Eventi di dati Amazon S3 in CloudTrail Eventi di gestione di Amazon S3 in CloudTrail Identificazione delle richieste Amazon S3 Operazioni a livello di account Amazon S3 monitorate tramite i log di CloudTrail Operazioni a livello di bucket Amazon S3 monitorate tramite i log di CloudTrail Azioni a livello di bucket di Amazon S3 Express One Zone (endpoint API regionale) tracciate dal log di CloudTrail Azioni a livello di oggetto Amazon S3 in scenari multi-account

Eventi di Amazon S3 CloudTrail

Importante

Amazon S3 ora applica la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) come livello di base della crittografia per ogni bucket di Amazon S3. A partire dal 5 gennaio 2023, tutti i caricamenti di nuovi oggetti su Amazon S3 vengono crittografati automaticamente senza costi aggiuntivi e senza alcun impatto sulle prestazioni. Lo stato della crittografia automatica per la configurazione della crittografia predefinita del bucket S3 e per il caricamento di nuovi oggetti è disponibile nei log di AWS CloudTrail, in Inventario S3, in S3 Storage Lens, nella console di Amazon S3 e come intestazione di risposta API Amazon S3 aggiuntiva nella AWS Command Line Interface e negli SDK AWS. Per ulteriori informazioni, consulta Domande frequenti sulla crittografia predefinita.

Questa sezione fornisce informazioni sugli eventi che S3 registra in CloudTrail.

Eventi di dati Amazon S3 in CloudTrail

Gli eventi di dati forniscono informazioni sulle operazioni delle risorse eseguite su o in una risorsa (ad esempio, lettura o scrittura su un oggetto Amazon S3). Queste operazioni sono definite anche operazioni del piano dei dati. Gli eventi di dati sono spesso attività che interessano volumi elevati di dati. Per impostazione predefinita, CloudTrail non registra gli eventi di dati. La cronologia degli eventi di CloudTrail non registra gli eventi di dati.

Per gli eventi di dati sono previsti costi aggiuntivi. Per maggiori informazioni sui prezzi di CloudTrail, consultare Prezzi di AWS CloudTrail.

È possibile registrare eventi di dati per i tipi di risorse Amazon S3 utilizzando la console CloudTrail, AWS CLIo le operazioni API CloudTrail. Per ulteriori informazioni su come registrare gli eventi di dati, consulta Registrazione di eventi di dati con Console di gestione AWS e Registrazione di eventi di dati con AWS Command Line Interface nella Guida all'utente AWS CloudTrail.

La tabella seguente elenca i tipi di risorse Amazon S3 per i quali è possibile registrare eventi di dati. La colonna Tipo di evento dati (console) mostra il valore da scegli dall'elenco Tipo di evento dati sulla console di CloudTrail. La colonna resources.type value mostra il valore resources.type, da specificare quando si configurano selettori di eventi avanzati utilizzando le API AWS CLI o CloudTrail. La colonna Dati API registrati su CloudTrail mostra le chiamate API registrate su CloudTrail per il tipo di risorsa.

Tipo di evento di dati (console)	Valore resources.type	Dati API registrati in CloudTrail
S3	`AWS::S3::Object`	AbortMultipartUpload CompleteMultipartUpload CopyObject CreateMultipartUpload DeleteObject DeleteObjectTagging DeleteObjects GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging GetObjectTorrent HeadObject HeadBucket ListObjectVersions ListObjects ListParts PutObject PutObjectAcl PutObjectLegalHold PutObjectRetention PutObjectTagging RestoreObject SelectObjectContent UploadPart UploadPartCopy
S3 Express One Zone	`AWS::S3Express::Object`	AbortMultipartUpload CompleteMultipartUpload CreateSession CopyObject CreateMultipartUpload DeleteObject DeleteObjects GetObject GetObjectAttributes HeadBucket HeadObject ListObjectsV2 ListParts PutObject UploadPart UploadPartCopy
Punto di accesso S	`AWS::S3::Access Point`	AbortMultipartUpload CompleteMultipartUpload CopyObject (solo copie per la stessa Regione) CreateMultipartUpload DeleteObject DeleteObjectTagging GetBucketAcl GetBucketCors GetBucketLocation GetBucketNotificationConfiguration GetBucketPolicy GetObject GetObjectAcl GetObjectAttributes GetObjectLegalHold GetObjectRetention GetObjectTagging HeadBucket HeadObject ListObjects ListObjectsV2 ListObjectVersions ListParts Presign PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart UploadPartCopy (solo copie nella stessa regione)
S3 Object Lambda	`AWS::S3ObjectLambda::AccessPoint`	AbortMultipartUpload CompleteMultipartUpload CopyObject (solo copie nella stessa regione) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectAcl GetObjectLegalHold GetObjectRetention GetObjectTagging HeadObject ListObjects ListObjectVersions ListParts PutObject PutObjectLegalHold PutObjectRetention PutObjectAcl PutObjectTagging RestoreObject UploadPart WriteGetObjectResponse
S3 Outposts	`AWS::S3Outposts::Object`	AbortMultipartUpload CompleteMultipartUpload CopyObject (solo copie nella stessa regione) CreateMultipartUpload DeleteObject DeleteObjectTagging GetObject GetObjectTagging HeadObject ListObjects ListObjectsV2 ListParts PutObject PutObjectTagging UploadPart UploadPartCopy

È possibile configurare selettori di eventi avanzati per filtrare i campi eventName, readOnly e resources.ARN per registrare solo gli eventi importanti per l'utente. Per ulteriori informazioni su questi campi, consulta AdvancedFieldSelector in Riferimento API AWS CloudTrail.

Eventi di gestione di Amazon S3 in CloudTrail

Amazon S3 registra tutte le operazioni del piano di controllo (control-plane) come eventi di gestione. Per ulteriori informazioni sulle operazioni dell'API S3, consulta la documentazione di riferimento delle API di Amazon S3.

Come CloudTrail acquisisce le richieste effettuate a Amazon S3

Per impostazione predefinita, CloudTrail registra le chiamate API a livello di bucket S3 eseguite negli ultimi 90 giorni, ma non registra le richieste effettuate a oggetti. Le chiamate a livello di bucket includono eventi come CreateBucket, DeleteBucket, PutBucketLifecycle, PutBucketPolicy e così via. È possibile visualizzare gli eventi a livello di bucket sulla console CloudTrail. Non è possibile, tuttavia, visualizzare qui gli eventi di dati (chiamate a livello di oggetto Amazon S3): per gli eventi di dati è necessario analizzare o eseguire query sui log CloudTrail.

Se registri i log dell’attività dei dati con AWS CloudTrail, il record per un evento di dati DeleteObjects di Amazon S3 include sia l’evento DeleteObjects sia l’evento DeleteObject per ogni oggetto eliminato come parte dell’operazione. È possibile escludere la visibilità aggiuntiva sugli oggetti eliminati dal record dell’evento. Per ulteriori informazioni, consulta Esempi AWS CLI per filtrare eventi di dati nella Guida per l’utente di AWS CloudTrail.

Operazioni a livello di account Amazon S3 monitorate tramite i log di CloudTrail

CloudTrail registra le operazioni a livello di account. I record di Amazon S3 vengono scritti insieme ad altri record del Servizio AWS in un file di log. CloudTrail determina quando creare e scrivere in un nuovo file in base a un periodo di tempo e alla dimensione del file.

Nelle tabelle di questa sezione vengono elencate le operazioni a livello di account Amazon S3 supportate per la registrazione da parte di CloudTrail.

Le operazioni API a livello di account di Amazon S3 monitorate tramite la registrazione CloudTrail vengono visualizzate con i seguenti nomi di eventi. I nomi di eventi CloudTrail sono diversi dal nome dell'operazione API. Ad esempio, DeletePublicAccessBlock è DeleteAccountPublicAccessBlock.

Operazioni a livello di bucket Amazon S3 monitorate tramite i log di CloudTrail

Per impostazione predefinita, CloudTrail registra i log delle azioni a livello di bucket per bucket per uso generico. I record di Amazon S3 vengono scritti insieme ad altri record dei servizi AWS in un file di log. CloudTrail determina quando creare e scrivere in un nuovo file in base a un periodo di tempo e alla dimensione del file.

Questa sezione elenca le azioni a livello di bucket Amazon S3 supportate per la registrazione di log da parte di CloudTrail.

Le operazioni API a livello di bucket di Amazon S3 monitorate tramite la registrazione CloudTrail sono visualizzate con i seguenti nomi di eventi. In alcuni casi, il nome di evento CloudTrail è diverso dal nome dell'operazione API. Ad esempio, PutBucketLifecycleConfiguration è PutBucketLifecycle.

Oltre a tali operazioni API, è possibile utilizzare anche l'operazione a livello di oggetto oggetto OPTIONS. Questa è considerata un'operazione a livello di bucket nei log di CloudTrail, in quanto controlla la configurazione CORS di un bucket.

Azioni a livello di bucket di Amazon S3 Express One Zone (endpoint API regionale) tracciate dal log di CloudTrail

Per impostazione predefinita, CloudTrail registra i log delle azioni a livello di bucket per i bucket di directory come eventi di gestione. L'eventsource per gli eventi di gestione CloudTrail per S3 Express One Zone è s3express.amazonaws.com.

Le seguenti operazioni dell'endpoint API regionale vengono registrate in CloudTrail.

Per ulteriori informazioni, consulta Registrazione con AWS CloudTrail per S3 Express One Zone

Azioni a livello di oggetto Amazon S3 in scenari multi-account

Di seguito sono riportati casi d'uso speciali che riguardano le chiamate API a livello di oggetto in scenari multiaccount e il modo in cui sono riportati i log di CloudTrail. CloudTrail consegna i log al richiedente (l'account che ha effettuato la chiamata API), tranne in alcuni casi di accesso negato in cui le voci di log vengono redatte o omesse. Quando si imposta l'accesso multiaccount, considerare gli esempi riportati in questa sezione.

Nota

Nell'esempio si presuppone che i log di CloudTrail siano configurati correttamente.

Esempio 1: CloudTrail distribuisce i log al proprietario del bucket

CloudTrail distribuisce i log al proprietario del bucket anche se questi non dispone delle autorizzazioni per la stessa operazione API dell'oggetto. Si consideri il seguente scenario multiaccount:

L'account A possiede il bucket.
L'account B (richiedente) tenta di accedere a un oggetto in quel bucket.
L'account C è proprietario dell'oggetto. L'account C potrebbe essere o non essere lo stesso account dell'account A.

Nota

CloudTrail distribuisce sempre al richiedente (account-B) i log dell'API a livello di oggetto. Inoltre, CloudTrail distribuisce gli stessi log al proprietario del bucket (account A) anche se il proprietario del bucket non è proprietario dell'oggetto (account C) o se dispone delle autorizzazioni per le stesse operazioni API su tale oggetto.

Esempio 2: CloudTrail non moltiplica gli indirizzi e-mail utilizzati per impostare le ACL degli oggetti

Si consideri il seguente scenario multiaccount:

L'account A possiede il bucket.
L'account B (richiedente) invia una richiesta per impostare un'assegnazione nell'ACL dell'oggetto utilizzando un indirizzo e-mail. Per ulteriori informazioni sulle ACL, consulta Panoramica delle liste di controllo accessi (ACL).

Il richiedente recupera i log insieme alle informazioni dell'e-mail. Tuttavia, il proprietario del bucket, se è idoneo a ricevere i log come nell'esempio 1, riceve il log di CloudTrail contenente una segnalazione dell'evento Tuttavia, il proprietario del bucket non riceve le informazioni sulla configurazione dell'ACL, in particolare l'indirizzo e-mail dell'assegnatario e l'assegnazione. L'unica informazione riportata nel log per il proprietario del bucket è che l'account B ha effettuato una chiamata dell'API ACL.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Registrazione con CloudTrail

File di log di esempio