Amazon S3 S3-Datenereignisse in CloudTrail Amazon S3 S3-Managementereignisse in CloudTrail Identifizieren von Amazon-S3-Anfragen Amazon S3 S3-Aktionen auf Kontoebene, die durch Protokollierung verfolgt werden CloudTrail Amazon S3 S3-Aktionen auf Bucket-Ebene, die durch Protokollierung verfolgt werden CloudTrail Amazon S3 Express One Zone-Aktionen auf Bucket-Ebene (regionaler API-Endpunkt), die durch Protokollierung verfolgt werden CloudTrail Amazon-S3-Aktionen auf Objektebene in kontoübergreifenden Szenarios

Amazon S3 CloudTrail S3-Ereignisse

Wichtig

Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüssel (SSE-S3) als Basisverschlüsselung für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in den AWS CloudTrail Protokollen, im S3-Inventar, in der S3-Speicherlinse, in der Amazon S3-Konsole und als zusätzlicher Amazon S3 S3-API-Antwortheader im AWS Command Line Interface und AWS SDKs verfügbar. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Standardverschlüsselung.

Dieser Abschnitt enthält Informationen zu den Ereignissen, die S3 protokolliert. CloudTrail

Amazon S3 S3-Datenereignisse in CloudTrail

Datenereignisse liefern Informationen über die Ressourcenoperationen, die auf oder in einer Ressource ausgeführt werden (z. B. Lesen oder Schreiben in ein Amazon-S3-Objekt). Sie werden auch als Vorgänge auf Datenebene bezeichnet. Datenereignisse sind oft Aktivitäten mit hohem Volume. Protokolliert standardmäßig CloudTrail keine Datenereignisse. Der CloudTrail Ereignisverlauf zeichnet keine Datenereignisse auf.

Für Datenereignisse werden zusätzliche Gebühren fällig. Weitere Informationen zu CloudTrail-Preisen erhalten Sie unter AWS CloudTrail – Preise.

Sie können Datenereignisse für die Amazon S3 S3-Ressourcentypen mithilfe der CloudTrail Konsole oder CloudTrail API-Operationen protokollieren. AWS CLI Weitere Informationen zum Protokollieren von Datenereignissen finden Sie unter Protokollieren von Datenereignissen mit dem AWS Management Console und Protokollieren von Datenereignissen mit dem AWS Command Line Interface im AWS CloudTrail -Benutzerhandbuch.

In der folgenden Tabelle sind die Amazon-S3-Ressourcentypen aufgeführt, für die Sie Datenereignisse protokollieren können. In der Spalte Datenereignistyp (Konsole) wird der Wert angezeigt, den Sie aus der Liste Datenereignistyp auf der CloudTrail Konsole auswählen können. In der Wertspalte resources.type wird der resources.type Wert angezeigt, den Sie bei der Konfiguration erweiterter Event-Selektoren mithilfe von oder angeben würden. AWS CLI CloudTrail APIs In der CloudTrail Spalte APIs Protokollierte Daten werden die API-Aufrufe angezeigt, die CloudTrail für den Ressourcentyp protokolliert wurden.

Typ des Datenereignisses (Konsole)	resources.type-Wert	Daten, die APIs protokolliert wurden CloudTrail
S3	`AWS::S3::Object`	AbortMultipartUpload CompleteMultipartUpload CopyObject CreateMultipartUpload DeleteObject DeleteObjectTagging DeleteObjects GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging GetObjectTorrent HeadObject ListMultipartUploads ListObjectVersions ListObjects ListParts PutObject PutObjectAcl PutObjectLegalHold PutObjectRetention PutObjectTagging RestoreObject SelectObjectContent UploadPart UploadPartCopy
S3 Express One Zone	`AWS::S3Express::Object`	AbortMultipartUpload CompleteMultipartUpload CreateSession CopyObject CreateMultipartUpload DeleteObject DeleteObjects GetObject GetObjectAttributes HeadBucket HeadObject ListObjectsV2 ListParts PutObject UploadPart UploadPartCopy
S3-Zugangspunkt	`AWS::S3::Access Point`	AbortMultipartUpload CompleteMultipartUpload CopyObject (nur Kopien in derselben Region) CreateMultipartUpload DeleteObject DeleteObjectTagging GetBucketAcl GetBucketCors GetBucketLocation GetBucketNotificationConfiguration GetBucketPolicy GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging HeadBucket HeadObject ListMultipartUploads ListObjects ListObjectsV2 ListObjectVersions ListParts Presign PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart UploadPartCopy (nur Kopien in derselben Region)
S3 Object Lambda	`AWS::S3ObjectLambda::AccessPoint`	AbortMultipartUpload CompleteMultipartUpload CopyObject (nur Kopien in derselben Region) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectAcl GetObjectLegalHold GetObjectRetention GetObjectTagging HeadObject ListMultipartUploads ListObjects ListObjectVersions ListParts PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart WriteGetObjectResponse
S3-Outposts	`AWS::S3Outposts::Object`	AbortMultipartUpload CompleteMultipartUpload CopyObject (nur Kopien in derselben Region) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectTagging HeadObject ListMultipartUploads ListObjects ListObjectsV2 ListParts PutObject PutObjectTagging UploadPart UploadPartCopy

Sie können erweiterte Event-Selektoren so konfigurieren, dass sie nach den Feldern eventName, readOnly und resources.ARN filtern, sodass nur die Ereignisse protokolliert werden, die für Sie wichtig sind. Weitere Informationen zu diesen Feldern finden Sie unter AdvancedFieldSelector in der API-Referenz zu AWS CloudTrail

Amazon S3 S3-Managementereignisse in CloudTrail

Amazon S3 protokolliert alle Operationen auf der Steuerebene als Verwaltungsereignisse. Weitere Informationen zu S3-API-Operationen finden Sie in der Amazon-S3-API-Referenz.

So werden Anfragen an Amazon S3 CloudTrail erfasst

Standardmäßig CloudTrail protokolliert S3-API-Aufrufe auf Bucket-Ebene, die in den letzten 90 Tagen getätigt wurden, protokolliert jedoch keine Anfragen an Objekte. Aufrufe auf Bucket-Ebene sind Ereignisse wie CreateBucket, DeleteBucket, PutBucketLifecycle, PutBucketPolicy usw. Sie können Ereignisse auf Bucket-Ebene auf der Konsole sehen. CloudTrail Sie können dort jedoch keine Datenereignisse (Amazon S3 S3-Aufrufe auf Objektebene) anzeigen — Sie müssen sie analysieren oder die Protokolle danach abfragen. CloudTrail

Amazon S3 S3-Aktionen auf Kontoebene, die durch Protokollierung verfolgt werden CloudTrail

CloudTrail protokolliert Aktionen auf Kontoebene. Amazon S3 S3-Datensätze werden zusammen mit anderen AWS-Service Datensätzen in eine Protokolldatei geschrieben. CloudTrail bestimmt anhand eines Zeitraums und der Dateigröße, wann eine neue Datei erstellt und in diese geschrieben werden soll.

In den Tabellen in diesem Abschnitt sind die Amazon S3 S3-Aktionen auf Kontoebene aufgeführt, die für die Protokollierung von unterstützt werden. CloudTrail

API-Aktionen auf Amazon S3 S3-Kontoebene, die durch CloudTrail Protokollierung verfolgt werden, werden als die folgenden Ereignisnamen angezeigt. Die Namen der CloudTrail Ereignisse unterscheiden sich vom Namen der API-Aktion. Zum Beispiel DeletePublicAccessBlock ist DeleteAccountPublicAccessBlock.

Amazon S3 S3-Aktionen auf Bucket-Ebene, die durch Protokollierung verfolgt werden CloudTrail

Standardmäßig werden Aktionen auf Bucket-Ebene für allgemeine Buckets CloudTrail protokolliert. Amazon S3 S3-Datensätze werden zusammen mit anderen AWS Serviceaufzeichnungen in eine Protokolldatei geschrieben. CloudTrail bestimmt anhand eines Zeitraums und der Dateigröße, wann eine neue Datei erstellt und in diese geschrieben werden soll.

In diesem Abschnitt sind die Amazon S3 S3-Aktionen auf Bucket-Ebene aufgeführt, die für die Protokollierung von unterstützt werden. CloudTrail

API-Aktionen auf Amazon S3 S3-Bucket-Ebene, die durch CloudTrail Protokollierung verfolgt werden, werden als die folgenden Ereignisnamen angezeigt. In einigen Fällen unterscheidet sich der Name des CloudTrail Ereignisses vom Namen der API-Aktion. Zum Beispiel, PutBucketLifecycleConfiguration ist PutBucketLifecycle.

Zusätzlich zu diesen API-Vorgängen können Sie auch die OPTIONS Aktion auf Objektebene. Diese Aktion wird bei der CloudTrail Protokollierung wie eine Aktion auf Bucket-Ebene behandelt, da die Aktion die CORS-Konfiguration eines Buckets überprüft.

Amazon S3 Express One Zone-Aktionen auf Bucket-Ebene (regionaler API-Endpunkt), die durch Protokollierung verfolgt werden CloudTrail

Standardmäßig werden Aktionen auf Bucket-Ebene für Verzeichnis-Buckets als Verwaltungsereignisse CloudTrail protokolliert. Die eventsource für CloudTrail Verwaltungsereignisse für S3 Express One Zone ist. s3express.amazonaws.com

Die folgenden API-Operationen für regionale Endgeräte werden protokolliert CloudTrail.

Weitere Informationen finden Sie unter Protokollierung mit AWS CloudTrail für S3 Express One Zone

Amazon-S3-Aktionen auf Objektebene in kontoübergreifenden Szenarios

Im Folgenden finden Sie spezielle Anwendungsfälle, die API-Aufrufe auf Objektebene in kontenübergreifenden Szenarien und die Art und Weise, wie CloudTrail Protokolle gemeldet werden, betreffen. CloudTrail übermittelt Protokolle an den Anforderer (das Konto, das den API-Aufruf getätigt hat), außer in einigen Fällen, in denen der Zugriff verweigert wurde, in denen Protokolleinträge geschwärzt oder weggelassen werden. Bei der Einrichtung von kontoübergreifendem Zugriff sehen Sie sich die Beispiele in diesem Abschnitt an.

Anmerkung

In den Beispielen wird davon ausgegangen, dass die CloudTrail Protokolle entsprechend konfiguriert sind.

Beispiel 1: CloudTrail Liefert Logs an den Bucket-Besitzer

CloudTrail übermittelt Protokolle an den Bucket-Besitzer, auch wenn der Bucket-Besitzer keine Berechtigungen für denselben Objekt-API-Vorgang hat. Sehen Sie sich das folgende kontenübergreifende Szenario vor:

Konto A ist Eigentümer des Buckets.
Konto B (Anforderer) versucht, auf ein Objekt in diesem Bucket zuzugreifen.
Konto C besitzt das Objekt. Konto C kann dasselbe Konto wie Konto A sein oder auch nicht.

Anmerkung

CloudTrail übermittelt API-Logs auf Objektebene immer an den Anforderer (Konto B). Darüber hinaus werden dieselben Protokolle CloudTrail auch dann an den Bucket-Besitzer (Konto A) übermittelt, wenn der Bucket-Besitzer das Objekt (Konto C) nicht besitzt oder keine Berechtigungen für dieselben API-Operationen an diesem Objekt besitzt.

Beispiel 2: E-Mail-Adressen, die bei der Objekteinstellung verwendet werden, werden CloudTrail nicht häufig verwendet ACLs

Sehen Sie sich das folgende kontenübergreifende Szenario vor:

Konto A ist Eigentümer des Buckets.
Konto B (Anforderer) sendet eine Anforderung, um eine ACL-Erteilung für ein Objekt unter Verwendung einer E-Mail-Adresse einzurichten. Weitere Informationen zu finden Sie ACLs unterZugriffskontrolllisten (ACL) – Übersicht.

Der Anforderer erhält die Protokolle zusammen mit der E-Mail-Information. Der Bucket-Besitzer erhält jedoch — sofern er berechtigt ist, Logs zu empfangen, wie in Beispiel 1 — das CloudTrail Protokoll, das das Ereignis meldet. Der Bucket-Eigentümer erhält jedoch keine Informationen über die ACL-Konfiguration, insbesondere die E-Mail des Empfängers und die Erteilung. Die einzige Information, die das Protokoll dem Bucket-Eigentümer mitteilt, ist, dass Konto B einen ACL-API-Aufruf vorgenommen hat.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Protokollierung mit CloudTrail

Beispiele für Protokolldateien