Funcionamiento de CloudTrail - AWS CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Funcionamiento de CloudTrail

CloudTrail se habilita en una cuenta de AWS al crearla. Cuando se produce actividad en su cuenta de AWS, dicha actividad se registra en un evento de CloudTrail. Puede ver fácilmente los eventos en la consola de CloudTrail, solo tiene que dirigirse aHistorial de eventos.

El historial de eventos le permite ver, buscar y descargar los últimos 90 días de actividad de la cuenta de AWS. Además, puede crear un registro de seguimiento de CloudTrail para archivar, analizar y responder a los cambios que se produzcan en los recursos de AWS. Un registro de seguimiento es una configuración que permite el envío de eventos a un bucket de Amazon S3 que especifique. También puede enviar y analizar los eventos en un registro de seguimiento con los registros de Amazon CloudWatch y los Amazon CloudWatch Events. Puede crear un registro de seguimiento con la consola de CloudTrail, la CLI de AWS o la API de CloudTrail.

Puede crear dos tipos de registro de seguimiento para una cuenta de AWS:

Un registro de seguimiento aplicable a todas las regiones

Cuando se crea un registro de seguimiento que se aplica a todas las regiones, CloudTrail registra los eventos de cada región y envía los archivos de registro de eventos de CloudTrail al bucket de S3 que se especifique. Si se añade una región después de crear un registro de seguimiento que se aplica a todas las regiones, la nueva región se incluye automáticamente, y también se registran sus eventos. Dado que la creación de un rastro en todas las regiones es una práctica recomendada, por lo que captura la actividad en todas las regiones de su cuenta, una pista de todas las regiones es la opción predeterminada al crear un rastro en la consola de CloudTrail. Solo puede actualizar una pista de una sola región para registrar todas las regiones mediante la CLI de AWS. Para obtener más información, consulte Crear un registro de seguimiento en la consola de (selectores de eventos básicos).

Un registro de seguimiento aplicable a una región

Cuando se crea un registro de seguimiento que se aplica a una región, CloudTrail solo registra los eventos de esa región. A continuación, entrega los archivos de registro de eventos de CloudTrail al bucket de Amazon S3 que especifique. Solo puede crear un rastro de una sola región mediante la CLI de AWS. Si crea registros de seguimiento individuales adicionales, puede disponer que dichos registros de seguimiento envíen los archivos de registro de eventos de CloudTrail al mismo bucket de Amazon S3 o a buckets separados. Esta es la opción predeterminada al crear un registro de seguimiento mediante la CLI de AWS o la API de CloudTrail. Para obtener más información, consulte Creación, actualización y administración de registros de seguimiento con la interfaz de línea de comandos de AWS.

nota

Puede especificar un bucket de Amazon S3 desde cualquier región para ambos tipos de registro de seguimiento.

A partir del 12 de abril de 2019, los registros de seguimiento solo podrán verse en las regiones de AWS en las que registren eventos. Si crea un registro de seguimiento que registre eventos en todas las regiones de AWS, aparecerá en la consola en todas las regiones de AWS. Si crea un registro de seguimiento que solo registra los eventos en una región de AWS, podrá verlo y administrarlo únicamente en esa región de AWS.

Si ha creado una organización en AWS Organizations, también puede crear un registro de seguimiento que registrará todos los eventos de todas las cuentas de AWS de dicha organización. Esto es lo que se denomina registro de seguimiento de organización. Los registros de seguimiento de organización pueden aplicarse a todas las regiones de AWS o a una región. Los registros de seguimiento de organización deben crearse en la cuenta de administración y, cuando se especifica que se aplican a una organización, se aplican automáticamente a todas las cuentas miembro de la organización. Las cuentas miembro podrán ver el registro de seguimiento de organización, pero no pueden modificarlo o eliminarlo. De forma predeterminada, las cuentas de miembros no obtendrán acceso a los archivos de registro de seguimiento de la organización en el bucket de Amazon S3.

Puede cambiar la configuración de un registro de seguimiento después de crearlo, incluida la opción que indica si registra los eventos de una región o de todas. Para cambiar un rastro de una sola región a un rastro de toda región, o viceversa, debe ejecutar la CLI de AWSupdate-trailcommand. También puede cambiar si registra eventos de CloudTrail de Insights de. El cambio de la opción que indica si el registro de seguimiento registra eventos de una región o de todas afecta a los eventos que se registran. Para obtener más información, consulteAdministración de senderos con la CLI de AWS(CLI de AWS), yUso de archivos de registro de CloudTrail.

De forma predeterminada, los archivos de registro de eventos de CloudTrail se cifran mediante el cifrado del lado del servidor (SSE) de Amazon S3. También puede optar por cifrar los archivos de registro con una clave de AWS Key Management Service (AWS KMS). Puede almacenar sus archivos de registro en el bucket de durante el tiempo que quiera. También puede definir reglas de ciclo de vida de Amazon S3 para archivar o eliminar archivos de registro automáticamente. Si desea recibir notificaciones sobre el envío y la validación de archivos de registro, puede configurar las notificaciones de Amazon SNS.

CloudTrail publica archivos de registro varias veces por hora, casi cada cinco minutos. Estos archivos de registro contienen llamadas a la API de servicios en la cuenta que admiten CloudTrail. Para obtener más información, consulte Consulte Servicios e integraciones compatibles con CloudTrail..

nota

CloudTrail normalmente envía registros en el plazo de unos 15 minutos tras la llamada a la API. Esta vez no se garantiza. Consulte laAcuerdo de nivel de servicios de AWS CloudTrailpara obtener más información.

CloudTrail captura las acciones realizadas directamente por el usuario o en nombre del usuario por un servicio de AWS. Por AWS CloudFormation unCreateStackpuede resultar en llamadas de API adicionales a Amazon EC2, Amazon RDS, Amazon EBS, AWS EBS, AWS EBS, AWS CloudFormation. Este comportamiento es normal y previsible. Puede identificar si la acción la ha realizado un servicio de AWS con lainvokedbyen el evento de CloudTrail.

Para comenzar a utilizar CloudTrail, consulteIntroducción a AWS CloudTrail tutorial.

Para obtener información sobre los precios de CloudTrailPrecios de AWS CloudTrail. Para obtener información acerca de los precios de Amazon S3 y Amazon SNS, consultePrecios de Amazon S3yPrecios de Amazon SNS.