Opciones de registro para Amazon S3

Puede registrar las acciones que realizan los usuarios, los roles o los Servicios de AWS en recursos de Amazon S3 y mantener registros para fines de auditoría y conformidad. Para ello, puede utilizar el registro de acceso al servidor, el registro de AWS CloudTrail o una combinación de ambos. Le recomendamos que utilice CloudTrail para registrar acciones en el nivel de bucket y objeto para los recursos de Amazon S3. Para obtener más información acerca de cada opción, consulte las secciones siguientes:

En la tabla siguiente, se enumeran las propiedades clave de los registros de CloudTrail y los registros de acceso al servidor de Amazon S3. Para asegurarse de que CloudTrail cumple con los requisitos de seguridad, revise la tabla y las notas.

Propiedades del registro	AWS CloudTrail	Registros del servidor de Amazon S3
Se pueden reenviar a otros sistemas (Registros de Amazon CloudWatch, Eventos de Amazon CloudWatch)	Sí	No
Enviar los registros a varios destinos (por ejemplo: enviar los mismos registros a dos buckets diferentes)	Sí	No
Habilitar los registros para un subconjunto de objetos (prefijo)	Sí	No
Envío de registros entre cuentas (bucket de origen y destino propiedad de cuentas diferentes)	Sí	No
Validación de la integridad del archivo de registro mediante el uso de la firma digital o el algoritmo hash	Sí	No
Selección del cifrado o uso del cifrado predeterminado para los archivos de registro	Sí	No
Operaciones con objetos (mediante las API de Amazon S3)	Sí	Sí
Operaciones con buckets (mediante las API de Amazon S3)	Sí	Sí
Búsqueda de registros en la interfaz de usuario	Sí	No
Campos para parámetros de bloqueo de objetos, propiedades seleccionadas de Amazon S3 para el historial de registro	Sí	No
Campos para `Object Size`, `Total Time`, `Turn-Around Time` y `HTTP Referer` para los registros	No	Sí
Transiciones, finalizaciones, restauraciones del ciclo de vida	No	Sí
Registro de claves en una operación de eliminación por lotes	No	Sí
Errores de autenticación¹	No	Sí
Cuentas a las que se envían los registros	Propietario del bucket² y solicitante	Solo propietario del bucket
Performance and Cost	AWS CloudTrail	Amazon S3 Server Logs
Precio	Los eventos de administración (primera entrega) son gratuitos; se aplica un cargo a los eventos de datos, además del cargo de almacenamiento de registros	No hay ningún cargo adicional aparte del cargo por almacenar los registros
Velocidad de entrega de registros	Eventos de datos cada 5 minutos; eventos de administración cada 15 minutos	Unas horas
Formato de registro	JSON	Archivo de registro con entradas separadas por espacios y delimitadas por una nueva línea

Notas

CloudTrail no envía registros para las solicitudes que no superan la autenticación (en las que las credenciales proporcionadas no son válidas). Sin embargo, sí incluye los registros de las solicitudes que no superan el proceso de autorización (AccessDenied) y las solicitudes realizadas por usuarios anónimos.
El propietario del bucket de S3 recibe registros de CloudTrail cuando la cuenta no tiene acceso completo al objeto de la solicitud. Para obtener más información, consulte Acciones en el nivel de objeto de Amazon S3 en escenarios entre cuentas.
S3 no admite la entrega de registros de CloudTrail ni de registros de acceso al servidor al solicitante ni al propietario del bucket para las solicitudes de puntos de conexión de VPC cuando la política de puntos de conexión de VPC las deniega o para las solicitudes que fallan antes de que la política de VPC se evalúe.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Herramientas de monitoreo

Registro con CloudTrail