Surveillance de S3 sur Outposts avec des journaux AWS CloudTrail

Amazon S3 on Outposts est intégré à AWS CloudTrail un service qui fournit un enregistrement des actions effectuées par un utilisateur, un rôle ou un utilisateur Service AWS dans S3 sur Outposts. Vous pouvez utiliser AWS CloudTrail pour obtenir des informations sur des demandes au niveau du compartiment et au niveau de l'objet sur S3 sur Outposts pour auditer et journaliser votre activité d'événements S3 sur Outposts.

Pour activer les événements de CloudTrail données pour tous vos compartiments Outposts ou pour une liste de compartiments Outposts spécifiques, vous devez créer un suivi manuellement dans. CloudTrail Pour plus d'informations sur les entrées de fichiers CloudTrail journaux, consultez S3 sur les entrées de fichiers journaux d'Outposts.

Pour obtenir la liste complète des événements CloudTrail liés aux données pour S3 on Outposts, consultez la section Événements relatifs aux données Amazon S3 CloudTrail dans le guide de l'utilisateur Amazon S3.

Note

• Il est recommandé de créer une politique de cycle de vie pour votre bucket Outposts d'événements de AWS CloudTrail données. Configurez la politique de cycle de vie pour supprimer périodiquement les fichiers journaux après le délai à l'issue duquel vous devez les auditer. Cela permet de réduire la quantité de données analysées par Amazon Athena pour chaque requête. Pour de plus amples informations, veuillez consulter Création et gestion d'une configuration de cycle de vie pour votre compartiment Amazon S3 on Outposts.

• Pour des exemples expliquant comment interroger les CloudTrail journaux, consultez le billet de blog AWS consacré au Big Data Analyze Security, Compliance, and Operational Activity Using AWS CloudTrail et Amazon Athena.

Activer la CloudTrail journalisation des objets dans un compartiment S3 on Outposts

Vous pouvez utiliser la console Amazon S3 pour configurer un AWS CloudTrail suivi afin de consigner les événements de données relatifs aux objets d'un compartiment Amazon S3 on Outposts. CloudTrail prend en charge la journalisation de S3 sur les API opérations au niveau des objets d'Outposts, telles que, etGetObject. DeleteObject PutObject Ces événements sont des événements de données.

Par défaut, les CloudTrail sentiers n'enregistrent pas les événements liés aux données. Cependant, vous pouvez configurer des sentiers pour consigner les événements de données pour S3 dans les compartiments Outposts que vous spécifiez ou pour enregistrer les événements de données pour tous les compartiments S3 sur Outposts de votre. Compte AWS

CloudTrail ne renseigne pas les événements de données dans l'historique des CloudTrail événements. De plus, les API opérations S3 on Outposts au niveau du bucket ne sont pas toutes renseignées dans l'historique des événements. CloudTrail Pour plus d'informations sur la manière d'interroger CloudTrail les journaux, consultez les sections Utilisation CloudWatch des modèles de filtrage Amazon Logs et Amazon Athena pour interroger les CloudTrail journaux dans le AWS Knowledge Center.

Pour configurer un journal de suivi afin de journaliser les événements de données pour un compartiment S3 sur Outposts, vous pouvez utiliser la console AWS CloudTrail ou la console Amazon S3. Si vous configurez un journal pour consigner les événements de données pour tous les compartiments S3 on Outposts de vos compartiments Compte AWS, il est plus facile d'utiliser la console. CloudTrail Pour plus d'informations sur l'utilisation de la CloudTrail console pour configurer un journal des événements de données S3 on Outposts, consultez la section Événements liés aux données dans le guide de l'AWS CloudTrail utilisateur.

Important

Des frais supplémentaires s’appliquent pour les événements de données. Pour en savoir plus, consultez Pricing AWS CloudTrail (Tarification).

La procédure suivante explique comment utiliser la console Amazon S3 pour configurer un journal afin de CloudTrail consigner les événements de données d'un compartiment S3 on Outposts.

Note

La personne Compte AWS qui crée le compartiment en est propriétaire et est la seule à pouvoir configurer les événements de données S3 on Outposts à envoyer. AWS CloudTrail

Pour activer la journalisation des événements de CloudTrail données pour les objets d'un bucket S3 on Outposts

1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

2. Dans le panneau de navigation de gauche, choisissez Outposts buckets (Compartiments Outposts).

3. Choisissez le nom du bucket Outposts dont vous souhaitez enregistrer les événements de données à l'aide desquels vous souhaitez enregistrer. CloudTrail

4. Choisissez Propriétés.

5. Dans la section AWS CloudTrail des événements de données, choisissez Configurer dans CloudTrail.

   La AWS CloudTrail console s'ouvre.

   Vous pouvez créer une nouvelle CloudTrail piste ou réutiliser une piste existante et configurer les événements de données S3 on Outposts pour qu'ils soient enregistrés dans votre trace.

6. Sur la page du tableau de bord de la CloudTrail console, choisissez Create trail.

7. Sur la page Étape 1 Choisir les attributs du journal de suivi, donnez un nom au journal de suivi, choisissez un compartiment S3 pour stocker les journaux de suivi, spécifiez les autres paramètres souhaités, puis cliquez sur Suivant.

8. Sur la page Étape 2 Choisir des événements de journaux, sous Type d'événement, choisissez Événements de données.

   Pour Type d'événement de données, choisissez S3 Outposts. Choisissez Suivant.

   Note

   • Lorsque vous créez un journal de suivi et que vous configurez la journalisation des événements de données pour S3 sur Outposts, vous devez spécifier correctement le type d'événement de données.

     • Si vous utilisez la CloudTrail console, choisissez le type d'événement S3 Outposts for Data. Pour plus d'informations sur la création de pistes dans la CloudTrail console, consultez la section Création et mise à jour d'une piste avec la console dans le guide de AWS CloudTrail l'utilisateur. Pour plus d'informations sur la configuration de la journalisation des événements de données S3 on Outposts dans la CloudTrail console, consultez la section Journalisation des événements de données pour les objets Amazon S3 dans le guide de l'AWS CloudTrail utilisateur.

     • Si vous utilisez le AWS Command Line Interface (AWS CLI) ou le AWS SDKs, définissez le resources.type champ surAWS::S3Outposts::Object. Pour plus d'informations sur la façon de consigner les événements de données S3 on Outposts avec le AWS CLI, consultez la section Enregistrer les événements S3 on Outposts dans le guide de l'utilisateur.AWS CloudTrail

   • Si vous utilisez la CloudTrail console ou la console Amazon S3 pour configurer un journal des événements de données pour un compartiment S3 on Outposts, la console Amazon S3 indique que la journalisation au niveau des objets est activée pour le compartiment.

9. Sur la page Étape 3 Vérifier et créer, passez en revue les attributs du suivi et les événements du journal que vous avez configurés. Choisissez ensuite Créer un journal de suivi.

Pour désactiver la journalisation des événements de CloudTrail données pour les objets d'un bucket S3 on Outposts

1. Connectez-vous à la CloudTrail console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/cloudtrail/.

2. Dans le panneau de navigation de gauche, choisissez Journaux de suivi.

3. Choisissez le nom du journal de suivi que vous avez créé pour journaliser les événements de votre compartiment S3 sur Outposts.

4. Sur la page de détails de votre journal de suivi, choisissez Arrêter la journalisation dans le coin supérieur droit.

5. Dans la boîte de dialogue qui s'affiche, cliquez sur Arrêter la journalisation.

Entrées du fichier AWS CloudTrail journal d'Amazon S3 on Outposts

Les événements de gestion d'Amazon S3 on Outposts sont disponibles via. AWS CloudTrail En outre, vous pouvez éventuellement activer la journalisation des événements de données dans AWS CloudTrail.

Un journal de suivi est une configuration qui permet la livraison d'événements sous forme de fichiers journaux vers un compartiment S3 dans une Région que vous spécifiez. CloudTrail les journaux de vos compartiments Outposts incluent un nouveau champedgeDeviceDetails, qui identifie l'Outpost où se trouve le bucket spécifié.

Les champs de journal supplémentaires incluent l'action demandée, la date et l'heure de l'action, ainsi que les paramètres de la demande. CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des API appels publics, ils n'apparaissent donc pas dans un ordre spécifique.

L'exemple suivant montre une entrée de CloudTrail journal illustrant une PutObjectaction surs3-outposts.

{
      "eventVersion": "1.08",
      "userIdentity": {
        "type": "IAMUser",
        "principalId": "111122223333",
        "arn": "arn:aws:iam::111122223333:user/yourUserName",
        "accountId": "222222222222",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "yourUserName"
      },
      "eventTime": "2020-11-30T15:44:33Z",
      "eventSource": "s3-outposts.amazonaws.com",
      "eventName": "PutObject",
      "awsRegion": "us-east-1",
      "sourceIPAddress": "26.29.66.20",
      "userAgent": "aws-cli/1.18.39 Python/3.4.10 Darwin/18.7.0 botocore/1.15.39",
      "requestParameters": {
        "expires": "Wed, 21 Oct 2020 07:28:00 GMT",
        "Content-Language": "english",
        "x-amz-server-side-encryption-customer-key-MD5": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
        "ObjectCannedACL": "BucketOwnerFullControl",
        "x-amz-server-side-encryption": "Aes256",
        "Content-Encoding": "gzip",
        "Content-Length": "10",
        "Cache-Control": "no-cache",
        "Content-Type": "text/html; charset=UTF-8",
        "Content-Disposition": "attachment",
        "Content-MD5": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY",
        "x-amz-storage-class": "Outposts",
        "x-amz-server-side-encryption-customer-algorithm": "Aes256",
        "bucketName": "amzn-s3-demo-bucket1",
        "Key": "path/upload.sh"
      },
      "responseElements": {
        "x-amz-server-side-encryption-customer-key-MD5": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
        "x-amz-server-side-encryption": "Aes256",
        "x-amz-version-id": "001",
        "x-amz-server-side-encryption-customer-algorithm": "Aes256",
        "ETag": "d41d8cd98f00b204e9800998ecf8427f"
      },
      "additionalEventData": {
        "CipherSuite": "ECDHE-RSA-AES128-SHA",
        "bytesTransferredIn": 10,
        "x-amz-id-2": "29xXQBV2O+xOHKItvzY1suLv1i6A52E0zOX159fpfsItYd58JhXwKxXAXI4IQkp6",
        "SignatureVersion": "SigV4",
        "bytesTransferredOut": 20,
        "AuthenticationMethod": "AuthHeader"
      },
      "requestID": "8E96D972160306FA",
      "eventID": "ee3b4e0c-ab12-459b-9998-0a5a6f2e4015",
      "readOnly": false,
      "resources": [
        {
          "accountId": "222222222222",
          "type": "AWS::S3Outposts::Object",
          "ARN": "arn:aws:s3-outposts:us-east-1:YYY:outpost/op-01ac5d28a6a232904/bucket/path/upload.sh"
        },
        {
          "accountId": "222222222222",
          "type": "AWS::S3Outposts::Bucket",
          "ARN": "arn:aws:s3-outposts:us-east-1:YYY:outpost/op-01ac5d28a6a232904/bucket/"
        }
      ],
      "eventType": "AwsApiCall",
      "managementEvent": false,
      "recipientAccountId": "444455556666",
      "sharedEventID": "02759a4c-c040-4758-b84b-7cbaaf17747a",
      "edgeDeviceDetails": {
        "type": "outposts",
        "deviceId": "op-01ac5d28a6a232904"
      },
      "eventCategory": "Data"
    }