Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Registrazione delle chiamate API Amazon S3 tramite AWS CloudTrail
[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)è un servizio che fornisce un registro delle azioni intraprese da un utente, un ruolo o un Servizio AWS. CloudTrail acquisisce tutte le chiamate API per Amazon S3 come eventi. Le chiamate acquisite includono chiamate dalla console Amazon S3 e chiamate di codice alle operazioni API Amazon S3. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta effettuata ad Amazon S3, l'indirizzo IP da cui è stata effettuata, quando è stata effettuata e ulteriori dettagli.
Ogni evento o voce di log contiene informazioni sull’utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:
+ Se la richiesta è stata effettuata con le credenziali utente root o utente.
+ Se la richiesta è stata effettuata per conto di un utente del Centro identità IAM.
+ Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.
+ Se la richiesta è stata effettuata da un altro Servizio AWS.
CloudTrail è attivo nel tuo account Account AWS quando crei l'account e hai automaticamente accesso alla **cronologia degli CloudTrail eventi**. La **cronologia CloudTrail degli eventi** fornisce un record visualizzabile, ricercabile, scaricabile e immutabile degli ultimi 90 giorni di eventi di gestione registrati in un. Regione AWS*Per ulteriori informazioni, consulta [Lavorare con la cronologia degli CloudTrail eventi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) nella Guida per l'utente.AWS CloudTrail * Non sono CloudTrail previsti costi per la visualizzazione della **cronologia degli eventi**.
Per una registrazione continua degli eventi degli Account AWS ultimi 90 giorni, crea un trail o un data store di eventi [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html).
**CloudTrail sentieri**
Un *trail* consente di CloudTrail inviare file di log a un bucket Amazon S3. Tutti i percorsi creati utilizzando il Console di gestione AWS sono multiregionali. È possibile creare un trail per una singola Regione o per più Regioni tramite AWS CLI. La creazione di un percorso multiregionale è consigliata in quanto consente di registrare l'intera attività del proprio Regioni AWS account. Se si crea un trail per una singola Regione, è possibile visualizzare solo gli eventi registrati nella Regione AWS del trail. Per ulteriori informazioni sui trail, consulta [Creating a trail for your Account AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) e [Creating a trail for an organization](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) nella *Guida per l'utente di AWS CloudTrail *.
Puoi inviare gratuitamente una copia dei tuoi eventi di gestione in corso al tuo bucket Amazon S3 CloudTrail creando un percorso, tuttavia ci sono costi di storage di Amazon S3. [Per ulteriori informazioni sui CloudTrail prezzi, consulta la pagina Prezzi.AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/) Per informazioni sui prezzi di Amazon S3, consulta [Prezzi di Amazon S3](https://aws.amazon.com/s3/pricing/).
**CloudTrail Archivi di dati sugli eventi di Lake**
*CloudTrail Lake* ti consente di eseguire query basate su SQL sui tuoi eventi. CloudTrail [Lake converte gli eventi esistenti in formato JSON basato su righe in formato Apache ORC.](https://orc.apache.org/) ORC è un formato di archiviazione a colonne ottimizzato per il recupero rapido dei dati. Gli eventi vengono aggregati in *archivi di dati degli eventi*, che sono raccolte di eventi immutabili basate sui criteri selezionati applicando i [selettori di eventi avanzati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors). I selettori applicati a un archivio di dati degli eventi controllano quali eventi persistono e sono disponibili per l'esecuzione della query. *Per ulteriori informazioni su CloudTrail Lake, consulta [Working with AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) nella Guida per l'utente.AWS CloudTrail *
CloudTrail Gli archivi e le richieste di dati sugli eventi di Lake comportano dei costi. Quando crei un datastore di eventi, scegli l'[opzione di prezzo](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) da utilizzare per tale datastore. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. [Per ulteriori informazioni sui CloudTrail prezzi, consulta la sezione Prezzi.AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/)
È possibile archiviare i file di log nel bucket per un periodo di tempo indeterminato, ma è anche possibile definire regole per il ciclo di vita di Amazon S3 per archiviare o eliminare automaticamente i file di log. Per impostazione predefinita, i file di log sono crittografati mediante la crittografia lato server (SSE) di Amazon S3.
## Utilizzo CloudTrail dei log con i log di accesso e i log del server Amazon S3 CloudWatch
AWS CloudTrail i log forniscono un registro delle azioni intraprese da un utente, un ruolo o un AWS servizio in Amazon S3, mentre i log di accesso al server di Amazon S3 forniscono record dettagliati per le richieste effettuate a un bucket S3. Per ulteriori informazioni sul funzionamento dei diversi log e delle relative proprietà, prestazioni e costi, consulta [Opzioni di registrazione per Amazon S3](logging-with-S3.md).
Puoi utilizzare AWS CloudTrail i log insieme ai log di accesso al server per Amazon S3. CloudTrail i log forniscono un monitoraggio dettagliato delle API per le operazioni a livello di bucket e a livello di oggetto di Amazon S3. I log di accesso al server per Amazon S3 forniscono visibilità sulle operazioni a livello di oggetto sui dati in Amazon S3. Per ulteriori informazioni sui log degli accessi al server, consultare [Registrazione delle richieste con registrazione dell'accesso al server](ServerLogs.md).
Puoi anche utilizzare CloudTrail i log insieme ad Amazon CloudWatch per Amazon S3. CloudTrail l'integrazione con CloudWatch Logs fornisce l'attività dell'API a livello di bucket S3 acquisita da un flusso CloudTrail di CloudWatch log nel gruppo di log specificato CloudWatch . Puoi creare CloudWatch allarmi per monitorare attività API specifiche e ricevere notifiche e-mail quando si verifica un'attività API specifica. Per ulteriori informazioni sugli CloudWatch allarmi per il monitoraggio di attività specifiche dell'API, consulta la Guida per l'[AWS CloudTrail utente](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/). Per ulteriori informazioni sull'utilizzo CloudWatch con Amazon S3, consulta. [Monitoraggio delle metriche con Amazon CloudWatch](cloudwatch-monitoring.md)
**Nota**
S3 non supporta la consegna dei CloudTrail log al richiedente o al proprietario del bucket per le richieste degli endpoint VPC quando la policy degli endpoint VPC le nega.
## CloudTrail tracciamento con chiamate API SOAP di Amazon S3
CloudTrail tiene traccia delle chiamate API SOAP di Amazon S3. Il supporto SOAP di Amazon S3 su HTTP è obsoleto, ma è comunque disponibile su HTTPS. Per ulteriori informazioni sul supporto SOAP di Amazon S3, consulta [Appendice: API SOAP](https://docs.aws.amazon.com/AmazonS3/latest/API/APISoap.html) nella *Guida alle API di Amazon S3*.
**Importante**
Le funzioni più recenti di Amazon S3 non sono supportate per SOAP. Ti consigliamo di utilizzare l'API REST o il AWS SDKs.
La tabella seguente mostra le azioni SOAP di Amazon S3 tracciate mediante registrazione. CloudTrail
| Nome API SOAP | Nome dell'evento API utilizzato nel registro CloudTrail |
| --- | --- |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPListAllMyBuckets.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPListAllMyBuckets.html) | ListBuckets |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPCreateBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPCreateBucket.html) | CreateBucket |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPDeleteBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPDeleteBucket.html) | DeleteBucket |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPGetBucketAccessControlPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPGetBucketAccessControlPolicy.html) | GetBucketAcl |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPSetBucketAccessControlPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPSetBucketAccessControlPolicy.html) | PutBucketAcl |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPGetBucketLoggingStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPGetBucketLoggingStatus.html) | GetBucketLogging |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPSetBucketLoggingStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPSetBucketLoggingStatus.html) | PutBucketLogging |
Per ulteriori informazioni su CloudTrail Amazon S3, consulta i seguenti argomenti:
**Topics**
+ [
## Utilizzo CloudTrail dei log con i log di accesso e i log del server Amazon S3 CloudWatch
](#cloudtrail-logging-vs-server-logs)
+ [
## CloudTrail tracciamento con chiamate API SOAP di Amazon S3
](#cloudtrail-s3-soap)
+ [
# Eventi Amazon S3 CloudTrail
](cloudtrail-logging-s3-info.md)
+ [
# CloudTrail voci dei file di registro per Amazon S3 e S3 su Outposts
](cloudtrail-logging-understanding-s3-entries.md)
+ [
# Abilitazione della registrazione CloudTrail degli eventi per i bucket e gli oggetti S3
](enable-cloudtrail-logging-for-s3.md)
+ [
# Identificazione delle richieste Amazon S3 tramite CloudTrail
](cloudtrail-request-identification.md)
# Eventi Amazon S3 CloudTrail
**Importante**
Amazon S3 ora applica la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) come livello di base della crittografia per ogni bucket di Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato di crittografia automatico per la configurazione di crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei CloudTrail log, in S3 Inventory, S3 Storage Lens, nella console Amazon S3 e come intestazione di risposta dell'API Amazon S3 aggiuntiva nella e. AWS CLI AWS SDKs Per ulteriori informazioni, consulta [Domande frequenti sulla crittografia predefinita](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html).
Questa sezione fornisce informazioni sugli eventi a cui S3 effettua l'accesso. CloudTrail
## Eventi relativi ai dati di Amazon S3 in CloudTrail
Gli [eventi di dati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events) forniscono informazioni sulle operazioni delle risorse eseguite su o in una risorsa (ad esempio, lettura o scrittura su un oggetto Amazon S3). Queste operazioni sono definite anche operazioni del piano dei dati. Gli eventi di dati sono spesso attività che interessano volumi elevati di dati. Per impostazione predefinita, CloudTrail non registra gli eventi relativi ai dati. La **cronologia CloudTrail degli eventi** non registra gli eventi relativi ai dati.
Per gli eventi di dati sono previsti costi aggiuntivi. Per ulteriori informazioni sui prezzi di CloudTrail, consulta [Prezzi di AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).
Puoi registrare gli eventi relativi ai dati per i tipi di risorse Amazon S3 utilizzando la CloudTrail console o AWS CLI le operazioni CloudTrail API. Per ulteriori informazioni su come registrare gli eventi di dati, consulta [Registrazione di eventi di dati con Console di gestione AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-console) e [Registrazione di eventi di dati con AWS Command Line Interface](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#creating-data-event-selectors-with-the-AWS-CLI) nella *Guida all'utente AWS CloudTrail *.
La tabella seguente elenca i tipi di risorse Amazon S3 per i quali è possibile registrare eventi di dati. La colonna **Data event type (console)** mostra il valore da scegliere dall'elenco **Data event type** (console) sulla CloudTrail console. La colonna del **valore resources.type** mostra il `resources.type` valore da specificare durante la configurazione dei selettori di eventi avanzati utilizzando o. AWS CLI CloudTrail APIs La CloudTrail colonna **Dati APIs registrati mostra le chiamate API registrate per** il tipo di risorsa. CloudTrail
| Tipo di evento di dati (console) | valore resources.type | Dati registrati APIs su CloudTrail |
| --- | --- | --- |
| S3 | AWS::S3::Object | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html) |
| S3 Express One Zone | AWS::S3Express::Object | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html) |
| Punto di accesso S3 | AWS::S3::Access Point | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html) |
| S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html) |
| S3 Outposts | AWS::S3Outposts::Object | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html) |
È possibile configurare selettori di eventi avanzati per filtrare i campi `eventName`, `readOnly` e `resources.ARN` per registrare solo gli eventi importanti per l'utente. Per ulteriori informazioni su questi campi, consulta [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html) in *Riferimento API AWS CloudTrail *.
## Eventi di gestione di Amazon S3 in CloudTrail
Amazon S3 registra tutte le operazioni del piano di controllo (control-plane) come eventi di gestione. Per ulteriori informazioni sulle operazioni dell'API S3, consulta la [documentazione di riferimento delle API di Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/API/API_Operations.html).
## Come CloudTrail acquisisce le richieste inviate ad Amazon S3
Per impostazione predefinita, CloudTrail registra le chiamate API a livello di bucket S3 effettuate negli ultimi 90 giorni, ma non registra le richieste fatte agli oggetti. Le chiamate a livello di bucket includono eventi come `CreateBucket`, `DeleteBucket`, `PutBucketLifecycle`, `PutBucketPolicy` e così via. Puoi visualizzare gli eventi a livello di bucket sulla console. CloudTrail Tuttavia, non è possibile visualizzare gli eventi relativi ai dati (chiamate a livello di oggetto Amazon S3): è necessario analizzare o interrogare i log per essi. CloudTrail
Se stai registrando l'attività dei dati con AWS CloudTrail, il record di evento per un evento di dati di Amazon `DeleteObjects` S3 include sia `DeleteObjects` l'evento che `DeleteObject` un evento per ogni oggetto eliminato come parte di tale operazione. È possibile escludere la visibilità aggiuntiva sugli oggetti eliminati dal record dell’evento. Per ulteriori informazioni, consulta [Esempi della AWS CLI per filtrare eventi di dati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/filtering-data-events.html#filtering-data-events-deleteobjects) nella *Guida per l’utente dell’AWS CloudTrail *.
## Azioni a livello di account Amazon S3 tracciate mediante registrazione CloudTrail
CloudTrail registra le azioni a livello di account. I record Amazon S3 vengono scritti insieme ad altri Servizio AWS record in un file di registro. CloudTrail determina quando creare e scrivere su un nuovo file in base a un periodo di tempo e alle dimensioni del file.
Le tabelle in questa sezione elencano le azioni a livello di account Amazon S3 supportate per la registrazione da. CloudTrail
Le azioni API a livello di account Amazon S3 tracciate tramite CloudTrail registrazione vengono visualizzate con i seguenti nomi di eventi. I nomi degli CloudTrail eventi sono diversi dal nome dell'azione API. Ad esempio, DeletePublicAccessBlock è DeleteAccountPublicAccessBlock.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeletePublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeletePublicAccessBlock.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetPublicAccessBlock.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutPublicAccessBlock.html)
## Azioni a livello di bucket di Amazon S3 tracciate mediante registrazione CloudTrail
Per impostazione predefinita, CloudTrail registra le azioni a livello di bucket per i bucket generici. I record Amazon S3 vengono scritti insieme ad altri record di AWS servizio in un file di registro. CloudTrail determina quando creare e scrivere su un nuovo file in base a un periodo di tempo e alle dimensioni del file.
Questa sezione elenca le azioni a livello di bucket di Amazon S3 supportate per la registrazione da. CloudTrail
Le azioni API a livello di bucket di Amazon S3 tracciate tramite CloudTrail registrazione vengono visualizzate con i seguenti nomi di eventi. In alcuni casi, il nome dell' CloudTrail evento è diverso dal nome dell'azione dell'API. Ad esempio, `PutBucketLifecycleConfiguration` è `PutBucketLifecycle`.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataConfiguration.html) (operazione API V2)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataTableConfiguration.html) (operazione API V1)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketAnalyticsConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketCors.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketIntelligentTieringConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketInventoryConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketLifecycle.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataConfiguration.html) (operazione API V2)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html) (operazione API V1)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetricsConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketOwnershipControls.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketReplication.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketTagging.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAccelerateConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAccelerateConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAnalyticsConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketIntelligentTieringConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketInventoryConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLifecycle.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLogging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLogging.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataConfiguration.html) (operazione API V2)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html) (operazione API V1)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetricsConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotification.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotification.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLockConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLockConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketOwnershipControls.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicyStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicyStatus.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketRequestPayment.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketRequestPayment.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketTagging.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketVersioning.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketVersioning.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketWebsite.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketWebsite.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAccelerateConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAccelerateConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAcl.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAnalyticsConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketCors.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketIntelligentTieringConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketInventoryConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLifecycle.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLogging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLogging.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketMetricsConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketNotification.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketNotification.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLockConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLockConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketOwnershipControls.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketRequestPayment.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketRequestPayment.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketTagging.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketVersioning.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketVersioning.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketWebsite.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketWebsite.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataJournalTableConfiguratione.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataJournalTableConfiguratione.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataInventoryTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataInventoryTableConfiguration.html)
Oltre a tali operazioni API, è possibile utilizzare anche l'operazione a livello di oggetto [oggetto OPTIONS](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTOPTIONSobject.html). Questa azione viene considerata come un'azione a livello di bucket nella CloudTrail registrazione perché controlla la configurazione CORS di un bucket.
**Nota**
L' HeadBucket API è supportata come evento di dati Amazon S3 in. CloudTrail
## Azioni a livello di bucket Amazon S3 Express One Zone (endpoint API regionale) tracciate mediante registrazione CloudTrail
Per impostazione predefinita, CloudTrail registra le azioni a livello di bucket per i bucket di directory come eventi di gestione. Il formato `eventsource` per gli eventi CloudTrail di gestione per S3 Express One Zone è. `s3express.amazonaws.com`
Vengono registrate le seguenti operazioni dell'API degli endpoint regionali. CloudTrail
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListDirectoryBuckets.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListDirectoryBuckets.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html)
Per ulteriori informazioni, consulta [Logging with AWS CloudTrail for S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-one-zone-logging.html) Express One Zone
## Azioni a livello di oggetto Amazon S3 in scenari multi-account
Di seguito sono riportati i casi d'uso speciali che riguardano le chiamate API a livello di oggetto in scenari tra più account e il modo in cui vengono segnalati i log. CloudTrail CloudTrail consegna i log al richiedente (l'account che ha effettuato la chiamata API), tranne in alcuni casi di accesso negato in cui le voci di registro vengono oscurate o omesse. Quando si imposta l'accesso multiaccount, considerare gli esempi riportati in questa sezione.
**Nota**
Gli esempi presuppongono che i CloudTrail log siano configurati in modo appropriato.
### Esempio 1: CloudTrail consegna i log al proprietario del bucket
CloudTrail consegna i log al proprietario del bucket anche se il proprietario del bucket non dispone delle autorizzazioni per la stessa operazione dell'API dell'oggetto. Si consideri il seguente scenario multiaccount:
+ L'account A possiede il bucket.
+ L'account B (richiedente) tenta di accedere a un oggetto in quel bucket.
+ L'account C è proprietario dell'oggetto. L'account C potrebbe essere o non essere lo stesso account dell'account A.
**Nota**
CloudTrail consegna sempre i log delle API a livello di oggetto al richiedente (Account B). CloudTrail Inoltre, fornisce gli stessi log al proprietario del bucket (Account A) anche quando il proprietario del bucket non possiede l'oggetto (Account C) o non dispone delle autorizzazioni per le stesse operazioni API su quell'oggetto.
### Esempio 2: CloudTrail non prolifera gli indirizzi e-mail utilizzati nell'impostazione dell'oggetto ACLs
Si consideri il seguente scenario multiaccount:
+ L'account A possiede il bucket.
+ L'account B (richiedente) invia una richiesta per impostare un'assegnazione nell'ACL dell'oggetto utilizzando un indirizzo e-mail. Per ulteriori informazioni su ACLs, vedere[Panoramica delle liste di controllo accessi (ACL)](acl-overview.md).
Il richiedente recupera i log insieme alle informazioni dell'e-mail. Tuttavia, il proprietario del bucket, se è idoneo a ricevere i log, come nell'esempio 1, ottiene il registro che riporta l'evento. CloudTrail Tuttavia, il proprietario del bucket non riceve le informazioni sulla configurazione dell'ACL, in particolare l'indirizzo e-mail dell'assegnatario e l'assegnazione. L'unica informazione riportata nel log per il proprietario del bucket è che l'account B ha effettuato una chiamata dell'API ACL.
# CloudTrail voci dei file di registro per Amazon S3 e S3 su Outposts
**Importante**
Amazon S3 ora applica la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) come livello di base della crittografia per ogni bucket di Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato di crittografia automatico per la configurazione di crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei CloudTrail log, in S3 Inventory, S3 Storage Lens, nella console Amazon S3 e come intestazione di risposta dell'API Amazon S3 aggiuntiva nella e. AWS CLI AWS SDKs Per ulteriori informazioni, consulta [Domande frequenti sulla crittografia predefinita](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html).
Un evento rappresenta una singola richiesta proveniente da qualsiasi fonte e include informazioni sull'operazione dell'API richiesta, la data e l'ora dell'operazione, i parametri della richiesta e così via. CloudTrail i file di registro non sono una traccia ordinata dello stack delle chiamate API pubbliche, quindi gli eventi non vengono visualizzati in un ordine specifico.
**Nota**
Per visualizzare esempi di file di CloudTrail log per Amazon S3 Express One Zone, consulta [esempi di file di CloudTrail log per S3 Express](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-log-files.html) One Zone.
Per maggiori informazioni, consulta i seguenti esempi.
**Topics**
+ [
## Esempio: immissione di file di CloudTrail registro per Amazon S3
](#example-ct-log-s3)
## Esempio: immissione di file di CloudTrail registro per Amazon S3
L'esempio seguente mostra una voce di CloudTrail registro che illustra il [GETServizio](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTServiceGET.html) e [https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTacl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTacl.html)le azioni.
```
{
"Records": [
{
"eventVersion": "1.03",
"userIdentity": {
"type": "IAMUser",
"principalId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/myUserName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "myUserName"
},
"eventTime": "2019-02-01T03:18:19Z",
"eventSource": "s3.amazonaws.com",
"eventName": "ListBuckets",
"awsRegion": "us-west-2",
"sourceIPAddress": "127.0.0.1",
"userAgent": "[]",
"requestParameters": {
"host": [
"s3.us-west-2.amazonaws.com"
]
},
"responseElements": null,
"additionalEventData": {
"SignatureVersion": "SigV2",
"AuthenticationMethod": "QueryString",
"aclRequired": "Yes"
},
"requestID": "47B8E8D397DCE7A6",
"eventID": "cdc4b7ed-e171-4cef-975a-ad829d4123e8",
"eventType": "AwsApiCall",
"recipientAccountId": "444455556666",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "s3.amazonaws.com"
}
},
{
"eventVersion": "1.03",
"userIdentity": {
"type": "IAMUser",
"principalId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/myUserName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "myUserName"
},
"eventTime": "2019-02-01T03:22:33Z",
"eventSource": "s3.amazonaws.com",
"eventName": "PutBucketAcl",
"awsRegion": "us-west-2",
"sourceIPAddress": "",
"userAgent": "[]",
"requestParameters": {
"bucketName": "",
"AccessControlPolicy": {
"AccessControlList": {
"Grant": {
"Grantee": {
"xsi:type": "CanonicalUser",
"xmlns:xsi": "http://www.w3.org/2001/XMLSchema-instance",
"ID": "d25639fbe9c19cd30a4c0f43fbf00e2d3f96400a9aa8dabfbbebe1906Example"
},
"Permission": "FULL_CONTROL"
}
},
"xmlns": "http://s3.amazonaws.com/doc/2006-03-01/",
"Owner": {
"ID": "d25639fbe9c19cd30a4c0f43fbf00e2d3f96400a9aa8dabfbbebe1906Example"
}
},
"host": [
"s3.us-west-2.amazonaws.com"
],
"acl": [
""
]
},
"responseElements": null,
"additionalEventData": {
"SignatureVersion": "SigV4",
"CipherSuite": "ECDHE-RSA-AES128-SHA",
"AuthenticationMethod": "AuthHeader"
},
"requestID": "BD8798EACDD16751",
"eventID": "607b9532-1423-41c7-b048-ec2641693c47",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "s3.amazonaws.com"
}
},
{
"eventVersion": "1.03",
"userIdentity": {
"type": "IAMUser",
"principalId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/myUserName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "myUserName"
},
"eventTime": "2019-02-01T03:26:37Z",
"eventSource": "s3.amazonaws.com",
"eventName": "GetBucketVersioning",
"awsRegion": "us-west-2",
"sourceIPAddress": "",
"userAgent": "[]",
"requestParameters": {
"host": [
"s3.us-west-2.amazonaws.com"
],
"bucketName": "amzn-s3-demo-bucket1",
"versioning": [
""
]
},
"responseElements": null,
"additionalEventData": {
"SignatureVersion": "SigV4",
"CipherSuite": "ECDHE-RSA-AES128-SHA",
"AuthenticationMethod": "AuthHeader"
},
"requestID": "07D681279BD94AED",
"eventID": "f2b287f3-0df1-4961-a2f4-c4bdfed47657",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "s3.amazonaws.com"
}
}
]
}
```
# Abilitazione della registrazione CloudTrail degli eventi per i bucket e gli oggetti S3
Puoi utilizzare gli eventi CloudTrail relativi ai dati per ottenere informazioni sulle richieste a livello di bucket e oggetto in Amazon S3. [Per abilitare gli eventi CloudTrail relativi ai dati per tutti i tuoi bucket o per un elenco di bucket specifici, devi creare un percorso manualmente in. CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)
**Nota**
L'impostazione predefinita per CloudTrail è quella di trovare solo gli eventi di gestione. Assicurarsi che gli eventi di dati siano abilitati per l'account.
Con un bucket S3 che genera un carico di lavoro elevato, è possibile generare migliaia di log in un breve lasso di tempo. Tieni presente per quanto tempo scegli di abilitare gli eventi CloudTrail relativi ai dati per un bucket occupato.
CloudTrail archivia i log degli eventi dei dati di Amazon S3 in un bucket S3 di tua scelta. Prendi in considerazione l'utilizzo di un bucket separato Account AWS per organizzare meglio gli eventi da più bucket di tua proprietà in un posto centrale per facilitare le interrogazioni e l'analisi. AWS Organizations ti aiuta a crearne uno Account AWS collegato all'account proprietario del bucket che stai monitorando. Per ulteriori informazioni, consulta [Cos'è AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) nella *Guida AWS Organizations per l'utente*.
Quando si registrano gli eventi relativi ai dati per un trail in CloudTrail, è possibile scegliere di utilizzare selettori di eventi avanzati o selettori di eventi di base per registrare gli eventi relativi ai dati per gli oggetti archiviati in bucket generici. Per registrare gli eventi di dati per gli oggetti memorizzati nei bucket della directory, è necessario utilizzare selettori di eventi avanzati. Per ulteriori informazioni, consulta [Logging with AWS CloudTrail for S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-one-zone-logging.html) Express One Zone.
Quando crei un trail nella CloudTrail console utilizzando selettori di eventi avanzati, nella sezione Data events puoi scegliere **Registra tutti gli eventi per il **modello di selettore di log per registrare** tutti gli eventi** a livello di oggetto. Quando crei un trail nella CloudTrail console utilizzando selettori di eventi di base, nella sezione Data events puoi selezionare la casella di controllo Seleziona tutti i **bucket S3 nel tuo account per registrare tutti gli eventi a** livello di oggetto.
**Nota**
È una best practice la creazione di una configurazione del ciclo di vita per il bucket degli eventi di dati AWS CloudTrail . Definisci la configurazione del ciclo di vita in modo tale da rimuovere periodicamente i file di log al termine del periodo di tempo desiderato per l'audit. In questo modo, si riduce la quantità di dati analizzati da Athena per ogni query. Per ulteriori informazioni, consulta [Impostazione di una configurazione del ciclo di vita S3 in un bucket](how-to-set-lifecycle-configuration-intro.md).
Per ulteriori informazioni sul formato della registrazione, consulta [Registrazione delle chiamate API Amazon S3 tramite AWS CloudTrail](cloudtrail-logging.md).
Per esempi su come interrogare CloudTrail i log, consulta il post *sul blog AWS Big Data* [Analyze Security, Compliance, and Operational Activity Using AWS CloudTrail and Amazon Athena](https://aws.amazon.com/blogs/big-data/aws-cloudtrail-and-amazon-athena-dive-deep-to-analyze-security-compliance-and-operational-activity/).
## Abilitazione della registrazione per gli oggetti in un bucket utilizzando la console
Puoi utilizzare la AWS CloudTrail console per configurare un CloudTrail trail per registrare gli eventi relativi ai dati per gli oggetti in un bucket S3. CloudTrail supporta la registrazione di operazioni API a livello di oggetto Amazon S3 come`GetObject`, e. `DeleteObject` `PutObject` Questi eventi vengono chiamati *eventi di dati*.
Per impostazione predefinita, i CloudTrail trail non registrano gli eventi relativi ai dati, ma puoi configurare i trail per registrare gli eventi di dati per i bucket S3 da te specificati o per registrare gli eventi di dati per tutti i bucket Amazon S3 presenti nel tuo. Account AWS Per ulteriori informazioni, consulta [Registrazione delle chiamate API Amazon S3 tramite AWS CloudTrail](cloudtrail-logging.md).
CloudTrail non inserisce gli eventi relativi ai dati nella cronologia degli eventi. CloudTrail Inoltre, non tutte le azioni a livello di bucket sono inserite nella cronologia degli eventi. CloudTrail Per ulteriori informazioni sulle azioni API a livello di bucket Amazon S3 tracciate mediante registrazione, consulta. CloudTrail [Azioni a livello di bucket di Amazon S3 tracciate mediante registrazione CloudTrail](cloudtrail-logging-s3-info.md#cloudtrail-bucket-level-tracking) Per ulteriori informazioni su come interrogare CloudTrail i log, consulta l'articolo del AWS Knowledge Center sull'[uso dei modelli di filtro di Amazon CloudWatch Logs e di Amazon Athena](https://aws.amazon.com/premiumsupport/knowledge-center/find-cloudtrail-object-level-events/) per interrogare i log. CloudTrail
**Nota**
Se stai registrando l'attività dei dati con AWS CloudTrail, il record di evento per un evento di dati di Amazon `DeleteObjects` S3 include sia `DeleteObjects` l'evento che `DeleteObject` un evento per ogni oggetto eliminato come parte di tale operazione. È possibile escludere la visibilità aggiuntiva sugli oggetti eliminati dal record dell’evento. Per ulteriori informazioni, consulta [Esempi della AWS CLI per filtrare eventi di dati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/filtering-data-events.html#filtering-data-events-deleteobjects) nella *Guida per l’utente dell’AWS CloudTrail *.
*Per abilitare la registrazione degli eventi CloudTrail relativi ai dati per gli oggetti in un bucket generico S3 o in un bucket di directory S3, consulta [Creating a trail with](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time) the console nella Guida per l'utente. CloudTrail AWS CloudTrail *
Per ulteriori informazioni sulla registrazione dei log di un oggetto in un bucket di directory S3, consulta [Registrazione con i AWS CloudTrail bucket di directory](s3-express-one-zone-logging.md).
*Per informazioni sull'utilizzo della CloudTrail console per configurare un trail per registrare gli eventi relativi ai dati S3, consulta [Logging](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html) data events nella Guida per l'utente.AWS CloudTrail *
*Per disabilitare la registrazione degli eventi CloudTrail relativi ai dati per gli oggetti in un bucket S3, consulta [Eliminare un trail con la console nella Guida per l' CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-delete-trails-console.html)utente.AWS CloudTrail *
**Importante**
Per gli eventi di dati sono previsti costi aggiuntivi. Per ulteriori informazioni, consultare [Prezzi di AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).
Per ulteriori informazioni sulla CloudTrail registrazione con i bucket S3, consulta i seguenti argomenti:
+ [Creazione di un bucket per uso generico](create-bucket-overview.md)
+ [Visualizzazione delle proprietà di un bucket per uso generico S3](view-bucket-properties.md)
+ [Registrazione delle chiamate API Amazon S3 tramite AWS CloudTrail](cloudtrail-logging.md)
+ [Utilizzo dei file di CloudTrail registro](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html) *nella Guida per l'utente AWS CloudTrail *
# Identificazione delle richieste Amazon S3 tramite CloudTrail
In Amazon S3, puoi identificare le richieste utilizzando un registro AWS CloudTrail eventi. AWS CloudTrail è il metodo preferito per identificare le richieste Amazon S3, ma se utilizzi i log di accesso al server Amazon S3, consulta. [Utilizzo dei log degli accessi al server Amazon S3 per identificare le richieste](using-s3-access-logs-to-identify-requests.md)
**Topics**
+ [
## Identificazione delle richieste effettuate ad Amazon S3 in un registro CloudTrail
](#identify-S3-requests-using-in-CTlog)
+ [
## Identificazione delle richieste Amazon S3 Signature versione 2 mediante CloudTrail
](#cloudtrail-identification-sigv2-requests)
+ [
## Identificazione dell'accesso agli oggetti S3 utilizzando CloudTrail
](#cloudtrail-identification-object-access)
## Identificazione delle richieste effettuate ad Amazon S3 in un registro CloudTrail
Dopo aver configurato l' CloudTrail invio di eventi a un bucket, dovresti iniziare a vedere gli oggetti andare al bucket di destinazione sulla console Amazon S3. Questi sono formattati come riportato di seguito:
`s3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/Region/yyyy/mm/dd`
Gli eventi registrati da CloudTrail vengono archiviati come oggetti gzipped JSON compressi nel bucket S3. Per trovare in modo efficiente le richieste, è necessario utilizzare un servizio come Amazon Athena per indicizzare e interrogare i CloudTrail log.
*Per ulteriori informazioni su CloudTrail e Athena, consulta [Creazione della tabella per i AWS CloudTrail log in Athena utilizzando la proiezione delle partizioni nella Amazon Athena User Guide](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html#create-cloudtrail-table-partition-projection).*
## Identificazione delle richieste Amazon S3 Signature versione 2 mediante CloudTrail
Puoi utilizzare un registro CloudTrail eventi per identificare quale versione di firma API è stata utilizzata per firmare una richiesta in Amazon S3. Questa possibilità è importante perché il supporto di Signature Version 2 sta per essere disattivato perché obsoleto. Dopo, Amazon S3 non accetterà più le richieste che usano Signature Version 2 e tutte le richieste dovranno usare la firma *Signature Version 4*.
Ti consigliamo *vivamente* di CloudTrail utilizzarlo per determinare se alcuni dei tuoi flussi di lavoro utilizzano la firma Signature versione 2. Nel caso, correggili aggiornando le librerie e il codice in modo che utilizzino invece Signature Version 4 per evitare qualsiasi impatto sul business.
Per ulteriori informazioni, consulta [Annuncio: AWS CloudTrail per Amazon S3 aggiunge nuovi campi per un controllo di sicurezza avanzato](https://forums.aws.amazon.com/ann.jspa?annID=6551). AWS re:Post
**Nota**
CloudTrail gli eventi per Amazon S3 includono la versione della firma nei dettagli della richiesta con il nome chiave di '. `additionalEventData` Per trovare la versione della firma sulle richieste effettuate per oggetti in Amazon S3 come`GET`, e sulle `DELETE` richieste`PUT`, devi abilitare gli eventi relativi ai CloudTrail dati. (Questa funzionalità è disattivata per impostazione predefinita).
AWS CloudTrail è il metodo preferito per identificare le richieste Signature Version 2. Se utilizzi i log degli accessi del server Amazon S3, consulta [Identificazione delle richieste di Signature versione 2 tramite i log degli accessi ad Amazon S3](using-s3-access-logs-to-identify-requests.md#using-s3-access-logs-to-identify-sigv2-requests).
**Topics**
+ [
### Esempi di query Athena per l'identificazione di richieste Amazon S3 Signature versione 2
](#ct-examples-identify-sigv2-requests)
+ [
### Partizionamento dei dati di Signature versione 2
](#partitioning-sigv2-data)
### Esempi di query Athena per l'identificazione di richieste Amazon S3 Signature versione 2
**Example : seleziona tutti gli eventi Signature Version 2 e stampa solo `EventTime`, `S3_Action`, `Request_Parameters`, `Region`, `SourceIP` e `UserAgent`**
Nella query Athena seguente sostituisci *`s3_cloudtrail_events_db.cloudtrail_table`* con i dettagli Athena e aumenta o rimuovi il limite in base alle necessità.
```
SELECT EventTime, EventName as S3_Action, requestParameters as Request_Parameters, awsregion as AWS_Region, sourceipaddress as Source_IP, useragent as User_Agent
FROM s3_cloudtrail_events_db.cloudtrail_table
WHERE eventsource='s3.amazonaws.com'
AND json_extract_scalar(additionalEventData, '$.SignatureVersion')='SigV2'
LIMIT 10;
```
**Example - Selezionare tutti i richiedenti che inviano traffico di tipo Signature versione 2**
```
SELECT useridentity.arn, Count(requestid) as RequestCount
FROM s3_cloudtrail_events_db.cloudtrail_table
WHERE eventsource='s3.amazonaws.com'
and json_extract_scalar(additionalEventData, '$.SignatureVersion')='SigV2'
Group by useridentity.arn
```
### Partizionamento dei dati di Signature versione 2
Se è necessario eseguire query su una grande quantità di dati, è possibile ridurre i costi e i tempi di esecuzione di Athena creando una tabella partizionata.
Per farlo, creare una nuova tabella con partizioni nel modo seguente.
```
CREATE EXTERNAL TABLE s3_cloudtrail_events_db.cloudtrail_table_partitioned(
eventversion STRING,
userIdentity STRUCT<
type:STRING,
principalid:STRING,
arn:STRING,
accountid:STRING,
invokedby:STRING,
accesskeyid:STRING,
userName:STRING,
sessioncontext:STRUCT<
attributes:STRUCT<
mfaauthenticated:STRING,
creationdate:STRING>,
sessionIssuer:STRUCT<
type:STRING,
principalId:STRING,
arn:STRING,
accountId:STRING,
userName:STRING>
>
>,
eventTime STRING,
eventSource STRING,
eventName STRING,
awsRegion STRING,
sourceIpAddress STRING,
userAgent STRING,
errorCode STRING,
errorMessage STRING,
requestParameters STRING,
responseElements STRING,
additionalEventData STRING,
requestId STRING,
eventId STRING,
resources ARRAY>,
eventType STRING,
apiVersion STRING,
readOnly STRING,
recipientAccountId STRING,
serviceEventDetails STRING,
sharedEventID STRING,
vpcEndpointId STRING
)
PARTITIONED BY (region string, year string, month string, day string)
ROW FORMAT SERDE 'org.apache.hadoop.hive.ql.io.orc.OrcSerde'
STORED AS INPUTFORMAT 'org.apache.hadoop.hive.ql.io.SymlinkTextInputFormat'
OUTPUTFORMAT 'org.apache.hadoop.hive.ql.io.HiveIgnoreKeyTextOutputFormat'
LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/';
```
Quindi creare le partizioni individualmente. Non è possibile ottenere risultati da date che non sono state create.
```
ALTER TABLE s3_cloudtrail_events_db.cloudtrail_table_partitioned ADD
PARTITION (region= 'us-east-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/us-east-1/2019/02/19/'
PARTITION (region= 'us-west-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/us-west-1/2019/02/19/'
PARTITION (region= 'us-west-2', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/us-west-2/2019/02/19/'
PARTITION (region= 'ap-southeast-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/ap-southeast-1/2019/02/19/'
PARTITION (region= 'ap-southeast-2', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/ap-southeast-2/2019/02/19/'
PARTITION (region= 'ap-northeast-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/ap-northeast-1/2019/02/19/'
PARTITION (region= 'eu-west-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/eu-west-1/2019/02/19/'
PARTITION (region= 'sa-east-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/sa-east-1/2019/02/19/';
```
È quindi possibile effettuare la richiesta sulla base di queste partizioni e non è necessario caricare l'intero bucket.
```
SELECT useridentity.arn,
Count(requestid) AS RequestCount
FROM s3_cloudtrail_events_db.cloudtrail_table_partitioned
WHERE eventsource='s3.amazonaws.com'
AND json_extract_scalar(additionalEventData, '$.SignatureVersion')='SigV2'
AND region='us-east-1'
AND year='2019'
AND month='02'
AND day='19'
Group by useridentity.arn
```
## Identificazione dell'accesso agli oggetti S3 utilizzando CloudTrail
Puoi utilizzare i registri AWS CloudTrail degli eventi per identificare le richieste di accesso agli oggetti Amazon S3 per eventi ai dati `GetObject` come`DeleteObject`, `PutObject` e, e scoprire ulteriori informazioni su tali richieste.
**Nota**
Se stai registrando l'attività dei dati con AWS CloudTrail, il record di evento per un evento di dati di Amazon `DeleteObjects` S3 include sia `DeleteObjects` l'evento che `DeleteObject` un evento per ogni oggetto eliminato come parte di tale operazione. È possibile escludere la visibilità aggiuntiva sugli oggetti eliminati dal record dell’evento. Per ulteriori informazioni, consulta [Esempi della AWS CLI per filtrare eventi di dati](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/filtering-data-events.html#filtering-data-events-deleteobjects) nella *Guida per l’utente dell’AWS CloudTrail *.
L'esempio seguente mostra come ottenere tutte le richieste di `PUT` oggetti per Amazon S3 da un registro AWS CloudTrail eventi.
**Topics**
+ [
### Esempi di query Athena per l'identificazione di richieste di accesso agli oggetti Amazon S3
](#ct-examples-identify-object-access-requests)
### Esempi di query Athena per l'identificazione di richieste di accesso agli oggetti Amazon S3
Negli esempi di query Athena seguenti sostituisci *`s3_cloudtrail_events_db.cloudtrail_table`* con i dettagli Athena e modifica l'intervallo della data in base alle necessità.
**Example : seleziona tutti gli eventi con richieste `PUT` di accesso agli oggetti e stampa solo `EventTime`, `EventSource`, `SourceIP`, `UserAgent`, `BucketName`, `object` e `UserARN`**
```
SELECT
eventTime,
eventName,
eventSource,
sourceIpAddress,
userAgent,
json_extract_scalar(requestParameters, '$.bucketName') as bucketName,
json_extract_scalar(requestParameters, '$.key') as object,
userIdentity.arn as userArn
FROM
s3_cloudtrail_events_db.cloudtrail_table
WHERE
eventName = 'PutObject'
AND eventTime BETWEEN '2019-07-05T00:00:00Z' and '2019-07-06T00:00:00Z'
```
**Example : seleziona tutti gli eventi con richieste `GET` di accesso agli oggetti e stampa solo `EventTime`, `EventSource`, `SourceIP`, `UserAgent`, `BucketName`, `object` e `UserARN`**
```
SELECT
eventTime,
eventName,
eventSource,
sourceIpAddress,
userAgent,
json_extract_scalar(requestParameters, '$.bucketName') as bucketName,
json_extract_scalar(requestParameters, '$.key') as object,
userIdentity.arn as userArn
FROM
s3_cloudtrail_events_db.cloudtrail_table
WHERE
eventName = 'GetObject'
AND eventTime BETWEEN '2019-07-05T00:00:00Z' and '2019-07-06T00:00:00Z'
```
**Example : seleziona tutti gli eventi anonimi del richiedente per un bucket in un determinato periodo e stampa solo `EventTime`, `EventName`, `EventSource`, `SourceIP`, `UserAgent`, `BucketName`, `UserARN` e `AccountID`**
```
SELECT
eventTime,
eventName,
eventSource,
sourceIpAddress,
userAgent,
json_extract_scalar(requestParameters, '$.bucketName') as bucketName,
userIdentity.arn as userArn,
userIdentity.accountId
FROM
s3_cloudtrail_events_db.cloudtrail_table
WHERE
userIdentity.accountId = 'anonymous'
AND eventTime BETWEEN '2019-07-05T00:00:00Z' and '2019-07-06T00:00:00Z'
```
**Example : identifica tutte le richieste che richiedono una ACL per l'autorizzazione**
L'esempio di query Amazon Athena seguente mostra come identificare tutte le richieste relative ai bucket S3 che richiedono una lista di controllo degli accessi (ACL) per l'autorizzazione. Se la richiesta richiede una ACL per l'autorizzazione, il valore `aclRequired` in `additionalEventData` è `Yes`. Se non ACLs fosse richiesto, non `aclRequired` è presente. È possibile utilizzare queste informazioni per eseguire la migrazione delle autorizzazioni ACL alle policy di bucket appropriate. Dopo aver creato queste politiche sui bucket, puoi ACLs disabilitarle. Per ulteriori informazioni sulla disabilitazione ACLs, consulta. [Prerequisiti per la disabilitazione ACLs](object-ownership-migrating-acls-prerequisites.md)
```
SELECT
eventTime,
eventName,
eventSource,
sourceIpAddress,
userAgent,
userIdentity.arn as userArn,
json_extract_scalar(requestParameters, '$.bucketName') as bucketName,
json_extract_scalar(requestParameters, '$.key') as object,
json_extract_scalar(additionalEventData, '$.aclRequired') as aclRequired
FROM
s3_cloudtrail_events_db.cloudtrail_table
WHERE
json_extract_scalar(additionalEventData, '$.aclRequired') = 'Yes'
AND eventTime BETWEEN '2022-05-10T00:00:00Z' and '2022-08-10T00:00:00Z'
```
**Nota**
Questi esempi di query possono essere utili anche per il monitoraggio della sicurezza. Puoi rivedere i risultati per le chiamate `PutObject` o `GetObject` da indirizzi IP o richiedenti imprevisti o non autorizzati e per l'identificazione di eventuali richieste anonime ai bucket.
La query recupera solo le informazioni a partire dall'orario in cui è stata abilitata la registrazione.
Se utilizzi i log di accesso al server Amazon S3, consulta [Identificazione delle richieste di accesso agli oggetti tramite i log degli accessi Amazon S3](using-s3-access-logs-to-identify-requests.md#using-s3-access-logs-to-identify-objects-access).