🛡️ Auditoría y Monitoreo de Eventos Críticos en Amazon S3 mediante CloudTrail, CloudWatch y SNS
- 27 may
- 3 min de lectura
Introducción
En este proyecto desarrollé una arquitectura de auditoría y monitoreo sobre Amazon S3 utilizando servicios nativos de AWS orientados a observabilidad, trazabilidad y alertamiento automatizado.
Aunque inicialmente parecía una implementación sencilla basada únicamente en registrar eventos sobre un bucket S3, conforme avanzaba la configuración y análisis de los servicios involucrados, el proyecto terminó convirtiéndose en una solución completa de monitoreo basada en eventos.
🎯 Objetivo del Proyecto
Diseñar una arquitectura capaz de:
Registrar eventos sobre objetos almacenados en Amazon S3.
Detectar operaciones sensibles realizadas dentro del bucket.
Generar alertas automáticas ante actividades críticas.
Comprender el flujo de auditoría y observabilidad dentro de AWS.
Para ello, se utilizaron los siguientes servicios:
☁️ AWS CloudTrail
📊 Amazon CloudWatch
📩 Amazon SNS
🧠 Escenario del Proyecto
La arquitectura parte de un escenario donde una organización almacena información sensible dentro de un bucket S3, como:
respaldos de bases de datos,
datasets críticos,
documentación interna,
archivos analíticos,
entre otros activos importantes.
En este contexto, resulta importante supervisar actividades como:
cargas de archivos,
eliminación de objetos,
accesos sensibles,
y operaciones potencialmente críticas.
Por ello, se implementó un mecanismo de monitoreo que detecta eventos relevantes y distribuye notificaciones automáticas.
⚙️ Arquitectura Implementada
El flujo completo de la solución fue el siguiente:

📦 Servicios Implementados
☁️ AWS CloudTrail
CloudTrail fue utilizado para registrar eventos realizados sobre el bucket auditado.
Se configuraron principalmente:
Management Events
Data Events
Object-Level Logging
Además, se utilizaron Advanced Event Selectors para auditar únicamente eventos específicos relacionados con el bucket objetivo. Las operaciones monitoreadas fueron:
PutObject
DeleteObject
📊 Amazon CloudWatch
CloudWatch permitió:
centralizar logs,
consultar eventos mediante Logs Insights,
construir métricas,
y generar alarmas automáticas.
También se implementó un Metric Filter encargado de detectar eventos críticos dentro de los logs generados por CloudTrail. Posteriormente, una alarma evaluaba continuamente la métrica para activar alertas cuando ocurrieran operaciones relevantes sobre el bucket.
📩 Amazon SNS
SNS fue utilizado como mecanismo de distribución de alertas. Cuando CloudWatch detectaba eventos como:
subida de objetos,
o eliminación de archivos,
la alarma enviaba automáticamente una notificación hacia un Topic SNS configurado con suscripciones vía correo electrónico.
🪣 Amazon S3
Amazon S3 fue utilizado como el componente principal de almacenamiento dentro de la arquitectura. Para el proyecto se configuraron dos buckets:
Un bucket principal auditado, encargado de almacenar los archivos sensibles.
Un bucket secundario destinado al almacenamiento de logs generados por CloudTrail.
El bucket principal representó el recurso crítico sobre el cual se supervisaron operaciones sensibles relacionadas con objetos almacenados dentro del servicio.
Las principales acciones auditadas fueron:
PutObject
DeleteObject
Gracias al uso de Data Events en CloudTrail, fue posible implementar monitoreo a nivel de objetos (Object-Level Logging), permitiendo registrar actividades específicas realizadas dentro del bucket auditado. Además, S3 funcionó como punto inicial del flujo completo de observabilidad y auditoría implementado en AWS.
🔎 Aprendizajes Reforzados
Durante el desarrollo del proyecto se reforzaron conceptos importantes relacionados con:
Data Events y Management Events
Object-Level Logging
CloudTrail Trails
CloudWatch Logs
Logs Insights
Metric Filters
Alarmas en CloudWatch
SNS
Observabilidad en AWS
Arquitecturas orientadas a eventos
Además, el proyecto permitió comprender mucho mejor cómo AWS implementa trazabilidad y monitoreo sobre recursos sensibles dentro de la nube.
⚠️ Limitaciones Identificadas
Durante las pruebas también se identificaron ciertas limitaciones importantes, aunque las alarmas de CloudWatch permiten detectar cuándo ocurre un evento, las notificaciones basadas únicamente en métricas no enriquecen completamente la información enviada.
Por ejemplo, las alertas no detallan directamente:
qué usuario ejecutó la acción,
qué objeto fue afectado,
o información contextual más avanzada del evento.
Esto ocurre porque CloudWatch Alarm trabaja evaluando métricas y no procesa directamente el contenido completo de los logs.
🚀 Evolución Futura del Proyecto
Este proyecto servirá como base para evolucionar hacia una arquitectura mucho más avanzada orientada a eventos en tiempo real. Las siguientes mejoras contemplan incorporar:
⚡ Amazon EventBridge
🧠 AWS Lambda
La finalidad será:
procesar eventos en tiempo real,
analizar el JSON completo generado por CloudTrail,
construir alertas enriquecidas,
mejorar la trazabilidad,
y acercar la solución a escenarios enterprise reales de auditoría y seguridad cloud.
Con esta evolución, el proyecto pasará de un enfoque basado únicamente en métricas hacia una arquitectura de auditoría inteligente y automatizada dentro del ecosistema AWS.
📌 Conclusión
Este proyecto me permitió comprender de manera mucho más profunda cómo AWS aborda la auditoría, observabilidad y monitoreo de recursos críticos dentro de la nube.
Más allá de registrar eventos sobre S3, el verdadero aprendizaje estuvo en entender cómo los distintos servicios de AWS pueden integrarse para construir soluciones completas de supervisión y alertamiento automatizado.




Comentarios