Acara Amazon S3 CloudTrail

penting

Amazon S3 sekarang menerapkan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3) sebagai tingkat dasar enkripsi untuk setiap bucket di Amazon S3. Mulai 5 Januari 2023, semua unggahan objek baru ke Amazon S3 secara otomatis akan dienkripsi tanpa biaya tambahan dan tidak akan berdampak pada kinerja. Status enkripsi otomatis untuk konfigurasi enkripsi default bucket S3 dan untuk unggahan objek baru tersedia di AWS CloudTrail log, Inventaris S3, Lensa Penyimpanan S3, konsol Amazon S3, dan sebagai header respons Amazon S3 tambahan di API AWS Command Line Interface and AWS SDKs. Untuk informasi selengkapnya, lihat Enkripsi default FAQ.

Bagian ini memberikan informasi tentang peristiwa yang dicatat oleh S3. CloudTrail

Peristiwa data Amazon S3 di CloudTrail

Peristiwa data memberikan informasi tentang operasi sumber daya yang dilakukan pada atau di sumber daya (misalnya, membaca atau menulis ke objek Amazon S3). Ini juga dikenal sebagai operasi bidang data. Peristiwa data seringkali merupakan aktivitas volume tinggi. Secara default, CloudTrail tidak mencatat peristiwa data. Riwayat CloudTrail peristiwa tidak merekam peristiwa data.

Biaya tambahan berlaku untuk peristiwa data. Untuk informasi selengkapnya tentang CloudTrail harga, lihat AWS CloudTrail Harga.

Anda dapat mencatat peristiwa data untuk jenis sumber daya Amazon S3 menggunakan konsol, CloudTrail AWS CLI, atau CloudTrail API operasi. Untuk informasi selengkapnya tentang cara mencatat peristiwa data, lihat Mencatat peristiwa data dengan AWS Management Consoledan Mencatat peristiwa data dengan AWS Command Line Interfacedi AWS CloudTrail Panduan Pengguna.

Tabel berikut mencantumkan jenis sumber daya Amazon S3 yang dapat Anda log peristiwa data. Kolom tipe peristiwa data (konsol) menunjukkan nilai yang akan dipilih dari daftar tipe peristiwa Data di CloudTrail konsol. Kolom nilai resources.type menunjukkan resources.type nilai, yang akan Anda tentukan saat mengonfigurasi penyeleksi acara lanjutan menggunakan AWS CLI atau CloudTrail APIs. CloudTrailKolom Data yang APIs dicatat ke menampilkan API panggilan yang dicatat CloudTrail untuk jenis sumber daya.

Jenis peristiwa data (konsol)	nilai resources.type	Data APIs masuk ke CloudTrail
S3	AWS::S3::Object	AbortMultipartUpload CompleteMultipartUpload CopyObject CreateMultipartUpload DeleteObject DeleteObjectTagging DeleteObjects GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging GetObjectTorrent HeadObject ListMultipartUploads ListObjectVersions ListObjects ListParts PutObject PutObjectAcl PutObjectLegalHold PutObjectRetention PutObjectTagging RestoreObject SelectObjectContent UploadPart UploadPartCopy
S3 Express Satu Zona	AWS::S3Express::Object	AbortMultipartUpload CompleteMultipartUpload CreateSession CopyObject CreateMultipartUpload DeleteObject DeleteObjects GetObject GetObjectAttributes HeadBucket HeadObject ListObjectsV2 ListParts PutObject UploadPart UploadPartCopy
Titik Akses S3	AWS::S3::Access Point	AbortMultipartUpload CompleteMultipartUpload CopyObject (hanya salinan wilayah yang sama) CreateMultipartUpload DeleteObject DeleteObjectTagging GetBucketAcl GetBucketCors GetBucketLocation GetBucketNotificationConfiguration GetBucketPolicy GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging HeadBucket HeadObject ListMultipartUploads ListObjects ListObjectsV2 ListObjectVersions ListParts Presign PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart UploadPartCopy (hanya salinan wilayah yang sama)
S3 Object Lambda	AWS::S3ObjectLambda::AccessPoint	AbortMultipartUpload CompleteMultipartUpload CopyObject (hanya salinan wilayah yang sama) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectAcl GetObjectLegalHold GetObjectRetention GetObjectTagging HeadObject ListMultipartUploads ListObjects ListObjectVersions ListParts PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart WriteGetObjectResponse
Outposts S3	AWS::S3Outposts::Object	AbortMultipartUpload CompleteMultipartUpload CopyObject (hanya salinan wilayah yang sama) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectTagging HeadObject ListMultipartUploads ListObjects ListObjectsV2 ListParts PutObject PutObjectTagging UploadPart UploadPartCopy

Anda dapat mengonfigurasi pemilih acara lanjutan untuk memfilter pada eventNamereadOnly,, dan resources.ARN bidang untuk mencatat hanya peristiwa yang penting bagi Anda. Untuk informasi selengkapnya tentang bidang ini, lihat AdvancedFieldSelectordi AWS CloudTrail APIReferensi.

Acara manajemen Amazon S3 di CloudTrail

Amazon S3 mencatat semua operasi pesawat kontrol sebagai peristiwa manajemen. Untuk informasi selengkapnya tentang API operasi S3, lihat Referensi Amazon API S3.

Cara CloudTrail menangkap permintaan yang dibuat ke Amazon S3

Secara default, CloudTrail mencatat API panggilan tingkat ember S3 yang dibuat dalam 90 hari terakhir, tetapi tidak mencatat permintaan yang dibuat ke objek. Panggilan tingkat bucket mencakup peristiwa seperti CreateBucket, DeleteBucket, PutBucketLifecycle, PutBucketPolicy, dan seterusnya. Anda dapat melihat peristiwa tingkat ember di konsol. CloudTrail Namun, Anda tidak dapat melihat peristiwa data (panggilan tingkat objek Amazon S3) di sana—Anda harus mengurai atau menanyakan log untuknya. CloudTrail

Tindakan tingkat akun Amazon S3 dilacak dengan pencatatan CloudTrail

CloudTrail mencatat tindakan tingkat akun. Catatan Amazon S3 ditulis bersama dengan yang lain Layanan AWS catatan dalam file log. CloudTrail menentukan kapan harus membuat dan menulis ke file baru berdasarkan periode waktu dan ukuran file.

Tabel di bagian ini mencantumkan tindakan tingkat akun Amazon S3 yang didukung untuk pencatatan. CloudTrail

APITindakan tingkat akun Amazon S3 yang dilacak dengan CloudTrail logging muncul sebagai nama peristiwa berikut. Nama CloudTrail acara berbeda dari nama API tindakan. Misalnya, DeletePublicAccessBlock adalah DeleteAccountPublicAccessBlock.

• DeleteAccountPublicAccessBlock

• GetAccountPublicAccessBlock

• PutAccountPublicAccessBlock

Tindakan tingkat ember Amazon S3 yang dilacak dengan logging CloudTrail

Secara default, CloudTrail mencatat tindakan tingkat ember untuk bucket tujuan umum. Catatan Amazon S3 ditulis bersama dengan yang lain AWS catatan layanan dalam file log. CloudTrail menentukan kapan harus membuat dan menulis ke file baru berdasarkan periode waktu dan ukuran file.

Bagian ini mencantumkan tindakan tingkat ember Amazon S3 yang didukung untuk pencatatan oleh. CloudTrail

APITindakan tingkat ember Amazon S3 yang dilacak dengan CloudTrail logging muncul sebagai nama peristiwa berikut. Dalam beberapa kasus, nama CloudTrail acara berbeda dari nama API tindakan. Misalnya, PutBucketLifecycleConfiguration adalahPutBucketLifecycle.

• CreateBucket

• DeleteBucket

• DeleteBucketAnalyticsConfiguration

• DeleteBucketCors

• DeleteBucketEncryption

• DeleteBucketIntelligentTieringConfiguration

• DeleteBucketInventoryConfiguration

• DeleteBucketLifecycle

• DeleteBucketMetricsConfiguration

• DeleteBucketOwnershipControls

• DeleteBucketPolicy

• DeleteBucketPublicAccessBlock

• DeleteBucketReplication

• DeleteBucketTagging

• GetAccelerateConfiguration

• GetBucketAcl

• GetBucketAnalyticsConfiguration

• GetBucketCors

• GetBucketEncryption

• GetBucketIntelligentTieringConfiguration

• GetBucketInventoryConfiguration

• GetBucketLifecycle

• GetBucketLocation

• GetBucketLogging

• GetBucketMetricsConfiguration

• GetBucketNotification

• GetBucketObjectLockConfiguration

• GetBucketOwnershipControls

• GetBucketPolicy

• GetBucketPolicyStatus

• GetBucketPublicAccessBlock

• GetBucketReplication

• GetBucketRequestPayment

• GetBucketTagging

• GetBucketVersioning

• GetBucketWebsite

• HeadBucket

• ListBuckets

• PutAccelerateConfiguration

• PutBucketAcl

• PutBucketAnalyticsConfiguration

• PutBucketCors

• PutBucketEncryption

• PutBucketIntelligentTieringConfiguration

• PutBucketInventoryConfiguration

• PutBucketLifecycle

• PutBucketLogging

• PutBucketMetricsConfiguration

• PutBucketNotification

• PutBucketObjectLockConfiguration

• PutBucketOwnershipControls

• PutBucketPolicy

• PutBucketPublicAccessBlock

• PutBucketReplication

• PutBucketRequestPayment

• PutBucketTagging

• PutBucketVersioning

• PutBucketWebsite

Selain API operasi ini, Anda juga dapat menggunakan OPTIONS tindakan tingkat objek objek. Tindakan ini diperlakukan seperti tindakan tingkat ember dalam CloudTrail logging karena tindakan memeriksa CORS konfigurasi bucket.

Tindakan tingkat ember Amazon S3 Express One Zone (titik akhir RegionalAPI) dilacak dengan pencatatan CloudTrail

Secara default, CloudTrail mencatat tindakan tingkat ember untuk bucket direktori sebagai peristiwa manajemen. Acara eventsource untuk CloudTrail manajemen untuk S3 Express One Zone adalahs3express.amazonaws.com.

APIOperasi titik akhir Regional berikut ini dicatat. CloudTrail

• CreateBucket

• DeleteBucket

• DeleteBucketPolicy

• GetBucketPolicy

• PutBucketPolicy

• ListDirectoryBuckets

• PutBucketEncryption

• GetBucketEncryption

• DeleteBucketEncryption

Untuk informasi selengkapnya, lihat Logging with AWS CloudTrail untuk S3 Express One Zone

Tindakan tingkat objek Amazon S3 dalam skenario lintas akun

Berikut ini adalah kasus penggunaan khusus yang melibatkan API panggilan tingkat objek dalam skenario lintas akun dan bagaimana CloudTrail log dilaporkan. CloudTrail mengirimkan log ke pemohon (akun yang melakukan API panggilan), kecuali dalam beberapa kasus akses ditolak di mana entri log disunting atau dihilangkan. Saat mengatur akses lintas akun, pertimbangkan contoh di bagian ini.

catatan

Contoh mengasumsikan bahwa CloudTrail log dikonfigurasi dengan tepat.

Contoh 1: CloudTrail mengirimkan log ke pemilik bucket

CloudTrail mengirimkan log ke pemilik bucket meskipun pemilik bucket tidak memiliki izin untuk operasi objek API yang sama. Pertimbangkan skenario lintas akun berikut ini:

• Akun A adalah pemilik bucket.

• Akun-B (peminta) mencoba mengakses objek dalam bucket tersebut.

• Akun-C memiliki objek. Akun C mungkin atau mungkin bukan akun yang sama dengan Akun A.

catatan

CloudTrail selalu mengirimkan API log tingkat objek ke pemohon (Akun B). Selain itu, CloudTrail juga mengirimkan log yang sama ke pemilik bucket (Akun A) bahkan ketika pemilik bucket tidak memiliki objek (Akun C) atau memiliki izin untuk API operasi yang sama pada objek tersebut.

Contoh 2: CloudTrail tidak memperbanyak alamat email yang digunakan dalam pengaturan objek ACLs

Pertimbangkan skenario lintas akun berikut ini:

• Akun A adalah pemilik bucket.

• Akun B (pemohon) mengirimkan permintaan untuk menetapkan ACL hibah objek dengan menggunakan alamat email. Untuk informasi lebih lanjut tentangACLs, lihatDaftar kontrol akses (ACL) ikhtisar.

Pemohon mendapatkan log beserta informasi surel. Namun, pemilik bucket — jika mereka memenuhi syarat untuk menerima log, seperti pada contoh 1—mendapatkan log yang melaporkan peristiwa tersebut CloudTrail . Namun, pemilik bucket tidak mendapatkan informasi ACL konfigurasi, khususnya alamat email penerima hibah dan hibah. Satu-satunya informasi yang diceritakan log kepada pemilik bucket adalah bahwa ACL API panggilan dilakukan oleh Akun B.