本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon S3 的記錄選項 您可以記錄使用者、角色或 Amazon S3 資源 AWS 服務 上採取的動作,並維護日誌記錄以進行稽核和合規。為此,您可以使用伺服器存取日誌記錄或 AWS CloudTrail 日誌記錄,或兩者並用。建議您使用 CloudTrail 為您的 Amazon S3 資源記錄儲存貯體層級和物件層級的動作。如需每個選項的詳細資訊,請參閱下列各節: + [使用伺服器存取記錄記錄要求](ServerLogs.md) + [使用 記錄 Amazon S3 API 呼叫 AWS CloudTrail](cloudtrail-logging.md) 下表列出 CloudTrail 日誌和 Amazon S3 伺服器存取日誌的關鍵屬性。若要確保 AWS CloudTrail 符合您的安全需求,請檢閱表格和備註。 | 日誌屬性 | AWS CloudTrail | Amazon S3 伺服器日誌 | | --- |--- |--- | | 可以轉送至其他系統 (Amazon CloudWatch Logs、Amazon CloudWatch Events) | 是 | No | | 將日誌交付至一個以上的目的地 (例如,將相同的日誌傳送至兩個不同的儲存儲體) | 是 | No | | 開啟物件子集的日誌 (字首) | 是 | No | | 跨帳戶日誌交付 (不同帳戶所擁有的目標和來源儲存儲體) | 是 | No | | 使用數位簽章或雜湊進行日誌檔案的完整性驗證 | 是 | No | | 日誌檔案的預設加密或加密選擇 | 是 | No | | 物件操作 (使用 Amazon S3 API) | 是 | 是 | | 儲存貯體操作 (使用 Amazon S3 API) | 是 | 是 | | 日誌的可搜尋 UI | 是 | No | | 物件鎖定參數的欄位、Amazon S3 Select 的日誌記錄屬性 | 是 | No | | 日誌記錄的 `Object Size`、`Total Time`、`Turn-Around Time` 及 `HTTP Referer` 的欄位 | 否 | 是 | | 生命週期轉換、逾期、還原 | 否 | 是 | | 批次刪除操作中的金鑰記錄 | 是 | 是 | | 身分驗證失敗1 | 否 | 是 | | 交付日誌的帳戶 | 儲存儲體擁有者2,及要求者 | 僅儲存貯體擁有者 | | **Performance and Cost** | **AWS CloudTrail** | **Amazon S3 Server Logs** | | --- |--- |--- | | 價格 | 管理事件 (首次交付) 是免費的;資料事件需支付費用 (除了日誌儲存費用之外) | 僅需支付日誌儲存費用 | | 日誌交付的速度 | 每 5 分鐘的資料事件;每 15 分鐘的管理事件 | 幾小時內 | | 記錄格式 | JSON | 包含空格區隔的日誌檔案、換行分隔的記錄 | **備註** 1. CloudTrail 不會提供驗證失敗 (提供的憑證無效),或因重新導向而失敗 (錯誤代碼 `301 Moved Permanently`) 的請求的日誌。但是,它會包含身分驗證失敗之請求的日誌 (`AccessDenied`),以及匿名使用者提出的請求。 1. 當帳戶沒有請求中物件的完整存取權時,S3 儲存貯體擁有者會收到 CloudTrail 日誌。如需詳細資訊,請參閱[跨帳戶案例中的 Amazon S3 物件層級動作](cloudtrail-logging-s3-info.md#cloudtrail-object-level-crossaccount)。 1. 在下列情況下,S3 不支援將 CloudTrail 日誌或伺服器存取日誌傳送給 VPC 端點請求的請求者或儲存貯體擁有者:當 VPC 端點政策拒絕請求時,或者如果請求在評估 VPC 政策之前失敗。