Opzioni di registrazione per Amazon S3

È possibile registrare le operazioni eseguite da utenti, ruoli o servizi AWS sulle risorse Amazon S3 e mantenere i record di log a scopo di audit e conformità. A tale scopo, è possibile utilizzare la registrazione dell'accesso al server, la registrazione di AWS CloudTrail o una combinazione di entrambi. Si consiglia di utilizzare AWS CloudTrail per operazioni di registrazione a livello di bucket e di oggetto per le risorse Amazon S3. Per ulteriori informazioni su ciascuna opzione, consulta le sezioni riportate di seguito.

La tabella seguente elenca le proprietà chiave dei log AWS CloudTrail e dei log di accesso al server Amazon S3. Esamina la tabella e le note per assicurarti che AWS CloudTrail soddisfi i tuoi requisiti di sicurezza.

Proprietà dei log	AWS CloudTrail	Log di server Amazon S3
Può essere inoltrato ad altri sistemi (CloudWatch Logs, CloudWatch Events)	Sì
Distribuisce i log a più destinazioni (ad esempio, invia lo stesso log a due diversi bucket)	Sì
Attiva i log per un sottoinsieme di oggetti (prefisso)	Sì
Distribuzione di log multi-account (bucket di origine e di destinazione di proprietà di account diversi)	Sì
Convalida dell'integrità mediante la firma digitale/hashing.	Sì
Valori predefiniti/scelta della crittografia per i file di log	Sì
Operazioni sugli oggetti (utilizzando le API Amazon S3)	Sì	Sì
Operazioni sui bucket (utilizzando le API Amazon S3)	Sì	Sì
Interfaccia utente ricercabile per i log	Sì
Campi per i parametri di blocco degli oggetti, proprietà Select di Amazon S3 per i record di log	Sì
Campi per `Object Size`, `Total Time`, `Turn-Around Time` e `HTTP Referer` per i record di log		Sì
Transizioni, scadenze e ripristini del ciclo di vita		Sì
Logging delle chiavi in un'operazione di eliminazione batch		Sì
Errori di autenticazione¹		Sì
Account in cui vengono distribuiti i log	Proprietario del bucket ² e richiedente	Solo proprietario del bucket
Performance and Cost	AWS CloudTrail	Amazon S3 Server Logs
Prezzo	Gli eventi di gestione (prima distribuzione) sono gratuiti, gli eventi di dati sono a pagamento, oltre ai log di storage	Nessun costo aggiuntivo oltre allo storage dei log
Velocità di distribuzione dei log	Eventi di dati ogni 5 minuti, eventi di gestione ogni 15 minuti	Entro qualche ora
Formato dei log	JSON	File di log con record delimitati da nuove righe e separati da spazi

Note:

CloudTrail non distribuisce log di richieste di cui non è riuscita l'autenticazione (in cui le credenziali fornite non sono valide) Include, tuttavia, i log di richieste in cui l'autenticazione non riesce (AccessDenied) e delle richieste effettuate da utenti anonimi.
Il proprietario del bucket S3 riceve i log CloudTrail solo se anche l'account è proprietario o ha l'accesso completo all'oggetto nella richiesta. Per ulteriori informazioni, consulta Operazioni a livello di oggetto in scenari multiaccount.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Strumenti di monitoraggio

Registrazione con CloudTrail