md)
+ [Detención e inicio de la ingesta de eventos con la consola](query-eds-stop-ingestion.md)
+ [Cambio de la protección contra la terminación con la consola](query-eds-termination-protection.md)
+ [Eliminar un almacén de datos de eventos con la consola](query-event-data-store-delete.md)
+ [Restaurar un almacén de datos de eventos con la consola](query-eds-restore.md)
+ [Exportación de datos del almacén de datos de CloudTrail Lake Event a CloudWatch](cloudtrail-lake-export-cloudwatch.md)
# Cree un almacén de datos de CloudTrail eventos para eventos con la consola
**nota**
AWS CloudTrail Lake dejará de estar abierto a nuevos clientes a partir del 31 de mayo de 2026. Si quieres usar CloudTrail Lake, regístrate antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [CloudTrail Cambio de disponibilidad del lago](cloudtrail-lake-service-availability-change.md).
Los almacenes de datos de CloudTrail eventos para eventos pueden incluir eventos CloudTrail de administración, eventos de datos y eventos de actividad de red. Puede conservar los datos de los eventos en un almacén de datos de eventos durante un máximo de 3653 días (unos 10 años) si elige la opción **Precios de retención ampliables por un año**, o hasta 2557 días (unos 7 años) si elige la opción **Precios de retención por siete años**.
CloudTrail Los almacenes de datos de eventos de Lake incurren en cargos. Cuando crea un almacén de datos de eventos, debe elegir la [opción de precios](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) que desee utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como el período de retención predeterminado y máximo del almacén de datos de eventos. Para obtener información sobre CloudTrail los precios y la administración de los costos de Lake, consulte [AWS CloudTrail Precios](https://aws.amazon.com/cloudtrail/pricing/) y[Gestión de los costos de los CloudTrail lagos](cloudtrail-lake-manage-costs.md).
## Para crear un almacén de datos de CloudTrail eventos para eventos
Utilice este procedimiento para crear un banco de datos de eventos que registre los eventos CloudTrail de administración, los eventos de datos o los eventos de actividad de la red.
1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En el panel de navegación, en **Lago**, elija **Almacenes de datos de eventos**.
1. Elija **Create event data store** (Crear almacén de datos de eventos).
1. En la página **Configure event data store** (Configurar el almacén de datos de eventos), en **General details** (Detalles generales), ingrese un nombre para el almacén de datos de eventos. El nombre es obligatorio.
1. Elija la **Opción de precios** que desee usar para el almacén de datos de eventos. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como los periodos de retención predeterminado y máximo del almacén de datos de eventos. Para obtener más información, consulte [AWS CloudTrail Precios](https://aws.amazon.com/cloudtrail/pricing/) y [Gestión de los costos de los CloudTrail lagos](cloudtrail-lake-manage-costs.md).
Están disponibles las siguientes opciones:
+ **Precio de retención ampliable por un año**: en general se recomienda si prevé incorporar menos de 25 TB de datos de eventos al mes y desea un periodo de retención flexible de hasta 10 años. Durante los primeros 366 días (el periodo de retención predeterminado), el almacenamiento se incluye sin cargo adicional en los precios de incorporación. Después de 366 días, la retención prolongada está disponible a un pay-as-you-go precio. Esta es la opción predeterminada.
+ **Periodo de retención predeterminado:** 366 días.
+ **Periodo máximo de retención:** 3653 días.
+ **Precio de retención ampliable por un año**: se recomienda si prevé incorporar más de 25 TB de datos de eventos al mes y desea un periodo de retención de hasta 7 años. La retención está incluida en los precios de incorporación sin costo adicional.
+ **Periodo de retención predeterminado:** 2557 días.
+ **Periodo máximo de retención:** 2557 días.
1. Especifique un periodo de retención para el almacén de datos de eventos. Los periodos de retención pueden oscilar entre 7 y 3653 días (unos 10 años) para la opción **Precios de retención ampliables por un año**, o entre 7 días y 2557 días (unos siete años) para la opción **Precios de retención por siete años**.
CloudTrail Lake determina si se debe retener un evento comprobando si el `eventTime` evento se encuentra dentro del período de retención especificado. Por ejemplo, si especificas un período de retención de 90 días, CloudTrail eliminará los eventos cuando `eventTime` tengan más de 90 días.
**nota**
Si está copiando eventos de seguimiento a este almacén de datos de eventos, no CloudTrail copiará ningún evento si `eventTime` es anterior al período de retención especificado. Para determinar el período de retención adecuado, tome la suma del evento más antiguo que desea copiar en días y el número de días que desea conservar los eventos en el almacén de datos del evento (**período de retención** = *oldest-event-in-days* \$1*number-days-to-retain*). Por ejemplo, si el evento más antiguo que va a copiar tiene 45 días y desea conservar los eventos en el almacén de datos de eventos durante otros 45 días, debe establecer el periodo de retención en 90 días.
1. (Opcional) Para habilitar el cifrado mediante AWS Key Management Service, elija **Usar el mío AWS KMS key**. Elija **Nuevo** para que se AWS KMS key cree una para usted, o bien elija **Existente** para usar una clave KMS existente. En **Introducir un alias de KMS**, especifique un alias en el formato `alias/`*MyAliasName*. El uso de su propia clave de KMS requiere que edite la política de claves para permitir que se cifre y descifre el almacén de datos de eventos de CloudTrail. Para obtener más información, consulte[Configurar políticas AWS KMS clave para CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail también admite claves AWS KMS multirregionales. Para obtener más información sobre las claves de varias regiones, consulte [Uso de claves de varias regiones](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) en la *Guía para desarrolladores de AWS Key Management Service *.
El uso de su propia clave KMS conlleva AWS KMS costes de cifrado y descifrado. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar.
**nota**
Para habilitar el AWS Key Management Service cifrado en un almacén de datos de eventos de la organización, debe usar una clave KMS existente para la cuenta de administración.
1. (Opcional) Si desea realizar consultas con los datos de su evento mediante Amazon Athena, elija **Habilitar** en **Federación de consultas de Lake**. La federación le permite ver los metadatos asociados al almacén de datos de eventos en el [catálogo de datos de AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) y ejecutar consultas SQL con los datos de eventos en Athena. Los metadatos de la tabla almacenados en el catálogo de AWS Glue datos permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar. Para obtener más información, consulte [Federar un almacén de datos de eventos](query-federation.md).
Para habilitar la federación de consultas de Lake, seleccione **Habilitar** y, a continuación, haga lo siguiente:
1. Elija si desea crear un nuevo rol o utilizar un rol de IAM existente. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utiliza este rol para administrar los permisos del almacén de datos de eventos federados. Al crear un nuevo rol mediante la CloudTrail consola, crea CloudTrail automáticamente un rol con los permisos necesarios. Si elige un rol existente, asegúrese de que la política del rol proporcione los [permisos mínimos requeridos](query-federation.md#query-federation-permissions-role).
1. Si va a crear un rol nuevo, introduzca un nombre para identificarlo.
1. Si está utilizando un rol existente, elija el rol que desea usar. El rol debe existir en su cuenta de .
1. (Opcional) Elija **Habilitación de política de recursos** para agregar una política basada en recursos a este almacén de datos de eventos. Las políticas basadas en recursos le permiten controlar qué entidades principales pueden realizar acciones en el almacén de datos de eventos. Por ejemplo, puede agregar una política basada en recursos para permitir a los usuarios raíz de otras cuentas consultar el almacén de datos de eventos y ver los resultados de las consultas. Para ver ejemplos de políticas, consulte [Ejemplos de políticas basadas en recursos para almacenes de datos de eventos](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Una política basada en recursos incluye una o más instrucciones. Cada instrucción de la política define las [entidades principales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) a las que se les permite o deniega el acceso al almacén de datos de eventos y las acciones que las entidades principales pueden realizar en el recurso del almacén de datos de eventos.
Las políticas basadas en recursos para los almacenes de datos de eventos admiten las siguientes acciones:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Para [los almacenes de datos de eventos de la organización](cloudtrail-lake-organizations.md), CloudTrail crea una [política predeterminada basada en los recursos](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) que enumera las acciones que las cuentas de administrador delegado pueden realizar en los almacenes de datos de eventos de la organización. Los permisos de esta política se obtienen de los permisos del administrador delegado en AWS Organizations. Esta política se actualiza automáticamente tras los cambios en el almacén de datos de eventos de la organización o en la organización (por ejemplo, si se registra o CloudTrail se elimina una cuenta de administrador delegado).
1. (Opcional) En la sección **Tags** (Etiquetas), puede agregar hasta 50 pares de claves y etiquetas para que lo ayuden a identificar y ordenar su almacén de datos de eventos y controlar el acceso a él. Para obtener más información sobre cómo utilizar las políticas de IAM para autorizar el acceso a un almacén de datos de eventos en función de etiquetas, consulte [Ejemplos: Denegación de acceso para crear o eliminar almacenes de datos de eventos en función de etiquetas](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Para obtener más información sobre cómo utilizar las etiquetas AWS, consulte Cómo [etiquetar AWS los recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) en la Guía del usuario de los * AWS recursos de etiquetado*.
1. Elija **Next** (Siguiente) para configurar el almacén de datos de eventos.
1. **En la página **Elegir eventos**, elija **AWS eventos** y, a continuación, elija CloudTrail eventos.**
1. Para **CloudTrail los eventos**, elige al menos un tipo de evento. De forma predeterminada, se selecciona la opción **Management events** (Eventos de administración). Puede agregar [eventos de administración](logging-management-events-with-cloudtrail.md), [eventos de datos](logging-data-events-with-cloudtrail.md) y [eventos de actividad de red](logging-network-events-with-cloudtrail.md) a su almacén de datos de eventos.
1. (Opcional) Elija **Copy trail events** (Copiar eventos de registros de seguimiento) si desea copiar eventos de un registro de seguimiento existente para ejecutar consultas sobre eventos pasados. Para copiar los eventos de los registros de seguimiento en el almacén de datos de eventos de una organización, debe utilizar su cuenta de administración. La cuenta del administrador delegado no puede copiar los eventos de registro de seguimiento en el almacén de datos de eventos de una organización. Para obtener más información acerca de las consideraciones para copiar eventos de registro de seguimiento, consulte [Consideraciones para copiar eventos de registros de seguimiento](cloudtrail-copy-trail-to-lake-eds.md#cloudtrail-trail-copy-considerations-lake).
1. Para que su almacén de datos de eventos recopile eventos de todas las cuentas de una organización de AWS Organizations , seleccione **Enable for all accounts in my organization** (Activar en todas las cuentas de mi organización). Para crear un almacén de datos de eventos que recopile eventos de una organización, es necesario haber iniciado sesión con la cuenta de administración o la cuenta de administrador delegado de la organización.
**nota**
Para copiar los eventos de registro de seguimiento o habilitar los eventos de Insights, debe haber iniciado sesión en la cuenta de administración de su organización.
1. Amplíe la **configuración adicional** para elegir si desea que el banco de datos de eventos recopile los eventos de todos los Regiones de AWS eventos o solo los actuales Región de AWS, y elija si el banco de datos de eventos incluye los eventos. De forma predeterminada, el almacén de datos de eventos recopila los eventos de todas las regiones de la cuenta y comienza a ingerirlos cuando se crea.
1. Seleccione **Incluir solo la región actual en el almacén de datos de eventos** para incluir solo los eventos registrados en la región actual. Si no elige esta opción, su almacén de datos de eventos incluirá eventos de todas las regiones.
1. Anule la selección de **Ingerir eventos** si no quiere que el almacén de datos de eventos comience a ingerir eventos. Por ejemplo, es posible que desee deseleccionar **Ingerir eventos** si está copiando eventos de registros de seguimiento y no desea que el almacén de datos de eventos incluya eventos futuros. De forma predeterminada, el almacén de datos de eventos comienza a ingerir eventos cuando se crea.
1. Si el almacén de datos de eventos incluye eventos de administración, puede elegir entre las siguientes opciones. Para obtener más información sobre los eventos de administración, consulte [Registro de eventos de administración](logging-management-events-with-cloudtrail.md).
1. Elija entre la **Recopilación de eventos simple** o la **Recopilación de eventos avanzada**:
+ Elija **Recopilación de eventos simple** si desea registrar todos los eventos, registrar solo los eventos de lectura o solo los eventos de escritura. También puede optar por excluir los eventos AWS Key Management Service de Amazon RDS Data API.
+ Elija la **Recopilación avanzada de eventos** si desea incluir o excluir los eventos de administración en función de los valores de los campos del selector de eventos avanzado, como los campos `eventName`, `eventType`, `eventSource`, `sessionCredentialFromConsole` y `userIdentity.arn`.
1. Si seleccionó **Recopilación de eventos simple**, elija si quiere registrar todos los eventos, registrar solo los eventos de lectura o registrar solo los eventos de escritura. También puede optar por excluir los eventos AWS KMS de Amazon RDS Data API.
1. Si seleccionó **Recopilación de eventos avanzada**, realice las siguientes selecciones:
1. En la **Plantilla de selector de registros**, elija una plantilla predefinida o **Personalizada** para crear una configuración personalizada basada en los valores de los campos del selector de eventos avanzado.
Puede elegir entre las siguientes plantillas predefinidas:
+ **Registrar todos los eventos**: elija esta plantilla para registrar todos los eventos.
+ **Registrar solo eventos de lectura**: elija esta plantilla para registrar solo eventos de lectura. Los eventos de solo lectura son eventos que no cambian el estado de un recurso, como los eventos `Get*` o `Describe*`.
+ **Registrar solo eventos de escritura**: elija esta plantilla para registrar solo eventos de escritura. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos `Put*`, `Delete*` o `Write*`.
+ **Registrar solo Consola de administración de AWS eventos**: elija esta plantilla para registrar solo los eventos que se originen en Consola de administración de AWS.
+ **Excluir eventos Servicio de AWS iniciados**: elija esta plantilla para excluir Servicio de AWS los eventos que tengan un `eventType` de `AwsServiceEvent` y los eventos Servicio de AWS iniciados con funciones vinculadas (SLRs).
1. (Opcional) En **Nombre del selector**, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo para un selector de eventos avanzado, como «Registrar los eventos de administración de Consola de administración de AWS las sesiones». El nombre del selector aparece como `Name` en el selector de eventos avanzado y se puede ver si se amplía la **vista JSON**.
1. Si eligió **Personalizado**, en los **Selectores de eventos avanzados** cree una expresión basada en los valores de los campos del selector de eventos avanzado.
**nota**
Los selectores no admiten el uso de caracteres comodín como `*`. Para hacer coincidir varios valores con una sola condición, puede usar `StartsWith`, `EndsWith`, `NotStartsWith` o `NotEndsWith` a fin de hacer coincidir de manera explícita el principio o el final del campo de evento.
1. Elija uno de los siguientes campos.
+ **`readOnly`**: `readOnly` se puede establecer en **es igual a** con el valor `true` o `false`. Cuando se establece en `false`, el almacén de datos de eventos registra eventos de administración de solo escritura. Los eventos de administración de solo lectura son eventos que no cambian el estado de un recurso, como los eventos `Get*` o `Describe*`. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos `Put*`, `Delete*` o `Write*`. Para registrar los eventos de **Lectura** y **Escritura**, no agregue un selector de `readOnly`.
+ **`eventName`**— `eventName` puede utilizar cualquier operador. Puede usarlo para incluir o excluir cualquier evento de administración, como `CreateAccessPoint` o `GetAccessPoint`.
+ **`userIdentity.arn`**: incluya o excluya eventos para las acciones realizadas por identidades de IAM específicas. Para obtener más información, consulte [Elemento userIdentity de CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`sessionCredentialFromConsole`**— Incluir o excluir eventos originados en una Consola de administración de AWS sesión. Este campo se puede establecer como **igual** o **no igual** con un valor de `true`.
+ **`eventSource`**: puede usarlo para incluir o excluir orígenes de eventos específicos. El `eventSource` suele ser una forma abreviada del nombre del servicio sin espacios más `.amazonaws.com`. Por ejemplo, podría establecer el valor `eventSource` **igual a** en `ec2.amazonaws.com` para registrar solo los eventos de administración de Amazon EC2.
+ **`eventType`**: el [eventType](cloudtrail-event-reference-record-contents.md#ct-event-type) que se va a incluir o excluir. Por ejemplo, puede establecer este campo en **no igual a** `AwsServiceEvent` para excluir los [eventos de Servicio de AWS](non-api-aws-service-events.md).
1. En cada campo, seleccione **\$1 Condición** para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones.
Para obtener información sobre cómo CloudTrail se evalúan varias condiciones, consulte[¿Cómo CloudTrail se evalúan las condiciones múltiples de un campo](filtering-data-events.md#filtering-data-events-conditions).
**nota**
Puede tener un máximo de 500 valores para todos los selectores de un almacén de datos de eventos. Esto incluye matrices de varios valores para un selector como `eventName`. Si tiene valores únicos para todos los selectores, puede agregar un máximo de 500 condiciones a un selector.
1. Elija **\$1 Field (\$1 campos)** para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos.
1. De manera opcional, expanda **JSON view** (Vista JSON) para ver los selectores de eventos avanzados como un bloque JSON.
1. Seleccione **Habilitar la captura de eventos de Insights** para activar Insights. Para habilitar Insights, debe configurar un [almacén de datos de eventos de destino](query-event-data-store-insights.md#query-event-data-store-insights-procedure) para recopilar los eventos de Insights en función de la actividad de los eventos de administración en este almacén de datos de eventos.
Si decide habilitar Insights, haga lo siguiente.
1. Elija el almacén de eventos de destino que registrará los eventos de Insights. El almacén de datos de eventos de destino recopilará los eventos de Insights en función de la actividad de los eventos de administración en este almacén de datos de eventos. Para obtener información acerca de cómo crear un almacén de datos de eventos de destino, consulte [Cómo crear un almacén de datos de eventos de destino que registre los eventos de Insights](query-event-data-store-insights.md#query-event-data-store-insights-procedure).
1. Elija los tipos de Insights. Puede elegir la **tasa de llamadas a la API**, la **tasa de errores de la API** o ambas. Debe registrar los eventos de administración de **escritura** para registrar los eventos de Insights para calcular la **tasa de llamadas a la API**. Debe registrar los eventos de administración de **lectura** o **escritura** para registrar los eventos de Insights para calcular la **tasa de errores de la API**.
1. Para incluir eventos de datos en su almacén de datos de eventos, haga lo siguiente.
1. Elija un tipo de recurso. Este es el Servicio de AWS recurso en el que se registran los eventos de datos.
1. En la **Plantilla de selección de registros**, elija una plantilla predefinida o una **Personalizada** para definir sus propias condiciones de recopilación de eventos en función de los valores de los campos del selector de eventos avanzado.
Puede elegir entre las siguientes plantillas predefinidas:
+ **Registrar todos los eventos**: elija esta plantilla para registrar todos los eventos.
+ **Registrar solo eventos de lectura**: elija esta plantilla para registrar solo eventos de lectura. Los eventos de solo lectura son eventos que no cambian el estado de un recurso, como los eventos `Get*` o `Describe*`.
+ **Registrar solo eventos de escritura**: elija esta plantilla para registrar solo eventos de escritura. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos `Put*`, `Delete*` o `Write*`.
+ **Registrar solo Consola de administración de AWS eventos**: elija esta plantilla para registrar solo los eventos que se originen en Consola de administración de AWS.
+ **Excluir eventos Servicio de AWS iniciados**: elija esta plantilla para excluir Servicio de AWS los eventos que tengan un `eventType` de `AwsServiceEvent` y los eventos Servicio de AWS iniciados con funciones vinculadas (SLRs).
1. (Opcional) En **Nombre del selector**, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo opcional para un selector de eventos avanzado, como “Registrar eventos de datos para solo dos buckets de S3”. El nombre del selector aparece como `Name` en el selector de eventos avanzado y se puede ver si se amplía la **vista JSON**.
1. Si seleccionó **Personalizado**, en los **selectores de eventos avanzados** se crea una expresión basada en los valores de los campos de los selectores de eventos avanzados.
**nota**
Los selectores no admiten el uso de caracteres comodín como `*`. Para hacer coincidir varios valores con una sola condición, puede usar `StartsWith`, `EndsWith`, `NotStartsWith` o `NotEndsWith` a fin de hacer coincidir de manera explícita el principio o el final del campo de evento.
1. Elija uno de los siguientes campos.
+ **`readOnly`**: `readOnly` se puede establecer en **es igual a** con el valor `true` o `false`. Los eventos de datos de solo lectura son eventos que no cambian el estado de un recurso, como eventos `Get*` o `Describe*`. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos `Put*`, `Delete*` o `Write*`. Para registrar eventos `read` y `write`, no agregue un selector de `readOnly`.
+ **`eventName`**: `eventName` puede utilizar cualquier operador. Puede utilizarla para incluir o excluir cualquier evento de datos registrado CloudTrail, como `PutBucket``GetItem`, o`GetSnapshotBlock`.
+ **`eventSource`**: el origen del evento que se va a incluir o excluir. Este campo puede utilizar cualquier operador.
+ **eventType**: el tipo de evento que se va a incluir o excluir. Por ejemplo, puede establecer este campo en **no igual a** `AwsServiceEvent` para excluir [Servicio de AWS eventos](non-api-aws-service-events.md). Para obtener una lista de los tipos de eventos, consulte [`eventType`](cloudtrail-event-reference-record-contents.md#ct-event-type) en [CloudTrail registrar el contenido de los eventos de administración, datos y actividad de la red](cloudtrail-event-reference-record-contents.md).
+ **sessionCredentialFromConsola**: incluye o excluye los eventos que se originan en una Consola de administración de AWS sesión. Este campo se puede establecer como **igual** o **no igual** con un valor de `true`.
+ **userIdentity.arn**: incluya o excluya eventos para las acciones realizadas por identidades de IAM específicas. Para obtener más información, consulte [Elemento userIdentity de CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`resources.ARN`**: puede utilizar cualquier operador con `resources.ARN`, pero si utiliza **es igual a** o **no es igual a**, el valor debe coincidir exactamente con el ARN de un recurso válido del tipo especificado en la plantilla como el valor de `resources.type`.
**nota**
No puede usar el `resources.ARN` campo para filtrar los tipos de recursos que no lo tienen ARNs.
Para obtener más información sobre los formatos del ARN de los recursos de eventos de datos, consulte [Acciones, recursos y claves de condición para los Servicios de AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) en la *Referencia de autorizaciones de servicio*.
1. En cada campo, seleccione **\$1 Condición** para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones. Por ejemplo, para excluir eventos de datos de dos buckets de S3 de los eventos de datos registrados en su almacén de datos de eventos, puede establecer el campo en **resources.ARN**, configurar el operador en **no comienza por** y, a continuación, pegar un ARN de bucket de S3 para los que no desea registrar eventos.
Para agregar el segundo bucket de S3, seleccione **\$1 Condición** y, a continuación, repita la instrucción anterior, pegue el ARN o busque un bucket diferente.
Para obtener información sobre cómo CloudTrail se evalúan varias condiciones, consulte[¿Cómo CloudTrail se evalúan las condiciones múltiples de un campo](filtering-data-events.md#filtering-data-events-conditions).
**nota**
Puede tener un máximo de 500 valores para todos los selectores de un almacén de datos de eventos. Esto incluye matrices de varios valores para un selector como `eventName`. Si tiene valores únicos para todos los selectores, puede agregar un máximo de 500 condiciones a un selector.
1. Elija **\$1 Field (\$1 campos)** para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos. Por ejemplo, no especifique un ARN en un selector para que sea igual a un valor y luego especifique que el ARN no sea igual al mismo valor en otro selector.
1. De manera opcional, expanda **JSON view** (Vista JSON) para ver los selectores de eventos avanzados como un bloque JSON.
1. Para agregar otro tipo de recurso en el que registrar eventos de datos, elija **Agregar tipo de evento de datos**. Repita los pasos hasta este paso a fin de configurar los selectores de eventos avanzados para el tipo de recursos.
1. Para incluir eventos de actividad de la red en su almacén de datos de eventos, haga lo siguiente.
1. En **Origen de eventos de actividad de la red**, seleccione el origen de los eventos de actividad de la red.
1. Elija una plantilla en la sección **Log selector template** (Plantilla de selector de registros). Puede optar por registrar todos los eventos de actividad de la red, registrar todos los eventos de acceso denegado a la actividad de la red o seleccionar **Personalizar** para crear un selector de registro personalizado que filtre por varios campos, como `eventName` y `vpcEndpointId`.
1. (Opcional) Escriba un nombre para identificar el selector. El nombre del selector aparece como **Nombre** en el selector de eventos avanzado y se puede ver si se amplía la **vista JSON**.
1. En **Selectores de eventos avanzados**, cree expresiones mediante la selección de valores para **Campo**, **Operador** y **Valor**. Puede omitir este paso si utiliza una plantilla de registro predefinida.
1. Para excluir o incluir eventos de actividad de la red, puede elegir entre los siguientes campos de la consola.
+ **`eventName`**: puede utilizar cualquier operador con `eventName`. Puede utilizarlo para incluir o excluir cualquier evento, como `CreateKey`.
+ **`errorCode`**: puede usarlo para filtrar por un código de error. Actualmente, el único `errorCode` que se admite es `VpceAccessDenied`.
+ **`vpcEndpointId`**: identifica el punto de conexión de VPC por el que pasó la operación. Puede utilizar cualquier operador con `vpcEndpointId`.
1. En cada campo, seleccione **\$1 Condición** para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones.
1. Elija **\$1 Field (\$1 campos)** para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos.
1. Para agregar otro origen de eventos de actividad de la red que quiera registrar, seleccione **Agregar selector de eventos de actividad de la red**.
1. De manera opcional, expanda **JSON view** (Vista JSON) para ver los selectores de eventos avanzados como un bloque JSON.
1. Para copiar eventos de registro de seguimiento existentes en el almacén de datos, haga lo siguiente.
1. Elija el registro de seguimiento que desea copiar. De forma predeterminada, CloudTrail solo copia CloudTrail los eventos contenidos en el `CloudTrail` prefijo del bucket de S3 y los prefijos incluidos en el `CloudTrail` prefijo, y no comprueba los prefijos de otros servicios. AWS Si desea copiar CloudTrail los eventos contenidos en otro prefijo, seleccione **Introducir el URI de S3** y, a continuación, elija **Examinar S3** para buscar el prefijo. Si el depósito de S3 de origen de la ruta utiliza una clave de KMS para el cifrado de datos, asegúrese de que la política de claves de KMS CloudTrail permita descifrar los datos. Si el bucket de S3 de origen utiliza varias claves KMS, debe actualizar la política de cada clave CloudTrail para poder descifrar los datos del bucket. Para obtener más información sobre la actualización de la política de claves KMS, consulte [Política de claves KMS para descifrar datos en el bucket de S3 de origen](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-kms).
1. Elija el intervalo de tiempo para copiar los eventos. CloudTrail comprueba el prefijo y el nombre del archivo de registro para comprobar que el nombre contiene una fecha entre la fecha de inicio y la de finalización elegidas antes de intentar copiar los eventos de seguimiento. Puede elegir un **intervalo relativo** o un **intervalo absoluto**. Para evitar la duplicación de eventos entre el registro de seguimiento de origen y el almacén de datos de eventos de destino, elija un intervalo de tiempo que sea anterior a la creación del almacén de datos de eventos.
**nota**
CloudTrail solo copia los eventos de seguimiento que están `eventTime` dentro del período de retención del almacén de datos de eventos. Por ejemplo, si el período de retención de un almacén de datos de eventos es de 90 días, no CloudTrail copiará ningún evento de ruta que tenga una `eventTime` antigüedad superior a 90 días.
+ Si eliges **Rango relativo**, puedes elegir copiar los eventos registrados en los últimos 6 meses, 1 año, 2 años, 7 años o un rango personalizado. CloudTrail copia los eventos registrados en el período de tiempo elegido.
+ Si elige **Rango absoluto**, puede elegir una fecha de inicio y finalización específica. CloudTrail copia los eventos que se produjeron entre las fechas de inicio y finalización elegidas.
1. Para **Permissions** (Permisos), elija una de las siguientes opciones de rol de IAM. Si elige un rol de IAM existente, verifique que la política de roles de IAM proporcione los permisos necesarios. Para obtener más información acerca de la actualización de los permisos de rol de IAM, consulte [Permisos de IAM para copiar eventos de registro de seguimiento](cloudtrail-copy-trail-to-lake-eds.md#copy-trail-events-permissions-iam).
+ Elija **Create a new role (recommended)** (Crear un nuevo rol [recomendado]) para crear un nuevo rol de IAM. En **Introducir el nombre del rol de IAM**, introduzca un nombre para el rol. CloudTrail crea automáticamente los permisos necesarios para este nuevo rol.
+ Seleccione **Usar un rol de IAM personalizado** para usar un rol de IAM personalizado que no aparezca en la lista. En **Enter IAM role ARN** (Ingresar ARN del rol de IAM), escriba el ARN de IAM.
+ Elija un rol de IAM existente de la lista desplegable.
1. Elija **Siguiente** para enriquecer los eventos si agrega claves de etiquetas de recurso y claves de condición global de IAM.
1. En **Enriquecer eventos** agregue hasta 50 claves de etiqueta de recurso y 50 claves de condición global de IAM para ofrecer metadatos adicionales sobre los eventos. Esto le ayuda a clasificar y agrupar los eventos relacionados.
Si agregas claves de etiquetas de recursos, CloudTrail se incluirán las claves de etiqueta seleccionadas asociadas a los recursos que participaron en la llamada a la API. Los eventos de la API relacionados con recursos eliminados no tendrán etiquetas de recurso.
Si añades claves de condición globales de IAM, CloudTrail se incluirá información sobre las claves de condición seleccionadas que se evaluaron durante el proceso de autorización, incluidos detalles adicionales sobre la entidad principal, la sesión, la red y la propia solicitud.
La información sobre las claves de etiqueta de recurso y las claves de condición global de IAM se muestra en el campo `eventContext` del evento. Para obtener más información, consulte [Enriquece CloudTrail los eventos añadiendo claves de etiquetas de recursos y claves de condición globales de IAM](cloudtrail-context-events.md).
**nota**
Si un evento contiene un recurso que no pertenece a la región del evento, no CloudTrail rellenará las etiquetas de este recurso porque la recuperación de etiquetas se limita a la región del evento.
1. Seleccione **Expandir el tamaño del evento** para ampliar la carga útil del evento de 256 KB a 1 MB. Esta opción se activa de manera automática al agregar claves de etiqueta de recurso o claves de condición global de IAM para garantizar que todas las claves agregadas se incluyan en el evento.
Ampliar el tamaño del evento es útil para analizar y solucionar problemas de eventos, ya que permite ver el contenido completo de los siguientes campos siempre que la carga útil del evento sea inferior a 1 MB:
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
Para obtener más información sobre estos campos, consulta el contenido del [CloudTrail registro](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
1. Elija **Next** (Siguiente) para revisar las opciones seleccionadas.
1. En la página **Review and create (Revisar y crear)**, revise las opciones seleccionadas. Elija **Edit** (Editar) para realizar cambios en una sección. Cuando esté listo para crear el almacén de datos de eventos, elija **Create event data store** (Crear almacén de datos de eventos).
1. El nuevo almacén de datos de eventos aparece en la tabla **Almacenes de datos de eventos** de la página **Almacenes de datos de eventos**.
A partir de este momento, el almacén de datos de eventos captura los eventos que coinciden con sus selectores de eventos avanzados (si ha seleccionado la opción **Incorporar eventos**). Los eventos que ocurrieron antes de que creara el almacén de datos de eventos no estarán en el almacén de datos de eventos, a menos que opte por copiar los eventos de registro de seguimiento existentes.
Ahora puede ejecutar consultas en su nuevo almacén de datos de eventos. La pestaña **Sample queries** (Consultas de muestra) proporciona ejemplos de consultas para que pueda empezar. Para obtener más información acerca de la creación y la edición de consultas, consulte [Cree o edite una consulta con la consola CloudTrail](query-create-edit-query.md).
También puede ver los [paneles administrados](lake-dashboard-managed.md) o [crear paneles personalizados](lake-dashboard-custom.md) para visualizar las tendencias de los eventos. Para obtener más información acerca de los paneles de Lake, consulte [CloudTrail Paneles de control de Lake](lake-dashboard.md).
# Creación de un almacén de datos de eventos para los eventos de Insights con la consola
**nota**
AWS CloudTrail Lake dejará de estar abierto a nuevos clientes a partir del 31 de mayo de 2026. Si quieres usar CloudTrail Lake, regístrate antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [CloudTrail Cambio de disponibilidad del lago](cloudtrail-lake-service-availability-change.md).
AWS CloudTrail Los conocimientos ayudan a AWS los usuarios a identificar y responder a las actividades inusuales asociadas con las tasas de llamadas y errores de la API mediante el análisis continuo de los eventos CloudTrail de gestión. CloudTrail Insights analiza los patrones normales de las tasas de llamadas y errores de la API, también denominados valores de *referencia*, y genera eventos de Insights cuando el volumen de llamadas o las tasas de error están fuera de los patrones normales. Los eventos de Insights sobre la tasa de llamadas a la API se generan para la `write` administración APIs, y los eventos de Insights sobre la tasa de errores de la API se generan tanto `read` para la administración como para `write` la administración APIs.
Para registrar los eventos de Insights en CloudTrail Lake, necesitas un banco de datos de eventos de destino que registre los eventos de Insights y un banco de datos de eventos de origen que habilite Insights y registre los eventos de administración.
**nota**
Para registrar los eventos de Insights sobre las tasas de llamada a la API, el almacén de datos de eventos de origen debe registrar los eventos de administración de `write`. Para registrar los eventos de Insights sobre las tasas de errores de la API, el almacén de datos de eventos de origen debe registrar los eventos de administración de `read` o `write`.
Si tiene CloudTrail Insights activado en un banco de datos de eventos de origen y CloudTrail detecta actividades inusuales, CloudTrail envía los eventos de Insights al banco de datos de eventos de destino. A diferencia de otros tipos de eventos capturados en un banco CloudTrail de datos de eventos, los eventos de Insights solo se registran cuando CloudTrail detecta cambios en el uso de la API de su cuenta que difieren significativamente de los patrones de uso típicos de la cuenta.
Después de activar CloudTrail Insights por primera vez en un banco de datos de eventos, es CloudTrail posible que pasen hasta 7 días hasta que se empiece a entregar los eventos de Insights, siempre que se detecte una actividad inusual durante ese tiempo.
CloudTrail Insights analiza los eventos de gestión que se producen en cada región para el banco de datos de eventos y genera un evento de Insights cuando se detecta una actividad inusual que se desvía de la línea base. Un evento de CloudTrail Insights se genera en la misma región en la que se genera el evento de gestión de apoyo.
En el caso de un banco de datos de eventos de una organización, CloudTrail Insights analiza los eventos de gestión de cada cuenta de miembro de la organización para cada región y genera un evento de Insights cuando se detecta una actividad inusual que se desvía del punto de referencia para la cuenta y la región.
Se aplican cargos adicionales por la ingesta de eventos de Insights en CloudTrail Lake. Se le cobrará por separado si habilita Insights tanto para los almacenes de datos de los senderos como para los de eventos de CloudTrail Lake. Para obtener información sobre CloudTrail los precios, consulta [AWS CloudTrail los precios](https://aws.amazon.com/cloudtrail/pricing/).
**Topics**
+ [Cómo crear un almacén de datos de eventos de destino que registre los eventos de Insights](#query-event-data-store-insights-procedure)
+ [Para crear un almacén de datos de eventos de origen que habilite los eventos de Insights](#query-event-data-store-cloudtrail-insights)
## Cómo crear un almacén de datos de eventos de destino que registre los eventos de Insights
Al crear un almacén de datos de eventos de Insights, tiene la opción de elegir un almacén de datos de eventos de origen existente que registre los eventos de administración y, a continuación, especificar los tipos de Insights que desea recibir. O bien, puede habilitar Insights en un almacén de datos de eventos nuevo o existente después de crear su almacén de datos de eventos de Insights y, a continuación, elegir este almacén de datos de eventos como el almacén de datos de eventos de destino.
En este procedimiento, se muestra cómo crear un almacén de datos de eventos de destino que registre los eventos de Insights.
1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En el panel de navegación, abra el submenú **Lake** (Lago) y, a continuación, elija **Event data stores** (Almacenes de datos de eventos).
1. Elija **Create event data store** (Crear almacén de datos de eventos).
1. En la página **Configure event data store** (Configurar el almacén de datos de eventos), en **General details** (Detalles generales), ingrese un nombre para el almacén de datos de eventos. El nombre es obligatorio.
1. Elija la **Opción de precios** que desee usar para el almacén de datos de eventos. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como los periodos de retención predeterminado y máximo del almacén de datos de eventos. Para obtener más información, consulte [AWS CloudTrail Precios](https://aws.amazon.com/cloudtrail/pricing/) y [Gestión de los costos de los CloudTrail lagos](cloudtrail-lake-manage-costs.md).
Están disponibles las siguientes opciones:
+ **Precio de retención ampliable por un año**: en general se recomienda si prevé incorporar menos de 25 TB de datos de eventos al mes y desea un periodo de retención flexible de hasta 10 años. Durante los primeros 366 días (el periodo de retención predeterminado), el almacenamiento se incluye sin cargo adicional en los precios de incorporación. Después de 366 días, la retención prolongada está disponible a un pay-as-you-go precio. Esta es la opción predeterminada.
+ **Periodo de retención predeterminado:** 366 días.
+ **Periodo máximo de retención:** 3653 días.
+ **Precio de retención ampliable por un año**: se recomienda si prevé incorporar más de 25 TB de datos de eventos al mes y desea un periodo de retención de hasta 7 años. La retención está incluida en los precios de incorporación sin costo adicional.
+ **Periodo de retención predeterminado:** 2557 días.
+ **Periodo máximo de retención:** 2557 días.
1. Especifique un periodo de retención en días para el almacén de datos de eventos. Los periodos de retención pueden oscilar entre 7 y 3653 días (unos 10 años) para la opción **Precios de retención ampliables por un año**, o entre 7 días y 2557 días (unos siete años) para la opción **Precios de retención por siete años**. El almacén de datos de eventos retiene los datos de eventos durante el número especificado de días.
1. (Opcional) Para habilitar el cifrado AWS Key Management Service, selecciona **Usar el mío AWS KMS key**. Elija **Nuevo** para que se AWS KMS key cree una para usted, o bien elija **Existente** para usar una clave KMS existente. En **Introducir un alias de KMS**, especifique un alias en el formato `alias/`*MyAliasName*. El uso de su propia clave de KMS requiere que edite la política de claves para permitir que se cifre y descifre el almacén de datos de eventos de CloudTrail. Para obtener más información, consulte[Configurar políticas AWS KMS clave para CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail también admite claves AWS KMS multirregionales. Para obtener más información sobre las claves de varias regiones, consulte [Uso de claves de varias regiones](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) en la *Guía para desarrolladores de AWS Key Management Service *.
El uso de su propia clave KMS conlleva AWS KMS costes de cifrado y descifrado. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar.
**nota**
Para habilitar el AWS Key Management Service cifrado en un almacén de datos de eventos de la organización, debe usar una clave KMS existente para la cuenta de administración.
1. (Opcional) Si desea realizar consultas con los datos de su evento mediante Amazon Athena, elija **Habilitar** en **Federación de consultas de Lake**. La federación le permite ver los metadatos asociados al almacén de datos de eventos en el [catálogo de datos de AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) y ejecutar consultas SQL con los datos de eventos en Athena. Los metadatos de la tabla almacenados en el catálogo de AWS Glue datos permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar. Para obtener más información, consulte [Federar un almacén de datos de eventos](query-federation.md).
Para habilitar la federación de consultas de Lake, seleccione **Habilitar** y, a continuación, haga lo siguiente:
1. Elija si desea crear un nuevo rol o utilizar un rol de IAM existente. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utiliza este rol para administrar los permisos del almacén de datos de eventos federados. Al crear un nuevo rol mediante la CloudTrail consola, crea CloudTrail automáticamente un rol con los permisos necesarios. Si elige un rol existente, asegúrese de que la política del rol proporcione los [permisos mínimos requeridos](query-federation.md#query-federation-permissions-role).
1. Si va a crear un rol nuevo, introduzca un nombre para identificarlo.
1. Si está utilizando un rol existente, elija el rol que desea usar. El rol debe existir en su cuenta de .
1. (Opcional) Elija **Habilitación de política de recursos** para agregar una política basada en recursos a este almacén de datos de eventos. Las políticas basadas en recursos le permiten controlar qué entidades principales pueden realizar acciones en el almacén de datos de eventos. Por ejemplo, puede agregar una política basada en recursos para permitir a los usuarios raíz de otras cuentas consultar el almacén de datos de eventos y ver los resultados de las consultas. Para ver ejemplos de políticas, consulte [Ejemplos de políticas basadas en recursos para almacenes de datos de eventos](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Una política basada en recursos incluye una o más instrucciones. Cada instrucción de la política define las [entidades principales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) a las que se les permite o deniega el acceso al almacén de datos de eventos y las acciones que las entidades principales pueden realizar en el recurso del almacén de datos de eventos.
Las políticas basadas en recursos para los almacenes de datos de eventos admiten las siguientes acciones:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Para [los almacenes de datos de eventos de la organización](cloudtrail-lake-organizations.md), CloudTrail crea una [política predeterminada basada en los recursos](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) que enumera las acciones que las cuentas de administrador delegado pueden realizar en los almacenes de datos de eventos de la organización. Los permisos de esta política se obtienen de los permisos del administrador delegado en AWS Organizations. Esta política se actualiza automáticamente tras los cambios en el almacén de datos de eventos de la organización o en la organización (por ejemplo, si se registra o CloudTrail se elimina una cuenta de administrador delegado).
1. (Opcional) En la sección **Tags** (Etiquetas), puede agregar hasta 50 pares de claves y etiquetas para que lo ayuden a identificar y ordenar su almacén de datos de eventos y controlar el acceso a él. Para obtener más información sobre cómo utilizar las políticas de IAM para autorizar el acceso a un almacén de datos de eventos en función de etiquetas, consulte [Ejemplos: Denegación de acceso para crear o eliminar almacenes de datos de eventos en función de etiquetas](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Para obtener más información sobre cómo utilizar las etiquetas AWS, consulte Cómo [etiquetar AWS los recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) en la Guía del usuario de los * AWS recursos de etiquetado*.
1. Elija **Next** (Siguiente) para configurar el almacén de datos de eventos.
1. En la página **Elegir eventos**, elija eventos y, a continuación, elija **AWS eventos** de **CloudTrailInsights**.
1. En **los eventos de CloudTrail Insights**, haga lo siguiente.
1. Seleccione **Permitir el acceso de administrador delegado** si desea conceder al administrador delegado de su organización el acceso a este almacén de datos de eventos. Esta opción solo está disponible si ha iniciado sesión con la cuenta de administración de una AWS Organizations organización.
1. (Opcional) Elija un almacén de datos de eventos de origen existente que registre los eventos de administración y especifique los tipos de Insights que desea recibir.
Para agregar un almacén de datos de origen, realice lo siguiente.
1. Elija **Agregar almacén de datos de eventos de origen**.
1. Elija el almacén de datos de eventos de origen.
1. Elija el **tipo de Insights** que desea recibir.
+ `ApiCallRateInsight`: el tipo de Insights `ApiCallRateInsight` analiza las llamadas a la API de administración de solo escritura que se agregan por minuto en comparación con un volumen de llamadas a la API de referencia. Para recibir Insights en `ApiCallRateInsight`, el almacén de datos de eventos de origen debe registrar los eventos de administración **Escritura**.
+ `ApiErrorRateInsight`: el tipo de Insights `ApiErrorRateInsight` analiza las llamadas a la API de administración que generan códigos de error. El error se muestra si la llamada a la API no se hace correctamente. Para recibir Insights en `ApiErrorRateInsight`, el almacén de datos de eventos de origen debe registrar los eventos de administración **Escritura** o **Lectura**.
1. Repita los dos pasos anteriores (ii y iii) para agregar cualquier tipo de Insights adicional que desee recibir.
1. Elija **Next** (Siguiente) para revisar las opciones seleccionadas.
1. En la página **Review and create (Revisar y crear)**, revise las opciones seleccionadas. Elija **Edit** (Editar) para realizar cambios en una sección. Cuando esté listo para crear el almacén de datos de eventos, elija **Create event data store** (Crear almacén de datos de eventos).
1. El nuevo almacén de datos de eventos aparece en la tabla **Almacenes de datos de eventos** de la página **Almacenes de datos de eventos**.
1. Si no eligió un almacén de datos de eventos de origen en el paso 10, siga los pasos que se indican en [Para crear un almacén de datos de eventos de origen que habilite los eventos de Insights](#query-event-data-store-cloudtrail-insights) para crear un almacén de datos de eventos de origen.
## Para crear un almacén de datos de eventos de origen que habilite los eventos de Insights
Este procedimiento le muestra cómo crear un almacén de datos de eventos de origen que habilite los eventos de Insights y registre los eventos de administración.
1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En el panel de navegación, abra el submenú **Lake** (Lago) y, a continuación, elija **Event data stores** (Almacenes de datos de eventos).
1. Elija **Create event data store** (Crear almacén de datos de eventos).
1. En la página **Configure event data store** (Configurar el almacén de datos de eventos), en **General details** (Detalles generales), ingrese un nombre para el almacén de datos de eventos. El nombre es obligatorio.
1. Elija la **Opción de precios** que desee usar para el almacén de datos de eventos. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como los periodos de retención predeterminado y máximo del almacén de datos de eventos. Para obtener más información, consulte [AWS CloudTrail Precios](https://aws.amazon.com/cloudtrail/pricing/) y [Gestión de los costos de los CloudTrail lagos](cloudtrail-lake-manage-costs.md).
Están disponibles las siguientes opciones:
+ **Precio de retención ampliable por un año**: en general se recomienda si prevé incorporar menos de 25 TB de datos de eventos al mes y desea un periodo de retención flexible de hasta 10 años. Durante los primeros 366 días (el periodo de retención predeterminado), el almacenamiento se incluye sin cargo adicional en los precios de incorporación. Después de 366 días, la retención prolongada está disponible a un pay-as-you-go precio. Esta es la opción predeterminada.
+ **Periodo de retención predeterminado:** 366 días.
+ **Periodo máximo de retención:** 3653 días.
+ **Precio de retención ampliable por un año**: se recomienda si prevé incorporar más de 25 TB de datos de eventos al mes y desea un periodo de retención de hasta 7 años. La retención está incluida en los precios de incorporación sin costo adicional.
+ **Periodo de retención predeterminado:** 2557 días.
+ **Periodo máximo de retención:** 2557 días.
1. Especifique un periodo de retención para el almacén de datos de eventos. Los periodos de retención pueden oscilar entre 7 y 3653 días (unos 10 años) para la opción **Precios de retención ampliables por un año**, o entre 7 días y 2557 días (unos siete años) para la opción **Precios de retención por siete años**.
CloudTrail Lake determina si se debe retener un evento comprobando si el `eventTime` evento se encuentra dentro del período de retención especificado. Por ejemplo, si especificas un período de retención de 90 días, CloudTrail eliminará los eventos cuando `eventTime` tengan más de 90 días.
1. (Opcional) Para habilitar el cifrado mediante AWS Key Management Service, selecciona **Usar el mío AWS KMS key**. Elija **Nuevo** para que se AWS KMS key cree una para usted, o bien elija **Existente** para usar una clave KMS existente. En **Introducir un alias de KMS**, especifique un alias en el formato `alias/`*MyAliasName*. El uso de su propia clave de KMS requiere que edite la política de claves para permitir que se cifre y descifre el almacén de datos de eventos de CloudTrail. Para obtener más información, consulte[Configurar políticas AWS KMS clave para CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail también admite claves AWS KMS multirregionales. Para obtener más información sobre las claves de varias regiones, consulte [Uso de claves de varias regiones](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) en la *Guía para desarrolladores de AWS Key Management Service *.
El uso de su propia clave KMS conlleva AWS KMS costes de cifrado y descifrado. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar.
**nota**
Para habilitar el AWS Key Management Service cifrado en un almacén de datos de eventos de la organización, debe usar una clave KMS existente para la cuenta de administración.
1. (Opcional) Si desea realizar consultas con los datos de su evento mediante Amazon Athena, elija **Habilitar** en **Federación de consultas de Lake**. La federación le permite ver los metadatos asociados al almacén de datos de eventos en el [catálogo de datos de AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) y ejecutar consultas SQL con los datos de eventos en Athena. Los metadatos de la tabla almacenados en el catálogo de AWS Glue datos permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar. Para obtener más información, consulte [Federar un almacén de datos de eventos](query-federation.md).
Para habilitar la federación de consultas de Lake, seleccione **Habilitar** y, a continuación, haga lo siguiente:
1. Elija si desea crear un nuevo rol o utilizar un rol de IAM existente. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utiliza este rol para administrar los permisos del almacén de datos de eventos federados. Al crear un nuevo rol mediante la CloudTrail consola, crea CloudTrail automáticamente un rol con los permisos necesarios. Si elige un rol existente, asegúrese de que la política del rol proporcione los [permisos mínimos requeridos](query-federation.md#query-federation-permissions-role).
1. Si va a crear un rol nuevo, introduzca un nombre para identificarlo.
1. Si está utilizando un rol existente, elija el rol que desea usar. El rol debe existir en su cuenta de .
1. (Opcional) Elija **Habilitación de política de recursos** para agregar una política basada en recursos a este almacén de datos de eventos. Las políticas basadas en recursos le permiten controlar qué entidades principales pueden realizar acciones en el almacén de datos de eventos. Por ejemplo, puede agregar una política basada en recursos para permitir a los usuarios raíz de otras cuentas consultar el almacén de datos de eventos y ver los resultados de las consultas. Para ver ejemplos de políticas, consulte [Ejemplos de políticas basadas en recursos para almacenes de datos de eventos](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Una política basada en recursos incluye una o más instrucciones. Cada instrucción de la política define las [entidades principales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) a las que se les permite o deniega el acceso al almacén de datos de eventos y las acciones que las entidades principales pueden realizar en el recurso del almacén de datos de eventos.
Las políticas basadas en recursos para los almacenes de datos de eventos admiten las siguientes acciones:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Para [los almacenes de datos de eventos de la organización](cloudtrail-lake-organizations.md), CloudTrail crea una [política predeterminada basada en los recursos](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) que enumera las acciones que las cuentas de administrador delegado pueden realizar en los almacenes de datos de eventos de la organización. Los permisos de esta política se obtienen de los permisos del administrador delegado en AWS Organizations. Esta política se actualiza automáticamente tras los cambios en el almacén de datos de eventos de la organización o en la organización (por ejemplo, si se registra o CloudTrail se elimina una cuenta de administrador delegado).
1. (Opcional) En la sección **Tags** (Etiquetas), puede agregar hasta 50 pares de claves y etiquetas para que lo ayuden a identificar y ordenar su almacén de datos de eventos y controlar el acceso a él. Para obtener más información sobre cómo utilizar las políticas de IAM para autorizar el acceso a un almacén de datos de eventos en función de etiquetas, consulte [Ejemplos: Denegación de acceso para crear o eliminar almacenes de datos de eventos en función de etiquetas](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Para obtener más información sobre cómo utilizar las etiquetas AWS, consulte Cómo [etiquetar AWS los recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) en la Guía del usuario de los * AWS recursos de etiquetado*.
1. Elija **Next** (Siguiente) para configurar el almacén de datos de eventos.
1. **En la página **Elegir eventos**, elija **AWS eventos** y, a continuación, elija CloudTrail eventos.**
1. En **CloudTrail eventos**, deje seleccionada la opción **Eventos de administración**.
1. Para que su almacén de datos de eventos recopile eventos de todas las cuentas de una organización de AWS Organizations , seleccione **Enable for all accounts in my organization** (Activar en todas las cuentas de mi organización). Debe iniciar sesión en la cuenta de administración de la organización para crear un almacén de datos de eventos que habilite Insights.
1. Expanda la opción **Configuración adicional** para elegir si desea que el banco de datos de eventos recopile los eventos de todos los Regiones de AWS eventos o solo los actuales Región de AWS, y elija si el banco de datos de eventos los incorpora. De forma predeterminada, el almacén de datos de eventos recopila los eventos de todas las regiones de la cuenta y comienza a ingerirlos cuando se crea.
1. Seleccione **Incluir solo la región actual en el almacén de datos de eventos** si desea incluir solo los eventos registrados en la región actual. Si no elige esta opción, su almacén de datos de eventos incluirá eventos de todas las regiones.
1. Deje los **eventos de incorporación** seleccionados.
1. Elija entre la **Recopilación de eventos simple** o la **Recopilación de eventos avanzada**:
+ Elija **Recopilación de eventos simple** si desea registrar todos los eventos, registrar solo los eventos de lectura o solo los eventos de escritura. También puede optar por excluir los eventos AWS Key Management Service de Amazon RDS Data API.
+ Elija la **Recopilación avanzada de eventos** si desea incluir o excluir los eventos de administración en función de los valores de los campos del selector de eventos avanzado, como los campos `eventName`, `eventType`, `eventSource`, `sessionCredentialFromConsole` y `userIdentity.arn`.
1. Si seleccionó **Recopilación de eventos simple**, elija si quiere registrar todos los eventos, registrar solo los eventos de lectura o registrar solo los eventos de escritura. También puede optar por excluir los eventos AWS KMS de Amazon RDS Data API.
1. Si seleccionó **Recopilación de eventos avanzada**, realice las siguientes selecciones:
1. En la **Plantilla de selección de registros**, elija una plantilla predefinida o **Personalizada** para escribir sus propias condiciones de recopilación de eventcommand to return the event configuration for an event data store that collects CloudTrail events.os en función de los valores de los campos del selector de eventos avanzado.
Puede elegir entre las siguientes plantillas predefinidas:
+ **Registrar todos los eventos**: elija esta plantilla para registrar todos los eventos.
+ **Registrar solo eventos de lectura**: elija esta plantilla para registrar solo eventos de lectura. Los eventos de solo lectura son eventos que no cambian el estado de un recurso, como los eventos `Get*` o `Describe*`.
+ **Registrar solo eventos de escritura**: elija esta plantilla para registrar solo eventos de escritura. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos `Put*`, `Delete*` o `Write*`.
+ **Registrar solo Consola de administración de AWS eventos**: elija esta plantilla para registrar solo los eventos que se originen en Consola de administración de AWS.
+ **Excluir eventos Servicio de AWS iniciados**: elija esta plantilla para excluir Servicio de AWS los eventos que tengan un `eventType` de `AwsServiceEvent` y los eventos Servicio de AWS iniciados con funciones vinculadas (SLRs).
1. (Opcional) En **Nombre del selector**, escriba un nombre para identificar el selector. El nombre del selector es un nombre descriptivo para un selector de eventos avanzado, como «Registrar los eventos de administración de Consola de administración de AWS las sesiones». El nombre del selector aparece como `Name` en el selector de eventos avanzado y se puede ver si se amplía la **vista JSON**.
1. Si eligió **Personalizado**, en los **Selectores de eventos avanzados** cree una expresión basada en los valores de los campos del selector de eventos avanzado.
**nota**
Los selectores no admiten el uso de caracteres comodín como `*`. Para hacer coincidir varios valores con una sola condición, puede usar `StartsWith`, `EndsWith`, `NotStartsWith` o `NotEndsWith` a fin de hacer coincidir de manera explícita el principio o el final del campo de evento.
1. Elija uno de los siguientes campos.
+ **`readOnly`**: `readOnly` se puede establecer en **es igual a** con el valor `true` o `false`. Cuando se establece en `false`, el almacén de datos de eventos registra eventos de administración de solo escritura. Los eventos de administración de solo lectura son eventos que no cambian el estado de un recurso, como los eventos `Get*` o `Describe*`. Los eventos de escritura agregan, cambian o eliminan recursos, atributos o artefactos, como eventos `Put*`, `Delete*` o `Write*`. Para registrar los eventos de **Lectura** y **Escritura**, no agregue un selector de `readOnly`.
+ **`eventName`**— `eventName` puede utilizar cualquier operador. Puede usarlo para incluir o excluir cualquier evento de administración, como `CreateAccessPoint` o `GetAccessPoint`.
+ **`userIdentity.arn`**: incluya o excluya eventos para las acciones realizadas por identidades de IAM específicas. Para obtener más información, consulte [Elemento userIdentity de CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
+ **`sessionCredentialFromConsole`**— Incluir o excluir eventos originados en una Consola de administración de AWS sesión. Este campo se puede establecer como **igual** o **no igual** con un valor de `true`.
+ **`eventSource`**: puede usarlo para incluir o excluir orígenes de eventos específicos. El `eventSource` suele ser una forma abreviada del nombre del servicio sin espacios más `.amazonaws.com`. Por ejemplo, podría establecer el valor `eventSource` **igual a** en `ec2.amazonaws.com` para registrar solo los eventos de administración de Amazon EC2.
+ **`eventType`**: el [eventType](cloudtrail-event-reference-record-contents.md#ct-event-type) que se va a incluir o excluir. Por ejemplo, puede establecer este campo en **no igual a** `AwsServiceEvent` para excluir los [eventos de Servicio de AWS](non-api-aws-service-events.md).
1. En cada campo, seleccione **\$1 Condición** para agregar tantas condiciones como necesite, hasta un máximo de 500 valores especificados para todas las condiciones.
Para obtener información sobre cómo CloudTrail se evalúan varias condiciones, consulte[¿Cómo CloudTrail se evalúan las condiciones múltiples de un campo](filtering-data-events.md#filtering-data-events-conditions).
**nota**
Puede tener un máximo de 500 valores para todos los selectores de un almacén de datos de eventos. Esto incluye matrices de varios valores para un selector como `eventName`. Si tiene valores únicos para todos los selectores, puede agregar un máximo de 500 condiciones a un selector.
1. Elija **\$1 Field (\$1 campos)** para agregar campos adicionales según sea necesario. Para evitar errores, no establezca valores contradictorios ni duplicados en los campos.
1. De manera opcional, expanda **JSON view** (Vista JSON) para ver los selectores de eventos avanzados como un bloque JSON.
1. Seleccione **Habilitar la captura de eventos de Insights**.
1. Elija el almacén de eventos de destino que registrará los eventos de Insights. El almacén de datos de eventos de destino recopilará los eventos de Insights en función de la actividad de los eventos de administración en este almacén de datos de eventos. Para obtener información acerca de cómo crear un almacén de datos de eventos de destino, consulte [Cómo crear un almacén de datos de eventos de destino que registre los eventos de Insights](#query-event-data-store-insights-procedure).
1. Elija los tipos de Insights. Puede elegir la **tasa de llamadas a la API**, la **tasa de errores de la API** o ambas. Debe registrar los eventos de administración de **escritura** para registrar los eventos de Insights para calcular la **tasa de llamadas a la API**. Debe registrar los eventos de administración de **lectura** o **escritura** para registrar los eventos de Insights para calcular la **tasa de errores de la API**.
1. Elija **Siguiente** para enriquecer los eventos si agrega claves de etiquetas de recurso y claves de condición global de IAM.
1. En **Enriquecer eventos** agregue hasta 50 claves de etiqueta de recurso y 50 claves de condición global de IAM para ofrecer metadatos adicionales sobre los eventos. Esto le ayuda a clasificar y agrupar los eventos relacionados.
Si agrega claves de etiquetas de recursos, CloudTrail se incluirán las claves de etiqueta seleccionadas asociadas a los recursos que participaron en la llamada a la API. Los eventos de la API relacionados con recursos eliminados no tendrán etiquetas de recurso.
Si añades claves de condición globales de IAM, CloudTrail se incluirá información sobre las claves de condición seleccionadas que se evaluaron durante el proceso de autorización, incluidos detalles adicionales sobre la entidad principal, la sesión, la red y la propia solicitud.
La información sobre las claves de etiqueta de recurso y las claves de condición global de IAM se muestra en el campo `eventContext` del evento. Para obtener más información, consulte [Enriquece CloudTrail los eventos añadiendo claves de etiquetas de recursos y claves de condición globales de IAM](cloudtrail-context-events.md).
**nota**
Si un evento contiene un recurso que no pertenece a la región del evento, no CloudTrail rellenará las etiquetas de este recurso porque la recuperación de etiquetas se limita a la región del evento.
1. Seleccione **Expandir el tamaño del evento** para ampliar la carga útil del evento de 256 KB a 1 MB. Esta opción se activa de manera automática al agregar claves de etiqueta de recurso o claves de condición global de IAM para garantizar que todas las claves agregadas se incluyan en el evento.
Ampliar el tamaño del evento es útil para analizar y solucionar problemas de eventos, ya que permite ver el contenido completo de los siguientes campos siempre que la carga útil del evento sea inferior a 1 MB:
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
Para obtener más información sobre estos campos, consulta el contenido del [CloudTrail registro](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
1. Elija **Next** (Siguiente) para revisar las opciones seleccionadas.
1. En la página **Review and create (Revisar y crear)**, revise las opciones seleccionadas. Elija **Edit** (Editar) para realizar cambios en una sección. Cuando esté listo para crear el almacén de datos de eventos, elija **Create event data store** (Crear almacén de datos de eventos).
1. El nuevo almacén de datos de eventos aparece en la tabla **Almacenes de datos de eventos** de la página **Almacenes de datos de eventos**.
A partir de este momento, el almacén de datos de eventos captura los eventos que coinciden con sus selectores de eventos avanzados. Después de activar CloudTrail Insights por primera vez en el almacén de datos de eventos de origen, es CloudTrail posible que se tarden hasta 7 días en empezar a entregar los eventos de Insights, siempre que se detecte una actividad inusual durante ese tiempo.
Puede ver el panel de control de CloudTrail Lake para visualizar los eventos de Insights en su banco de datos de eventos de destino. Para obtener más información acerca de los paneles de Lake, consulte [CloudTrail Paneles de control de Lake](lake-dashboard.md).
Se aplican cargos adicionales por la ingesta de eventos de Insights en CloudTrail Lake. Se le cobrará por separado si habilita Insights para los registros de seguimiento y almacenes de datos de eventos. Para obtener información sobre CloudTrail los precios, consulte [AWS CloudTrail Precios](https://aws.amazon.com/cloudtrail/pricing/).
# Creación de un almacén de datos de eventos para los elementos de configuración con la consola
**nota**
AWS CloudTrail Lake dejará de estar abierto a nuevos clientes a partir del 31 de mayo de 2026. Si quieres usar CloudTrail Lake, regístrate antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [CloudTrail Cambio de disponibilidad del lago](cloudtrail-lake-service-availability-change.md).
Puede crear un almacén de datos de eventos para que incluya [elementos de configuración de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/config-concepts.html#config-items) y utilizarlo para investigar los cambios en los entornos de producción que no cumplen con los requisitos. Con un almacén de datos de eventos, puede relacionar las reglas que no cumplen los requisitos con los usuarios y los recursos asociados a los cambios. Un elemento de configuración representa una point-in-time vista de los atributos de un AWS recurso compatible que existe en su cuenta. AWS Config crea un elemento de configuración cada vez que detecta un cambio en un tipo de recurso que está registrando. AWS Config también crea elementos de configuración cuando se captura una instantánea de la configuración.
Puede usar ambos AWS Config y CloudTrail Lake para ejecutar consultas sobre los elementos de configuración. Se puede utilizar AWS Config para consultar el estado de configuración actual de AWS los recursos en función de las propiedades de configuración de una sola Cuenta de AWS cuenta o de varias cuentas y regiones. Región de AWS Por el contrario, puede usar CloudTrail Lake para consultar diversas fuentes de datos, como CloudTrail eventos, elementos de configuración y evaluaciones de reglas. CloudTrail Las consultas de Lake abarcan todos los elementos AWS Config de configuración, incluida la configuración de los recursos y el historial de conformidad.
La creación de un almacén de datos de eventos para los elementos de configuración no afecta a las consultas AWS Config avanzadas existentes ni a AWS Config los agregadores configurados. Puede seguir ejecutando consultas avanzadas utilizando AWS Config y enviando archivos AWS Config de historial a sus buckets de S3.
CloudTrail Los almacenes de datos de eventos de Lake incurren en cargos. Cuando crea un almacén de datos de eventos, debe elegir la [opción de precios](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) que desee utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como el período de retención predeterminado y máximo del almacén de datos de eventos. Para obtener información sobre CloudTrail los precios y la administración de los costos de Lake, consulte [AWS CloudTrail Precios](https://aws.amazon.com/cloudtrail/pricing/) y[Gestión de los costos de los CloudTrail lagos](cloudtrail-lake-manage-costs.md).
## Limitaciones
A los almacenes de datos de eventos para elementos de configuración se aplican las siguientes limitaciones.
+ No admiten elementos de configuración personalizados.
+ No admiten el filtrado de eventos mediante el uso de selectores de eventos avanzados.
## Requisitos previos
Antes de crear el almacén de datos de tus eventos, configura el AWS Config registro de todas tus cuentas y regiones. Puede utilizar [Quick Setup](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-config.html), una función de AWS Systems Manager, para crear rápidamente una grabadora de configuración con tecnología AWS Config.
**nota**
Se le cobrarán tarifas de uso del servicio cuando AWS Config comience a grabar las configuraciones. Para obtener más información sobre los precios, consulte [Precios de AWS Config](https://aws.amazon.com/config/pricing/). Para obtener información acerca de la administración del registrador de configuraciones, consulte [Managing the Configuration Recorder](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html) (Administración del registrador de configuraciones) en la *Guía para desarrolladores de AWS Config *.
Además, se recomienda llevar a cabo las siguientes acciones, aunque no son obligatorias para crear un almacén de datos de eventos.
+ Configure un bucket de Amazon S3 para recibir una instantánea de configuración a solicitud y el historial de configuración. Para obtener más información acerca de las instantáneas, consulte [Managing the Delivery Channel](https://docs.aws.amazon.com/config/latest/developerguide/manage-delivery-channel.html) (Administrar el canal de entrega) y [Delivering Configuration Snapshot to an Amazon S3 Bucket](https://docs.aws.amazon.com/config/latest/developerguide/deliver-snapshot-cli.html) (Entrega de instantáneas de configuración a un bucket de Amazon S3) en la *Guía para desarrolladores de AWS Config *.
+ Especifique las reglas que desee utilizar AWS Config para evaluar la información de conformidad de los tipos de recursos registrados. Varios de los ejemplos de consultas de CloudTrail Lake AWS Config requieren Reglas de AWS Config evaluar el estado de cumplimiento de sus AWS recursos. Para obtener más información Reglas de AWS Config, consulte Cómo [evaluar los recursos Reglas de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) en la *Guía para AWS Config desarrolladores*.
## Para crear un almacén de datos de eventos para elementos de configuración
1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En el panel de navegación, en **Lago**, elija **Almacenes de datos de eventos**.
1. Elija **Create event data store** (Crear almacén de datos de eventos).
1. En la página **Configure event data store** (Configurar el almacén de datos de eventos), en **General details** (Detalles generales), ingrese un nombre para el almacén de datos de eventos. El nombre es obligatorio.
1. Elija la **Opción de precios** que desee usar para el almacén de datos de eventos. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como los periodos de retención predeterminado y máximo del almacén de datos de eventos. Para obtener más información, consulte [AWS CloudTrail Precios](https://aws.amazon.com/cloudtrail/pricing/) y [Gestión de los costos de los CloudTrail lagos](cloudtrail-lake-manage-costs.md).
Están disponibles las siguientes opciones:
+ **Precio de retención ampliable por un año**: en general se recomienda si prevé incorporar menos de 25 TB de datos de eventos al mes y desea un periodo de retención flexible de hasta 10 años. Durante los primeros 366 días (el periodo de retención predeterminado), el almacenamiento se incluye sin cargo adicional en los precios de incorporación. Después de 366 días, la retención prolongada está disponible a un pay-as-you-go precio. Esta es la opción predeterminada.
+ **Periodo de retención predeterminado:** 366 días.
+ **Periodo máximo de retención:** 3653 días.
+ **Precio de retención ampliable por un año**: se recomienda si prevé incorporar más de 25 TB de datos de eventos al mes y desea un periodo de retención de hasta 7 años. La retención está incluida en los precios de incorporación sin costo adicional.
+ **Periodo de retención predeterminado:** 2557 días.
+ **Periodo máximo de retención:** 2557 días.
1. Especifique un periodo de retención para el almacén de datos de eventos. Los periodos de retención pueden oscilar entre 7 y 3653 días (unos 10 años) para la opción **Precios de retención ampliables por un año**, o entre 7 días y 2557 días (unos siete años) para la opción **Precios de retención por siete años**.
CloudTrail Lake determina si se debe retener un evento comprobando si el `eventTime` evento se encuentra dentro del período de retención especificado. Por ejemplo, si especificas un período de retención de 90 días, CloudTrail eliminará los eventos cuando `eventTime` tengan más de 90 días.
1. (Opcional) Para habilitar el cifrado mediante AWS Key Management Service, selecciona **Usar el mío AWS KMS key**. Elija **Nuevo** para que se AWS KMS key cree una para usted, o bien elija **Existente** para usar una clave KMS existente. En **Introducir un alias de KMS**, especifique un alias en el formato `alias/`*MyAliasName*. El uso de su propia clave de KMS requiere que edite la política de claves para permitir que se cifre y descifre el almacén de datos de eventos de CloudTrail. Para obtener más información, consulte[Configurar políticas AWS KMS clave para CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail también admite claves AWS KMS multirregionales. Para obtener más información sobre las claves de varias regiones, consulte [Uso de claves de varias regiones](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) en la *Guía para desarrolladores de AWS Key Management Service *.
El uso de su propia clave KMS conlleva AWS KMS costes de cifrado y descifrado. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar.
**nota**
Para habilitar el AWS Key Management Service cifrado en un almacén de datos de eventos de la organización, debe usar una clave KMS existente para la cuenta de administración.
1. (Opcional) Si desea realizar consultas con los datos de su evento mediante Amazon Athena, elija **Habilitar** en **Federación de consultas de Lake**. La federación le permite ver los metadatos asociados al almacén de datos de eventos en el [catálogo de datos de AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) y ejecutar consultas SQL con los datos de eventos en Athena. Los metadatos de la tabla almacenados en el catálogo de AWS Glue datos permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar. Para obtener más información, consulte [Federar un almacén de datos de eventos](query-federation.md).
Para habilitar la federación de consultas de Lake, seleccione **Habilitar** y, a continuación, haga lo siguiente:
1. Elija si desea crear un nuevo rol o utilizar un rol de IAM existente. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utiliza este rol para administrar los permisos del almacén de datos de eventos federados. Al crear un nuevo rol mediante la CloudTrail consola, crea CloudTrail automáticamente un rol con los permisos necesarios. Si elige un rol existente, asegúrese de que la política del rol proporcione los [permisos mínimos requeridos](query-federation.md#query-federation-permissions-role).
1. Si va a crear un rol nuevo, introduzca un nombre para identificarlo.
1. Si está utilizando un rol existente, elija el rol que desea usar. El rol debe existir en su cuenta de .
1. (Opcional) Elija **Habilitación de política de recursos** para agregar una política basada en recursos a este almacén de datos de eventos. Las políticas basadas en recursos le permiten controlar qué entidades principales pueden realizar acciones en el almacén de datos de eventos. Por ejemplo, puede agregar una política basada en recursos para permitir a los usuarios raíz de otras cuentas consultar el almacén de datos de eventos y ver los resultados de las consultas. Para ver ejemplos de políticas, consulte [Ejemplos de políticas basadas en recursos para almacenes de datos de eventos](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Una política basada en recursos incluye una o más instrucciones. Cada instrucción de la política define las [entidades principales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) a las que se les permite o deniega el acceso al almacén de datos de eventos y las acciones que las entidades principales pueden realizar en el recurso del almacén de datos de eventos.
Las políticas basadas en recursos para los almacenes de datos de eventos admiten las siguientes acciones:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Para [los almacenes de datos de eventos de la organización](cloudtrail-lake-organizations.md), CloudTrail crea una [política predeterminada basada en los recursos](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) que enumera las acciones que las cuentas de administrador delegado pueden realizar en los almacenes de datos de eventos de la organización. Los permisos de esta política se obtienen de los permisos del administrador delegado en AWS Organizations. Esta política se actualiza automáticamente tras los cambios en el almacén de datos de eventos de la organización o en la organización (por ejemplo, si se registra o CloudTrail se elimina una cuenta de administrador delegado).
1. (Opcional) En la sección **Tags** (Etiquetas), puede agregar hasta 50 pares de claves y etiquetas para que lo ayuden a identificar y ordenar su almacén de datos de eventos y controlar el acceso a él. Para obtener más información sobre cómo utilizar las políticas de IAM para autorizar el acceso a un almacén de datos de eventos en función de etiquetas, consulte [Ejemplos: Denegación de acceso para crear o eliminar almacenes de datos de eventos en función de etiquetas](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Para obtener más información sobre cómo utilizar las etiquetas AWS, consulte Cómo [etiquetar AWS los recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) en la Guía del usuario de los * AWS recursos de etiquetado*.
1. Elija **Siguiente**.
1. En la página **Elegir eventos**, elija **Eventos de AWS ** y, a continuación, **Elementos de configuración**.
1. CloudTrail almacena el recurso del almacén de datos de eventos en la región en la que lo creó, pero de forma predeterminada, los elementos de configuración recopilados en el banco de datos provienen de todas las regiones de su cuenta que tienen el registro activado. De forma opcional, puede seleccionar **Include only the current region in my event data store** (Incluir solo la región actual en el almacén de datos de eventos) para incluir solo los elementos de configuración capturados en la región actual. Si no elige esta opción, su almacén de datos de eventos incluirá elementos de configuración de todas las regiones que tengan habilitado el registro.
1. Para que el almacén de datos de eventos recopile los elementos de configuración de todas las cuentas de una AWS Organizations organización, seleccione **Activar para todas las cuentas de mi organización**. Para crear un almacén de datos de eventos que recopile elementos de configuración para una organización, es necesario haber iniciado sesión con la cuenta de administración o la cuenta de administrador delegado de la organización.
1. Elija **Next** (Siguiente) para revisar las opciones seleccionadas.
1. En la página **Review and create (Revisar y crear)**, revise las opciones seleccionadas. Elija **Edit** (Editar) para realizar cambios en una sección. Cuando esté listo para crear el almacén de datos de eventos, elija **Create event data store** (Crear almacén de datos de eventos).
1. El nuevo almacén de datos de eventos aparece en la tabla **Almacenes de datos de eventos** de la página **Almacenes de datos de eventos**.
A partir de este momento, el almacén de datos de eventos capturará los elementos de configuración. Aquellos que se generaron antes de crear el almacén de datos de eventos no estarán en él.
## Esquema de los elementos de configuración
En la siguiente tabla, se describen los elementos del esquema obligatorios y opcionales que coinciden con los de los registros de elementos de configuración. El contenido de lo `eventData` proporcionan los elementos de configuración; el resto de los campos se proporcionan CloudTrail después de la ingesta.
CloudTrail el contenido del registro de eventos se describe con más detalle en[CloudTrail registrar el contenido de los eventos de administración, datos y actividad de la red](cloudtrail-event-reference-record-contents.md).
+ [Los campos que se proporcionan CloudTrail después de la ingestión](#fields-cloudtrail-event)
+ [Campos que proporcionan los eventos](#fields-config)
**Campos proporcionados por CloudTrail After Ingestion**
| Nombre del campo | Tipo de entrada | Requisito | Description (Descripción) |
| --- | --- | --- | --- |
| eventVersion | cadena | Obligatorio | La versión del formato del AWS evento. |
| eventCategory | cadena | Obligatorio | La categoría del evento. Para los elementos de configuración, el valor válido es `ConfigurationItem`. |
| eventType | cadena | Obligatorio | Tipo de evento. Para los elementos de configuración, el valor válido es `AwsConfigurationItem`. |
| eventID | cadena | Obligatorio | El ID único de un evento. |
| eventTime | cadena | Obligatorio | La marca de tiempo del evento, en formato `yyyy-MM-DDTHH:mm:ss`, en Hora Universal Coordinada (UTC). |
| awsRegion | cadena | Obligatorio | La Región de AWS a la que se va a asignar un evento. |
| recipientAccountId | cadena | Obligatorio | Representa el Cuenta de AWS identificador que recibió este evento. |
| addendum | addendum | Opcional | Muestra información sobre el motivo por el cual se retrasó un evento. Si falta información de un evento existente, el bloque addendum incluye la información que falta y el motivo por el cual aquella falta. |
**Los elementos de configuración proporcionan los campos de `eventData`**
| Nombre del campo | Tipo de entrada | Requisito | Description (Descripción) |
| --- | --- | --- | --- |
| eventData | - | Obligatorio | Los elementos de configuración proporcionan los campos de eventData. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/query-event-data-store-config.html) | cadena | Opcional | La versión del elemento de configuración desde su origen. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/query-event-data-store-config.html) | cadena | Opcional | La hora en que se inició el registro de configuración. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/query-event-data-store-config.html) | cadena | Opcional | El estado del elemento de configuración. Los valores válidos son `OK`, `ResourceDiscovered`, `ResourceNotRecorded`, ` ResourceDeleted` y `ResourceDeletedNotRecorded`. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/query-event-data-store-config.html) | cadena | Opcional | El Cuenta de AWS identificador de 12 dígitos asociado al recurso. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/query-event-data-store-config.html) | cadena | Opcional | El tipo de AWS recurso. Para obtener más información sobre los tipos de recursos válidos, consulta [ConfigurationItem](https://docs.aws.amazon.com/config/latest/APIReference/API_ConfigurationItem.html)la *referencia de la AWS Config API*. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/query-event-data-store-config.html) | cadena | Opcional | El ID del recurso (por ejemplo, sg-*xxxxxx*). |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/query-event-data-store-config.html) | cadena | Opcional | El nombre personalizado del recurso, si está disponible. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/query-event-data-store-config.html) | cadena | Opcional | El Nombre de recurso de Amazon (ARN) asociado al recurso. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/query-event-data-store-config.html) | cadena | Opcional | El Región de AWS lugar donde reside el recurso. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/query-event-data-store-config.html) | cadena | Opcional | La zona de disponibilidad asociada al recurso. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/query-event-data-store-config.html) | cadena | Opcional | La marca de tiempo en la que se creó el recurso. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | Opcional | La descripción de la configuración del recurso. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | Opcional | Atributos de configuración que se AWS Config devuelven para determinados tipos de recursos para complementar la información devuelta para el parámetro de configuración. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/query-event-data-store-config.html) | cadena | Opcional | Una lista de CloudTrail eventos IDs. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/query-event-data-store-config.html) | - | Opcional | Una lista de AWS recursos relacionados. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/query-event-data-store-config.html) | cadena | Opcional | El tipo de relación con el recurso relacionado. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/query-event-data-store-config.html) | cadena | Opcional | El tipo del recurso relacionado. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/query-event-data-store-config.html) | cadena | Opcional | El ID del recurso relacionado (por ejemplo, sg-*xxxxxx*). |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/query-event-data-store-config.html) | cadena | Opcional | El nombre personalizado del recurso relacionado, si está disponible. |
| [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/query-event-data-store-config.html) | JSON | Opcional | Una asignación de las etiquetas de valores de claves asociadas con el recurso. |
En el siguiente ejemplo, se muestra la jerarquía de los elementos de esquema que coinciden con los de los registros de elementos de configuración.
```
{
"eventVersion": String,
"eventCategory: String,
"eventType": String,
"eventID": String,
"eventTime": String,
"awsRegion": String,
"recipientAccountId": String,
"addendum": Addendum,
"eventData": {
"configurationItemVersion": String,
"configurationItemCaptureTime": String,
"configurationItemStatus": String,
"configurationStateId": String,
"accountId": String,
"resourceType": String,
"resourceId": String,
"resourceName": String,
"arn": String,
"awsRegion": String,
"availabilityZone": String,
"resourceCreationTime": String,
"configuration": {
JSON,
},
"supplementaryConfiguration": {
JSON,
},
"relatedEvents": [
String
],
"relationships": [
struct{
"name" : String,
"resourceType": String,
"resourceId": String,
"resourceName": String
}
],
"tags": {
JSON
}
}
}
}
```
# Cree un almacén de datos de eventos para eventos externos AWS a la consola
**nota**
AWS CloudTrail Lake dejará de estar abierto a nuevos clientes a partir del 31 de mayo de 2026. Si quieres usar CloudTrail Lake, regístrate antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [CloudTrail Cambio de disponibilidad del lago](cloudtrail-lake-service-availability-change.md).
Puede crear un banco de datos de eventos para incluir eventos ajenos a Lake y AWS, a continuación, usar CloudTrail Lake para buscar, consultar y analizar los datos que se registran desde sus aplicaciones.
Puede usar *las integraciones* de CloudTrail Lake para registrar y almacenar datos de actividad de AWS los usuarios desde fuera o desde cualquier fuente en sus entornos híbridos, como aplicaciones internas o SaaS alojadas en las instalaciones o en la nube, máquinas virtuales o contenedores.
Cuando crea un almacén de datos de eventos para una integración, también crea un canal y asocia una política de recursos al canal.
CloudTrail Los almacenes de datos de eventos de Lake conllevan cargos. Cuando crea un almacén de datos de eventos, debe elegir la [opción de precios](cloudtrail-lake-manage-costs.md#cloudtrail-lake-manage-costs-pricing-option) que desee utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como el período de retención predeterminado y máximo del almacén de datos de eventos. Para obtener información sobre CloudTrail los precios y la administración de los costos de Lake, consulte [AWS CloudTrail Precios](https://aws.amazon.com/cloudtrail/pricing/) y[Gestión de los costos de los CloudTrail lagos](cloudtrail-lake-manage-costs.md).
## Para crear un almacén de datos de eventos para eventos ajenos a AWS
1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En el panel de navegación, en **Lago**, elija **Almacenes de datos de eventos**.
1. Elija **Create event data store** (Crear almacén de datos de eventos).
1. En la página **Configure event data store** (Configurar el almacén de datos de eventos), en **General details** (Detalles generales), ingrese un nombre para el almacén de datos de eventos. El nombre es obligatorio.
1. Elija la **Opción de precios** que desee usar para el almacén de datos de eventos. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como los periodos de retención predeterminado y máximo del almacén de datos de eventos. Para obtener más información, consulte [AWS CloudTrail Precios](https://aws.amazon.com/cloudtrail/pricing/) y [Gestión de los costos de los CloudTrail lagos](cloudtrail-lake-manage-costs.md).
Están disponibles las siguientes opciones:
+ **Precio de retención ampliable por un año**: en general se recomienda si prevé incorporar menos de 25 TB de datos de eventos al mes y desea un periodo de retención flexible de hasta 10 años. Durante los primeros 366 días (el periodo de retención predeterminado), el almacenamiento se incluye sin cargo adicional en los precios de incorporación. Después de 366 días, la retención prolongada está disponible a un pay-as-you-go precio. Esta es la opción predeterminada.
+ **Periodo de retención predeterminado:** 366 días.
+ **Periodo máximo de retención:** 3653 días.
+ **Precio de retención ampliable por un año**: se recomienda si prevé incorporar más de 25 TB de datos de eventos al mes y desea un periodo de retención de hasta 7 años. La retención está incluida en los precios de incorporación sin costo adicional.
+ **Periodo de retención predeterminado:** 2557 días.
+ **Periodo máximo de retención:** 2557 días.
1. Especifique un periodo de retención para el almacén de datos de eventos. Los periodos de retención pueden oscilar entre 7 y 3653 días (unos 10 años) para la opción **Precios de retención ampliables por un año**, o entre 7 días y 2557 días (unos siete años) para la opción **Precios de retención por siete años**.
CloudTrail Lake determina si se debe retener un evento comprobando si el `eventTime` evento se encuentra dentro del período de retención especificado. Por ejemplo, si especificas un período de retención de 90 días, CloudTrail eliminará los eventos cuando `eventTime` tengan más de 90 días.
1. (Opcional) Para habilitar el cifrado mediante AWS Key Management Service, selecciona **Usar el mío AWS KMS key**. Elija **Nuevo** para que se AWS KMS key cree una para usted, o bien elija **Existente** para usar una clave KMS existente. En **Introducir un alias de KMS**, especifique un alias en el formato `alias/`*MyAliasName*. El uso de su propia clave de KMS requiere que edite la política de claves para permitir que se cifre y descifre el almacén de datos de eventos de CloudTrail. Para obtener más información, consulte[Configurar políticas AWS KMS clave para CloudTrail](create-kms-key-policy-for-cloudtrail.md). CloudTrail también admite claves AWS KMS multirregionales. Para obtener más información sobre las claves de varias regiones, consulte [Uso de claves de varias regiones](https://docs.aws.amazon.com/kms/latest/developerguide/multi-region-keys-overview.html) en la *Guía para desarrolladores de AWS Key Management Service *.
El uso de su propia clave KMS conlleva AWS KMS costes de cifrado y descifrado. Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar.
**nota**
Para habilitar el AWS Key Management Service cifrado en un almacén de datos de eventos de la organización, debe usar una clave KMS existente para la cuenta de administración.
1. (Opcional) Si desea realizar consultas con los datos de su evento mediante Amazon Athena, elija **Habilitar** en **Federación de consultas de Lake**. La federación le permite ver los metadatos asociados al almacén de datos de eventos en el [catálogo de datos de AWS Glue](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) y ejecutar consultas SQL con los datos de eventos en Athena. Los metadatos de la tabla almacenados en el catálogo de AWS Glue datos permiten al motor de consultas de Athena saber cómo buscar, leer y procesar los datos que desea consultar. Para obtener más información, consulte [Federar un almacén de datos de eventos](query-federation.md).
Para habilitar la federación de consultas de Lake, seleccione **Habilitar** y, a continuación, haga lo siguiente:
1. Elija si desea crear un nuevo rol o utilizar un rol de IAM existente. [AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/how-it-works.html) utiliza este rol para administrar los permisos del almacén de datos de eventos federados. Al crear un nuevo rol mediante la CloudTrail consola, crea CloudTrail automáticamente un rol con los permisos necesarios. Si elige un rol existente, asegúrese de que la política del rol proporcione los [permisos mínimos requeridos](query-federation.md#query-federation-permissions-role).
1. Si va a crear un rol nuevo, introduzca un nombre para identificarlo.
1. Si está utilizando un rol existente, elija el rol que desea usar. El rol debe existir en su cuenta de .
1. (Opcional) Elija **Habilitación de política de recursos** para agregar una política basada en recursos a este almacén de datos de eventos. Las políticas basadas en recursos le permiten controlar qué entidades principales pueden realizar acciones en el almacén de datos de eventos. Por ejemplo, puede agregar una política basada en recursos para permitir a los usuarios raíz de otras cuentas consultar el almacén de datos de eventos y ver los resultados de las consultas. Para ver ejemplos de políticas, consulte [Ejemplos de políticas basadas en recursos para almacenes de datos de eventos](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Una política basada en recursos incluye una o más instrucciones. Cada instrucción de la política define las [entidades principales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) a las que se les permite o deniega el acceso al almacén de datos de eventos y las acciones que las entidades principales pueden realizar en el recurso del almacén de datos de eventos.
Las políticas basadas en recursos para los almacenes de datos de eventos admiten las siguientes acciones:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Para [los almacenes de datos de eventos de la organización](cloudtrail-lake-organizations.md), CloudTrail crea una [política predeterminada basada en los recursos](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) que enumera las acciones que las cuentas de administrador delegado pueden realizar en los almacenes de datos de eventos de la organización. Los permisos de esta política se obtienen de los permisos del administrador delegado en AWS Organizations. Esta política se actualiza automáticamente tras los cambios en el almacén de datos de eventos de la organización o en la organización (por ejemplo, si se registra o CloudTrail se elimina una cuenta de administrador delegado).
1. (Opcional) En la sección **Tags** (Etiquetas), puede agregar hasta 50 pares de claves y etiquetas para que lo ayuden a identificar y ordenar su almacén de datos de eventos y controlar el acceso a él. Para obtener más información sobre cómo utilizar las políticas de IAM para autorizar el acceso a un almacén de datos de eventos en función de etiquetas, consulte [Ejemplos: Denegación de acceso para crear o eliminar almacenes de datos de eventos en función de etiquetas](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-eds-tags). Para obtener más información sobre cómo utilizar las etiquetas AWS, consulte Cómo [etiquetar AWS los recursos](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html) en la Guía del usuario de los * AWS recursos de etiquetado*.
1. Elija **Next** (Siguiente) para configurar el almacén de datos de eventos.
1. En la página **Choose events** (Elegir eventos), elija **Events from integrations** (Eventos de integraciones).
1. En **Events from integration** (Eventos de integraciones), elija el origen para enviar eventos al almacén de datos de eventos.
1. Proporcione un nombre para identificar el canal de la integración. El nombre puede tener entre 3 y 128 caracteres. Solo se permiten letras, números, puntos, guiones medios y guiones bajos.
1. En **Resource policy** (Política de recursos), configure la política de recursos para el canal de la integración. Las políticas de recursos son documentos de política JSON que especifican qué acciones puede realizar una entidad principal especificada en el recurso y bajo qué condiciones. Las cuentas definidas como entidades principales en la política de recursos pueden llamar a la API `PutAuditEvents` para enviar eventos al canal. El propietario del recurso tiene acceso implícito al recurso si la política de IAM permite la acción `cloudtrail-data:PutAuditEvents`.
La información necesaria para la política está determinada por el tipo de integración. Para una integración de Direction, agrega CloudTrail automáticamente la AWS cuenta IDs del socio y requiere que introduzcas el identificador externo único proporcionado por el socio. Para la integración de una solución, debe especificar al menos un identificador de AWS cuenta como principal y, si lo desea, puede introducir un identificador externo para evitar que el agente se confunda.
**nota**
Si no se crea una política de recursos para el canal, solo el propietario del canal puede llamar a la API `PutAuditEvents` del canal.
1. Para una integración directa, ingrese el ID externo proporcionado por el socio. El socio de integración proporciona un ID externo único, como un ID de cuenta o una cadena generada de forma aleatoria, que se utiliza en la integración para evitar un suplente confuso. Es responsabilidad del socio crear y proporcionar un ID externo único.
Puede elegir **How to find this?** (¿Cómo encontrar esto?) para ver la documentación del socio que describe cómo encontrar el ID externo.
![\[Documentación de socios para ID externos\]](http://docs.aws.amazon.com/es_es/awscloudtrail/latest/userguide/images/integration-external-id.png)
**nota**
Si la política de recursos incluye un ID externo, todas las llamadas a la API `PutAuditEvents` deben incluir el ID externo. Sin embargo, si la política no define un ID externo, el socio aún puede llamar a la API `PutAuditEvents` y especificar un parámetro `externalId`.
1. Para integrar una solución, seleccione **Añadir AWS cuenta** para especificar cada identificador de AWS cuenta que desee añadir como principal en la política.
1. Elija **Next** (Siguiente) para revisar las opciones seleccionadas.
1. En la página **Review and create (Revisar y crear)**, revise las opciones seleccionadas. Elija **Edit** (Editar) para realizar cambios en una sección. Cuando esté listo para crear el almacén de datos de eventos, elija **Create event data store** (Crear almacén de datos de eventos).
1. El nuevo almacén de datos de eventos aparece en la tabla **Almacenes de datos de eventos** de la página **Almacenes de datos de eventos**.
1. Proporcione el nombre de recurso de Amazon (ARN) del canal a la aplicación asociada. Las instrucciones para proporcionar el ARN del canal a la aplicación asociada se encuentran en el sitio web de documentación de socios. Para obtener más información, elija el enlace **Learn more** (Más información) del socio en la pestaña **Available sources** (Orígenes disponibles) de la página **Integrations** (Integraciones) para abrir la página del socio en AWS Marketplace.
El almacén de datos de eventos comienza a incorporar los eventos de los socios CloudTrail a través del canal de integración cuando usted, el socio o las aplicaciones del socio llaman a la `PutAuditEvents` API del canal.
# Actualización de un almacén de datos de eventos con la consola
**nota**
AWS CloudTrail Lake dejará de estar abierto a nuevos clientes a partir del 31 de mayo de 2026. Si quieres usar CloudTrail Lake, regístrate antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [CloudTrail Cambio de disponibilidad del lago](cloudtrail-lake-service-availability-change.md).
En esta sección, se describe cómo actualizar la configuración de un almacén de datos de eventos mediante la Consola de administración de AWS. Para obtener información sobre cómo actualizar un almacén de datos de eventos mediante el AWS CLI, consulte[Actualice un banco de datos de eventos con el AWS CLI](lake-cli-update-eds.md).
**Para actualizar un almacén de datos de eventos**
1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En el panel de navegación, en **Lago**, elija **Almacenes de datos de eventos**.
1. Elija el almacén de datos de eventos que desea actualizar. Esta acción abre la página de detalles del almacén de datos de eventos.
1. En **Detalles generales**, elija **Editar** para cambiar la siguiente configuración:
+ **Nombre del almacén de datos de eventos**: cambie el nombre que identifica el almacén de datos de eventos.
+ **[Opción de precios](cloudtrail-lake-concepts.md#eds-pricing-tier)**: en el caso de los almacenes de datos de eventos que utilizan la opción **Precios de retención de siete años**, puede optar por utilizar en su lugar **Precio de retención ampliable por un año**. Recomendamos un precio de retención ampliable por un año para los almacenes de datos de eventos que incorporen menos de 25 TB de datos de eventos al mes. También recomendamos precios de retención ampliables por un año si busca un periodo de retención flexible de hasta 10 años. Para obtener más información, consulte [AWS CloudTrail Precios](https://aws.amazon.com/cloudtrail/pricing/) y [Gestión de los costos de los CloudTrail lagos](cloudtrail-lake-manage-costs.md).
**nota**
No puede cambiar la opción de precios de los almacenes de datos de eventos que utilizan **Precios de retención ampliables por un año**. Si quiere usar **Precio de retención de siete años**, [detenga la incorporación](query-eds-stop-ingestion.md) en el almacén de datos de eventos actual. A continuación, cree un nuevo almacén de datos de eventos con la opción **Precios de retención de siete años**.
+ **Periodo de retención**: cambie el periodo de retención del almacén de datos de eventos. El periodo de retención determina cuánto tiempo se conservan los datos del evento en el almacén de datos de eventos. Los periodos de retención pueden oscilar entre 7 y 3653 días (unos 10 años) para la opción **Precios de retención ampliables por un año**, o entre 7 días y 2557 días (unos siete años) para la opción **Precios de retención por siete años**.
**nota**
Si reduce el período de retención de un almacén de datos de eventos, CloudTrail se eliminarán los eventos que tengan un período de retención `eventTime` anterior al nuevo. Por ejemplo, si el período de retención anterior era de 365 días y lo reduces a 100 días, CloudTrail se eliminarán los eventos con una `eventTime` antigüedad superior a 100 días.
+ **Cifrado**: para cifrar su almacén de datos de eventos con su propia clave de KMS, seleccione **Usar mi propia AWS KMS key**. De forma predeterminada, todos los eventos de un almacén de datos de eventos se cifran con CloudTrail. El uso de su propia clave KMS conlleva AWS KMS costes de cifrado y descifrado.
**nota**
Después de asociar un almacén de datos de eventos a una clave de KMS, esta no se podrá eliminar ni cambiar.
+ Seleccione **Incluir la región actual en el almacén de datos de eventos** para incluir solo los eventos registrados en la Región de AWS actual. Si no elige esta opción, su almacén de datos de eventos incluirá eventos de todas las regiones.
+ Para que su almacén de datos de eventos recopile eventos de todas las cuentas de una AWS Organizations organización, seleccione **Activar para todas las cuentas de mi** organización. Esta opción solo está disponible si ha iniciado sesión con la cuenta de administración de su organización y el **tipo de evento** del banco de datos de **CloudTraileventos es eventos** o **elementos de configuración**.
Cuando haya finalizado, elija **Guardar cambios**.
1. En **Federación de consultas de Lake**, seleccione **Editar** para activar o desactivar la federación de consultas de Lake. [Al habilitar la federación de consultas de Lake](query-enable-federation.md), puede ver los metadatos del almacén de datos de su evento en el [catálogo de AWS Glue datos](https://docs.aws.amazon.com/glue/latest/dg/components-overview.html#data-catalog-intro) y ejecutar consultas SQL en los datos del evento mediante Amazon Athena. [Al deshabilitar la federación de consultas de Lake](query-disable-federation.md), se deshabilita la integración con AWS Glue AWS Lake Formation, y Amazon Athena. Tras deshabilitar la federación de consultas de Lake, ya no podrá consultar sus datos en Athena. Al deshabilitar la federación, no se elimina ningún dato de CloudTrail Lake y puede seguir realizando consultas en Lake. CloudTrail
Para habilitar la federación, haga lo siguiente:
1. Seleccione **Habilitar**.
1. Elija si desea crear un nuevo rol de IAM, o utilizar un rol existente. Al crear un rol nuevo, crea CloudTrail automáticamente un rol con los permisos necesarios. Si utiliza un rol existente, asegúrese de que la política del rol proporcione los [permisos mínimos requeridos](query-federation.md#query-federation-permissions-role).
1. Si está creando un rol de IAM nuevo, ingrese un nombre para el rol.
1. Si elige un rol de IAM existente, elija el rol que quiere usar. El rol debe existir en su cuenta.
Cuando haya terminado, seleccione **Guardar cambios**.
1. En la **Política de recursos**, elija **Editar** para agregar o revisar la política basada en recursos para el almacén de datos de eventos.
Las políticas basadas en recursos le permiten controlar qué entidades principales pueden realizar acciones en el almacén de datos de eventos. Por ejemplo, puede agregar una política basada en recursos para permitir a los usuarios raíz de otras cuentas consultar el almacén de datos de eventos y ver los resultados de las consultas. Para ver ejemplos de políticas, consulte [Ejemplos de políticas basadas en recursos para almacenes de datos de eventos](security_iam_resource-based-policy-examples.md#security_iam_resource-based-policy-examples-eds).
Una política basada en recursos incluye una o más instrucciones. Cada instrucción de la política define las [entidades principales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) a las que se les permite o deniega el acceso al almacén de datos de eventos y las acciones que las entidades principales pueden realizar en el recurso del almacén de datos de eventos.
Las políticas basadas en recursos para los almacenes de datos de eventos admiten las siguientes acciones:
+ `cloudtrail:StartQuery`
+ `cloudtrail:CancelQuery`
+ `cloudtrail:ListQueries`
+ `cloudtrail:DescribeQuery`
+ `cloudtrail:GetQueryResults`
+ `cloudtrail:GenerateQuery`
+ `cloudtrail:GenerateQueryResultsSummary`
+ `cloudtrail:GetEventDataStore`
Para [los almacenes de datos de eventos de la organización](cloudtrail-lake-organizations.md), CloudTrail crea una [política predeterminada basada en los recursos](cloudtrail-lake-organizations.md#cloudtrail-lake-organizations-eds-rbp) que enumera las acciones que las cuentas de administrador delegado pueden realizar en los almacenes de datos de eventos de la organización. Los permisos de esta política se obtienen de los permisos del administrador delegado en AWS Organizations. Esta política se actualiza automáticamente tras los cambios en el almacén de datos de eventos de la organización o en la organización (por ejemplo, si se registra o CloudTrail se elimina una cuenta de administrador delegado).
1. Edite cualquier configuración adicional específica del **Tipo de evento** del almacén de datos de eventos.
**Configuración de los eventos CloudTrail **
+ Para cambiar los eventos que registra tu almacén de datos de eventos, selecciona **Editar** en **CloudTrail eventos**.
+ En **Eventos de administración**, elija **Editar** para cambiar la configuración de registro de eventos de administración. Para obtener más información, consulte [Actualización de la configuración de eventos de administración de un almacén de datos de eventos existente](logging-management-events-with-cloudtrail.md#logging-management-events-with-the-cloudtrail-console-eds).
+ En **Eventos de datos**, elija **Editar** para cambiar la configuración de los eventos de datos. Puede elegir qué tipos de recursos quiere registrar y elegir la plantilla de selección de registros que quiere usar. Para obtener más información, consulte [Actualizar un almacén de datos de eventos existente para registrar los eventos de datos mediante la consola](logging-data-events-with-cloudtrail.md#logging-data-events-with-the-cloudtrail-console-eds).
+ En **Eventos de actividad de la red**, seleccione **Editar** para modificar la configuración de los eventos de actividad de la red. Puede elegir qué tipo de evento de actividad de la red quiere registrar y elegir la plantilla del selector de registros que quiere usar. Para obtener más información, consulte [Actualización de un almacén de datos de eventos existente para registrar los eventos de actividad de red](logging-network-events-with-cloudtrail.md#log-network-events-lake-console).
+ En **Enriquecer eventos, ampliar el tamaño del evento**, elija **Editar** para agregar o eliminar las etiquetas de recursos y las claves de condición global de IAM, y amplíe el tamaño del evento.
En **Enriquecer eventos** agregue hasta 50 claves de etiqueta de recurso y 50 claves de condición global de IAM para ofrecer metadatos adicionales sobre los eventos. Esto le ayuda a clasificar y agrupar los eventos relacionados.
Si agregas claves de etiquetas de recursos, CloudTrail se incluirán las claves de etiqueta seleccionadas asociadas a los recursos que participaron en la llamada a la API. Los eventos de la API relacionados con recursos eliminados no tendrán etiquetas de recurso.
Si añades claves de condición globales de IAM, CloudTrail se incluirá información sobre las claves de condición seleccionadas que se evaluaron durante el proceso de autorización, incluidos detalles adicionales sobre la entidad principal, la sesión, la red y la propia solicitud.
La información sobre las claves de etiqueta de recurso y las claves de condición global de IAM se muestra en el campo `eventContext` del evento. Para obtener más información, consulte [Enriquece CloudTrail los eventos añadiendo claves de etiquetas de recursos y claves de condición globales de IAM](cloudtrail-context-events.md).
**nota**
Si un evento contiene un recurso que no pertenece a la región del evento, no CloudTrail rellenará las etiquetas de este recurso porque la recuperación de etiquetas se limita a la región del evento.
Seleccione **Expandir el tamaño del evento** para ampliar la carga útil del evento de 256 KB a 1 MB. Esta opción se activa de manera automática al agregar claves de etiqueta de recurso o claves de condición global de IAM para garantizar que todas las claves agregadas se incluyan en el evento.
Ampliar el tamaño del evento es útil para analizar y solucionar problemas de eventos, ya que permite ver el contenido completo de los siguientes campos siempre que la carga útil del evento sea inferior a 1 MB:
+ `annotation`
+ `requestID`
+ `additionalEventData`
+ `serviceEventDetails`
+ `userAgent`
+ `errorCode`
+ `responseElements`
+ `requestParameters`
+ `errorMessage`
Para obtener más información sobre estos campos, consulta el contenido del [CloudTrail registro](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-record-contents.html).
Cuando haya finalizado, elija **Guardar cambios**.
**Configuración de los eventos a partir de la integración**
En **Integraciones**, elija su integración. Luego elija **Editar**, para cambiar la siguiente configuración:
+ En **Detalles de la integración**, cambie el nombre que identifica el canal de su integración.
+ En **Ubicación de entrega del evento**, elija el destino para sus eventos.
+ En **Resource policy** (Política de recursos), configure la política de recursos para el canal de la integración.
Cuando haya finalizado, elija **Guardar cambios**.
Para obtener más información sobre estas opciones, consulte [Cree una integración con un CloudTrail socio con la consola](query-event-data-store-integration-partner.md).
1. Para agregar, cambiar o eliminar etiquetas, seleccione **Editar** en **Etiquetas**. Puede agregar hasta 50 pares de claves y etiquetas para que lo ayuden a identificar, ordenar su almacén de datos de eventos y controlar el acceso a él. Cuando haya finalizado, elija **Guardar cambios**.
# Detención e inicio de la ingesta de eventos con la consola
**nota**
AWS CloudTrail Lake dejará de estar abierto a nuevos clientes a partir del 31 de mayo de 2026. Si quieres usar CloudTrail Lake, regístrate antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [CloudTrail Cambio de disponibilidad del lago](cloudtrail-lake-service-availability-change.md).
De forma predeterminada, los almacenes de datos de eventos están configurados para ingerir eventos. Puedes evitar que un almacén de datos de eventos ingiera eventos mediante la consola AWS CLI, o APIs.
Las opciones para **iniciar la ingesta** y **detener la ingesta** solo están disponibles en los almacenes de datos de eventos que contienen CloudTrail eventos (eventos de administración, eventos de datos y eventos de actividad de la red) o AWS Config elementos de configuración.
Al detener la ingesta en un almacén de datos de eventos, el estado del almacén de datos de eventos cambia a `STOPPED_INGESTION`. Todavía puede ejecutar consultas en cualquier evento que ya esté en el almacén de datos de eventos. También puede copiar los eventos de seguimiento al banco de datos de eventos (si solo contiene CloudTrail eventos).
**Para evitar que un almacén de datos de eventos ingiera eventos**
1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En el panel de navegación, en **Lago**, elija **Almacenes de datos de eventos**.
1. Elija el almacén de datos de eventos.
1. En **Acciones**, elija **Detener ingesta**.
1. Cuando se le pida confirmación, elija **Detener ingesta**. El almacén de datos de eventos dejará de ingerir eventos en vivo.
1. Para reanudar la ingestión, elija **Iniciar ingesta**.
**Para reiniciar la incorporación de eventos**
1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En el panel de navegación, en **Lago**, elija **Almacenes de datos de eventos**.
1. Elija el almacén de datos de eventos.
1. En **Acciones**, elija **Detener incorporación**.
# Cambio de la protección contra la terminación con la consola
**nota**
AWS CloudTrail Lake dejará de estar abierto a nuevos clientes a partir del 31 de mayo de 2026. Si quieres usar CloudTrail Lake, regístrate antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [CloudTrail Cambio de disponibilidad del lago](cloudtrail-lake-service-availability-change.md).
De forma predeterminada, los almacenes de datos de eventos de AWS CloudTrail Lake están configurados con la protección de terminación habilitada. La protección contra terminación evita que el almacén de datos de eventos se elimine accidentalmente. Si desea eliminar el almacén de datos de eventos, debe deshabilitar la protección contra la terminación. Puede deshabilitar la protección de terminación mediante las operaciones Consola de administración de AWS AWS CLI,, o API.
**Para desactivar la protección contra la terminación**
1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En el panel de navegación, en **Lago**, elija **Almacenes de datos de eventos**.
1. Elija el almacén de datos de eventos.
1. En **Acciones**, elija **Cambiar protección contra la terminación**.
1. Elija **Deshabilitar**.
1. Seleccione **Save**. Ahora puede [eliminar el almacén de datos de eventos](query-event-data-store-delete.md).
**Para activar la protección contra la terminación**
1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En el panel de navegación, en **Lago**, elija **Almacenes de datos de eventos**.
1. Elija el almacén de datos de eventos.
1. En **Acciones**, elija **Cambiar protección contra la terminación**.
1. Para habilitar la protección de terminación, elija **Habilitada**.
1. Seleccione **Save**.
# Eliminar un almacén de datos de eventos con la consola
**nota**
AWS CloudTrail Lake dejará de estar abierto a nuevos clientes a partir del 31 de mayo de 2026. Si quieres usar CloudTrail Lake, regístrate antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [CloudTrail Cambio de disponibilidad del lago](cloudtrail-lake-service-availability-change.md).
En esta sección, se describe cómo eliminar un almacén de datos de eventos mediante la consola de CloudTrail. Para obtener información sobre cómo eliminar un almacén de datos de eventos mediante el AWS CLI, consulte[Elimine un banco de datos de eventos con AWS CLI](lake-cli-delete-eds.md).
**nota**
No puede eliminar un almacén de datos de eventos si la [protección contra la terminación](query-eds-termination-protection.md) o [la federación de consultas de Lake](query-enable-federation.md) están habilitadas. De forma predeterminada, CloudTrail habilita la protección de terminación para evitar que un almacén de datos de eventos se elimine accidentalmente.
Para eliminar un almacén de datos de eventos con un tipo de **evento de integración**, primero debe eliminar el canal de la integración. Puede eliminar el canal desde la página de detalles de la integración o mediante el comando **aws cloudtrail delete-channel**. Para obtener más información, consulte [Elimine un canal para eliminar una integración con AWS CLI](lake-cli-delete-integration.md)
**Para eliminar un almacén de datos de eventos**
1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En el panel de navegación, en **Lago**, elija **Almacenes de datos de eventos**.
1. Elija el almacén de datos de eventos.
1. En **Acciones**, seleccione **Eliminar**.
1. Escriba el nombre del almacén de datos de eventos para confirmar que desea eliminarlo.
1. Elija **Eliminar**.
Después de eliminar un almacén de datos de eventos, el estado del almacén de datos de eventos cambia a `PENDING_DELETION` y permanece en él durante 7 días. Puede [restaurar](query-eds-restore.md) un almacén de datos de eventos durante el periodo de espera de 7 días. Mientras está en estado `PENDING_DELETION`, un almacén de datos de eventos no está disponible para consultas y no se pueden realizar otras operaciones en el almacén de datos de eventos, excepto operaciones de restauración. Un almacén de datos de eventos que está pendiente de eliminación no ingiere eventos ni genera costos. Los almacenes de datos de eventos que están pendientes de eliminación se tienen en cuenta para la cuota de almacenes de datos de eventos que pueden existir en una Región de AWS.
# Restaurar un almacén de datos de eventos con la consola
**nota**
AWS CloudTrail Lake dejará de estar abierto a nuevos clientes a partir del 31 de mayo de 2026. Si quieres usar CloudTrail Lake, regístrate antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [CloudTrail Cambio de disponibilidad del lago](cloudtrail-lake-service-availability-change.md).
Tras eliminar un almacén de datos de eventos en AWS CloudTrail Lake, su estado cambia a ese estado `PENDING_DELETION` y permanece en ese estado durante 7 días. Durante este tiempo, puede restaurar el almacén de datos de eventos mediante la operación Consola de administración de AWS AWS CLI, o la [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RestoreEventDataStore.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_RestoreEventDataStore.html)API.
En esta sección, se describe cómo restaurar un almacén de datos de eventos mediante la consola. Para obtener información sobre cómo restaurar un banco de datos de eventos mediante el AWS CLI, consulte[Restaure un almacén de datos de eventos con AWS CLI](lake-cli-manage-eds.md#lake-cli-restore-eds).
**Para restaurar un almacén de datos de eventos**
1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En el panel de navegación, en **Lago**, elija **Almacenes de datos de eventos**.
1. Elija el almacén de datos de eventos.
1. En **Acciones**, elija **Restaurar**.
# Exportación de datos del almacén de datos de CloudTrail Lake Event a CloudWatch
**nota**
AWS CloudTrail Lake dejará de estar abierto a nuevos clientes a partir del 31 de mayo de 2026. Si quieres usar CloudTrail Lake, regístrate antes de esa fecha. Los clientes existentes pueden seguir utilizando el servicio con normalidad. Para obtener más información, consulte [CloudTrail Cambio de disponibilidad del lago](cloudtrail-lake-service-availability-change.md).
Poner a disposición los datos de CloudTrail Lake CloudWatch ofrece varias ventajas:
+ **Administración centralizada de registros**: combine CloudTrail eventos con registros de aplicaciones, registros de infraestructura y otras fuentes de datos CloudWatch.
+ **Integración simplificada**: CloudWatch gestiona el proceso de importación en unos pocos pasos; especifique el almacén de datos del evento y el rango de datos.
+ **Acceso a datos históricos**: importe datos históricos de CloudTrail Lake para analizar los eventos pasados junto con los datos operativos actuales.
+ **Sin CloudTrail coste adicional**: la importación simplificada de los datos de los CloudTrail lagos está disponible sin CloudTrail coste adicional. Sin embargo, si se aplica el CloudWatch precio de los registros personalizados de Infrequent Access, incurrirá en gastos.
En esta sección se describe cómo exportar los datos de un almacén de datos de eventos mediante la CloudTrail consola. Para obtener información sobre cómo realizar esto mediante el SDK o AWS CLI, consulte [CloudWatch la documentación](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/)
**Para exportar datos de un almacén de datos de eventos**
1. Inicie sesión en Consola de administración de AWS y abra la CloudTrail consola en [https://console.aws.amazon.com/cloudtrail/](https://console.aws.amazon.com/cloudtrail/).
1. En el panel de navegación, en **Lago**, elija **Almacenes de datos de eventos**.
1. Elija el almacén de datos de eventos.
1. En **Acciones**, selecciona **Exportar a CloudWatch**.
1. Elija el intervalo de tiempo para exportar los datos al EDS.
1. Siga las instrucciones para crear o proporcionar un rol de IAM que CloudTrail se utilizará para acceder a sus datos para la exportación.
1. Seleccione **Exportar**.
Al hacer que los datos de CloudTrail Lake estén disponibles para su exportación CloudWatch, tenga en cuenta lo siguiente:
+ **Precios**: si bien la exportación simplificada de los datos de CloudTrail Lake está disponible sin CloudTrail coste adicional, CloudWatch las tarifas se calculan en función del precio de los registros personalizados
+ **Retención de datos**: asegúrese de que el período de retención del almacén de datos de eventos de CloudTrail Lake cubra los datos históricos que desea exportar
+ **Disponibilidad regional**: consulta la CloudWatch documentación para ver AWS las regiones compatibles con esta función
+ **Acceso al almacén de datos de eventos**: debe tener acceso al almacén de datos de eventos desde el que se exportarán los datos.