¿Qué es AWS CloudTrail?
AWS CloudTrail es un Servicio de AWS que ayuda a habilitar la auditoría operativa y de riesgos, la gobernanza y la conformidad de su Cuenta de AWS. Las acciones que realiza un usuario, rol o servicio de AWS se registran como eventos en CloudTrail. Los eventos incluyen las acciones llevadas a cabo en la AWS Management Console, AWS Command Line Interface y las API y los SDK de AWS.
CloudTrail se habilita en su Cuenta de AWS cuando la crea. Cuando se produce actividad en su Cuenta de AWS, esta se registra en un evento de CloudTrail.
CloudTrail ofrece tres formas de registrar eventos:
-
Historial de eventos: el Historial de eventos proporciona un registro visible e inmutable, que se puede buscar y descargar, de los últimos 90 días de eventos de administración registrados en una Región de AWS. Puede filtrar en un solo atributo para buscar eventos. Al crear la cuenta, tendrá acceso automáticamente al Historial de eventos. Para obtener más información, consulte Trabajar con el historial de eventos de CloudTrail.
No se cobran cargos de CloudTrail por ver el Historial de eventos.
-
CloudTrail Lake: AWS CloudTrail Lake es un lago de datos administrado para capturar, almacenar, acceder y analizar actividad de API y usuarios en AWS con fines de seguridad y auditoría. CloudTrail Lake convierte los eventos existentes en formato JSON basado en filas al formato ORC de Apache
. ORC es un formato de almacenamiento en columnas optimizado para una recuperación rápida de datos. Los eventos se agregan en almacenes de datos de eventos, que son colecciones inmutables de eventos en función de criterios que se seleccionan aplicando selectores de eventos avanzados. Puede conservar los datos de eventos en un almacén de datos de eventos durante un máximo de 3653 días (unos 10 años) si elige la opción Precio de retención ampliable por un año, o hasta 2557 días (unos 7 años) si elige la opción Precio de retención de siete años. Puede crear un almacén de datos de eventos para una sola Cuenta de AWS o para varias Cuentas de AWS mediante AWS Organizations. Puede importar cualquier registro de CloudTrail existente de sus buckets de S3 a un almacén de datos de eventos nuevo o existente. También puede ver las principales tendencias de eventos de CloudTrail con los paneles de Lake. Para obtener más información, consulte Trabajar con AWS CloudTrail Lake. Los almacenes de datos de eventos de CloudTrail Lake y las consultas conllevan cargos. Cuando crea un almacén de datos de eventos, elige la opción de precios que desea utilizar para él. La opción de precios determina el costo de la incorporación y el almacenamiento de los eventos, así como el periodo de retención predeterminado y máximo del almacén de datos de eventos. Cuando ejecuta consultas en Lake, paga según la cantidad de datos escaneados. Para obtener información sobre los precios de CloudTrail, consulte Precios de AWS CloudTrail
y Administración de los costos de CloudTrail Lake. -
Registros de seguimiento: los registros de seguimiento capturan un registro de las actividades de AWS y distribuyen y almacenan estos eventos en un bucket de Amazon S3, con entrega opcional a Registros de CloudWatch y Amazon EventBridge. Puede incorporar estos eventos a sus soluciones de supervisión de seguridad. También puede usar sus propias soluciones de terceros o soluciones como Amazon Athena para buscar y analizar sus registros de CloudTrail. Puede crear registros de seguimiento para una sola Cuenta de AWS o para varias Cuentas de AWS mediante AWS Organizations. Puede registrar eventos de Insights para analizar sus eventos de administración para detectar un comportamiento anómalo en los volúmenes de llamadas a las API y las tasas de error. Para obtener más información, consulte Creación de un registro de seguimiento para su Cuenta de AWS.
Puede crear un registro de seguimiento para enviar una copia de los eventos de administración en curso a su bucket de S3 sin costo alguno desde CloudTrail; sin embargo, hay cargos por almacenamiento en Amazon S3. Para obtener más información sobre los precios de CloudTrail, consulte Precios de AWS CloudTrail
. Para obtener información acerca de los precios de Amazon S3, consulte Precios de Amazon S3 .
La visibilidad de la actividad de su cuenta de AWS es un aspecto clave de la seguridad y de las prácticas recomendadas operativas. Puede utilizar CloudTrail para ver, buscar, descargar, archivar, analizar y responder a la actividad de la cuenta en la infraestructura de AWS. Puede identificar quién o qué tuvo que actuar, sobre qué recursos se actuó, cuándo se produjo el evento y otros detalles que lo ayudarán a analizar y responder a una actividad en la cuenta de AWS.
Puede integrar CloudTrail en las aplicaciones mediante la API, automatizar la creación de registros de seguimiento o almacenes de datos de eventos para su organización, verificar el estado de los almacenes de datos de eventos y registros de seguimiento que crea y controlar la forma en que los usuarios ven los eventos de CloudTrail.
Acceso a CloudTrail
Puede trabajar con CloudTrail de cualquiera de las siguientes formas.
Consola de CloudTrail
Inicie sesión en la AWS Management Console y abra la consola de CloudTrail en https://console.aws.amazon.com/cloudtrail/
La consola de CloudTrail ofrece una interfaz de usuario para realizar muchas tareas de CloudTrail como:
-
Visualizar los últimos eventos y el historial de eventos para la cuenta de AWS.
-
Descarga de un archivo filtrado o completo de los últimos 90 días de eventos administración desde el Historial de eventos.
-
Creación y edición de registros de seguimiento de CloudTrail
-
Creación y edición de almacenes de datos de eventos de CloudTrail Lake
-
Ejecución de consultas en almacenes de datos de eventos
-
Configuración de los registros de seguimiento de CloudTrail, incluido:
-
Selección de un bucket de Amazon S3 para registros de seguimiento
-
Establecer un prefijo.
-
Configuración de la entrega en CloudWatch Logs.
-
Uso de claves de AWS KMS para el cifrado de los datos de registro de seguimiento
-
Habilitación de las notificaciones de Amazon SNS para el envío de archivos de registros a registros de seguimiento
-
Agregar y administrar etiquetas para los registros de seguimiento.
-
-
Configuración de los almacenes de datos de eventos de CloudTrail Lake, que incluye:
-
Integrar los almacenes de datos de eventos con socios de CloudTrail o con sus propias aplicaciones para registrar eventos de orígenes externos a AWS.
-
Federación de los almacenes de datos de eventos para ejecutar consultas desde Amazon Athena.
-
Usar claves de AWS KMS para el cifrado de los datos del almacén de datos de eventos.
-
Agregar y administrar etiquetas para sus almacenes de datos de eventos.
-
Para obtener más información sobre AWS Management Console, consulte AWS Management Console.
AWS CLI
La AWS Command Line Interface es una herramienta unificada que puede utilizar para interactuar con CloudTrail desde la línea de comandos. Para obtener más información, consulte la Guía del usuario de AWS Command Line Interface. Para obtener una lista completa de los comandos de la CLI de CloudTrail, consulte cloudtrail y cloudtrail-data en la Referencia de comandos de la AWS CLI.
API de CloudTrail
Además de la consola y la CLI, también puede utilizar las API RESTful de CloudTrail para programar CloudTrail directamente. Para obtener más información, consulte la Referencia de la API de AWS CloudTrail y la Referencia de la API CloudTrail-Data.
SDK de AWS
Además de la API de CloudTrail, puede utilizar uno de los SDK de AWS. Cada SDK se compone de bibliotecas y código de muestra para diversos lenguajes de programación y plataformas. Los SDK proporcionan una forma conveniente de crear acceso programático a CloudTrail. Por ejemplo, puede usar los SDK para firmar solicitudes criptográficamente, gestionar los errores y reintentar las solicitudes de forma automática. Para obtener más información, consulte la página Herramientas para crear en AWS