使用 Amazon CloudTrail 和 Amazon EventBridge 监控默认加密 - Amazon Simple Storage Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 Amazon CloudTrail 和 Amazon EventBridge 监控默认加密

重要

Amazon S3 现在将具有 Amazon S3 托管密钥的服务器端加密(SSE-S3)作为 Amazon S3 中每个存储桶的基本加密级别。从 2023 年 1 月 5 日起,上传到 Amazon S3 的所有新对象都将自动加密,不会产生额外费用,也不会影响性能。S3 存储桶默认加密配置和上传的新对象的自动加密状态可在 Amazon CloudTrail 日志、S3 清单、S3 Storage Lens 存储统计管理工具、Amazon S3 控制台中获得,并可用作 Amazon Command Line Interface 和 Amazon SDK 中的附加 Amazon S3 API 响应标头。有关更多信息,请参阅默认加密常见问题解答

您可以使用 Amazon CloudTrail 事件跟踪 Amazon S3 存储桶的默认加密配置请求。CloudTrail 日志中使用以下 API 事件名称:

  • PutBucketEncryption

  • GetBucketEncryption

  • DeleteBucketEncryption

您还可以创建 EventBridge 规则,以匹配这些 API 调用的 CloudTrail 事件。有关 CloudTrail 事件的更多信息,请参阅使用控制台为存储桶中的对象启用日志记录功能。有关 EventBridge 事件的更多信息,请参阅 Amazon Web Services中的事件

您可以使用 CloudTrail 日志执行对象级 Amazon S3 操作,以跟踪向 Amazon S3 发出的 PUTPOST 请求。您可以使用这些操作来验证在传入 PUT 请求不包含加密标头时是否使用默认加密来加密对象。

当 Amazon S3 使用默认加密设置来加密对象时,日志将包含以下字段之一作为名称/值对:"SSEApplied":"Default_SSE_S3""SSEApplied":"Default_SSE_KMS""SSEApplied":"Default_DSSE_KMS"

当 Amazon S3 使用 PUT 加密标头来加密对象时,日志将包含以下字段之一作为名称/值对:"SSEApplied":"SSE_S3""SSEApplied":"SSE_KMS""SSEApplied":"DSSE_KMS""SSEApplied":"SSE_C"

对于分段上传,该信息包含在 InitiateMultipartUpload API 操作请求中。有关使用 CloudTrail 和 CloudWatch 的更多信息,请参阅监控 Amazon S3