CloudTrail
📘 ¿Qué es AWS CloudTrail?
AWS CloudTrail es un servicio que permite registrar, monitorear y auditar todas las acciones realizadas en tu cuenta AWS. Captura eventos relacionados con llamadas a la API realizadas a través de la consola, CLI, SDKs o servicios internos.
Es fundamental para auditoría, cumplimiento, detección de anomalías y resolución de problemas de seguridad.
🔎 ¿Qué tipo de eventos registra?
CloudTrail graba dos tipos de eventos:
| Tipo de evento | Descripción |
|---|---|
| Management Events | Actividades de plano de control (crear, modificar, eliminar recursos) |
| Data Events | Acceso a objetos en S3 o invocación de funciones Lambda |
| Insight Events | Actividades inusuales detectadas automáticamente |
📦 Componentes clave
| Componente | Función |
|---|---|
| Trail | Configuración de auditoría que define qué eventos capturar y dónde guardarlos |
| Event | Registro individual de una acción realizada en AWS |
| Event History | Interfaz en la consola para consultar eventos recientes (últimos 90 días) |
| S3 Bucket | Almacenamiento donde se guardan los logs de forma persistente |
| CloudWatch Logs | (Opcional) Envío en tiempo real de eventos a CloudWatch |
🔄 Flujo de funcionamiento
Acción en AWS (CLI, consola, SDK)
↓
CloudTrail la registra como evento
↓
Evento se guarda en S3 y/o se envía a CloudWatch Logs📁 Formato de eventos
Los eventos se almacenan como archivos JSON, incluyendo:
-
Servicio y operación (
eventSource,eventName) -
Usuario o rol (
userIdentity) -
Hora (
eventTime) -
Resultado (
errorCode,responseElements) -
Dirección IP y agente (
sourceIPAddress,userAgent) -
Recursos afectados
🧪 Ejemplo de evento (resumen)
{
"eventTime": "2025-07-17T16:30:00Z",
"eventName": "StartInstances",
"userIdentity": {
"type": "IAMUser",
"userName": "admin"
},
"sourceIPAddress": "192.0.2.0",
"requestParameters": {
"instancesSet": {
"items": ["i-12345678"]
}
}
}📊 Tipos de Trails
| Tipo de trail | Descripción |
|---|---|
| Organization Trail | Cubre todas las cuentas en una organización de AWS Organizations |
| Single-Account Trail | Solo aplica a la cuenta actual |
| Multi-Region Trail | Registra eventos de todas las regiones |
| Region-Specific Trail | Solo registra en una región |
✅ Puedes tener múltiples trails configurados.
🔐 Seguridad y Cumplimiento
-
Los archivos en S3 pueden ser encriptados con KMS.
-
Los eventos están firmados para evitar modificaciones.
-
Compatible con AWS Config, Security Hub, GuardDuty, SIEMs externos.
-
Cumple con estándares como PCI-DSS, HIPAA, FedRAMP, etc.
📈 Casos de uso comunes
-
Auditorías de seguridad y cumplimiento
-
Investigación forense (quién hizo qué y cuándo)
-
Monitoreo de acceso y cambios en recursos críticos
-
Integración con SIEM para análisis avanzado
-
Detección de comportamiento anómalo con CloudTrail Insights
🧠 CloudTrail Insights
CloudTrail puede detectar comportamientos inusuales, como:
-
Aumento súbito de llamadas a API
-
Acceso inusual desde nuevas ubicaciones geográficas
-
Cambios masivos en IAM o EC2
Esta funcionalidad se activa por separado y tiene costo adicional.
💰 Precios
| Servicio | Costo |
|---|---|
| Event History (últimos 90 días) | ✅ Gratis para Management Events |
| Trails adicionales | 💲 $2 por 100,000 eventos |
| Data Events (S3, Lambda) | 💲 Se cobra por evento registrado |
| CloudTrail Insights | 💲 Costo adicional por 100,000 eventos analizados |
🧠 Preguntas tipo certificación
-
¿Qué servicio de AWS permite rastrear acciones de usuarios y servicios?
- ✅ AWS CloudTrail
-
¿Cuánto tiempo están disponibles los eventos en Event History?
- ✅ 90 días
-
¿CloudTrail puede detectar anomalías automáticamente?
- ✅ Sí, usando CloudTrail Insights
-
¿CloudTrail registra eventos de acceso a objetos S3?
- ✅ Sí, si se activan los Data Events
-
¿Dónde se almacenan los eventos de forma persistente?
- ✅ En buckets de Amazon S3
✅ Buenas prácticas
-
Configura un Organization Trail si usas AWS Organizations.
-
Habilita Data Events para buckets S3 críticos y funciones Lambda sensibles.
-
Asegura los logs con encriptación y políticas restrictivas en S3.
-
Activa CloudTrail Insights para detección de anomalías.
-
Usa AWS Athena o Lake Formation para consultar los logs con SQL.
🧰 Integración con otros servicios
-
🔁 CloudWatch Logs → Para alertas en tiempo real
-
🛡️ GuardDuty → Para detección de amenazas
-
🔍 Athena → Para consultas SQL sobre logs
-
🧬 AWS Config → Para evaluación de conformidad
-
📬 SNS → Para notificaciones de eventos sospechosos