Amazon S3 的記錄選項 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon S3 的記錄選項

您可以記錄使用者、角色或執行的動作 AWS 服務 在 Amazon S3 資源上,並維護日誌記錄以供稽核和合規之用。要做到這一點,你可以使用服務器訪問日誌, AWS CloudTrail 日誌記錄,或兩者的組合。我們建議您使 CloudTrail 用記錄 Amazon S3 資源的儲存貯體層級和物件層級動作。如需每個選項的詳細資訊,請參閱下列各節:

下表列出 CloudTrail 日誌和 Amazon S3 伺服器存取日誌的主要屬性。若要確保 CloudTrail 符合您的安全性需求,請檢閱表格和注意事項。

日誌屬性 AWS CloudTrail Amazon S3 伺服器日誌

可以轉發到其他系統(Amazon CloudWatch 日誌,Amazon CloudWatch 事件)

將日誌交付至一個以上的目的地 (例如,將相同的日誌傳送至兩個不同的儲存儲體)

開啟物件子集的日誌 (字首)

跨帳戶日誌交付 (不同帳戶所擁有的目標和來源儲存儲體)

使用數位簽章或雜湊進行日誌檔案的完整性驗證

日誌檔案的預設加密或加密選擇

物件操作 (使用 Amazon S3APIs)

存儲桶操作(通過使用 Amazon S3APIs)

日誌的可搜尋 UI

物件鎖定參數的欄位、Amazon S3 Select 的日誌記錄屬性

日誌記錄的 Object SizeTotal TimeTurn-Around TimeHTTP Referer 的欄位

生命週期轉換、逾期、還原

批次刪除操作中的金鑰記錄

身分驗證失敗1

交付日誌的帳戶

儲存儲體擁有者2,及要求者

僅儲存貯體擁有者

Performance and Cost AWS CloudTrail Amazon S3 Server Logs

價格

管理事件 (首次交付) 是免費的;資料事件需支付費用 (除了日誌儲存費用之外)

僅需支付日誌儲存費用

日誌交付的速度

每 5 分鐘的資料事件;每 15 分鐘的管理事件

幾小時內

記錄格式

JSON

包含空格區隔的日誌檔案、換行分隔的記錄

備註
  1. CloudTrail 不會為驗證失敗的要求傳遞記錄檔 (其中提供的認證無效)。但是,它會包含身分驗證失敗之請求的日誌 (AccessDenied),以及匿名使用者提出的請求。

  2. 當帳戶對請求中的物件沒有完整存取權時,S3 儲存貯體擁有者會收到 CloudTrail 日誌。如需詳細資訊,請參閱跨帳戶案例中的 Amazon S3 物件層級動作

  3. 當端點政策拒絕VPC端點請求或在評估政策之前失敗的請求時,S3 不支援將日誌或伺服器存取日誌交付給請求者或儲存貯體擁有者。 CloudTrail VPC VPC