Qué es AWS CloudTrail y cómo utilizarlo

AWS CloudTrail ayuda a habilitar la conformidad, la gobernanza y la auditoría de riesgos de tu cuenta de AWS. Cualquier acción que se lleve a cabo o se realice mediante un usuario de AWS IAM, un rol de IAM o un servicio de AWS se registra como evento en AWS CloudTrail. Como mejor práctica operativa y de seguridad, la visibilidad es un aspecto clave. Podemos ver, buscar, descargar, archivar, analizar y responder a la actividad de las cuentas en toda nuestra infraestructura de AWS mediante AWS CloudTrail. Podemos identificar qué acciones se realizaron en la cuenta de AWS y quién llevó a cabo esas actividades utilizando AWS CloudTrail. Para conocer su precio, haz clic aquí.

En este artículo, veremos los sencillos pasos para crear un AWS CloudTrail y eliminar el mismo desde la Consola de AWS. También puedes crear un Trail utilizando el SDK de AWS, aws-cli.

Requisitos previos

1. Cuenta de AWS (Créala si no tienes una).
2. Conocimientos básicos de S3 Bucket.

¿Qué vamos a hacer?

1. Iniciar sesión en AWS
2. Crea una Ruta
3. Eliminar la Ruta

Iniciar sesión en AWS

Pulsa aquí para ir a la página de inicio de sesión en AWS.

Verás la siguiente página de inicio de sesión cuando pulses el enlace anterior. Introduce tus credenciales para iniciar sesión en tu cuenta de AWS.

Después de iniciar sesión correctamente, verás la Consola de Administración de AWS.

Crear un rastro

En la barra de búsqueda, busca «CloudTrail», obtendrás el resultado y haz clic en «CloudTrail» para ir al Panel de CloudTrail.

Este es el aspecto del Panel de Control. Puedes ver varias opciones disponibles en esta consola. No las exploraremos todas en este artículo.

Puedes consultar el historial de los últimos 90 días aquí, en la consola «Historial de Eventos». Cuando haces clic en cualquier Evento, puedes ver los detalles de ese evento. También puedes filtrar los eventos en esta consola.

Tener acceso al historial de eventos de sólo los últimos 90 días no es suficiente. Podemos necesitar acceso al historial de eventos más antiguo posible. A veces es muy importante identificar el origen del suceso, quién lo realizó, qué recursos se vieron afectados, etc.

Para conseguirlo, necesitamos almacenar nuestros eventos en algún tipo de almacenamiento, por ejemplo, S3 Bucket.

CloudTrail nos permite crear un Trail que contiene un historial de todos los eventos después de crear un Trail.

Para crear un rastro, vuelve al panel de CloudTrail y haz clic en «Crear rastro».

Para crear un Rastro se necesita un S3 Bucket donde se almacenará el historial de eventos. Puedes crear un nuevo S3 Bucket o utilizar el existente.

Da un nombre al Trail y crea un nuevo S3 Bucket donde se almacenarán los eventos y al que se accederá más tarde cuando sea necesario.

Hay otras opciones que no cubriremos en este artículo.

También puedes especificar etiquetas al Rastro que estamos creando.

Haz clic en el botón «Siguiente» para continuar.

Puedes elegir el tipo de eventos que deben almacenarse en el ensayo.

Haz clic en el botón «Siguiente» para seguir adelante.

Revisa la configuración una vez que lo hayamos hecho y pulsa el botón «Crear». Esto creará un Trail y almacenará los eventos en el Bucket S3 que especificamos en la configuración.

Ahora, puedes ver que el Rastro se ha creado y que su estado es «Registrando». Esto significa que, a partir de ahora, los eventos se registrarán en el Rastro y se almacenarán en el Bucket de S3.

Puedes ir al Cubo de S3 y comprobar que el Rastro ha creado en él las carpetas necesarias.

Eliminar el Rastro

Si has creado la Ruta con fines de prueba y ya no la necesitas, puedes eliminarla fácilmente.

Para eliminar la Ruta, selecciónala y pulsa el botón «Eliminar».

Confirma la acción de eliminación. Ten en cuenta que una vez eliminada la Ruta, no se podrá recuperar.

Conclusión

CloudTrail puede serte útil para almacenar el historial de eventos en el bucket de S3, de forma que puedas seguir teniendo acceso a los eventos de más de 90 días, lo que ayuda en la auditoría y el seguimiento de los eventos que tuvieron lugar en la cuenta. En este artículo, vimos los pasos para crear un Rastro y almacenar eventos en el Bucket de S3. También vimos lo fácil que es eliminar un Rastro cuando no se necesita. Ahora puedes probar otras opciones disponibles en el Rastro. Espero que este artículo haya sido bastante fácil y te haya ayudado a crear un CloudTrail en AWS.