使用 AWS CloudTrail 记录 Amazon S3 API 调用 - Amazon Simple Storage Service

使用 AWS CloudTrail 记录 Amazon S3 API 调用

Amazon S3 与 AWS CloudTrail 集成,后者是在 Amazon S3 中提供用户、角色或 AWS 服务所采取操作的记录的服务。CloudTrail 将对 Amazon S3 的 API 调用子集作为事件捕获,包括来自 Amazon S3 控制台的调用和对 Amazon S3 API 的代码调用。

如果您创建跟踪,则可以使 CloudTrail 事件持续传送到 Amazon S3 存储桶(包括 Amazon S3 的事件)。如果您不配置跟踪,则仍可在 CloudTrail 控制台中的 Event history (事件历史记录) 中查看最新事件。使用 CloudTrail 收集的信息,您可以确定向 Amazon S3 发出了什么请求、发出请求的 IP 地址、何人发出的请求、请求的发出时间以及其他详细信息。

要了解有关 CloudTrail 的更多信息(包括如何对其进行配置和启用),请参阅《AWS CloudTrail 用户指南》。

将 CloudTrail 日志与 Amazon S3 服务器访问日志和 CloudWatch Logs 结合使用

AWS CloudTrail 日志记录用户、角色或 AWS 服务在 Amazon S3 中执行的操作,而 Amazon S3 服务器访问日志提供向 S3 存储桶发出的请求的详细记录。有关不同日志的工作方式及其属性、性能和成本的更多信息,请参阅Amazon S3 的日志记录选项

您可以将 AWS CloudTrail 日志与 Amazon S3 的服务器访问日志搭配使用。CloudTrail 日志为您提供了 Amazon S3 存储桶级别和对象级操作的详细 API 跟踪。Amazon S3 的服务器访问日志可让您了解对于 Amazon S3 中您的数据的对象级别操作。有关服务器访问日志的更多信息,请参阅 使用服务器访问日志记录来记录请求

您还可以将 CloudTrail 日志与 Amazon S3 的 CloudWatch 一起使用。CloudTrail 与 CloudWatch Logs 集成可将 CloudTrail 捕获到的 S3 存储桶级 API 活动传送给您指定的 CloudWatch 日志组中的 CloudWatch 日志流。您可以创建用于监控特定 API 活动的 CloudWatch 警报,并在此特定 API 活动发生时收到电子邮件通知。有关用于监控特定 API 活动的 CloudWatch 警报的更多信息,请参阅《AWS CloudTrail 用户指南》。有关将 CloudWatch 与 Amazon S3 结合使用的更多信息,请参阅使用 Amazon CloudWatch 监控指标

使用 Amazon S3 SOAP API 调用进行 CloudTrail 跟踪

CloudTrail 跟踪 Amazon S3 SOAP API 调用。Amazon S3 HTTP 上的 SOAP 支持已弃用,但是仍可在 HTTPS 上使用。有关 Amazon S3 SOAP 支持的更多信息,请参阅 附录 A:使用 SOAP API

重要

SOAP 不支持较新的 Amazon S3 功能。我们建议您使用 REST API 或 AWS 开发工具包。

CloudTrail 日志记录跟踪的 Amazon S3 SOAP 操作
SOAP API 名称 CloudTrail 日志中使用的 API 事件名称

ListAllMyBuckets

ListBuckets

CreateBucket

CreateBucket

DeleteBucket

DeleteBucket

GetBucketAccessControlPolicy

GetBucketAcl

SetBucketAccessControlPolicy

PutBucketAcl

GetBucketLoggingStatus

GetBucketLogging

SetBucketLoggingStatus

PutBucketLogging

有关 CloudTrail 和 Amazon S3 的更多信息,请参阅以下主题: