Protokollierungsoptionen für Amazon S3
Sie können die Aktionen aufzeichnen, die von Benutzern, Rollen oder AWS-Services-Services in Amazon-S3-Ressourcen durchgeführt werden, und Protokolldatensätze für Prüfungs- und Compliance-Zwecke pflegen. Dazu können Sie die Serverzugriffsprotokollierung, die AWS CloudTrail-Protokollierung oder eine Kombination aus beiden verwenden. Wir empfehlen, dass Sie CloudTrail für die Protokollierung von Aktionen auf Bucket- und Objektebene für Ihre Amazon-S3-Ressourcen verwenden. Weitere Informationen zu jeder Option finden Sie in folgenden Abschnitten:
In der folgenden Tabelle sind die wichtigsten Eigenschaften von CloudTrail-Protokollen und Amazon-S3-Serverzugriffsprotokollen aufgeführt. Sehen Sie sich die Tabelle und die Hinweise an, um sicherzustellen, dass AWS CloudTrail Ihre Sicherheitsanforderungen erfüllt.
| Protokolleigenschaften | AWS CloudTrail | Amazon-S3-Serverprotokolle |
|---|---|---|
|
Kann an andere Systeme weitergeleitet werden (Amazon CloudWatch Logs, Amazon CloudWatch Events) |
Ja |
No |
|
Protokolle an mehreren Zielen bereitstellen (Beispiel: dieselben Protokolle an zwei verschiedene Buckets senden) |
Ja |
No |
|
Protokolle für eine Teilmenge von Objekten aktivieren (Präfix) |
Ja |
No |
|
Kontoübergreifende Protokollbereitstellung (Ziel- und Quell-Bucket in Besitz von verschiedenen Konten) |
Ja |
No |
|
Integritätsprüfung der Protokolldatei mit digitaler Signatur oder Hashing |
Ja |
No |
|
Standardeinstellung oder Auswahl der Verschlüsselung für Protokolldateien |
Ja |
No |
|
Objektvorgänge (mit Amazon-S3-APIs) |
Ja |
Ja |
|
Bucket-Vorgänge (mit Amazon-S3-APIs) |
Ja |
Ja |
|
Durchsuchbare UI für Protokolle |
Ja |
No |
|
Felder für Objektsperrparameter, Amazon S3 Select-Eigenschaften für Protokolldatensätze |
Ja |
No |
|
Felder für |
Nein |
Ja |
|
Lebenszyklusübertragungen, Ablaufaktionen, Wiederherstellungen |
Nein |
Ja |
|
Protokollieren von Schlüsseln in einer Batch-Delete-Operation |
Nein |
Ja |
|
Authentifizierungsfehler1 |
Nein |
Ja |
|
Konten, an die Protokolle geliefert werden |
Bucket-Eigentümer2 und Auftraggeber |
Nur Bucket-Eigentümer |
| Performance and Cost | AWS CloudTrail | Amazon S3 Server Logs |
|
Preis |
Verwaltungsereignisse (erste Bereitstellung) sind kostenlos. Für Datenereignisse fällt zusätzlich zur Speicherung der Protokolle eine Gebühr an |
Keine Zusatzkosten neben der Speicherung der Protokolle |
|
Geschwindigkeit der Protokollbereitstellung |
Datenereignisse alle 5 Minuten; Verwaltungsereignisse alle 15 Minuten |
Innerhalb weniger Stunden |
|
Protokollformat |
JSON |
Protokolldatei mit durch Leerzeichen getrennten, durch neue Zeilen getrennten Datensätzen |
Hinweise
-
CloudTrail stellt keine Protokolle für Anforderungen bereit, deren Authentifizierung fehlschlägt (in dem die angegebenen Anmeldeinformationen nicht gültig sind). Es enthält jedoch Protokolle für Anforderungen, deren Authentifizierung fehlschlägt (
AccessDenied), und Anforderungen, die von anonymen Benutzern gestellt werden. -
Der S3-Bucket-Eigentümer erhält CloudTrail-Protokolle, wenn das Konto keinen vollständigen Zugriff auf das Objekt in der Anforderung besitzt. Weitere Informationen finden Sie unter Amazon-S3-Aktionen auf Objektebene in kontoübergreifenden Szenarios.
-
S3 unterstützt die Zustellung von CloudTrail-Protokollen oder Serverzugriffsprotokollen nicht an den Anforderer oder den Bucket-Eigentümer für VPC-Endpunktanforderungen, wenn die VPC-Endpunktrichtlinie diese ablehnt oder für Anforderungen, die fehlschlagen, bevor die VPC-Richtlinie ausgewertet wird.
