Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Puoi registrare le azioni intraprese dagli utenti, dai ruoli o Servizi AWS sulle risorse di Amazon S3 e conservare i record di registro per scopi di controllo e conformità. A tale scopo, è possibile utilizzare i log degli accessi al server, i log AWS CloudTrail o una combinazione di entrambi. Ti consigliamo di utilizzarlo CloudTrail per registrare azioni a livello di bucket e a livello di oggetto per le tue risorse Amazon S3. Per ulteriori informazioni su ciascuna opzione, consulta le sezioni riportate di seguito.
La tabella seguente elenca le proprietà chiave dei log e dei CloudTrail log di accesso al server Amazon S3. Per assicurarti che CloudTrail soddisfi i tuoi requisiti di sicurezza, consulta la tabella e le note.
| Proprietà dei log | AWS CloudTrail | Log di server Amazon S3 |
|---|---|---|
|
Può essere inoltrato ad altri sistemi (Amazon CloudWatch Logs, Amazon Events) CloudWatch |
Sì |
No |
|
Distribuisce i log a più destinazioni (ad esempio, invia lo stesso log a due diversi bucket) |
Sì |
No |
|
Attiva i log per un sottoinsieme di oggetti (prefisso) |
Sì |
No |
|
Distribuzione di log multi-account (bucket di origine e di destinazione di proprietà di account diversi) |
Sì |
No |
|
Convalida dell'integrità del file di log mediante firma digitale o hashing |
Sì |
No |
|
Valori predefiniti o scelta della crittografia per i file di log |
Sì |
No |
|
Operazioni sugli oggetti (utilizzando Amazon S3 APIs) |
Sì |
Sì |
|
Operazioni con bucket (utilizzando Amazon APIs S3) |
Sì |
Sì |
|
Interfaccia utente ricercabile per i log |
Sì |
No |
|
Campi per i parametri di blocco degli oggetti, proprietà Select di Amazon S3 per i record di log |
Sì |
No |
|
Campi per |
No |
Sì |
|
Transizioni, scadenze e ripristini del ciclo di vita |
No |
Sì |
|
Logging delle chiavi in un'operazione di eliminazione batch |
No |
Sì |
|
Errori di autenticazione1 |
No |
Sì |
|
Account in cui vengono distribuiti i log |
Proprietario del bucket 2 e richiedente |
Solo proprietario del bucket |
| Performance and Cost | AWS CloudTrail | Amazon S3 Server Logs |
|
Prezzo |
Gli eventi di gestione (prima distribuzione) sono gratuiti, gli eventi di dati sono a pagamento, oltre ai log di storage |
Nessun costo aggiuntivo oltre all'archiviazione dei log |
|
Velocità di distribuzione dei log |
Eventi di dati ogni 5 minuti, eventi di gestione ogni 15 minuti |
Entro qualche ora |
|
Formato dei log |
JSON |
File di log con record delimitati da nuove righe e separati da spazi |
Note
-
CloudTrail non fornisce registri per le richieste che non superano l'autenticazione (in cui le credenziali fornite non sono valide). Include, tuttavia, i log di richieste in cui l'autenticazione non riesce (
AccessDenied) e delle richieste effettuate da utenti anonimi. -
Il proprietario del bucket S3 riceve CloudTrail i log quando l'account non ha accesso completo all'oggetto nella richiesta. Per ulteriori informazioni, consulta Azioni a livello di oggetto Amazon S3 in scenari multi-account.
-
S3 non supporta l'invio di CloudTrail log o log di accesso al server al richiedente o al proprietario del bucket per le richieste degli endpoint VPC quando la policy dell'endpoint VPC le nega o per le richieste che falliscono prima che la policy VPC venga valutata.
