Peristiwa data Amazon S3 di CloudTrail Acara manajemen Amazon S3 di CloudTrail Mengidentifikasi permintaan Amazon S3 Tindakan tingkat akun Amazon S3 dilacak dengan pencatatan CloudTrail Tindakan tingkat ember Amazon S3 yang dilacak dengan logging CloudTrail Tindakan tingkat ember Amazon S3 Express One Zone (titik akhir API Regional) yang dilacak dengan pencatatan CloudTrail Tindakan tingkat objek Amazon S3 dalam skenario lintas akun

Acara Amazon S3 CloudTrail

penting

Amazon S3 sudah menerapkan enkripsi di sisi server dengan kunci terkelola Amazon S3 (SSE-S3) sebagai tingkat dasar enkripsi bagi setiap bucket di Amazon S3. Mulai 5 Januari 2023, semua unggahan objek baru ke Amazon S3 secara otomatis akan dienkripsi tanpa biaya tambahan dan tidak akan berdampak pada kinerja. Status enkripsi otomatis untuk konfigurasi enkripsi default bucket S3 dan untuk unggahan objek baru tersedia di AWS CloudTrail log, S3 Inventory, S3 Storage Lens, konsol Amazon S3, dan sebagai header respons API Amazon S3 tambahan di dan. AWS Command Line Interface AWS SDKs Untuk informasi selengkapnya, lihat FAQ enkripsi default.

Bagian ini memberikan informasi tentang peristiwa yang dicatat oleh S3. CloudTrail

Peristiwa data Amazon S3 di CloudTrail

Peristiwa data memberikan informasi tentang operasi sumber daya yang dilakukan pada atau di sumber daya (misalnya, membaca atau menulis ke objek Amazon S3). Ini juga dikenal sebagai operasi bidang data. Peristiwa data seringkali merupakan aktivitas volume tinggi. Secara default, CloudTrail tidak mencatat peristiwa data. Riwayat CloudTrail peristiwa tidak merekam peristiwa data.

Biaya tambahan berlaku untuk peristiwa data. Untuk informasi lebih lanjut tentang harga CloudTrail, lihat Harga AWS CloudTrail.

Anda dapat mencatat peristiwa data untuk jenis sumber daya Amazon S3 menggunakan CloudTrail konsol AWS CLI, atau operasi CloudTrail API. Untuk informasi selengkapnya tentang cara mencatat peristiwa data, lihat Mencatat peristiwa data dengan AWS Management Console dan Logging peristiwa data dengan AWS Command Line Interface di Panduan AWS CloudTrail Pengguna.

Tabel berikut mencantumkan jenis sumber daya Amazon S3 yang dapat Anda log peristiwa data. Kolom tipe peristiwa data (konsol) menunjukkan nilai yang akan dipilih dari daftar tipe peristiwa Data di CloudTrail konsol. Kolom nilai resources.type menunjukkan resources.type nilai, yang akan Anda tentukan saat mengonfigurasi penyeleksi acara lanjutan menggunakan or. AWS CLI CloudTrail APIs CloudTrailKolom Data yang APIs dicatat ke menampilkan panggilan API yang dicatat CloudTrail untuk jenis sumber daya.

Jenis peristiwa data (konsol)	nilai resources.type	Data APIs masuk ke CloudTrail
S3	`AWS::S3::Object`	AbortMultipartUpload CompleteMultipartUpload CopyObject CreateMultipartUpload DeleteObject DeleteObjectTagging DeleteObjects GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging GetObjectTorrent HeadObject HeadBucket ListObjectVersions ListObjects ListParts PutObject PutObjectAcl PutObjectLegalHold PutObjectRetention PutObjectTagging RestoreObject SelectObjectContent UploadPart UploadPartCopy
S3 Express Satu Zona	`AWS::S3Express::Object`	AbortMultipartUpload CompleteMultipartUpload CreateSession CopyObject CreateMultipartUpload DeleteObject DeleteObjects GetObject GetObjectAttributes HeadBucket HeadObject ListObjectsV2 ListParts PutObject UploadPart UploadPartCopy
Titik Akses S3	`AWS::S3::Access Point`	AbortMultipartUpload CompleteMultipartUpload CopyObject (hanya salinan wilayah yang sama) CreateMultipartUpload DeleteObject DeleteObjectTagging GetBucketAcl GetBucketCors GetBucketLocation GetBucketNotificationConfiguration GetBucketPolicy GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging HeadBucket HeadObject ListObjects ListObjectsV2 ListObjectVersions ListParts Presign PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart UploadPartCopy (hanya salinan wilayah yang sama)
S3 Object Lambda	`AWS::S3ObjectLambda::AccessPoint`	AbortMultipartUpload CompleteMultipartUpload CopyObject (hanya salinan wilayah yang sama) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectAcl GetObjectLegalHold GetObjectRetention GetObjectTagging HeadObject ListObjects ListObjectVersions ListParts PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart WriteGetObjectResponse
Outposts S3	`AWS::S3Outposts::Object`	AbortMultipartUpload CompleteMultipartUpload CopyObject (hanya salinan wilayah yang sama) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectTagging HeadObject ListObjects ListObjectsV2 ListParts PutObject PutObjectTagging UploadPart UploadPartCopy

Anda dapat mengonfigurasi pemilih acara lanjutan untuk memfilter pada eventNamereadOnly,, dan resources.ARN bidang untuk mencatat hanya peristiwa yang penting bagi Anda. Untuk informasi selengkapnya tentang bidang ini, lihat AdvancedFieldSelectordi Referensi AWS CloudTrail API.

Acara manajemen Amazon S3 di CloudTrail

Amazon S3 mencatat semua operasi pesawat kontrol sebagai peristiwa manajemen. Untuk informasi selengkapnya tentang operasi API S3, lihat Referensi API Amazon S3.

Cara CloudTrail menangkap permintaan yang dibuat ke Amazon S3

Secara default, CloudTrail mencatat panggilan API tingkat ember S3 yang dibuat dalam 90 hari terakhir, tetapi tidak mencatat permintaan yang dibuat ke objek. Panggilan tingkat bucket mencakup peristiwa seperti CreateBucket, DeleteBucket, PutBucketLifecycle, PutBucketPolicy, dan seterusnya. Anda dapat melihat peristiwa tingkat ember di konsol. CloudTrail Namun, Anda tidak dapat melihat peristiwa data (panggilan tingkat objek Amazon S3) di sana—Anda harus mengurai atau mengajukan kueri log CloudTrail untuk itu.

Jika Anda mencatat aktivitas data dengan AWS CloudTrail, catatan peristiwa untuk peristiwa DeleteObjects data Amazon S3 mencakup peristiwa dan DeleteObjects DeleteObject peristiwa untuk setiap objek yang dihapus sebagai bagian dari operasi tersebut. Anda dapat mengecualikan visibilitas tambahan tentang objek yang dihapus dari catatan peristiwa. Untuk informasi selengkapnya, lihat AWS CLI contoh untuk memfilter peristiwa data di Panduan AWS CloudTrail Pengguna.

Tindakan tingkat akun Amazon S3 dilacak dengan pencatatan CloudTrail

CloudTrail mencatat tindakan tingkat akun. Catatan Amazon S3 ditulis bersama dengan Layanan AWS catatan lain dalam file log. CloudTrail menentukan kapan harus membuat dan menulis ke file baru berdasarkan periode waktu dan ukuran file.

Tabel di bagian ini mencantumkan tindakan tingkat akun Amazon S3 yang didukung untuk pencatatan. CloudTrail

Tindakan API tingkat akun Amazon S3 yang dilacak dengan CloudTrail logging muncul sebagai nama peristiwa berikut. Nama CloudTrail acara berbeda dari nama tindakan API. Misalnya, DeletePublicAccessBlock adalah DeleteAccountPublicAccessBlock.

Tindakan tingkat ember Amazon S3 yang dilacak dengan logging CloudTrail

Secara default, CloudTrail mencatat tindakan tingkat ember untuk bucket tujuan umum. Catatan Amazon S3 ditulis bersama dengan catatan AWS layanan lain dalam file log. CloudTrail menentukan kapan harus membuat dan menulis ke file baru berdasarkan periode waktu dan ukuran file.

Bagian ini mencantumkan tindakan tingkat ember Amazon S3 yang didukung untuk pencatatan oleh. CloudTrail

Tindakan API tingkat ember Amazon S3 yang dilacak dengan CloudTrail logging muncul sebagai nama peristiwa berikut. Dalam beberapa kasus, nama CloudTrail acara berbeda dari nama tindakan API. Misalnya, PutBucketLifecycleConfiguration adalahPutBucketLifecycle.

Selain operasi API ini, Anda juga dapat menggunakan tindakan tingkat objek OPTIONS objek. Tindakan ini diperlakukan seperti tindakan tingkat ember dalam CloudTrail logging karena tindakan memeriksa konfigurasi CORS bucket.

Tindakan tingkat ember Amazon S3 Express One Zone (titik akhir API Regional) yang dilacak dengan pencatatan CloudTrail

Secara default, CloudTrail mencatat tindakan tingkat ember untuk bucket direktori sebagai peristiwa manajemen. Acara eventsource untuk CloudTrail manajemen untuk S3 Express One Zone adalahs3express.amazonaws.com.

Operasi API titik akhir Regional berikut ini dicatat. CloudTrail

Untuk informasi selengkapnya, lihat Logging with AWS CloudTrail untuk S3 Express One Zone

Tindakan tingkat objek Amazon S3 dalam skenario lintas akun

Berikut ini adalah kasus penggunaan khusus yang melibatkan panggilan API tingkat objek dalam skenario lintas akun dan bagaimana CloudTrail log dilaporkan. CloudTrail mengirimkan log ke pemohon (akun yang melakukan panggilan API), kecuali dalam beberapa kasus akses ditolak di mana entri log disunting atau dihilangkan. Saat mengatur akses lintas akun, pertimbangkan contoh di bagian ini.

catatan

Contoh mengasumsikan bahwa CloudTrail log dikonfigurasi dengan tepat.

Contoh 1: CloudTrail mengirimkan log ke pemilik bucket

CloudTrail mengirimkan log ke pemilik bucket meskipun pemilik bucket tidak memiliki izin untuk operasi API objek yang sama. Pertimbangkan skenario lintas akun berikut ini:

Akun A adalah pemilik bucket.
Akun-B (peminta) mencoba mengakses objek dalam bucket tersebut.
Akun-C memiliki objek. Akun C mungkin atau mungkin bukan akun yang sama dengan Akun A.

catatan

CloudTrail selalu mengirimkan log API tingkat objek ke pemohon (Akun B). Selain itu, CloudTrail juga mengirimkan log yang sama ke pemilik bucket (Akun A) bahkan ketika pemilik bucket tidak memiliki objek (Akun C) atau memiliki izin untuk operasi API yang sama pada objek tersebut.

Contoh 2: CloudTrail tidak memperbanyak alamat email yang digunakan dalam pengaturan objek ACLs

Pertimbangkan skenario lintas akun berikut ini:

Akun A adalah pemilik bucket.
Akun B (pemohon) mengirimkan permintaan untuk menetapkan pemberian izin ACL objek dengan menggunakan alamat surel. Untuk informasi lebih lanjut tentang ACLs, lihatGambaran umum daftar kontrol akses (ACL).

Pemohon mendapatkan log beserta informasi surel. Namun, pemilik bucket — jika mereka memenuhi syarat untuk menerima log, seperti pada contoh 1—mendapatkan log yang melaporkan peristiwa tersebut CloudTrail . Namun, pemilik bucket tidak mendapatkan konfigurasi ACL, kustomnya alamat email penerima izin dan izinnya. Satu-satunya informasi yang diberitahukan oleh log kepada pemilik bucket adalah bahwa panggilan API ACL dilakukan oleh Akun-B.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Logging dengan CloudTrail

Contoh file log