Eventos de dados do Amazon S3 no CloudTrail Eventos de gerenciamento do Amazon S3 no CloudTrail Identificando solicitações do Amazon S3 Ações no nível da conta do Amazon S3 rastreadas pelo registro em log do CloudTrail Ações de buckets do Amazon S3 rastreadas pelo registro em log do CloudTrail Ações em nível de bucket da classe Amazon S3 Express One Zone (endpoint de API regional) monitoradas pelo registro em log do CloudTrail Ações em nível de objeto do Amazon S3 em cenários entre contas

Eventos do CloudTrail no Amazon S3

Importante

O Amazon S3 agora aplica criptografia do lado do servidor com chaves gerenciadas do Amazon S3 (SSE-S3) como nível básico de criptografia para cada bucket no Amazon S3. Desde 5 de janeiro de 2023, todos os novos uploads de objetos para o Amazon S3 são automaticamente criptografados sem custo adicional e sem impacto na performance. O status de criptografia automática para a configuração de criptografia padrão do bucket do S3 e para novos uploads de objetos está disponível em logs do AWS CloudTrail, no Inventário do S3, na Lente de Armazenamento do S3, no console do Amazon S3 e como cabeçalho adicional de resposta da API do Amazon S3 na AWS Command Line Interface e em AWS SDKs. Para obter mais informações, consulte Perguntas frequentes sobre criptografia padrão.

Esta seção fornece informações sobre os eventos que o S3 registra em log no CloudTrail.

Eventos de dados do Amazon S3 no CloudTrail

Os eventos de dados fornecem informações sobre as operações de recursos realizadas em um recurso (por exemplo, leitura ou gravação em um objeto do Amazon S3). Elas também são conhecidas como operações de plano de dados. Eventos de dados geralmente são atividades de alto volume. Por padrão, o CloudTrail não registra eventos de dados em log. O Histórico de eventos do CloudTrail não registra eventos de dados.

Há cobranças adicionais para eventos de dados. Para obter mais informações sobre os preços do CloudTrail, consulte Preços do AWS CloudTrail.

É possível registrar em log eventos de dados para os tipos de recurso do Amazon S3 usando o console do CloudTrail, a AWS CLI ou as operações de API do CloudTrail. Para obter mais informações sobre como registrar eventos de dados em log, consulte Registrar eventos de dados com o AWS Management Console e Registrar eventos de dados com a AWS Command Line Interface no Guia do usuário do AWS CloudTrail.

A tabela a seguir lista o tipo de recurso do Amazon S3 para o qual você pode registrar eventos de dados em log. A coluna Tipo de evento de dados (console) mostra o valor a ser escolhido na lista Tipo de evento de dados no console do CloudTrail. A coluna do valor resources.type mostra o valor de resources.type que você especificaria ao configurar seletores de eventos avançados usando a AWS CLI ou as APIs do CloudTrail. A coluna APIs de dados registradas no CloudTrail mostra as chamadas de API registradas no CloudTrail para o tipo de recurso.

Tipo de evento de dados (console)	valor resources.type	APIs de dados registradas no CloudTrail
S3	`AWS::S3::Object`	AbortMultipartUpload CompleteMultipartUpload CopyObject CreateMultipartUpload DeleteObject DeleteObjectTagging DeleteObjects GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging GetObjectTorrent HeadObject ListMultipartUploads ListObjectVersions ListObjects ListParts PutObject PutObjectAcl PutObjectLegalHold PutObjectRetention PutObjectTagging RestoreObject SelectObjectContent UploadPart UploadPartCopy
S3 Express One Zone	`AWS::S3Express::Object`	AbortMultipartUpload CompleteMultipartUpload CreateSession CopyObject CreateMultipartUpload DeleteObject DeleteObjects GetObject GetObjectAttributes HeadBucket HeadObject ListObjectsV2 ListParts PutObject UploadPart UploadPartCopy
Ponto de acesso do S3	`AWS::S3::Access Point`	AbortMultipartUpload CompleteMultipartUpload CopyObject (somente cópias da mesma região) CreateMultipartUpload DeleteObject DeleteObjectTagging GetBucketAcl GetBucketCors GetBucketLocation GetBucketNotificationConfiguration GetBucketPolicy GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging HeadBucket HeadObject ListMultipartUploads ListObjects ListObjectsV2 ListObjectVersions ListParts Presign PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart UploadPartCopy (somente cópias da mesma região)
S3 Object Lambda	`AWS::S3ObjectLambda::AccessPoint`	AbortMultipartUpload CompleteMultipartUpload CopyObject (somente cópias da mesma região) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectAcl GetObjectLegalHold GetObjectRetention GetObjectTagging HeadObject ListMultipartUploads ListObjects ListObjectVersions ListParts PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart WriteGetObjectResponse
S3 Outposts	`AWS::S3Outposts::Object`	AbortMultipartUpload CompleteMultipartUpload CopyObject (somente cópias da mesma região) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectTagging HeadObject ListMultipartUploads ListObjects ListObjectsV2 ListParts PutObject PutObjectTagging UploadPart UploadPartCopy

É possível configurar seletores de eventos avançados para filtrar os campos eventName, readOnly e resources.ARN para registrar em log somente os eventos que são importantes para você. Para obter mais informações sobre esses campos, consulte AdvancedFieldSelector na Referência de API do AWS CloudTrail.

Eventos de gerenciamento do Amazon S3 no CloudTrail

O Amazon S3 registra em log todas as operações do ambiente de gerenciamento como eventos de gerenciamento. Consulte mais informações sobre as operações de API do S3 na Referência de API do Amazon S3.

Como o CloudTrail captura solicitações feitas para o Amazon S3

Por padrão, o CloudTrail registra em log chamadas de API no nível de buckets do S3 que foram feitas nos últimos 90 dias, mas não registra em log solicitações feitas a objetos. As chamadas de buckets incluem eventos como CreateBucket, DeleteBucket, PutBucketLifecycle, PutBucketPolicy e assim por diante. Você pode ver eventos no nível do bucket no console do CloudTrail. No entanto, não é possível visualizar eventos de dados (chamadas no nível do objeto do Amazon S3). Você deve analisar ou consultar os logs do CloudTrail para eles.

Ações no nível da conta do Amazon S3 rastreadas pelo registro em log do CloudTrail

O CloudTrail registra ações no nível da conta. Os registros do Amazon S3 são gravados com outros registros de AWS service (Serviço da AWS) em um arquivo de log. O CloudTrail determina quando criar e gravar em um novo arquivo de acordo com o período e o tamanho do arquivo.

As tabelas nesta seção listam as ações no nível da conta do Amazon S3 que são compatíveis com o registro do CloudTrail.

Ações de API no nível da conta do Amazon S3 rastreadas pelo registro em log do CloudTrail aparecem como os seguintes nomes de eventos. Os nomes dos eventos do CloudTrail diferem do nome da ação da API. Por exemplo, DeletePublicAccessBlock é DeleteAccountPublicAccessBlock.

Ações de buckets do Amazon S3 rastreadas pelo registro em log do CloudTrail

Por padrão, o CloudTrail registra em log as ações nos buckets de uso geral. Os registros do Amazon S3 são gravados com outros registros de serviço da AWS em um arquivo de log. O CloudTrail determina quando criar e gravar em um novo arquivo de acordo com o período e o tamanho do arquivo.

Esta seção lista as ações no nível do bucket do Amazon S3 que são compatíveis com o registro em log do CloudTrail.

Ações de API no nível do bucket do Amazon S3 rastreadas pelo registro em log do CloudTrail aparecerão como os seguintes nomes de eventos. Em alguns casos, o nome do evento do CloudTrail é diferente do nome da ação da API. Por exemplo, PutBucketLifecycleConfiguration é PutBucketLifecycle.

Além dessas operações de API, também é possível usar a ação de objetos OPTIONS object. Essa ação é tratada como uma ação do nível do bucket no registro em log do CloudTrail, pois verifica a configuração CORS de um bucket.

Ações em nível de bucket da classe Amazon S3 Express One Zone (endpoint de API regional) monitoradas pelo registro em log do CloudTrail

Por padrão, o CloudTrail registra em log as ações nos buckets de diretório como eventos de gerenciamento. O eventsource para os eventos de gerenciamento do CloudTrail para a classe S3 Express One Zone é s3express.amazonaws.com.

Veja a seguir as operações de API de endpoint regional que são registradas em log no CloudTrail.

Para ter mais informações, consulte Logging with AWS CloudTrail for S3 Express One Zone.

Ações em nível de objeto do Amazon S3 em cenários entre contas

Os seguintes são casos de uso especiais que envolvem chamadas de API do nível do objeto em cenários entre contas e como os logs do CloudTrail são relatados. O CloudTrail entrega logs ao solicitante (a conta que fez a chamada de API), exceto em alguns casos de acesso negado em que as entradas de log são editadas ou omitidas. Para estabelecer acesso entre contas, considere os exemplos nesta seção.

nota

Os exemplos supõem que os logs do CloudTrail estejam configurados adequadamente.

Exemplo 1: CloudTrail entrega logs ao proprietário do bucket

O CloudTrail entrega os logs de acesso ao proprietário do bucket mesmo que o proprietário do bucket não tenha permissão para a mesma operação de API do objeto. Considere o seguinte cenário entre contas:

A conta A é proprietária do bucket.
A conta B (o solicitante) tenta acessar um objeto nesse bucket.
A conta C é proprietária do objeto. A conta C pode ou não ser igual à conta A.

nota

O CloudTrail sempre entrega os logs de API de objetos ao solicitante (conta B). Além disso, o CloudTrail também entrega os mesmo logs ao proprietário do bucket (conta A) mesmo quando o proprietário do bucket (conta C) não é proprietário do objeto (conta C) nem tem permissões para as mesmas operações de API sobre esse objeto.

Exemplo 2: CloudTrail não prolifera os endereços de e-mail usados na definição de ACLs de objeto

Considere o seguinte cenário entre contas:

A conta A é proprietária do bucket.
A conta B (solicitante) envia uma solicitação para definir uma concessão de ACL de objeto usando um endereço de e-mail. Para obter mais informações sobre ACLs, consulte Visão geral da lista de controle de acesso (ACL).

O solicitante recebe os logs junto com as informações do e-mail. Contudo, o proprietário do bucket - se for qualificado para receber logs como no exemplo 1 - recebe o log do CloudTrail que relata o evento. Contudo, o proprietário do bucket não obtém as informações de configuração da ACL, especificamente o endereço de e-mail do favorecido e a concessão. A única informação que o log dá ao proprietário do bucket é que a chamada da API da ACL foi feita pela conta B.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Registrar em log com o CloudTrail

Exemplos de arquivos de log