Amazon S3 でのログ記録とモニタリング

Amazon CloudWatch アラームを使用して、指定した期間中、1 つのメトリクスをモニタリングします。メトリクスが特定の閾値を超えると、Amazon SNS トピックまたは AWS Auto Scaling ポリシーに通知が送信されます。CloudWatch アラームは、特定の状態にあるという理由ではアクションを呼び出しません。状態が変わり、それが指定した期間だけ維持される必要があります。詳細については、Amazon CloudWatch によるメトリクスのモニタリング を参照してください。

CloudTrail は、Amazon S3 のユーザー、ロール、または AWS のサービスによって実行されたアクションの記録を提供します。CloudTrail で収集された情報を使用して、Amazon S3 に対するリクエスト、リクエスト元の IP アドレス、リクエスト者、リクエスト日時などの詳細を確認できます。詳細については、「AWS CloudTrail を使用した Amazon S3 API コールのログ記録」を参照してください。

Amazon GuardDuty は、アカウント、コンテナ、ワークロード、および AWS 環境内のデータを継続的にモニタリングし、S3 バケットに対する潜在的な脅威やセキュリティリスクを特定する脅威検出サービスです。また、GuardDuty は、検出した脅威に関する詳細なコンテキストも提供します。GuardDuty は、脅威の AWS CloudTrail 管理ログを監視し、セキュリティ関連情報を表示します。例えば、GuardDuty には、リクエストを行ったユーザー、リクエストが行われた場所、リクエストされた具体的な API など、環境で異常である可能性がある API リクエストの要素が含まれます。GuardDuty S3 Protection は、CloudTrail によって収集された S3 データイベントを監視し、環境内のすべての S3 バケットで異常および悪意のある可能性のある動作を特定します。

サーバーアクセスログでは、バケットに対して行われたリクエストの詳細なレコードが提供されます。サーバーアクセスのログは、多くのアプリケーションに役立ちます。例えば、アクセスのログ情報は、セキュリティやアクセスの監査に役立ちます。詳細については、サーバーアクセスログによるリクエストのログ記録 を参照してください。

Trusted Advisor は、AWS の数十万のお客様にサービスを提供することにより得られた、運用実績から学んだベストプラクティスを活用しています。Trusted Advisor はお客様の AWS 環境を検査し、システムの可用性とパフォーマンスを向上させたりセキュリティギャップを埋めたりする機会がある場合には、推奨事項を作成します。すべての AWS のお客様は、Trusted Advisor の 5 つのチェックにアクセスできます。ビジネスまたはエンタープライズサポートプランをご利用のお客様は、すべての Trusted Advisor チェックを表示できます。

Trusted Advisor には、以下の Amazon S3 関連のチェックがあります。

詳細については、サポート ユーザーガイドの AWS Trusted Advisor を参照してください。

Amazon S3 ストレージレンズは、オブジェクトストレージの使用状況とアクティビティを組織全体で可視化するために使用できるクラウドストレージの分析機能です。S3 ストレージレンズメトリクスを使用することで、組織全体でどれだけのストレージがあるか、または最も急速に成長しているバケットとプレフィックスは何かなどの、要約されたインサイトを生成できます。S3 ストレージレンズメトリクスを使用して、コスト最適化の機会を特定し、データ保護とセキュリティのベストプラクティスを実装し、アプリケーションワークロードのパフォーマンスを向上させることもできます。

S3 ストレージレンズはメトリクスを集約し、Amazon S3 コンソールの [バケット] ページの [アカウントのスナップショット] セクションにこの情報を表示します。S3 Storage Lens は、インサイトと傾向を可視化したり、外れ値にフラグ付けしたり、ストレージコストの最適化やデータ保護のベストプラクティスの適用に関するレコメンデーション事項を受け取ったりするために使用できるインタラクティブダッシュボードも提供します。ダッシュボードには、組織、アカウント、AWS リージョン、ストレージクラス、バケット、プレフィックス、またはストレージレンズのグループレベルでインサイトを生成して可視化できる、ドリルダウンオプションが用意されています。詳細については、「Amazon S3 ストレージレンズを理解する」を参照してください。

Amazon S3 インベントリは、オブジェクトのクエリと管理に使用できるオブジェクトとメタデータのリストを生成します。このインベントリレポートを使用して、オブジェクトサイズ、最終更新日、暗号化ステータス、その他のフィールドなどの詳細なデータを生成できます。これらのレポートは日次または週次で利用でき、最新のリストを自動的に提供します。

例えば、Amazon S3 インベントリを使用して、ビジネス、コンプライアンス、および規制上のニーズに合わせてオブジェクトのレプリケーションと暗号化のステータスを監査し、レポートを作成できます。また、Amazon S3 インベントリを使用してビジネスワークフローやビッグデータジョブを簡素化、高速化することもできます。これは、Amazon S3 同期 List API オペレーションのスケジュールされた代替手段を提供します。Amazon S3 インベントリは、List API オペレーションを使用してオブジェクトを監査しないため、バケットのリクエストレートには影響しません。詳細については、「S3 インベントリを使用したデータのカタログ化と分析」を参照してください。

Amazon S3 イベント通知機能で、S3 バケット内で特定のイベントが発生したときに、通知を受けることができます。通知を有効にするには、Amazon S3 から発行するイベントを識別する通知設定を追加します。詳細については、「Amazon S3 イベント通知」を参照してください。

は、Amazon S3 と統合して、アプリケーションの S3 バケットを更新するアップストリームリクエストをトレースします。サービスが X-Ray SDK を使用してリクエストをトレースする場合、Amazon S3 は、Λ、Amazon SQS、Amazon SNS などのダウンストリームイベントサブスクライバーにトレースヘッダーを送信できます。X-Ray は Amazon S3 イベント通知のトレースメッセージを有効にします。X-Ray トレースマップを使用して、Amazon S3 およびアプリケーションが使用する他のサービス間の接続を表示できます。詳細については、「Amazon S3 and X-Ray」を参照してください。