Eventos de datos de Amazon S3 en CloudTrail Eventos de administración de Amazon S3 en CloudTrail Identificación de solicitudes de Amazon S3 Acciones de cuenta de Amazon S3 seguidas por el registro de CloudTrail Acciones de bucket de Amazon S3 de las que realiza un seguimiento el registro de CloudTrail Acciones de Amazon S3 Express One Zone en el bucket (punto de conexión de API regional) a las que se ha realizado un seguimiento mediante el registro de CloudTrail Acciones en el nivel de objeto de Amazon S3 en escenarios entre cuentas

Eventos de Amazon S3 CloudTrail

importante

Amazon S3 aplica ahora el cifrado del servidor con claves administradas por Amazon S3 (SSE-S3) como el nivel básico de cifrado para cada bucket de Amazon S3. Desde el 5 de enero de 2023, todas las cargas de objetos nuevos a Amazon S3 se cifran automáticamente sin costo adicional y sin afectar al rendimiento. El estado de cifrado automático para la configuración de cifrado predeterminada en el bucket de S3 y para cargas de objetos nuevos está disponible en registros de AWS CloudTrail, Inventario de S3, Lente de almacenamiento de S3, la consola de Amazon S3 y como encabezado de respuesta a la API de Amazon S3 adicional en AWS Command Line Interface y los SDK de AWS. Para obtener más información, consulte Preguntas frecuentes del cifrado predeterminado.

En esta sección, se proporciona información acerca de los eventos que S3 registra en CloudTrail.

Eventos de datos de Amazon S3 en CloudTrail

Los eventos de datos proporcionan información sobre las operaciones de recursos realizadas en o dentro de un recurso (por ejemplo, leer o escribir en un objeto de Amazon S3). Se denominan también operaciones del plano de datos. Los eventos de datos suelen ser actividades de gran volumen. De forma predeterminada, CloudTrail no registra eventos de datos. El Historial de eventos de CloudTrail no registra los eventos de datos.

Se aplican cargos adicionales a los eventos de datos. Para obtener más información sobre los precios de CloudTrail, consulte Precios de AWS CloudTrail.

Puede registrar eventos de datos para los tipos de recursos de Amazon S3 mediante la consola de CloudTrail, la AWS CLI o las operaciones de la API de CloudTrail. Para obtener más información sobre cómo registrar los eventos de datos, consulte Registro de eventos de datos con la AWS Management Console y Registro de eventos de datos con la AWS Command Line Interface en la Guía del usuario de AWS CloudTrail.

En la siguiente tabla se muestran los tipos de recursos de Amazon S3 para los que puede registrar eventos de datos. La columna Tipo de evento de datos (consola) muestra el valor que se debe elegir en la lista de tipos de eventos de datos de la consola de CloudTrail. La columna resources.type value muestra el valor de resources.type, que especificaría al configurar los selectores de eventos avanzados mediante la AWS CLI o las API de CloudTrail. La columna API de datos registradas en CloudTrail muestra las llamadas a la API registradas en CloudTrail para el tipo de recurso.

Tipo de evento de datos (consola)	resources.type value	API de datos registradas en CloudTrail
S3	`AWS::S3::Object`	AbortMultipartUpload CompleteMultipartUpload CopyObject CreateMultipartUpload DeleteObject DeleteObjectTagging DeleteObjects GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging GetObjectTorrent HeadObject HeadBucket ListMultipartUploads ListObjectVersions ListObjects ListParts PutObject PutObjectAcl PutObjectLegalHold PutObjectRetention PutObjectTagging RestoreObject SelectObjectContent UploadPart UploadPartCopy
S3 Express One Zone	`AWS::S3Express::Object`	AbortMultipartUpload CompleteMultipartUpload CreateSession CopyObject CreateMultipartUpload DeleteObject DeleteObjects GetObject GetObjectAttributes HeadBucket HeadObject ListObjectsV2 ListParts PutObject UploadPart UploadPartCopy
Punto de acceso de S3	`AWS::S3::Access Point`	AbortMultipartUpload CompleteMultipartUpload CopyObject (solo copias de la misma región) CreateMultipartUpload DeleteObject DeleteObjectTagging GetBucketAcl GetBucketCors GetBucketLocation GetBucketNotificationConfiguration GetBucketPolicy GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging HeadBucket HeadObject ListMultipartUploads ListObjects ListObjectsV2 ListObjectVersions ListParts Presign PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart UploadPartCopy (solo copias de la misma región)
S3 Object Lambda	`AWS::S3ObjectLambda::AccessPoint`	AbortMultipartUpload CompleteMultipartUpload CopyObject (solo copias de la misma región) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectAcl GetObjectLegalHold GetObjectRetention GetObjectTagging HeadObject ListMultipartUploads ListObjects ListObjectVersions ListParts PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart WriteGetObjectResponse
S3 Outposts	`AWS::S3Outposts::Object`	AbortMultipartUpload CompleteMultipartUpload CopyObject (solo copias de la misma región) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectTagging HeadObject ListMultipartUploads ListObjects ListObjectsV2 ListParts PutObject PutObjectTagging UploadPart UploadPartCopy

Puede configurar selectores de eventos avanzados para filtrar según los campos eventName, readOnly y resources.ARN y así registrar solo los eventos que son importantes para usted. Para obtener más información acerca de estos campos, consulte AdvancedFieldSelector en la Referencia de la API de AWS CloudTrail.

Eventos de administración de Amazon S3 en CloudTrail

Amazon S3 registra todas las operaciones de plano de control como eventos de administración. Para obtener más información sobre las operaciones de la API de S3, consulte la Referencia de la API de Amazon S3.

Cómo obtiene CloudTrail las solicitudes realizadas a Amazon S3

De forma predeterminada, CloudTrail registra las llamadas a la API de bucket de S3 que se realizaron en los últimos 90 días, pero no las solicitudes realizadas a objetos. Las llamadas en el nivel de bucket incluyen eventos como CreateBucket, DeleteBucket, PutBucketLifecycle, PutBucketPolicy, etc. Puede ver los eventos a nivel bucket en la consola de CloudTrail. Sin embargo, allí no puede ver los eventos de datos (llamadas de objeto de Amazon S3); para ello, debe analizar o consultar los registros de CloudTrail.

Acciones de cuenta de Amazon S3 seguidas por el registro de CloudTrail

CloudTrail registra las acciones de cuenta. Los registros de Amazon S3 se crean junto con otros registros de Servicio de AWS en un archivo de registros. CloudTrail determina cuándo debe crearse un nuevo archivo y escribir en él en función del periodo de tiempo y del tamaño del archivo.

En las tablas de esta sección, se enumeran las acciones en el nivel de acción de Amazon S3 compatibles con el registro por parte de CloudTrail.

Las acciones de la API de nivel de cuenta de Amazon S3 rastreadas por el registro de CloudTrail aparecen con los siguientes nombres de evento: Los nombres de los eventos de CloudTrail difieren del nombre de la acción de la API. Por ejemplo, DeletePublicAccessBlock es DeleteAccountPublicAccessBlock.

Acciones de bucket de Amazon S3 de las que realiza un seguimiento el registro de CloudTrail

De forma predeterminada, CloudTrail registra acciones en el nivel de bucket de uso general. Los registros de Amazon S3 se crean junto con otros registros de servicios de AWS en un archivo de registros. CloudTrail determina cuándo debe crearse un nuevo archivo y escribir en él en función del periodo de tiempo y del tamaño del archivo.

En esta sección se enumeran las acciones en el nivel de bucket de Amazon S3 compatibles con el registro por parte de CloudTrail.

Las acciones de la APIen el nivel del bucket de Amazon S3 rastreadas por el registro de CloudTrail aparecen como los siguientes nombres de evento. En algunos casos, el nombre del evento de CloudTrail difiere del nombre de la acción de la API. Por ejemplo, PutBucketLifecycleConfiguration es PutBucketLifecycle.

Además de estas operaciones de la API, también puede usar la acción en el nivel de objeto OPTIONS object. Esta acción se trata como una acción de bucket en el registro de CloudTrail porque la acción comprueba la configuración de CORS de un bucket.

Acciones de Amazon S3 Express One Zone en el bucket (punto de conexión de API regional) a las que se ha realizado un seguimiento mediante el registro de CloudTrail

De forma predeterminada, CloudTrail registra acciones en el nivel de bucket para buckets de directorio como eventos de administración. eventsource para eventos de administración de CloudTrail para S3 Express One Zone es s3express.amazonaws.com.

Las siguientes operaciones de la API de puntos de conexión regionales se registran en CloudTrail.

Para obtener más información, consulte Registro con AWS CloudTrail para S3 Express One Zone.

Acciones en el nivel de objeto de Amazon S3 en escenarios entre cuentas

Los siguientes casos son casos de uso especiales relativos a las llamadas a la API de objeto en situaciones que afectan a varias cuentas y a la manera de informar de los registros de CloudTrail. CloudTrail entrega los registros al solicitante (la cuenta que realiza la llamada a la API), excepto en algunos casos de acceso denegado en los que las entradas de registro se redactan u omiten. Al configurar el acceso a varias cuentas, tenga en cuenta los ejemplos de esta sección.

nota

En los ejemplos, se presupone que los registros de CloudTrail están configurados correctamente.

Ejemplo 1: CloudTrail entrega los registros al propietario del bucket

CloudTrail entrega los registros al propietario del bucket aunque este no tenga permisos para la misma operación de API de objetos. Piense en el siguiente escenario con varias cuentas:

La cuenta A es la propietaria del bucket.
La cuenta B (el solicitante) intenta acceder a un objeto de ese bucket.
La cuenta C es la propietaria del objeto. Es posible o no que la cuenta C sea la misma cuenta que la cuenta A.

nota

CloudTrail siempre entrega los registros de la API en el nivel de objeto al solicitante (cuenta B). Además, CloudTrail también entrega los mismos registros al propietario del bucket (cuenta A) incluso cuando el propietario del bucket no tiene el objeto (cuenta C) o tiene permisos para esas mismas operaciones de la API en dicho objeto.

Ejemplo 2: CloudTrail no hace proliferar las direcciones de correo electrónico empleadas al establecer las ACL de objeto

Piense en el siguiente escenario con varias cuentas:

La cuenta A es la propietaria del bucket.
La cuenta B (el solicitante) envía una solicitud para establecer un permiso de la ACL de un objeto con una dirección de correo electrónico. Para obtener más información acerca de las ACL, consulte Información general de las Listas de control de acceso (ACL).

El solicitante obtiene los registros junto con la información del correo electrónico. Sin embargo, el propietario del bucket (si puede recibir registros como en el ejemplo 1) obtiene el registro de CloudTrail que informa del evento. Aun así, el propietario del bucket no obtiene la información sobre la configuración de ACL, específicamente la dirección de correo electrónico del receptor del permiso y el permiso en sí. La única información que el registro comunica al propietario del bucket es que la cuenta B realizó una llamada a la API de ACL.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Registro con CloudTrail

Archivos de registro de ejemplo