Acara Amazon S3 CloudTrail - Amazon Simple Storage Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Acara Amazon S3 CloudTrail

penting

Amazon S3 sekarang menerapkan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) sebagai tingkat dasar enkripsi untuk setiap bucket di Amazon S3. Mulai 5 Januari 2023, semua unggahan objek baru ke Amazon S3 secara otomatis akan dienkripsi tanpa biaya tambahan dan tidak akan berdampak pada kinerja. Status enkripsi otomatis untuk konfigurasi enkripsi default bucket S3 dan untuk unggahan objek baru tersedia di AWS CloudTrail log, S3 Inventory, S3 Storage Lens, konsol Amazon S3, dan sebagai header respons Amazon S3 tambahan di dan. API AWS Command Line Interface AWS SDKs Untuk informasi selengkapnya, lihat Enkripsi default FAQ.

Bagian ini memberikan informasi tentang peristiwa yang dicatat oleh S3. CloudTrail

Peristiwa data Amazon S3 di CloudTrail

Peristiwa data memberikan informasi tentang operasi sumber daya yang dilakukan pada atau di sumber daya (misalnya, membaca atau menulis ke objek Amazon S3). Ini juga dikenal sebagai operasi bidang data. Peristiwa data seringkali merupakan aktivitas volume tinggi. Secara default, CloudTrail tidak mencatat peristiwa data. Riwayat CloudTrail peristiwa tidak merekam peristiwa data.

Biaya tambahan berlaku untuk peristiwa data. Untuk informasi selengkapnya tentang CloudTrail harga, lihat AWS CloudTrail Harga.

Anda dapat mencatat peristiwa data untuk jenis sumber daya Amazon S3 menggunakan CloudTrail konsol AWS CLI, atau CloudTrail API operasi. Untuk informasi selengkapnya tentang cara mencatat peristiwa data, lihat Mencatat peristiwa data dengan AWS Management Console dan Logging peristiwa data dengan AWS Command Line Interface di Panduan AWS CloudTrail Pengguna.

Tabel berikut mencantumkan jenis sumber daya Amazon S3 yang dapat Anda log peristiwa data. Kolom tipe peristiwa data (konsol) menunjukkan nilai yang akan dipilih dari daftar tipe peristiwa Data di CloudTrail konsol. Kolom nilai resources.type menunjukkan resources.type nilai, yang akan Anda tentukan saat mengonfigurasi penyeleksi acara lanjutan menggunakan or. AWS CLI CloudTrail APIs CloudTrailKolom Data yang APIs dicatat ke menampilkan API panggilan yang dicatat CloudTrail untuk jenis sumber daya.

Jenis peristiwa data (konsol) nilai resources.type Data APIs masuk ke CloudTrail
S3 AWS::S3::Object
S3 Express Satu Zona AWS::S3Express::Object
Titik Akses S3 AWS::S3::Access Point
S3 Object Lambda AWS::S3ObjectLambda::AccessPoint
Outposts S3 AWS::S3Outposts::Object

Anda dapat mengonfigurasi pemilih acara lanjutan untuk memfilter pada eventNamereadOnly,, dan resources.ARN bidang untuk mencatat hanya peristiwa yang penting bagi Anda. Untuk informasi selengkapnya tentang bidang ini, lihat AdvancedFieldSelectordalam AWS CloudTrail APIReferensi.

Acara manajemen Amazon S3 di CloudTrail

Amazon S3 mencatat semua operasi pesawat kontrol sebagai peristiwa manajemen. Untuk informasi selengkapnya tentang API operasi S3, lihat Referensi Amazon API S3.

Cara CloudTrail menangkap permintaan yang dibuat ke Amazon S3

Secara default, CloudTrail mencatat API panggilan tingkat ember S3 yang dibuat dalam 90 hari terakhir, tetapi tidak mencatat permintaan yang dibuat ke objek. Panggilan tingkat bucket mencakup peristiwa seperti CreateBucket, DeleteBucket, PutBucketLifecycle, PutBucketPolicy, dan seterusnya. Anda dapat melihat peristiwa tingkat ember di konsol. CloudTrail Namun, Anda tidak dapat melihat peristiwa data (panggilan tingkat objek Amazon S3) di sana—Anda harus mengurai atau menanyakan log untuknya. CloudTrail

Tindakan tingkat akun Amazon S3 dilacak dengan pencatatan CloudTrail

CloudTrail mencatat tindakan tingkat akun. Catatan Amazon S3 ditulis bersama dengan Layanan AWS catatan lain dalam file log. CloudTrail menentukan kapan harus membuat dan menulis ke file baru berdasarkan periode waktu dan ukuran file.

Tabel di bagian ini mencantumkan tindakan tingkat akun Amazon S3 yang didukung untuk pencatatan. CloudTrail

APITindakan tingkat akun Amazon S3 yang dilacak dengan CloudTrail logging muncul sebagai nama peristiwa berikut. Nama CloudTrail acara berbeda dari nama API tindakan. Misalnya, DeletePublicAccessBlock adalah DeleteAccountPublicAccessBlock.

Tindakan tingkat ember Amazon S3 yang dilacak dengan logging CloudTrail

Secara default, CloudTrail mencatat tindakan tingkat ember untuk bucket tujuan umum. Catatan Amazon S3 ditulis bersama dengan catatan AWS layanan lain dalam file log. CloudTrail menentukan kapan harus membuat dan menulis ke file baru berdasarkan periode waktu dan ukuran file.

Bagian ini mencantumkan tindakan tingkat ember Amazon S3 yang didukung untuk pencatatan oleh. CloudTrail

APITindakan tingkat ember Amazon S3 yang dilacak dengan CloudTrail logging muncul sebagai nama peristiwa berikut. Dalam beberapa kasus, nama CloudTrail acara berbeda dari nama API tindakan. Misalnya, PutBucketLifecycleConfiguration adalahPutBucketLifecycle.

Selain API operasi ini, Anda juga dapat menggunakan OPTIONS tindakan tingkat objek objek. Tindakan ini diperlakukan seperti tindakan tingkat ember dalam CloudTrail logging karena tindakan memeriksa CORS konfigurasi bucket.

Tindakan tingkat ember Amazon S3 Express One Zone (titik akhir RegionalAPI) dilacak dengan pencatatan CloudTrail

Secara default, CloudTrail mencatat tindakan tingkat ember untuk bucket direktori sebagai peristiwa manajemen. Acara eventsource untuk CloudTrail manajemen untuk S3 Express One Zone adalahs3express.amazonaws.com.

APIOperasi titik akhir Regional berikut ini dicatat. CloudTrail

Untuk informasi selengkapnya, lihat Logging with AWS CloudTrail untuk S3 Express One Zone

Tindakan tingkat objek Amazon S3 dalam skenario lintas akun

Berikut ini adalah kasus penggunaan khusus yang melibatkan API panggilan tingkat objek dalam skenario lintas akun dan bagaimana CloudTrail log dilaporkan. CloudTrail mengirimkan log ke pemohon (akun yang melakukan API panggilan), kecuali dalam beberapa kasus akses ditolak di mana entri log disunting atau dihilangkan. Saat mengatur akses lintas akun, pertimbangkan contoh di bagian ini.

catatan

Contoh mengasumsikan bahwa CloudTrail log dikonfigurasi dengan tepat.

Contoh 1: CloudTrail mengirimkan log ke pemilik bucket

CloudTrail mengirimkan log ke pemilik bucket meskipun pemilik bucket tidak memiliki izin untuk operasi objek API yang sama. Pertimbangkan skenario lintas akun berikut ini:

  • Akun A adalah pemilik bucket.

  • Akun-B (peminta) mencoba mengakses objek dalam bucket tersebut.

  • Akun-C memiliki objek. Akun C mungkin atau mungkin bukan akun yang sama dengan Akun A.

catatan

CloudTrail selalu mengirimkan API log tingkat objek ke pemohon (Akun B). Selain itu, CloudTrail juga mengirimkan log yang sama ke pemilik bucket (Akun A) bahkan ketika pemilik bucket tidak memiliki objek (Akun C) atau memiliki izin untuk API operasi yang sama pada objek tersebut.

Contoh 2: CloudTrail tidak memperbanyak alamat email yang digunakan dalam pengaturan objek ACLs

Pertimbangkan skenario lintas akun berikut ini:

  • Akun A adalah pemilik bucket.

  • Akun B (pemohon) mengirimkan permintaan untuk menetapkan ACL hibah objek dengan menggunakan alamat email. Untuk informasi lebih lanjut tentangACLs, lihatDaftar kontrol akses (ACL) ikhtisar.

Pemohon mendapatkan log beserta informasi surel. Namun, pemilik bucket — jika mereka memenuhi syarat untuk menerima log, seperti pada contoh 1—mendapatkan log yang melaporkan peristiwa tersebut CloudTrail . Namun, pemilik bucket tidak mendapatkan informasi ACL konfigurasi, khususnya alamat email penerima hibah dan hibah. Satu-satunya informasi yang log memberitahu pemilik bucket adalah bahwa ACL API panggilan dilakukan oleh Akun B.