O que é o AWS CloudTrail?
O AWS CloudTrail é um serviço que registra e monitora atividades da conta AWS. Captura chamadas de API feitas por usuários, roles, ou serviços AWS, fornecendo histórico completo para auditoria, conformidade e análise de segurança.
Conceitos-Chave
Trail
Configuração que especifica como e onde os logs de eventos são entregues.
- Single-region trail: Registra eventos de uma região
- Multi-region trail: Registra eventos de todas as regiões
- Organization trail: Para todas as contas da organização
Eventos
- Management Events: Operações de gerenciamento (criar EC2, modificar security group)
- Data Events: Operações em recursos (S3 GetObject, Lambda Invoke)
- Insights Events: Detecta atividades incomuns
Armazenamento
- Logs armazenados no S3
- Opcionalmente enviados para CloudWatch Logs
- Retenção configurável
CloudTrail vs CloudWatch
| Aspecto | CloudTrail | CloudWatch |
|---|---|---|
| Foco | Auditoria (quem fez o quê) | Performance (como está funcionando) |
| Registra | API calls e ações | Métricas e logs |
| Uso | Compliance, segurança | Monitoramento, troubleshooting |
Casos de Uso
- Auditoria de conformidade regulatória
- Investigação de incidentes de segurança
- Análise de mudanças na infraestrutura
- Troubleshooting operacional
- Detecção de atividades não autorizadas
- Governança e compliance
💡 Pontos Importantes para a Certificação
- CloudTrail registra API calls (quem, quando, o quê)
- Habilitado por padrão (últimos 90 dias gratuitos)
- Para retenção maior, crie um trail e armazene no S3
- Logs podem ser criptografados com KMS
- Integra com CloudWatch Logs para análise em tempo real
- Essencial para auditoria e compliance
- CloudTrail Insights detecta atividades anormais
🎯 Dicas de Estudo
- CloudTrail = Auditoria de ações (quem fez o quê)
- CloudWatch = Monitoramento de performance
- Logs armazenados no S3 para longo prazo
- Multi-region trail para cobertura completa
- Essencial para segurança e compliance
- Insights detecta comportamentos anormais automaticamente