Journalisation et surveillance dans Amazon S3 - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Journalisation et surveillance dans Amazon S3

La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances d'Amazon S3 et de vos AWS solutions. Nous vous recommandons de collecter des données de surveillance provenant de toutes les parties de votre AWS solution afin de pouvoir corriger plus facilement une panne multipoint, le cas échéant. Avant de commencer à surveiller Amazon S3, créez un plan de surveillance qui comprend les réponses aux questions suivantes :

  • Quels sont les objectifs de la surveillance ?

  • Quelles sont les ressources à surveiller ?

  • À quelle fréquence les ressources doivent-elles être surveillées ?

  • Quels outils de surveillance utiliser ?

  • Qui exécute les tâches de supervision ?

  • Qui doit être informé en cas de problème ?

Pour en savoir plus sur la journalisation et la surveillance dans Amazon S3, consultez les rubriques suivantes.

Note

Pour plus d’informations sur l’utilisation de la classe de stockage Amazon S3 Express One Zone avec des compartiments de répertoires, consultez S3 Express One Zone et Utilisation des compartiments de répertoires.

La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances d'Amazon S3 et de vos AWS solutions. Vous devez collecter des données de surveillance provenant de toutes les parties de votre AWS solution afin de pouvoir corriger plus facilement une défaillance multipoint, le cas échéant. AWS fournit plusieurs outils pour surveiller vos ressources Amazon S3 et répondre aux incidents potentiels.

CloudWatch Alarmes Amazon

À l'aide des CloudWatch alarmes Amazon, vous observez une seule métrique sur une période que vous spécifiez. Si la métrique dépasse un seuil donné, une notification est envoyée à un SNS sujet ou à une AWS Auto Scaling politique Amazon. CloudWatch les alarmes n'appellent pas d'actions car elles se trouvent dans un état particulier. L'état doit avoir changé et avoir été conservé pendant un nombre de périodes spécifié. Pour de plus amples informations, veuillez consulter Surveillance des métriques avec Amazon CloudWatch.

AWS CloudTrail Journaux

CloudTrail fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans Amazon S3. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande envoyée à Amazon S3, l'adresse IP à partir de laquelle la demande a été faite, l'auteur de la demande, la date à laquelle elle a été faite, ainsi que des informations supplémentaires. Pour de plus amples informations, veuillez consulter Journalisation des API appels Amazon S3 à l'aide de AWS CloudTrail.

Amazon GuardDuty

Amazon GuardDuty est un service de détection des menaces qui surveille en permanence vos comptes, vos conteneurs, vos charges de travail et les données de votre AWS environnement afin d'identifier les menaces ou les risques de sécurité potentiels pour vos compartiments S3. GuardDuty fournit également un contexte détaillé sur les menaces détectées. GuardDuty surveille les journaux AWS CloudTrail de gestion pour détecter les menaces et affiche les informations relatives à la sécurité. Par exemple, GuardDuty inclura les facteurs d'une API demande, tels que l'utilisateur qui a fait la demande, le lieu d'où la demande a été faite et la API demande spécifique, qui peuvent être inhabituels dans votre environnement. GuardDuty S3 Protection surveille les événements de données S3 collectés par CloudTrail et identifie les comportements potentiellement anormaux et malveillants dans tous les compartiments S3 de votre environnement.

Journaux d'accès Amazon S3

Les journaux d'accès au serveur fournissent des enregistrements détaillés sur les demandes formulées à un compartiment. Les journaux d'accès au serveur sont utiles pour de nombreuses applications. Par exemple, les informations des journaux d'accès peuvent s'avérer utiles en cas d'audit de sécurité ou d'audit des accès. Pour de plus amples informations, veuillez consulter Enregistrement de demandes avec journalisation des accès au serveur.

AWS Trusted Advisor

Trusted Advisor s'appuie sur les meilleures pratiques apprises en servant des centaines de milliers de AWS clients. Trusted Advisor inspecte votre AWS environnement, puis émet des recommandations lorsque des opportunités se présentent pour économiser de l'argent, améliorer la disponibilité et les performances du système ou contribuer à combler les failles de sécurité. Tous les AWS clients ont accès à cinq Trusted Advisor chèques. Les clients disposant d'un plan de support Business ou Enterprise peuvent consulter tous les Trusted Advisor chèques.

Trusted Advisor comporte les vérifications suivantes relatives à Amazon S3 :

  • Configuration de journalisation des compartiments Amazon S3.

  • Vérifications de sécurité pour les compartiments Amazon S3 dont les autorisations permettent un libre accès.

  • Vérifications de la tolérance aux pannes pour les compartiments Amazon S3 pour lesquels la gestion des versions est désactivée ou suspendue.

Pour plus d'informations, consultez AWS Trusted Advisor dans le Guide de l'utilisateur AWS Support .

Les bonnes pratiques de sécurité suivantes s'appliquent également à la consignation et à la surveillance :