Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Journalisation des appels d'API Amazon S3 à l'aide de AWS CloudTrail
<a name="cloudtrail-logging"></a>

[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)est un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un Service AWS. CloudTrail capture tous les appels d'API pour Amazon S3 sous forme d'événements. Ces captures incluent les appels de la console Amazon S3 et les appels de code vers les opérations d’API Amazon S3. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande envoyée à Amazon S3, l'adresse IP à partir de laquelle la demande a été faite, la date à laquelle elle a été faite et des informations supplémentaires.

Chaque événement ou entrée de journal contient des informations sur la personne ayant initié la demande. Les informations relatives à l’identité permettent de déterminer :
+ Si la demande a été effectuée avec des informations d’identification d’utilisateur root ou d’utilisateur root.
+ Si la demande a été faite au nom d'un utilisateur du centre d'identité IAM.
+ Si la demande a été effectuée avec les informations d’identification de sécurité temporaires d’un rôle ou d’un utilisateur fédéré.
+ Si la requête a été effectuée par un autre Service AWS.

CloudTrail est actif dans votre compte Compte AWS lorsque vous créez le compte et vous avez automatiquement accès à l'**historique des CloudTrail événements**. L'**historique des CloudTrail événements** fournit un enregistrement consultable, consultable, téléchargeable et immuable des 90 derniers jours des événements de gestion enregistrés dans un. Région AWS Pour plus d'informations, consultez la section [Utilisation de l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html) dans le *guide de AWS CloudTrail l'utilisateur*. La consultation de CloudTrail l'**historique des événements est gratuite**.

Pour un enregistrement continu des événements de vos 90 Compte AWS derniers jours, créez un magasin de données sur les événements de Trail ou [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html).

**CloudTrail sentiers**  
Un *suivi* permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Tous les sentiers créés à l'aide du AWS Management Console sont multirégionaux. Vous ne pouvez créer un journal de suivi en une ou plusieurs régions à l'aide de l' AWS CLI. Il est recommandé de créer un parcours multirégional, car vous capturez l'activité dans l'ensemble Régions AWS de votre compte. Si vous créez un journal de suivi pour une seule région, il convient de n'afficher que les événements enregistrés dans le journal de suivi pour une seule région Région AWS. Pour plus d'informations sur les journaux de suivi, consultez [Créez un journal de suivi dans vos Compte AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html) et [Création d'un journal de suivi pour une organisation](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html) dans le *AWS CloudTrail Guide de l'utilisateur*.  
Vous pouvez envoyer une copie de vos événements de gestion en cours dans votre compartiment Amazon S3 gratuitement CloudTrail en créant un journal. Toutefois, des frais de stockage Amazon S3 sont facturés. Pour plus d'informations sur la CloudTrail tarification, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/). Pour obtenir des informations sur la tarification Amazon S3, consultez [Tarification Amazon S3](https://aws.amazon.com/s3/pricing/).

**CloudTrail Stockages de données sur les événements du lac**  
*CloudTrail Lake* vous permet d'exécuter des requêtes SQL sur vos événements. CloudTrail Lake convertit les événements existants au format JSON basé sur les lignes au format [Apache ORC](https://orc.apache.org/). ORC est un format de stockage en colonnes qui est optimisé pour une récupération rapide des données. Les événements sont agrégés dans des *magasins de données d’événement*. Ceux-ci constituent des collections immuables d’événements basées sur des critères que vous sélectionnez en appliquant des [sélecteurs d’événements avancés](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors). Les sélecteurs que vous appliquez à un magasin de données d’événement contrôlent les événements qui persistent et que vous pouvez interroger. Pour plus d'informations sur CloudTrail Lake, consultez la section [Travailler avec AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) dans le *guide de AWS CloudTrail l'utilisateur*.  
CloudTrail Les stockages et requêtes de données sur les événements de Lake entraînent des coûts. Lorsque vous créez un magasin de données d’événement, vous choisissez l’[option de tarification](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option) que vous voulez utiliser pour le magasin de données d’événement. L’option de tarification détermine le coût d’ingestion et de stockage des événements, ainsi que les périodes de conservation par défaut et maximale pour le magasin de données d’événement. Pour plus d'informations sur la CloudTrail tarification, consultez la section [AWS CloudTrail Tarification](https://aws.amazon.com/cloudtrail/pricing/).

Vous pouvez stocker vos fichiers journaux dans votre compartiment aussi longtemps que vous le souhaitez, ou bien définir des règles de cycle de vie Amazon S3 afin de les archiver ou de les supprimer automatiquement. Par défaut, vos fichiers journaux sont chiffrés à l’aide du chiffrement côté serveur (SSE) d’Amazon S3.

## Utilisation de CloudTrail journaux avec les journaux d'accès au serveur Amazon S3 et CloudWatch les journaux
<a name="cloudtrail-logging-vs-server-logs"></a>

AWS CloudTrail les journaux fournissent un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans Amazon S3, tandis que les journaux d'accès au serveur Amazon S3 fournissent des enregistrements détaillés des demandes adressées à un compartiment S3. Pour plus d’informations sur le fonctionnement des différents journaux ainsi que sur leurs propriétés, performances et coûts, consultez [Options de journalisation pour Amazon S3](logging-with-S3.md). 

Vous pouvez utiliser AWS CloudTrail les journaux avec les journaux d'accès au serveur pour Amazon S3. CloudTrail les journaux vous fournissent un suivi détaillé des API pour les opérations au niveau du bucket et au niveau de l'objet d'Amazon S3. Les journaux d’accès au serveur pour Amazon S3 vous donnent la visibilité nécessaire sur les opérations d’objet au niveau de vos données dans Amazon S3. Pour plus d’informations sur les journaux d’accès au serveur, consultez [Enregistrement de demandes avec journalisation des accès au serveur](ServerLogs.md).

Vous pouvez également utiliser CloudTrail les journaux avec Amazon CloudWatch pour Amazon S3. CloudTrail l'intégration avec CloudWatch Logs fournit l'activité de l'API au niveau du compartiment S3 capturée par CloudTrail un flux de CloudWatch journaux dans le groupe de CloudWatch journaux que vous spécifiez. Vous pouvez créer des CloudWatch alarmes pour surveiller une activité d'API spécifique et recevoir des notifications par e-mail lorsque l'activité d'API spécifique se produit. Pour plus d'informations sur les CloudWatch alarmes destinées à surveiller une activité d'API spécifique, consultez le [guide de AWS CloudTrail l'utilisateur](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/). Pour plus d'informations sur l'utilisation CloudWatch avec Amazon S3, consultez[Surveillance des métriques avec Amazon CloudWatch](cloudwatch-monitoring.md).

**Note**  
S3 ne prend pas en charge la remise de CloudTrail journaux au demandeur ou au propriétaire du compartiment pour les demandes de point de terminaison VPC lorsque la politique de point de terminaison du VPC les refuse.

## CloudTrail suivi avec les appels d'API SOAP Amazon S3
<a name="cloudtrail-s3-soap"></a>

CloudTrail suit les appels d'API SOAP Amazon S3. La prise en charge de SOAP par Amazon S3 via HTTP est obsolète, mais continue d’être disponible via HTTPS. Pour plus d’informations sur la prise en charge d’Amazon S3 SOAP, consultez [Annexe : API SOAP](https://docs.aws.amazon.com/AmazonS3/latest/API/APISoap.html) dans la *Référence des API Amazon S3*. 

**Important**  
Les nouvelles fonctions Amazon S3 ne sont pas prises en charge pour SOAP. Nous vous recommandons d'utiliser l'API REST ou le AWS SDKs.

 Le tableau suivant présente les actions SOAP Amazon S3 suivies par CloudTrail journalisation. 


| Nom d’API SOAP | Nom de l'événement API utilisé dans le CloudTrail journal | 
| --- | --- | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPListAllMyBuckets.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPListAllMyBuckets.html)  | ListBuckets | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPCreateBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPCreateBucket.html)  | CreateBucket | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPDeleteBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPDeleteBucket.html)  | DeleteBucket | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPGetBucketAccessControlPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPGetBucketAccessControlPolicy.html)  | GetBucketAcl | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPSetBucketAccessControlPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPSetBucketAccessControlPolicy.html)  | PutBucketAcl | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPGetBucketLoggingStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPGetBucketLoggingStatus.html)  | GetBucketLogging | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPSetBucketLoggingStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPSetBucketLoggingStatus.html)  | PutBucketLogging | 

 Pour plus d'informations sur Amazon S3 CloudTrail et Amazon S3, consultez les rubriques suivantes : 

**Topics**
+ [Utilisation de CloudTrail journaux avec les journaux d'accès au serveur Amazon S3 et CloudWatch les journaux](#cloudtrail-logging-vs-server-logs)
+ [CloudTrail suivi avec les appels d'API SOAP Amazon S3](#cloudtrail-s3-soap)
+ [CloudTrail Événements Amazon S3](cloudtrail-logging-s3-info.md)
+ [CloudTrail entrées de fichiers journaux pour Amazon S3 et S3 on Outposts](cloudtrail-logging-understanding-s3-entries.md)
+ [Activation de la journalisation des CloudTrail événements pour les compartiments et les objets S3](enable-cloudtrail-logging-for-s3.md)
+ [Identification des demandes Amazon S3 à l'aide CloudTrail](cloudtrail-request-identification.md)

# CloudTrail Événements Amazon S3
<a name="cloudtrail-logging-s3-info"></a>

**Important**  
Amazon S3 applique désormais le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) comme niveau de base du chiffrement pour chaque compartiment d’Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d’objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. L'état du chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour le téléchargement de nouveaux objets est disponible dans CloudTrail les journaux, S3 Inventory, S3 Storage Lens, la console Amazon S3 et sous forme d'en-tête de réponse d'API Amazon S3 supplémentaire dans le AWS CLI et AWS SDKs. Pour plus d’informations, consultez la [FAQ sur le chiffrement par défaut](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html).

Cette section fournit des informations sur les événements auxquels S3 se connecte CloudTrail.

## Événements liés aux données Amazon S3 dans CloudTrail
<a name="cloudtrail-data-events"></a>

Les [événements de données](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events) fournissent des informations sur les opérations de ressources effectuées sur ou dans une ressource (par exemple, lecture ou écriture de données dans un objet Amazon S3). Ils sont également connus sous le nom opérations de plans de données. Les événements de données sont souvent des activités à fort volume. Par défaut, CloudTrail n'enregistre pas les événements liés aux données. L'**historique des CloudTrail événements** n'enregistre pas les événements liés aux données.

Des frais supplémentaires s’appliquent pour les événements de données. Pour plus d'informations sur la tarification CloudTrail, consultez [Tarification AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/).

Vous pouvez enregistrer les événements de données pour les types de ressources Amazon S3 à l'aide de la CloudTrail console ou des opérations CloudTrail d'API. AWS CLI Pour plus d’informations sur la façon de journaliser les événements de données, consultez [Journalisation des événements de données avec la AWS Management Console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-console) et [Journalisation des événements de données avec l’ AWS Command Line Interface](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#creating-data-event-selectors-with-the-AWS-CLI) dans le *Guide de l’utilisateur AWS CloudTrail *.

Le tableau suivant répertorie les types de ressources Amazon S3 pour lesquels vous pouvez journaliser les événements de données. La colonne **Type d'événement de données (console)** indique la valeur à choisir dans la liste des **types d'événements de données** de la CloudTrail console. La colonne de valeur **resources.type indique la `resources.type` valeur** que vous devez spécifier lors de la configuration de sélecteurs d'événements avancés à l'aide du ou. AWS CLI CloudTrail APIs La CloudTrail colonne **Données APIs enregistrées** indique les appels d'API enregistrés CloudTrail pour le type de ressource. 




| Type d’événement de données (console) | valeur resources.type | Données APIs enregistrées sur CloudTrail | 
| --- | --- | --- | 
| S3 |  AWS::S3::Object  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html)  | 
| S3 Express One Zone |  AWS::S3Express::Object  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html)  | 
| Points d’accès S3 |  AWS::S3::Access Point  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html)  | 
| S3 Object Lambda |  AWS::S3ObjectLambda::AccessPoint  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html)  | 
| S3 Outposts |  AWS::S3Outposts::Object  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html)  | 

Vous pouvez configurer des sélecteurs d’événements avancés pour filtrer les champs `eventName`, `readOnly` et `resources.ARN` afin de ne journaliser que les événements importants pour vous. Pour plus d’informations sur ces champs, consultez [https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html) dans la *Référence des API AWS CloudTrail *.

## Événements de gestion Amazon S3 dans CloudTrail
<a name="cloudtrail-management-events"></a>

Amazon S3 journalise toutes les opérations du plan de contrôle en tant qu’événements de gestion. Pour plus d’informations sur les opérations d’API S3, consultez [Référence des API Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/API/API_Operations.html).

## Comment CloudTrail capture les demandes adressées à Amazon S3
<a name="cloudtrail-logging-s3-requests"></a>

Par défaut, CloudTrail enregistre les appels d'API au niveau du compartiment S3 effectués au cours des 90 derniers jours, mais pas les demandes de journalisation adressées aux objets. Les appels au niveau des compartiments comprennent des événements tels que `CreateBucket`, `DeleteBucket`, `PutBucketLifecycle`, `PutBucketPolicy` et ainsi de suite. Vous pouvez voir les événements au niveau du bucket sur la CloudTrail console. Cependant, vous ne pouvez pas y consulter les événements de données (appels au niveau des objets Amazon S3). Vous devez les analyser ou les consulter dans les journaux. CloudTrail 

Si vous enregistrez une activité liée aux données avec AWS CloudTrail, l'enregistrement d'un événement de `DeleteObjects` données Amazon S3 inclut à la fois l'`DeleteObjects`événement et un `DeleteObject` événement pour chaque objet supprimé dans le cadre de cette opération. Vous pouvez exclure les informations des objets supprimés de l’enregistrement de l’événement. Pour plus d’informations, consultez [Exemples de filtre des événements de données à l’aide de l’AWS CLI](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/filtering-data-events.html#filtering-data-events-deleteobjects) dans le *Guide de l’utilisateur AWS CloudTrail *.

## Actions au niveau du compte Amazon S3 suivies par journalisation CloudTrail
<a name="cloudtrail-account-level-tracking"></a>

CloudTrail enregistre les actions au niveau du compte. Les enregistrements Amazon S3 sont écrits avec d'autres Service AWS enregistrements dans un fichier journal. CloudTrail détermine à quel moment créer et écrire dans un nouveau fichier en fonction d'une période et de la taille du fichier. 

Les tableaux de cette section répertorient les actions au niveau du compte Amazon S3 prises en charge pour la connexion par. CloudTrail

Les actions d'API au niveau du compte Amazon S3 suivies par CloudTrail journalisation apparaissent sous les noms d'événements suivants. Les noms des CloudTrail événements sont différents du nom de l'action de l'API. Par exemple, DeletePublicAccessBlock est DeleteAccountPublicAccessBlock.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeletePublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeletePublicAccessBlock.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetPublicAccessBlock.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutPublicAccessBlock.html)

## Actions au niveau du compartiment Amazon S3 suivies par journalisation CloudTrail
<a name="cloudtrail-bucket-level-tracking"></a>

Par défaut, CloudTrail enregistre les actions au niveau du compartiment pour les compartiments à usage général. Les enregistrements Amazon S3 sont écrits avec d'autres enregistrements AWS de service dans un fichier journal. CloudTrail détermine à quel moment créer et écrire dans un nouveau fichier en fonction d'une période et de la taille du fichier. 

Cette section répertorie les actions au niveau du compartiment Amazon S3 prises en charge pour la journalisation. CloudTrail

Les actions d'API au niveau du bucket Amazon S3 suivies par CloudTrail journalisation apparaissent sous les noms d'événements suivants. Dans certains cas, le nom de l' CloudTrail événement est différent du nom de l'action de l'API. Par exemple, `PutBucketLifecycleConfiguration` est `PutBucketLifecycle`.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataConfiguration.html) (opération d’API V2)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataTableConfiguration.html) (opération d’API V1)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketAnalyticsConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketCors.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketIntelligentTieringConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketInventoryConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketLifecycle.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataConfiguration.html) (opération d’API V2)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html) (opération d’API V1)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetricsConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketOwnershipControls.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketReplication.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketTagging.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAccelerateConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAccelerateConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAnalyticsConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketIntelligentTieringConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketInventoryConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLifecycle.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLogging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLogging.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataConfiguration.html) (opération d’API V2)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html) (opération d’API V1)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetricsConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotification.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotification.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLockConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLockConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketOwnershipControls.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicyStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicyStatus.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketRequestPayment.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketRequestPayment.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketTagging.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketVersioning.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketVersioning.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketWebsite.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketWebsite.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAccelerateConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAccelerateConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAcl.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAnalyticsConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketCors.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketIntelligentTieringConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketInventoryConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLifecycle.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLogging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLogging.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketMetricsConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketNotification.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketNotification.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLockConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLockConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketOwnershipControls.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketRequestPayment.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketRequestPayment.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketTagging.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketVersioning.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketVersioning.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketWebsite.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketWebsite.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataJournalTableConfiguratione.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataJournalTableConfiguratione.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataInventoryTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataInventoryTableConfiguration.html)

En plus de ces opérations d’API, vous pouvez également utiliser l’action au niveau de l’objet [OPTIONS object](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTOPTIONSobject.html). Cette action est traitée comme une action au niveau du compartiment dans la CloudTrail journalisation, car elle vérifie la configuration CORS d'un compartiment.

**Note**  
L' HeadBucket API est prise en charge en tant qu'événement de données Amazon S3 dans CloudTrail. 

## Actions Amazon S3 Express One Zone au niveau du bucket (point de terminaison d'API régional) suivies par journalisation CloudTrail
<a name="cloudtrail-bucket-level-tracking-s3express"></a>

Par défaut, CloudTrail enregistre les actions au niveau du compartiment pour les compartiments de répertoire en tant qu'événements de gestion. Les événements CloudTrail de gestion `eventsource` pour S3 Express One Zone sont`s3express.amazonaws.com`.

Les opérations suivantes de l'API de point de terminaison régional sont enregistrées sur CloudTrail.
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListDirectoryBuckets.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListDirectoryBuckets.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html)

Pour plus d'informations, voir [Logging with AWS CloudTrail for S3 Express One Zone](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-one-zone-logging.html)

## Actions au niveau des objets Amazon S3 dans les scénarios intercomptes
<a name="cloudtrail-object-level-crossaccount"></a>

Vous trouverez ci-dessous des cas d'utilisation particuliers impliquant les appels d'API au niveau de l'objet dans des scénarios entre comptes et la manière dont les CloudTrail journaux sont signalés. CloudTrail fournit les journaux au demandeur (le compte qui a effectué l'appel d'API), sauf dans certains cas de refus d'accès où les entrées du journal sont expurgées ou omises. Lorsque vous configurez l’accès intercompte, pensez aux exemples de cette section.

**Note**  
Les exemples supposent que CloudTrail les journaux sont correctement configurés. 

### Exemple 1 : CloudTrail fournit des journaux au propriétaire du compartiment
<a name="cloudtrail-crossaccount-example1"></a>

CloudTrail fournit des journaux au propriétaire du compartiment même si celui-ci n'est pas autorisé à effectuer la même opération d'API d'objet. Envisagez le scénario entre comptes suivant :
+ Le compte A est le propriétaire du compartiment.
+ Le compte B (le demandeur) tente d’accéder à un objet de ce compartiment.
+ Le compte C est propriétaire de l’objet. Le compte C peut ou non être le même compte que le compte A.

**Note**  
CloudTrail fournit toujours des journaux d'API au niveau de l'objet au demandeur (compte B). En outre, fournit CloudTrail également les mêmes journaux au propriétaire du bucket (compte A) même si celui-ci n'est pas propriétaire de l'objet (compte C) ou n'est pas autorisé à effectuer les mêmes opérations d'API sur cet objet.

### Exemple 2 : CloudTrail ne multiplie pas les adresses e-mail utilisées pour définir l'objet ACLs
<a name="cloudtrail-crossaccount-example2"></a>

Envisagez le scénario entre comptes suivant :
+ Le compte A est le propriétaire du compartiment.
+  Le compte B (le demandeur) envoie une demande pour définir un octroi de liste ACL d’objet en utilisant une adresse e-mail. Pour plus d'informations sur ACLs, voir[Présentation de la liste de contrôle d’accès (ACL)](acl-overview.md).

Le demandeur obtient les journaux ainsi que les informations de messagerie. Toutefois, le propriétaire du compartiment, s'il est éligible pour recevoir des journaux, comme dans l'exemple, obtient que le CloudTrail journal signale l'événement. Cependant, le propriétaire du compartiment n’obtient pas les informations de configuration de liste ACL, notamment l’adresse e-mail du bénéficiaire et l’octroi. La seule information transmise par le journal au propriétaire du compartiment est qu’un appel d’API de liste ACL a été passé par le compte B.

# CloudTrail entrées de fichiers journaux pour Amazon S3 et S3 on Outposts
<a name="cloudtrail-logging-understanding-s3-entries"></a>

**Important**  
Amazon S3 applique désormais le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) comme niveau de base du chiffrement pour chaque compartiment d’Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d’objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. L'état du chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour le téléchargement de nouveaux objets est disponible dans CloudTrail les journaux, S3 Inventory, S3 Storage Lens, la console Amazon S3 et sous forme d'en-tête de réponse d'API Amazon S3 supplémentaire dans le AWS CLI et AWS SDKs. Pour plus d’informations, consultez la [FAQ sur le chiffrement par défaut](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html).

Un événement représente une demande unique provenant de n'importe quelle source et inclut des informations sur l'opération d'API demandée, la date et l'heure de l'opération, les paramètres de la demande, etc. CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des appels d'API publics. Les événements n'apparaissent donc pas dans un ordre spécifique.

**Note**  
Pour consulter des exemples de fichiers CloudTrail journaux pour Amazon S3 Express One Zone, consultez les [exemples de fichiers CloudTrail journaux pour S3 Express One Zone](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-log-files.html).

Pour plus d’informations, consultez les exemples suivants.

**Topics**
+ [Exemple : entrée de fichier CloudTrail journal pour Amazon S3](#example-ct-log-s3)

## Exemple : entrée de fichier CloudTrail journal pour Amazon S3
<a name="example-ct-log-s3"></a>

L'exemple suivant montre une entrée de CloudTrail journal illustrant le [GETservice](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTServiceGET.html) et [https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTacl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTacl.html)les [https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketGETversioningStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketGETversioningStatus.html)actions.

```
{
    "Records": [
    {
        "eventVersion": "1.03",
        "userIdentity": {
            "type": "IAMUser",
            "principalId": "111122223333",
            "arn": "arn:aws:iam::111122223333:user/myUserName",
            "accountId": "111122223333",
            "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
            "userName": "myUserName"
        },
        "eventTime": "2019-02-01T03:18:19Z",
        "eventSource": "s3.amazonaws.com",
        "eventName": "ListBuckets",
        "awsRegion": "us-west-2",
        "sourceIPAddress": "127.0.0.1",
        "userAgent": "[]",
        "requestParameters": {
            "host": [
                "s3.us-west-2.amazonaws.com"
            ]
        },
        "responseElements": null,
        "additionalEventData": {
            "SignatureVersion": "SigV2",
            "AuthenticationMethod": "QueryString",
            "aclRequired": "Yes"
    },
        "requestID": "47B8E8D397DCE7A6",
        "eventID": "cdc4b7ed-e171-4cef-975a-ad829d4123e8",
        "eventType": "AwsApiCall",
        "recipientAccountId": "444455556666",
        "tlsDetails": {
            "tlsVersion": "TLSv1.2",
            "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
            "clientProvidedHostHeader": "s3.amazonaws.com"
    }      
    },
    {
       "eventVersion": "1.03",
       "userIdentity": {
            "type": "IAMUser",
            "principalId": "111122223333",
            "arn": "arn:aws:iam::111122223333:user/myUserName",
            "accountId": "111122223333",
            "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
            "userName": "myUserName"
        },
      "eventTime": "2019-02-01T03:22:33Z",
      "eventSource": "s3.amazonaws.com",
      "eventName": "PutBucketAcl",
      "awsRegion": "us-west-2",
      "sourceIPAddress": "",
      "userAgent": "[]",
      "requestParameters": {
          "bucketName": "",
          "AccessControlPolicy": {
              "AccessControlList": {
                  "Grant": {
                      "Grantee": {
                          "xsi:type": "CanonicalUser",
                          "xmlns:xsi": "http://www.w3.org/2001/XMLSchema-instance",
                          "ID": "d25639fbe9c19cd30a4c0f43fbf00e2d3f96400a9aa8dabfbbebe1906Example"
                       },
                      "Permission": "FULL_CONTROL"
                   }
              },
              "xmlns": "http://s3.amazonaws.com/doc/2006-03-01/",
              "Owner": {
                  "ID": "d25639fbe9c19cd30a4c0f43fbf00e2d3f96400a9aa8dabfbbebe1906Example"
              }
          },
          "host": [
              "s3.us-west-2.amazonaws.com"
          ],
          "acl": [
              ""
          ]
      },
      "responseElements": null,
      "additionalEventData": {
          "SignatureVersion": "SigV4",
          "CipherSuite": "ECDHE-RSA-AES128-SHA",
          "AuthenticationMethod": "AuthHeader"
      },
      "requestID": "BD8798EACDD16751",
      "eventID": "607b9532-1423-41c7-b048-ec2641693c47",
      "eventType": "AwsApiCall",
      "recipientAccountId": "111122223333",
      "tlsDetails": {
            "tlsVersion": "TLSv1.2",
            "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
            "clientProvidedHostHeader": "s3.amazonaws.com"
    }              
    },
    {
      "eventVersion": "1.03",
      "userIdentity": {
          "type": "IAMUser",
          "principalId": "111122223333",
          "arn": "arn:aws:iam::111122223333:user/myUserName",
          "accountId": "111122223333",
          "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
          "userName": "myUserName"
        },
      "eventTime": "2019-02-01T03:26:37Z",
      "eventSource": "s3.amazonaws.com",
      "eventName": "GetBucketVersioning",
      "awsRegion": "us-west-2",
      "sourceIPAddress": "",
      "userAgent": "[]",
      "requestParameters": {
          "host": [
              "s3.us-west-2.amazonaws.com"
          ],
          "bucketName": "amzn-s3-demo-bucket1",
          "versioning": [
              ""
          ]
      },
      "responseElements": null,
      "additionalEventData": {
          "SignatureVersion": "SigV4",
          "CipherSuite": "ECDHE-RSA-AES128-SHA",
          "AuthenticationMethod": "AuthHeader"
    },
      "requestID": "07D681279BD94AED",
      "eventID": "f2b287f3-0df1-4961-a2f4-c4bdfed47657",
      "eventType": "AwsApiCall",
      "recipientAccountId": "111122223333",
      "tlsDetails": {
            "tlsVersion": "TLSv1.2",
            "cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
            "clientProvidedHostHeader": "s3.amazonaws.com"
    }                 
    }
  ]
}
```

# Activation de la journalisation des CloudTrail événements pour les compartiments et les objets S3
<a name="enable-cloudtrail-logging-for-s3"></a>

Vous pouvez utiliser CloudTrail les événements de données pour obtenir des informations sur les requêtes au niveau du compartiment et de l'objet dans Amazon S3. Pour activer les événements de CloudTrail données pour tous vos compartiments ou pour une liste de compartiments spécifiques, vous devez [créer un suivi manuellement dans](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html). CloudTrail 

**Note**  
Le paramètre par défaut pour CloudTrail est de rechercher uniquement les événements de gestion. Assurez-vous que vous avez activé les événements de données pour votre compte.
 Avec un compartiment S3 qui génère une charge de travail élevée, vous pourriez rapidement générer des milliers de journaux en un temps très court. Tenez compte de la durée pendant laquelle vous choisissez d'activer CloudTrail les événements de données pour un compartiment occupé. 

 CloudTrail stocke les journaux d'événements de données Amazon S3 dans un compartiment S3 de votre choix. Envisagez d'utiliser un compartiment séparé Compte AWS pour mieux organiser les événements provenant de plusieurs compartiments que vous pourriez posséder dans un emplacement central afin de faciliter les requêtes et les analyses. AWS Organizations vous permet de créer un Compte AWS compte lié au compte propriétaire du bucket que vous surveillez. Pour plus d'informations, voir [Qu'est-ce que c'est AWS Organizations ?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) dans le *guide de AWS Organizations l'utilisateur*.

Lorsque vous enregistrez des événements de données pour un trail in CloudTrail, vous pouvez choisir d'utiliser des sélecteurs d'événements avancés ou des sélecteurs d'événements de base pour enregistrer les événements de données relatifs aux objets stockés dans des compartiments à usage général. Pour journaliser des événements de données pour des objets stockés dans des compartiments de répertoires, vous devez utiliser des sélecteurs d’événements avancés. Pour plus d'informations, consultez [Logging with AWS CloudTrail for S3 Express One Zone](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-one-zone-logging.html).

Lorsque vous créez un suivi dans la CloudTrail console à l'aide de sélecteurs d'événements avancés, dans la section Événements de données, vous pouvez sélectionner Enregistrer **tous les événements** pour que le **modèle de sélecteur de journal enregistre** tous les événements au niveau de l'objet. Lorsque vous créez un suivi dans la CloudTrail console à l'aide de sélecteurs d'événements de base, dans la section des événements de données, vous pouvez cocher la case **Sélectionner tous les compartiments S3 de votre compte** pour consigner tous les événements au niveau de l'objet. 

**Note**  
Il est recommandé de créer une configuration de cycle de vie pour votre compartiment d’événements de données AWS CloudTrail . Configurez la configuration de cycle de vie pour supprimer périodiquement les fichiers journaux après le délai à l’issue duquel vous estimez devoir les auditer. Cela permet de réduire la quantité de données analysées par Athena pour chaque requête. Pour plus d’informations, consultez [Définition d’une configuration du cycle de vie S3 sur un compartiment](how-to-set-lifecycle-configuration-intro.md).
Pour plus d’informations sur le format de la journalisation, consultez [Journalisation des appels d'API Amazon S3 à l'aide de AWS CloudTrail](cloudtrail-logging.md).
Pour des exemples expliquant comment interroger les CloudTrail journaux, consultez le billet de *blog AWS consacré au Big Data* [Analyze Security, Compliance, and Operational Activity Using AWS CloudTrail et Amazon Athena](https://aws.amazon.com/blogs/big-data/aws-cloudtrail-and-amazon-athena-dive-deep-to-analyze-security-compliance-and-operational-activity/). 

## Activer la journalisation des objets d’un compartiment à l’aide de la console
<a name="enable-cloudtrail-events"></a>

Vous pouvez utiliser la AWS CloudTrail console pour configurer un journal afin CloudTrail de consigner les événements de données relatifs aux objets d'un compartiment S3. CloudTrail prend en charge la journalisation des opérations d'API au niveau des objets Amazon S3`GetObject`, telles que`DeleteObject`, et. `PutObject` Ces événements sont des *événements de données*. 

Par défaut, les CloudTrail sentiers n'enregistrent pas les événements de données, mais vous pouvez configurer les sentiers pour enregistrer les événements de données pour les compartiments S3 que vous spécifiez, ou pour enregistrer les événements de données pour tous les compartiments Amazon S3 de votre. Compte AWS Pour de plus amples informations, veuillez consulter [Journalisation des appels d'API Amazon S3 à l'aide de AWS CloudTrail](cloudtrail-logging.md). 

CloudTrail ne renseigne pas les événements de données dans l'historique des CloudTrail événements. De plus, les actions au niveau du bucket ne sont pas toutes renseignées dans l'historique des CloudTrail événements. Pour plus d'informations sur les actions d'API au niveau du bucket Amazon S3 suivies par CloudTrail journalisation, consultez. [Actions au niveau du compartiment Amazon S3 suivies par journalisation CloudTrail](cloudtrail-logging-s3-info.md#cloudtrail-bucket-level-tracking) Pour plus d'informations sur la manière d'interroger CloudTrail les journaux, consultez l'article du centre de AWS connaissances sur l'[utilisation des modèles de filtre Amazon CloudWatch Logs et d'Amazon Athena pour interroger CloudTrail les](https://aws.amazon.com/premiumsupport/knowledge-center/find-cloudtrail-object-level-events/) journaux.

**Note**  
Si vous enregistrez une activité liée aux données avec AWS CloudTrail, l'enregistrement d'un événement de `DeleteObjects` données Amazon S3 inclut à la fois l'`DeleteObjects`événement et un `DeleteObject` événement pour chaque objet supprimé dans le cadre de cette opération. Vous pouvez exclure les informations des objets supprimés de l’enregistrement de l’événement. Pour plus d’informations, consultez [Exemples de filtre des événements de données à l’aide de l’AWS CLI](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/filtering-data-events.html#filtering-data-events-deleteobjects) dans le *Guide de l’utilisateur AWS CloudTrail *.

Pour activer la journalisation des événements de CloudTrail données pour les objets d'un compartiment S3 à usage général ou d'un compartiment de répertoire S3, consultez la section [Création d'un journal avec la CloudTrail console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time) dans le *guide de AWS CloudTrail l'utilisateur*.

Pour plus d’informations sur la journalisation des objets d’un compartiment de répertoires S3, consultez [Journalisation avec AWS CloudTrail des compartiments de répertoire](s3-express-one-zone-logging.md).

Pour plus d'informations sur l'utilisation de la CloudTrail console pour configurer un journal pour consigner les événements de données S3, consultez la section [Journalisation des événements de données](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html) dans le *guide de AWS CloudTrail l'utilisateur*. 

Pour désactiver l'enregistrement CloudTrail des événements de données pour les objets d'un compartiment S3, consultez la section [Suppression d'une trace à l'aide de la CloudTrail console](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-delete-trails-console.html) dans le *guide de AWS CloudTrail l'utilisateur*. 

**Important**  
Des frais supplémentaires sont facturés pour les événements de données. Pour en savoir plus, consultez [Tarification de AWS CloudTrail](https://aws.amazon.com/cloudtrail/pricing/). 

Pour plus d'informations sur la CloudTrail journalisation à l'aide de compartiments S3, consultez les rubriques suivantes :
+ [Création d’un compartiment à usage général](create-bucket-overview.md)
+ [Affichage des propriétés d’un compartiment à usage général S3](view-bucket-properties.md)
+ [Journalisation des appels d'API Amazon S3 à l'aide de AWS CloudTrail](cloudtrail-logging.md)
+ [Utilisation des fichiers CloudTrail journaux](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html) dans le *guide de AWS CloudTrail l'utilisateur*

# Identification des demandes Amazon S3 à l'aide CloudTrail
<a name="cloudtrail-request-identification"></a>

Dans Amazon S3, vous pouvez identifier les demandes à l'aide d'un journal d' AWS CloudTrail événements. AWS CloudTrail est la méthode préférée pour identifier les demandes Amazon S3, mais si vous utilisez les journaux d'accès aux serveurs Amazon S3, consultez[Utilisation des journaux d’accès au serveur Amazon S3 pour identifier des demandes](using-s3-access-logs-to-identify-requests.md).

**Topics**
+ [Identification des demandes adressées à Amazon S3 dans un CloudTrail journal](#identify-S3-requests-using-in-CTlog)
+ [Identification des demandes Amazon S3 Signature version 2 à l'aide de CloudTrail](#cloudtrail-identification-sigv2-requests)
+ [Identification de l'accès aux objets S3 en utilisant CloudTrail](#cloudtrail-identification-object-access)

## Identification des demandes adressées à Amazon S3 dans un CloudTrail journal
<a name="identify-S3-requests-using-in-CTlog"></a>

Une fois que vous avez configuré CloudTrail la transmission d'événements vers un compartiment, vous devriez commencer à voir des objets se diriger vers votre compartiment de destination sur la console Amazon S3. Ils se présentent dans le format suivant : 

`s3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/Region/yyyy/mm/dd` 

Les événements enregistrés par CloudTrail sont stockés sous forme d'objets gzipped JSON compressés dans votre compartiment S3. Pour rechercher efficacement les demandes, vous devez utiliser un service tel qu'Amazon Athena pour indexer et interroger les CloudTrail journaux. 

*Pour plus d'informations sur Athena CloudTrail et Athena, consultez la section [Création de la table pour les AWS CloudTrail journaux dans Athena à l'aide de la projection de partitions dans le guide de l'utilisateur](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html#create-cloudtrail-table-partition-projection) d'Amazon Athena.*

## Identification des demandes Amazon S3 Signature version 2 à l'aide de CloudTrail
<a name="cloudtrail-identification-sigv2-requests"></a>

Vous pouvez utiliser un journal d' CloudTrail événements pour identifier la version de signature d'API utilisée pour signer une demande dans Amazon S3. Cette fonctionnalité est importante étant donné que la prise en charge de Signature Version 2 va être désactivée (obsolète). Après cela, Amazon S3 n’acceptera plus les demandes utilisant Signature Version 2, et toutes les demandes devront utiliser le processus de signature *Signature Version 4*. 

Nous vous recommandons *vivement* de l'utiliser CloudTrail pour déterminer si l'un de vos flux de travail utilise la signature Signature version 2. Pour y remédier, mettez à niveau vos bibliothèques et votre code afin qu’ils utilisent plutôt Signature Version 4 afin d’éviter tout impact sur votre entreprise. 

Pour plus d'informations, consultez [Annonce : AWS CloudTrail pour Amazon S3 ajoute de nouveaux champs pour un audit de sécurité amélioré](https://forums.aws.amazon.com/ann.jspa?annID=6551) dans AWS re:Post.

**Note**  
CloudTrail les événements pour Amazon S3 incluent la version de signature dans les détails de la demande sous le nom de clé « »`additionalEventData`. Pour trouver la version de signature des demandes effectuées pour des objets dans Amazon S3`GET`, tels que,`PUT`, et des `DELETE` demandes, vous devez activer CloudTrail les événements de données. (Cette fonction est désactivée par défaut).

AWS CloudTrail est la méthode préférée pour identifier les demandes de signature version 2. Si vous utilisez les journaux d’accès au serveur Amazon S3, consultez [Identification des demandes Signature Version 2 à l’aide des journaux d’accès Amazon S3](using-s3-access-logs-to-identify-requests.md#using-s3-access-logs-to-identify-sigv2-requests).

**Topics**
+ [Exemples de requête Athena pour l’identification de demandes Amazon S3 Signature Version 2](#ct-examples-identify-sigv2-requests)
+ [Partitionnement des données Signature Version 2](#partitioning-sigv2-data)

### Exemples de requête Athena pour l’identification de demandes Amazon S3 Signature Version 2
<a name="ct-examples-identify-sigv2-requests"></a>

**Example — sélectionnez tous les événements de la version 2 de la signature et imprimez uniquement `EventTime`, `S3_Action`, `Request_Parameters`, `Region`, `SourceIP`, et `UserAgent`**  
Dans la requête Athena suivante, remplacez *`s3_cloudtrail_events_db.cloudtrail_table`* par vos coordonnées Athena, et augmentez ou supprimez la limite selon les besoins.   

```
SELECT EventTime, EventName as S3_Action, requestParameters as Request_Parameters, awsregion as AWS_Region, sourceipaddress as Source_IP, useragent as User_Agent
FROM s3_cloudtrail_events_db.cloudtrail_table
WHERE eventsource='s3.amazonaws.com'
AND json_extract_scalar(additionalEventData, '$.SignatureVersion')='SigV2'
LIMIT 10;
```

**Example – Sélectionner tous les demandeurs qui envoient du trafic Signature Version 2**  
   

```
SELECT useridentity.arn, Count(requestid) as RequestCount
FROM s3_cloudtrail_events_db.cloudtrail_table
WHERE eventsource='s3.amazonaws.com'
    and json_extract_scalar(additionalEventData, '$.SignatureVersion')='SigV2'
Group by useridentity.arn
```

### Partitionnement des données Signature Version 2
<a name="partitioning-sigv2-data"></a>

Si vous devez interroger un large volume de données, vous pouvez réduire les coûts et l’exécution d’Athena en créant une table partitionnée. 

Pour ce faire, créez une nouvelle table avec des partitions, comme suit.

```
   CREATE EXTERNAL TABLE s3_cloudtrail_events_db.cloudtrail_table_partitioned(
        eventversion STRING,
        userIdentity STRUCT<
            type:STRING,
            principalid:STRING,
            arn:STRING,
            accountid:STRING,
            invokedby:STRING,
            accesskeyid:STRING,
            userName:STRING,
         sessioncontext:STRUCT<
                    attributes:STRUCT< 
                    mfaauthenticated:STRING,
                    creationdate:STRING>,
                    sessionIssuer:STRUCT<
                    type:STRING,
                    principalId:STRING,
                    arn:STRING,
                    accountId:STRING,
                    userName:STRING>
                >
             >,
        eventTime STRING,
        eventSource STRING,
        eventName STRING,
        awsRegion STRING,
        sourceIpAddress STRING,
        userAgent STRING,
        errorCode STRING,
        errorMessage STRING,
        requestParameters STRING,
        responseElements STRING,
        additionalEventData STRING,
        requestId STRING,
        eventId STRING,
        resources ARRAY<STRUCT<ARN:STRING,accountId: STRING,type:STRING>>, 
        eventType STRING,
        apiVersion STRING,
        readOnly STRING,
        recipientAccountId STRING,
        serviceEventDetails STRING,
        sharedEventID STRING,
        vpcEndpointId STRING
    )   
    PARTITIONED BY (region string, year string, month string, day string)
    ROW FORMAT SERDE 'org.apache.hadoop.hive.ql.io.orc.OrcSerde' 
    STORED AS INPUTFORMAT 'org.apache.hadoop.hive.ql.io.SymlinkTextInputFormat'
    OUTPUTFORMAT 'org.apache.hadoop.hive.ql.io.HiveIgnoreKeyTextOutputFormat'
    LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/';
```

Ensuite, créez les partitions individuellement. Vous ne pouvez pas obtenir des résultats à partir de dates que vous n’avez pas créées. 

```
ALTER TABLE s3_cloudtrail_events_db.cloudtrail_table_partitioned ADD
    PARTITION (region= 'us-east-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/us-east-1/2019/02/19/'
    PARTITION (region= 'us-west-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/us-west-1/2019/02/19/'
    PARTITION (region= 'us-west-2', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/us-west-2/2019/02/19/'
    PARTITION (region= 'ap-southeast-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/ap-southeast-1/2019/02/19/'
    PARTITION (region= 'ap-southeast-2', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/ap-southeast-2/2019/02/19/'
    PARTITION (region= 'ap-northeast-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/ap-northeast-1/2019/02/19/'
    PARTITION (region= 'eu-west-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/eu-west-1/2019/02/19/'
    PARTITION (region= 'sa-east-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/sa-east-1/2019/02/19/';
```

Vous pouvez ensuite effectuer la demande en fonction de ces partitions. Vous n’avez pas besoin de charger le compartiment entier. 

```
SELECT useridentity.arn,
Count(requestid) AS RequestCount
FROM s3_cloudtrail_events_db.cloudtrail_table_partitioned
WHERE eventsource='s3.amazonaws.com'
AND json_extract_scalar(additionalEventData, '$.SignatureVersion')='SigV2'
AND region='us-east-1'
AND year='2019'
AND month='02'
AND day='19'
Group by useridentity.arn
```

## Identification de l'accès aux objets S3 en utilisant CloudTrail
<a name="cloudtrail-identification-object-access"></a>

Vous pouvez utiliser vos journaux d' AWS CloudTrail événements pour identifier les demandes d'accès aux objets Amazon S3 relatives à des événements de données tels que `GetObject``DeleteObject`, et`PutObject`, et découvrir des informations supplémentaires sur ces demandes.

**Note**  
Si vous enregistrez une activité liée aux données avec AWS CloudTrail, l'enregistrement d'un événement de `DeleteObjects` données Amazon S3 inclut à la fois l'`DeleteObjects`événement et un `DeleteObject` événement pour chaque objet supprimé dans le cadre de cette opération. Vous pouvez exclure les informations des objets supprimés de l’enregistrement de l’événement. Pour plus d’informations, consultez [Exemples de filtre des événements de données à l’aide de l’AWS CLI](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/filtering-data-events.html#filtering-data-events-deleteobjects) dans le *Guide de l’utilisateur AWS CloudTrail *.

L'exemple suivant montre comment obtenir toutes les demandes `PUT` d'objets pour Amazon S3 à partir d'un journal d' AWS CloudTrail événements. 

**Topics**
+ [Exemples de requêtes Athena pour identifier les demandes d’accès aux objets Amazon S3](#ct-examples-identify-object-access-requests)

### Exemples de requêtes Athena pour identifier les demandes d’accès aux objets Amazon S3
<a name="ct-examples-identify-object-access-requests"></a>

Dans les exemples de requêtes Athena suivants, remplacez *`s3_cloudtrail_events_db.cloudtrail_table`* par vos coordonnées Athena et modifiez la plage de dates si nécessaire. 

**Example — sélectionnez tous les événements pour lesquels il existe des demandes d’accès à des objets `PUT`, et imprimez uniquement `EventTime`, `EventSource`, `SourceIP`, `UserAgent`, `BucketName`, `object` et `UserARN`**  

```
SELECT
  eventTime, 
  eventName, 
  eventSource, 
  sourceIpAddress, 
  userAgent, 
  json_extract_scalar(requestParameters, '$.bucketName') as bucketName, 
  json_extract_scalar(requestParameters, '$.key') as object,
  userIdentity.arn as userArn
FROM
  s3_cloudtrail_events_db.cloudtrail_table
WHERE
  eventName = 'PutObject'
  AND eventTime BETWEEN '2019-07-05T00:00:00Z' and '2019-07-06T00:00:00Z'
```

**Example — sélectionnez tous les événements pour lesquels il existe des demandes d'accès à des objets `GET`, et imprimez uniquement `EventTime`, `EventSource`, `SourceIP`, `UserAgent`, `BucketName`, `object` et `UserARN`**  

```
SELECT
  eventTime, 
  eventName, 
  eventSource, 
  sourceIpAddress, 
  userAgent, 
  json_extract_scalar(requestParameters, '$.bucketName') as bucketName, 
  json_extract_scalar(requestParameters, '$.key') as object,
  userIdentity.arn as userArn
FROM
  s3_cloudtrail_events_db.cloudtrail_table
WHERE
  eventName = 'GetObject'
  AND eventTime BETWEEN '2019-07-05T00:00:00Z' and '2019-07-06T00:00:00Z'
```

**Example — sélectionnez tous les événements des demandeurs anonymes dans un compartiment pendant une certaine période et imprimez seulement `EventTime`, `EventName`, `EventSource`, `SourceIP`, `UserAgent`, `BucketName`, `UserARN` et `AccountID`**  

```
SELECT
  eventTime, 
  eventName, 
  eventSource, 
  sourceIpAddress, 
  userAgent, 
  json_extract_scalar(requestParameters, '$.bucketName') as bucketName, 
  userIdentity.arn as userArn,
  userIdentity.accountId
FROM
  s3_cloudtrail_events_db.cloudtrail_table
WHERE
  userIdentity.accountId = 'anonymous'
  AND eventTime BETWEEN '2019-07-05T00:00:00Z' and '2019-07-06T00:00:00Z'
```

**Example — identifiez toutes les demandes qui ont nécessité un ACL pour l’autorisation.**  
 L’exemple de requête Amazon Athena suivant montre comment identifier toutes les requêtes de vos compartiments S3 qui ont nécessité une liste de contrôle d’accès (ACL) pour l’autorisation. Si la requête a nécessité une ACL pour l’autorisation, la valeur `aclRequired` dans `additionalEventData` est `Yes`. Si la réponse ACLs est négative, elle n'`aclRequired`est pas présente. Vous pouvez utiliser ces informations pour migrer ces autorisations ACL vers les stratégies de compartiment appropriées. Après avoir créé ces politiques de compartiment, vous pouvez les désactiver ACLs pour ces compartiments. Pour plus d'informations sur la désactivation ACLs, consultez[Conditions préalables à la désactivation ACLs](object-ownership-migrating-acls-prerequisites.md).  

```
SELECT
  eventTime, 
  eventName, 
  eventSource, 
  sourceIpAddress, 
  userAgent, 
  userIdentity.arn as userArn,
  json_extract_scalar(requestParameters, '$.bucketName') as bucketName,
  json_extract_scalar(requestParameters, '$.key') as object,
  json_extract_scalar(additionalEventData, '$.aclRequired') as aclRequired
FROM 
  s3_cloudtrail_events_db.cloudtrail_table
WHERE
  json_extract_scalar(additionalEventData, '$.aclRequired') = 'Yes'
  AND eventTime BETWEEN '2022-05-10T00:00:00Z' and '2022-08-10T00:00:00Z'
```

**Note**  
Ces exemples de requêtes sont également utiles pour surveiller la sécurité. Vous pouvez vérifier les résultats pour les appels `PutObject` ou `GetObject` depuis des adresses IP ou des demandeurs inattendus ou non autorisés et pour identifier les demandes anonymes adressées à vos compartiments.
 Cette requête ne récupère d’informations qu’à partir du moment où l’enregistrement a été activé. 

Si vous utilisez les journaux d’accès au serveur Amazon S3, consultez [Identification des demandes d’accès aux objets à l’aide des journaux d’accès Amazon S3](using-s3-access-logs-to-identify-requests.md#using-s3-access-logs-to-identify-objects-access).