本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon S3 的記錄選項
您可以記錄使用者、角色或執行的動作 AWS 服務 在 Amazon S3 資源上,並維護日誌記錄以供稽核和合規之用。要做到這一點,你可以使用服務器訪問日誌, AWS CloudTrail 日誌記錄,或兩者的組合。我們建議您使 CloudTrail 用記錄 Amazon S3 資源的儲存貯體層級和物件層級動作。如需每個選項的詳細資訊,請參閱下列各節:
下表列出 CloudTrail 日誌和 Amazon S3 伺服器存取日誌的主要屬性。若要確保 CloudTrail 符合您的安全性需求,請檢閱表格和注意事項。
日誌屬性 | AWS CloudTrail | Amazon S3 伺服器日誌 |
---|---|---|
可以轉發到其他系統(Amazon CloudWatch 日誌,Amazon CloudWatch 事件) |
是 |
否 |
將日誌交付至一個以上的目的地 (例如,將相同的日誌傳送至兩個不同的儲存儲體) |
是 |
否 |
開啟物件子集的日誌 (字首) |
是 |
否 |
跨帳戶日誌交付 (不同帳戶所擁有的目標和來源儲存儲體) |
是 |
否 |
使用數位簽章或雜湊進行日誌檔案的完整性驗證 |
是 |
否 |
日誌檔案的預設加密或加密選擇 |
是 |
否 |
物件操作 (使用 Amazon S3APIs) |
是 |
是 |
存儲桶操作(通過使用 Amazon S3APIs) |
是 |
是 |
日誌的可搜尋 UI |
是 |
否 |
物件鎖定參數的欄位、Amazon S3 Select 的日誌記錄屬性 |
是 |
否 |
日誌記錄的 |
否 |
是 |
生命週期轉換、逾期、還原 |
否 |
是 |
批次刪除操作中的金鑰記錄 |
否 |
是 |
身分驗證失敗1 |
否 |
是 |
交付日誌的帳戶 |
儲存儲體擁有者2,及要求者 |
僅儲存貯體擁有者 |
Performance and Cost | AWS CloudTrail | Amazon S3 Server Logs |
價格 |
管理事件 (首次交付) 是免費的;資料事件需支付費用 (除了日誌儲存費用之外) |
僅需支付日誌儲存費用 |
日誌交付的速度 |
每 5 分鐘的資料事件;每 15 分鐘的管理事件 |
幾小時內 |
記錄格式 |
JSON |
包含空格區隔的日誌檔案、換行分隔的記錄 |
備註
-
CloudTrail 不會為驗證失敗的要求傳遞記錄檔 (其中提供的認證無效)。但是,它會包含身分驗證失敗之請求的日誌 (
AccessDenied
),以及匿名使用者提出的請求。 -
當帳戶對請求中的物件沒有完整存取權時,S3 儲存貯體擁有者會收到 CloudTrail 日誌。如需詳細資訊,請參閱跨帳戶案例中的 Amazon S3 物件層級動作。
-
當端點政策拒絕VPC端點請求或在評估政策之前失敗的請求時,S3 不支援將日誌或伺服器存取日誌交付給請求者或儲存貯體擁有者。 CloudTrail VPC VPC