Überwachung der Standardverschlüsselung mit AWS CloudTrail und Amazon EventBridge - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überwachung der Standardverschlüsselung mit AWS CloudTrail und Amazon EventBridge

Wichtig

Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) als Basisverschlüsselungsebene für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in den AWS CloudTrail Protokollen, im S3-Inventar, in der S3-Speicherlinse, in der Amazon S3 S3-Konsole und als zusätzlicher Amazon S3 API S3-Antwort-Header im AWS Command Line Interface und AWS SDKs verfügbar. Weitere Informationen finden Sie unter Standardverschlüsselung FAQ.

Sie können Konfigurationsanforderungen zur Standardverschlüsselung für Amazon-S3-Buckets mithilfe von AWS CloudTrail -Ereignissen verfolgen. Die folgenden API Ereignisnamen werden in CloudTrail Protokollen verwendet:

  • PutBucketEncryption

  • GetBucketEncryption

  • DeleteBucketEncryption

Sie können auch EventBridge Regeln erstellen, die den CloudTrail Ereignissen für diese API Aufrufe entsprechen. Weitere Informationen zu CloudTrail Ereignissen finden Sie unterAktivieren der Protokollierung für Objekte in einem Bucket mit der Konsole. Weitere Informationen zu EventBridge Ereignissen finden Sie unter Ereignisse von AWS-Services.

Sie können CloudTrail Protokolle für Amazon S3-Aktionen auf Objektebene verwenden, um POST Anfragen an Amazon S3 nachzuverfolgenPUT. Sie können diese Aktionen verwenden, um zu überprüfen, ob die Standardverschlüsselung zum Verschlüsseln von Objekten verwendet wird, wenn eingehende Anfragen PUT keine Verschlüsselungs-Header haben.

Wenn Amazon S3 ein Objekt mit den Einstellungen der Standardverschlüsselung verschlüsselt, enthält das Protokoll eins der folgenden Felder als Name-Wert-Paar: "SSEApplied":"Default_SSE_S3", "SSEApplied":"Default_SSE_KMS" oder "SSEApplied":"Default_DSSE_KMS".

Wenn Amazon S3 ein Objekt mit den PUT-Verschlüsselungs-Headern verschlüsselt, enthält das Protokoll eins der folgenden Felder als Name-Wert-Paar: "SSEApplied":"SSE_S3", "SSEApplied":"SSE_KMS", "SSEApplied":"DSSE_KMS" oder "SSEApplied":"SSE_C".

Bei mehrteiligen Uploads sind diese Informationen in Ihren Betriebsanfragen enthalten. InitiateMultipartUpload API Weitere Hinweise zur Verwendung von CloudTrail und finden Sie CloudWatch unter. Protokollierung und Überwachung in Amazon S3