Identificando solicitações do Amazon S3 Ações no nível da conta do Amazon S3 rastreadas pelo registro em log do CloudTrail Ações de buckets do Amazon S3 rastreadas pelo registro em log do CloudTrail Ações no nível do bucket da classe S3 Express One Zone (endpoint de API regional) monitoradas pelo registro em log do CloudTrail Ações de objetos do Amazon S3 rastreadas pelo registro em log do AWS CloudTrail

Eventos do CloudTrail no Amazon S3

Importante

O Amazon S3 agora aplica criptografia do lado do servidor com chaves gerenciadas do Amazon S3 (SSE-S3) como nível básico de criptografia para cada bucket no Amazon S3. Desde 5 de janeiro de 2023, todos os novos uploads de objetos para o Amazon S3 são automaticamente criptografados sem custo adicional e sem impacto na performance. O status de criptografia automática para a configuração de criptografia padrão do bucket do S3 e para novos uploads de objetos está disponível em logs do AWS CloudTrail, no Inventário do S3, na Lente de Armazenamento do S3, no console do Amazon S3 e como cabeçalho adicional de resposta da API do Amazon S3 na AWS Command Line Interface e em AWS SDKs. Para obter mais informações, consulte Perguntas frequentes sobre criptografia padrão.

O CloudTrail é habilitado em sua Conta da AWS quando ela é criada. Quando a atividade do evento compatível ocorrer no Amazon S3, ela será registrada em um evento do CloudTrail juntamente com outros eventos de serviços da AWS no Event history (Histórico de eventos). Você pode visualizar, pesquisar e baixar eventos recentes em sua Conta da AWS. Para obter mais informações, consulte Visualizar eventos com o histórico de eventos do CloudTrail.

Para obter um registro de eventos em andamento na sua Conta da AWS, incluindo eventos do Amazon S3, crie uma trilha. Uma trilha permite que o CloudTrail entregue arquivos de log a um bucket do Amazon S3. Por padrão, quando você cria uma trilha no console, ela é aplicada a todas as Regiões da . A trilha registra em log eventos de todas as Regiões na partição da AWS e entrega os arquivos de log para o bucket do Amazon S3 especificado por você. Além disso, é possível configurar outros AWS serviços para melhor analisar e agir de acordo com dados coletados do evento nos logs do CloudTrail. Para mais informações, consulte:

Cada entrada de log ou evento contém informações sobre quem gerou a solicitação. As informações de identidade ajudam a determinar:

Se a solicitação foi feita com credenciais de usuário raiz ou de usuário do IAM
Se a solicitação foi feita com credenciais de segurança temporárias de um perfil ou de um usuário federado
Se a solicitação foi feita por outro AWS service (Serviço da AWS)

Para obter mais informações, consulte o Elemento userIdentity do CloudTrail.

Você pode armazenar arquivos de log no bucket pelo tempo que desejar, mas também pode definir regras do ciclo de vida do Amazon S3 para arquivar ou excluir os arquivos de log automaticamente. Por padrão, os arquivos de log são criptografados usando-se Server-Side Encryption (SSE - Criptografia do lado do servidor) do Amazon S3.

Como o CloudTrail captura solicitações feitas para o Amazon S3

Por padrão, o CloudTrail registra em log chamadas de API no nível de buckets do S3 que foram feitas nos últimos 90 dias, mas não registra em log solicitações feitas a objetos. As chamadas de buckets incluem eventos como CreateBucket, DeleteBucket, PutBucketLifecycle, PutBucketPolicy e assim por diante. Você pode ver eventos no nível do bucket no console do CloudTrail. No entanto, não é possível visualizar eventos de dados (chamadas no nível do objeto do Amazon S3). Você deve analisar ou consultar os logs do CloudTrail para eles.

Ações no nível da conta do Amazon S3 rastreadas pelo registro em log do CloudTrail

O CloudTrail registra ações no nível da conta. Os registros do Amazon S3 são gravados com outros registros de AWS service (Serviço da AWS) em um arquivo de log. O CloudTrail determina quando criar e gravar em um novo arquivo de acordo com o período e o tamanho do arquivo.

As tabelas nesta seção listam as ações no nível da conta do Amazon S3 que são compatíveis com o registro do CloudTrail.

Ações de API no nível da conta do Amazon S3 rastreadas pelo registro em log do CloudTrail aparecem como os seguintes nomes de eventos. Os nomes dos eventos do CloudTrail diferem do nome da ação da API. Por exemplo, DeletePublicAccessBlock é DeleteAccountPublicAccessBlock.

Ações de buckets do Amazon S3 rastreadas pelo registro em log do CloudTrail

Por padrão, o CloudTrail registra em log as ações nos buckets de uso geral. Os registros do Amazon S3 são gravados com outros registros de serviço da AWS em um arquivo de log. O CloudTrail determina quando criar e gravar em um novo arquivo de acordo com o período e o tamanho do arquivo.

Esta seção lista as ações no nível do bucket do Amazon S3 que são compatíveis com o registro em log do CloudTrail.

Ações de API no nível do bucket do Amazon S3 rastreadas pelo registro em log do CloudTrail aparecerão como os seguintes nomes de eventos. Em alguns casos, o nome do evento do CloudTrail é diferente do nome da ação da API. Por exemplo, PutBucketLifecycleConfiguration é PutBucketLifecycle.

Além dessas operações de API, também é possível usar a ação de objetos OPTIONS object. Essa ação é tratada como uma ação do nível do bucket no registro em log do CloudTrail, pois verifica a configuração CORS de um bucket.

Ações no nível do bucket da classe S3 Express One Zone (endpoint de API regional) monitoradas pelo registro em log do CloudTrail

Por padrão, o CloudTrail registra em log as ações nos buckets de diretório como eventos de gerenciamento. O eventsource para os eventos de gerenciamento do CloudTrail para a classe S3 Express One Zone é s3express.amazonaws.com.

nota

Para a classe S3 Express One Zone, o registro em log do CloudTrail de operações de API do endpoint zonal (nível de objeto ou plano de dados) (por exemplo, PutObject ou GetObject) não é compatível.

Veja a seguir as operações de API de endpoint regional que são registradas em log no CloudTrail.

Para ter mais informações, consulte Práticas recomendadas de segurança para a classe S3 Express One Zone.

Ações de objetos do Amazon S3 rastreadas pelo registro em log do AWS CloudTrail

Você também pode obter logs do CloudTrail para ações do Amazon S3 no nível do objeto. Para fazer isso, ative eventos de dados para o bucket do S3 ou todos os buckets em sua conta. Quando uma ação do nível do objeto ocorre em sua conta, o CloudTrail avalia suas configurações de trilha. Se o evento corresponder ao objeto que você especificou em uma trilha, o evento será registrado. Para obter mais informações, consulte Habilitar o log de eventos do CloudTrail para buckets e objetos do S3 e Log de eventos de dados para trilhas no Guia do usuário do AWS CloudTrail.

nota

O S3 não é compatível com a entrega de logs do CloudTrail ao solicitante ou ao proprietário do bucket para solicitações de endpoint da VPC quando a política de endpoint da VPC as nega.

Ações de API no nível do objeto do Amazon S3 rastreadas pelo registro em log do CloudTrail aparecerão como os seguintes nomes de eventos. Em alguns casos, o nome do evento do CloudTrail é diferente do nome da ação da API.

Ações do nível de objetos em cenários entre contas

Os seguintes são casos de uso especiais que envolvem chamadas de API do nível do objeto em cenários entre contas e como os logs do CloudTrail são relatados. O CloudTrail entrega logs ao solicitante (a conta que fez a chamada de API), exceto em alguns casos de acesso negado em que as entradas de log são editadas ou omitidas. Para estabelecer acesso entre contas, considere os exemplos nesta seção.

nota

Os exemplos supõem que os logs do CloudTrail estejam configurados adequadamente.

Exemplo 1: CloudTrail entrega logs ao proprietário do bucket

O CloudTrail entrega os logs de acesso ao proprietário do bucket mesmo que o proprietário do bucket não tenha permissão para a mesma operação de API do objeto. Considere o seguinte cenário entre contas:

A conta A é proprietária do bucket.
A conta B (o solicitante) tenta acessar um objeto nesse bucket.
A conta C é proprietária do objeto. A conta C pode ou não ser igual à conta A.

nota

O CloudTrail sempre entrega os logs de API de objetos ao solicitante (conta B). Além disso, o CloudTrail também entrega os mesmo logs ao proprietário do bucket (conta A) mesmo quando o proprietário do bucket (conta C) não é proprietário do objeto (conta C) nem tem permissões para as mesmas operações de API sobre esse objeto.

Exemplo 2: CloudTrail não prolifera os endereços de e-mail usados na definição de ACLs de objeto

Considere o seguinte cenário entre contas:

A conta A é proprietária do bucket.
A conta B (solicitante) envia uma solicitação para definir uma concessão de ACL de objeto usando um endereço de e-mail. Para obter mais informações sobre ACLs, consulte Visão geral da lista de controle de acesso (ACL).

O solicitante recebe os logs junto com as informações do e-mail. Contudo, o proprietário do bucket - se for qualificado para receber logs como no exemplo 1 - recebe o log do CloudTrail que relata o evento. Contudo, o proprietário do bucket não obtém as informações de configuração da ACL, especificamente o endereço de e-mail do favorecido e a concessão. A única informação que o log dá ao proprietário do bucket é que a chamada da API da ACL foi feita pela conta B.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Registrar em log com o CloudTrail

Exemplos de arquivos de log