使用 CloudTrail 和 CloudWatch 监控默认加密 - Amazon Simple Storage Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

欢迎使用新的 Amazon S3 用户指南! Amazon S3 用户指南结合了以下三个已停用的指南中的信息和说明:Amazon S3 开发人员指南Amazon S3 控制台用户指南Amazon S3 入门指南

使用 CloudTrail 和 CloudWatch 监控默认加密

您可以使用 AWS CloudTrail 事件跟踪 Amazon S3 存储桶的默认加密配置请求。CloudTrail 日志中使用以下 API 事件名称:

  • PutBucketEncryption

  • GetBucketEncryption

  • DeleteBucketEncryption

您也可以使用 S3 存储桶级别操作作为事件类型来创建 Amazon CloudWatch Events。有关 CloudTrail 事件的更多信息,请参阅使用控制台为存储桶中的对象启用日志记录功能

您可以使用 CloudTrail 日志执行对象级 Amazon S3 操作,以跟踪向 Amazon S3 发出的 PUTPOST 请求。您可以使用这些操作来验证在传入 PUT 请求不包含加密标头时是否使用默认加密来加密对象。

在 Amazon S3 使用默认加密设置来加密对象时,日志将包含以下字段作为名称/值对:"SSEApplied":"Default_SSE_S3" or "SSEApplied":"Default_SSE_KMS"

在 Amazon S3 使用 PUT 加密标头来加密对象时,日志将包含以下字段之一作为名称/值对:"SSEApplied":"SSE_S3", "SSEApplied":"SSE_KMS"SSEApplied":"SSE_C"

对于分段上传,该信息包含在 InitiateMultipartUpload API 请求中。有关使用 CloudTrail 和 CloudWatch 的更多信息,请参阅监控 Amazon S3