Amazon S3 のログ記録オプション
ユーザー、ロール、または AWS のサービス よって実行されたアクションを Amazon S3 リソースに記録し、監査およびコンプライアンス目的でログレコードを管理することができます。これを行うには、サーバーアクセスのログ記録、AWS CloudTrail ログ記録、またはその両方を組み合わせて使用します。Amazon S3 リソースのバケットレベルおよびオブジェクトレベルのアクションをログ記録するには、CloudTrail を使用することをお勧めします。以下のセクションに各オプションの詳細を示します。
CloudTrail ログおよび Amazon S3 サーバーアクセスログの主なプロパティを次の表に示します。テーブルとメモを確認し、CloudTrail がセキュリティ要件を満たしていることを確認してください。
| ログのプロパティ | AWS CloudTrail | Amazon S3 サーバーログ |
|---|---|---|
|
他のシステム (Amazon CloudWatch Logs、Amazon CloudWatch Events) に転送可能 |
可能 |
No |
|
ログを複数の宛先に配信する (例えば、同じログを 2 つの異なるバケットに送信する) |
はい |
No |
|
オブジェクトのサブセット (プレフィックス) のログを有効にする |
はい |
No |
|
クロスアカウントログ配信 (異なるアカウントが所有するターゲットバケットとソースバケット) |
可能 |
No |
|
デジタル署名またはハッシュを使用したログファイルの整合性の検証 |
可能 |
No |
|
ログファイルの暗号化 (デフォルトまたはカスタム) |
可能 |
No |
|
オブジェクトオペレーション (Amazon S3 API を使用) |
あり |
可能 |
|
バケットオペレーション (Amazon S3 API を使用) |
あり |
はい |
|
ログの検索可能な UI |
はい |
No |
|
オブジェクトロックパラメータのフィールド。ログ記録用の Amazon S3 Select プロパティ |
はい |
No |
|
ログレコードの |
不可 |
可能 |
|
ライフサイクルの移行、失効、復元 |
不可 |
可能 |
|
バッチ削除オペレーションでのキーのログ記録 |
不可 |
可能 |
|
認証の失敗 1 |
不可 |
可能 |
|
ログが配信されるアカウント |
バケット所有者 2、リクエスタ |
バケット所有者名のみ |
| Performance and Cost | AWS CloudTrail | Amazon S3 Server Logs |
|
価格 |
管理イベント (初回配信) は無料です。データイベントには料金がかかります (ログの保存は別料金)。 |
ログの保存にかかる料金以外の追加コストなし |
|
ログ配信の速度 |
データイベント (5 分ごと)、管理イベント (15 分ごと) |
数時間以内 |
|
ログの形式 |
JSON |
スペース区切りの改行区切りレコードを含むログファイル |
メモ
-
CloudTrail では、認証に失敗したリクエスト (提供された認証情報が無効なリクエスト) のログは配信されません。ただし、承認に失敗したリクエスト (
AccessDenied) および匿名ユーザーによるリクエストのログは含まれます。 -
リクエスト内のオブジェクトへのフルアクセス権がそのアカウントに付与されていない場合、S3 バケット所有者に CloudTrail ログが送信されます。詳細については、「クロスアカウントのシナリオでの Amazon S3 オブジェクトレベルのアクション」を参照してください。
-
S3 は、VPC エンドポイントポリシーで拒否されている場合、または VPC ポリシーが評価される前にリクエストが失敗した場合、VPC エンドポイントリクエストの CloudTrail ログまたはサーバーアクセスログのリクエスタまたはバケット所有者への配信をサポートしません。
