Verwenden von CloudTrail-Protokollen mit Amazon-S3-Server-Zugriffsprotokollen und CloudWatch Logs CloudTrail-Verfolgung mit Aufrufen von Amazon S3 SOAP API.

Protokollieren von Amazon-S3-API-Aufrufen mit AWS CloudTrail

AWS CloudTrail ist ein Service, der die Aktionen eines Benutzers, einer Rolle oder eines AWS-Service protokolliert. CloudTrail erfasst alle API-Aufrufe für Amazon S3 als Ereignisse. Zu den erfassten Aufrufen gehören Aufrufe von der Amazon-S3-Konsole und Code-Aufrufe der Amazon-S3-API-Operationen. Mit den von CloudTrail erfassten Informationen können Sie die gestellte Anforderung an Amazon S3, die IP-Adresse, von der die Anforderung gestellt wurde, den Initiator der Anforderung, den Zeitpunkt der Anforderung und zusätzliche Details bestimmen.

Jeder Ereignis- oder Protokolleintrag enthält Informationen zu dem Benutzer, der die Anforderung generiert hat. Die Identitätsinformationen unterstützen Sie bei der Ermittlung der folgenden Punkte:

Ob die Anfrage mit Anmeldeinformationen des Root-Benutzers oder des Benutzers gestellt wurde.
Die Anforderung wurde im Namen eines IAM-Identity-Center-Benutzers erstellt.
Gibt an, ob die Anforderung mit temporären Sicherheitsanmeldeinformationen für eine Rolle oder einen Verbundbenutzer gesendet wurde.
Ob die Anforderung aus einem anderen gesendet wurde AWS-Service.

Bei Kontoerstellung ist CloudTrail standardmäßig in AWS-Konto aktiviert und Sie haben automatisch Zugriff auf den CloudTrail-Ereignisverlauf. Der CloudTrail-Ereignisverlauf stellt eine anzeigbare, durchsuchbare, herunterladbare und unveränderliche Aufzeichnung der Verwaltungsereignisse der letzten 90 Tage in einer AWS-Region bereit. Weitere Informationen finden Sie unter Arbeiten mit dem CloudTrail-Ereignisverlauf im AWS CloudTrail-Benutzerhandbuch. Für die Anzeige des Eventverlaufs fallen keine CloudTrail-Gebühren an.

Erstellen Sie einen Trail oder einen Ereignisdatenspeicher in CloudTrail Lake, um Aktivitäten und Ereignisse in Ihrer AWS-Konto über 90 Tage hinaus fortlaufend aufzuzeichnen.

CloudTrail-Trails

Ein Trail ermöglicht es CloudTrail, Protokolldateien in einem Amazon-S3-Bucket bereitzustellen. Trails, die mit der AWS-Managementkonsole erstellt wurden, sind multiregional. Sie können mithilfe von AWS CLI einen Einzel-Region- oder einen Multi-Region-Trail erstellen. Das Erstellen eines Multi-Region-Trails wird empfohlen, da Sie so die Aktivitäten in allen AWS-Regionen in Ihrem Konto erfassen. Wenn Sie einen Einzel-Region-Trail erstellen, können Sie nur die Ereignisse anzeigen, die im AWS-Region des Trails protokolliert wurden. Weitere Informationen zu Trails finden Sie unter Erstellen eines Trails für Ihr AWS-Konto und Erstellen eines Trails für eine Organisation im AWS CloudTrail-Benutzerhandbuch.

Sie können eine Kopie Ihrer laufenden Verwaltungsereignisse kostenlos von CloudTrail an Ihren Amazon-S3-Bucket senden, indem Sie einen Trail erstellen. Es fallen jedoch Speichergebühren für Amazon S3 an. Weitere Informationen zu CloudTrail-Preisen finden Sie unter AWS CloudTrail – Preise. Informationen zu Amazon-S3-Preisen finden Sie unter Amazon S3 – Preise.

CloudTrail-Lake-Ereignisdatenspeicher

Mit CloudTrail Lake können Sie SQL-basierte Abfragen zu Ihren Ereignissen ausführen. CloudTrail Lake konvertiert vorhandene Ereignisse im zeilenbasierten JSON-Format in das Apache ORC-Format. ORC ist ein spaltenförmiges Speicherformat, das für den schnellen Abruf von Daten optimiert ist. Die Ereignisse werden in Ereignisdatenspeichern zusammengefasst, bei denen es sich um unveränderliche Sammlungen von Ereignissen handelt, die auf Kriterien basieren, die Sie mit Hilfe von erweiterten Ereignisselektoren auswählen. Die Selektoren, die Sie auf einen Ereignisdatenspeicher anwenden, steuern, welche Ereignisse bestehen bleiben und für Sie zur Abfrage verfügbar sind. Weitere Informationen zu CloudTrail Lake finden Sie unter Arbeiten mit AWS CloudTrail-Lake im AWS CloudTrail-Benutzerhandbuch.

Für CloudTrail-Lake-Ereignisdatenspeicher und -abfragen fallen Gebühren an. Beim Erstellen eines Ereignisdatenspeichers wählen Sie die Preisoption aus, die für den Ereignisdatenspeicher genutzt werden soll. Die Preisoption bestimmt die Kosten für die Erfassung und Speicherung von Ereignissen sowie die standardmäßige und maximale Aufbewahrungsdauer für den Ereignisdatenspeicher. Weitere Informationen zu CloudTrail-Preisen finden Sie unter AWS CloudTrail – Preise.

Sie können Ihre Protokolldateien beliebig lange im Bucket speichern. Sie können aber auch Amazon S3-Lebenszyklusregeln aufstellen, anhand derer die Protokolldateien automatisch archiviert oder gelöscht werden. Standardmäßig werden die Protokolldateien mit serverseitiger Amazon S3-Verschlüsselung (SSE) verschlüsselt.

Verwenden von CloudTrail-Protokollen mit Amazon-S3-Server-Zugriffsprotokollen und CloudWatch Logs

AWS CloudTrail-Protokolle enthalten eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS-Service in Amazon S3 durchgeführt wurden, während Amazon-S3-Server-Zugriffsprotokolle detaillierte Aufzeichnungen für die Anfragen enthalten, die an einen S3-Bucket gestellt werden. Weitere Informationen zur Funktionsweise der unterschiedlichen Protokolle und ihren Eigenschaften, ihrer Leistung und ihrer Kosten finden Sie unter Protokollierungsoptionen für Amazon S3.

Sie können AWS CloudTrail-Protokolle zusammen mit Server-Zugriffsprotokollen für Amazon S3 verwenden. CloudTrail-Protokolle bieten Ihnen detailliertes API-Tracking für Amazon-S3-Vorgänge auf Bucket- und auf Objektebene. Serverzugriffsprotokolle für Amazon S3 bieten Einblicke in Operationen auf Objektebene für Ihre Daten in Amazon S3. Weitere Informationen zu Server-Zugriffsprotokollen finden Sie unter Protokollieren von Anfragen mit Server-Zugriffsprotokollierung.

Sie können CloudTrail-Protokolle auch zusammen mit Amazon CloudWatch für Amazon S3 verwenden. Die CloudTrail-Integration mit CloudWatch Logs übermittelt API-Aktivitäten auf S3-Bucket-Ebene, die von CloudTrail erfasst wurden, an einen CloudWatch-Protokollstream in der von Ihnen festgelegten CloudWatch-Protokollgruppe. Sie können CloudWatch-Alarme für die Überwachung bestimmter API-Aktivitäten erstellen und erhalten Benachrichtigungen per E-Mail, wenn die spezifische API-Aktivität stattfindet. Weitere Informationen zu CloudWatch-Alarmen zur Überwachung bestimmter API-Aktivitäten finden Sie im AWS CloudTrail-Benutzerhandbuch. Weitere Informationen zur Verwendung von CloudWatch mit Amazon S3 finden Sie unter Überwachen von Metriken mit Amazon CloudWatch.

Anmerkung

S3 unterstützt keine Übermittlung von CloudTrail-Protokollen an den Anforderer oder den Bucket-Eigentümer für VPC-Endpunktanforderungen, wenn die VPC-Endpunktrichtlinie diese verweigert.

CloudTrail-Verfolgung mit Aufrufen von Amazon S3 SOAP API.

CloudTrail verfolgt Aufrufe von Amazon S3 SOAP API. Die Amazon S3 SOAP-Unterstützung über HTTP ist veraltet, steht über HTTPS aber noch zur Verfügung. Weitere Informationen über die Amazon-S3-SOAP-Unterstützung finden Sie unter Anhang: SOAP-API in der Amazon-S3-API-Referenz.

Wichtig

Neuere Amazon-S3-Funktionen werden unter SOAP nicht unterstützt. Wir empfehlen, entweder die REST-API oder die AWS-SDKs zu verwenden.

Die folgende Tabelle zeigt Amazon-S3-SOAP-Aktionen, die durch CloudTrail-Protokollierung verfolgt werden.

SOAP API-Name	Im CloudTrail-Protokoll verwendeter API-Ereignisname
ListAllMyBuckets	`ListBuckets`
CreateBucket	`CreateBucket`
DeleteBucket	`DeleteBucket`
GetBucketAccessControlPolicy	`GetBucketAcl`
SetBucketAccessControlPolicy	`PutBucketAcl`
GetBucketLoggingStatus	`GetBucketLogging`
SetBucketLoggingStatus	`PutBucketLogging`

Weitere Informationen zu CloudTrail und Amazon S3 finden Sie in den folgenden Themen:

Themen

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Protokollierungsoptionen

CloudTrail-Ereignisse