CloudTrail 및 CloudWatch를 사용한 기본 암호화 모니터링 - Amazon Simple Storage Service

CloudTrail 및 CloudWatch를 사용한 기본 암호화 모니터링

AWS CloudTrail 이벤트를 사용하여 Amazon S3 버킷에 대한 기본 암호화 구성 요청을 추적할 수 있습니다. CloudTrail 로그에 사용되는 API 이벤트 이름은 다음과 같습니다.

  • PutBucketEncryption

  • GetBucketEncryption

  • DeleteBucketEncryption

S3 버킷 수준 작업을 이벤트 유형으로 사용하여 Amazon CloudWatch Events를 생성할 수도 있습니다. CloudTrail 이벤트에 대한 자세한 내용은 콘솔을 사용하여 버킷의 객체에 대한 로깅 활성화 섹션을 참조하세요.

객체 수준 Amazon S3 작업에 CloudTrail 로그를 사용하여 Amazon S3에 대한 PUTPOST 요청을 추적할 수 있습니다. 이러한 작업을 사용하면 들어오는 PUT 요청에 암호화 헤더가 없을 때 기본 암호화를 사용하여 개체가 암호화되는지 여부를 확인할 수 있습니다.

Amazon S3가 기본 암호화 설정을 사용하여 객체를 암호화하는 경우 로그에는 "SSEApplied":"Default_SSE_S3" or "SSEApplied":"Default_SSE_KMS" 필드가 이름/값 페어로 포함됩니다.

Amazon S3가 PUT 암호화 헤더를 사용하여 객체를 암호화하는 경우 로그에는 "SSEApplied":"SSE_S3", "SSEApplied":"SSE_KMS 또는 "SSEApplied":"SSE_C" 필드가 이름/값 페어로 포함됩니다.

멀티파트 업로드의 경우 이 정보가 InitiateMultipartUpload API 요청에 포함됩니다. CloudTrail 및 CloudWatch 사용에 대한 자세한 내용은 Amazon S3 모니터링 단원을 참조하세요.