Registrazione delle chiamate Amazon API S3 tramite AWS CloudTrail - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Registrazione delle chiamate Amazon API S3 tramite AWS CloudTrail

Amazon S3 è integrato con AWS CloudTrail, un servizio che fornisce un registro delle azioni intraprese da un utente, ruolo o un. Servizio AWS CloudTrail acquisisce tutte le API chiamate per Amazon S3 come eventi. Le chiamate acquisite includono chiamate dalla console Amazon S3 e chiamate in codice verso le operazioni di Amazon API S3. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta effettuata ad Amazon S3, l'indirizzo IP da cui è stata effettuata, quando è stata effettuata e ulteriori dettagli.

Ogni evento o voce di log contiene informazioni sull'utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:

  • Se la richiesta è stata effettuata con le credenziali utente root o utente.

  • Se la richiesta è stata effettuata per conto di un utente di IAM Identity Center.

  • Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.

  • Se la richiesta è stata effettuata da un altro Servizio AWS.

CloudTrail è attivo nel tuo account Account AWS quando crei l'account e hai automaticamente accesso alla cronologia degli CloudTrail eventi. La cronologia CloudTrail degli eventi fornisce un record visualizzabile, ricercabile, scaricabile e immutabile degli ultimi 90 giorni di eventi di gestione registrati in un. Regione AWSPer ulteriori informazioni, consulta Lavorare con la cronologia degli CloudTrail eventi nella Guida per l'utente.AWS CloudTrail Non sono CloudTrail previsti costi per la visualizzazione della cronologia degli eventi.

Per una registrazione continua degli eventi degli Account AWS ultimi 90 giorni, crea un trail o un data store di eventi CloudTrailLake.

CloudTrail sentieri

Un trail consente di CloudTrail inviare file di log a un bucket Amazon S3. Tutti i percorsi creati utilizzando il AWS Management Console sono multiregionali. È possibile creare un percorso a regione singola o multiregione utilizzando. AWS CLI La creazione di un percorso multiregionale è consigliata in quanto consente di registrare l'intera attività del proprio account Regioni AWS . Se crei un percorso a regione singola, puoi visualizzare solo gli eventi registrati nel percorso. Regione AWS Per ulteriori informazioni sui percorsi, consulta Creazione di un percorso per te Account AWS e Creazione di un percorso per un'organizzazione nella Guida per l'AWS CloudTrail utente.

Puoi inviare gratuitamente una copia dei tuoi eventi di gestione in corso al tuo bucket Amazon S3 CloudTrail creando un percorso, tuttavia ci sono costi di storage di Amazon S3. Per ulteriori informazioni sui CloudTrail prezzi, consulta la pagina Prezzi.AWS CloudTrail Per informazioni sui prezzi di Amazon S3, consulta Prezzi di Amazon S3.

CloudTrail Archivi di dati sugli eventi di Lake

CloudTrail Lake ti consente di eseguire query SQL basate sui tuoi eventi. CloudTrail Lake converte gli eventi esistenti in JSON formato basato su righe in formato Apache. ORC ORCè un formato di archiviazione colonnare ottimizzato per il recupero rapido dei dati. Gli eventi vengono aggregati in archivi di dati degli eventi, che sono raccolte di eventi immutabili basate sui criteri selezionati applicando i selettori di eventi avanzati. I selettori applicati a un archivio di dati degli eventi controllano quali eventi persistono e sono disponibili per l'esecuzione della query. Per ulteriori informazioni su CloudTrail Lake, consulta Working with AWS CloudTrail Lake nella Guida per l'utente.AWS CloudTrail

CloudTrail Gli archivi e le richieste di dati sugli eventi di Lake comportano dei costi. Quando crei un datastore di eventi, scegli l'opzione di prezzo da utilizzare per tale datastore. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. Per ulteriori informazioni sui CloudTrail prezzi, consulta Prezzi.AWS CloudTrail

È possibile archiviare i file di log nel bucket per un periodo di tempo indeterminato, ma è anche possibile definire regole per il ciclo di vita di Amazon S3 per archiviare o eliminare automaticamente i file di log. Per impostazione predefinita, i file di registro sono crittografati utilizzando la crittografia lato server di Amazon S3 (). SSE

Utilizzo CloudTrail dei log con i log di accesso e i log del server Amazon S3 CloudWatch

AWS CloudTrail i log forniscono un registro delle azioni intraprese da un utente, un ruolo o un AWS servizio in Amazon S3, mentre i log di accesso al server di Amazon S3 forniscono record dettagliati per le richieste effettuate a un bucket S3. Per ulteriori informazioni sul funzionamento dei diversi log e delle relative proprietà, prestazioni e costi, consulta Opzioni di registrazione per Amazon S3.

Puoi utilizzare AWS CloudTrail i log insieme ai log di accesso al server per Amazon S3. CloudTrail i log forniscono un API monitoraggio dettagliato per le operazioni a livello di bucket e a livello di oggetto di Amazon S3. I log di accesso al server per Amazon S3 ti offrono la visibilità delle operazioni a livello di oggetto sui tuoi dati in Amazon S3. Per ulteriori informazioni sui log degli accessi al server, consultare Registrazione delle richieste con registrazione dell'accesso al server.

Puoi anche utilizzare CloudTrail i log insieme ad Amazon CloudWatch per Amazon S3. CloudTrail l'integrazione con CloudWatch Logs fornisce l'APIattività a livello di bucket S3 acquisita da un flusso CloudTrail di CloudWatch log nel gruppo di log specificato CloudWatch . Puoi creare CloudWatch allarmi per monitorare API attività specifiche e ricevere notifiche e-mail quando si verifica un'attività specifica. API Per ulteriori informazioni sugli CloudWatch allarmi per il monitoraggio di API attività specifiche, consulta la Guida per l'AWS CloudTrail utente. Per ulteriori informazioni sull'utilizzo CloudWatch con Amazon S3, consulta. Monitoraggio delle metriche con Amazon CloudWatch

Nota

S3 non supporta l'invio di CloudTrail log al richiedente o al proprietario del bucket per le richieste degli endpoint quando la policy dell'VPCendpoint le nega. VPC

CloudTrail tracciamento con chiamate Amazon S3 SOAP API

CloudTrail tiene traccia delle chiamate Amazon S3 SOAPAPI. Il SOAP supporto di Amazon S3 HTTP è obsoleto, ma è ancora disponibile su. HTTPS Per ulteriori informazioni sul SOAP supporto di Amazon S3, consulta l'Appendice: SOAP API in Amazon S3 Reference. API

Importante

Le funzionalità più recenti di Amazon S3 non sono supportate per. SOAP Ti consigliamo di utilizzare il REST API o il. AWS SDKs

La tabella seguente mostra le SOAP azioni di Amazon S3 tracciate mediante registrazione. CloudTrail

SOAPAPInome APInome dell'evento utilizzato nel CloudTrail registro

ListAllMyBuckets

ListBuckets

CreateBucket

CreateBucket

DeleteBucket

DeleteBucket

GetBucketAccessControlPolicy

GetBucketAcl

SetBucketAccessControlPolicy

PutBucketAcl

GetBucketLoggingStatus

GetBucketLogging

SetBucketLoggingStatus

PutBucketLogging

Per ulteriori informazioni su CloudTrail Amazon S3, consulta i seguenti argomenti: