使用 AWS CloudTrail 和 Amazon EventBridge 監控預設加密 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS CloudTrail 和 Amazon EventBridge 監控預設加密

重要

Amazon S3 現在會使用 Amazon S3 受管金鑰 (SSE-S3) 套用伺服器端加密,作為 Amazon S3 中每個儲存貯體的基本加密層級。從 2023 年 1 月 5 日起,所有上傳到 Amazon S3 的新物件都會自動加密,無需額外費用,也不會影響效能。S3 儲存貯體預設加密組態和新物件上傳的自動加密狀態可在 AWS CloudTrail 日誌、S3 庫存、S3 Storage Lens、Amazon S3 主控台,以及 AWS Command Line Interface 和 AWS SDKs 中的其他 Amazon S3 API 回應標頭中使用。如需詳細資訊,請參閱預設加密FAQ

您可以使用 AWS CloudTrail 事件追蹤 Amazon S3 儲存貯體的預設加密組態請求。下列 API 事件名稱用於 CloudTrail 日誌:

  • PutBucketEncryption

  • GetBucketEncryption

  • DeleteBucketEncryption

您也可以建立 EventBridge 規則,以符合這些 CloudTrail 呼叫的 API 事件。如需 CloudTrail 事件的詳細資訊,請參閱 使用主控台啟用儲存貯體中物件的記錄。如需 EventBridge 事件的詳細資訊,請參閱來自 的事件 AWS 服務

您可以使用物件層級 Amazon S3 動作的 CloudTrail 日誌來追蹤 Amazon S3 PUTPOST請求。當傳入 PUT 要求沒有加密標頭時,您可以使用這些動作來驗證是否使用預設加密來加密物件。

當 Amazon S3 使用預設加密設定來加密物件時,日誌會包含以下其中一個名稱-值對的欄位:"SSEApplied":"Default_SSE_S3""SSEApplied":"Default_SSE_KMS""SSEApplied":"Default_DSSE_KMS"

當 Amazon S3 使用 PUT 加密標頭來加密物件時,日誌會包含以下名稱-值對的欄位之一:"SSEApplied":"SSE_S3""SSEApplied":"SSE_KMS""SSEApplied":"DSSE_KMS""SSEApplied":"SSE_C"

對於分段上傳,此資訊包含在 API InitiateMultipartUpload 操作請求中。如需使用 CloudTrail 和 CloudWatch 的詳細資訊,請參閱 在 Amazon S3 中記錄和監控