Surveillance du chiffrement par défaut avec Amazon AWS CloudTrail et Amazon EventBridge - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Surveillance du chiffrement par défaut avec Amazon AWS CloudTrail et Amazon EventBridge

Important

Amazon S3 applique désormais le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) comme niveau de base du chiffrement pour chaque compartiment d’Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d’objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. L'état de chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour le téléchargement de nouveaux objets est disponible dans AWS CloudTrail les journaux, S3 Inventory, S3 Storage Lens, la console Amazon S3 et sous forme d'en-tête de réponse d'API Amazon S3 supplémentaire dans le AWS Command Line Interface et AWS SDKs. Pour plus d’informations, consultez la FAQ sur le chiffrement par défaut.

Vous pouvez suivre les demandes de configuration de chiffrement par défaut pour les compartiments Amazon S3 à l’aide d’événements AWS CloudTrail . Les noms d'événements d'API suivants sont utilisés dans CloudTrail les journaux :

  • PutBucketEncryption

  • GetBucketEncryption

  • DeleteBucketEncryption

Vous pouvez également créer des EventBridge règles correspondant aux CloudTrail événements de ces appels d'API. Pour plus d'informations sur CloudTrail les événements, consultezActiver la journalisation des objets d’un compartiment à l’aide de la console. Pour plus d'informations sur les EventBridge événements, consultez la section Événements de Services AWS.

Vous pouvez utiliser CloudTrail les journaux pour les actions Amazon S3 au niveau de l'objet à suivre PUT et pour les POST demandes adressées à Amazon S3. Vous pouvez utiliser ces actions pour vérifier si le chiffrement par défaut est utilisé pour chiffrer des objets lorsque les demandes PUT entrantes n’ont pas d’en-têtes de chiffrement.

Quand Amazon S3 chiffre un objet selon les paramètres de chiffrement par défaut, le journal inclut l’un des champs suivants comme paire nom-valeur : "SSEApplied":"Default_SSE_S3""SSEApplied":"Default_SSE_KMS" ou "SSEApplied":"Default_DSSE_KMS".

Quand Amazon S3 chiffre un objet en utilisant les en-têtes de chiffrement PUT, le journal inclut l’un des champs suivants comme paire nom-valeur : "SSEApplied":"SSE_S3", "SSEApplied":"SSE_KMS""SSEApplied":"DSSE_KMS" ou "SSEApplied":"SSE_C".

Pour les chargements en plusieurs parties, cette information est incluse dans vos demandes d’opération d’API InitiateMultipartUpload. Pour plus d'informations sur l'utilisation CloudTrail de et CloudWatch, consultezJournalisation et surveillance dans Amazon S3.