Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Identification des demandes Amazon S3 à l'aide CloudTrail
Dans Amazon S3, vous pouvez identifier les demandes à l'aide d'un journal d' AWS CloudTrail événements. AWS CloudTrail est la méthode préférée pour identifier les demandes Amazon S3, mais si vous utilisez les journaux d'accès aux serveurs Amazon S3, consultezUtilisation des journaux d’accès au serveur Amazon S3 pour identifier des demandes.
Rubriques
Identification des demandes adressées à Amazon S3 dans un CloudTrail journal
Une fois que vous avez configuré CloudTrail la transmission d'événements vers un compartiment, vous devriez commencer à voir des objets se diriger vers votre compartiment de destination sur la console Amazon S3. Ils se présentent dans le format suivant :
s3://
DOC-EXAMPLE-BUCKET1/AWSLogs/111122223333/CloudTrail/Region/yyyy/mm/dd
Les événements enregistrés par CloudTrail sont stockés sous forme d'objets gzipped JSON compressés dans votre compartiment S3. Pour rechercher efficacement les demandes, vous devez utiliser un service tel qu'Amazon Athena pour indexer et interroger les CloudTrail journaux.
Pour plus d'informations sur Athena CloudTrail et Athena, consultez la section Création de la table pour les AWS CloudTrail journaux dans Athena à l'aide de la projection de partitions dans le guide de l'utilisateur d'Amazon Athena.
Identification des demandes Amazon S3 Signature version 2 à l'aide de CloudTrail
Vous pouvez utiliser un journal d' CloudTrail événements pour identifier la version de signature d'API utilisée pour signer une demande dans Amazon S3. Cette fonctionnalité est importante étant donné que la prise en charge de Signature Version 2 va être désactivée (obsolète). Après cela, Amazon S3 n'acceptera plus les demandes utilisant Signature Version 2, et toutes les demandes devront utiliser le processus de signature Signature Version 4.
Nous vous recommandons vivement de l'utiliser CloudTrail pour déterminer si l'un de vos flux de travail utilise la signature Signature version 2. Pour y remédier, mettez à niveau vos bibliothèques et votre code afin qu'ils utilisent plutôt Signature Version 4 afin d'éviter tout impact sur votre entreprise.
Pour plus d'informations, consultez Annonce : AWS CloudTrail pour Amazon S3 ajoute de nouveaux champs pour un audit de sécurité amélioré
Note
CloudTrail les événements pour Amazon S3 incluent la version de signature dans les détails de la demande sous le nom de clé « »additionalEventData. Pour trouver la version de signature des demandes effectuées pour des objets dans Amazon S3GET, tels que,PUT, et des DELETE demandes, vous devez activer CloudTrail les événements de données. (Cette fonction est désactivée par défaut).
AWS CloudTrail est la méthode préférée pour identifier les demandes de signature version 2. Si vous utilisez les journaux d'accès au serveur Amazon S3, consultez Identification des demandes Signature Version 2 à l’aide des journaux d’accès Amazon S3.
Rubriques
Exemples de requête Athena pour l'identification de demandes Amazon S3 Signature Version 2
Exemple — sélectionnez tous les événements de la version 2 de la signature et imprimez uniquement EventTime, S3_Action, Request_Parameters, Region, SourceIP, et UserAgent
Dans la requête Athena suivante, remplacez s3_cloudtrail_events_db.cloudtrail_table
SELECT EventTime, EventName as S3_Action, requestParameters as Request_Parameters, awsregion as AWS_Region, sourceipaddress as Source_IP, useragent as User_Agent FROMs3_cloudtrail_events_db.cloudtrail_tableWHERE eventsource='s3.amazonaws.com' AND json_extract_scalar(additionalEventData, '$.SignatureVersion')='SigV2' LIMIT 10;
Exemple – Sélectionner tous les demandeurs qui envoient du trafic Signature Version 2
SELECT useridentity.arn, Count(requestid) as RequestCount FROMs3_cloudtrail_events_db.cloudtrail_tableWHERE eventsource='s3.amazonaws.com' and json_extract_scalar(additionalEventData, '$.SignatureVersion')='SigV2' Group by useridentity.arn
Partitionnement des données Signature Version 2
Si vous devez interroger un large volume de données, vous pouvez réduire les coûts et l'exécution d'Athena en créant une table partitionnée.
Pour ce faire, créez une nouvelle table avec des partitions, comme suit.
CREATE EXTERNAL TABLEs3_cloudtrail_events_db.cloudtrail_table_partitioned( eventversion STRING, userIdentity STRUCT< type:STRING, principalid:STRING, arn:STRING, accountid:STRING, invokedby:STRING, accesskeyid:STRING, userName:STRING, sessioncontext:STRUCT< attributes:STRUCT< mfaauthenticated:STRING, creationdate:STRING>, sessionIssuer:STRUCT< type:STRING, principalId:STRING, arn:STRING, accountId:STRING, userName:STRING> > >, eventTime STRING, eventSource STRING, eventName STRING, awsRegion STRING, sourceIpAddress STRING, userAgent STRING, errorCode STRING, errorMessage STRING, requestParameters STRING, responseElements STRING, additionalEventData STRING, requestId STRING, eventId STRING, resources ARRAY<STRUCT<ARN:STRING,accountId: STRING,type:STRING>>, eventType STRING, apiVersion STRING, readOnly STRING, recipientAccountId STRING, serviceEventDetails STRING, sharedEventID STRING, vpcEndpointId STRING ) PARTITIONED BY (region string, year string, month string, day string) ROW FORMAT SERDE 'org.apache.hadoop.hive.ql.io.orc.OrcSerde' STORED AS INPUTFORMAT 'org.apache.hadoop.hive.ql.io.SymlinkTextInputFormat' OUTPUTFORMAT 'org.apache.hadoop.hive.ql.io.HiveIgnoreKeyTextOutputFormat' LOCATION 's3://DOC-EXAMPLE-BUCKET1/AWSLogs/111122223333/';
Ensuite, créez les partitions individuellement. Vous ne pouvez pas obtenir des résultats à partir de dates que vous n'avez pas créées.
ALTER TABLEs3_cloudtrail_events_db.cloudtrail_table_partitioned ADD PARTITION (region= 'us-east-1', year= '2019', month= '02', day= '19') LOCATION 's3://DOC-EXAMPLE-BUCKET1/AWSLogs/111122223333/CloudTrail/us-east-1/2019/02/19/' PARTITION (region= 'us-west-1', year= '2019', month= '02', day= '19') LOCATION 's3://DOC-EXAMPLE-BUCKET1/AWSLogs/111122223333/CloudTrail/us-west-1/2019/02/19/' PARTITION (region= 'us-west-2', year= '2019', month= '02', day= '19') LOCATION 's3://DOC-EXAMPLE-BUCKET1/AWSLogs/111122223333/CloudTrail/us-west-2/2019/02/19/' PARTITION (region= 'ap-southeast-1', year= '2019', month= '02', day= '19') LOCATION 's3://DOC-EXAMPLE-BUCKET1/AWSLogs/111122223333/CloudTrail/ap-southeast-1/2019/02/19/' PARTITION (region= 'ap-southeast-2', year= '2019', month= '02', day= '19') LOCATION 's3://DOC-EXAMPLE-BUCKET1/AWSLogs/111122223333/CloudTrail/ap-southeast-2/2019/02/19/' PARTITION (region= 'ap-northeast-1', year= '2019', month= '02', day= '19') LOCATION 's3://DOC-EXAMPLE-BUCKET1/AWSLogs/111122223333/CloudTrail/ap-northeast-1/2019/02/19/' PARTITION (region= 'eu-west-1', year= '2019', month= '02', day= '19') LOCATION 's3://DOC-EXAMPLE-BUCKET1/AWSLogs/111122223333/CloudTrail/eu-west-1/2019/02/19/' PARTITION (region= 'sa-east-1', year= '2019', month= '02', day= '19') LOCATION 's3://DOC-EXAMPLE-BUCKET1/AWSLogs/111122223333/CloudTrail/sa-east-1/2019/02/19/';
Vous pouvez ensuite effectuer la demande en fonction de ces partitions. Vous n'avez pas besoin de charger le compartiment entier.
SELECT useridentity.arn, Count(requestid) AS RequestCount FROMs3_cloudtrail_events_db.cloudtrail_table_partitioned WHERE eventsource='s3.amazonaws.com' AND json_extract_scalar(additionalEventData, '$.SignatureVersion')='SigV2' AND region='us-east-1' AND year='2019' AND month='02' AND day='19' Group by useridentity.arn
Identification de l'accès aux objets S3 en utilisant CloudTrail
Vous pouvez utiliser vos journaux d' AWS CloudTrail événements pour identifier les demandes d'accès aux objets Amazon S3 relatives à des événements de données tels que GetObjectDeleteObject, etPutObject, et découvrir des informations supplémentaires sur ces demandes.
L'exemple suivant montre comment obtenir toutes les demandes PUT d'objets pour Amazon S3 à partir d'un journal d' AWS CloudTrail événements.
Exemples de requêtes Athena pour identifier les demandes d'accès aux objets Amazon S3
Dans les exemples de requêtes Athena suivants, remplacez s3_cloudtrail_events_db.cloudtrail_table
Exemple — sélectionnez tous les événements pour lesquels il existe des demandes d'accès à des objets PUT, et imprimez uniquement EventTime, EventSource, SourceIP, UserAgent, BucketName, object et UserARN
SELECT eventTime, eventName, eventSource, sourceIpAddress, userAgent, json_extract_scalar(requestParameters, '$.bucketName') as bucketName, json_extract_scalar(requestParameters, '$.key') as object, userIdentity.arn as userArn FROMs3_cloudtrail_events_db.cloudtrail_tableWHERE eventName = 'PutObject' AND eventTime BETWEEN '2019-07-05T00:00:00Z' and '2019-07-06T00:00:00Z'
Exemple — sélectionnez tous les événements pour lesquels il existe des demandes d'accès à des objets GET, et imprimez uniquement EventTime, EventSource, SourceIP, UserAgent, BucketName, object et UserARN
SELECT eventTime, eventName, eventSource, sourceIpAddress, userAgent, json_extract_scalar(requestParameters, '$.bucketName') as bucketName, json_extract_scalar(requestParameters, '$.key') as object, userIdentity.arn as userArn FROMs3_cloudtrail_events_db.cloudtrail_tableWHERE eventName = 'GetObject' AND eventTime BETWEEN '2019-07-05T00:00:00Z' and '2019-07-06T00:00:00Z'
Exemple — sélectionnez tous les événements des demandeurs anonymes dans un compartiment pendant une certaine période et imprimez seulement EventTime, EventName, EventSource, SourceIP, UserAgent, BucketName, UserARN et AccountID
SELECT eventTime, eventName, eventSource, sourceIpAddress, userAgent, json_extract_scalar(requestParameters, '$.bucketName') as bucketName, userIdentity.arn as userArn, userIdentity.accountId FROMs3_cloudtrail_events_db.cloudtrail_tableWHERE userIdentity.accountId = 'anonymous' AND eventTime BETWEEN '2019-07-05T00:00:00Z' and '2019-07-06T00:00:00Z'
Exemple — identifiez toutes les demandes qui ont nécessité un ACL pour l'autorisation.
L'exemple de requête Amazon Athena suivant montre comment identifier toutes les requêtes de vos compartiments S3 qui ont nécessité une liste de contrôle d'accès (ACL) pour l'autorisation. Si la requête a nécessité une ACL pour l'autorisation, la valeur aclRequired dans additionalEventData est Yes. Si aucune ACL n'a été requise, la valeur aclRequired est absente. Vous pouvez utiliser ces informations pour migrer ces autorisations ACL vers les politiques de compartiment appropriées. Après avoir créé ces politiques de compartiment, vous pouvez désactiver les ACL pour ces compartiments. Pour plus d'informations sur la désactivation des ACL, consultez Conditions préalables à la désactivation des listes ACL.
SELECT eventTime, eventName, eventSource, sourceIpAddress, userAgent, userIdentity.arn as userArn, json_extract_scalar(requestParameters, '$.bucketName') as bucketName, json_extract_scalar(requestParameters, '$.key') as object, json_extract_scalar(additionalEventData, '$.aclRequired') as aclRequired FROMs3_cloudtrail_events_db.cloudtrail_tableWHERE json_extract_scalar(additionalEventData, '$.aclRequired') = 'Yes' AND eventTime BETWEEN '2022-05-10T00:00:00Z' and '2022-08-10T00:00:00Z'
Note
-
Ces exemples de requêtes sont également utiles pour surveiller la sécurité. Vous pouvez vérifier les résultats pour les appels
PutObjectouGetObjectdepuis des adresses IP ou des demandeurs inattendus ou non autorisés et pour identifier les demandes anonymes adressées à vos compartiments. -
Cette requête ne récupère d'informations qu'à partir du moment où l'enregistrement a été activé.
Si vous utilisez les journaux d'accès au serveur Amazon S3, veuillez consulter Identification des demandes d’accès aux objets à l’aide des journaux d’accès Amazon S3.
