Opções de registro em log para o Amazon S3
É possível registrar as ações que são realizadas por usuários, perfis ou Serviços da AWS em recursos do Amazon S3 e manter registros de log para fins de auditoria e conformidade. Para fazer isso, você pode usar o registro em log de acesso ao servidor, o registro em log do AWS CloudTrail ou uma combinação de ambos. Recomendamos que você use o CloudTrail para registrar em log ações por bucket e objeto para seus recursos do Amazon S3. Para obter mais informações sobre cada opção, consulte as seguintes seções:
A tabela a seguir lista as principais propriedades dos logs do CloudTrail e dos logs de acesso ao servidor do Amazon S3. Analise a tabela e as observações para garantir que o CloudTrail atenda aos seus requisitos de segurança.
| Propriedades de log | AWS CloudTrail | Logs do servidor do Amazon S3 |
|---|---|---|
|
Pode ser encaminhado para outros sistemas (Amazon CloudWatch Logs, Amazon CloudWatch Events) |
Sim |
No |
|
Entregue logs para mais de um destino (por exemplo, envie os mesmos logs para dois buckets diferentes) |
Sim |
No |
|
Ative logs para um subconjunto de objetos (prefixo) |
Sim |
No |
|
Entrega de logs entre contas (bucket de origem e de destino pertencentes a contas diferentes) |
Sim |
No |
|
Validação de integridade do arquivo de log usando assinatura digital ou hashing |
Sim |
No |
|
Padrão ou opção de criptografia para arquivos de log |
Sim |
No |
|
Operações de objeto (usando APIs do Amazon S3) |
Sim |
Sim |
|
Operações de bucket (usando APIs do Amazon S3) |
Sim |
Sim |
|
UI pesquisável para logs |
Sim |
No |
|
Campos para parâmetros de bloqueio de objetos, propriedades selecionadas do Amazon S3 para registros de log |
Sim |
No |
|
Campos de |
Não |
Sim |
|
Transições, expirações e restaurações do ciclo de vida |
Não |
Sim |
|
Registro de chaves em uma operação de exclusão em lote |
Sim |
Sim |
|
Falhas de autenticação1 |
Não |
Sim |
|
Contas em que logs são entregues |
Proprietário do bucket2 e solicitante |
Somente proprietário do bucket |
| Performance and Cost | AWS CloudTrail | Amazon S3 Server Logs |
|
Preço |
Os eventos de gerenciamento (primeira entrega) são gratuitos. Os eventos de dados incorrem em uma taxa, além do armazenamento de logs |
Nenhum custo adicional além do armazenamento de logs |
|
Velocidade da entrega de logs |
Eventos de dados a cada 5 minutos; eventos de gerenciamento a cada 15 minutos |
Em algumas horas |
|
Formato do log |
JSON |
Arquivo de log com registros delimitados por novas linhas e separados por espaços |
Observações
-
O CloudTrail não entrega logs para solicitações com falha de autenticação (nas quais as credenciais fornecidas não são válidas) ou que falham devido a redirecionamento (código de erro
301 Moved Permanently). No entanto, ele inclui logs para solicitações nas quais a autorização falha (AccessDenied) e as solicitações são feitas por usuários anônimos. -
O proprietário do bucket do S3 recebe logs do CloudTrail quando a conta não tem acesso total ao objeto na solicitação. Para obter mais informações, consulte Ações em nível de objeto do Amazon S3 em cenários entre contas.
-
O S3 não é compatível com a entrega de logs do CloudTrail ou logs de acesso ao servidor ao solicitante ou ao proprietário do bucket para solicitações de endpoint da VPC quando a política de endpoint da VPC as nega ou para solicitações que falham antes da política da VPC ser avaliada.
