AWS CloudTrail 및 Amazon EventBridge를 사용한 기본 암호화 모니터링
중요
이제 Amazon S3가 Amazon S3 관리형 키를 사용한 서버 측 암호화(SSE-S3)를 Amazon S3 내 모든 버킷 암호화의 기본 수준으로 적용합니다. 2023년 1월 5일부터 Amazon S3로의 모든 새 객체 업로드는 추가 비용 없이 성능에 영향을 미치지 않고 자동으로 암호화됩니다. S3 버킷 기본 암호화 구성에 및 신규 객체 업로드에 대한 자동 암호화 상태는 AWS CloudTrail 로그, S3 인벤토리, S3 스토리지 렌즈, Amazon S3 콘솔에서 사용할 수 있으며, AWS Command Line Interface 및 AWS SDK에서 추가 Amazon S3 API 응답 헤더로도 사용할 수 있습니다. 자세한 내용은 기본 암호화 관련 FAQ를 참조하십시오.
AWS CloudTrail 이벤트를 사용하여 Amazon S3 버킷에 대한 기본 암호화 구성 요청을 추적할 수 있습니다. CloudTrail 로그에 사용되는 API 이벤트 이름은 다음과 같습니다.
-
PutBucketEncryption -
GetBucketEncryption -
DeleteBucketEncryption
또한 CloudTrail 이벤트를 이러한 API 호출에 매칭하는 EventBridge 규칙을 생성할 수 있습니다. CloudTrail 이벤트에 대한 자세한 내용은 콘솔을 사용하여 버킷의 객체에 대한 로깅 사용 설정 섹션을 참조하세요. EventBridge 이벤트에 자세한 내용은 AWS 서비스의 이벤트를 참조하세요.
객체 수준 Amazon S3 작업에 CloudTrail 로그를 사용하여 Amazon S3에 대한 PUT 및 POST 요청을 추적할 수 있습니다. 이러한 작업을 사용하면 들어오는 PUT 요청에 암호화 헤더가 없을 때 기본 암호화를 사용하여 개체가 암호화되는지 여부를 확인할 수 있습니다.
Amazon S3가 기본 암호화 설정을 사용하여 객체를 암호화하는 경우 로그에는 이름-값 페어로 "SSEApplied":"Default_SSE_S3", "SSEApplied":"Default_SSE_KMS" 또는 "SSEApplied":"Default_DSSE_KMS" 필드 중 하나가 포함됩니다.
Amazon S3가 PUT 암호화 헤더를 사용하여 객체를 암호화하는 경우 로그에는 이름-값 페어로 "SSEApplied":"SSE_S3", "SSEApplied":"SSE_KMS", "SSEApplied":"DSSE_KMS" 또는 "SSEApplied":"SSE_C" 필드 중 하나가 포함됩니다.
멀티파트 업로드의 경우 이 정보가 InitiateMultipartUpload API 작업 요청에 포함됩니다. CloudTrail 및 CloudWatch 사용에 대한 자세한 내용은 Amazon S3 모니터링 단원을 참조하십시오.
