Monitoraggio della crittografia predefinita con AWS CloudTrail e Amazon EventBridge - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Monitoraggio della crittografia predefinita con AWS CloudTrail e Amazon EventBridge

Importante

Amazon S3 ora applica la crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) come livello base di crittografia per ogni bucket in Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato di crittografia automatico per la configurazione di crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei AWS CloudTrail log, in S3 Inventory, S3 Storage Lens, nella console Amazon S3 e come intestazione di risposta Amazon S3 aggiuntiva nella finestra e. API AWS Command Line Interface AWS SDKs Per ulteriori informazioni, consulta Crittografia FAQ predefinita.

È possibile tenere traccia le richieste di configurazione della crittografia predefinita per i bucket Amazon S3 mediante gli eventi AWS CloudTrail . Nei CloudTrail log vengono utilizzati i seguenti nomi di API eventi:

  • PutBucketEncryption

  • GetBucketEncryption

  • DeleteBucketEncryption

È inoltre possibile creare EventBridge regole per abbinare gli CloudTrail eventi di queste API chiamate. Per ulteriori informazioni sugli CloudTrail eventi, vedereAbilitazione della registrazione per gli oggetti in un bucket utilizzando la console. Per ulteriori informazioni sugli EventBridge eventi, vedere Events from Servizi AWS.

Puoi utilizzare CloudTrail i log per le azioni Amazon S3 a livello di oggetto per tracciare PUT e inviare richieste ad Amazon S3. POST È possibile utilizzare queste azioni per verificare se la crittografia predefinita viene utilizzata per crittografare gli oggetti quando le richieste PUT in arrivo non dispongono di intestazioni di crittografia.

Quando Amazon S3 esegue la crittografia di un oggetto in base alle impostazioni della crittografia predefinita, il log include uno dei seguenti campi come coppia nome/valore: "SSEApplied":"Default_SSE_S3", "SSEApplied":"Default_SSE_KMS" o "SSEApplied":"Default_DSSE_KMS".

Quando Amazon S3 esegue la crittografia di un oggetto in base alle intestazioni di crittografia PUT, il log include uno dei campi seguenti come coppia nome/valore: "SSEApplied":"SSE_S3", "SSEApplied":"SSE_KMS", "SSEApplied":"DSSE_KMS" o "SSEApplied":"SSE_C".

Per i caricamenti in più parti, queste informazioni sono incluse nelle richieste operative. InitiateMultipartUpload API Per ulteriori informazioni sull'utilizzo di CloudTrail and CloudWatch, consulta. Registrazione e monitoraggio in Amazon S3