Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Mencatat panggilan API Amazon S3 menggunakan AWS CloudTrail
Amazon S3 terintegrasi dengan AWS CloudTrail, layanan yang menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau. Layanan AWS CloudTrail menangkap semua panggilan API untuk Amazon S3 sebagai peristiwa. Panggilan yang diambil termasuk panggilan dari konsol Amazon S3 dan panggilan kode ke operasi API Amazon S3. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat ke Amazon S3, alamat IP dari mana permintaan dibuat, kapan dibuat, dan detail tambahan.
Setiap entri peristiwa atau log berisi informasi tentang siapa yang membuat permintaan tersebut. Informasi identitas membantu Anda menentukan berikut hal ini:
-
Baik permintaan tersebut dibuat dengan kredensial pengguna root atau pengguna.
-
Apakah permintaan dibuat atas nama pengguna IAM Identity Center.
-
Apakah permintaan tersebut dibuat dengan kredensial keamanan sementara untuk satu peran atau pengguna terfederasi.
-
Apakah permintaan tersebut dibuat oleh Layanan AWS lain.
CloudTrail aktif di Anda Akun AWS ketika Anda membuat akun dan Anda secara otomatis memiliki akses ke riwayat CloudTrail Acara. Riwayat CloudTrail Acara menyediakan catatan yang dapat dilihat, dapat dicari, dapat diunduh, dan tidak dapat diubah dari 90 hari terakhir dari peristiwa manajemen yang direkam dalam file. Wilayah AWS Untuk informasi selengkapnya, lihat Bekerja dengan riwayat CloudTrail Acara di Panduan AWS CloudTrail Pengguna. Tidak ada CloudTrail biaya untuk melihat riwayat Acara.
Untuk catatan acara yang sedang berlangsung dalam 90 hari Akun AWS terakhir Anda, buat jejak atau penyimpanan data acara CloudTrailDanau.
- CloudTrail jalan setapak
-
Jejak memungkinkan CloudTrail untuk mengirimkan file log ke bucket Amazon S3. Semua jalur yang dibuat menggunakan AWS Management Console Multi-region. Anda dapat membuat jalur Single-region atau Multi-region dengan menggunakan. AWS CLI Membuat jejak Multi-wilayah disarankan karena Anda menangkap aktivitas Wilayah AWS di semua akun Anda. Jika Anda membuat jejak wilayah Tunggal, Anda hanya dapat melihat peristiwa yang dicatat di jejak. Wilayah AWS Untuk informasi selengkapnya tentang jejak, lihat Membuat jejak untuk Anda Akun AWS dan Membuat jejak untuk organisasi di Panduan AWS CloudTrail Pengguna.
Anda dapat mengirimkan satu salinan acara manajemen yang sedang berlangsung ke bucket Amazon S3 Anda tanpa biaya CloudTrail dengan membuat jejak, namun, ada biaya penyimpanan Amazon S3. Untuk informasi selengkapnya tentang CloudTrail harga, lihat AWS CloudTrail Harga
. Untuk informasi tentang harga Amazon S3, lihat Harga Amazon S3 . - CloudTrail Menyimpan data acara danau
-
CloudTrail Lake memungkinkan Anda menjalankan kueri berbasis SQL pada acara Anda. CloudTrail Lake mengonversi peristiwa yang ada dalam format JSON berbasis baris ke format Apache ORC.
ORC adalah format penyimpanan kolumnar yang dioptimalkan untuk pengambilan data dengan cepat. Peristiwa digabungkan ke dalam penyimpanan data peristiwa, yang merupakan kumpulan peristiwa yang tidak dapat diubah berdasarkan kriteria yang Anda pilih dengan menerapkan pemilih acara tingkat lanjut. Penyeleksi yang Anda terapkan ke penyimpanan data acara mengontrol peristiwa mana yang bertahan dan tersedia untuk Anda kueri. Untuk informasi lebih lanjut tentang CloudTrail Danau, lihat Bekerja dengan AWS CloudTrail Danau di Panduan AWS CloudTrail Pengguna. CloudTrail Penyimpanan data acara danau dan kueri menimbulkan biaya. Saat Anda membuat penyimpanan data acara, Anda memilih opsi harga yang ingin Anda gunakan untuk penyimpanan data acara. Opsi penetapan harga menentukan biaya untuk menelan dan menyimpan peristiwa, dan periode retensi default dan maksimum untuk penyimpanan data acara. Untuk informasi selengkapnya tentang CloudTrail harga, lihat AWS CloudTrail Harga
.
Anda dapat menyimpan file log dalam bucket selama yang Anda inginkan, tetapi Anda juga dapat menentukan aturan siklus hidup Amazon S3 untuk mengarsipkan atau menghapus file log secara otomatis. Secara default, file log Anda dienkripsi dengan menggunakan enkripsi di sisi server (SSE) Amazon S3.
Menggunakan CloudTrail log dengan log akses server Amazon S3 dan Log CloudWatch
AWS CloudTrail log menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di Amazon S3, sementara log akses server Amazon S3 menyediakan catatan terperinci untuk permintaan yang dibuat ke bucket S3. Untuk informasi lebih lanjut tentang cara kerja pencatatan yang berbeda, dan properti, performa, dan biayanya, lihat Opsi pencatatan untuk Amazon S3.
Anda dapat menggunakan AWS CloudTrail log bersama dengan log akses server untuk Amazon S3. CloudTrail log memberi Anda pelacakan API terperinci untuk operasi tingkat ember dan tingkat objek Amazon S3. Log akses server untuk Amazon S3 memberi Anda visibilitas ke operasi tingkat objek pada data Anda di Amazon S3. Untuk informasi lebih lanjut tentang log akses server, lihat Pencatatan permintaan dengan pencatatan akses server.
Anda juga dapat menggunakan CloudTrail log bersama dengan Amazon CloudWatch untuk Amazon S3. CloudTrail integrasi dengan CloudWatch Log memberikan aktivitas API tingkat ember S3 yang ditangkap oleh aliran CloudWatch log di CloudTrail grup log yang Anda tentukan CloudWatch . Anda dapat membuat CloudWatch alarm untuk memantau aktivitas API tertentu dan menerima pemberitahuan email saat aktivitas API tertentu terjadi. Untuk informasi selengkapnya tentang CloudWatch alarm untuk memantau aktivitas API tertentu, lihat Panduan AWS CloudTrail Pengguna. Untuk informasi selengkapnya tentang penggunaan CloudWatch dengan Amazon S3, lihat. Memantau metrik dengan Amazon CloudWatch
catatan
S3 tidak mendukung pengiriman CloudTrail log ke pemohon atau pemilik bucket untuk permintaan titik akhir VPC saat kebijakan titik akhir VPC menolaknya.
CloudTrail melacak dengan panggilan API SOAP Amazon S3
CloudTrail melacak panggilan API SOAP Amazon S3. Dukungan SOAP Amazon S3 melalui HTTP dihentikan, tetapi masih tersedia melalui HTTPS. Untuk informasi lebih lanjut tentang dukungan SOAP Amazon S3, lihat Lampiran a: Menggunakan SOAP API.
penting
Fitur Amazon S3 baru tidak didukung untuk SOAP. Kami menyarankan Anda menggunakan REST API atau AWS SDK.
Tindakan SOAP Amazon S3 dilacak dengan logging CloudTrail | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Nama SOAP API | Nama peristiwa API yang digunakan di CloudTrail log | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
ListBuckets |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
CreateBucket |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
DeleteBucket |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
GetBucketAcl |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
PutBucketAcl |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
GetBucketLogging |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
PutBucketLogging |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Untuk informasi selengkapnya tentang CloudTrail Amazon S3, lihat topik berikut:
Topik
