Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Anda dapat merekam tindakan yang diambil oleh pengguna, peran, atau sumber daya Layanan AWS Amazon S3 dan memelihara catatan log untuk tujuan audit dan kepatuhan. Untuk melakukan ini, Anda dapat menggunakan pencatatan akses server, pencatatan AWS CloudTrail , atau kombinasi keduanya. Sebaiknya gunakan CloudTrail untuk mencatat tindakan tingkat ember dan tingkat objek untuk sumber daya Amazon S3 Anda. Untuk informasi selengkapnya tentang setiap opsi, lihat bagian berikut:
Tabel berikut mencantumkan properti kunci CloudTrail log dan log akses server Amazon S3. Untuk memastikan bahwa CloudTrail memenuhi persyaratan keamanan Anda, tinjau tabel dan catatan.
Properti log | AWS CloudTrail | Log server Amazon S3 |
---|---|---|
Dapat diteruskan ke sistem lain (Amazon CloudWatch Log, Amazon Events) CloudWatch |
Ya |
Tidak |
Kirim log ke lebih dari satu tujuan (misalnya, kirim log yang sama ke dua bucket yang berbeda) |
Ya |
Tidak |
Mengaktifkan log untuk subset objek (prefiks) |
Ya |
Tidak |
Pengiriman log akun silang (bucket target dan sumber yang dimiliki oleh akun yang berbeda) |
Ya |
Tidak |
Validasi integritas file log dengan menggunakan tanda tangan digital atau hashing |
Ya |
Tidak |
Default atau pilihan enkripsi untuk file log |
Ya |
Tidak |
Operasi objek (dengan menggunakan Amazon S3) APIs |
Ya |
Ya |
Operasi bucket (dengan menggunakan Amazon S3) APIs |
Ya |
Ya |
UI yang dapat dicari untuk log |
Ya |
Tidak |
Bidang untuk parameter Kunci Objek, Amazon S3 Pilih properti untuk catatan log |
Ya |
Tidak |
Bidang untuk |
Tidak |
Ya |
Transisi Lifecycle, kedaluwarsa, pemulihan |
Tidak |
Ya |
Pencatatan log kunci dalam operasi penghapusan batch |
Tidak |
Ya |
Kegagalan autentikasi1 |
Tidak |
Ya |
Akun tempat log dikirimkan |
Pemilik bucket2, dan pemohon |
Hanya pemilik bucket |
Performance and Cost | AWS CloudTrail | Amazon S3 Server Logs |
Harga |
Peristiwa manajemen (pengiriman pertama) gratis; peristiwa data dikenakan biaya, selain penyimpanan log |
Tidak ada biaya lain selain penyimpanan log |
Kecepatan pengiriman log |
Peristiwa data setiap 5 menit; peristiwa manajemen setiap 15 menit |
Dalam beberapa jam |
Format log |
JSON |
Berkas log dengan catatan yang dipisahkan oleh ruang, yang tidak terbatas pada baris baru |
Catatan
-
CloudTrail tidak mengirimkan log untuk permintaan yang gagal otentikasi (di mana kredensi yang diberikan tidak valid). Namun demikian, hal tersebut mencakup log untuk permintaan yang gagal diterima otorisasi (
AccessDenied
) dan permintaan yang dibuat oleh pengguna anonim. -
Pemilik bucket S3 menerima CloudTrail log ketika akun tidak memiliki akses penuh ke objek dalam permintaan. Untuk informasi selengkapnya, lihat Tindakan tingkat objek Amazon S3 dalam skenario lintas akun.
-
S3 tidak mendukung pengiriman CloudTrail log atau log akses server ke pemohon atau pemilik bucket untuk permintaan VPC titik akhir saat kebijakan VPC titik akhir menolaknya atau untuk permintaan yang gagal sebelum kebijakan dievaluasi. VPC