SAA-C03
Deep Dive
CloudTrail registra quién hizo qué y cuándo en AWS. Config rastrea si los recursos cumplen las reglas de compliance. CloudWatch recopila métricas y logs. Los tres son pregunta fija en SAA-C03 para escenarios de auditoría, compliance y detección de cambios no autorizados.
Contenido
AWS CloudTrail registra toda llamada a la API de AWS: quién la hizo, qué acción ejecutó, cuándo ocurrió y desde qué IP o servicio. Es la fuente de verdad para responder "¿quién hizo qué en mi cuenta?".
Management Events
Operaciones de control: crear/eliminar recursos, cambiar políticas IAM, modificar security groups. Activados por defecto en todo trail.
Data Events
Operaciones sobre datos: S3 GetObject/PutObject, Lambda Invoke, DynamoDB PutItem. Desactivados por defecto — tienen coste adicional.
Insight Events
Detecta actividad inusual en la cuenta: picos de llamadas a la API, errores de throttling anómalos. Requiere activación explícita.
Almacenamiento y consulta de logs
Trail regional o multi-región
Un trail puede cubrir una región o todas a la vez. Los logs se envían a un bucket S3. Retención indefinida en S3 — CloudTrail por sí solo solo guarda 90 días en la consola.
CloudTrail Lake
Alternativa a S3 para almacenar eventos. Permite ejecutar queries SQL sobre los eventos directamente desde la consola de CloudTrail, sin necesidad de Athena.
Integridad de logs
CloudTrail puede activar log file validation para detectar si los archivos han sido modificados o eliminados después de entregarse a S3.
CloudTrail no es tiempo real — puede haber hasta 15 minutos de delay en la entrega de logs a S3
CloudTrail no registra accesos SSH/RDP a instancias EC2 — eso ocurre a nivel de sistema operativo, fuera de la API de AWS
Los logs en S3 se pueden proteger con S3 Object Lock para evitar que nadie los elimine, incluso el root
Un trail multi-región es la mejor práctica — una región sin trail es un punto ciego de auditoría
AWS Config registra el historial de configuración de los recursos AWS y evalúa si esos recursos cumplen las reglas de compliance definidas. La pregunta que responde es: "¿está el recurso en el estado correcto ahora mismo?"
Config Rules — tipos
AWS Managed Rules
Más de 150 reglas predefinidas por AWS. Ejemplos: s3-bucket-public-read-prohibited, encrypted-volumes, rds-instance-public-access-check. Listas para usar sin código.
Custom Rules (Lambda)
Lógica de evaluación personalizada implementada en una función Lambda. Útil para reglas de compliance específicas de tu empresa o industria.
Remediation Automática
Config puede disparar una SSM Automation Document cuando un recurso pasa a NON_COMPLIANT. Permite corrección automática sin intervención manual.
Config Aggregator
Vista consolidada del estado de compliance en múltiples cuentas y regiones. Útil para equipos de seguridad que gestionan entornos multi-cuenta.
CloudTrail vs Config — diferencia clave
CloudTrail = "¿quién hizo qué?" — historial de llamadas a la API
Config = "¿está el recurso correctamente configurado?" — evaluación de compliance continua
Config no te dice quién hizo el cambio — para eso necesitas CloudTrail
CloudTrail no evalúa si el estado del recurso cumple una regla — para eso necesitas Config
Config retiene el historial de configuración hasta 7 años
Amazon CloudWatch es la plataforma centralizada de observabilidad de AWS. Recopila métricas de todos los servicios, centraliza logs y permite disparar acciones automáticas cuando algo supera un umbral.
CloudWatch Metrics
Métricas de todos los servicios AWS (CPUUtilization, NetworkIn, DatabaseConnections…). Resolución estándar: 1 minuto. High-resolution: hasta 1 segundo para métricas custom.
CloudWatch Alarms
Dispara acciones cuando una métrica cruza un umbral durante N periodos. Acciones posibles: notificación SNS, escalar un ASG, reiniciar/recuperar una instancia EC2.
CloudWatch Logs
Centraliza logs de EC2 (via CloudWatch Agent), Lambda, VPC Flow Logs, CloudTrail, RDS, API Gateway. Estructura: Log Groups → Log Streams → Log Events.
Logs Insights y Metric Filters
Logs Insights: queries sobre logs almacenados para analizar patrones. Metric Filters: extraer una métrica numérica a partir de un patrón en los logs (ej: contar errores 500).
Trampa de examen
CloudWatch no registra llamadas a la API de AWS — eso es CloudTrail. CloudWatch recoge métricas de rendimiento y logs de aplicaciones/servicios. Son herramientas complementarias, no intercambiables.
VPC Flow Logs capturan metadatos del tráfico de red que entra y sale de las interfaces de red (ENI) dentro de una VPC: IP de origen y destino, puertos, protocolo, y si el tráfico fue ACCEPT o REJECT.
Características clave
Se pueden activar a nivel de VPC, subnet o ENI individual
Los logs pueden enviarse a CloudWatch Logs o a un bucket S3
No capturan el contenido del paquete — solo los metadatos (cabeceras IP/TCP/UDP)
No tienen impacto en la latencia de red — son completamente asíncronos
Útiles para depurar reglas de Security Groups y NACLs: ver exactamente qué tráfico se rechaza
Permiten detectar tráfico anómalo: escaneos de puertos, exfiltración de datos, comunicaciones inesperadas
Trampa de examen
VPC Flow Logs no capturan tráfico generado por el DNS de la VPC (Route 53 Resolver), ni el tráfico hacia el servicio de metadatos de instancias (169.254.169.254), ni el tráfico DHCP.
El examen presenta escenarios donde debes elegir la herramienta correcta. Estos son los patrones más frecuentes:
¿Quién borró el bucket S3?
CloudTrailRegistra la llamada a la API DeleteBucket con el usuario, rol, IP y timestamp exacto.
¿Está el bucket S3 con acceso público bloqueado?
AWS ConfigConfig evalúa continuamente s3-bucket-public-read-prohibited y marca el bucket como COMPLIANT o NON_COMPLIANT.
¿CPU de la instancia lleva 30 min al 90%?
CloudWatchCloudWatch Alarm sobre la métrica CPUUtilization con umbral del 90% durante N periodos consecutivos.
¿Qué IPs accedieron a mi instancia?
VPC Flow LogsRegistran la IP de origen, puerto y si el tráfico fue ACCEPT — exactamente lo que se necesita para este análisis.
¿Quién cambió la regla de mi security group?
CloudTrailLa modificación de un security group es una llamada a la API (AuthorizeSecurityGroupIngress) que CloudTrail registra.
¿Todos mis RDS tienen backup habilitado?
AWS ConfigLa managed rule rds-instance-backup-enabled evalúa todos los RDS de la cuenta y reporta los que incumplen.
CloudTrail es la respuesta cuando preguntan por auditoría de APIs
Cualquier escenario de "¿quién hizo X?", "detectar cambios no autorizados en IAM/SGs/policies" → CloudTrail. No CloudWatch, no Config.
Config es la respuesta cuando preguntan por compliance continuo
Si el escenario menciona "detectar automáticamente recursos non-compliant", "evaluar configuración", "remediar automáticamente" → AWS Config con Config Rules y optional Remediation.
CloudWatch es la respuesta cuando preguntan por métricas, alarmas o logs de aplicación
CPU, memoria (con agente), errores de Lambda, latencia de API Gateway — son métricas de CloudWatch. Para alertar sobre umbrales → CloudWatch Alarms + SNS.
VPC Flow Logs para tráfico de red y troubleshooting de conectividad
Si el escenario menciona "diagnosticar por qué el tráfico está siendo bloqueado", "detectar tráfico sospechoso hacia una IP" → VPC Flow Logs, no CloudTrail.
Activa CloudTrail multi-región con integridad de logs y S3 Object Lock
Para un entorno de auditoría robusto: trail multi-región + log file integrity validation + S3 Object Lock en modo Compliance. Esto es una arquitectura segura en el examen.
¿Entendiste este tema?
Pon a prueba lo que acabas de aprender
Un equipo de seguridad necesita detectar automáticamente cuando alguien desactiva el cifrado en un bucket S3 y enviar una notificación. ¿Qué combinación de servicios es la correcta?