Registro y monitoreo en Amazon S3
El monitoreo es una parte importante a la hora de mantener la fiabilidad, la disponibilidad y el rendimiento de Amazon S3 y las soluciones de AWS. Recomendamos que recopile los datos de supervisión de todas las partes de la solución de AWS para que le resulte más sencillo depurar un error multipunto en caso de que se produzca. Antes de comenzar a supervisar Amazon S3, debe crear un plan de supervisión que incluya respuestas a las siguientes preguntas:
-
¿Cuáles son los objetivos de la supervisión?
-
¿Qué recursos va a supervisar?
-
¿Con qué frecuencia va a supervisar estos recursos?
-
¿Qué herramientas de monitoreo va a utilizar?
-
¿Quién se encargará de realizar las tareas de monitoreo?
-
¿Quién debería recibir una notificación cuando surjan problemas?
Para obtener más información sobre el registro y la monitorización en Amazon S3, consulte los siguientes temas.
nota
Para obtener más información sobre el uso de la clase de almacenamiento Amazon S3 Express One Zone con buckets de directorio, consulte Buckets de directorio y S3 Express One Zone y Descripción general de los buckets de directorio.
El monitoreo es una parte importante a la hora de mantener la fiabilidad, la disponibilidad y el rendimiento de Amazon S3 y las soluciones de AWS. Debe recopilar datos de monitoreo de todas las partes de su solución de AWS para que pueda depurar un error de múltiples puntos de una forma más fácil en caso de que se produzca dicho error. AWS proporciona varias herramientas para monitorear sus recursos de Amazon S3 y responder a posibles incidentes.
- Alarmas de Amazon CloudWatch
Con las alarmas de Amazon CloudWatch, puede ver una métrica determinada durante el periodo especificado. Si la métrica supera un límite determinado, se envía una notificación a un tema de Amazon SNS o a una política de AWS Auto Scaling. Las alarmas de CloudWatch no invocan acciones simplemente porque se encuentren en determinado estado. En su lugar, el estado debe haber cambiado y debe mantenerse durante el número de periodos especificado. Para obtener más información, consulte Monitorización de métricas con Amazon CloudWatch.
- Registros de AWS CloudTrail
CloudTrail proporciona un registro de las medidas adoptadas por un usuario, un rol o un servicio de AWS en Amazon S3. Mediante la información recopilada por CloudTrail, puede determinar la solicitud que se realizó a Amazon S3, la dirección IP de origen desde la que se realizó, quién la realizó y cuándo, etc. Para obtener más información, consulte Registro de llamadas a la API de Amazon S3 mediante AWS CloudTrail.
- Amazon GuardDuty
-
Amazon GuardDuty es un servicio de detección de amenazas que supervisa de forma continua las cuentas, los contenedores, las cargas de trabajo y los datos dentro del entorno de AWS para identificar posibles amenazas o riesgos de seguridad para los buckets de S3. GuardDuty también proporciona un contexto detallado sobre las amenazas que detecta. GuardDuty supervisa los registros de administración de AWS CloudTrail en busca de amenazas y muestra información relevante para la seguridad. Por ejemplo, GuardDuty incluirá factores de una solicitud de API, como el usuario que realizó la solicitud, la ubicación desde la que se hizo la solicitud y la API específica solicitada, que podrían ser inusuales en el entorno. Protección de S3 en GuardDuty supervisa los eventos de datos de S3 recopilados por CloudTrail e identifica posibles comportamientos anómalos y maliciosos en todos los buckets de S3 del entorno.
- Registros de acceso de Amazon S3
Los registros de acceso del servidor proporcionan registros detallados sobre las solicitudes que se realizan a un bucket. Los registros de acceso al servidor resultan útiles para muchas aplicaciones. Por ejemplo, la información del registro de acceso puede ser útil en auditorías de acceso y seguridad. Para obtener más información, consulte Registro de solicitudes con registro de acceso al servidor.
- AWS Trusted Advisor
Trusted Advisor aprovecha las prácticas recomendadas aprendidas al atender a cientos de miles de clientes de AWS. Trusted Advisor inspecciona su entorno de AWS y realiza recomendaciones cuando surge la oportunidad de ahorrar dinero, mejorar el rendimiento y la disponibilidad del sistema o ayudar a cerrar deficiencias de seguridad. Todos los clientes de AWS tienen acceso a cinco comprobaciones de Trusted Advisor. Los clientes con un plan de soporte Business o Enterprise pueden ver todas las comprobaciones de Trusted Advisor.
Trusted Advisor cuenta con las siguientes comprobaciones relacionadas con Amazon S3:
Configuración de registro de buckets de Amazon S3.
Comprobaciones de seguridad de los buckets de Amazon S3 que tienen permisos de acceso abierto.
Comprobaciones de la tolerancia a errores de los buckets de Amazon S3 que no tienen activado el control de versiones, o que lo tienen suspendido.
Para obtener más información, consulte AWS Trusted Advisor en la Guía del usuario de AWS Support.
Las siguientes prácticas recomendadas sobre seguridad también evalúan el registro y la monitorización:
Temas
- Herramientas de monitoreo
- Opciones de registro para Amazon S3
- Registro de llamadas a la API de Amazon S3 mediante AWS CloudTrail
- Registro de solicitudes con registro de acceso al servidor
- Monitorización de métricas con Amazon CloudWatch
- Notificaciones de eventos de Amazon S3
- Evaluación de la actividad y el uso de almacenamiento con Amazon S3 Storage Lens
- Catálogo y análisis de sus datos con Inventario de S3
