Monitoraggio della crittografia di default con CloudTrail e CloudWatch - Amazon Simple Storage Service

Monitoraggio della crittografia di default con CloudTrail e CloudWatch

Importante

Amazon S3 ora applica la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) come livello di base della crittografia per ogni bucket di Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 verranno crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Attualmente, lo stato della crittografia automatica per la configurazione di crittografia predefinita dei bucket S3 e per i caricamenti di nuovi oggetti è disponibile nei log di AWS CloudTrail. Nelle prossime settimane, lo stato della crittografia automatica verrà implementato anche sulla console Amazon S3, S3 Inventory, S3 Storage Lens e come intestazione di risposta API Amazon S3 aggiuntiva negli SDK AWS e AWS Command Line Interface. Quando questo aggiornamento sarà completo in tutte le Regioni AWS, aggiorneremo la documentazione. Per ulteriori informazioni, consulta Domande frequenti sulla crittografia predefinita.

È possibile tracciare le richieste di configurazione di crittografia predefinite per i bucket Amazon S3 mediante gli eventi AWS CloudTrail. I seguenti nomi di eventi API vengono utilizzati nei registri di CloudTrail:

  • PutBucketEncryption

  • GetBucketEncryption

  • DeleteBucketEncryption

Puoi anche creare Amazon CloudWatch Events con operazioni a livello di bucket S3 come tipo di evento. Per ulteriori informazioni sugli eventi CloudTrail, consulta Abilitazione della registrazione per gli oggetti in un bucket utilizzando la console.

Puoi utilizzare i registri CloudTrail per le azioni Amazon S3 a livello di oggetto per monitorare le richieste PUT e POST ad Amazon S3. È possibile utilizzare queste azioni per verificare se la crittografia predefinita viene utilizzata per crittografare gli oggetti quando le richieste PUT in arrivo non dispongono di intestazioni di crittografia.

Quando Amazon S3 esegue la crittografia di un oggetto in base alle impostazioni di codifica di default, il log include i campi seguenti come coppia nome/valore "SSEApplied":"Default_SSE_S3" o "SSEApplied":"Default_SSE_KMS".

Quando Amazon S3 esegue la crittografia di un oggetto in base alle intestazioni di crittografia della richiesta PUT, il log include uno dei campi seguenti come coppia nome/valore: "SSEApplied":"SSE_S3", "SSEApplied":"SSE_KMS o "SSEApplied":"SSE_C".

Per i caricamenti in più parti, queste informazioni sono incluse nelle richieste API InitiateMultipartUpload. Per ulteriori informazioni sull'utilizzo di CloudTrail e CloudWatch, consulta Monitoraggio di Amazon S3.