Opzioni di registrazione per Amazon S3

È possibile registrare le operazioni eseguite da utenti, ruoli o Servizi AWS sulle risorse Amazon S3 e mantenere i record di log a scopo di audit e conformità. A tale scopo, è possibile utilizzare i log degli accessi al server, i log AWS CloudTrail o una combinazione di entrambi. Si consiglia di utilizzare CloudTrail per operazioni di log e a livello di bucket e di oggetto per le risorse Amazon S3. Per ulteriori informazioni su ciascuna opzione, consulta le sezioni seguenti:

La tabella seguente elenca le proprietà chiave dei log CloudTrail e dei log degli accessi al server Amazon S3. Per assicurarti che CloudTrail soddisfi i tuoi requisiti di sicurezza, esamina la tabella e le note.

Proprietà del registro	AWS CloudTrail	Registri del server Amazon S3
Può essere inoltrato ad altri sistemi (File di log Amazon CloudWatch, Eventi Amazon CloudWatch)	Sì	No
Distribuisce i log a più destinazioni (ad esempio, invia lo stesso log a due diversi bucket)	Sì	No
Attiva i log per un sottoinsieme di oggetti (prefisso)	Sì	No
Distribuzione di log multi-account (bucket di origine e di destinazione di proprietà di account diversi)	Sì	No
Convalida dell'integrità del file di log mediante firma digitale o hashing	Sì	No
Valori predefiniti o scelta della crittografia per i file di log	Sì	No
Operazioni sugli oggetti (mediante le API Amazon S3)	Sì	Sì
Operazioni sui bucket (mediante le API Amazon S3)	Sì	Sì
Interfaccia utente ricercabile per i log	Sì	No
Campi per i parametri di blocco degli oggetti, proprietà Select di Amazon S3 per i record di log	Sì	No
Campi per `Object Size`, `Total Time`, `Turn-Around Time`, e `HTTP Referer` per i record di registro	No	Sì
Transizioni del ciclo di vita, scadenze, ripristini	No	Sì
Registrazione delle chiavi in un'operazione di cancellazione batch	No	Sì
Errori di autenticazione¹	No	Sì
Account in cui vengono distribuiti i log	Proprietario del bucket ² e richiedente	Solo proprietario del bucket
Performance and Cost	AWS CloudTrail	Amazon S3 Server Logs
Prezzo	Gli eventi di gestione (prima consegna) sono gratuiti; gli eventi di dati sono a pagamento, oltre all'archiviazione dei log	Nessun costo aggiuntivo oltre all'archiviazione dei log
Velocità di consegna dei log	Eventi di dati ogni 5 minuti, eventi di gestione ogni 15 minuti	Entro poche ore
Formato dei log	JSON	File di registro con record separati da spazi e delimitati da newline

Note

CloudTrail non fornisce log per le richieste che falliscono l'autenticazione (in cui le credenziali fornite non sono valide). Tuttavia, include i log delle richieste in cui l'autorizzazione fallisce (AccessDenied) e delle richieste effettuate da utenti anonimi.
Il proprietario del bucket S3 riceve i log CloudTrail se l'account non ha l'accesso completo all'oggetto nella richiesta. Per ulteriori informazioni, consulta Azioni a livello di oggetto Amazon S3 in scenari multi-account.
S3 non supporta la consegna dei log di CloudTrail o dei log di accesso al server al richiedente o al proprietario del bucket per le richieste di endpoint VPC quando la policy di endpoint VPC le nega o per le richieste che falliscono prima che la policy VPC venga valutata.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Strumenti di monitoraggio

Registrazione con CloudTrail