Eventi di dati Amazon S3 in CloudTrail Eventi di gestione di Amazon S3 in CloudTrail Identificazione delle richieste Amazon S3 Azioni a livello di account Amazon S3 tracciate dalla registrazione CloudTrail Azioni a livello di bucket di Amazon S3 che vengono tracciate dalla registrazione di CloudTrail Azioni a livello di bucket di Amazon S3 Express One Zone (endpoint API regionale) tracciate dal log di CloudTrail Azioni a livello di oggetto Amazon S3 in scenari multi-account

Eventi di Amazon S3 CloudTrail

Importante

Amazon S3 ora applica la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) come livello base di crittografia per ogni bucket in Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato della crittografia automatica per la configurazione della crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei log di AWS CloudTrail, in Inventario S3, in S3 Storage Lens, nella console di Amazon S3 e come intestazione di risposta API Amazon S3 aggiuntiva nella AWS Command Line Interface e negli SDK AWS. Per ulteriori informazioni, consulta le FAQ sulla crittografia predefinita.

Questa sezione fornisce informazioni sugli eventi che S3 registra in CloudTrail.

Eventi di dati Amazon S3 in CloudTrail

Glieventi dati forniscono informazioni sulle operazioni eseguite su o in una risorsa (ad esempio, la lettura o la scrittura di un oggetto Amazon S3). Queste operazioni sono note anche come operazioni del piano dati. Gli eventi di dati sono spesso attività ad alto volume. Per impostazione predefinita, CloudTrail non registra gli eventi di dati. La cronologia degli eventi di CloudTrail non registra gli eventi di dati.

Per gli eventi dati si applicano costi aggiuntivi. Per ulteriori informazioni sui prezzi di CloudTrail, consulta AWS CloudTrail .

È possibile registrare eventi di dati per i tipi di risorse Amazon S3 utilizzando la console CloudTrail, AWS CLIo le operazioni API CloudTrail. Per ulteriori informazioni su come registrare gli eventi di dati, consulta Registrazione di eventi di dati con AWS Management Console e Registrazione di eventi di dati con AWS Command Line Interface nella Guida all'utente AWS CloudTrail.

La tabella seguente elenca i tipi di risorse Amazon S3 per i quali è possibile registrare eventi di dati. La colonna Tipo di evento dati (console) mostra il valore da scegli dall'elenco Tipo di evento dati sulla console di CloudTrail. La colonna resources.type value mostra il valore resources.type, da specificare quando si configurano selettori di eventi avanzati utilizzando le API AWS CLI o CloudTrail. La colonna Dati API registrati su CloudTrail mostra le chiamate API registrate su CloudTrail per il tipo di risorsa.

Tipo di evento dati (console)	valore resources.type	Dati API registrati in CloudTrail
S3	`AWS::S3::Object`	AbortMultipartUpload CompleteMultipartUpload CopyObject CreateMultipartUpload DeleteObject DeleteObjectTagging DeleteObjects GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging GetObjectTorrent HeadObject ListMultipartUploads ListObjectVersions ListObjects ListParts PutObject PutObjectAcl PutObjectLegalHold PutObjectRetention PutObjectTagging RestoreObject SelectObjectContent UploadPart UploadPartCopy
S3 Express One Zone	`AWS::S3Express::Object`	AbortMultipartUpload CompleteMultipartUpload CreateSession CopyObject CreateMultipartUpload DeleteObject DeleteObjects GetObject GetObjectAttributes HeadBucket HeadObject ListObjectsV2 ListParts PutObject UploadPart UploadPartCopy
S3 Access Point	`AWS::S3::Access Point`	AbortMultipartUpload CompleteMultipartUpload CopyObject (solo copie per la stessa Regione) CreateMultipartUpload DeleteObject DeleteObjectTagging GetBucketAcl GetBucketCors GetBucketLocation GetBucketNotificationConfiguration GetBucketPolicy GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging HeadBucket HeadObject ListMultipartUploads ListObjects ListObjectsV2 ListObjectVersions ListParts Presign PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart UploadPartCopy (solo copie per la stessa Regione)
S3 Object Lambda	`AWS::S3ObjectLambda::AccessPoint`	AbortMultipartUpload CompleteMultipartUpload CopyObject (solo copie per la stessa Regione) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectAcl GetObjectLegalHold GetObjectRetention GetObjectTagging HeadObject ListMultipartUploads ListObjects ListObjectVersions ListParts PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart WriteGetObjectResponse
S3 Outposts	`AWS::S3Outposts::Object`	AbortMultipartUpload CompleteMultipartUpload CopyObject (solo copie per la stessa Regione) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectTagging HeadObject ListMultipartUploads ListObjects ListObjectsV2 ListParts PutObject PutObjectTagging UploadPart UploadPartCopy

È possibile configurare selettori di eventi avanzati per filtrare i campi eventName, readOnly e resources.ARN per registrare solo gli eventi importanti per l'utente. Per ulteriori informazioni su questi campi, consulta AdvancedFieldSelector in Riferimento API AWS CloudTrail.

Eventi di gestione di Amazon S3 in CloudTrail

Amazon S3 registra tutte le operazioni del piano di controllo (control-plane) come eventi di gestione. Per ulteriori informazioni sulle operazioni dell'API S3, consulta la documentazione di riferimento delle API di Amazon S3.

Come CloudTrail cattura le richieste fatte ad Amazon S3

Per impostazione predefinita, CloudTrail registra le chiamate API a livello di bucket S3 effettuate negli ultimi 90 giorni, ma non le richieste effettuate agli oggetti. Le chiamate a livello di bucket includono eventi come CreateBucket, DeleteBucket, PutBucketLifecycle, PutBucketPolicy e così via. È possibile consulta gli eventi a livello di bucket nella console di CloudTrail. Tuttavia, non è possibile visualizzare gli eventi di dati (chiamate a livello di oggetti di Amazon S3): è necessario analizzare o interrogare i log di CloudTrail per trovarli.

Azioni a livello di account Amazon S3 tracciate dalla registrazione CloudTrail

CloudTrail registra le azioni a livello di account. I record di Amazon S3 vengono scritti insieme ad altri record del Servizio AWS in un file di log. CloudTrail determina quando creare e scrivere su un nuovo file in base a un periodo di tempo e alle dimensioni del file.

Le tabelle di questa sezione elencano le azioni a livello di account Amazon S3 supportate per la registrazione da CloudTrail.

Le operazioni API a livello di account di Amazon S3 monitorate tramite la registrazione CloudTrail vengono visualizzate con i seguenti nomi di eventi. I nomi di eventi CloudTrail sono diversi dal nome dell'operazione API. Ad esempio, DeletePublicAccessBlock è DeleteAccountPublicAccessBlock.

Azioni a livello di bucket di Amazon S3 che vengono tracciate dalla registrazione di CloudTrail

Per impostazione predefinita, CloudTrail registra i log delle azioni a livello di bucket per bucket per uso generico. I record di Amazon S3 vengono scritti insieme ad altri record del servizio AWS in un file di log. CloudTrail determina quando creare e scrivere su un nuovo file in base a un periodo di tempo e alle dimensioni del file.

Questa sezione elenca le azioni a livello di bucket Amazon S3 supportate per la registrazione di log da parte di CloudTrail.

Le azioni API a livello di bucket di Amazon S3 tracciate dal logging di CloudTrail appaiono come i seguenti nomi di eventi. In alcuni casi, il nome dell'evento CloudTrail differisce dal nome dell'azione API. Ad esempio, PutBucketLifecycleConfiguration è PutBucketLifecycle.

Oltre a queste operazioni API, è possibile utilizza l'azione a livello di oggetto OPTIONS. Questa azione è trattata come un'azione a livello di bucket nel logging di CloudTrail, perché l'azione controlla la configurazione CORS di un bucket.

Azioni a livello di bucket di Amazon S3 Express One Zone (endpoint API regionale) tracciate dal log di CloudTrail

Per impostazione predefinita, CloudTrail registra le azioni a livello di bucket per i bucket di directory come eventi di gestione. eventsource per gli eventi di gestione di CloudTrail per S3 Express One Zone è s3express.amazonaws.com.

Le seguenti operazioni dell'endpoint API regionale vengono registrate in CloudTrail.

Per ulteriori informazioni, consulta Registrazione con AWS CloudTrail per S3 Express One Zone

Azioni a livello di oggetto Amazon S3 in scenari multi-account

Di seguito sono riportati casi d'uso speciali che coinvolgono le chiamate API a livello di oggetto in scenari cross-account e il modo in cui vengono riportati i log di CloudTrail. CloudTrail consegna i log al richiedente (l'account che ha effettuato la chiamata API), tranne in alcuni casi di accesso negato in cui le voci di log vengono redatte o omesse. Quando si configura l'accesso trasversale agli account, tenere conto degli esempi riportati in questa sezione.

Nota

Gli esempi presuppongono che i log di CloudTrail siano configurati in modo appropriato.

Esempio 1: CloudTrail distribuisce i log al proprietario del bucket

CloudTrail distribuisce i log al proprietario del bucket anche se questi non dispone delle autorizzazioni per la stessa operazione API dell'oggetto. Si consideri il seguente scenario di conti incrociati:

L'account A possiede il bucket.
L'account B (richiedente) tenta di accedere a un oggetto in quel bucket.
L'account C è proprietario dell'oggetto. L'account C potrebbe essere o non essere lo stesso account dell'account A.

Nota

CloudTrail distribuisce sempre al richiedente (account-B) i log dell'API a livello di oggetto. Inoltre, CloudTrail distribuisce gli stessi log al proprietario del bucket (account A) anche se il proprietario del bucket non è proprietario dell'oggetto (account C) o se dispone delle autorizzazioni per le stesse operazioni API su tale oggetto.

Esempio 2: CloudTrail non moltiplica gli indirizzi e-mail utilizzati per impostare le ACL degli oggetti

Si consideri il seguente scenario di conti incrociati:

L'account A possiede il bucket.
L'account B (richiedente) invia una richiesta per impostare un'assegnazione nell'ACL dell'oggetto utilizzando un indirizzo e-mail. Per ulteriori informazioni sulle ACL, consulta Panoramica delle liste di controllo accessi (ACL).

Il richiedente recupera i log insieme alle informazioni dell'e-mail. Tuttavia, il proprietario del bucket, se è abilitato a ricevere i log, come nell'esempio 1, riceve il log di CloudTrail che riporta l'evento. Tuttavia, il proprietario del bucket non riceve le informazioni sulla configurazione dell'ACL, in particolare l'indirizzo e-mail dell'assegnatario e l'assegnazione. L'unica informazione riportata nel log per il proprietario del bucket è che l'account B ha effettuato una chiamata dell'API ACL.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Registrazione con CloudTrail

Esempi di file di log