本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon S3 的記錄選項
您可以在 Amazon S3 資源 AWS 服務 上記錄使用者、角色或 採取的動作,並維護日誌記錄,以供稽核和合規用途。為此,您可以使用伺服器存取日誌記錄或 AWS CloudTrail 日誌記錄,或兩者並用。建議您使用 CloudTrail 來記錄 Amazon S3 資源的儲存貯體層級和物件層級動作。如需每個選項的詳細資訊,請參閱下列各節:
下表列出 CloudTrail 日誌和 Amazon S3 伺服器存取日誌的金鑰屬性。若要確定 CloudTrail 符合您的安全需求,請檢閱資料表和備註。
| 日誌屬性 | AWS CloudTrail | Amazon S3 伺服器日誌 |
|---|---|---|
|
可以轉送至其他系統 (Amazon CloudWatch Logs、Amazon CloudWatch Events) |
是 |
否 |
|
將日誌交付至一個以上的目的地 (例如,將相同的日誌傳送至兩個不同的儲存儲體) |
是 |
否 |
|
開啟物件子集的日誌 (字首) |
是 |
否 |
|
跨帳戶日誌交付 (不同帳戶所擁有的目標和來源儲存儲體) |
是 |
否 |
|
使用數位簽章或雜湊進行日誌檔案的完整性驗證 |
是 |
否 |
|
日誌檔案的預設加密或加密選擇 |
是 |
否 |
|
物件操作 (使用 Amazon S3 APIs) |
是 |
是 |
|
儲存貯體操作 (使用 Amazon S3 APIs) |
是 |
是 |
|
日誌的可搜尋 UI |
是 |
否 |
|
物件鎖定參數的欄位、Amazon S3 Select 的日誌記錄屬性 |
是 |
否 |
|
日誌記錄的 |
否 |
是 |
|
生命週期轉換、逾期、還原 |
否 |
是 |
|
批次刪除操作中的金鑰記錄 |
否 |
是 |
|
身分驗證失敗1 |
否 |
是 |
|
交付日誌的帳戶 |
儲存儲體擁有者2,及要求者 |
僅儲存貯體擁有者 |
| Performance and Cost | AWS CloudTrail | Amazon S3 Server Logs |
|
價格 |
管理事件 (首次交付) 是免費的;資料事件需支付費用 (除了日誌儲存費用之外) |
僅需支付日誌儲存費用 |
|
日誌交付的速度 |
每 5 分鐘的資料事件;每 15 分鐘的管理事件 |
幾小時內 |
|
記錄格式 |
JSON |
包含空格區隔的日誌檔案、換行分隔的記錄 |
備註
-
CloudTrail 不會為失敗身分驗證 (其中提供的憑證無效) 的請求提供日誌。但是,它會包含身分驗證失敗之請求的日誌 (
AccessDenied),以及匿名使用者提出的請求。 -
當帳戶無法完全存取請求中的物件時,S3 儲存貯體擁有者會收到 CloudTrail 日誌。如需詳細資訊,請參閱跨帳戶案例中的 Amazon S3 物件層級動作。
-
S3 不支援在VPC端點政策拒絕請求或評估VPC政策之前失敗的請求時,將 CloudTrail 日誌或伺服器存取日誌交付給請求者或VPC端點請求的儲存貯體擁有者。
