使用 AWS CloudTrail 和 Amazon 監控默認加密 EventBridge - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS CloudTrail 和 Amazon 監控默認加密 EventBridge

重要

Amazon S3 現在將伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 套用為 Amazon S3 中每個儲存貯體的基本加密層級。從 2023 年 1 月 5 日起,所有上傳到 Amazon S3 的新物件都會自動加密,無需額外費用,也不會影響效能。S3 儲存貯體預設加密組態和新物件上傳的自動加密狀態可在 AWS CloudTrail 日誌、S3 庫存、S3 儲存鏡頭、Amazon S3 主控台中使用,以及作為和 AWS 開發套件中的額外 Amazon S3 API 回應標頭。 AWS Command Line Interface 如需詳細資訊,請參閱預設加密常見問答集

您可以使用 AWS CloudTrail 事件追蹤 Amazon S3 儲存貯體的預設加密組態請求。 CloudTrail 記錄檔中會使用下列 API 事件名稱:

  • PutBucketEncryption

  • GetBucketEncryption

  • DeleteBucketEncryption

您也可以建立 EventBridge 規則以符合這些 API 呼叫的 CloudTrail 事件。如需事件的詳細資 CloudTrail 訊,請參閱使用主控台啟用儲存貯體中物件的記錄。如需有關 EventBridge 事件的詳細資訊,請參閱來自的事件 AWS 服務

您可以將 CloudTrail 日誌用於物件層級 Amazon S3 動作,以追蹤PUT和向 Amazon S3 發出POST請求。當傳入 PUT 要求沒有加密標頭時,您可以使用這些動作來驗證是否使用預設加密來加密物件。

當 Amazon S3 使用預設加密設定來加密物件時,日誌會包含以下其中一個名稱-值對的欄位:"SSEApplied":"Default_SSE_S3""SSEApplied":"Default_SSE_KMS""SSEApplied":"Default_DSSE_KMS"

當 Amazon S3 使用 PUT 加密標頭來加密物件時,日誌會包含以下名稱-值對的欄位之一:"SSEApplied":"SSE_S3""SSEApplied":"SSE_KMS""SSEApplied":"DSSE_KMS""SSEApplied":"SSE_C"

針對分段上傳,此資訊會包含在 InitiateMultipartUpload API 操作要求中。若要取得有關使用 CloudTrail 和的更多資訊 CloudWatch,請參閱監控 Amazon S3