Surveillance du chiffrement par défaut avec AWS CloudTrail et Amazon EventBridge - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Surveillance du chiffrement par défaut avec AWS CloudTrail et Amazon EventBridge

Important

Amazon S3 applique désormais le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3) comme niveau de chiffrement de base pour chaque compartiment d'Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d'objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. L'état du chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour le téléchargement de nouveaux objets est disponible dans AWS CloudTrail logs, S3 Inventory, S3 Storage Lens, console Amazon S3 et en tant qu'en-tête de API réponse Amazon S3 supplémentaire dans le AWS Command Line Interface and AWS SDKs. Pour plus d'informations, consultez la section Chiffrement par défaut FAQ.

Vous pouvez suivre les demandes de configuration de chiffrement par défaut pour les compartiments Amazon S3 en utilisant AWS CloudTrail événements. Les noms API d'événements suivants sont utilisés dans CloudTrail les journaux :

  • PutBucketEncryption

  • GetBucketEncryption

  • DeleteBucketEncryption

Vous pouvez également créer des EventBridge règles correspondant aux CloudTrail événements de ces API appels. Pour plus d'informations sur CloudTrail les événements, consultezActiver la journalisation des objets d'un compartiment à l'aide de la console. Pour plus d'informations sur les EventBridge événements, consultez la section Événements de Services AWS.

Vous pouvez utiliser CloudTrail les journaux pour les actions Amazon S3 au niveau de l'objet à suivre PUT et pour les POST demandes adressées à Amazon S3. Vous pouvez utiliser ces actions pour vérifier si le chiffrement par défaut est utilisé pour chiffrer des objets lorsque les demandes PUT entrantes n'ont pas d'en-têtes de chiffrement.

Quand Amazon S3 chiffre un objet selon les paramètres de chiffrement par défaut, le journal inclut l'un des champs suivants comme paire nom-valeur : "SSEApplied":"Default_SSE_S3""SSEApplied":"Default_SSE_KMS" ou "SSEApplied":"Default_DSSE_KMS".

Quand Amazon S3 chiffre un objet en utilisant les en-têtes de chiffrement PUT, le journal inclut l'un des champs suivants comme paire nom-valeur : "SSEApplied":"SSE_S3", "SSEApplied":"SSE_KMS""SSEApplied":"DSSE_KMS" ou "SSEApplied":"SSE_C".

Pour les téléchargements partitionnés, ces informations sont incluses dans vos demandes d'InitiateMultipartUploadAPIopération. Pour plus d'informations sur l'utilisation CloudTrail de et CloudWatch, consultezSurveillance d'Amazon S3.