# 使用 Amazon CloudTrail 和 Amazon EventBridge 监控默认加密 **重要** Amazon S3 现在将具有 Amazon S3 托管密钥的服务器端加密(SSE-S3)作为 Amazon S3 中每个存储桶的基本加密级别。从 2023 年 1 月 5 日起,上传到 Amazon S3 的所有新对象都将自动加密,不会产生额外费用,也不会影响性能。S3 存储桶默认加密配置和上传的新对象的自动加密状态可在 CloudTrail 日志、S3 清单、S3 Storage Lens 存储统计管理工具和 Amazon S3 控制台中查看,并可用作 Amazon CLI 和 Amazon SDK 中的附加 Amazon S3 API 响应标头。有关更多信息,请参阅[默认加密常见问题解答](https://docs.amazonaws.cn/AmazonS3/latest/userguide/default-encryption-faq.html)。 您可以使用 Amazon CloudTrail 事件跟踪 Amazon S3 存储桶的默认加密配置请求。CloudTrail 日志中使用以下 API 事件名称: + `PutBucketEncryption` + `GetBucketEncryption` + `DeleteBucketEncryption` 您还可以创建 EventBridge 规则,以匹配这些 API 调用的 CloudTrail 事件。有关 CloudTrail 事件的更多信息,请参阅[使用控制台为存储桶中的对象启用日志记录功能](enable-cloudtrail-logging-for-s3.md#enable-cloudtrail-events)。有关 EventBridge 事件的更多信息,请参阅 [Amazon Web Services 服务中的事件](https://docs.amazonaws.cn/eventbridge/latest/userguide/eb-service-event.html)。 您可以使用 CloudTrail 日志执行对象级 Amazon S3 操作,以跟踪向 Amazon S3 发出的 `PUT` 和 `POST` 请求。您可以使用这些操作来验证在传入 `PUT` 请求不包含加密标头时是否使用默认加密来加密对象。 当 Amazon S3 使用默认加密设置来加密对象时,日志将包含以下字段之一作为名称/值对:`"SSEApplied":"Default_SSE_S3"`、`"SSEApplied":"Default_SSE_KMS"` 或 `"SSEApplied":"Default_DSSE_KMS"`。 当 Amazon S3 使用 `PUT` 加密标头来加密对象时,日志将包含以下字段之一作为名称/值对:`"SSEApplied":"SSE_S3"`、`"SSEApplied":"SSE_KMS"`、`"SSEApplied":"DSSE_KMS"` 或 `"SSEApplied":"SSE_C"`。 对于分段上传,该信息包含在 `InitiateMultipartUpload` API 操作请求中。有关使用 CloudTrail 和 CloudWatch 的更多信息,请参阅[Amazon S3 中的日志记录和监控](monitoring-overview.md)。