Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memantau enkripsi default dengan AWS CloudTrail dan Amazon EventBridge
penting
Amazon S3 sekarang menerapkan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) sebagai tingkat dasar enkripsi untuk setiap bucket di Amazon S3. Mulai 5 Januari 2023, semua unggahan objek baru ke Amazon S3 secara otomatis akan dienkripsi tanpa biaya tambahan dan tidak akan berdampak pada kinerja. Status enkripsi otomatis untuk konfigurasi enkripsi default bucket S3 dan untuk unggahan objek baru tersedia di AWS CloudTrail log, S3 Inventory, S3 Storage Lens, konsol Amazon S3, dan sebagai header respons Amazon S3 tambahan di dan. API AWS Command Line Interface AWS SDKs Untuk informasi selengkapnya, lihat Enkripsi default FAQ.
Anda dapat melacak permintaan konfigurasi enkripsi default untuk bucket Amazon S3 menggunakan peristiwa AWS CloudTrail . Nama-nama API acara berikut digunakan dalam CloudTrail log:
-
PutBucketEncryption
-
GetBucketEncryption
-
DeleteBucketEncryption
Anda juga dapat membuat EventBridge aturan untuk mencocokkan CloudTrail acara untuk API panggilan ini. Untuk informasi selengkapnya tentang CloudTrail acara, lihatMengaktifkan pencatatan untuk objek dalam bucket menggunakan konsol tersebut. Untuk informasi selengkapnya tentang EventBridge acara, lihat Acara dari Layanan AWS.
Anda dapat menggunakan CloudTrail log untuk tindakan Amazon S3 tingkat objek untuk PUT
melacak POST
dan meminta ke Amazon S3. Anda dapat menggunakan tindakan ini untuk memverifikasi apakah enkripsi default digunakan untuk mengenkripsi objek saat permintaan PUT
yang masuk tidak memiliki header enkripsi.
Saat Amazon S3 mengenkripsi objek menggunakan pengaturan enkripsi default, log mencakup salah satu bidang berikut sebagai pasangan nama-nilai: "SSEApplied":"Default_SSE_S3"
, "SSEApplied":"Default_SSE_KMS"
, atau "SSEApplied":"Default_DSSE_KMS"
.
Saat Amazon S3 mengenkripsi objek menggunakan header enkripsi PUT
, log mencakup salah satu bidang berikut sebagai pasangan nama-nilai: "SSEApplied":"SSE_S3"
, "SSEApplied":"SSE_KMS"
, "SSEApplied":"DSSE_KMS"
, atau "SSEApplied":"SSE_C"
.
Untuk unggahan multipart, informasi ini disertakan dalam permintaan InitiateMultipartUpload
API operasi Anda. Untuk informasi lebih lanjut tentang menggunakan CloudTrail dan CloudWatch, lihatPencatatan log dan pemantauan di Amazon S3.