Monitorar a criptografia padrão com o AWS CloudTrail e o Amazon EventBridge - Amazon Simple Storage Service

Monitorar a criptografia padrão com o AWS CloudTrail e o Amazon EventBridge

Importante

O Amazon S3 agora aplica criptografia do lado do servidor com chaves gerenciadas do Amazon S3 (SSE-S3) como nível básico de criptografia para cada bucket no Amazon S3. Desde 5 de janeiro de 2023, todos os novos uploads de objetos para o Amazon S3 são automaticamente criptografados sem custo adicional e sem impacto na performance. O status de criptografia automática para a configuração de criptografia padrão do bucket do S3 e para novos uploads de objetos está disponível em logs do AWS CloudTrail, no Inventário do S3, na Lente de Armazenamento do S3, no console do Amazon S3 e como cabeçalho adicional de resposta da API do Amazon S3 na AWS Command Line Interface e em AWS SDKs. Para obter mais informações, consulte Perguntas frequentes sobre criptografia padrão.

Você pode rastrear solicitações de configuração de criptografia padrão para buckets do Amazon S3 usando eventos do AWS CloudTrail. Os seguintes nomes de eventos de API são usados nos logs do CloudTrail:

  • PutBucketEncryption

  • GetBucketEncryption

  • DeleteBucketEncryption

Você também pode criar regras do EventBridge que correspondam aos eventos do CloudTrail para essas chamadas de API. Para obter mais informações sobre eventos do CloudTrail, consulte Habilitar o registro em log de objetos em um bucket usando o console. Para ter mais informações sobre eventos do EventBridge, consulte Eventos de Serviços da AWS.

Você pode usar logs do CloudTrail para ações do Amazon S3 no nível de objeto a fim de rastrear solicitações PUT e POST para o Amazon S3. Você pode usar essas ações para verificar se a criptografia padrão está sendo usada para criptografar objetos quando as solicitações PUT recebidas não têm cabeçalhos de criptografia.

Quando o Amazon S3 criptografa um objeto usando as configurações de criptografia padrão, o log inclui um dos seguintes campos como o par de nome-valor: "SSEApplied":"Default_SSE_S3", "SSEApplied":"Default_SSE_KMS" ou "SSEApplied":"Default_DSSE_KMS".

Quando o Amazon S3 criptografa um objeto usando os cabeçalhos de criptografia PUT, o log inclui um dos seguintes campos como par de nome-valor: "SSEApplied":"SSE_S3", "SSEApplied":"SSE_KMS", "SSEApplied":"DSSE_KMS" ou "SSEApplied":"SSE_C".

Para multipart uploads, essas informações estão incluídas nas solicitações de operação de API InitiateMultipartUpload. Para obter mais informações sobre como usar o CloudTrail e o CloudWatch, consulte Registrar em log e monitorar no Amazon S3.