本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 AWS CloudTrail 和 Amazon EventBridge 監控預設加密 **重要** Amazon S3 現在將伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 套用為 Amazon S3 中每個儲存貯體的基本加密層級。從 2023 年 1 月 5 日起,所有上傳到 Amazon S3 的新物件都會自動加密,無需額外費用,也不會影響效能。S3 儲存貯體預設加密組態和新物件上傳的自動加密狀態可在 CloudTrail 日誌、S3 庫存、S3 Storage Lens、Amazon S3 主控台,以及 AWS CLI 和 AWS SDKs 中的其他 Amazon S3 API 回應標頭中使用。如需詳細資訊,請參閱[預設加密常見問答集](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html)。 您可以使用 AWS CloudTrail 事件追蹤 Amazon S3 儲存貯體的預設加密組態請求。CloudTrail 日誌使用下列 API 事件名稱: + `PutBucketEncryption` + `GetBucketEncryption` + `DeleteBucketEncryption` 您也可以建立 EventBridge 規則,以符合這些 API 呼叫的 CloudTrail 事件。如需 CloudTrail 事件的詳細資訊,請參閱「[使用主控台啟用儲存貯體中物件的記錄](enable-cloudtrail-logging-for-s3.md#enable-cloudtrail-events)」。如需 EventBridge 事件的詳細資訊,請參閱[來自 的事件 AWS 服務](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-service-event.html)。 您可以針對物件層級的 Amazon S3 動作使用 CloudTrail 日誌來追蹤對 Amazon S3 的 `PUT` 和 `POST` 要求。當傳入 `PUT` 要求沒有加密標頭時,您可以使用這些動作來驗證是否使用預設加密來加密物件。 當 Amazon S3 使用預設加密設定來加密物件時,日誌會包含以下其中一個名稱-值對的欄位:`"SSEApplied":"Default_SSE_S3"`、`"SSEApplied":"Default_SSE_KMS"` 或 `"SSEApplied":"Default_DSSE_KMS"`。 當 Amazon S3 使用 `PUT` 加密標頭來加密物件時,日誌會包含以下名稱-值對的欄位之一:`"SSEApplied":"SSE_S3"`、`"SSEApplied":"SSE_KMS"`、`"SSEApplied":"DSSE_KMS"` 或 `"SSEApplied":"SSE_C"`。 針對分段上傳,此資訊會包含在 `InitiateMultipartUpload` API 操作要求中。如需有關使用 CloudTrail 與 CloudWatch 的詳細資訊,請參閱[在 Amazon S3 中記錄和監控](monitoring-overview.md)。