Opzioni di registrazione per Amazon S3 - Amazon Simple Storage Service

Opzioni di registrazione per Amazon S3

È possibile registrare le operazioni eseguite da utenti, ruoli o servizi AWS sulle risorse Amazon S3 e mantenere i record di log a scopo di audit e conformità. A tale scopo, è possibile utilizzare la registrazione dell'accesso al server, la registrazione di AWS CloudTrail o una combinazione di entrambi. Si consiglia di utilizzare AWS CloudTrail per operazioni di registrazione a livello di bucket e di oggetto per le risorse Amazon S3. Per ulteriori informazioni su ciascuna opzione, consulta le sezioni riportate di seguito.

La tabella seguente elenca le proprietà chiave dei log AWS CloudTrail e dei log di accesso al server Amazon S3. Esamina la tabella e le note per assicurarti che AWS CloudTrail soddisfi i tuoi requisiti di sicurezza.

Proprietà dei log AWS CloudTrail Log di server Amazon S3

Può essere inoltrato ad altri sistemi (CloudWatch Logs, CloudWatch Events)

Distribuisce i log a più destinazioni (ad esempio, invia lo stesso log a due diversi bucket)

Attiva i log per un sottoinsieme di oggetti (prefisso)

Distribuzione di log multi-account (bucket di origine e di destinazione di proprietà di account diversi)

Convalida dell'integrità mediante la firma digitale/hashing.

Valori predefiniti/scelta della crittografia per i file di log

Operazioni sugli oggetti (utilizzando le API Amazon S3)

Operazioni sui bucket (utilizzando le API Amazon S3)

Interfaccia utente ricercabile per i log

Campi per i parametri di blocco degli oggetti, proprietà Select di Amazon S3 per i record di log

Campi per Object Size, Total Time, Turn-Around Time e HTTP Referer per i record di log

Transizioni, scadenze e ripristini del ciclo di vita

Logging delle chiavi in un'operazione di eliminazione batch

Errori di autenticazione1

Account in cui vengono distribuiti i log

Proprietario del bucket 2 e richiedente

Solo proprietario del bucket

Performance and Cost AWS CloudTrail Amazon S3 Server Logs

Prezzo

Gli eventi di gestione (prima distribuzione) sono gratuiti, gli eventi di dati sono a pagamento, oltre ai log di storage

Nessun costo aggiuntivo oltre allo storage dei log

Velocità di distribuzione dei log

Eventi di dati ogni 5 minuti, eventi di gestione ogni 15 minuti

Entro qualche ora

Formato dei log

JSON

File di log con record delimitati da nuove righe e separati da spazi

Note:
  1. CloudTrail non distribuisce log di richieste di cui non è riuscita l'autenticazione (in cui le credenziali fornite non sono valide) Include, tuttavia, i log di richieste in cui l'autenticazione non riesce (AccessDenied) e delle richieste effettuate da utenti anonimi.

  2. Il proprietario del bucket S3 riceve i log CloudTrail solo se anche l'account è proprietario o ha l'accesso completo all'oggetto nella richiesta. Per ulteriori informazioni, consulta Operazioni a livello di oggetto in scenari multiaccount.