Eventi relativi ai dati di Amazon S3 in CloudTrail Eventi di gestione di Amazon S3 in CloudTrail Identificazione delle richieste Amazon S3 Azioni a livello di account Amazon S3 tracciate mediante registrazione CloudTrail Azioni a livello di bucket di Amazon S3 tracciate mediante registrazione CloudTrail Azioni a livello di bucket Amazon S3 Express One Zone (APIendpoint regionale) tracciate mediante registrazione CloudTrail Azioni a livello di oggetto di Amazon S3 in scenari tra più account

Eventi Amazon S3 CloudTrail

Importante

Amazon S3 ora applica la crittografia lato server con chiavi gestite di Amazon S3 (SSE-S3) come livello base di crittografia per ogni bucket in Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato di crittografia automatico per la configurazione di crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei AWS CloudTrail log, in S3 Inventory, S3 Storage Lens, nella console Amazon S3 e come intestazione di risposta Amazon S3 aggiuntiva nella finestra e. API AWS Command Line Interface AWS SDKs Per ulteriori informazioni, consulta Crittografia FAQ predefinita.

Questa sezione fornisce informazioni sugli eventi a cui S3 effettua l'accesso. CloudTrail

Eventi relativi ai dati di Amazon S3 in CloudTrail

Gli eventi di dati forniscono informazioni sulle operazioni delle risorse eseguite su o in una risorsa (ad esempio, lettura o scrittura su un oggetto Amazon S3). Queste operazioni sono definite anche operazioni del piano dei dati. Gli eventi di dati sono spesso attività che interessano volumi elevati di dati. Per impostazione predefinita, CloudTrail non registra gli eventi relativi ai dati. La cronologia CloudTrail degli eventi non registra gli eventi relativi ai dati.

Per gli eventi di dati sono previsti costi aggiuntivi. Per ulteriori informazioni sui CloudTrail prezzi, consulta la sezione AWS CloudTrail Prezzi.

Puoi registrare gli eventi relativi ai dati per i tipi di risorse Amazon S3 utilizzando la CloudTrail console o AWS CLI CloudTrail API le operazioni. Per ulteriori informazioni su come registrare gli eventi relativi ai dati, consulta Registrazione degli eventi relativi ai dati con AWS Management Console e Registrazione degli eventi relativi ai dati con the AWS Command Line Interface nella Guida per l'utente.AWS CloudTrail

La tabella seguente elenca i tipi di risorse Amazon S3 per i quali è possibile registrare gli eventi relativi ai dati. La colonna Data event type (console) mostra il valore da scegliere dall'elenco Data event type (console) sulla CloudTrail console. La colonna del valore resources.type mostra il resources.type valore da specificare durante la configurazione dei selettori di eventi avanzati utilizzando o. AWS CLI CloudTrail APIs La CloudTrail colonna Dati APIs registrati mostra le API chiamate registrate per il tipo di risorsa. CloudTrail

Tipo di evento di dati (console)	valore resources.type	Dati registrati APIs su CloudTrail
S3	`AWS::S3::Object`	AbortMultipartUpload CompleteMultipartUpload CopyObject CreateMultipartUpload DeleteObject DeleteObjectTagging DeleteObjects GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging GetObjectTorrent HeadObject ListMultipartUploads ListObjectVersions ListObjects ListParts PutObject PutObjectAcl PutObjectLegalHold PutObjectRetention PutObjectTagging RestoreObject SelectObjectContent UploadPart UploadPartCopy
S3 Express One Zone	`AWS::S3Express::Object`	AbortMultipartUpload CompleteMultipartUpload CreateSession CopyObject CreateMultipartUpload DeleteObject DeleteObjects GetObject GetObjectAttributes HeadBucket HeadObject ListObjectsV2 ListParts PutObject UploadPart UploadPartCopy
Punto di accesso S3	`AWS::S3::Access Point`	AbortMultipartUpload CompleteMultipartUpload CopyObject ( solo copie nella stessa regione) CreateMultipartUpload DeleteObject DeleteObjectTagging GetBucketAcl GetBucketCors GetBucketLocation GetBucketNotificationConfiguration GetBucketPolicy GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging HeadBucket HeadObject ListMultipartUploads ListObjects ListObjectsV2 ListObjectVersions ListParts Presign PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart UploadPartCopy ( solo copie nella stessa regione)
S3 Object Lambda	`AWS::S3ObjectLambda::AccessPoint`	AbortMultipartUpload CompleteMultipartUpload CopyObject ( solo copie nella stessa regione) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectAcl GetObjectLegalHold GetObjectRetention GetObjectTagging HeadObject ListMultipartUploads ListObjects ListObjectVersions ListParts PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart WriteGetObjectResponse
S3 Outposts	`AWS::S3Outposts::Object`	AbortMultipartUpload CompleteMultipartUpload CopyObject ( solo copie nella stessa regione) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectTagging HeadObject ListMultipartUploads ListObjects ListObjectsV2 ListParts PutObject PutObjectTagging UploadPart UploadPartCopy

Puoi configurare selettori di eventi avanzati per filtrare in base a eventNamereadOnly, e resources.ARN campi per registrare solo gli eventi che ritieni importanti. Per ulteriori informazioni su questi campi, vedere AdvancedFieldSelectornel AWS CloudTrail APIReference.

Eventi di gestione di Amazon S3 in CloudTrail

Amazon S3 registra tutte le operazioni del piano di controllo come eventi di gestione. Per ulteriori informazioni sulle API operazioni di S3, consulta Amazon API S3 Reference.

In che modo CloudTrail acquisisce le richieste fatte ad Amazon S3

Per impostazione predefinita, CloudTrail registra le API chiamate a livello di bucket S3 effettuate negli ultimi 90 giorni, ma non registra le richieste fatte agli oggetti. Le chiamate a livello di bucket includono eventi come CreateBucket, DeleteBucket, PutBucketLifecycle, PutBucketPolicy e così via. Puoi visualizzare gli eventi a livello di bucket sulla console. CloudTrail Tuttavia, non è possibile visualizzare gli eventi relativi ai dati (chiamate a livello di oggetto Amazon S3): è necessario analizzare o interrogare i log per essi. CloudTrail

Azioni a livello di account Amazon S3 tracciate mediante registrazione CloudTrail

CloudTrail registra le azioni a livello di account. I record Amazon S3 vengono scritti insieme ad altri Servizio AWS record in un file di registro. CloudTrail determina quando creare e scrivere su un nuovo file in base a un periodo di tempo e alle dimensioni del file.

Le tabelle in questa sezione elencano le azioni a livello di account Amazon S3 supportate per la registrazione da. CloudTrail

Le API azioni a livello di account Amazon S3 tracciate tramite CloudTrail registrazione vengono visualizzate con i seguenti nomi di eventi. I nomi degli CloudTrail eventi sono diversi dal nome dell'azione. API Ad esempio, DeletePublicAccessBlock è DeleteAccountPublicAccessBlock.

Azioni a livello di bucket di Amazon S3 tracciate mediante registrazione CloudTrail

Per impostazione predefinita, CloudTrail registra le azioni a livello di bucket per i bucket generici. I record Amazon S3 vengono scritti insieme ad altri record di AWS servizio in un file di registro. CloudTrail determina quando creare e scrivere su un nuovo file in base a un periodo di tempo e alle dimensioni del file.

Questa sezione elenca le azioni a livello di bucket di Amazon S3 supportate per la registrazione da. CloudTrail

Le API azioni a livello di bucket di Amazon S3 tracciate tramite la CloudTrail registrazione vengono visualizzate con i seguenti nomi di eventi. In alcuni casi, il nome dell' CloudTrail evento è diverso dal nome dell'azione. API Ad esempio, PutBucketLifecycleConfiguration è PutBucketLifecycle.

Oltre a queste API operazioni, è possibile utilizzare anche OPTIONS azione a livello di oggetto. Questa azione viene considerata come un'azione a livello di bucket nella CloudTrail registrazione perché controlla la CORS configurazione di un bucket.

Azioni a livello di bucket Amazon S3 Express One Zone (APIendpoint regionale) tracciate mediante registrazione CloudTrail

Per impostazione predefinita, CloudTrail registra le azioni a livello di bucket per i bucket di directory come eventi di gestione. Il formato eventsource per gli eventi CloudTrail di gestione per S3 Express One Zone è. s3express.amazonaws.com

Vengono registrate le seguenti API operazioni regionali sugli endpoint. CloudTrail

Per ulteriori informazioni, consulta Logging with AWS CloudTrail for S3 Express One Zone

Azioni a livello di oggetto di Amazon S3 in scenari tra più account

Di seguito sono riportati casi d'uso speciali che coinvolgono le API chiamate a livello di oggetto in scenari tra più account e il modo in cui vengono segnalati i log. CloudTrail CloudTrail consegna i log al richiedente (l'account che ha effettuato la API chiamata), tranne in alcuni casi di accesso negato in cui le voci di registro vengono oscurate o omesse. Quando si imposta l'accesso multiaccount, considerare gli esempi riportati in questa sezione.

Nota

Gli esempi presuppongono che i CloudTrail log siano configurati in modo appropriato.

Esempio 1: CloudTrail consegna i log al proprietario del bucket

CloudTrail consegna i log al proprietario del bucket anche se il proprietario del bucket non dispone delle autorizzazioni per la stessa operazione sull'oggetto. API Si consideri il seguente scenario multiaccount:

L'account A possiede il bucket.
L'account B (richiedente) tenta di accedere a un oggetto in quel bucket.
L'account C è proprietario dell'oggetto. L'account C potrebbe essere o non essere lo stesso account dell'account A.

Nota

CloudTrail consegna sempre i API log a livello di oggetto al richiedente (Account B). CloudTrail Inoltre, fornisce gli stessi log al proprietario del bucket (Account A) anche quando il proprietario del bucket non possiede l'oggetto (Account C) o non dispone delle autorizzazioni per le stesse operazioni su quell'oggetto. API

Esempio 2: CloudTrail non prolifera gli indirizzi e-mail utilizzati nell'impostazione dell'oggetto ACLs

Si consideri il seguente scenario multiaccount:

L'account A possiede il bucket.
L'account B (il richiedente) invia una richiesta per impostare la ACL concessione di un oggetto utilizzando un indirizzo e-mail. Per ulteriori informazioni suACLs, vederePanoramica della lista di controllo degli accessi (ACL).

Il richiedente recupera i log insieme alle informazioni dell'e-mail. Tuttavia, il proprietario del bucket, se è idoneo a ricevere i log, come nell'esempio 1, ottiene il registro che riporta l'evento. CloudTrail Tuttavia, il proprietario del bucket non riceve le informazioni di ACL configurazione, in particolare l'indirizzo e-mail del beneficiario e la concessione. L'unica informazione che il registro comunica al proprietario del bucket è che è stata effettuata una ACL API chiamata dall'Account B.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Registrazione con CloudTrail

File di log di esempio