Opciones de registro para Amazon S3
Puede registrar las acciones que realizan los usuarios, los roles o los Servicios de AWS en recursos de Amazon S3 y mantener registros para fines de auditoría y conformidad. Para ello, puede utilizar el registro de acceso al servidor, el registro de AWS CloudTrail o una combinación de ambos. Le recomendamos que utilice CloudTrail para registrar acciones en el nivel de bucket y objeto para los recursos de Amazon S3. Para obtener más información acerca de cada opción, consulte las secciones siguientes:
En la tabla siguiente, se enumeran las propiedades clave de los registros de CloudTrail y los registros de acceso al servidor de Amazon S3. Para asegurarse de que CloudTrail cumple con los requisitos de seguridad, revise la tabla y las notas.
Propiedades del registro | AWS CloudTrail | Registros del servidor de Amazon S3 |
---|---|---|
Se pueden reenviar a otros sistemas (Registros de Amazon CloudWatch, Eventos de Amazon CloudWatch) |
Sí |
No |
Enviar los registros a varios destinos (por ejemplo: enviar los mismos registros a dos buckets diferentes) |
Sí |
No |
Habilitar los registros para un subconjunto de objetos (prefijo) |
Sí |
No |
Envío de registros entre cuentas (bucket de origen y destino propiedad de cuentas diferentes) |
Sí |
No |
Validación de la integridad del archivo de registro mediante el uso de la firma digital o el algoritmo hash |
Sí |
No |
Selección del cifrado o uso del cifrado predeterminado para los archivos de registro |
Sí |
No |
Operaciones con objetos (mediante las API de Amazon S3) |
Sí |
Sí |
Operaciones con buckets (mediante las API de Amazon S3) |
Sí |
Sí |
Búsqueda de registros en la interfaz de usuario |
Sí |
No |
Campos para parámetros de bloqueo de objetos, propiedades seleccionadas de Amazon S3 para el historial de registro |
Sí |
No |
Campos para |
No |
Sí |
Transiciones, finalizaciones, restauraciones del ciclo de vida |
No |
Sí |
Registro de claves en una operación de eliminación por lotes |
No |
Sí |
Errores de autenticación1 |
No |
Sí |
Cuentas a las que se envían los registros |
Propietario del bucket2 y solicitante |
Solo propietario del bucket |
Performance and Cost | AWS CloudTrail | Amazon S3 Server Logs |
Precio |
Los eventos de administración (primera entrega) son gratuitos; se aplica un cargo a los eventos de datos, además del cargo de almacenamiento de registros |
No hay ningún cargo adicional aparte del cargo por almacenar los registros |
Velocidad de entrega de registros |
Eventos de datos cada 5 minutos; eventos de administración cada 15 minutos |
Unas horas |
Formato de registro |
JSON |
Archivo de registro con entradas separadas por espacios y delimitadas por una nueva línea |
Notas
-
CloudTrail no envía registros para las solicitudes que no superan la autenticación (en las que las credenciales proporcionadas no son válidas). Sin embargo, sí incluye los registros de las solicitudes que no superan el proceso de autorización (
AccessDenied
) y las solicitudes realizadas por usuarios anónimos. -
El propietario del bucket de S3 recibe registros de CloudTrail cuando la cuenta no tiene acceso completo al objeto de la solicitud. Para obtener más información, consulte Acciones en el nivel de objeto de Amazon S3 en escenarios entre cuentas.
-
S3 no admite la entrega de registros de CloudTrail ni de registros de acceso al servidor al solicitante ni al propietario del bucket para las solicitudes de puntos de conexión de VPC cuando la política de puntos de conexión de VPC las deniega o para las solicitudes que fallan antes de que la política de VPC se evalúe.