Vicent Perez

Road to AWS Solutions Architect – Professional (Día 11/20) ⬇️ Hoy vamos a resolver otra pregunta de examen, en este caso sobre técnicas de logging. Pero antes de entrar en materia, vamos a ver uno de los servicios más populares e importantes en AWS → CloudTrail. Este servicio registra eventos y acciones realizadas en una cuenta de AWS: quién hizo qué, cuándo y desde dónde. Estos registros incluyen información de la consola, del CLI, SDKs, lo que permite rastrear cambios y detectar comportamientos inusuales. Los registros se almacenan en buckets de S3, que pueden cifrarse y protegerse con MFA Delete para que nadie se los cargue. También podemos configurarlos para recopilar eventos de todas las cuentas de la organización. Básicamente, es la herramienta que nos permite controlar qué pasa dentro de nuestra cuenta y, en caso de accesos indebidos o problemas, investigar la raíz y quién lo ha ocasionado. Ahora sí, vamos a resolver la pregunta ⤵️ Una startup posee múltiples cuentas de AWS vinculadas mediante AWS Organizations. Debido a la naturaleza financiera del negocio, el DevOps lead ha recibido instrucciones del CTO para preparar actividades de auditoría con el fin de cumplir con los requisitos de cumplimiento de la industria. ¿Cuál de las siguientes opciones proporciona la solución de logging más duradera y segura que se puede usar para rastrear los cambios realizados en todos los recursos de AWS de la empresa a nivel global? A) ✅ - Lanzar un nuevo trail usando la consola de AWS con un nuevo bucket de S3 para almacenar los registros, y con la casilla "Habilitar para todas las cuentas en mi organización" marcada. - Habilitar MFA Delete y cifrado de registros en el bucket de S3. La respuesta es correcta: cubre el requisito de multi-account y de seguridad. B) ❌ - Lanzar un nuevo trail usando la consola de AWS con un bucket de S3 existente para almacenar los registros, y con la casilla "Aplicar trail a todas las regiones" marcada. - Habilitar MFA Delete en el bucket de S3. La respuesta es incorrecta: no menciona nada de cifrado (seguridad). La descartamos. C)❓ - Lanzar un nuevo trail con un nuevo bucket de S3 para almacenar los registros. - Configurar SNS para enviar notificaciones de entrega de archivos de registro a tu sistema de gestión. - Habilitar MFA Delete y cifrado de registros en el bucket de S3. Esta podría marearnos. Al principio suena bien, pero el problema es que no menciona nada de multi-account. Por tanto, la descartamos. D) ❌ - Lanzar tres nuevos trails usando tres nuevos buckets de S3 para almacenar los registros para la consola de administración de AWS, para los SDKs de AWS y para la CLI de AWS. - Habilitar MFA Delete y cifrado de registros en el bucket de S3. Aquí, más de lo mismo: no se menciona nada de multi-account. Además, por defecto CloudTrail ya registra eventos de SDK, CLI y consola, ¿para qué separarlos en 3 buckets? ¡Nos vemos mañana con más conceptos de AWS!