Monitoreo del cifrado predeterminado con AWS CloudTrail y Amazon EventBridge - Amazon Simple Storage Service

Monitoreo del cifrado predeterminado con AWS CloudTrail y Amazon EventBridge

importante

Amazon S3 aplica ahora el cifrado del servidor con claves administradas por Amazon S3 (SSE-S3) como el nivel básico de cifrado para cada bucket de Amazon S3. Desde el 5 de enero de 2023, todas las cargas de objetos nuevos a Amazon S3 se cifran automáticamente sin costo adicional y sin afectar al rendimiento. El estado de cifrado automático para la configuración de cifrado predeterminada en el bucket de S3 y para cargas de objetos nuevos está disponible en registros de AWS CloudTrail, Inventario de S3, Lente de almacenamiento de S3, la consola de Amazon S3 y como encabezado de respuesta a la API de Amazon S3 adicional en AWS Command Line Interface y los SDK de AWS. Para obtener más información, consulte Preguntas frecuentes del cifrado predeterminado.

Puede realizar un seguimiento de las solicitudes de configuración de cifrado predeterminado para los buckets de Amazon S3 mediante eventos de AWS CloudTrail. Los siguientes nombres de eventos de API se utilizan en los registros de CloudTrail:

  • PutBucketEncryption

  • GetBucketEncryption

  • DeleteBucketEncryption

También puede crear reglas de EventBridge para que coincidan con los eventos de CloudTrail para estas llamadas a la API. Para obtener más información acerca de los eventos de CloudTrail, consulte Habilitar el registro de objetos en un bucket mediante la consola. Para obtener más información acerca de los eventos de EventBridge, consulte Eventos de Servicios de AWS.

Puede utilizar registros de CloudTrail para acciones de Amazon S3 de objeto y así realizar un seguimiento de las solicitudes PUT y POST a Amazon S3. Puede utilizar estas acciones para verificar si se usa el cifrado predeterminado para cifrar los objetos cuando las solicitudes PUT entrantes no tienen encabezados de cifrado.

Cuando Amazon S3 cifra un objeto utilizando la configuración de cifrado predeterminada, el registro incluye los siguientes campos como el par de nombre-valor: "SSEApplied":"Default_SSE_S3", "SSEApplied":"Default_SSE_KMS" o "SSEApplied":"Default_DSSE_KMS".

Cuando Amazon S3 cifra un objeto utilizando los encabezados de cifrado PUT, el registro incluye uno de los siguientes campos como el par de nombre-valor: "SSEApplied":"SSE_S3", "SSEApplied":"SSE_KMS", "SSEApplied":"DSSE_KMS" o "SSEApplied":"SSE_C".

Para las cargas multiparte, esta información se incluye en las solicitudes de la operación de la API InitiateMultipartUpload. Para obtener más información sobre el uso de CloudTrail y CloudWatch, consulte Registro y monitoreo en Amazon S3.