您可以記錄使用者、角色或 Amazon S3 資源上的 AWS 服務所採取的動作,然後保留日誌記錄以用於稽核及合規目的。為此,您可以使用伺服器存取日誌記錄或 AWS CloudTrail 日誌記錄,或兩者並用。建議您使用 CloudTrail 為您的 Amazon S3 資源記錄儲存貯體層級和物件層級的動作。如需每個選項的詳細資訊,請參閱下列各節:
下表列出 CloudTrail 日誌和 Amazon S3 伺服器存取日誌的關鍵屬性。若要確保 AWS CloudTrail 符合您的安全需求,請檢閱表格和備註。
日誌屬性 | AWS CloudTrail | Amazon S3 伺服器日誌 |
---|---|---|
可以轉送至其他系統 (Amazon CloudWatch Logs、Amazon CloudWatch Events) |
是 |
No |
將日誌交付至一個以上的目的地 (例如,將相同的日誌傳送至兩個不同的儲存儲體) |
是 |
No |
開啟物件子集的日誌 (字首) |
是 |
No |
跨帳戶日誌交付 (不同帳戶所擁有的目標和來源儲存儲體) |
是 |
No |
使用數位簽章或雜湊進行日誌檔案的完整性驗證 |
是 |
No |
日誌檔案的預設加密或加密選擇 |
是 |
No |
物件操作 (使用 Amazon S3 API) |
是 |
是 |
儲存貯體操作 (使用 Amazon S3 API) |
是 |
是 |
日誌的可搜尋 UI |
是 |
No |
物件鎖定參數的欄位、Amazon S3 Select 的日誌記錄屬性 |
是 |
No |
日誌記錄的 |
否 |
是 |
生命週期轉換、逾期、還原 |
否 |
是 |
批次刪除操作中的金鑰記錄 |
否 |
是 |
身分驗證失敗1 |
否 |
是 |
交付日誌的帳戶 |
儲存儲體擁有者2,及要求者 |
僅儲存貯體擁有者 |
Performance and Cost | AWS CloudTrail | Amazon S3 Server Logs |
價格 |
管理事件 (首次交付) 是免費的;資料事件需支付費用 (除了日誌儲存費用之外) |
僅需支付日誌儲存費用 |
日誌交付的速度 |
每 5 分鐘的資料事件;每 15 分鐘的管理事件 |
幾小時內 |
記錄格式 |
JSON |
包含空格區隔的日誌檔案、換行分隔的記錄 |
備註
-
CloudTrail 不會將日誌交付給身分驗證失敗 (提供的憑證無效) 的請求。但是,它會包含授權失敗之請求的日誌 (
AccessDenied
),以及匿名使用者提出的請求。 -
當帳戶沒有請求中物件的完整存取權時,S3 儲存貯體擁有者會收到 CloudTrail 日誌。如需詳細資訊,請參閱跨帳戶案例中的 Amazon S3 物件層級動作。
-
在下列情況下,S3 不支援將 CloudTrail 日誌或伺服器存取日誌傳送給 VPC 端點請求的請求者或儲存貯體擁有者:當 VPC 端點政策拒絕請求時,或者如果請求在評估 VPC 政策之前失敗。