Opzioni di registrazione per Amazon S3

È possibile registrare le operazioni eseguite da utenti, ruoli o Servizi AWS sulle risorse Amazon S3 e mantenere i record di log a scopo di audit e conformità. A tale scopo, è possibile utilizzare i log degli accessi al server, i log AWS CloudTrail o una combinazione di entrambi. Si consiglia di utilizzare CloudTrail per operazioni di log e a livello di bucket e di oggetto per le risorse Amazon S3. Per ulteriori informazioni su ciascuna opzione, consulta le sezioni riportate di seguito.

La tabella seguente elenca le proprietà chiave dei log CloudTrail e dei log degli accessi al server Amazon S3. Per assicurarti che CloudTrail soddisfi i tuoi requisiti di sicurezza, esamina la tabella e le note.

Proprietà dei log	AWS CloudTrail	Log di server Amazon S3
Può essere inoltrato ad altri sistemi (File di log Amazon CloudWatch, Eventi Amazon CloudWatch)	Sì	No
Distribuisce i log a più destinazioni (ad esempio, invia lo stesso log a due diversi bucket)	Sì	No
Attiva i log per un sottoinsieme di oggetti (prefisso)	Sì	No
Distribuzione di log multi-account (bucket di origine e di destinazione di proprietà di account diversi)	Sì	No
Convalida dell'integrità del file di log mediante firma digitale o hashing	Sì	No
Valori predefiniti o scelta della crittografia per i file di log	Sì	No
Operazioni sugli oggetti (mediante le API Amazon S3)	Sì	Sì
Operazioni sui bucket (mediante le API Amazon S3)	Sì	Sì
Interfaccia utente ricercabile per i log	Sì	No
Campi per i parametri di blocco degli oggetti, proprietà Select di Amazon S3 per i record di log	Sì	No
Campi per `Object Size`, `Total Time`, `Turn-Around Time` e `HTTP Referer` per i record di log	No	Sì
Transizioni, scadenze e ripristini del ciclo di vita	No	Sì
Logging delle chiavi in un'operazione di eliminazione batch	Sì	Sì
Errori di autenticazione¹	No	Sì
Account in cui vengono distribuiti i log	Proprietario del bucket ² e richiedente	Solo proprietario del bucket
Performance and Cost	AWS CloudTrail	Amazon S3 Server Logs
Prezzo	Gli eventi di gestione (prima distribuzione) sono gratuiti, gli eventi di dati sono a pagamento, oltre ai log di storage	Nessun costo aggiuntivo oltre all'archiviazione dei log
Velocità di distribuzione dei log	Eventi di dati ogni 5 minuti, eventi di gestione ogni 15 minuti	Entro qualche ora
Formato dei log	JSON	File di log con record delimitati da nuove righe e separati da spazi

Note

CloudTrail non fornisce log per le richieste che non superano l’autenticazione (in cui le credenziali fornite non sono valide) o che non riescono a causa del reindirizzamento (codice di errore 301 Moved Permanently). Include, tuttavia, i log di richieste in cui l'autenticazione non riesce (AccessDenied) e delle richieste effettuate da utenti anonimi.
Il proprietario del bucket S3 riceve i log CloudTrail se l'account non ha l'accesso completo all'oggetto nella richiesta. Per ulteriori informazioni, consulta Azioni a livello di oggetto Amazon S3 in scenari multi-account.
S3 non supporta la consegna dei log di CloudTrail o dei log di accesso al server al richiedente o al proprietario del bucket per le richieste di endpoint VPC quando la policy di endpoint VPC le nega o per le richieste che falliscono prima che la policy VPC venga valutata.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Strumenti di monitoraggio

Registrazione con CloudTrail