本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 記錄 Amazon S3 API 呼叫 AWS CloudTrail
[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 是一種提供記錄使用者、角色或 AWS 服務所採取之動作的服務。CloudTrail 會將 Amazon S3 的所有 API 呼叫當做事件來擷取。擷取的呼叫包括來自 Amazon S3 主控台的呼叫,以及對 Amazon S3 API 操作發出的程式碼呼叫。您可以利用 CloudTrail 所收集的資訊來判斷向 Amazon S3 發出的請求,以及發出請求的 IP 位址、時間和其他詳細資訊。
每一筆事件或日誌專案都會包含產生請求者的資訊。身分資訊可協助您判斷下列事項:
+ 該請求是使用根使用者還是使用者憑證提出。
+ 請求是否代表 IAM Identity Center 使用者提出。
+ 提出該請求時,是否使用了特定角色或聯合身分使用者的暫時安全憑證。
+ 該請求是否由另一項 AWS 服務服務提出。
當您建立帳戶 AWS 帳戶 時CloudTrail 會在您的 中處於作用中狀態,而且您會自動存取 CloudTrail **事件歷史記錄**。CloudTrail **事件歷史記錄**為 AWS 區域中過去 90 天記錄的管理事件,提供可檢視、可搜尋、可下載且不可變的記錄。如需詳細資訊,請參閱「AWS CloudTrail 使用者指南」**中的[使用 CloudTrail 事件歷史記錄](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html)。檢視**事件歷史記錄**不會產生 CloudTrail 費用。
如需 AWS 帳戶 過去 90 天內持續記錄的事件,請建立線索或 [CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html) 事件資料存放區。
**CloudTrail 追蹤**
*線索*能讓 CloudTrail 將日誌檔案交付至 Amazon S3 儲存貯體。使用 建立的所有線索 AWS 管理主控台 都是多區域。您可以使用 AWS CLI建立單一或多區域追蹤。建議您建立多區域追蹤,因為您擷取 AWS 區域 帳戶中所有 的活動。如果您建立單一區域追蹤,您只能檢視追蹤 AWS 區域中記錄的事件。如需追蹤的詳細資訊,請參閱《AWS CloudTrail 使用者指南》**中的[為您的 AWS 帳戶建立追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)和[為組織建立追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)。
您可以透過建立追蹤,免費將持續管理事件的一個複本從 CloudTrail 傳遞至您的 Amazon S3 儲存貯體,但這樣做會產生 Amazon S3 儲存費用。如需 CloudTrail 定價的詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。如需 Amazon S3 定價的相關資訊,請參閱 [Amazon S3 定價](https://aws.amazon.com/s3/pricing/)。
**CloudTrail Lake 事件資料存放區**
*CloudTrail Lake* 讓您能夠對事件執行 SQL 型查詢。CloudTrail Lake 會將分列式 JSON 格式的現有事件轉換為 [Apache ORC](https://orc.apache.org/) 格式。ORC 是一種單欄式儲存格式,針對快速擷取資料進行了最佳化。系統會將事件彙總到*事件資料存放區*中,事件資料存放區是事件的不可變集合,其依據為您透過套用[進階事件選取器](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-concepts.html#adv-event-selectors)選取的條件。套用於事件資料存放區的選取器控制哪些事件持續存在並可供您查詢。如需 CloudTrail Lake 的詳細資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[使用 AWS CloudTrail Lake](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake.html)。
CloudTrail Lake 事件資料存放區和查詢會產生費用。建立事件資料存放區時,您可以選擇要用於事件資料存放區的[定價選項](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-lake-manage-costs.html#cloudtrail-lake-manage-costs-pricing-option)。此定價選項將決定擷取和儲存事件的成本,以及事件資料存放區的預設和最長保留期。如需 CloudTrail 定價的詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
日誌檔可存放於儲存貯體任意長時間,但您也可以定義 Amazon S3 生命週期規則,自動封存或刪除日誌檔案。預設情況下,將使用 Amazon S3 伺服器端加密 (SSE) 對日誌檔案進行加密。
## 搭配 Amazon S3 伺服器存取日誌和 CloudWatch Logs 使用 CloudTrail 日誌
AWS CloudTrail 日誌提供使用者、角色或 AWS 服務在 Amazon S3 中所採取動作的記錄,而 Amazon S3 伺服器存取日誌則提供對 S3 儲存貯體提出之請求的詳細記錄。如需不同日誌的運作方式與其屬性、效能與成本的詳細資訊,請參閱[Amazon S3 的記錄選項](logging-with-S3.md)。
您可以搭配使用 AWS CloudTrail 日誌與 Amazon S3 的伺服器存取日誌。CloudTrail 日誌為您提供 Amazon S3 儲存貯體層級和物件層級操作的詳細 API 追蹤。Amazon S3 的伺服器存取日誌可讓您查看 Amazon S3 中您的資料發生的物件層級操作。如需伺服器存取日誌的詳細資訊,請參閱「[使用伺服器存取記錄記錄要求](ServerLogs.md)」。
您也可以將 CloudTrail 日誌與 Amazon CloudWatch for Amazon S3 一起使用。CloudTrail 與 CloudWatch Logs 整合可將 CloudTrail 擷取的 S3 儲存貯體層級 API 活動,傳送到您指定的 CloudWatch 日誌群組中的 CloudWatch 日誌串流。您可以建立 CloudWatch 警示來監控特定 API 活動,並在發生特定 API 活動時接收電子郵件通知。如需有關監控特定 API 活動的 CloudWatch 警示的詳細資訊,請參閱[《AWS CloudTrail 使用者指南》](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)。如需有關搭配 Amazon S3 使用 CloudWatch 的詳細資訊,請參閱[使用 Amazon CloudWatch 監控指標](cloudwatch-monitoring.md)。
**注意**
當 VPC 端點政策拒絕 VPC 端點請求時,S3 不支援將 CloudTrail 日誌傳送給請求者或儲存貯體擁有者。
## CloudTrail 會追蹤 Amazon S3 SOAP API 呼叫。
CloudTrail 會追蹤 Amazon S3 SOAP API 呼叫。透過 HTTP 的 Amazon S3 SOAP 支援已被取代,但仍可透過 HTTPS 取得。如需 Amazon S3 SOAP 支援的詳細資訊,請參閱 Amazon S3 API 參考**中的[附錄:SOAP API](https://docs.aws.amazon.com/AmazonS3/latest/API/APISoap.html)。
**重要**
SOAP 不支援較新的 Amazon S3 功能。我們建議您使用 REST API 或 AWS SDKs。
下表顯示 CloudTrail 記錄所追蹤的 Amazon S3 SOAP 動作。
| SOAP API 名稱 | CloudTrail 日誌中使用的 API 事件名稱 |
| --- | --- |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPListAllMyBuckets.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPListAllMyBuckets.html) | ListBuckets |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPCreateBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPCreateBucket.html) | CreateBucket |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPDeleteBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPDeleteBucket.html) | DeleteBucket |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPGetBucketAccessControlPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPGetBucketAccessControlPolicy.html) | GetBucketAcl |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPSetBucketAccessControlPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPSetBucketAccessControlPolicy.html) | PutBucketAcl |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPGetBucketLoggingStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPGetBucketLoggingStatus.html) | GetBucketLogging |
| [https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPSetBucketLoggingStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/SOAPSetBucketLoggingStatus.html) | PutBucketLogging |
如需 CloudTrail 和 Amazon S3 的詳細資訊,請參閱下列主題:
**Topics**
+ [搭配 Amazon S3 伺服器存取日誌和 CloudWatch Logs 使用 CloudTrail 日誌](#cloudtrail-logging-vs-server-logs)
+ [CloudTrail 會追蹤 Amazon S3 SOAP API 呼叫。](#cloudtrail-s3-soap)
+ [Amazon S3 CloudTrail 事件](cloudtrail-logging-s3-info.md)
+ [S3 on Outposts 和 Amazon S3 的 CloudTrail 日誌檔案項目](cloudtrail-logging-understanding-s3-entries.md)
+ [為 S3 儲存貯體和物件啟用 CloudTrail 事件記錄](enable-cloudtrail-logging-for-s3.md)
+ [使用 CloudTrail 來識別 Amazon S3 請求](cloudtrail-request-identification.md)
# Amazon S3 CloudTrail 事件
**重要**
Amazon S3 現在將伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 套用為 Amazon S3 中每個儲存貯體的基本加密層級。從 2023 年 1 月 5 日起,所有上傳到 Amazon S3 的新物件都會自動加密,無需額外費用,也不會影響效能。S3 儲存貯體預設加密組態和新物件上傳的自動加密狀態可在 CloudTrail 日誌、S3 庫存、S3 Storage Lens、Amazon S3 主控台,以及 AWS CLI 和 AWS SDKs 中的其他 Amazon S3 API 回應標頭中使用。如需詳細資訊,請參閱[預設加密常見問答集](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html)。
本節提供 S3 記錄到 CloudTrail 的事件相關資訊。
## CloudTrail 中的 Amazon S3 資料事件
[資料事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events)提供在資源上或在資源中執行的資源操作的相關資訊 (例如,讀取或寫入 Amazon S3 物件)。這些也稱為資料平面操作。資料事件通常是大量資料的活動。根據預設,CloudTrail 不會記錄資料事件。CloudTrail **事件歷史記錄**不會記錄資料事件。
資料事件需支付額外的費用。如需 CloudTrail 定價的詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
您可以使用 CloudTrail 主控台 AWS CLI或 CloudTrail API 操作來記錄 Amazon S3 資源類型的資料事件。如需如何記錄資料事件的詳細資訊,請參閱《AWS CloudTrail 使用者指南》**中的[使用 AWS 管理主控台記錄資料事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#logging-data-events-console)和[使用 AWS Command Line Interface記錄資料事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html#creating-data-event-selectors-with-the-AWS-CLI)。
下表列出您可以記錄其資料事件的 Amazon S3 資源類型。**資料事件類型 (主控台)** 資料行會顯示從 CloudTrail 主控台上的**資料事件類型**清單中選擇的值。**resources.type 值**欄會顯示值,您會在使用 AWS CLI 或 CloudTrail APIs 設定進階事件選取器時指定此`resources.type`值。**記錄到 CloudTrail 的資料 API** 資料行會針對資源類型顯示記錄到 CloudTrail 的 API 呼叫。
| 資料事件類型 (主控台) | resources.type 值 | 記錄到 CloudTrail 的資料 API |
| --- | --- | --- |
| S3 | AWS::S3::Object | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html) |
| S3 Express One Zone | AWS::S3Express::Object | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html) |
| S3 存取點 | AWS::S3::Access Point | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html) |
| S3 Object Lambda | AWS::S3ObjectLambda::AccessPoint | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html) |
| S3 Outposts | AWS::S3Outposts::Object | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/cloudtrail-logging-s3-info.html) |
您可以設定進階事件選取器來篩選 `eventName`、`readOnly` 和 `resources.ARN` 欄位,以僅記錄對您重要的事件。如需這些欄位的詳細資訊,請參閱AWS CloudTrail API 參考**中的[https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html](https://docs.aws.amazon.com/awscloudtrail/latest/APIReference/API_AdvancedFieldSelector.html)。
## CloudTrail 中的 Amazon S3 管理事件
Amazon S3 會將所有控制平面操作記錄為管理事件。如需 S3 API 操作的詳細資訊,請參閱 [Amazon S3 API 參考](https://docs.aws.amazon.com/AmazonS3/latest/API/API_Operations.html)。
## CloudTrail 如何擷取對 Amazon S3 提出的請求
依預設,CloudTrail 會記錄過去 90 內發出的 S3 儲存貯體層級 API 呼叫,但不會記錄對物件提出的請求。儲存貯體層級呼叫包括 `CreateBucket`、`DeleteBucket`、`PutBucketLifecycle`、`PutBucketPolicy` 等事件。您可以在 CloudTrail 主控台上查看儲存貯體層級的事件。但是,您無法在那裡檢視資料事件 (Amazon S3 物件層級呼叫),您必須在 CloudTrail 日誌中剖析或查詢這些事件。
如果您使用 記錄資料活動 AWS CloudTrail,Amazon S3 `DeleteObjects`資料事件的事件記錄會同時包含`DeleteObjects`事件和在該操作中刪除的每個物件`DeleteObject`的事件。您可以從事件記錄中排除已刪除物件的其他可見性。如需詳細資訊,請參閱《AWS CloudTrail 使用者指南》**中的[篩選資料事件的AWS CLI 範例](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/filtering-data-events.html#filtering-data-events-deleteobjects)。
## CloudTrail 日誌記錄所追蹤的 Amazon S3 帳戶層級動作
CloudTrail 會記錄帳戶層級的動作。Amazon S3 記錄會與其他 AWS 服務 記錄一起寫入日誌檔中。CloudTrail 會根據期間與檔案大小,決定何時建立與寫入新檔案。
本節中的各表格會列出支援 CloudTrail 記錄的 Amazon S3 帳戶層級動作。
Amazon S3 透過 CloudTrail 記錄追蹤的帳戶層級 API 動作會顯示為下列事件名稱。CloudTrail 事件名稱與 API 動作名稱不同。例如,DeletePublicAccessBlock 是 DeleteAccountPublicAccessBlock。
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeletePublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeletePublicAccessBlock.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetPublicAccessBlock.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutPublicAccessBlock.html)
## CloudTrail 日誌記錄所追蹤的 Amazon S3 儲存貯體層級動作
CloudTrail 預設會記錄一般用途儲存貯體的儲存貯體層級動作。Amazon S3 記錄會與其他 AWS 服務記錄一起寫入日誌檔案中。CloudTrail 會根據期間與檔案大小,決定何時建立與寫入新檔案。
此區段列出支援 CloudTrail 記錄的 Amazon S3 儲存貯體層級動作。
Amazon S3 透過 CloudTrail 記錄追蹤的儲存貯體層級 API 動作會顯示為下列事件名稱。有些情況下,CloudTrail 事件名稱會與 API 動作名稱不同。例如,`PutBucketLifecycleConfiguration` 為 `PutBucketLifecycle`。
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataConfiguration.html) (V2 API 操作)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataTableConfiguration.html) (V1 API 操作)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketAnalyticsConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketCors.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketIntelligentTieringConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketInventoryConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketLifecycle.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataConfiguration.html) (V2 API 操作)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html) (V1 API 操作)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetricsConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketOwnershipControls.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketReplication.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketTagging.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAccelerateConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAccelerateConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAnalyticsConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketIntelligentTieringConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketInventoryConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLifecycle.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLogging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLogging.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataConfiguration.html) (V2 API 操作)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html) (V1 API 操作)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetricsConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotification.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotification.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLockConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLockConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketOwnershipControls.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicyStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicyStatus.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketRequestPayment.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketRequestPayment.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketTagging.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketVersioning.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketVersioning.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketWebsite.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketWebsite.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAccelerateConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAccelerateConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAcl.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAnalyticsConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketCors.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketIntelligentTieringConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketInventoryConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLifecycle.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLogging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLogging.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketMetricsConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketNotification.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketNotification.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLockConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLockConfiguration.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketOwnershipControls.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketRequestPayment.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketRequestPayment.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketTagging.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketVersioning.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketVersioning.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketWebsite.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketWebsite.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataJournalTableConfiguratione.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataJournalTableConfiguratione.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataInventoryTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataInventoryTableConfiguration.html)
除了這些 API 操作之外,您也可以使用 [OPTIONS 物件](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTOPTIONSobject.html)的物件層級動作。此動作視為 CloudTrail 日誌記錄中的儲存貯體層操作,因為此動作會檢查儲存貯體的 CORSA 組態。
**注意**
支援 HeadBucket API 做為 CloudTrail 中的 Amazon S3 資料事件。
## CloudTrail 記錄所追蹤的 Amazon S3 Express One Zone 儲存貯體層級 (地區 API 端點) 動作
CloudTrail 預設會將目錄儲存貯體的儲存貯體層級動作記錄為管理事件。S3 Express One Zone 的 CloudTrail 管理事件 `eventsource` 為 `s3express.amazonaws.com`。
下列這些地區端點 API 操作會記錄到 CloudTrail。
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListDirectoryBuckets.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListDirectoryBuckets.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html)
如需詳細資訊,請參閱[使用適用於 S3 Express One Zone 的 AWS CloudTrail 記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-one-zone-logging.html)
## 跨帳戶案例中的 Amazon S3 物件層級動作
下列特殊使用案例包含跨帳戶案例中的物件層級 API 呼叫與 CloudTrail 日誌回報方式。CloudTrail 會將日誌傳送給請求者 (進行 API 呼叫的帳戶),但日誌項目遭到修訂或省略而導致存取遭拒的某些情況則除外。設定跨帳戶存取時,請考慮本節中的範例。
**注意**
這些範例假設已適當地設定 CloudTrail 日誌。
### 範例 1:CloudTrail 將日誌交付給儲存貯體擁有者
即使在儲存貯體擁有者沒有相同物件 API 操作的許可時,CloudTrail 也會將日誌交付給儲存貯體擁有者。請考慮下列跨帳戶案例:
+ 帳戶 A 擁有儲存貯體。
+ 帳戶 B (申請者) 嘗試存取該儲存貯體中的物件。
+ 帳戶 C 擁有物件。帳戶 C 可能與 A 帳戶相同,也可能不相同。
**注意**
CloudTrail 一律會將物件層級 API 日誌交付給申請者 (帳戶 B)。此外,即使在儲存貯體擁有者未擁有物件 (帳戶 C),或對該物件上相同的 API 動作沒有許可時,CloudTrail 也會將相同的日誌交付給儲存貯體擁有者 (帳戶 A)。
### 範例 2:CloudTrail 不會大量增加用於設定物件 ACL 的電子郵件地址
請考慮下列跨帳戶案例:
+ 帳戶 A 擁有儲存貯體。
+ 帳戶 B (申請者) 會傳送要求以使用電子郵件地址設定物件 ACL 授予。如需 ACL 的詳細資訊,請參閱「[存取控制清單 (ACL) 概觀](acl-overview.md)」。
請求者會取得日誌與電子郵件資訊。不過,儲存貯體擁有者 (如果他們像範例 1 一樣有資格接收日誌) 會取得回報事件的 CloudTrail 日誌。不過,儲存貯體擁有者不會取得 ACL 組態資訊,特別是被授與者電子郵件地址與授予。日誌告訴儲存貯體擁有者的唯一資訊是帳戶 B 已提出 ACL API 呼叫。
# S3 on Outposts 和 Amazon S3 的 CloudTrail 日誌檔案項目
**重要**
Amazon S3 現在將伺服器端加密與 Amazon S3 受管金鑰 (SSE-S3) 套用為 Amazon S3 中每個儲存貯體的基本加密層級。從 2023 年 1 月 5 日起,所有上傳到 Amazon S3 的新物件都會自動加密,無需額外費用,也不會影響效能。S3 儲存貯體預設加密組態和新物件上傳的自動加密狀態可在 CloudTrail 日誌、S3 庫存、S3 Storage Lens、Amazon S3 主控台,以及 AWS CLI 和 AWS SDKs 中的其他 Amazon S3 API 回應標頭中使用。如需詳細資訊,請參閱[預設加密常見問答集](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-encryption-faq.html)。
一個事件代表任何來源提出的單一請求,並包含請求 API 操作的相關資訊、操作的日期和時間、請求參數等。CloudTrail 日誌檔案不是公有 API 呼叫的已排序堆疊追蹤,因此事件不會以任何特定順序顯示。
**注意**
若要檢視 Amazon S3 Express One Zone 的 CloudTrail 日誌檔案範例,請參閱 [S3 Express One Zone 的 CloudTrail 日誌檔案範例](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-log-files.html)。
如需詳細資訊,請參閱下列範例。
**Topics**
+ [範例:Amazon S3 的 CloudTrail 日誌檔案項目](#example-ct-log-s3)
## 範例:Amazon S3 的 CloudTrail 日誌檔案項目
以下範例示範的是展示 [GET 服務](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTServiceGET.html)、[https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTacl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketPUTacl.html) 和 [https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketGETversioningStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketGETversioningStatus.html) 動作的 CloudTrail 日誌項目。
```
{
"Records": [
{
"eventVersion": "1.03",
"userIdentity": {
"type": "IAMUser",
"principalId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/myUserName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "myUserName"
},
"eventTime": "2019-02-01T03:18:19Z",
"eventSource": "s3.amazonaws.com",
"eventName": "ListBuckets",
"awsRegion": "us-west-2",
"sourceIPAddress": "127.0.0.1",
"userAgent": "[]",
"requestParameters": {
"host": [
"s3.us-west-2.amazonaws.com"
]
},
"responseElements": null,
"additionalEventData": {
"SignatureVersion": "SigV2",
"AuthenticationMethod": "QueryString",
"aclRequired": "Yes"
},
"requestID": "47B8E8D397DCE7A6",
"eventID": "cdc4b7ed-e171-4cef-975a-ad829d4123e8",
"eventType": "AwsApiCall",
"recipientAccountId": "444455556666",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "s3.amazonaws.com"
}
},
{
"eventVersion": "1.03",
"userIdentity": {
"type": "IAMUser",
"principalId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/myUserName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "myUserName"
},
"eventTime": "2019-02-01T03:22:33Z",
"eventSource": "s3.amazonaws.com",
"eventName": "PutBucketAcl",
"awsRegion": "us-west-2",
"sourceIPAddress": "",
"userAgent": "[]",
"requestParameters": {
"bucketName": "",
"AccessControlPolicy": {
"AccessControlList": {
"Grant": {
"Grantee": {
"xsi:type": "CanonicalUser",
"xmlns:xsi": "http://www.w3.org/2001/XMLSchema-instance",
"ID": "d25639fbe9c19cd30a4c0f43fbf00e2d3f96400a9aa8dabfbbebe1906Example"
},
"Permission": "FULL_CONTROL"
}
},
"xmlns": "http://s3.amazonaws.com/doc/2006-03-01/",
"Owner": {
"ID": "d25639fbe9c19cd30a4c0f43fbf00e2d3f96400a9aa8dabfbbebe1906Example"
}
},
"host": [
"s3.us-west-2.amazonaws.com"
],
"acl": [
""
]
},
"responseElements": null,
"additionalEventData": {
"SignatureVersion": "SigV4",
"CipherSuite": "ECDHE-RSA-AES128-SHA",
"AuthenticationMethod": "AuthHeader"
},
"requestID": "BD8798EACDD16751",
"eventID": "607b9532-1423-41c7-b048-ec2641693c47",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "s3.amazonaws.com"
}
},
{
"eventVersion": "1.03",
"userIdentity": {
"type": "IAMUser",
"principalId": "111122223333",
"arn": "arn:aws:iam::111122223333:user/myUserName",
"accountId": "111122223333",
"accessKeyId": "AKIAIOSFODNN7EXAMPLE",
"userName": "myUserName"
},
"eventTime": "2019-02-01T03:26:37Z",
"eventSource": "s3.amazonaws.com",
"eventName": "GetBucketVersioning",
"awsRegion": "us-west-2",
"sourceIPAddress": "",
"userAgent": "[]",
"requestParameters": {
"host": [
"s3.us-west-2.amazonaws.com"
],
"bucketName": "amzn-s3-demo-bucket1",
"versioning": [
""
]
},
"responseElements": null,
"additionalEventData": {
"SignatureVersion": "SigV4",
"CipherSuite": "ECDHE-RSA-AES128-SHA",
"AuthenticationMethod": "AuthHeader"
},
"requestID": "07D681279BD94AED",
"eventID": "f2b287f3-0df1-4961-a2f4-c4bdfed47657",
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333",
"tlsDetails": {
"tlsVersion": "TLSv1.2",
"cipherSuite": "ECDHE-RSA-AES128-GCM-SHA256",
"clientProvidedHostHeader": "s3.amazonaws.com"
}
}
]
}
```
# 為 S3 儲存貯體和物件啟用 CloudTrail 事件記錄
您可以使用 CloudTrail 資料事件來取得 Amazon S3 中儲存貯體和物件層級請求的相關資訊。若要針對所有儲存貯體或特定儲存貯體清單啟用 CloudTrail 資料事件,您必須[在 CloudTrail 中手動建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html)。
**注意**
CloudTrail 的預設設定是只尋找管理事件。檢查以確保您已為帳戶啟用資料事件。
您可以使用會產生高工作負載的 S3 儲存貯體來在很短的時間內快速產生大量的日誌。請小心選擇為忙碌的儲存貯體啟用 CloudTrail 資料事件多久。
CloudTrail 會在您選擇的 S3 儲存貯體中存放 Amazon S3 資料事件日誌。請考慮在單獨的 中使用儲存貯體 AWS 帳戶 ,以更妥善地將您可能擁有的多個儲存貯體的事件組織到中央位置,以便於查詢和分析。 AWS Organizations 可協助您建立 AWS 帳戶 ,該 會連結到擁有您正在監控之儲存貯體的帳戶。如需詳細資訊,請參閱[什麼是 AWS Organizations?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) *AWS Organizations 《 使用者指南*》中的 。
當您在 CloudTrail 中記錄追蹤的資料事件時,您可以選擇使用進階事件選取器或基本事件選取器來記錄儲存在一般用途儲存貯體中物件的資料事件。若要記錄儲存在目錄儲存貯體中物件的資料事件,您必須使用進階事件選取器。如需詳細資訊,請參閱[使用適用於 S3 Express One Zone 的 AWS CloudTrail 記錄](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-express-one-zone-logging.html)。
當您使用進階事件選取器在 CloudTrail 主控台中建立追蹤時,您可以針對**日誌選取器範本**選擇**記錄所有事件**來記錄所有物件層級事件。當您使用基本事件選取器在 CloudTrail 主控台中建立追蹤時,您可以在資料事件區段中選取**在您的帳戶中選取所有 S3 儲存貯體**核取方塊來記錄所有物件層級事件。
**注意**
這是為您的 AWS CloudTrail 資料事件儲存貯體建立生命週期組態的最佳實務。設定生命週期組態,在經過您認為必須稽核日誌的期間之後,定期移動日誌檔案。這麼做可降低 Athena 分析每個查詢時的資料量。如需詳細資訊,請參閱[設定儲存貯體的 S3 生命週期組態](how-to-set-lifecycle-configuration-intro.md)。
如需關於記錄格式的詳細資訊,請參閱 [使用 記錄 Amazon S3 API 呼叫 AWS CloudTrail](cloudtrail-logging.md)。
如需有關如何查詢 CloudTrail 日誌的範例,請參閱 *AWS 大數據部落格*文章[《使用 AWS CloudTrail 和 Amazon Athena 來分析安全、合規和營運活動》](https://aws.amazon.com/blogs/big-data/aws-cloudtrail-and-amazon-athena-dive-deep-to-analyze-security-compliance-and-operational-activity/)。
## 使用主控台啟用儲存貯體中物件的記錄
您可以使用 AWS CloudTrail 主控台來設定 CloudTrail 追蹤,以記錄 S3 儲存貯體中物件的資料事件。CloudTrail 支援記錄 `GetObject`、`DeleteObject` 與 `PutObject` 等 Amazon S3 物件層級 API 操作。這些事件稱為*資料事件*。
根據預設,CloudTrail 追蹤不會記錄資料事件,但您可以設定追蹤來記錄指定 S3 儲存貯體的資料事件,或記錄 AWS 帳戶中所有 Amazon S3 儲存貯體的資料事件。如需詳細資訊,請參閱[使用 記錄 Amazon S3 API 呼叫 AWS CloudTrail](cloudtrail-logging.md)。
CloudTrail 不會在 CloudTrail 事件歷程記錄中填入資料事件。此外,並非所有的儲存貯體層級動作都會填入 CloudTrail 事件歷程記錄中。如需有關 CloudTrail 記錄追蹤的 Amazon S3 儲存貯體層級 API 動作的詳細資訊,請參閱 [CloudTrail 日誌記錄所追蹤的 Amazon S3 儲存貯體層級動作](cloudtrail-logging-s3-info.md#cloudtrail-bucket-level-tracking)。如需如何查詢 CloudTrail 日誌的詳細資訊,請參閱 AWS 知識中心有關[使用 Amazon CloudWatch Logs 篩選模式和 Amazon Athena 查詢 CloudTrail 日誌](https://aws.amazon.com/premiumsupport/knowledge-center/find-cloudtrail-object-level-events/)的文章。
**注意**
如果您使用 記錄資料活動 AWS CloudTrail,則 Amazon S3 `DeleteObjects`資料事件的事件記錄會同時包含該操作中刪除的每個物件`DeleteObjects`的事件和`DeleteObject`事件。您可以從事件記錄中排除已刪除物件的其他可見性。如需詳細資訊,請參閱《AWS CloudTrail 使用者指南》**中的[篩選資料事件的AWS CLI 範例](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/filtering-data-events.html#filtering-data-events-deleteobjects)。
為 S3 一般用途儲存貯體或 S3 目錄儲存貯體中的物件啟用 CloudTrail 資料事件日誌記錄,請參閱《AWS CloudTrail 使用者指南》**中的[使用 CloudTrail 主控台建立追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time)。
如需有關記錄 S3 目錄儲存貯體中的物件的詳細資訊,請參閱 [使用目錄儲存貯體的 AWS CloudTrail 記錄](s3-express-one-zone-logging.md)。
如需使用 CloudTrail 主控台設定追蹤來記錄 S3 資料事件的相關資訊,請參閱《AWS CloudTrail 使用者指南》**中的[記錄資料事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html)。
若要停用 S3 儲存貯體中物件的 CloudTrail 資料事件記錄,請參閱《AWS CloudTrail 使用者指南》**中的[使用 CloudTrail 主控台刪除追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-delete-trails-console.html)。
**重要**
資料事件需支付額外的費用。如需詳細資訊,請參閱 [AWS CloudTrail 定價](https://aws.amazon.com/cloudtrail/pricing/)。
如需使用 S3 儲存貯體進行 CloudTrail 記錄的詳細資訊,請參閱下列主題:
+ [建立一般用途儲存貯體](create-bucket-overview.md)
+ [檢視 S3 一般用途儲存貯體的屬性](view-bucket-properties.md)
+ [使用 記錄 Amazon S3 API 呼叫 AWS CloudTrail](cloudtrail-logging.md)
+ 《AWS CloudTrail 使用者指南》**中的[使用 CloudTrail 日誌檔案](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-working-with-log-files.html)
# 使用 CloudTrail 來識別 Amazon S3 請求
在 Amazon S3 中,您可以使用 AWS CloudTrail 事件日誌來識別請求。 AWS CloudTrail 是識別 Amazon S3 請求的偏好方式,但如果您使用的是 Amazon S3 伺服器存取日誌,請參閱 [使用 Amazon S3 伺服器存取日誌來識別請求](using-s3-access-logs-to-identify-requests.md)。
**Topics**
+ [在 CloudTrail 日誌中識別對 Amazon S3 提出的請求](#identify-S3-requests-using-in-CTlog)
+ [使用 CloudTrail 識別 Amazon S3 簽章第 2 版請求](#cloudtrail-identification-sigv2-requests)
+ [使用 CloudTrail 來識別對 S3 物件的存取](#cloudtrail-identification-object-access)
## 在 CloudTrail 日誌中識別對 Amazon S3 提出的請求
將 CloudTrail 設定為將事件交付至儲存貯體後,您在 Amazon S3 主控台上應該會開始看到物件出現在目的地儲存貯體。格式如下所示:
`s3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/Region/yyyy/mm/dd`
CloudTrail 記錄的事件會壓縮為 gzipped JSON 物件存放在 S3 儲存貯體中。為有效率地尋找請求,您應該使用 Amazon Athena 之類的服務,對 CloudTrail 日誌編製索引並進行查詢。
如需 CloudTrail 和 Athena 的詳細資訊,請參閱《*Amazon Athena * [Athena 使用者指南》中的使用分割區投影在 Athena 中建立 AWS CloudTrail 日誌的資料表](https://docs.aws.amazon.com/athena/latest/ug/cloudtrail-logs.html#create-cloudtrail-table-partition-projection)。
## 使用 CloudTrail 識別 Amazon S3 簽章第 2 版請求
您可以使用 CloudTrail 事件日誌,識別用於在 Amazon S3 中簽署請求的 API 簽章版本。此功能相當重要,因為對 Signature 第 2 版的支援即將結束 (已淘汰)。之後,Amazon S3 將不再接受使用簽章第 2 版的請求,所有請求都必須使用*簽章第 4 版*來簽署。
我們「強烈」**建議您使用 CloudTrail 來協助判斷是否有任何工作流程是使用簽章第 2 版簽署。透過將程式庫和程式碼升級為改用 Signature 第 4 版來修補這些工作流程,避免對您的業務造成影響。
如需詳細資訊,請參閱[公告: AWS CloudTrail 適用於 Amazon S3 新增新欄位以進行增強型安全稽核](https://forums.aws.amazon.com/ann.jspa?annID=6551) AWS re:Post。
**注意**
Amazon S3 的 CloudTrail 事件在請求詳細資訊中的金鑰名稱 `additionalEventData` 之下包含簽章版本。若要在對 Amazon S3 中物件提出的請求 (例如 `GET`、`PUT` 和 `DELETE` 請求) 上尋找簽章版本,您必須啟用 CloudTrail 資料事件。(此功能預設為關閉。)
AWS CloudTrail 是識別 Signature 第 2 版請求的偏好方法。如果您使用 Amazon S3 伺服器存取日誌,請參閱 [使用 Amazon S3 存取日誌來識別簽章第 2 版請求](using-s3-access-logs-to-identify-requests.md#using-s3-access-logs-to-identify-sigv2-requests)。
**Topics**
+ [識別 Amazon S3 簽章第 2 版請求的 Athena 查詢範例](#ct-examples-identify-sigv2-requests)
+ [分割 Signature 第 2 版資料](#partitioning-sigv2-data)
### 識別 Amazon S3 簽章第 2 版請求的 Athena 查詢範例
**Example — 選取所有簽章第 2 版事件,並僅列印 `EventTime`、`S3_Action`、`Request_Parameters`、`Region`、`SourceIP` 和 `UserAgent`**
在下列 Athena 查詢中,會將 *`s3_cloudtrail_events_db.cloudtrail_table`* 取代為 Athena 詳細資訊,並視需要提高或移除限制。
```
SELECT EventTime, EventName as S3_Action, requestParameters as Request_Parameters, awsregion as AWS_Region, sourceipaddress as Source_IP, useragent as User_Agent
FROM s3_cloudtrail_events_db.cloudtrail_table
WHERE eventsource='s3.amazonaws.com'
AND json_extract_scalar(additionalEventData, '$.SignatureVersion')='SigV2'
LIMIT 10;
```
**Example — 選取傳送簽章第 2 版流量的所有請求者**
```
SELECT useridentity.arn, Count(requestid) as RequestCount
FROM s3_cloudtrail_events_db.cloudtrail_table
WHERE eventsource='s3.amazonaws.com'
and json_extract_scalar(additionalEventData, '$.SignatureVersion')='SigV2'
Group by useridentity.arn
```
### 分割 Signature 第 2 版資料
如果您要查詢的資料量很多,您可以建立分割資料表來降低 Athena 的成本與執行時間。
做法為建立含分割區的新資料表,如下所示。
```
CREATE EXTERNAL TABLE s3_cloudtrail_events_db.cloudtrail_table_partitioned(
eventversion STRING,
userIdentity STRUCT<
type:STRING,
principalid:STRING,
arn:STRING,
accountid:STRING,
invokedby:STRING,
accesskeyid:STRING,
userName:STRING,
sessioncontext:STRUCT<
attributes:STRUCT<
mfaauthenticated:STRING,
creationdate:STRING>,
sessionIssuer:STRUCT<
type:STRING,
principalId:STRING,
arn:STRING,
accountId:STRING,
userName:STRING>
>
>,
eventTime STRING,
eventSource STRING,
eventName STRING,
awsRegion STRING,
sourceIpAddress STRING,
userAgent STRING,
errorCode STRING,
errorMessage STRING,
requestParameters STRING,
responseElements STRING,
additionalEventData STRING,
requestId STRING,
eventId STRING,
resources ARRAY>,
eventType STRING,
apiVersion STRING,
readOnly STRING,
recipientAccountId STRING,
serviceEventDetails STRING,
sharedEventID STRING,
vpcEndpointId STRING
)
PARTITIONED BY (region string, year string, month string, day string)
ROW FORMAT SERDE 'org.apache.hadoop.hive.ql.io.orc.OrcSerde'
STORED AS INPUTFORMAT 'org.apache.hadoop.hive.ql.io.SymlinkTextInputFormat'
OUTPUTFORMAT 'org.apache.hadoop.hive.ql.io.HiveIgnoreKeyTextOutputFormat'
LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/';
```
接著,請個別建立分割區。您無法從未建立的日期取得結果。
```
ALTER TABLE s3_cloudtrail_events_db.cloudtrail_table_partitioned ADD
PARTITION (region= 'us-east-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/us-east-1/2019/02/19/'
PARTITION (region= 'us-west-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/us-west-1/2019/02/19/'
PARTITION (region= 'us-west-2', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/us-west-2/2019/02/19/'
PARTITION (region= 'ap-southeast-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/ap-southeast-1/2019/02/19/'
PARTITION (region= 'ap-southeast-2', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/ap-southeast-2/2019/02/19/'
PARTITION (region= 'ap-northeast-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/ap-northeast-1/2019/02/19/'
PARTITION (region= 'eu-west-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/eu-west-1/2019/02/19/'
PARTITION (region= 'sa-east-1', year= '2019', month= '02', day= '19') LOCATION 's3://amzn-s3-demo-bucket1/AWSLogs/111122223333/CloudTrail/sa-east-1/2019/02/19/';
```
您就可以根據這些分割區來提出請求,而不須載入整個儲存貯體。
```
SELECT useridentity.arn,
Count(requestid) AS RequestCount
FROM s3_cloudtrail_events_db.cloudtrail_table_partitioned
WHERE eventsource='s3.amazonaws.com'
AND json_extract_scalar(additionalEventData, '$.SignatureVersion')='SigV2'
AND region='us-east-1'
AND year='2019'
AND month='02'
AND day='19'
Group by useridentity.arn
```
## 使用 CloudTrail 來識別對 S3 物件的存取
您可以使用 AWS CloudTrail 事件日誌來識別 `GetObject`、 `DeleteObject`和 等資料事件的 Amazon S3 物件存取請求`PutObject`,並探索這些請求的其他資訊。
**注意**
如果您使用 記錄資料活動 AWS CloudTrail,則 Amazon S3 `DeleteObjects`資料事件的事件記錄會同時包含該操作中刪除的每個物件`DeleteObjects`的事件和`DeleteObject`事件。您可以從事件記錄中排除已刪除物件的其他可見性。如需詳細資訊,請參閱《AWS CloudTrail 使用者指南》**中的[篩選資料事件的AWS CLI 範例](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/filtering-data-events.html#filtering-data-events-deleteobjects)。
下列範例顯示如何從 AWS CloudTrail 事件日誌取得 Amazon S3 的所有`PUT`物件請求。
**Topics**
+ [識別 Amazon S3 物件存取請求的 Athena 查詢範例](#ct-examples-identify-object-access-requests)
### 識別 Amazon S3 物件存取請求的 Athena 查詢範例
在下列 Athena 查詢範例中,會將 *`s3_cloudtrail_events_db.cloudtrail_table`* 取代為 Athena 詳細資訊,並視需要修改日期範圍。
**Example — 選取具有 `PUT` 物件存取請求的所有事件,並僅列印 `EventTime`、`EventSource`、`SourceIP`、`UserAgent`、`BucketName`、`object` 和 `UserARN`**
```
SELECT
eventTime,
eventName,
eventSource,
sourceIpAddress,
userAgent,
json_extract_scalar(requestParameters, '$.bucketName') as bucketName,
json_extract_scalar(requestParameters, '$.key') as object,
userIdentity.arn as userArn
FROM
s3_cloudtrail_events_db.cloudtrail_table
WHERE
eventName = 'PutObject'
AND eventTime BETWEEN '2019-07-05T00:00:00Z' and '2019-07-06T00:00:00Z'
```
**Example — 選取具有 `GET` 物件存取請求的所有事件,並僅列印 `EventTime`、`EventSource`、`SourceIP`、`UserAgent`、`BucketName`、`object` 和 `UserARN`**
```
SELECT
eventTime,
eventName,
eventSource,
sourceIpAddress,
userAgent,
json_extract_scalar(requestParameters, '$.bucketName') as bucketName,
json_extract_scalar(requestParameters, '$.key') as object,
userIdentity.arn as userArn
FROM
s3_cloudtrail_events_db.cloudtrail_table
WHERE
eventName = 'GetObject'
AND eventTime BETWEEN '2019-07-05T00:00:00Z' and '2019-07-06T00:00:00Z'
```
**Example — 選取特定期間儲存貯體的所有匿名申請事件,並僅列印 `EventTime`、`EventName`、`EventSource`、`SourceIP`、`UserAgent`、`BucketName`、`UserARN` 和 `AccountID`**
```
SELECT
eventTime,
eventName,
eventSource,
sourceIpAddress,
userAgent,
json_extract_scalar(requestParameters, '$.bucketName') as bucketName,
userIdentity.arn as userArn,
userIdentity.accountId
FROM
s3_cloudtrail_events_db.cloudtrail_table
WHERE
userIdentity.accountId = 'anonymous'
AND eventTime BETWEEN '2019-07-05T00:00:00Z' and '2019-07-06T00:00:00Z'
```
**Example — 識別需要 ACL 進行授權的所有請求**
下列 Amazon Athena 查詢範例示範如何識別對 S3 儲存貯體提出且需要存取控制清單 (ACL) 進行授權的所有請求。如果請求需要 ACL 進行授權,則 `additionalEventData` 中的 `aclRequired` 值為 `Yes`。如果不需要 ACL,則 `aclRequired` 不存在。您可以使用此資訊,將這些 ACL 許可遷移至適當的儲存貯體政策。在建立了這些儲存貯體政策之後,您可以針對這些儲存貯體停用 ACL。如需停用 ACL 的詳細資訊,請參閱 [停用 ACL 的先決條件](object-ownership-migrating-acls-prerequisites.md)。
```
SELECT
eventTime,
eventName,
eventSource,
sourceIpAddress,
userAgent,
userIdentity.arn as userArn,
json_extract_scalar(requestParameters, '$.bucketName') as bucketName,
json_extract_scalar(requestParameters, '$.key') as object,
json_extract_scalar(additionalEventData, '$.aclRequired') as aclRequired
FROM
s3_cloudtrail_events_db.cloudtrail_table
WHERE
json_extract_scalar(additionalEventData, '$.aclRequired') = 'Yes'
AND eventTime BETWEEN '2022-05-10T00:00:00Z' and '2022-08-10T00:00:00Z'
```
**注意**
對安全監控時而言,這些查詢範例也可能相當實用。您可以檢閱來自意外或未授權 IP 位址或申請者的 `PutObject` 或 `GetObject` 呼叫的結果,以及識別對您儲存貯體的任何匿名請求。
此查詢只會擷取啟用日誌之後的資訊。
如果您使用 Amazon S3 伺服器存取日誌,請參閱 [使用 Amazon S3 存取日誌來識別物件存取請求](using-s3-access-logs-to-identify-requests.md#using-s3-access-logs-to-identify-objects-access)。