Amazon S3 CloudTrail S3-Ereignisse

Wichtig

Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüssel (SSE-S3) als Basisverschlüsselung für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der automatische Verschlüsselungsstatus für die Standardverschlüsselungskonfiguration des S3-Buckets und für das Hochladen neuer Objekte ist in AWS CloudTrail Protokollen, S3-Inventar, S3 Storage Lens, der Amazon S3 S3-Konsole und als zusätzlicher Amazon S3 S3-API-Antwortheader in den AWS SDKs AWS Command Line Interface und verfügbar. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Standardverschlüsselung.

Dieser Abschnitt enthält Informationen zu den Ereignissen, die S3 protokolliert. CloudTrail

Amazon S3 S3-Datenereignisse in CloudTrail

Datenereignisse liefern Informationen über die Ressourcenoperationen, die auf oder in einer Ressource ausgeführt werden (z. B. Lesen oder Schreiben in ein Amazon-S3-Objekt). Sie werden auch als Vorgänge auf Datenebene bezeichnet. Datenereignisse sind oft Aktivitäten mit hohem Volume. Protokolliert standardmäßig CloudTrail keine Datenereignisse. Der CloudTrail Ereignisverlauf zeichnet keine Datenereignisse auf.

Für Datenereignisse werden zusätzliche Gebühren fällig. Weitere Informationen zur CloudTrail Preisgestaltung finden Sie unter AWS CloudTrail Preisgestaltung.

Sie können Datenereignisse für die Amazon S3 S3-Ressourcentypen mithilfe der CloudTrail Konsole oder CloudTrail API-Operationen protokollieren. AWS CLI Weitere Informationen zum Protokollieren von Datenereignissen finden Sie unter Protokollieren von Datenereignissen mit der AWS Management Console und Protokollieren von Datenereignissen mit dem AWS Command Line Interface im AWS CloudTrail Benutzerhandbuch.

In der folgenden Tabelle sind die Amazon S3 S3-Ressourcentypen aufgeführt, für die Sie Datenereignisse protokollieren können. In der Spalte Datenereignistyp (Konsole) wird der Wert angezeigt, den Sie aus der Liste Datenereignistyp auf der CloudTrail Konsole auswählen können. In der Wertspalte resources.type wird der resources.type Wert angezeigt, den Sie angeben würden, wenn Sie erweiterte Event-Selektoren mithilfe der AWS CLI APIs oder konfigurieren würden. CloudTrail In der CloudTrail Spalte „Protokollierte Daten-APIs“ werden die API-Aufrufe angezeigt, die CloudTrail für den Ressourcentyp protokolliert wurden.

Typ des Datenereignisses (Konsole)	resources.type-Wert	Daten-APIs, bei denen die Anmeldung erfolgt CloudTrail
S3	AWS::S3::Object	AbortMultipartUpload CompleteMultipartUpload CopyObject CreateMultipartUpload DeleteObject DeleteObjectTagging DeleteObjects GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging GetObjectTorrent HeadObject ListMultipartUploads ListObjectVersions ListObjects ListParts PutObject PutObjectAcl PutObjectLegalHold PutObjectRetention PutObjectTagging RestoreObject SelectObjectContent UploadPart UploadPartCopy
S3-Zugangspunkt	AWS::S3::Access Point	AbortMultipartUpload CompleteMultipartUpload CopyObject (nur Kopien in derselben Region) CreateMultipartUpload DeleteObject DeleteObjectTagging GetBucketAcl GetBucketCors GetBucketLocation GetBucketNotificationConfiguration GetBucketPolicy GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging HeadBucket HeadObject ListMultipartUploads ListObjects ListObjectsV2 ListObjectVersions ListParts Presign PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart UploadPartCopy (nur Kopien in derselben Region)
S3 Objekt Lambda	AWS::S3ObjectLambda::AccessPoint	AbortMultipartUpload CompleteMultipartUpload CopyObject (nur Kopien in derselben Region) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectAcl GetObjectLegalHold GetObjectRetention GetObjectTagging HeadObject ListMultipartUploads ListObjects ListObjectVersions ListParts PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart WriteGetObjectResponse
S3-Outposts	AWS::S3Outposts::Object	AbortMultipartUpload CompleteMultipartUpload CopyObject (nur Kopien in derselben Region) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectTagging HeadObject ListMultipartUploads ListObjects ListObjectsV2 ListParts PutObject PutObjectTagging UploadPart UploadPartCopy

Sie können erweiterte Event-Selektoren so konfigurieren, dass sie nach den resources.ARN Feldern eventNamereadOnly, und filtern, sodass nur die Ereignisse protokolliert werden, die für Sie wichtig sind. Weitere Informationen zu diesen Feldern finden Sie AdvancedFieldSelectorin der AWS CloudTrail API-Referenz.

Amazon S3 S3-Verwaltungsereignisse in CloudTrail

Amazon S3 protokolliert alle Operationen auf der Kontrollebene als Managementereignisse. Weitere Informationen zu S3-API-Vorgängen finden Sie in der Amazon S3 S3-API-Referenz.

So werden Anfragen an Amazon S3 CloudTrail erfasst

Standardmäßig CloudTrail protokolliert S3-API-Aufrufe auf Bucket-Ebene, die in den letzten 90 Tagen getätigt wurden, protokolliert jedoch keine Anfragen an Objekte. Aufrufe auf Bucket-Ebene sind Ereignisse wie CreateBucket, DeleteBucket, PutBucketLifecycle, PutBucketPolicy usw. Sie können Ereignisse auf Bucket-Ebene auf der Konsole sehen. CloudTrail Sie können dort jedoch keine Datenereignisse (Amazon S3 S3-Aufrufe auf Objektebene) anzeigen — Sie müssen sie analysieren oder die Protokolle danach abfragen. CloudTrail

Amazon S3 S3-Aktionen auf Kontoebene, die durch Protokollierung verfolgt werden CloudTrail

CloudTrail protokolliert Aktionen auf Kontoebene. Amazon S3 S3-Datensätze werden zusammen mit anderen AWS-Service Datensätzen in eine Protokolldatei geschrieben. CloudTrail bestimmt anhand eines Zeitraums und der Dateigröße, wann eine neue Datei erstellt und in diese geschrieben werden soll.

In den Tabellen in diesem Abschnitt sind die Amazon S3 S3-Aktionen auf Kontoebene aufgeführt, die für die Protokollierung von unterstützt werden. CloudTrail

API-Aktionen auf Amazon S3 S3-Kontoebene, die durch CloudTrail Protokollierung verfolgt werden, werden als die folgenden Ereignisnamen angezeigt. Die Namen der CloudTrail Ereignisse unterscheiden sich vom Namen der API-Aktion. Zum Beispiel DeletePublicAccessBlock ist DeleteAccountPublicAccessBlock.

• DeleteAccountPublicAccessBlock

• GetAccountPublicAccessBlock

• PutAccountPublicAccessBlock

Amazon S3 S3-Aktionen auf Bucket-Ebene, die durch Protokollierung verfolgt werden CloudTrail

Standardmäßig werden Aktionen auf Bucket-Ebene für allgemeine Buckets CloudTrail protokolliert. Amazon S3 S3-Datensätze werden zusammen mit anderen AWS Serviceaufzeichnungen in eine Protokolldatei geschrieben. CloudTrail bestimmt anhand eines Zeitraums und der Dateigröße, wann eine neue Datei erstellt und in diese geschrieben werden soll.

In diesem Abschnitt sind die Amazon S3 S3-Aktionen auf Bucket-Ebene aufgeführt, die für die Protokollierung von unterstützt werden. CloudTrail

API-Aktionen auf Amazon S3 S3-Bucket-Ebene, die durch CloudTrail Protokollierung verfolgt werden, werden als die folgenden Ereignisnamen angezeigt. In einigen Fällen unterscheidet sich der Name des CloudTrail Ereignisses vom Namen der API-Aktion. Zum Beispie, PutBucketLifecycleConfiguration ist PutBucketLifecycle.

• CreateBucket

• DeleteBucket

• DeleteBucketAnalyticsConfiguration

• DeleteBucketCors

• DeleteBucketEncryption

• DeleteBucketIntelligentTieringConfiguration

• DeleteBucketInventoryConfiguration

• DeleteBucketLifecycle

• DeleteBucketMetricsConfiguration

• DeleteBucketOwnershipControls

• DeleteBucketPolicy

• DeleteBucketPublicAccessBlock

• DeleteBucketReplication

• DeleteBucketTagging

• GetAccelerateConfiguration

• GetBucketAcl

• GetBucketAnalyticsConfiguration

• GetBucketCors

• GetBucketEncryption

• GetBucketIntelligentTieringConfiguration

• GetBucketInventoryConfiguration

• GetBucketLifecycle

• GetBucketLocation

• GetBucketLogging

• GetBucketMetricsConfiguration

• GetBucketNotification

• GetBucketObjectLockConfiguration

• GetBucketOwnershipControls

• GetBucketPolicy

• GetBucketPolicyStatus

• GetBucketPublicAccessBlock

• GetBucketReplication

• GetBucketRequestPayment

• GetBucketTagging

• GetBucketVersioning

• GetBucketWebsite

• HeadBucket

• ListBuckets

• PutAccelerateConfiguration

• PutBucketAcl

• PutBucketAnalyticsConfiguration

• PutBucketCors

• PutBucketEncryption

• PutBucketIntelligentTieringConfiguration

• PutBucketInventoryConfiguration

• PutBucketLifecycle

• PutBucketLogging

• PutBucketMetricsConfiguration

• PutBucketNotification

• PutBucketObjectLockConfiguration

• PutBucketOwnershipControls

• PutBucketPolicy

• PutBucketPublicAccessBlock

• PutBucketReplication

• PutBucketRequestPayment

• PutBucketTagging

• PutBucketVersioning

• PutBucketWebsite

Zusätzlich zu diesen API-Operationen können Sie auch die Objektebenenaktion OPTIONS-Objekt verwenden. Diese Aktion wird bei der CloudTrail Protokollierung wie eine Aktion auf Bucket-Ebene behandelt, da die Aktion die CORS-Konfiguration eines Buckets überprüft.

S3 Express One Zone-Aktionen auf Bucket-Ebene (regionaler API-Endpunkt), die durch Protokollierung verfolgt werden CloudTrail

Standardmäßig werden Aktionen auf Bucket-Ebene für Verzeichnis-Buckets als Verwaltungsereignisse CloudTrail protokolliert. Die eventsource für CloudTrail Verwaltungsereignisse für S3 Express One Zone ist. s3express.amazonaws.com

Anmerkung

Für S3 Express One Zone wird die CloudTrail Protokollierung von API-Vorgängen an zonalen Endpunkten (Objektebene oder Datenebene) (z. B. PutObject oderGetObject) nicht unterstützt.

Die folgenden API-Operationen für regionale Endgeräte werden protokolliert. CloudTrail

• CreateBucket

• DeleteBucket

• DeleteBucketPolicy

• GetBucketPolicy

• PutBucketPolicy

• ListDirectoryBuckets

Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in S3 Express One Zone.

Amazon S3 S3-Aktionen auf Objektebene in kontoübergreifenden Szenarien

Im Folgenden finden Sie spezielle Anwendungsfälle, die API-Aufrufe auf Objektebene in kontoübergreifenden Szenarien und die Art und Weise, wie Protokolle gemeldet werden, betreffen. CloudTrail CloudTrail übermittelt Protokolle an den Anforderer (das Konto, das den API-Aufruf getätigt hat), außer in einigen Fällen, in denen der Zugriff verweigert wurde, in denen Protokolleinträge geschwärzt oder weggelassen werden. Bei der Einrichtung von kontoübergreifendem Zugriff sehen Sie sich die Beispiele in diesem Abschnitt an.

Anmerkung

In den Beispielen wird davon ausgegangen, dass die CloudTrail Protokolle entsprechend konfiguriert sind.

Beispiel 1: CloudTrail Liefert Logs an den Bucket-Besitzer

CloudTrail übermittelt Protokolle an den Bucket-Besitzer, auch wenn der Bucket-Besitzer keine Berechtigungen für denselben Objekt-API-Vorgang hat. Sehen Sie sich das folgende kontenübergreifende Szenario vor:

• Konto A ist Eigentümer des Buckets.

• Konto B (Anforderer) versucht, auf ein Objekt in diesem Bucket zuzugreifen.

• Konto C besitzt das Objekt. Konto C kann dasselbe Konto wie Konto A sein oder auch nicht.

Anmerkung

CloudTrail übermittelt API-Logs auf Objektebene immer an den Anforderer (Konto B). Darüber hinaus werden dieselben Protokolle CloudTrail auch dann an den Bucket-Besitzer (Konto A) übermittelt, wenn der Bucket-Besitzer das Objekt (Konto C) nicht besitzt oder keine Berechtigungen für dieselben API-Operationen an diesem Objekt besitzt.

Beispiel 2: E-Mail-Adressen, die bei der Festlegung von Objekt-ACLs verwendet werden, werden CloudTrail nicht häufig verwendet

Sehen Sie sich das folgende kontenübergreifende Szenario vor:

• Konto A ist Eigentümer des Buckets.

• Konto B (Anforderer) sendet eine Anforderung, um eine ACL-Erteilung für ein Objekt unter Verwendung einer E-Mail-Adresse einzurichten. Weitere Informationen über ACLs finden Sie in Zugriffskontrolllisten (ACL) – Übersicht.

Der Anforderer erhält die Protokolle zusammen mit der E-Mail-Information. Allerdings erhält der Bucket-Besitzer — sofern er berechtigt ist, Logs zu empfangen, wie in Beispiel 1 — das Protokoll, das das CloudTrail Ereignis meldet. Der Bucket-Eigentümer erhält jedoch keine Informationen über die ACL-Konfiguration, insbesondere die E-Mail des Empfängers und die Erteilung. Die einzige Information, die das Protokoll dem Bucket-Eigentümer mitteilt, ist, dass Konto B einen ACL-API-Aufruf vorgenommen hat.