Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vous pouvez enregistrer les actions entreprises par les utilisateurs, les rôles ou Services AWS sur les ressources Amazon S3 et conserver des enregistrements de journal à des fins d'audit et de conformité. Pour ce faire, vous pouvez utiliser la journalisation d’accès au serveur, la journalisation AWS CloudTrail ou une combinaison des deux. Nous vous recommandons de l'utiliser CloudTrail pour consigner les actions au niveau du bucket et au niveau de l'objet pour vos ressources Amazon S3. Pour plus d’informations, consultez les sections suivantes :
Le tableau suivant répertorie les principales propriétés des CloudTrail journaux et des journaux d'accès au serveur Amazon S3. Pour vous assurer que cela CloudTrail répond à vos exigences de sécurité, consultez le tableau et les notes.
| Propriétés des journaux | AWS CloudTrail | Journaux du serveur Amazon S3 |
|---|---|---|
|
Peut être transféré vers d'autres systèmes (Amazon CloudWatch Logs, Amazon CloudWatch Events) |
Oui |
Non |
|
Acheminement des journaux vers plusieurs destinations (par exemple, envoi des mêmes journaux vers deux compartiments différents). |
Oui |
Non |
|
Activation des journaux sur un sous-ensemble d’objets (préfixe) |
Oui |
Non |
|
Fourniture de journaux inter-comptes (compartiments cible et source appartenant à des comptes différents) |
Oui |
Non |
|
Validation de l’intégrité du fichier journal en utilisant la signature numérique ou le hachage. |
Oui |
Non |
|
Choix ou défaut de chiffrement pour les fichiers journaux. |
Oui |
Non |
|
Opérations sur les objets (à l'aide d'Amazon S3 APIs) |
Oui |
Oui |
|
Opérations sur les compartiments (à l'aide d'Amazon S3 APIs) |
Oui |
Oui |
|
Interface utilisateur pouvant faire l’objet d’une recherche sur les journaux |
Oui |
Non |
|
Champs pour les paramètres de verrouillage des objets Object Lock, propriétés de sélection Amazon S3 Select pour les enregistrements de journaux |
Oui |
Non |
|
Champs pour |
Non |
Oui |
|
Restaurations, expirations et transitions de cycle de vie |
Non |
Oui |
|
Consignation des clés dans une opération d’effacement par lots |
Non |
Oui |
|
Échecs d’authentification1 |
Non |
Oui |
|
Comptes où les journaux ont été livrés |
Propriétaire du compartiment2 et demandeur |
Propriétaire du compartiment uniquement |
| Performance and Cost | AWS CloudTrail | Amazon S3 Server Logs |
|
Prix |
Les événements de gestion (première livraison) sont gratuits ; les événements de données sont payants, en plus du stockage des journaux. |
Aucun autre coût en plus du stockage des journaux |
|
Rapidité de fourniture des journaux |
Événements de données toutes les 5 minutes ; événements de gestion toutes les 15 minutes |
Sous quelques heures |
|
Format des journaux |
JSON |
Fichier journal avec enregistrements séparés par des espaces, délimités par de nouvelles lignes |
Remarques
-
CloudTrail ne fournit pas de journaux pour les demandes qui échouent à l'authentification (pour lesquelles les informations d'identification fournies ne sont pas valides) ou qui échouent en raison d'une redirection (code d'erreur
301 Moved Permanently). Cependant, sont fournis les journaux pour les requêtes dans lesquelles l’autorisation a échoué (AccessDenied) et les demandes formulées par des utilisateurs anonymes. -
Le propriétaire du compartiment S3 reçoit CloudTrail des journaux lorsque le compte ne dispose pas d'un accès complet à l'objet figurant dans la demande. Pour de plus amples informations, veuillez consulter Actions au niveau des objets Amazon S3 dans les scénarios intercomptes.
-
S3 ne prend pas en charge la livraison de CloudTrail journaux ou de journaux d'accès au serveur au demandeur ou au propriétaire du compartiment pour les demandes de point de terminaison VPC lorsque la politique de point de terminaison du VPC les refuse ou pour les demandes qui échouent avant que la politique VPC ne soit évaluée.
