Memantau enkripsi default dengan AWS CloudTrail dan Amazon EventBridge - Amazon Simple Storage Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memantau enkripsi default dengan AWS CloudTrail dan Amazon EventBridge

penting

Amazon S3 sekarang menerapkan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) sebagai tingkat dasar enkripsi untuk setiap bucket di Amazon S3. Mulai 5 Januari 2023, semua unggahan objek baru ke Amazon S3 secara otomatis akan dienkripsi tanpa biaya tambahan dan tidak akan berdampak pada kinerja. Status enkripsi otomatis untuk konfigurasi enkripsi default bucket S3 dan untuk unggahan objek baru tersedia di AWS CloudTrail log, Inventaris S3, Lensa Penyimpanan S3, konsol Amazon S3, dan sebagai header respons Amazon S3 tambahan di API AWS Command Line Interface and AWS SDKs. Untuk informasi selengkapnya, lihat Enkripsi default FAQ.

Anda dapat melacak permintaan konfigurasi enkripsi default untuk bucket Amazon S3 dengan menggunakan AWS CloudTrail peristiwa. Nama-nama API acara berikut digunakan dalam CloudTrail log:

  • PutBucketEncryption

  • GetBucketEncryption

  • DeleteBucketEncryption

Anda juga dapat membuat EventBridge aturan untuk mencocokkan CloudTrail acara untuk API panggilan ini. Untuk informasi selengkapnya tentang CloudTrail acara, lihatMengaktifkan pencatatan untuk objek dalam bucket menggunakan konsol tersebut. Untuk informasi selengkapnya tentang EventBridge acara, lihat Acara dari Layanan AWS.

Anda dapat menggunakan CloudTrail log untuk tindakan Amazon S3 tingkat objek untuk PUT melacak POST dan meminta ke Amazon S3. Anda dapat menggunakan tindakan ini untuk memverifikasi apakah enkripsi default digunakan untuk mengenkripsi objek saat permintaan PUT yang masuk tidak memiliki header enkripsi.

Saat Amazon S3 mengenkripsi objek menggunakan pengaturan enkripsi default, log mencakup salah satu bidang berikut sebagai pasangan nama-nilai: "SSEApplied":"Default_SSE_S3", "SSEApplied":"Default_SSE_KMS", atau "SSEApplied":"Default_DSSE_KMS".

Saat Amazon S3 mengenkripsi objek menggunakan header enkripsi PUT, log mencakup salah satu bidang berikut sebagai pasangan nama-nilai: "SSEApplied":"SSE_S3", "SSEApplied":"SSE_KMS", "SSEApplied":"DSSE_KMS", atau "SSEApplied":"SSE_C".

Untuk unggahan multipart, informasi ini disertakan dalam permintaan InitiateMultipartUpload API operasi Anda. Untuk informasi lebih lanjut tentang menggunakan CloudTrail dan CloudWatch, lihatPemantauan Amazon S3.