Aktivieren der CloudTrail-Protokollierung für S3-in-Outposts-Objekte AWS CloudTrail-Protokolldateieinträge von Amazon S3 on Outposts

Überwachen von S3 on Outposts mit Protokollen in AWS CloudTrail

Amazon S3 on Outposts ist in AWS CloudTrail integriert. Dieser Service stellt eine Aufzeichnung der von einem Benutzer, einer Rolle oder einem AWS-Service-Service in S3 durchgeführten Aktionen bereit. Sie können mit AWS CloudTrail Informationen über Anforderungen auf Bucket- und Objektebene in S3 on Outposts abrufen, um Ihre S3-on-Outposts-Ereignisaktivitäten zu überprüfen und zu protokollieren.

Um CloudTrail-Datenereignisse für alle Outposts-Buckets oder für eine Liste spezifischer Outposts-Buckets zu aktivieren, müssen Sie manuell einen Trail in CloudTrail erstellen. Weitere Informationen zu CloudTrail-Protokolldateieinträgen finden Sie unter S3-in-Outposts-Protokolldateieinträge.

Eine vollständige Liste der CloudTrail-Datenereignisse für S3 on Outposts finden Sie unter Amazon-S3-Datenereignisse in CloudTrail im Amazon-S3-Benutzerhandbuch.

Anmerkung

Eine bewährte Vorgehensweise besteht darin, eine Lebenszyklusrichtlinie für das AWS CloudTrail-Datenereignis für Ihren Outposts-Bucket zu erstellen. Konfigurieren Sie die Lebenszyklusrichtlinie zum regelmäßigen Entfernen von Protokolldateien nach dem Zeitraum, der für die Überprüfung erforderlich ist. Dadurch wird die Menge der Daten reduziert, die Amazon Athena in einer Abfrage analysiert. Weitere Informationen finden Sie unter Erstellen und Verwalten einer Lebenszyklus-Konfiguration für Ihren Amazon-S3-on-Outposts-Bucket.
Beispiele für die Abfrage von CloudTrail-Protokollen finden Sie im AWS Big-Data-Blogbeitrag Analyze Security, Compliance and Operational Activity Using AWS CloudTrail and Amazon Athena.

CloudTrail-Protokollierung für Objekte in einem S3-in-Outposts-Bucket aktivieren

Sie können die Amazon-S3-Konsole verwenden, um einen AWS CloudTrail-Trail zum Protokollieren von Datenereignissen für Objekte in einem Amazon-S3-in-Outposts-Bucket zu konfigurieren. CloudTrail unterstützt die Protokollierung von API-Anforderungen auf Objektebene in S3 on Outposts wie beispielsweise GetObject, DeleteObject und PutObject. Diese Ereignisse werden als Datenereignisse bezeichnet.

Standardmäßig werden Datenereignisse nicht von den CloudTrail-Trails protokolliert. Sie können Trails jedoch so konfigurieren, dass sie Datenereignisse für von Ihnen festgelegte S3-in-Outposts-Buckets protokollieren oder dass sie Datenereignisse für alle S3-in-Outposts-Buckets in Ihrem AWS-Konto protokollieren.

CloudTrail gibt keine Datenereignisse in die CloudTrail-Ereignishistorie ein. Darüber hinaus werden nicht alle API-Operationen auf Bucket-Ebene in S3 on Outposts im CloudTrail-Ereignisverlauf aufgeführt. Weitere Informationen zum Abfragen von CloudTrail-Protokollen finden Sie unter Verwendung von Amazon-CloudWatch-Logs-Filtermustern und Amazon Athena zum Abfragen von CloudTrail-Protokollen im AWS-Wissenszentrum.

Um einen Trail zum Protokollieren von Datenereignissen für einen S3-in-Outposts-Bucket zu konfigurieren, können Sie entweder die AWS CloudTrail-Konsole oder die Amazon-S3-Konsole verwenden. Wenn Sie einen Trail zum Protokollieren von Datenereignissen für alle S3-in-Outposts-Buckets in Ihrem AWS-Konto konfigurieren möchten, ist es einfacher, die CloudTrail-Konsole zu verwenden. Informationen zur Verwendung der CloudTrail-Konsole zum Konfigurieren eines Trails zur Protokollierung von S3-in-Outposts-Datenereignissen finden Sie unter Daten-Ereignisse im Benutzerhandbuch zu AWS CloudTrail.

Wichtig

Für Datenereignisse werden zusätzliche Gebühren fällig. Weitere Informationen finden Sie unter AWS CloudTrail – Preise.

Das folgende Verfahren zeigt, wie mit der Amazon-S3-Konsole ein CloudTrail-Trail so konfiguriert wird, dass er Datenereignisse für einen S3-in-Outposts-Bucket protokolliert.

Anmerkung

Das AWS-Konto, das den Bucket erstellt, besitzt ihn und ist das einzige, das S3-in-Outposts-Datenereignisse konfigurieren kann, die an AWS CloudTrail gesendet werden.

Aktivieren der Protokollierung von CloudTrail-Datenereignissen für Objekte in einem S3-in-Outposts-Bucket

Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die Amazon-S3-Konsole unter https://console.aws.amazon.com/s3/.
Wählen Sie im Navigationsbereich Outposts buckets (Outposts-Buckets) aus.
Wählen Sie den Namen des Outposts-Buckets aus, dessen Datenereignisse Sie mit CloudTrail protokollieren möchten.
Wählen Sie Properties (Eigenschaften).
Wählen Sie im Abschnitt AWS CloudTrail-Datenereignisse die Option In CloudTrail konfigurieren aus.

Die AWS CloudTrail-Konsole wird geöffnet.

Sie können einen neuen CloudTrail-Trail erstellen oder einen vorhandenen Trail wiederverwenden und S3-in-Outposts-Datenereignisse so konfigurieren, dass sie in Ihrem Trail protokolliert werden.
Wählen Sie auf der Seite Dashboard der CloudTrail-Konsole die Option Trail erstellen aus.
Geben Sie auf der Seite Schritt 1 Trail-Attribute auswählen einen Namen für den Trail ein, wählen Sie einen S3-Bucket als Speicherort für die Trail-Protokolle aus, geben Sie alle weiteren gewünschten Einstellungen an und wählen Sie dann Nächstes aus.
Wählen Sie auf der Seite Schritt 2 Protokollereignisse auswählen unter Ereignistyp die Option Datenereignisse aus.

Wählen Sie als Datenereignistyp S3 Outposts aus. Wählen Sie Weiter aus.
Anmerkung
- Wenn Sie einen Trail erstellen und die Datenereignisprotokollierung für S3 on Outposts konfigurieren, müssen Sie den Datenereignistyp korrekt angeben.
  
  Wenn Sie die CloudTrail-Konsole verwenden, wählen Sie S3 Outposts als Datenereignistyp aus. Informationen zum Erstellen von Trails in der CloudTrail-Konsole finden Sie unter Erstellen und Aktualisieren eines Trails mit der Konsole im AWS CloudTrail-Benutzerhandbuch. Informationen zum Konfigurieren der S3-in-Outposts-Datenereignisprotokollierung in der CloudTrail-Konsole finden Sie unter Protokollieren von Datenereignissen für Amazon-S3-Objekte im Benutzerhandbuch zu AWS CloudTrail.
  
  Wenn Sie die AWS Command Line Interface (AWS CLI) oder die AWS-SDKs verwenden, legen Sie für das Feld resources.type AWS::S3Outposts::Object fest. Weitere Informationen zum Protokollieren von S3-in-Outposts-Datenereignissen mit der AWS CLI finden Sie unter Protokollieren von S3-in-Outposts-Ereignissen im Benutzerhandbuch zu AWS CloudTrail.
- Wenn Sie die CloudTrail-Konsole oder die Amazon-S3-Konsole verwenden, um einen Trail zur Protokollierung von Datenereignissen für einen S3-in-Outposts-Bucket zu konfigurieren, zeigt die Amazon-S3-Konsole an, dass die Protokollierung auf Objektebene für den Bucket aktiviert ist.
Überprüfen Sie auf der Seite Schritt 3 Überprüfen und erstellen die von Ihnen konfigurierten Trail-Attribute und Protokollereignisse. Wählen Sie dann Trail erstellen aus.

Deaktivieren der Protokollierung von CloudTrail-Datenereignissen für Objekte in einem S3-in-Outposts-Bucket

Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die CloudTrail-Konsole unter https://console.aws.amazon.com/cloudtrail/.
Wählen Sie im linken Navigationsbereich Trails aus.
Wählen Sie den Namen des Trails aus, den Sie erstellt haben, um Ereignisse für den S3-in-Outposts-Bucket zu protokollieren.
Wählen Sie oben rechts auf der Detailseite des Trails Protokollierung beenden aus.
Wählen Sie im anschließend angezeigten Dialogfeld Protokollierung beenden aus.

AWS CloudTrail-Protokolldateieinträge von Amazon S3 on Outposts

Amazon-S3-in-Outposts-Management-Ereignisse sind über AWS CloudTrail verfügbar. Darüber hinaus können Sie optional die Protokollierung für Datenereignisse aktivieren in AWS CloudTrail.

Ein Trail ist eine Konfiguration, durch die Ereignisse als Protokolldateien an den von Ihnen angegebenen S3-Bucket in einer Region übermittelt werden. CloudTrail-Protokolle für Ihre Outposts-Buckets enthalten ein neues Feld edgeDeviceDetails, das den Outpost identifiziert, in dem sich der angegebene Bucket befindet.

Weitere Protokollfelder umfassen die angeforderte Aktion, das Datum und die Uhrzeit der Aktion sowie die Anforderungsparameter. CloudTrail-Protokolleinträge sind kein geordnetes Stacktrace der öffentlichen API-Aufrufe und erscheinen daher nicht in einer bestimmten Reihenfolge.

Das folgende Beispiel zeigt den CloudTrail-Protokolleintrag, der die Aktion PutObject auf s3-outposts veranschaulicht.


{
      "eventVersion": "1.08",
      "userIdentity": {
        "type": "IAMUser",
        "principalId": "111122223333",
        "arn": "arn:aws:iam::111122223333:user/yourUserName",
        "accountId": "222222222222",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "userName": "yourUserName"
      },
      "eventTime": "2020-11-30T15:44:33Z",
      "eventSource": "s3-outposts.amazonaws.com",
      "eventName": "PutObject",
      "awsRegion": "us-east-1",
      "sourceIPAddress": "26.29.66.20",
      "userAgent": "aws-cli/1.18.39 Python/3.4.10 Darwin/18.7.0 botocore/1.15.39",
      "requestParameters": {
        "expires": "Wed, 21 Oct 2020 07:28:00 GMT",
        "Content-Language": "english",
        "x-amz-server-side-encryption-customer-key-MD5": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
        "ObjectCannedACL": "BucketOwnerFullControl",
        "x-amz-server-side-encryption": "Aes256",
        "Content-Encoding": "gzip",
        "Content-Length": "10",
        "Cache-Control": "no-cache",
        "Content-Type": "text/html; charset=UTF-8",
        "Content-Disposition": "attachment",
        "Content-MD5": "je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY",
        "x-amz-storage-class": "Outposts",
        "x-amz-server-side-encryption-customer-algorithm": "Aes256",
        "bucketName": "amzn-s3-demo-bucket1",
        "Key": "path/upload.sh"
      },
      "responseElements": {
        "x-amz-server-side-encryption-customer-key-MD5": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY",
        "x-amz-server-side-encryption": "Aes256",
        "x-amz-version-id": "001",
        "x-amz-server-side-encryption-customer-algorithm": "Aes256",
        "ETag": "d41d8cd98f00b204e9800998ecf8427f"
      },
      "additionalEventData": {
        "CipherSuite": "ECDHE-RSA-AES128-SHA",
        "bytesTransferredIn": 10,
        "x-amz-id-2": "29xXQBV2O+xOHKItvzY1suLv1i6A52E0zOX159fpfsItYd58JhXwKxXAXI4IQkp6",
        "SignatureVersion": "SigV4",
        "bytesTransferredOut": 20,
        "AuthenticationMethod": "AuthHeader"
      },
      "requestID": "8E96D972160306FA",
      "eventID": "ee3b4e0c-ab12-459b-9998-0a5a6f2e4015",
      "readOnly": false,
      "resources": [
        {
          "accountId": "222222222222",
          "type": "AWS::S3Outposts::Object",
          "ARN": "arn:aws:s3-outposts:us-east-1:YYY:outpost/op-01ac5d28a6a232904/bucket/path/upload.sh"
        },
        {
          "accountId": "222222222222",
          "type": "AWS::S3Outposts::Bucket",
          "ARN": "arn:aws:s3-outposts:us-east-1:YYY:outpost/op-01ac5d28a6a232904/bucket/"
        }
      ],
      "eventType": "AwsApiCall",
      "managementEvent": false,
      "recipientAccountId": "444455556666",
      "sharedEventID": "02759a4c-c040-4758-b84b-7cbaaf17747a",
      "edgeDeviceDetails": {
        "type": "outposts",
        "deviceId": "op-01ac5d28a6a232904"
      },
      "eventCategory": "Data"
    }

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Amazon CloudWatch Events

Entwickeln mit S3 on Outposts