本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS CloudTrail 和 Amazon EventBridge 監控預設加密
重要
Amazon S3 現在會使用 Amazon S3 受管金鑰 (SSE-S3) 套用伺服器端加密,作為 Amazon S3 中每個儲存貯體的基本加密層級。從 2023 年 1 月 5 日起,所有上傳到 Amazon S3 的新物件都會自動加密,無需額外費用,也不會影響效能。S3 儲存貯體預設加密組態和新物件上傳的自動加密狀態可在 AWS CloudTrail 日誌、S3 庫存、S3 Storage Lens、Amazon S3 主控台,以及 AWS Command Line Interface 和 AWS SDKs 中的其他 Amazon S3 API 回應標頭中使用。如需詳細資訊,請參閱預設加密FAQ。
您可以使用 AWS CloudTrail 事件追蹤 Amazon S3 儲存貯體的預設加密組態請求。下列 API 事件名稱用於 CloudTrail 日誌:
-
PutBucketEncryption
-
GetBucketEncryption
-
DeleteBucketEncryption
您也可以建立 EventBridge 規則,以符合這些 CloudTrail 呼叫的 API 事件。如需 CloudTrail 事件的詳細資訊,請參閱 使用主控台啟用儲存貯體中物件的記錄。如需 EventBridge 事件的詳細資訊,請參閱來自 的事件 AWS 服務。
您可以使用物件層級 Amazon S3 動作的 CloudTrail 日誌來追蹤 Amazon S3 PUT
的POST
請求。當傳入 PUT
要求沒有加密標頭時,您可以使用這些動作來驗證是否使用預設加密來加密物件。
當 Amazon S3 使用預設加密設定來加密物件時,日誌會包含以下其中一個名稱-值對的欄位:"SSEApplied":"Default_SSE_S3"
、"SSEApplied":"Default_SSE_KMS"
或 "SSEApplied":"Default_DSSE_KMS"
。
當 Amazon S3 使用 PUT
加密標頭來加密物件時,日誌會包含以下名稱-值對的欄位之一:"SSEApplied":"SSE_S3"
、"SSEApplied":"SSE_KMS"
、"SSEApplied":"DSSE_KMS"
或 "SSEApplied":"SSE_C"
。
對於分段上傳,此資訊包含在 API InitiateMultipartUpload
操作請求中。如需使用 CloudTrail 和 CloudWatch 的詳細資訊,請參閱 在 Amazon S3 中記錄和監控。