Memantau enkripsi default dengan AWS CloudTrail dan Amazon EventBridge - Amazon Simple Storage Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memantau enkripsi default dengan AWS CloudTrail dan Amazon EventBridge

penting

Amazon S3 sudah menerapkan enkripsi di sisi server dengan kunci terkelola Amazon S3 (SSE-S3) sebagai tingkat dasar enkripsi bagi setiap bucket di Amazon S3. Mulai 5 Januari 2023, semua unggahan objek baru ke Amazon S3 secara otomatis akan dienkripsi tanpa biaya tambahan dan tidak akan berdampak pada kinerja. Status enkripsi otomatis untuk konfigurasi enkripsi default bucket S3 dan untuk unggahan objek baru tersedia di AWS CloudTrail log, S3 Inventory, S3 Storage Lens, konsol Amazon S3, dan sebagai header respons API Amazon S3 tambahan di dan. AWS Command Line Interface AWS SDKs Untuk informasi selengkapnya, lihat FAQ enkripsi default.

Anda dapat melacak permintaan konfigurasi enkripsi default untuk bucket Amazon S3 menggunakan peristiwa AWS CloudTrail . Nama peristiwa API berikut digunakan dalam CloudTrail log:

  • PutBucketEncryption

  • GetBucketEncryption

  • DeleteBucketEncryption

Anda juga dapat membuat EventBridge aturan untuk mencocokkan CloudTrail peristiwa untuk panggilan API ini. Untuk informasi selengkapnya tentang CloudTrail acara, lihatMengaktifkan pencatatan untuk objek dalam bucket menggunakan konsol tersebut. Untuk informasi selengkapnya tentang EventBridge acara, lihat Acara dari Layanan AWS.

Anda dapat menggunakan CloudTrail log untuk tindakan Amazon S3 tingkat objek untuk PUT melacak POST dan meminta ke Amazon S3. Anda dapat menggunakan tindakan ini untuk memverifikasi apakah enkripsi default digunakan untuk mengenkripsi objek saat permintaan PUT yang masuk tidak memiliki header enkripsi.

Saat Amazon S3 mengenkripsi objek menggunakan pengaturan enkripsi default, log mencakup salah satu bidang berikut sebagai pasangan nama-nilai: "SSEApplied":"Default_SSE_S3", "SSEApplied":"Default_SSE_KMS", atau "SSEApplied":"Default_DSSE_KMS".

Saat Amazon S3 mengenkripsi objek menggunakan header enkripsi PUT, log mencakup salah satu bidang berikut sebagai pasangan nama-nilai: "SSEApplied":"SSE_S3", "SSEApplied":"SSE_KMS", "SSEApplied":"DSSE_KMS", atau "SSEApplied":"SSE_C".

Untuk pengunggahan multibagian, informasi ini disertakan dalam permintaan operasi InitiateMultipartUpload API Anda. Untuk informasi lebih lanjut tentang menggunakan CloudTrail dan CloudWatch, lihatPencatatan log dan pemantauan di Amazon S3.