Überwachen der Standardverschlüsselung mit AWS CloudTrail und Amazon EventBridge - Amazon Simple Storage Service

Überwachen der Standardverschlüsselung mit AWS CloudTrail und Amazon EventBridge

Wichtig

Amazon S3 wendet jetzt serverseitige Verschlüsselung mit von Amazon S3 verwalteten Verschlüsselungsschlüssel (SSE-S3) als Basisverschlüsselung für jeden Bucket in Amazon S3 an. Ab dem 5. Januar 2023 werden alle neuen Objekt-Uploads auf Amazon S3 ohne zusätzliche Kosten und ohne Auswirkungen auf die Leistung automatisch verschlüsselt. Der Status der automatischen Verschlüsselung für die Standardverschlüsselungskonfiguration von S3-Buckets und für neue Objekt-Uploads ist in AWS CloudTrail-Protokollen, S3 Inventory, S3 Storage Lens, der Amazon-S3-Konsole und als zusätzlicher Amazon-S3-API-Antwortheader in der AWS Command Line Interface und den AWS-SDKs verfügbar. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Standardverschlüsselung.

Sie können Konfigurationsanforderungen zur Standardverschlüsselung für Amazon-S3-Buckets mithilfe von AWS CloudTrail-Ereignissen verfolgen. Die folgenden API-Ereignisnamen werden in CloudTrail-Protokollen verwendet:

  • PutBucketEncryption

  • GetBucketEncryption

  • DeleteBucketEncryption

Sie können auch EventBridge-Regeln erstellen, die den CloudTrail-Ereignissen für diese API-Aufrufe entsprechen. Weitere Informationen zu CloudTrail-Ereignissen finden Sie unter Aktivieren der Protokollierung für Objekte in einem Bucket mit der Konsole. Weitere Informationen zu EventBridge-Ereignissen finden Sie unter Ereignisse von AWS-Services.

Sie können CloudTrail-Protokolle für Amazon S3-Aktionen auf Objektebene verwenden, um PUT und POST-Anfragen an Amazon S3 nachzuverfolgen. Sie können diese Aktionen verwenden, um zu überprüfen, ob die Standard-Verschlüsselung zum Verschlüsseln von Objekten verwendet wird, wenn eingehende Anfragen PUT keine Verschlüsselungs-Header haben.

Wenn Amazon S3 ein Objekt mit den Einstellungen der Standardverschlüsselung verschlüsselt, enthält das Protokoll eins der folgenden Felder als Name-Wert-Paar: "SSEApplied":"Default_SSE_S3", "SSEApplied":"Default_SSE_KMS" oder "SSEApplied":"Default_DSSE_KMS".

Wenn Amazon S3 ein Objekt mit den PUT-Verschlüsselungs-Headern verschlüsselt, enthält das Protokoll eins der folgenden Felder als Name-Wert-Paar: "SSEApplied":"SSE_S3", "SSEApplied":"SSE_KMS", "SSEApplied":"DSSE_KMS" oder "SSEApplied":"SSE_C".

Diese Informationen sind für mehrteilige Uploads in den Anforderungen der API-Operation InitiateMultipartUpload enthalten. Weitere Informationen zur Verwendung von CloudTrail und CloudWatch finden Sie unter Protokollierung und Überwachung in Amazon S3.