Amazon S3 S3-Datenereignisse in CloudTrail Amazon S3 S3-Managementereignisse in CloudTrail Identifizieren von Amazon-S3-Anfragen Amazon S3 S3-Aktionen auf Kontoebene, die durch Protokollierung verfolgt werden CloudTrail Amazon S3 S3-Aktionen auf Bucket-Ebene, die durch Protokollierung verfolgt werden CloudTrail Amazon S3 Express One Zone-Aktionen auf Bucket-Ebene (regionaler API Endpunkt), die durch Protokollierung verfolgt werden CloudTrail Amazon S3 S3-Aktionen auf Objektebene in kontoübergreifenden Szenarien

Amazon S3 CloudTrail S3-Ereignisse

Wichtig

Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) als Basisverschlüsselungsebene für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in den AWS CloudTrail Protokollen, im S3-Inventar, in der S3-Speicherlinse, in der Amazon S3 S3-Konsole und als zusätzlicher Amazon S3 API S3-Antwort-Header im AWS Command Line Interface und AWS SDKs verfügbar. Weitere Informationen finden Sie unter Standardverschlüsselung FAQ.

Dieser Abschnitt enthält Informationen zu den Ereignissen, die S3 protokolliert CloudTrail.

Amazon S3 S3-Datenereignisse in CloudTrail

Datenereignisse liefern Informationen über die Ressourcenoperationen, die auf oder in einer Ressource ausgeführt werden (z. B. Lesen oder Schreiben in ein Amazon-S3-Objekt). Sie werden auch als Vorgänge auf Datenebene bezeichnet. Datenereignisse sind oft Aktivitäten mit hohem Volume. Protokolliert standardmäßig CloudTrail keine Datenereignisse. Der CloudTrail Ereignisverlauf zeichnet keine Datenereignisse auf.

Für Datenereignisse werden zusätzliche Gebühren fällig. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter AWS CloudTrail Preisgestaltung.

Sie können Datenereignisse für die Amazon S3 S3-Ressourcentypen mithilfe der CloudTrail Konsole oder mithilfe von CloudTrail API Vorgängen protokollieren. AWS CLI Weitere Informationen zum Protokollieren von Datenereignissen finden Sie unter Protokollieren von Datenereignissen mit der AWS Management Console und Protokollieren von Datenereignissen mit dem AWS Command Line Interface im AWS CloudTrail Benutzerhandbuch.

In der folgenden Tabelle sind die Amazon S3 S3-Ressourcentypen aufgeführt, für die Sie Datenereignisse protokollieren können. In der Spalte Datenereignistyp (Konsole) wird der Wert angezeigt, den Sie aus der Liste Datenereignistyp auf der CloudTrail Konsole auswählen können. In der Wertspalte resources.type wird der resources.type Wert angezeigt, den Sie bei der Konfiguration erweiterter Event-Selektoren mithilfe von oder angeben würden. AWS CLI CloudTrail APIs In der CloudTrail Spalte APIsProtokollierte Daten werden die API Aufrufe angezeigt, die CloudTrail für den Ressourcentyp protokolliert wurden.

Typ des Datenereignisses (Konsole)	resources.type-Wert	Daten, die APIs protokolliert wurden CloudTrail
S3	`AWS::S3::Object`	AbortMultipartUpload CompleteMultipartUpload CopyObject CreateMultipartUpload DeleteObject DeleteObjectTagging DeleteObjects GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging GetObjectTorrent HeadObject ListMultipartUploads ListObjectVersions ListObjects ListParts PutObject PutObjectAcl PutObjectLegalHold PutObjectRetention PutObjectTagging RestoreObject SelectObjectContent UploadPart UploadPartCopy
S3 Express Eine Zone	`AWS::S3Express::Object`	AbortMultipartUpload CompleteMultipartUpload CreateSession CopyObject CreateMultipartUpload DeleteObject DeleteObjects GetObject GetObjectAttributes HeadBucket HeadObject ListObjectsV2 ListParts PutObject UploadPart UploadPartCopy
S3-Zugangspunkt	`AWS::S3::Access Point`	AbortMultipartUpload CompleteMultipartUpload CopyObject (nur Kopien in derselben Region) CreateMultipartUpload DeleteObject DeleteObjectTagging GetBucketAcl GetBucketCors GetBucketLocation GetBucketNotificationConfiguration GetBucketPolicy GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging HeadBucket HeadObject ListMultipartUploads ListObjects ListObjectsV2 ListObjectVersions ListParts Presign PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart UploadPartCopy (nur Kopien in derselben Region)
S3 Objekt Lambda	`AWS::S3ObjectLambda::AccessPoint`	AbortMultipartUpload CompleteMultipartUpload CopyObject (nur Kopien in derselben Region) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectAcl GetObjectLegalHold GetObjectRetention GetObjectTagging HeadObject ListMultipartUploads ListObjects ListObjectVersions ListParts PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart WriteGetObjectResponse
S3-Outposts	`AWS::S3Outposts::Object`	AbortMultipartUpload CompleteMultipartUpload CopyObject (nur Kopien in derselben Region) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectTagging HeadObject ListMultipartUploads ListObjects ListObjectsV2 ListParts PutObject PutObjectTagging UploadPart UploadPartCopy

Sie können erweiterte Event-Selektoren so konfigurieren, dass sie nach den resources.ARN Feldern eventNamereadOnly, und filtern, sodass nur die Ereignisse protokolliert werden, die für Sie wichtig sind. Weitere Informationen zu diesen Feldern finden Sie unter AdvancedFieldSelectorin der AWS CloudTrail APIReferenz.

Amazon S3 S3-Managementereignisse in CloudTrail

Amazon S3 protokolliert alle Operationen auf der Kontrollebene als Verwaltungsereignisse. Weitere Informationen zu API S3-Vorgängen finden Sie in der Amazon S3 API S3-Referenz.

So werden Anfragen an Amazon S3 CloudTrail erfasst

Standardmäßig CloudTrail protokolliert API S3-Aufrufe auf Bucket-Ebene, die in den letzten 90 Tagen getätigt wurden, protokolliert jedoch keine Anfragen an Objekte. Aufrufe auf Bucket-Ebene sind Ereignisse wie CreateBucket, DeleteBucket, PutBucketLifecycle, PutBucketPolicy usw. Sie können Ereignisse auf Bucket-Ebene auf der Konsole sehen. CloudTrail Sie können dort jedoch keine Datenereignisse (Amazon S3 S3-Aufrufe auf Objektebene) anzeigen — Sie müssen sie analysieren oder die Protokolle danach abfragen. CloudTrail

Amazon S3 S3-Aktionen auf Kontoebene, die durch Protokollierung verfolgt werden CloudTrail

CloudTrail protokolliert Aktionen auf Kontoebene. Amazon S3 S3-Datensätze werden zusammen mit anderen AWS-Service Datensätzen in eine Protokolldatei geschrieben. CloudTrail bestimmt anhand eines Zeitraums und der Dateigröße, wann eine neue Datei erstellt und in diese geschrieben werden soll.

In den Tabellen in diesem Abschnitt sind die Amazon S3 S3-Aktionen auf Kontoebene aufgeführt, die für die Protokollierung von unterstützt werden. CloudTrail

APIAktionen auf Amazon S3 S3-Kontoebene, die durch CloudTrail Protokollierung verfolgt werden, werden als die folgenden Ereignisnamen angezeigt. Die Namen der CloudTrail Ereignisse unterscheiden sich vom API Aktionsnamen. Zum Beispiel DeletePublicAccessBlock ist DeleteAccountPublicAccessBlock.

Amazon S3 S3-Aktionen auf Bucket-Ebene, die durch Protokollierung verfolgt werden CloudTrail

Standardmäßig werden Aktionen auf Bucket-Ebene für allgemeine Buckets CloudTrail protokolliert. Amazon S3 S3-Datensätze werden zusammen mit anderen AWS Serviceaufzeichnungen in eine Protokolldatei geschrieben. CloudTrail bestimmt anhand eines Zeitraums und der Dateigröße, wann eine neue Datei erstellt und in diese geschrieben werden soll.

In diesem Abschnitt sind die Amazon S3 S3-Aktionen auf Bucket-Ebene aufgeführt, die für die Protokollierung von unterstützt werden. CloudTrail

APIAktionen auf Amazon S3 S3-Bucket-Ebene, die durch CloudTrail Protokollierung verfolgt werden, werden als die folgenden Ereignisnamen angezeigt. In einigen Fällen unterscheidet sich der Name des CloudTrail Ereignisses vom API Aktionsnamen. Zum Beispie, PutBucketLifecycleConfiguration ist PutBucketLifecycle.

Zusätzlich zu diesen API Operationen können Sie auch die OPTIONS Aktion auf Objektebene. Diese Aktion wird in der CloudTrail Protokollierung wie eine Aktion auf Bucket-Ebene behandelt, da die Aktion die CORS Konfiguration eines Buckets überprüft.

Amazon S3 Express One Zone-Aktionen auf Bucket-Ebene (regionaler API Endpunkt), die durch Protokollierung verfolgt werden CloudTrail

Standardmäßig werden Aktionen auf Bucket-Ebene für Verzeichnis-Buckets als Verwaltungsereignisse CloudTrail protokolliert. Die eventsource für CloudTrail Verwaltungsereignisse für S3 Express One Zone ist. s3express.amazonaws.com

Die folgenden regionalen API Endpunktvorgänge werden protokolliert CloudTrail.

Weitere Informationen finden Sie unter Protokollierung mit AWS CloudTrail für S3 Express One Zone

Amazon S3 S3-Aktionen auf Objektebene in kontoübergreifenden Szenarien

Im Folgenden finden Sie spezielle Anwendungsfälle, die API Aufrufe auf Objektebene in kontoübergreifenden Szenarien und die Art und Weise, wie Protokolle gemeldet werden, betreffen. CloudTrail CloudTrail übermittelt Protokolle an den Anforderer (das Konto, das den API Anruf getätigt hat), außer in Fällen, in denen der Zugriff verweigert wurde, in denen Protokolleinträge geschwärzt oder weggelassen werden. Bei der Einrichtung von kontoübergreifendem Zugriff sehen Sie sich die Beispiele in diesem Abschnitt an.

Anmerkung

In den Beispielen wird davon ausgegangen, dass die CloudTrail Protokolle entsprechend konfiguriert sind.

Beispiel 1: CloudTrail Liefert Logs an den Bucket-Besitzer

CloudTrail übermittelt Protokolle an den Bucket-Besitzer, auch wenn der Bucket-Besitzer keine Berechtigungen für dieselbe API Objektoperation besitzt. Sehen Sie sich das folgende kontenübergreifende Szenario vor:

Konto A ist Eigentümer des Buckets.
Konto B (Anforderer) versucht, auf ein Objekt in diesem Bucket zuzugreifen.
Konto C besitzt das Objekt. Konto C kann dasselbe Konto wie Konto A sein oder auch nicht.

Anmerkung

CloudTrail übermittelt dem Anforderer (Konto B) immer API Logs auf Objektebene. Darüber hinaus werden dieselben Protokolle CloudTrail auch dann an den Bucket-Besitzer (Konto A) übermittelt, wenn der Bucket-Besitzer das Objekt (Konto C) nicht besitzt oder keine Berechtigungen für dieselben API Operationen an diesem Objekt besitzt.

Beispiel 2: E-Mail-Adressen, die bei der Objekteinstellung verwendet werden, werden CloudTrail nicht häufig verwendet ACLs

Sehen Sie sich das folgende kontenübergreifende Szenario vor:

Konto A ist Eigentümer des Buckets.
Konto B (der Antragsteller) sendet mithilfe einer E-Mail-Adresse eine Anfrage zur Einrichtung ACL einer Objektzuweisung. Weitere Informationen zu finden Sie ACLs unterÜbersicht über die Zugriffskontrollliste (ACL).

Der Anforderer erhält die Protokolle zusammen mit der E-Mail-Information. Der Bucket-Besitzer erhält jedoch — sofern er berechtigt ist, Logs zu empfangen, wie in Beispiel 1 — das CloudTrail Protokoll, das das Ereignis meldet. Der Bucket-Besitzer erhält jedoch nicht die ACL Konfigurationsinformationen, insbesondere die E-Mail-Adresse des Empfängers und den Zuschuss. Die einzige Information, die das Protokoll dem Bucket-Besitzer mitteilt, ist, dass ein ACL API Anruf von Konto B getätigt wurde.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Protokollierung mit CloudTrail

Beispiele für Protokolldateien