使用 AWS CloudTrail 與 Amazon EventBridge 監控預設加密 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS CloudTrail 與 Amazon EventBridge 監控預設加密

重要

Amazon S3 現在將伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 套用為 Amazon S3 中每個儲存貯體的基本加密層級。從 2023 年 1 月 5 日起,所有上傳到 Amazon S3 的新物件都會自動加密,無需額外費用,也不會影響效能。 AWS CloudTrail 日誌、S3 庫存、S3 Storage Lens、Amazon S3 主控台,以及 AWS Command Line Interface 和 AWS SDKs 中的其他 Amazon S3 API 回應標頭中,提供 S3 儲存貯體預設加密組態和新物件上傳的自動加密狀態。 S3 如需詳細資訊,請參閱預設加密常見問答集

您可以使用 AWS CloudTrail 事件追蹤 Amazon S3 儲存貯體的預設加密組態請求。CloudTrail 日誌使用下列 API 事件名稱:

  • PutBucketEncryption

  • GetBucketEncryption

  • DeleteBucketEncryption

您也可以建立 EventBridge 規則,以符合這些 API 呼叫的 CloudTrail 事件。如需 CloudTrail 事件的詳細資訊,請參閱「使用主控台啟用儲存貯體中物件的記錄」。如需 EventBridge 事件的詳細資訊,請參閱來自 的事件 AWS 服務

您可以針對物件層級的 Amazon S3 動作使用 CloudTrail 日誌來追蹤對 Amazon S3 的 PUTPOST 要求。當傳入 PUT 要求沒有加密標頭時,您可以使用這些動作來驗證是否使用預設加密來加密物件。

當 Amazon S3 使用預設加密設定來加密物件時,日誌會包含以下其中一個名稱-值對的欄位:"SSEApplied":"Default_SSE_S3""SSEApplied":"Default_SSE_KMS""SSEApplied":"Default_DSSE_KMS"

當 Amazon S3 使用 PUT 加密標頭來加密物件時,日誌會包含以下名稱-值對的欄位之一:"SSEApplied":"SSE_S3""SSEApplied":"SSE_KMS""SSEApplied":"DSSE_KMS""SSEApplied":"SSE_C"

針對分段上傳,此資訊會包含在 InitiateMultipartUpload API 操作要求中。如需有關使用 CloudTrail 與 CloudWatch 的詳細資訊,請參閱在 Amazon S3 中記錄和監控