CloudTrail Événements Amazon S3

Important

Amazon S3 applique désormais le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) comme niveau de base du chiffrement pour chaque compartiment d'Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d'objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. L'état du chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour le téléchargement de nouveaux objets est disponible dans AWS CloudTrail les journaux, S3 Inventory, S3 Storage Lens, la console Amazon S3 et sous forme d'en-tête de réponse d'API Amazon S3 supplémentaire dans les AWS SDK AWS Command Line Interface et. Pour plus d'informations, consultez la FAQ sur le chiffrement par défaut.

Cette section fournit des informations sur les événements auxquels S3 se connecte CloudTrail.

Événements liés aux données Amazon S3 dans CloudTrail

Les événements de données fournissent des informations sur les opérations de ressources effectuées sur ou dans une ressource (par exemple, lecture ou écriture de données dans un objet Amazon S3). Ils sont également connus sous le nom opérations de plans de données. Les événements de données sont souvent des activités dont le volume est élevé. Par défaut, CloudTrail n'enregistre pas les événements liés aux données. L'historique des CloudTrail événements n'enregistre pas les événements liés aux données.

Des frais supplémentaires s’appliquent pour les événements de données. Pour plus d'informations sur la CloudTrail tarification, consultez la section AWS CloudTrail Tarification.

Vous pouvez enregistrer les événements de données pour les types de ressources Amazon S3 à l'aide de la CloudTrail console ou des opérations CloudTrail d'API. AWS CLI Pour plus d'informations sur la façon de consigner les événements liés aux données, consultez les sections Consignation des événements liés aux données avec le AWS Management Console et Enregistrement des événements liés aux données avec le AWS Command Line Interface dans le Guide de AWS CloudTrail l'utilisateur.

Le tableau suivant répertorie les types de ressources Amazon S3 pour lesquels vous pouvez enregistrer des événements de données. La colonne Type d'événement de données (console) indique la valeur à choisir dans la liste des types d'événements de données de la CloudTrail console. La colonne de valeur resources.type indique la resources.type valeur que vous devez spécifier lors de la configuration de sélecteurs d'événements avancés à l'aide des API or. AWS CLI CloudTrail La CloudTrail colonne Data APIs logged to indique les appels d'API enregistrés CloudTrail pour le type de ressource.

Type d’événement de données (console)	valeur resources.type	API de données connectées à CloudTrail
S3	AWS::S3::Object	AbortMultipartUpload CompleteMultipartUpload CopyObject CreateMultipartUpload DeleteObject DeleteObjectTagging DeleteObjects GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging GetObjectTorrent HeadObject ListMultipartUploads ListObjectVersions ListObjects ListParts PutObject PutObjectAcl PutObjectLegalHold PutObjectRetention PutObjectTagging RestoreObject SelectObjectContent UploadPart UploadPartCopy
Points d’accès S3	AWS::S3::Access Point	AbortMultipartUpload CompleteMultipartUpload CopyObject (copies dans une même Région uniquement) CreateMultipartUpload DeleteObject DeleteObjectTagging GetBucketAcl GetBucketCors GetBucketLocation GetBucketNotificationConfiguration GetBucketPolicy GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging HeadBucket HeadObject ListMultipartUploads ListObjects ListObjectsV2 ListObjectVersions ListParts Presign PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart UploadPartCopy (copies dans une même Région uniquement)
S3 Object Lambda	AWS::S3ObjectLambda::AccessPoint	AbortMultipartUpload CompleteMultipartUpload CopyObject (copies dans une même Région uniquement) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectAcl GetObjectLegalHold GetObjectRetention GetObjectTagging HeadObject ListMultipartUploads ListObjects ListObjectVersions ListParts PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart WriteGetObjectResponse
S3 Outposts	AWS::S3Outposts::Object	AbortMultipartUpload CompleteMultipartUpload CopyObject (copies dans une même Région uniquement) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectTagging HeadObject ListMultipartUploads ListObjects ListObjectsV2 ListParts PutObject PutObjectTagging UploadPart UploadPartCopy

Vous pouvez configurer des sélecteurs d'événements avancés pour filtrer les eventNamereadOnly, et resources.ARN des champs pour enregistrer uniquement les événements importants pour vous. Pour plus d'informations sur ces champs, consultez AdvancedFieldSelectorla référence de l'AWS CloudTrail API.

Événements de gestion Amazon S3 dans CloudTrail

Amazon S3 enregistre toutes les opérations du plan de contrôle en tant qu'événements de gestion. Pour plus d'informations sur les opérations de l'API S3, consultez le manuel Amazon S3 API Reference.

Comment CloudTrail capture les demandes adressées à Amazon S3

Par défaut, CloudTrail enregistre les appels d'API au niveau du compartiment S3 effectués au cours des 90 derniers jours, mais pas les demandes de journalisation adressées aux objets. Les appels au niveau des compartiments comprennent des événements tels que CreateBucket, DeleteBucket, PutBucketLifecycle, PutBucketPolicy et ainsi de suite. Vous pouvez voir les événements au niveau du bucket sur la CloudTrail console. Cependant, vous ne pouvez pas y consulter les événements de données (appels au niveau des objets Amazon S3). Vous devez les analyser ou les consulter dans les journaux. CloudTrail

Actions au niveau du compte Amazon S3 suivies par journalisation CloudTrail

CloudTrail enregistre les actions au niveau du compte. Les enregistrements Amazon S3 sont écrits avec d'autres Service AWS enregistrements dans un fichier journal. CloudTrail détermine à quel moment créer et écrire dans un nouveau fichier en fonction d'une période et de la taille du fichier.

Les tableaux de cette section répertorient les actions au niveau du compte Amazon S3 prises en charge pour la connexion par. CloudTrail

Les actions d'API au niveau du compte Amazon S3 suivies par CloudTrail journalisation apparaissent sous les noms d'événements suivants. Les noms des CloudTrail événements sont différents du nom de l'action de l'API. Par exemple, DeletePublicAccessBlock est DeleteAccountPublicAccessBlock.

• DeleteAccountPublicAccessBlock

• GetAccountPublicAccessBlock

• PutAccountPublicAccessBlock

Actions au niveau du compartiment Amazon S3 suivies par journalisation CloudTrail

Par défaut, CloudTrail enregistre les actions au niveau du compartiment pour les compartiments à usage général. Les enregistrements Amazon S3 sont écrits avec d'autres enregistrements AWS de service dans un fichier journal. CloudTrail détermine à quel moment créer et écrire dans un nouveau fichier en fonction d'une période et de la taille du fichier.

Cette section répertorie les actions au niveau du compartiment Amazon S3 prises en charge pour la journalisation. CloudTrail

Les actions d'API au niveau du bucket Amazon S3 suivies par CloudTrail journalisation apparaissent sous les noms d'événements suivants. Dans certains cas, le nom de l' CloudTrail événement est différent du nom de l'action de l'API. Par exemple, PutBucketLifecycleConfiguration est PutBucketLifecycle.

• CreateBucket

• DeleteBucket

• DeleteBucketAnalyticsConfiguration

• DeleteBucketCors

• DeleteBucketEncryption

• DeleteBucketIntelligentTieringConfiguration

• DeleteBucketInventoryConfiguration

• DeleteBucketLifecycle

• DeleteBucketMetricsConfiguration

• DeleteBucketOwnershipControls

• DeleteBucketPolicy

• DeleteBucketPublicAccessBlock

• DeleteBucketReplication

• DeleteBucketTagging

• GetAccelerateConfiguration

• GetBucketAcl

• GetBucketAnalyticsConfiguration

• GetBucketCors

• GetBucketEncryption

• GetBucketIntelligentTieringConfiguration

• GetBucketInventoryConfiguration

• GetBucketLifecycle

• GetBucketLocation

• GetBucketLogging

• GetBucketMetricsConfiguration

• GetBucketNotification

• GetBucketObjectLockConfiguration

• GetBucketOwnershipControls

• GetBucketPolicy

• GetBucketPolicyStatus

• GetBucketPublicAccessBlock

• GetBucketReplication

• GetBucketRequestPayment

• GetBucketTagging

• GetBucketVersioning

• GetBucketWebsite

• HeadBucket

• ListBuckets

• PutAccelerateConfiguration

• PutBucketAcl

• PutBucketAnalyticsConfiguration

• PutBucketCors

• PutBucketEncryption

• PutBucketIntelligentTieringConfiguration

• PutBucketInventoryConfiguration

• PutBucketLifecycle

• PutBucketLogging

• PutBucketMetricsConfiguration

• PutBucketNotification

• PutBucketObjectLockConfiguration

• PutBucketOwnershipControls

• PutBucketPolicy

• PutBucketPublicAccessBlock

• PutBucketReplication

• PutBucketRequestPayment

• PutBucketTagging

• PutBucketVersioning

• PutBucketWebsite

En plus de ces opérations d'API, vous pouvez également utiliser l'action au niveau de l'objet OPTIONS object (objet ). Cette action est traitée comme une action au niveau du compartiment dans la CloudTrail journalisation, car elle vérifie la configuration CORS d'un compartiment.

Actions au niveau du bucket S3 Express One Zone (point de terminaison d'API régional) suivies par journalisation CloudTrail

Par défaut, CloudTrail enregistre les actions au niveau du compartiment pour les compartiments de répertoire en tant qu'événements de gestion. Les événements CloudTrail de gestion eventsource pour S3 Express One Zone sonts3express.amazonaws.com.

Note

Pour S3 Express One Zone, la CloudTrail journalisation des opérations d'API du point de terminaison zonal (au niveau de l'objet ou du plan de données) (par exemple, PutObject ouGetObject) n'est pas prise en charge.

Les opérations suivantes de l'API de point de terminaison régional sont enregistrées sur CloudTrail.

• CreateBucket

• DeleteBucket

• DeleteBucketPolicy

• GetBucketPolicy

• PutBucketPolicy

• ListDirectoryBuckets

Pour plus d’informations, consultez Bonnes pratiques de sécurité pour S3 Express One Zone.

Actions au niveau de l'objet Amazon S3 dans des scénarios entre comptes

Vous trouverez ci-dessous des cas d'utilisation particuliers impliquant les appels d'API au niveau de l'objet dans des scénarios entre comptes et la manière dont les CloudTrail journaux sont signalés. CloudTrail fournit les journaux au demandeur (le compte qui a effectué l'appel d'API), sauf dans certains cas de refus d'accès où les entrées du journal sont expurgées ou omises. Lorsque vous configurez l'accès entre comptes, pensez aux exemples de cette section.

Note

Les exemples supposent que CloudTrail les journaux sont correctement configurés.

Exemple 1 : CloudTrail fournit des journaux au propriétaire du compartiment

CloudTrail fournit des journaux au propriétaire du compartiment même si celui-ci n'est pas autorisé à effectuer la même opération d'API d'objet. Envisagez le scénario entre comptes suivant :

• Le compte A est le propriétaire du compartiment.

• Le compte B (le demandeur) tente d'accéder à un objet de ce compartiment.

• Le compte C est propriétaire de l'objet. Le compte C peut ou non être le même compte que le compte A.

Note

CloudTrail fournit toujours des journaux d'API au niveau de l'objet au demandeur (compte B). En outre, fournit CloudTrail également les mêmes journaux au propriétaire du bucket (compte A) même si celui-ci n'est pas propriétaire de l'objet (compte C) ou n'est pas autorisé à effectuer les mêmes opérations d'API sur cet objet.

Exemple 2 : CloudTrail ne multiplie pas les adresses e-mail utilisées pour définir les ACL des objets

Envisagez le scénario entre comptes suivant :

• Le compte A est le propriétaire du compartiment.

• Le compte B (le demandeur) envoie une demande pour définir un octroi de liste ACL d'objet en utilisant une adresse e-mail. Pour en savoir plus sur les listes ACL, consultez Présentation de la liste de contrôle d'accès (ACL).

Le demandeur obtient les journaux ainsi que les informations de messagerie. Toutefois, le propriétaire du compartiment, s'il est éligible pour recevoir des journaux, comme dans l'exemple, obtient que le CloudTrail journal signale l'événement. Cependant, le propriétaire du compartiment n'obtient pas les informations de configuration de liste ACL, notamment l'adresse e-mail du bénéficiaire et l'octroi. La seule information transmise par le journal au propriétaire du compartiment est qu'un appel d'API de liste ACL a été passé par le compte B.