AWS CloudTrail es un servicio web que registra llamadas de la API de AWS para su cuenta y le entrega archivos de registro. La información registrada incluye la identidad de la persona que llama a las API, la hora a la que se produce la llamada, la dirección IP de origen de la persona que llama, los parámetros de solicitud y los elementos de respuesta enviados por el servicio de AWS.
Con CloudTrail, podrá obtener un historial de las llamadas a las API de AWS para su cuenta, incluidas las llamadas a las API realizadas a través de AWS Management Console, los SDK de AWS, las herramientas de línea de comandos y servicios de AWS de más alto nivel (como AWS CloudFormation). El historial de llamadas a las API de AWS creado por CloudTrail permite realizar análisis de seguridad, un seguimiento de los cambios en los recursos y auditorías sobre la conformidad.
Comience con AWS de forma gratuita
Cree una cuenta gratuitaO inicie sesión en la consola
Disfrute de doce meses de acceso a la capa de uso gratuito de AWS, así como de características del nivel Basic de AWS Support, entre otras, un servicio ininterrumpido de atención al cliente, foros de soporte y muchas más.
- Las llamadas a la API a nivel de depósito de Amazon S3 ya están disponibles en AWS CloudTrail
- AWS CloudTrail ya es compatible con las búsquedas de la actividad de la API
- Plantilla de CloudFormation para crear alertas de CloudWatch y recibir notificaciones por correo electrónico de llamadas a la API de seguridad y de red críticas en su cuenta de AWS
- La integración de AWS CloudTrail con Amazon CloudWatch Logs ya se encuentra disponible en las regiones de Sídney, Singapur, Frankfurt y Tokio
- AWS CloudTrail ya se encuentra disponible en la región GovCloud EE.UU.
CloudTrail ofrece una visibilidad mejorada de las actividades de los usuarios mediante el registro de las llamadas a las API de AWS. Puede saber, por ejemplo, qué acciones realizó un usuario concreto durante un período de tiempo determinado, qué usuario ha utilizado un recurso concreto durante un período de tiempo determinado, cuál es la dirección IP de origen de una actividad concreta o qué actividades no se pudieron realizar debido a que los permisos con que se contaba no eran los adecuados.
CloudTrail utiliza Amazon S3 para almacenar y entregar los archivos de registro, de tal forma que el almacenamiento resulta duradero y económico. Puede utilizar las reglas de configuración del ciclo de vida de Amazon S3 para reducir más aún los costos de almacenamiento. Por ejemplo, puede definir reglas para eliminar automáticamente los archivos de registro antiguos o archivarlos en Amazon Glacier y disfrutar así de un mayor ahorro.
CloudTrail es un servicio totalmente gestionado, es decir, solo tiene que activar CloudTrail para su cuenta mediante AWS Management Console, la interfaz de línea de comandos o el SDK de CloudTrail y empezará a recibir archivos de registro de CloudTrail en el depósito de Amazon Simple Storage Service (Amazon S3) que especifique.
CloudTrail puede configurarse para que publique una notificación cada vez que se entregue un archivo de registro, de tal forma que usted pueda emprender automáticamente las acciones pertinentes. CloudTrail utiliza Amazon Simple Notification Service (SNS) para las notificaciones.
Diversos socios, como Alert Logic, Boundary, Loggly, Splunk y Sumo Logic, ofrecen soluciones integradas para analizar los archivos de registro de CloudTrail. Estas soluciones incluyen características como el seguimiento de los cambios, la solución de problemas y el análisis de seguridad. Para obtener más información, consulte la sección sobre socios de CloudTrail.
CloudTrail puede configurarse para que agrupe los archivos de registro de varias cuentas y regiones y los entregue en un único depósito. Para obtener instrucciones detalladas, consulte la sección sobre cómo agrupar los archivos de registro de CloudTrail en un único depósito de Amazon S3 de la guía del usuario.
CloudTrail transporta continuamente eventos de los servicios de AWS utilizando un canal de procesamiento de alta disponibilidad y tolerancia a fallos. CloudTrail normalmente entrega los eventos en el plazo de 15 minutos desde la llamada a las API.
Puede resolver problemas operativos o realizar análisis de seguridad a través de las búsquedas de la actividad de la API registrada en su cuenta de AWS. Mediante la consola de AWS CloudTrail, la CLI de AWS o los SDK de AWS, puede responder con rapidez y facilidad a consultas relacionadas con la actividad de la API en los últimos 7 días y tomar medidas al instante. Para obtener más información, consulte esta sección de la documentación de CloudTrail acerca de las búsquedas de la actividad de la API.
CloudTrail puede configurarse para enviar la actividad de API al grupo de registros de CloudWatch Logs que se especifique. Seguidamente, podrá utilizar alarmas de CloudWatch para recibir notificaciones de SNS cuando se produzca la actividad de API que se especifique. Encontrará más información en la sección de preguntas frecuentes y en la guía del usuario de la documentación de CloudTrail.
De manera predeterminada, CloudTrail cifra todos los archivos de registro enviados al depósito de Amazon S3 especificado, mediante Server Side Encryption de Amazon S3 (SSE). Opcionalmente, se puede añadir a los archivos de registro de CloudTrail una capa más de seguridad cifrándolos con la clave de AWS Key Management Service (KMS). Amazon S3 descifrará automáticamente los archivos de registro, si tiene permiso para ello. Para obtener más información, consulte la página sobre cifrado de archivos de registro con la clave KMS.
Es posible validar la integridad de los archivos de registro de CloudTrail almacenados en el depósito de Amazon S3 y determinar si siguen intactos, si están modificados o si se han eliminado desde que CloudTrail los envió al depósito. La validación de integridad de archivos de registro se puede usar como una herramienta auxiliar para los procesos de auditoría y seguridad de TI.
Actualmente, CloudTrail admite los siguientes servicios:
- Amazon Elastic Compute Cloud (Amazon EC2)
- Auto Scaling
- Elastic Load Balancing (ELB)
- Amazon EC2 Container Service
- AWS Lambda
- Amazon Simple Storage Service (Amazon S3)
- Amazon Elastic Block Store (Amazon EBS)
- AWS Storage Gateway
- Amazon Glacier
- Amazon CloudFront
- Amazon Relational Database Service (Amazon RDS)
- Amazon Redshift
- Amazon ElastiCache
- Amazon DynamoDB
- AWS Direct Connect
- Amazon Virtual Private Cloud (Amazon VPC)
- Amazon Route 53
- Amazon Simple Queue Service (Amazon SQS)
- Amazon Simple Notification Service (AWS SNS)
- Amazon Simple WorkFlow
- Amazon Cloudsearch
- Amazon Elastic Transcoder
- Amazon Simple Email Service
- AWS CloudFormation
- AWS OpsWorks
- AWS CodeDeploy
- AWS Elastic Beanstalk
- AWS Identity and Access Management (AWS IAM)
- AWS Security Token Service (AWS STS)
- AWS CloudTrail
- AWS Key Management Service
- Amazon CloudWatch
- AWS Config
- AWS Directory Service
- Amazon Kinesis
- Amazon Elastic MapReduce (EMR)
- AWS Data Pipeline
- Amazon WorkDocs
- Amazon WorkSpaces
Actualmente, CloudTrail admite las siguientes regiones:
- EE.UU. Este (Norte de Virginia)
- EE.UU. Oeste (Oregón)
- EE.UU. Oeste (Norte de California)
- UE (Irlanda)
- UE (Frankfurt)
- Asia Pacífico (Tokio)
- Asia Pacífico (Sídney)
- Asia Pacífico Sudeste (Singapur)
- América del Sur Este (São Paulo)
- GovCloud (EE.UU.)
- Pekín (China)
Puede utilizar el historial de llamadas a las API de AWS creado por CloudTrail para proporcionar información a las soluciones de gestión y análisis de registros a fin de realizar análisis de seguridad y detectar patrones de comportamiento de los usuarios.
Puede utilizar el historial de llamadas a las API de AWS creado por CloudTrail para realizar un seguimiento de los cambios en los recursos de AWS, incluida la creación, modificación y eliminación de recursos de AWS, como instancias de EC2, grupos de seguridad de Amazon VPC y volúmenes de Amazon EBS.
CloudTrail facilita la tarea de garantizar la conformidad con las políticas internas y los estándares regulatorios, ya que proporciona un historial de llamadas a las API de AWS. Para obtener más detalles, consulte el documento técnico sobre conformidad de AWS "Security at Scale: Logging in AWS".
Puede utilizar el historial de llamadas a las API de AWS creado por CloudTrail para solucionar problemas operativos. Por ejemplo, puede identificar rápidamente los cambios más recientes que se han producido en los recursos de su entorno.

