本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon S3 的記錄選項
您可以記錄使用者、角色或 Amazon S3 資源 AWS 服務 上採取的動作,並維護日誌記錄以供稽核和合規之用。為此,您可以使用伺服器存取日誌記錄或 AWS CloudTrail 日誌記錄,或兩者並用。我們建議您使 CloudTrail 用記錄 Amazon S3 資源的儲存貯體層級和物件層級動作。如需每個選項的詳細資訊,請參閱下列各節:
下表列出 CloudTrail 日誌和 Amazon S3 伺服器存取日誌的主要屬性。若要確保 CloudTrail 符合您的安全性需求,請檢閱表格和注意事項。
| 日誌屬性 | AWS CloudTrail | Amazon S3 伺服器日誌 |
|---|---|---|
|
可以轉發到其他系統(Amazon CloudWatch 日誌,Amazon CloudWatch 事件) |
是 |
否 |
|
將日誌交付至一個以上的目的地 (例如,將相同的日誌傳送至兩個不同的儲存儲體) |
是 |
否 |
|
開啟物件子集的日誌 (字首) |
是 |
否 |
|
跨帳戶日誌交付 (不同帳戶所擁有的目標和來源儲存儲體) |
是 |
否 |
|
使用數位簽章或雜湊進行日誌檔案的完整性驗證 |
是 |
否 |
|
日誌檔案的預設加密或加密選擇 |
是 |
否 |
|
物件操作 (使用 Amazon S3 API) |
是 |
是 |
|
儲存貯體操作 (使用 Amazon S3 API) |
是 |
是 |
|
日誌的可搜尋 UI |
是 |
否 |
|
物件鎖定參數的欄位、Amazon S3 Select 的日誌記錄屬性 |
是 |
否 |
|
日誌記錄的 |
否 |
是 |
|
生命週期轉換、逾期、還原 |
否 |
是 |
|
批次刪除操作中的金鑰記錄 |
否 |
是 |
|
身分驗證失敗1 |
否 |
是 |
|
交付日誌的帳戶 |
儲存儲體擁有者2,及要求者 |
僅儲存貯體擁有者 |
| Performance and Cost | AWS CloudTrail | Amazon S3 Server Logs |
|
價格 |
管理事件 (首次交付) 是免費的;資料事件需支付費用 (除了日誌儲存費用之外) |
僅需支付日誌儲存費用 |
|
日誌交付的速度 |
每 5 分鐘的資料事件;每 15 分鐘的管理事件 |
幾小時內 |
|
記錄格式 |
JSON |
包含空格區隔的日誌檔案、換行分隔的記錄 |
備註
-
CloudTrail 不會針對驗證失敗的要求傳遞記錄檔 (其中提供的認證無效)。但是,它會包含身分驗證失敗之請求的日誌 (
AccessDenied),以及匿名使用者提出的請求。 -
當帳戶對請求中的物件沒有完整存取權時,S3 儲存貯體擁有者會收到 CloudTrail 日誌。如需詳細資訊,請參閱 跨帳戶案例中的 Amazon S3 物件層級動作。
-
當 VPC 端點政策拒絕 VPC 端點請求或在評估 VPC 政策之前失敗的請求時,S3 不支援將日誌或伺服器存取日誌交付給請求者或儲存貯體擁有者。 CloudTrail
