Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Importante
Amazon S3 ora applica la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) come livello di base della crittografia per ogni bucket di Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato di crittografia automatico per la configurazione di crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei AWS CloudTrail log, in S3 Inventory, S3 Storage Lens, nella console Amazon S3 e come intestazione di risposta dell'API Amazon S3 aggiuntiva nella e. AWS Command Line Interface AWS SDKs Per ulteriori informazioni, consulta Domande frequenti sulla crittografia predefinita.
Questa sezione fornisce informazioni sugli eventi a cui S3 effettua l'accesso. CloudTrail
Eventi relativi ai dati di Amazon S3 in CloudTrail
Gli eventi di dati forniscono informazioni sulle operazioni delle risorse eseguite su o in una risorsa (ad esempio, lettura o scrittura su un oggetto Amazon S3). Queste operazioni sono definite anche operazioni del piano dei dati. Gli eventi di dati sono spesso attività che interessano volumi elevati di dati. Per impostazione predefinita, CloudTrail non registra gli eventi relativi ai dati. La cronologia CloudTrail degli eventi non registra gli eventi relativi ai dati.
Per gli eventi di dati sono previsti costi aggiuntivi. Per ulteriori informazioni sui prezzi di CloudTrail, consulta Prezzi di AWS CloudTrail
Puoi registrare gli eventi relativi ai dati per i tipi di risorse Amazon S3 utilizzando la CloudTrail console o AWS CLI le operazioni CloudTrail API. Per ulteriori informazioni su come registrare gli eventi di dati, consulta Registrazione di eventi di dati con AWS Management Console e Registrazione di eventi di dati con AWS Command Line Interface nella Guida all'utente AWS CloudTrail .
La tabella seguente elenca i tipi di risorse Amazon S3 per i quali è possibile registrare eventi di dati. La colonna Data event type (console) mostra il valore da scegliere dall'elenco Data event type (console) sulla CloudTrail console. La colonna del valore resources.type mostra il resources.type valore da specificare durante la configurazione dei selettori di eventi avanzati utilizzando o. AWS CLI CloudTrail APIs La CloudTrail colonna Dati APIs registrati mostra le chiamate API registrate per il tipo di risorsa. CloudTrail
| Tipo di evento di dati (console) | valore resources.type | Dati registrati APIs su CloudTrail |
|---|---|---|
| S3 |
AWS::S3::Object
|
|
| S3 Express One Zone |
|
|
| Punto di accesso S3 |
AWS::S3::Access Point
|
|
| S3 Object Lambda |
AWS::S3ObjectLambda::AccessPoint
|
|
| S3 Outposts |
AWS::S3Outposts::Object
|
È possibile configurare selettori di eventi avanzati per filtrare i campi eventName, readOnly e resources.ARN per registrare solo gli eventi importanti per l'utente. Per ulteriori informazioni su questi campi, vedere AdvancedFieldSelector nel documento di riferimento delle API AWS CloudTrail
Eventi di gestione di Amazon S3 in CloudTrail
Amazon S3 registra tutte le operazioni del piano di controllo (control-plane) come eventi di gestione. Per ulteriori informazioni sulle operazioni dell'API S3, consulta la documentazione di riferimento delle API di Amazon S3.
Come CloudTrail acquisisce le richieste inviate ad Amazon S3
Per impostazione predefinita, CloudTrail registra le chiamate API a livello di bucket S3 effettuate negli ultimi 90 giorni, ma non registra le richieste fatte agli oggetti. Le chiamate a livello di bucket includono eventi come CreateBucket, DeleteBucket, PutBucketLifecycle, PutBucketPolicy e così via. Puoi visualizzare gli eventi a livello di bucket sulla console. CloudTrail Tuttavia, non è possibile visualizzare gli eventi relativi ai dati (chiamate a livello di oggetto Amazon S3): è necessario analizzare o interrogare i log per essi. CloudTrail
Azioni a livello di account Amazon S3 tracciate mediante registrazione CloudTrail
CloudTrail registra le azioni a livello di account. I record Amazon S3 vengono scritti insieme ad altri Servizio AWS record in un file di registro. CloudTrail determina quando creare e scrivere su un nuovo file in base a un periodo di tempo e alle dimensioni del file.
Le tabelle in questa sezione elencano le azioni a livello di account Amazon S3 supportate per la registrazione da. CloudTrail
Le azioni API a livello di account Amazon S3 tracciate tramite CloudTrail registrazione vengono visualizzate con i seguenti nomi di eventi. I nomi degli CloudTrail eventi sono diversi dal nome dell'azione API. Ad esempio, DeletePublicAccessBlock è DeleteAccountPublicAccessBlock.
Azioni a livello di bucket di Amazon S3 tracciate mediante registrazione CloudTrail
Per impostazione predefinita, CloudTrail registra le azioni a livello di bucket per i bucket generici. I record Amazon S3 vengono scritti insieme ad altri record di AWS servizio in un file di registro. CloudTrail determina quando creare e scrivere su un nuovo file in base a un periodo di tempo e alle dimensioni del file.
Questa sezione elenca le azioni a livello di bucket di Amazon S3 supportate per la registrazione da. CloudTrail
Le azioni API a livello di bucket di Amazon S3 tracciate tramite CloudTrail registrazione vengono visualizzate con i seguenti nomi di eventi. In alcuni casi, il nome dell' CloudTrail evento è diverso dal nome dell'azione dell'API. Ad esempio, PutBucketLifecycleConfiguration è PutBucketLifecycle.
Oltre a queste operazioni API, puoi anche utilizzare il OPTIONS azione a livello di oggetto. Questa azione viene considerata come un'azione a livello di bucket nella CloudTrail registrazione perché controlla la configurazione CORS di un bucket.
Azioni a livello di bucket Amazon S3 Express One Zone (endpoint API regionale) tracciate mediante registrazione CloudTrail
Per impostazione predefinita, CloudTrail registra le azioni a livello di bucket per i bucket di directory come eventi di gestione. Il formato eventsource per gli eventi CloudTrail di gestione per S3 Express One Zone è. s3express.amazonaws.com
Vengono registrate le seguenti operazioni dell'API degli endpoint regionali. CloudTrail
Per ulteriori informazioni, consulta Logging with AWS CloudTrail for S3 Express One Zone
Azioni a livello di oggetto Amazon S3 in scenari multi-account
Di seguito sono riportati i casi d'uso speciali che riguardano le chiamate API a livello di oggetto in scenari tra più account e il modo in cui vengono segnalati i log. CloudTrail CloudTrail consegna i log al richiedente (l'account che ha effettuato la chiamata API), tranne in alcuni casi di accesso negato in cui le voci di registro vengono oscurate o omesse. Quando si imposta l'accesso multiaccount, considerare gli esempi riportati in questa sezione.
Nota
Gli esempi presuppongono che i CloudTrail log siano configurati in modo appropriato.
Esempio 1: CloudTrail consegna i log al proprietario del bucket
CloudTrail consegna i log al proprietario del bucket anche se il proprietario del bucket non dispone delle autorizzazioni per la stessa operazione dell'API dell'oggetto. Si consideri il seguente scenario multiaccount:
-
L'account A possiede il bucket.
-
L'account B (richiedente) tenta di accedere a un oggetto in quel bucket.
-
L'account C è proprietario dell'oggetto. L'account C potrebbe essere o non essere lo stesso account dell'account A.
Nota
CloudTrail consegna sempre i log delle API a livello di oggetto al richiedente (Account B). CloudTrail Inoltre, fornisce gli stessi log al proprietario del bucket (Account A) anche quando il proprietario del bucket non possiede l'oggetto (Account C) o non dispone delle autorizzazioni per le stesse operazioni API su quell'oggetto.
Esempio 2: CloudTrail non prolifera gli indirizzi e-mail utilizzati nell'impostazione dell'oggetto ACLs
Si consideri il seguente scenario multiaccount:
-
L'account A possiede il bucket.
-
L'account B (richiedente) invia una richiesta per impostare un'assegnazione nell'ACL dell'oggetto utilizzando un indirizzo e-mail. Per ulteriori informazioni su ACLs, vederePanoramica delle liste di controllo accessi (ACL).
Il richiedente recupera i log insieme alle informazioni dell'e-mail. Tuttavia, il proprietario del bucket, se è idoneo a ricevere i log, come nell'esempio 1, ottiene il registro che riporta l'evento. CloudTrail Tuttavia, il proprietario del bucket non riceve le informazioni sulla configurazione dell'ACL, in particolare l'indirizzo e-mail dell'assegnatario e l'assegnazione. L'unica informazione riportata nel log per il proprietario del bucket è che l'account B ha effettuato una chiamata dell'API ACL.
