P: ¿Qué es AWS CloudTrail?
AWS CloudTrail es un servicio web que registra la actividad realizada en su cuenta y entrega los archivos de log en su bucket de Amazon S3.

P: ¿Qué beneficios aporta CloudTrail?
CloudTrail permite conocer las actividades de los usuarios mediante el registro de la actividad realizada en su cuenta. CloudTrail registra información importante sobre cada acción, incluido quién ha efectuado la solicitud, qué servicios se han utilizado, qué acción se ha realizado, los parámetros de las acciones y los elementos de la respuesta enviada por el servicio de AWS. Esta información le ayuda a realizar un seguimiento de los cambios que se producen en los recursos de AWS y solucionar problemas operativos. CloudTrail facilita la tarea de garantizar la conformidad con las políticas internas y los estándares regulatorios. Para obtener más detalles, consulte el documento técnico sobre conformidad de AWS “Security at Scale: Logging in AWS”.

P: ¿Quién debería usar CloudTrail?
Deberían utilizar CloudTrail los clientes que necesiten realizar un seguimiento de los recursos, responder a preguntas sencillas sobre la actividad de los usuarios, demostrar la conformidad, solucionar problemas o llevar a cabo análisis de seguridad.


P: Si soy cliente nuevo o existente de AWS y no tengo CloudTrail configurado, ¿tengo que habilitar o configurar algo para ver la actividad de mi cuenta?
No, no se necesita nada para comenzar a ver la actividad de la cuenta. Puede ir a la consola de AWS CloudTrail o la CLI de AWS y ver la actividad de la cuenta de los últimos 7 días.

P: ¿Muestra el historial de eventos de CloudTrail toda la actividad de mi cuenta?
AWS CloudTrail solo muestra los resultados del historial de eventos de CloudTrail en los últimos 7 días para la región actual que está viendo y es compatible con los servicios que se indican aquí. Estos eventos están limitados a eventos de administración que crean, modifican y eliminan llamadas a la API y actividad de la cuenta. Para obtener un registro completo de la actividad de la cuenta, incluidos los eventos de administración y datos y la actividad de solo lectura, deberá configurar un rastro de CloudTrail.

P: ¿Qué filtros de búsqueda puedo utilizar para ver la actividad de mi cuenta?
Puede especificar el rango de tiempo y uno de los siguientes atributos: nombre del evento, nombre de usuario, nombre del recurso, origen del evento, ID del evento y tipo de recurso.

P: ¿Puedo usar el comando lookup-events de la CLI incluso si no tengo un rastro configurado?
Si, puede ir a la consola de CloudTrail o usar la API/CLI de CloudTrail y ver la actividad de la cuenta de los últimos 7 días.

P: ¿Qué características adicionales de CloudTrail están disponibles al configurar CloudTrail y crear un rastro?
Si configura un rastro de CloudTrail, podrá entregar sus eventos de CloudTrail a Amazon S3, Amazon CloudWatch Logs y Amazon CloudWatch Events. Eso le permite utilizar características que le ayudan a archivar y analizar cambios en sus recursos de AWS y responder ante ellos.

P: ¿Puedo restringir el acceso para usuarios de mi cuenta a la visualización del historial de eventos de CloudTrail?
Sí, CloudTrail se integra con AWS Identity and Access Management (IAM), que le permite controlar el acceso a CloudTrail y otros recursos de AWS que CloudTrail necesita, incluida la habilidad de restringir los permisos para ver y buscar la actividad de la cuenta. Esto se logra eliminando "cloudtrail:LookupEvents" de la política de IAM de usuarios que a continuación impedirá que los usuarios de IAM vean la actividad de la cuenta.

P: ¿Existe algún costo asociado con la habilitación del historial de eventos de CloudTrail en mi cuenta una vez creada?
La visualización y la búsqueda de la actividad de la cuenta con el historial de eventos de CloudTrail no conllevan ningún costo.

P: ¿Puedo desactivar el historial de eventos de CloudTrail de mi cuenta?
Para cualquier rastro de CloudTrail que haya creado, pude dejar de registrar los rastros o eliminarlos, lo que también detendrá la entrega de la actividad de la cuenta al bucket de S3 que haya designado como parte de la configuración del rastro, así como la entrega a CloudWatch Logs si está configurada. La actividad de la cuenta de los últimos 7 días seguirá recopilándose y estará visible en la consola de CloudTrail y mediante la CLI de AWS.  


P: ¿Qué servicios soporta CloudTrail?
AWS CloudTrail registra la actividad de la cuenta y los eventos de servicios de la mayoría de los servicios de AWS. Para ver una lista de los servicios admitidos, consulte CloudTrail Supported Services en la Guía del usuario de CloudTrail.

P: ¿Se registran las llamadas a las API realizadas desde la consola de administración de AWS?
Sí. CloudTrail registra las llamadas a las API realizadas desde cualquier cliente. La consola de administración de AWS, los AWS SDK, las herramientas de línea de comandos y los productos de AWS de más alto nivel realizan llamadas a las API de AWS, por lo que estas llamadas quedan registradas.


P: ¿Dónde se almacenan y procesan mis logs antes de entregarlos en mi bucket de Amazon S3?
La información de la actividad relacionada con servicios con extremos regionales (EC2, RDS, etc.) se recopila y procesa en la misma región a la que se ha realizado la acción y se entrega a la región asociada con su bucket de Amazon S3. La información sobre las acciones relacionada con servicios con un solo extremo (IAM, STS, etc.) se recopila en la región en que se encuentra el extremo, se procesa en la región donde está configurado CloudTrail y se entrega a la región asociada con su bucket de Amazon S3.


P: ¿En qué consiste aplicar un rastro a todas las regiones?
Aplicar un rastro a todas las regiones significa crear un rastro que registre la actividad de la cuenta de AWS en todas las regiones. Este ajuste también se aplica a cualquier región nueva que pueda añadirse. Para obtener más detalles acerca de las regiones y las particiones, consulte la página de Amazon Resource Names y AWS Service Namespaces.

P: ¿Cuáles son las ventajas de aplicar un rastro a todas las regiones?
Puede crear y administrar un rastro para todas las regiones en la partición en una llamada a las API o en unos cuantos clics. Recibirá un registro de actividad de su cuenta de AWS en todas las regiones en un bucket de S3 o en un grupo de logs de CloudWatch Logs. Cuando AWS lance una región nueva, recibirá los archivos de log con el historial de eventos para la región nueva sin llevar a cabo ninguna acción.

P: ¿Cómo aplico un rastro a todas las regiones?
En la consola de CloudTrail, seleccione "Yes" en la página de configuración del rastro para que se aplique a todas las regiones. Si está utilizando los SKD o la CLI de AWS, configure IsMultiRegionTrail como True.

P: ¿Qué pasa cuando aplico un rastro a todas las regiones?
Al aplicar un rastro a todas las regiones, CloudTrail creará un rastro nuevo en todas las regiones replicando la configuración del rastro. CloudTrail registrará y procesará los archivos de log de cada región y enviará los archivos de log con la actividad de la cuenta en todas las regiones de AWS a un solo bucket de S3 y a un solo grupo de logs de CloudWatch Logs. Si ha especificado un tema de SNS opcional, CloudTrail enviará notificaciones de SNS de todos los archivos de log enviados a un solo tema SNS.

P: ¿Puedo aplicar un rastro existente a todas las regiones?
Sí. Puede aplicar un rastro ya existente a todas las regiones. Cuando aplica un rastro existente a todas las regiones, CloudTrail crea un rastro nuevo por usted en todas las regiones. Si previamente ha creado rastros en otras regiones, puede ver, editar y eliminar esos rastros desde la consola de CloudTrail.

P: ¿Cuánto tiempo tarda CloudTrail en replicar la configuración del rastro en todas las regiones?
Normalmente, tarda menos de 30 segundos en replicar la configuración del rastro en todas las regiones.


P: ¿Cuántos rastros puedo crear en una región de AWS?
Puede crear hasta cinco rastros en una región de AWS. Un rastro que se aplica a todas las regiones existe en cada una de las regiones y se cuenta como un rastro en cada región.

P: ¿Qué ventajas tiene crear varios rastros en una región de AWS?
Con varios rastros, diferentes interesados, como administradores de seguridad, desarrolladores de software y auditores de TI, pueden crear y administrar sus propios rastros. Por ejemplo, un administrador de seguridad puede crear un rastro que se aplique a todas las regiones y configurar el cifrado utilizando una clave de KMS. Un desarrollador puede crear un rastro que se aplique a una región para solucionar problemas de funcionamiento.

P: ¿CloudTrail admite permisos de nivel de recurso?
Sí. Al utilizar permisos de nivel de recurso puede escribir políticas de control de acceso granular para otorgar o denegar el acceso de usuarios concretos a un rastro en particular. Para obtener más información, consulte la documentación de CloudTrail.


P: ¿Cómo puedo proteger mis logs de CloudTrail?
De forma predeterminada, los logs de CloudTrail se cifran mediante Server Side Encryption (SSE) de S3 y se guardan en su bucket de S3. Puede controlar el acceso a los archivos de log mediante IAM o las políticas de bucket de S3. Puede añadir una capa de seguridad adicional habilitando la opción Multi Factor Authentication (MFA) Delete de S3 en su bucket. Para obtener más detalles sobre cómo crear y actualizar un rastro, consulte la documentación de CloudTrail.

P: ¿Dónde puedo descargar una política de bucket de S3 y una política de tema de SNS de muestra?
Puede descargar una política de bucket de S3 y una política de tema de SNS de muestra en el bucket de S3 de CloudTrail. Debe actualizar las políticas de muestra con su información antes de aplicarlas al bucket de S3 o al tema de SNS.

P: ¿Durante cuánto tiempo puedo almacenar mis logs de actividad?
El usuario tiene el control sobre las políticas de retención que se aplican a los archivos de log de CloudTrail. De forma predeterminada, los logs se almacenan indefinidamente. Puede usar las reglas de administración del ciclo de vida de los objetos de Amazon 3 para definir su propia política de retención. Por ejemplo, puede eliminar los logs antiguos o archivarlos en Amazon Glacier.


P: ¿Qué información está disponible en los eventos?
Un evento contiene información sobre la actividad asociada: quién ha efectuado la solicitud, qué servicios se han utilizado, qué acción se ha realizado y los parámetros de la acción, así como los elementos de la respuesta enviada por el servicio de AWS. Para obtener más detalles, consulte la sección sobre la referencia de los eventos de CloudTrail de la guía del usuario.

P: ¿Cuánto tiempo le lleva a CloudTrail entregar un evento para una llamada a las API?
Normalmente, CloudTrail entrega el evento en el plazo de 15 minutos desde que se produce la llamada a las API.

P: ¿Con qué frecuencia entrega logs de CloudTrail en mi bucket de Amazon S3?
CloudTrail entrega logs en su bucket de S3 aproximadamente cada 5 minutos. CloudTrail no entrega ningún log si no se produce ninguna llamada a las API en su cuenta.

P: ¿Es posible recibir una notificación cuando se entreguen logs nuevos en mi bucket de Amazon S3?
Sí. Puede activar las notificaciones de Amazon SNS para poder actuar de inmediato cuando se entreguen nuevos archivos de log.

P: ¿Qué sucede si CloudTrail está activado para mi cuenta pero mi bucket de Amazon S3 no está configurado con la política correcta?
Los logs de CloudTrail se entregan de conformidad con las políticas de bucket de S3 que estén en vigor. Si las políticas de bucket están mal configuradas, CloudTrail no podrá entregar los logs.


P: ¿Qué son los eventos de datos?
Los eventos de datos proporcionan información acerca de las operaciones realizadas por el recurso (“plano de datos”) en el recurso o en su interior. A menudo, los eventos de datos son actividades de alto volumen e incluyen operaciones como API de nivel de objeto de Amazon S3 y API para invocar funciones de Lambda. Los eventos de datos de desactivan de forma predeterminada al configurar un rastro. Para registrar los eventos de datos de CloudTrail, debe añadir de forma explícita todos los recursos o tipos de recursos compatibles cuya actividad desee recopilar. A diferencia de los eventos de administración, los eventos de datos suponen costes adicionales. Para obtener más información, consulte los precios de CloudTrail.

P: ¿Cómo puedo utilizar los eventos de datos?
Los eventos de datos registrados por AWS CloudTrail se entregan a S3, de modo similar a los eventos de administración. Una vez habilitados, estos eventos también están disponibles en Amazon CloudWatch Events.

P: ¿Qué son los eventos de datos de Amazon S3? ¿Cómo los puedo registrar?
Los eventos de datos de Amazon S3 representan la actividad de la API en relación con objetos de Amazon S3. Para que CloudTrail pueda registrar estas acciones, debe especificar un bucket de S3 en la sección de eventos de datos al crear un nuevo rastro o modificar un rastro existente. CloudTrail registrará cualquier acción de la API en los objetos del bucket de S3 especificado.

P: ¿Qué son los eventos de datos de AWS Lambda? ¿Cómo los puedo registrar?
Los eventos de datos de AWS Lambda registran la actividad de ejecución de sus funciones Lambda. Con los eventos de datos de Lambda, podrá obtener información acerca de las ejecuciones de funciones de Lambda, como el usuario o servicio de IAM que realizó la llamada a la API Invoke, cuándo se realizó la llamada y qué función se ejecutó. Todos los eventos de datos de Lambda se entregan a un bucket de Amazon S3 y a Amazon CloudWatch Events. Puede activar el registro de eventos de datos de AWS Lambda utilizando la consola de AWS CLI o AWS CloudTrail, y seleccione las funciones de Lambda que se registrarán creando un nuevo rastro o editando un rastro existente.


P: Tengo varias cuentas de AWS. Me gustaría que los logs de todas las cuentas se entregasen en un único bucket de S3. ¿Es posible?
Sí. Puede configurar un bucket de S3 como destino para varias cuentas. Para obtener instrucciones detalladas, consulte la sección sobre cómo agrupar archivos de log en un único bucket de Amazon S3 de la Guía del usuario de AWS CloudTrail.


P: ¿En qué consiste la integración de CloudTrail con CloudWatch Logs?
La integración de CloudTrail con CloudWatch Logs envía los eventos de administración y datos capturados por CloudTrail a una secuencia de logs de CloudWatch Logs en el grupo de logs de CloudWatch Logs que se especifique.

P: ¿Qué beneficios ofrece la integración de CloudTrail con CloudWatch Logs?
Esta integración le permite recibir notificaciones de SNS sobre la actividad de la cuenta capturada por CloudTrail. Por ejemplo, puede crear alarmas de CloudWatch para monitorizar las llamadas a la API que creen, modifiquen y eliminen grupos de seguridad y ACL de red.

P: ¿Cómo se activa la integración de CloudTrail con CloudWatch Logs?
La integración de CloudTrail con CloudWatch Logs puede especificarse desde la consola de CloudTrail. Para ello, deberá especificar un grupo de logs de CloudWatch Logs y una función de IAM. También puede utilizar los SDK y la CLI de AWS para activar esta integración.

P: ¿Qué sucede cuando se activa la integración de CloudTrail con CloudWatch Logs?
Una vez activada la integración, CloudTrail enviará constantemente la actividad de la cuenta a una secuencia de logs CloudWatch Logs del grupo de log de CloudWatch Logs que se especifique. CloudTrail sigue enviando logs a su bucket de Amazon S3 como antes.

P: ¿Qué regiones de AWS soportan la integración de CloudTrail con CloudWatch Logs?
Esta integración se encuentra disponible en todas las regiones que admiten CloudWatch Logs. Para obtener más información, consulte Regiones y puntos de enlace en la Referencia general de Amazon Web Services.

P: ¿Cómo comunica CloudTrail a mi CloudWatch Logs los eventos que contienen actividad de la cuenta?
CloudTrail asume la función de IAM a la que se asigna la responsabilidad de comunicar la actividad de la cuenta a CloudWatch Logs. La función de IAM se limita exclusivamente a los permisos necesarios para comunicar eventos a su secuencia de log de CloudWatch Logs. Para ver la política de funciones de IAM, consulte la guía del usuario de la documentación de CloudTrail.

P: Una vez que active la integración de CloudTrail con CloudWatch Logs, ¿qué cargos se me aplicarán?
Cuando active la integración de CloudTrail con CloudWatch Logs, se le cobrarán los cargos estándar de CloudWatch Logs y CloudWatch. Para obtener más detalles, consulte la página de precios de CloudWatch.


P: ¿Qué beneficios aporta el cifrado de archivos de log de CloudTrail al usar el cifrado del lado servidor con KMS?
El cifrado de archivos de log de CloudTrail con SSE-KMS permite añadir una capa adicional de seguridad a los archivos de log de CloudTrail que se entregan a un bucket de Amazon S3 mediante el cifrado de los archivos de log con una clave KMS. De forma predeterminada, CloudTrail cifrará todos los archivos de log que se entreguen a su bucket de Amazon S3 a través del cifrado del lado servidor de Amazon S3.

P: Tengo una aplicación que recibe y procesa archivos de log de CloudTrail. ¿Tengo que hacer algún cambio en la aplicación?
Con SSE-KMS, Amazon S3 descifrará automáticamente los archivos de log para que usted no tenga que hacer ningún cambio en la aplicación. Como siempre, tiene que cerciorarse de que la aplicación tenga los permisos adecuados, es decir, los permisos Amazon S3 GetObject y KMS Decrypt.

P: ¿Cómo se configura el cifrado de archivos de log de CloudTrail?
Puede usar la consola de administración de AWS, la CLI de AWS o los SDK de AWS para configurar el cifrado de los archivos de log. Para obtener instrucciones detalladas, consulte la documentación.

P: ¿Qué cargos debe abonar una vez configurado el cifrado con SSE-KMS?
Cuando configure el cifrado usando SSE-KMS, deberá abonar los cargos estándar de AWS KMS. Para obtener más detalles, consulte la página de precios de AWS KMS.


P: ¿Qué es la validación de la integridad de los archivos de log de CloudTrail?
La característica de validación de la integridad de los archivos de log de CloudTrail permite determinar si un archivo de log de CloudTrail se cambió o eliminó desde que CloudTrail lo entregó al bucket especificado de Amazon S3.

P: ¿Qué beneficio aporta la validación de la integridad de los archivos de log de CloudTrail?
Puede apoyarse en la validación de la integridad de los archivos de log para llevar a cabo los procesos de auditoría y seguridad de TI.

P: ¿Cómo se habilita la validación de la integridad de los archivos de log de CloudTrail?
Puede habilitar la característica de validación de la integridad de los archivos de log de CloudTrail desde la consola de administración de AWS, la CLI de AWS o los SDK de AWS.

P: ¿Qué sucede al activar la característica de validación de la integridad de los archivos de log?
Cuando se active la característica de validación de la integridad de los archivos de log, CloudTrail entregará archivos de resumen cada hora. Los archivos de resumen contienen información sobre los archivos de log que se entregaron a su bucket de Amazon S3, los valores hash de esos archivos de log, las firmas digitales del archivo de resumen anterior y la firma digital del archivo de resumen actual en la sección de metadatos de Amazon S3. Para obtener más información sobre los archivos de resumen, las firmas digitales y los valores hash, visite la documentación de CloudTrail.

P: ¿Dónde se entregan los archivos de resumen?
Los archivos de resumen se entregan al mismo bucket de Amazon S3 al que se envían los archivos de log. Sin embargo, se entregan en una carpeta diferente para permitirle aplicar políticas de control de acceso detalladas. Si quiere más detalles, consulte la sección sobre la estructura del archivo de resumen en la documentación de CloudTrail.

P: ¿Cómo se valida la integridad de un archivo de log o un archivo de resumen entregado por CloudTrail?
Puede usar la CLI de AWS para validar la integridad del archivo de log o de resumen. También puede crear sus propias herramientas para realizar la validación. Para obtener más detalles sobre el uso de la CLI de AWS para validar la integridad de un archivo de log, consulte la documentación de CloudTrail.

P: He agregado todos mis archivos de log de todas las regiones y de varias cuentas a un solo bucket de Amazon S3. ¿Los archivos de resumen se entregarán al mismo bucket de Amazon S3?
Sí. CloudTrail entregará los archivos de resumen de todas las regiones y las distintas cuentas al mismo bucket de Amazon S3.


P: ¿Qué es la biblioteca de procesamiento de AWS CloudTrail?
La biblioteca de procesamiento de AWS CloudTrail es una biblioteca de Java que facilita la creación de una aplicación que lea y procese logs de CloudTrail. Puede descargar la biblioteca de procesamiento de CloudTrail desde GitHub.

P: ¿Qué funcionalidad aporta la biblioteca de procesamiento de CloudTrail?
La biblioteca de procesamiento de CloudTrail aporta funcionalidad para gestionar tareas como el sondeo continuo de colas de SQS, la lectura y el análisis sintáctico de mensajes de SQS, la descarga de logs almacenados en S3, el análisis sintáctico y la serialización de eventos presentes en el log con tolerancia a errores. Para obtener más información, consulte la sección de guía del usuario de la documentación de CloudTrail.

P: ¿Qué software necesito para comenzar a utilizar la biblioteca de procesamiento de CloudTrail?
Necesita la versión 1.9.3 de aws-java-sdk y Java 1.7 o superior.


P: ¿Cómo se me cobrará por el uso de AWS CloudTrail?
AWS CloudTrail le permite ver y descargar la actividad de su cuenta de los últimos 7 días para crear, modificar y eliminar operaciones de los servicios admitidos de manera gratuita.

AWS CloudTrail no conlleva ningún cargo por crear un rastro de CloudTrail. Además, la primera copia de los eventos de administración de cada región se suministra al bucket de S3 especificado en su rastro de manera gratuita. Tras configurar un rastro de CloudTrail, Amazon S3 aplica el cobro basándose en su uso. Se le cobrará cualquier evento de datos o copias adicionales de eventos de administración registrados en esa región, de acuerdo con el plan de precios. Por ejemplo, si crea un rastro para varias regiones y un rastro para una sola región dentro de la misma región, se le cobrará una copia de los eventos de administración registrados en esa región.

P: Si solo tengo un rastro con eventos de administración y lo aplico a todas las regiones, ¿incurriré en gastos?
No. La primera copia de los eventos de administración se entrega de forma gratuita en cada región.

P: ¿Se me cobrará si habilito los eventos de datos en un rastro existente con eventos de administración gratuitos?
Sí. Solo se le cobrará por los eventos de datos. La primera copia de los eventos de administración se proporciona de manera gratuita.


P: ¿Cómo me ayudan las soluciones de socios de AWS a analizar los eventos registrados por CloudTrail?
Varios socios ofrecen soluciones integradas para analizar los logs de CloudTrail. Estas soluciones incluyen características como el seguimiento de los cambios, la solución de problemas y el análisis de seguridad. Para obtener más información, consulte la sección sobre socios de CloudTrail.


P: ¿Si activo CloudTrail, se verá afectado el desempeño de los recursos de AWS o aumentará la latencia de las llamadas a las API?
No. El hecho de activar CloudTrail no afecta al desempeño de los recursos de AWS ni a la latencia de las llamadas a las API.