Monitoraggio della crittografia predefinita con AWS CloudTrail e Amazon EventBridge - Amazon Simple Storage Service

Monitoraggio della crittografia predefinita con AWS CloudTrail e Amazon EventBridge

Importante

Amazon S3 ora applica la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) come livello di base della crittografia per ogni bucket di Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato della crittografia automatica per la configurazione della crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei log di AWS CloudTrail, in Inventario S3, in S3 Storage Lens, nella console di Amazon S3 e come intestazione di risposta API Amazon S3 aggiuntiva nella AWS Command Line Interface e negli SDK AWS. Per ulteriori informazioni, consulta Domande frequenti sulla crittografia predefinita.

È possibile tenere traccia le richieste di configurazione della crittografia predefinita per i bucket Amazon S3 mediante gli eventi AWS CloudTrail. I seguenti nomi di eventi API vengono utilizzati nei registri di CloudTrail:

  • PutBucketEncryption

  • GetBucketEncryption

  • DeleteBucketEncryption

Puoi anche creare regole EventBridge per l'abbinamento degli eventi CloudTrail per queste chiamate API. Per ulteriori informazioni sugli eventi CloudTrail, consulta Abilitazione della registrazione per gli oggetti in un bucket utilizzando la console. Per ulteriori informazioni sugli eventi EventBridge, consulta la sezione relativa agli eventi di Servizi AWS.

Puoi utilizzare i registri CloudTrail per le azioni Amazon S3 a livello di oggetto per monitorare le richieste PUT e POST ad Amazon S3. È possibile utilizzare queste azioni per verificare se la crittografia predefinita viene utilizzata per crittografare gli oggetti quando le richieste PUT in arrivo non dispongono di intestazioni di crittografia.

Quando Amazon S3 esegue la crittografia di un oggetto in base alle impostazioni della crittografia predefinita, il log include uno dei seguenti campi come coppia nome/valore: "SSEApplied":"Default_SSE_S3", "SSEApplied":"Default_SSE_KMS" o "SSEApplied":"Default_DSSE_KMS".

Quando Amazon S3 esegue la crittografia di un oggetto in base alle intestazioni di crittografia PUT, il log include uno dei campi seguenti come coppia nome/valore: "SSEApplied":"SSE_S3", "SSEApplied":"SSE_KMS", "SSEApplied":"DSSE_KMS" o "SSEApplied":"SSE_C".

Per i caricamenti in più parti, queste informazioni sono incluse nelle richieste dell'operazione API InitiateMultipartUpload. Per ulteriori informazioni sull'utilizzo di CloudTrail e CloudWatch, consulta Registrazione e monitoraggio in Amazon S3.