Registrazione delle chiamate API di Amazon S3 utilizzando AWS CloudTrail - Amazon Simple Storage Service
Utilizzo dei log di CloudTrail con i log degli accessi al server Amazon S3 e CloudWatch LogsMonitoraggio di CloudTrail con le chiamate dell'API SOAP Amazon S3

Registrazione delle chiamate API di Amazon S3 utilizzando AWS CloudTrail

AWS CloudTrail è un servizio che offre un record delle azioni eseguite da un utente, un ruolo o un Servizio AWS. CloudTrail acquisisce tutte le chiamate API per Amazon S3 come eventi. Le chiamate acquisite includono chiamate dalla console Amazon S3 e chiamate di codice alle operazioni API Amazon S3. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta effettuata ad Amazon S3, l'indirizzo IP da cui è stata effettuata la richiesta, quando è stata effettuata e ulteriori dettagli.

Ogni evento o voce di log contiene informazioni sull'utente che ha generato la richiesta. Le informazioni di identità consentono di determinare quanto segue:

  • Se la richiesta è stata effettuata con le credenziali utente root o utente.

  • Se la richiesta è stata effettuata per conto di un utente del Centro identità IAM.

  • Se la richiesta è stata effettuata con le credenziali di sicurezza temporanee per un ruolo o un utente federato.

  • Se la richiesta è stata effettuata da un altro Servizio AWS.

CloudTrail è attivo nel tuo Account AWS quando create l'account e hai automaticamente accesso alla cronologia degli eventi di CloudTrail. La cronologia degli eventi di CloudTrail fornisce una registrazione visualizzabile, ricercabile, scaricabile e immutabile degli eventi di gestione verificatisi negli ultimi 90 giorni in una Regione AWS. Per ulteriori informazioni, consulta Working with CloudTrail Event history nella Guida per l'utente di AWS CloudTrail. Non sono previsti costi CloudTrail per la visualizzazione della cronologia degli eventi.

Per una registrazione continua degli eventi nell'Account AWS oltre i 90 giorni, creare un trail o un datastore di eventi Data Lake CloudTrail.

Trail CloudTrail

Un trail abilita la distribuzione da parte di CloudTrail dei file di log in un bucket Amazon S3. Tutti i trail creati utilizzando la Console di gestione AWS sono multi-regione. È possibile creare un trail per una singola Regione o per più Regioni tramite AWS CLI. Si consiglia di creare un trail per più Regioni in quanto consente di acquisire l'attività in tutte le Regioni AWS dell'account. Se si crea un trail per una singola Regione, è possibile visualizzare solo gli eventi registrati nella Regione AWS del trail. Per ulteriori informazioni sui trail, consulta Creating a trail for your Account AWS e Creating a trail for an organization nella Guida per l'utente di AWS CloudTrail.

Puoi fornire gratuitamente una copia dei tuoi eventi di gestione in corso al tuo bucket Amazon S3 da CloudTrail creando un percorso, tuttavia dovranno essere considerati i costi di archiviazione di Amazon S3. Per maggiori informazioni sui prezzi di CloudTrail, consultare Prezzi di AWS CloudTrail. Per informazioni sui prezzi di Amazon S3, consulta Prezzi di Amazon S3.

Datastore di eventi CloudTrail Lake

Data Lake CloudTrail consente di eseguire query SQL sugli eventi. CloudTrail Lake converte gli eventi esistenti in formato JSON basato su righe in formato Apache ORC. ORC è un formato di archiviazione a colonne ottimizzato per il recupero rapido dei dati. Gli eventi vengono aggregati in archivi di dati degli eventi, che sono raccolte di eventi immutabili basate sui criteri selezionati applicando i selettori di eventi avanzati. I selettori applicati a un archivio di dati degli eventi controllano quali eventi persistono e sono disponibili per l'esecuzione della query. Per ulteriori informazioni su Data Lake CloudTrail, consulta Working with AWS CloudTrail Lake nella Guida per l'utente di AWS CloudTrail.

I datastore di eventi e le query di Data Lake CloudTrail comportano costi. Quando crei un datastore di eventi, scegli l'opzione di prezzo da utilizzare per tale datastore. L'opzione di prezzo determina il costo per l'importazione e l'archiviazione degli eventi, nonché il periodo di conservazione predefinito e quello massimo per il datastore di eventi. Per maggiori informazioni sui prezzi di CloudTrail, consultare Prezzi di AWS CloudTrail.

È possibile archiviare i file di log nel bucket per un periodo di tempo indeterminato, ma è anche possibile definire regole per il ciclo di vita di Amazon S3 per archiviare o eliminare automaticamente i file di log. Per impostazione predefinita, i file di log sono crittografati mediante la crittografia lato server (SSE) di Amazon S3.

Utilizzo dei log di CloudTrail con i log degli accessi al server Amazon S3 e CloudWatch Logs

I log AWS CloudTrail forniscono un record di operazioni eseguite da un utente, un ruolo o un servizio AWS in Amazon S3, mentre i log di accesso al server Amazon S3 forniscono record dettagliati per le richieste che vengono effettuate a un bucket S3. Per ulteriori informazioni sul funzionamento dei diversi log e delle relative proprietà, prestazioni e costi, consulta Opzioni di registrazione per Amazon S3.

È possibile utilizzare i log AWS CloudTrail con i log degli accessi al server per Amazon S3. I log CloudTrail forniscono il tracking dettagliato delle API per le operazioni Amazon S3 a livello di bucket e di oggetto. I log di accesso al server per Amazon S3 forniscono visibilità sulle operazioni a livello di oggetto sui dati in Amazon S3. Per ulteriori informazioni sui log degli accessi al server, consultare Registrazione delle richieste con registrazione dell'accesso al server.

È anche possibile utilizzare i log CloudTrail con Amazon CloudWatch per Amazon S3. L'integrazione di CloudTrail con CloudWatch Logs fornisce l'attività dell'API a livello di bucket S3 acquisita da CloudTrail a un flusso di log di CloudWatch nel gruppo di log di CloudWatch specificato. È possibile creare allarmi CloudWatch per monitorare una specifica attività dell'API e ricevere notifiche via e-mail quando si verifica tale specifica attività. Per ulteriori informazioni sugli allarmi CloudWatch per il monitoraggio di un'attività specifica dell'API, consulta la Guida per l'utente di AWS CloudTrail. Per ulteriori informazioni sull'uso di CloudWatch con Amazon S3, consulta Monitoraggio dei parametri con Amazon CloudWatch.

Nota

S3 non supporta l'invio dei log di CloudTrail al richiedente o al proprietario del bucket per le richieste degli endpoint VPC quando la policy degli endpoint VPC non lo consente.

Monitoraggio di CloudTrail con le chiamate dell'API SOAP Amazon S3

CloudTrail esegue il monitoraggio delle chiamate dell'API SOAP Amazon S3. Il supporto SOAP di Amazon S3 su HTTP è obsoleto, ma è comunque disponibile su HTTPS. Per ulteriori informazioni sul supporto SOAP di Amazon S3, consulta Appendice: API SOAP nella Guida alle API di Amazon S3.

Importante

Le funzioni più recenti di Amazon S3 non sono supportate per SOAP. Si consiglia di utilizzare o l'API REST o gli SDK AWS.

La tabella seguente mostra le azioni Amazon S3 SOAP tracciate dal logging di CloudTrail.

Nome API SOAP Nome evento API utilizzato in CloudTrail Log

ListAllMyBuckets

 ListBuckets

CreateBucket

 CreateBucket

DeleteBucket

 DeleteBucket

GetBucketAccessControlPolicy

 GetBucketAcl

SetBucketAccessControlPolicy

 PutBucketAcl

GetBucketLoggingStatus

 GetBucketLogging

SetBucketLoggingStatus

 PutBucketLogging

Per ulteriori informazioni su CloudTrail e Amazon S3, consulta i seguenti argomenti:

Argomenti