Événements CloudTrail Amazon S3
Important
Amazon S3 applique désormais le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3) comme niveau de base du chiffrement pour chaque compartiment d’Amazon S3. À partir du 5 janvier 2023, tous les nouveaux chargements d’objets sur Amazon S3 sont automatiquement chiffrés, sans coût supplémentaire et sans impact sur les performances. Le statut de chiffrement automatique pour la configuration de chiffrement par défaut du compartiment S3 et pour les nouveaux chargements d’objets est disponible dans les journaux AWS CloudTrail, S3 Inventory, S3 Storage Lens, dans la console Amazon S3, et en tant qu’en-tête de réponse supplémentaire de l’API Amazon S3 dans l’AWS Command Line Interface et les kits AWS SDK. Pour plus d’informations, consultez la FAQ sur le chiffrement par défaut.
Cette section fournit des informations sur les événements que S3 journalise dans CloudTrail.
Événements de données Amazon S3 dans CloudTrail
Les événements de données fournissent des informations sur les opérations de ressources effectuées sur ou dans une ressource (par exemple, lecture ou écriture de données dans un objet Amazon S3). Ils sont également connus sous le nom opérations de plans de données. Les événements de données sont souvent des activités à fort volume. Par défaut, CloudTrail ne journalise pas les événements de données. L’historique des événements CloudTrail n’enregistre pas les événements de données.
Des frais supplémentaires s’appliquent pour les événements de données. Pour en savoir plus sur la tarification CloudTrail, consultez Tarification d’AWS CloudTrail
Vous pouvez journaliser les événements de données pour les types de ressources Amazon S3 à l’aide de la console CloudTrail, de l’AWS CLI ou des opérations d’API CloudTrail. Pour plus d’informations sur la façon de journaliser les événements de données, consultez Journalisation des événements de données avec la AWS Management Console et Journalisation des événements de données avec l’AWS Command Line Interface dans le Guide de l’utilisateur AWS CloudTrail.
Le tableau suivant répertorie les types de ressources Amazon S3 pour lesquels vous pouvez journaliser les événements de données. La colonne Type d’événement de données (console) indique la valeur à choisir dans la liste Type d’événement de données de la console CloudTrail. La colonne resources.type value indique la valeur de resources.type, que vous devez spécifier lors de la configuration des sélecteurs d’événements avancés à l’aide de l’AWS CLI ou des API CloudTrail. La colonne API de données journalisées dans CloudTrail indique les appels d’API journalisés dans CloudTrail pour le type de ressource.
| Type d’événement de données (console) | valeur resources.type | API de données journalisées dans CloudTrail |
|---|---|---|
| S3 |
AWS::S3::Object
|
|
| S3 Express One Zone |
|
|
| Points d’accès S |
AWS::S3::Access Point
|
|
| S3 Object Lambda |
AWS::S3ObjectLambda::AccessPoint
|
|
| S3 Outposts |
AWS::S3Outposts::Object
|
|
Vous pouvez configurer des sélecteurs d’événements avancés pour filtrer les champs eventName, readOnly et resources.ARN afin de ne journaliser que les événements importants pour vous. Pour plus d’informations sur ces champs, consultez AdvancedFieldSelector dans la Référence des API AWS CloudTrail.
Événements de gestion Amazon S3 dans CloudTrail
Amazon S3 journalise toutes les opérations du plan de contrôle en tant qu’événements de gestion. Pour plus d’informations sur les opérations d’API S3, consultez Référence des API Amazon S3.
Comment CloudTrail capture les demandes envoyées à Amazon S3
Par défaut, CloudTrail journalise les appels d’API au niveau des compartiments S3 qui ont été effectués au cours des 90 derniers jours, mais pas les demandes adressées aux objets. Les appels au niveau des compartiments comprennent des événements tels que CreateBucket, DeleteBucket, PutBucketLifecycle, PutBucketPolicy et ainsi de suite. Vous pouvez voir les événements au niveau du compartiment sur la console CloudTrail. Toutefois, vous ne pouvez pas afficher les événements de données (appels au niveau de l’objet Amazon S3). Vous devez les analyser les journaux CloudTrail ou leur soumettre des requêtes à leur sujet.
Si vous enregistrez l’activité des données avec AWS CloudTrail, l’enregistrement d’un événement de données Amazon S3 DeleteObjects inclut à la fois l’événement DeleteObjects et un événement DeleteObject pour chaque objet supprimé dans le cadre de cette opération. Vous pouvez exclure les informations des objets supprimés de l’enregistrement de l’événement. Pour plus d’informations, consultez Exemples de filtre des événements de données à l’aide de l’AWS CLI dans le Guide de l’utilisateur AWS CloudTrail.
Actions au niveau du compte Amazon S3 suivies par la journalisation CloudTrail
CloudTrail enregistre les actions au niveau du compte. Les enregistrements Amazon S3 sont écrits avec les autres enregistrements de Service AWS dans un fichier journal. CloudTrail détermine quand créer un fichier et y consigner des données en fonction d’une période et d’une taille de fichier.
Les tableaux de cette section répertorient les actions au niveau du compte Amazon S3 prises en charge pour la journalisation par CloudTrail.
Les actions d’API au niveau du compte Amazon S3 journalisées par CloudTrail apparaissent avec les noms d’événements suivants. Les noms des événements CloudTrail diffèrent du nom de l’action d’API. Par exemple, DeletePublicAccessBlock est DeleteAccountPublicAccessBlock.
Actions au niveau du compartiment Amazon S3 qui sont suivies par la journalisation CloudTrail.
Par défaut, CloudTrail journalise les actions au niveau des compartiments pour les compartiments à usage général. Les enregistrements Amazon S3 sont écrits avec les autres enregistrements des services AWS dans un fichier journal. CloudTrail détermine quand créer un fichier et y consigner des données en fonction d’une période et d’une taille de fichier.
Cette section répertorie les actions au niveau des compartiments Amazon S3 prises en charge pour la journalisation par CloudTrail.
Les actions d’API au niveau du compartiment Amazon S3 journalisées par CloudTrail apparaissent avec les noms d’événements suivants. Dans certains cas, le nom de l’événement CloudTrail diffère du nom de l’action d’API. Par exemple, PutBucketLifecycleConfiguration est PutBucketLifecycle.
-
CreateBucketMetadataConfiguration (opération d’API V2)
-
CreateBucketMetadataTableConfiguration (opération d’API V1)
-
DeleteBucketMetadataConfiguration (opération d’API V2)
-
DeleteBucketMetadataTableConfiguration (opération d’API V1)
-
GetBucketMetadataConfiguration (opération d’API V2)
-
GetBucketMetadataTableConfiguration (opération d’API V1)
En plus de ces opérations d’API, vous pouvez également utiliser l’action au niveau de l’objet OPTIONS object. Cette action est traitée comme une action au niveau du compartiment dans la journalisation CloudTrail, car l’action vérifie la configuration CORS d’un compartiment.
Actions au niveau des compartiments Amazon S3 Express One Zone (point de terminaison d’API régional) suivies par la journalisation CloudTrail
Par défaut, CloudTrail journalise les actions au niveau des compartiments pour les compartiments de répertoires en tant qu’événements de gestion. L’élément eventsource des événements de gestion CloudTrail pour S3 Express One Zone est s3express.amazonaws.com.
Les API de point de terminaison régional suivantes sont journalisées dans CloudTrail.
Pour plus d’informations, consultez Journalisation avec AWS CloudTrail pour S3 Express One Zone.
Actions au niveau des objets Amazon S3 dans les scénarios intercomptes
Voici des cas d’utilisation particuliers impliquant des appels d’API au niveau de l’objet dans des scénarios entre comptes et illustrant comment les journaux CloudTrail sont rapportés. CloudTrail fournit des journaux au demandeur (compte à l’origine de l’appel d’API), sauf dans certains cas de refus d’accès lorsque des entrées de journal sont expurgées ou omises. Lorsque vous configurez l’accès intercompte, pensez aux exemples de cette section.
Note
Les exemples supposent que les journaux CloudTrail sont configurés de façon appropriée.
Exemple 1 : CloudTrail fournit des journaux au propriétaire du compartiment
CloudTrail transmet les journaux au propriétaire du compartiment, même si ce dernier ne dispose pas d’autorisations pour la même opération d’API d’objet. Envisagez le scénario entre comptes suivant :
-
Le compte A est le propriétaire du compartiment.
-
Le compte B (le demandeur) tente d’accéder à un objet de ce compartiment.
-
Le compte C est propriétaire de l’objet. Le compte C peut ou non être le même compte que le compte A.
Note
CloudTrail fournit toujours des journaux d’API au niveau de l’objet au demandeur (compte B). En outre, CloudTrail fournit également les mêmes journaux au propriétaire du compartiment (compte A) même si le propriétaire du compartiment ne possède pas l’objet (compte C) ou n’a pas les autorisations pour ces mêmes opérations API sur cet objet.
Exemple 2 : CloudTrail ne pas fait pas proliférer les adresses e-mail utilisées pour configurer les listes ACL d’objets
Envisagez le scénario entre comptes suivant :
-
Le compte A est le propriétaire du compartiment.
-
Le compte B (le demandeur) envoie une demande pour définir un octroi de liste ACL d’objet en utilisant une adresse e-mail. Pour en savoir plus sur les listes ACL, consultez Présentation de la liste de contrôle d’accès (ACL).
Le demandeur obtient les journaux ainsi que les informations de messagerie. Toutefois, le propriétaire du compartiment (s’il est susceptible de recevoir les journaux comme dans l’exemple 1) reçoit le journal CloudTrail consignant l’événement. Cependant, le propriétaire du compartiment n’obtient pas les informations de configuration de liste ACL, notamment l’adresse e-mail du bénéficiaire et l’octroi. La seule information transmise par le journal au propriétaire du compartiment est qu’un appel d’API de liste ACL a été passé par le compte B.
