監視默認加密 AWS CloudTrail 和 Amazon EventBridge - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

監視默認加密 AWS CloudTrail 和 Amazon EventBridge

重要

Amazon S3 現在會使用 Amazon S3 受管金鑰 (SSE-S3) 套用伺服器端加密,做為 Amazon S3 中每個儲存貯體的加密基礎層級。從 2023 年 1 月 5 日起,所有上傳到 Amazon S3 的新物件都會自動加密,無需額外費用,也不會影響效能。S3 儲存貯體預設加密組態和新物件上傳的自動加密狀態可在 AWS CloudTrail 日誌、S3 庫存、S3 儲存鏡頭、Amazon S3 API 主控台,以及在 AWS Command Line Interface 以及 AWS SDKs。如需詳細資訊,請參閱預設加密FAQ

您可以使用以下方式追蹤 Amazon S3 儲存貯體的預設加密組態請求 AWS CloudTrail 事件。 CloudTrail 記錄檔中會使用下列API事件名稱:

  • PutBucketEncryption

  • GetBucketEncryption

  • DeleteBucketEncryption

您也可以建立 EventBridge 規則以符合這些API呼叫的 CloudTrail 事件。如需事件的詳細資 CloudTrail 訊,請參閱使用主控台啟用儲存貯體中物件的記錄。如需 EventBridge 事件的詳細資訊,請參閱事件來源 AWS 服務.

您可以將 CloudTrail 日誌用於物件層級 Amazon S3 動作,以追蹤PUT和向 Amazon S3 發出POST請求。當傳入 PUT 要求沒有加密標頭時,您可以使用這些動作來驗證是否使用預設加密來加密物件。

當 Amazon S3 使用預設加密設定來加密物件時,日誌會包含以下其中一個名稱-值對的欄位:"SSEApplied":"Default_SSE_S3""SSEApplied":"Default_SSE_KMS""SSEApplied":"Default_DSSE_KMS"

當 Amazon S3 使用 PUT 加密標頭來加密物件時,日誌會包含以下名稱-值對的欄位之一:"SSEApplied":"SSE_S3""SSEApplied":"SSE_KMS""SSEApplied":"DSSE_KMS""SSEApplied":"SSE_C"

對於分段上傳,此資訊會包含在您的InitiateMultipartUploadAPI作業要求中。若要取得有關使用 CloudTrail 和的更多資訊 CloudWatch,請參閱監控 Amazon S3