Vous pouvez enregistrer les actions entreprises par les utilisateurs, des rôles ou des Services AWS à l’égard des ressources Amazon S3 et conserver des enregistrements de journaux à des fins d’audit et de conformité. Pour ce faire, vous pouvez utiliser la journalisation d’accès au serveur, la journalisation AWS CloudTrail ou une combinaison des deux. Nous vous recommandons d’utiliser CloudTrail pour consigner les actions au niveau du compartiment et de l’objet pour vos ressources Amazon S3. Pour plus d’informations, consultez les sections suivantes :
Le tableau suivant répertorie les propriétés clés des journaux CloudTrail et des journaux d’accès au serveur Amazon S3. Pour vous assurer que CloudTrail répond à vos exigences de sécurité, consultez le tableau et les notes.
Propriétés des journaux | AWS CloudTrail | Journaux du serveur Amazon S3 |
---|---|---|
Peut être transmis à d’autres systèmes (Amazon CloudWatch Logs, Amazon CloudWatch Events). |
Oui |
No |
Acheminement des journaux vers plusieurs destinations (par exemple, envoi des mêmes journaux vers deux compartiments différents). |
Oui |
No |
Activation des journaux sur un sous-ensemble d’objets (préfixe) |
Oui |
No |
Fourniture de journaux inter-comptes (compartiments cible et source appartenant à des comptes différents) |
Oui |
No |
Validation de l’intégrité du fichier journal en utilisant la signature numérique ou le hachage. |
Oui |
No |
Choix ou défaut de chiffrement pour les fichiers journaux. |
Oui |
No |
Opérations d’objet (à l’aide des API Amazon S3) |
Oui |
Oui |
Opérations de compartiment (à l’aide des API Amazon S3) |
Oui |
Oui |
Interface utilisateur pouvant faire l’objet d’une recherche sur les journaux |
Oui |
No |
Champs pour les paramètres de verrouillage des objets Object Lock, propriétés de sélection Amazon S3 Select pour les enregistrements de journaux |
Oui |
No |
Champs pour |
Non |
Oui |
Restaurations, expirations et transitions de cycle de vie |
Non |
Oui |
Consignation des clés dans une opération d’effacement par lots |
Non |
Oui |
Échecs d’authentification1 |
Non |
Oui |
Comptes où les journaux ont été livrés |
Propriétaire du compartiment2 et demandeur |
Propriétaire du compartiment uniquement |
Performance and Cost | AWS CloudTrail | Amazon S3 Server Logs |
Prix |
Les événements de gestion (première livraison) sont gratuits ; les événements de données sont payants, en plus du stockage des journaux. |
Aucun autre coût en plus du stockage des journaux |
Rapidité de fourniture des journaux |
Événements de données toutes les 5 minutes ; événements de gestion toutes les 15 minutes |
Sous quelques heures |
Format des journaux |
JSON |
Fichier journal avec enregistrements séparés par des espaces, délimités par de nouvelles lignes |
Remarques
-
CloudTrail ne fournit pas de journaux pour les demandes dont l’authentification échoue (pour lesquelles les autorisations fournies ne sont pas valides). Cependant, sont fournis les journaux pour les requêtes dans lesquelles l’autorisation a échoué (
AccessDenied
) et les demandes formulées par des utilisateurs anonymes. -
Le propriétaire du compartiment S3 reçoit des journaux CloudTrail lorsque le compte n’a pas un accès complet à l’objet de la requête. Pour en savoir plus, consultez Actions au niveau des objets Amazon S3 dans les scénarios intercomptes.
-
S3 ne prend pas en charge la transmission des journaux CloudTrail ou des journaux d’accès au serveur au demandeur ou au propriétaire du compartiment pour les demandes de point de terminaison d’un VPC lorsque la politique du point de terminaison du VPC les refuse ou pour les demandes qui échouent avant l’évaluation de la politique du VPC.