Amazon S3 のログ記録オプション - Amazon Simple Storage Service

Amazon S3 のログ記録オプション

ユーザー、ロール、または AWS のサービスによって実行されたアクションを Amazon S3 リソースに記録し、監査およびコンプライアンス目的でログレコードを管理することができます。これを行うには、サーバーアクセスのログ記録、AWS CloudTrail ログ記録、またはその両方を組み合わせて使用します。Amazon S3 リソースのバケットおよびオブジェクトレベルのアクションをログ記録するには、AWS CloudTrail を使用することをお勧めします。以下のセクションに各オプションの詳細を示します。

AWS CloudTrail ログおよび Amazon S3 サーバーアクセスログの主なプロパティを次の表に示します。テーブルとメモを確認し、AWS CloudTrail がセキュリティ要件を満たしていることを確認してください。

ログのプロパティ AWS CloudTrail Amazon S3 サーバーログ

他のシステム (CloudWatch Logs、CloudWatch イベント) に転送可能

はい

ログを複数の宛先に配信する (たとえば、同じログを 2 つの異なるバケットに送信する)

はい

オブジェクトのサブセット (プレフィックス) のログを有効にする

はい

クロスアカウントログ配信 (異なるアカウントが所有するターゲットバケットとソースバケット)

はい

デジタル署名/ハッシュを使用したログファイルの整合性の検証

はい

ログファイルの暗号化 (デフォルト/カスタム)

はい

オブジェクトオペレーション (Amazon S3 API を使用)

はい

はい

バケットオペレーション (Amazon S3 API を使用)

はい

はい

ログの検索可能な UI

はい

オブジェクトロックパラメータのフィールド。ログ記録用の Amazon S3 Select プロパティ

はい

ログレコードの Object SizeTotal TimeTurn-Around TimeHTTP Referer の各フィールド

はい

ライフサイクルの移行、失効、復元

はい

一括削除オペレーションでのキーのログ記録

はい

認証の失敗 1

はい

ログが配信されるアカウント

バケット所有者 2、リクエスタ

バケット所有者名のみ

Performance and Cost AWS CloudTrail Amazon S3 Server Logs

価格

管理イベント (初回配信) は無料です。データイベントには料金がかかります (ログの保存は別料金)。

追加コストなし (ログの保存にかかる料金のみ)

ログ配信の速度

データイベント (5 分ごと)、管理イベント (15 分ごと)

数時間以内

ログの形式

JSON

スペース区切りの改行区切りレコードを含むログファイル

メモ:

  1. CloudTrail では、認証に失敗したリクエスト (提供された認証情報が無効なリクエスト) のログは配信されません。ただし、承認に失敗したリクエスト (AccessDenied) および匿名ユーザーによるリクエストのログは含まれます。

  2. CloudTrail ログは、対象アカウントがリクエスト内のオブジェクトも所有しているか、そのオブジェクトへのフルアクセス権がそのアカウントに付与されている場合にのみ、S3 バケット所有者に送信されます。詳細については、「クロスアカウントのシナリオでのオブジェクトレベルのアクション」を参照してください。