Identification des demandes Amazon S3 à l'aide CloudTrail - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Identification des demandes Amazon S3 à l'aide CloudTrail

Dans Amazon S3, vous pouvez identifier les demandes à l'aide d'un journal d' AWS CloudTrail événements. AWS CloudTrail est la méthode préférée pour identifier les demandes Amazon S3, mais si vous utilisez les journaux d'accès aux serveurs Amazon S3, consultezUtilisation des journaux d’accès au serveur Amazon S3 pour identifier des demandes.

Identification des demandes adressées à Amazon S3 dans un CloudTrail journal

Une fois que vous avez configuré CloudTrail la transmission d'événements vers un compartiment, vous devriez commencer à voir des objets se diriger vers votre compartiment de destination sur la console Amazon S3. Ils se présentent dans le format suivant :

s3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/Region/yyyy/mm/dd

Les événements enregistrés par CloudTrail sont stockés sous forme compressée, gzipped JSONobjets de votre compartiment S3. Pour rechercher efficacement les demandes, vous devez utiliser un service tel qu'Amazon Athena pour indexer et interroger les CloudTrail journaux.

Pour plus d'informations sur Athena CloudTrail et Athena, consultez la section Création de la table pour les AWS CloudTrail journaux dans Athena à l'aide de la projection de partitions dans le guide de l'utilisateur d'Amazon Athena.

Identification des demandes Amazon S3 Signature version 2 en utilisant CloudTrail

Vous pouvez utiliser un journal d' CloudTrail événements pour identifier API la version de signature utilisée pour signer une demande dans Amazon S3. Cette fonctionnalité est importante étant donné que la prise en charge de Signature Version 2 va être désactivée (obsolète). Après cela, Amazon S3 n'acceptera plus les demandes utilisant Signature Version 2, et toutes les demandes devront utiliser le processus de signature Signature Version 4.

Nous vous recommandons vivement de l'utiliser CloudTrail pour déterminer si l'un de vos flux de travail utilise la signature Signature version 2. Pour y remédier, mettez à niveau vos bibliothèques et votre code afin qu'ils utilisent plutôt Signature Version 4 afin d'éviter tout impact sur votre entreprise.

Pour plus d'informations, consultez Annonce : AWS CloudTrail pour Amazon S3 ajoute de nouveaux champs pour un audit de sécurité amélioré dans AWS re:Post.

Note

CloudTrail les événements pour Amazon S3 incluent la version de signature dans les détails de la demande sous le nom de clé « »additionalEventData. Pour trouver la version de signature des demandes effectuées pour des objets dans Amazon S3GET, tels que,PUT, et des DELETE demandes, vous devez activer CloudTrail les événements de données. (Cette fonction est désactivée par défaut).

AWS CloudTrail est la méthode préférée pour identifier les demandes de signature version 2. Si vous utilisez les journaux d'accès au serveur Amazon S3, consultez Identification des demandes Signature Version 2 à l’aide des journaux d’accès Amazon S3.

Exemples de requête Athena pour l'identification de demandes Amazon S3 Signature Version 2

Exemple — sélectionnez tous les événements de la version 2 de la signature et imprimez uniquement EventTime, S3_Action, Request_Parameters, Region, SourceIP, et UserAgent

Dans la requête Athena suivante, remplacez s3_cloudtrail_events_db.cloudtrail_table avec vos informations Athena, et augmentez ou supprimez la limite selon vos besoins.

SELECT EventTime, EventName as S3_Action, requestParameters as Request_Parameters, awsregion as AWS_Region, sourceipaddress as Source_IP, useragent as User_Agent FROM s3_cloudtrail_events_db.cloudtrail_table WHERE eventsource='s3.amazonaws.com' AND json_extract_scalar(additionalEventData, '$.SignatureVersion')='SigV2' LIMIT 10;
Exemple – Sélectionner tous les demandeurs qui envoient du trafic Signature Version 2

SELECT useridentity.arn, Count(requestid) as RequestCount FROM s3_cloudtrail_events_db.cloudtrail_table WHERE eventsource='s3.amazonaws.com' and json_extract_scalar(additionalEventData, '$.SignatureVersion')='SigV2' Group by useridentity.arn

Partitionnement des données Signature Version 2

Si vous devez interroger un large volume de données, vous pouvez réduire les coûts et l'exécution d'Athena en créant une table partitionnée.

Pour ce faire, créez une nouvelle table avec des partitions, comme suit.

CREATE EXTERNAL TABLE s3_cloudtrail_events_db.cloudtrail_table_partitioned( eventversion STRING, userIdentity STRUCT< type:STRING, principalid:STRING, arn:STRING, accountid:STRING, invokedby:STRING, accesskeyid:STRING, userName:STRING, sessioncontext:STRUCT< attributes:STRUCT< mfaauthenticated:STRING, creationdate:STRING>, sessionIssuer:STRUCT< type:STRING, principalId:STRING, arn:STRING, accountId:STRING, userName:STRING> > >, eventTime STRING, eventSource STRING, eventName STRING, awsRegion STRING, sourceIpAddress STRING, userAgent STRING, errorCode STRING, errorMessage STRING, requestParameters STRING, responseElements STRING, additionalEventData STRING, requestId STRING, eventId STRING, resources ARRAY<STRUCT<ARN:STRING,accountId: STRING,type:STRING>>, eventType STRING, apiVersion STRING, readOnly STRING, recipientAccountId STRING, serviceEventDetails STRING, sharedEventID STRING, vpcEndpointId STRING ) PARTITIONED BY (region string, year string, month string, day string) ROW FORMAT SERDE 'org.apache.hadoop.hive.ql.io.orc.OrcSerde' STORED AS INPUTFORMAT 'org.apache.hadoop.hive.ql.io.SymlinkTextInputFormat' OUTPUTFORMAT 'org.apache.hadoop.hive.ql.io.HiveIgnoreKeyTextOutputFormat' LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/';

Ensuite, créez les partitions individuellement. Vous ne pouvez pas obtenir des résultats à partir de dates que vous n'avez pas créées.

ALTER TABLE s3_cloudtrail_events_db.cloudtrail_table_partitioned ADD PARTITION (region= 'us-east-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/us-east-1/2019/02/19/' PARTITION (region= 'us-west-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/us-west-1/2019/02/19/' PARTITION (region= 'us-west-2', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/us-west-2/2019/02/19/' PARTITION (region= 'ap-southeast-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/ap-southeast-1/2019/02/19/' PARTITION (region= 'ap-southeast-2', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/ap-southeast-2/2019/02/19/' PARTITION (region= 'ap-northeast-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/ap-northeast-1/2019/02/19/' PARTITION (region= 'eu-west-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/eu-west-1/2019/02/19/' PARTITION (region= 'sa-east-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/sa-east-1/2019/02/19/';

Vous pouvez ensuite effectuer la demande en fonction de ces partitions. Vous n'avez pas besoin de charger le compartiment entier.

SELECT useridentity.arn, Count(requestid) AS RequestCount FROM s3_cloudtrail_events_db.cloudtrail_table_partitioned WHERE eventsource='s3.amazonaws.com' AND json_extract_scalar(additionalEventData, '$.SignatureVersion')='SigV2' AND region='us-east-1' AND year='2019' AND month='02' AND day='19' Group by useridentity.arn

Identification de l'accès aux objets S3 en utilisant CloudTrail

Vous pouvez utiliser vos journaux d' AWS CloudTrail événements pour identifier les demandes d'accès aux objets Amazon S3 relatives à des événements de données tels que GetObjectDeleteObject, etPutObject, et découvrir des informations supplémentaires sur ces demandes.

L'exemple suivant montre comment obtenir toutes les demandes PUT d'objets pour Amazon S3 à partir d'un journal d' AWS CloudTrail événements.

Exemples de requêtes Athena pour identifier les demandes d'accès aux objets Amazon S3

Dans les exemples de requêtes Athena suivants, remplacez s3_cloudtrail_events_db.cloudtrail_table avec les détails de votre Athena, et modifiez la plage de dates selon vos besoins.

Exemple — sélectionnez tous les événements pour lesquels il existe des demandes d'accès à des objets PUT, et imprimez uniquement EventTime, EventSource, SourceIP, UserAgent, BucketName, object et UserARN
SELECT eventTime, eventName, eventSource, sourceIpAddress, userAgent, json_extract_scalar(requestParameters, '$.bucketName') as bucketName, json_extract_scalar(requestParameters, '$.key') as object, userIdentity.arn as userArn FROM s3_cloudtrail_events_db.cloudtrail_table WHERE eventName = 'PutObject' AND eventTime BETWEEN '2019-07-05T00:00:00Z' and '2019-07-06T00:00:00Z'
Exemple — sélectionnez tous les événements pour lesquels il existe des demandes d'accès à des objets GET, et imprimez uniquement EventTime, EventSource, SourceIP, UserAgent, BucketName, object et UserARN
SELECT eventTime, eventName, eventSource, sourceIpAddress, userAgent, json_extract_scalar(requestParameters, '$.bucketName') as bucketName, json_extract_scalar(requestParameters, '$.key') as object, userIdentity.arn as userArn FROM s3_cloudtrail_events_db.cloudtrail_table WHERE eventName = 'GetObject' AND eventTime BETWEEN '2019-07-05T00:00:00Z' and '2019-07-06T00:00:00Z'
Exemple — sélectionnez tous les événements des demandeurs anonymes dans un compartiment pendant une certaine période et imprimez seulement EventTime, EventName, EventSource, SourceIP, UserAgent, BucketName, UserARN et AccountID
SELECT eventTime, eventName, eventSource, sourceIpAddress, userAgent, json_extract_scalar(requestParameters, '$.bucketName') as bucketName, userIdentity.arn as userArn, userIdentity.accountId FROM s3_cloudtrail_events_db.cloudtrail_table WHERE userIdentity.accountId = 'anonymous' AND eventTime BETWEEN '2019-07-05T00:00:00Z' and '2019-07-06T00:00:00Z'
Exemple — Identifier toutes les demandes nécessitant ACL une autorisation

L'exemple de requête Amazon Athena suivant montre comment identifier toutes les demandes adressées à vos compartiments S3 nécessitant une liste de contrôle d'accès (ACL) à des fins d'autorisation. Si la demande nécessitait une ACL autorisation, la aclRequired valeur en additionalEventData estYes. Si la réponse ACLs est négative, elle n'aclRequiredest pas présente. Vous pouvez utiliser ces informations pour migrer ces ACL autorisations vers les politiques de compartiment appropriées. Après avoir créé ces politiques de compartiment, vous pouvez les désactiver ACLs pour ces compartiments. Pour plus d'informations sur la désactivationACLs, consultezConditions préalables à la désactivation ACLs.

SELECT eventTime, eventName, eventSource, sourceIpAddress, userAgent, userIdentity.arn as userArn, json_extract_scalar(requestParameters, '$.bucketName') as bucketName, json_extract_scalar(requestParameters, '$.key') as object, json_extract_scalar(additionalEventData, '$.aclRequired') as aclRequired FROM s3_cloudtrail_events_db.cloudtrail_table WHERE json_extract_scalar(additionalEventData, '$.aclRequired') = 'Yes' AND eventTime BETWEEN '2022-05-10T00:00:00Z' and '2022-08-10T00:00:00Z'
Note
  • Ces exemples de requêtes sont également utiles pour surveiller la sécurité. Vous pouvez vérifier les résultats pour les appels PutObject ou GetObject depuis des adresses IP ou des demandeurs inattendus ou non autorisés et pour identifier les demandes anonymes adressées à vos compartiments.

  • Cette requête ne récupère d'informations qu'à partir du moment où l'enregistrement a été activé.

Si vous utilisez les journaux d'accès au serveur Amazon S3, veuillez consulter Identification des demandes d’accès aux objets à l’aide des journaux d’accès Amazon S3.