案例中心

首页
在 AWS News Blog 上监控 Amazon S3 单区域的事件数据与 AWS CloudT

在 AWS News Blog 上监控 Amazon S3 单区域的事件数据与 AWS CloudT

使用 AWS CloudTrail 监控 Amazon S3 Express One Zone 数据事件

关键要点

Amazon S3 Express One Zone 是一种高性能的单可用区存储类，提供低延迟数据访问。现在支持 AWS CloudTrail 数据事件日志，允许监控对象级操作。可以通过 CloudTrail 集成与 Amazon EventBridge 创建规则工作流。详细的步骤指南以及如何过滤数据事件。

在 reInvent 2023 的新闻博客文章中，我们介绍了 Amazon S3 Express One Zone，这是一种高性能的存储类，专为您的高频访问数据和对延迟敏感的应用程序而设计。它能够提供稳定的单毫秒数据访问，性能比 S3 标准高出 10 倍。S3 Express One Zone 使用 S3 目录桶将对象存储在单个可用区AZ中。

从今天起，S3 Express One Zone 支持 AWS CloudTrail 数据事件日志记录，这使得您可以监控所有对象级操作，例如 PutObject、GetObject 和 DeleteObject，以及之前已支持的桶级操作，如 CreateBucket 和 DeleteBucket。此功能有助于审计治理和合规，并帮助您利用 S3 Express One Zone 比 S3 标准存储类低 50 的请求成本。

利用这个新功能，您可以快速确定哪些 S3 Express One Zone 对象被创建、读取、更新或删除，并识别 API 调用的来源。如果您发现未经授权的 S3 Express One Zone 对象访问，可以立即采取措施限制访问。此外，您可以使用 CloudTrail 集成和 Amazon EventBridge 创建基于规则的工作流，以响应数据事件。

使用 CloudTrail 数据事件日志记录 S3 Express One Zone

我首先登陆 Amazon S3 控制台，按照创建目录桶的步骤创建一个 S3 桶，选择“目录”作为桶类型，并将可用区设为 apne1az4。在“基本名称”中，我输入 s3expressonezonecloudtrail，系统将自动添加带有可用区 ID 的后缀以生成最终名称。最后，我勾选“确认数据存储在单个可用区”并选择“创建桶”。

要启用 S3 Express One Zone 的数据事件日志记录，我前往 CloudTrail 控制台，输入名称并创建 CloudTrail 路径来跟踪我的 S3 目录桶事件。

在“步骤 2：选择日志事件”中，我选择“数据事件”，并勾选“启用高级事件选择器”。

在“数据事件类型”中，我选择“S3 Express”。可以选择“记录所有事件”作为“日志选择器模板”，以管理所有 S3 目录桶的数据事件。

不过，我只希望事件数据存储为我 S3 目录桶 s3expressonezonecloudtrailapne1az4xs3 记录事件。在这种情况下，我选择“自定义”作为“日志选择器模板”，并指示我的目录桶的 ARN。有关更多信息，请查看文档中关于使用高级事件选择器过滤数据事件。

最后，进行“步骤 3：审核并创建”。现在，CloudTrail 日志记录已启用。

CloudTrail 数据事件日志记录 S3 Express One Zone 的实际操作：

使用 S3 控制台，我向我的 S3 目录桶上传和下载文件。

通过 AWS CLI，我发送 PutObject 和 GetObject 请求。

bash aws s3api putobject bucket s3expressonezonecloudtrailapne1az4xs3 key cloudtrailtest body cloudtrailtesttxt

aws s3api getobject bucket s3expressonezonecloudtrailapne1az4xs3 key cloudtrailtest responsetxt

CloudTrail 将日志文件发布到 S3 桶中，以 gzip 格式归档并根据桶名称、账户 ID、区域和日期以分层方式组织。使用 AWS CLI，我列出与我的 Trail 关联的桶，并检索测试日期的日志文件。

bash aws s3 ls s3//awscloudtraillogsMYACCOUNTID3b49f368/AWSLogs/MYACCOUNTID/CloudTrail/apnortheast1/2024/07/01/

鲸鱼加速器vip破解版

我得到了以下四个文件，其中两个来自控制台测试，两个来自 CLI 测试：

plaintext20240705 204416 317 MYACCOUNTIDCloudTrailapnortheast120240705T2044ZlzCPfDRSf9OdkdC1jsongz20240705 204736 387 MYACCOUNTIDCloudTrailapnortheast120240705T2047Z95RwiqAHCIrM9rcljsongz20240705 213748 373 MYACCOUNTIDCloudTrailapnortheast120240705T2137ZXk17zhf0cTY0N5bHjsongz20240705 214244 314 MYACCOUNTIDCloudTrailapnortheast120240705T21415ZdhyTsSb3ZeAhU6hRjsongz

让我们在这些文件中查找 PutObject 事件。当我打开第一个文件时，可以看到 PutObject 事件类型。如果您还记得，我刚做了两次上传，一次通过 S3 控制台，通过浏览器，另一次使用 CLI。userAgent 属性，表示发出 API 调用的来源，指的是浏览器，因此此事件与我使用 S3 控制台的上传有关。了解更多关于 CloudTrail 事件的信息，请参阅理解 CloudTrail 事件的文档。

json{ eventTime 20240705T204416Z eventSource s3expressamazonawscom eventName PutObject awsRegion apnortheast1 sourceIPAddress MYIP userAgent Mozilla/50 (Macintosh Intel Mac OS X 10157) AppleWebKit/53736 (KHTML like Gecko) Chrome/125000 Safari/53736 requestParameters { } responseElements {} additionalEventData {} resources [ { type AWSS3ExpressObject ARN arnawss3expressapnortheast1MYACCOUNTIDbucket/s3expressonezonecloudtrailapne1az4xs3/cloudtrailexamplepng } { accountId MYACCOUNTID type AWSS3ExpressDirectoryBucket ARN arnawss3expressapnortheast1MYACCOUNTIDbucket/s3expressonezonecloudtrailapne1az4xs3 } ]}

现在，当我查看第三个文件时，查找与通过 AWS CLI 发送的 PutObject 命令对应的事件，看到 userAgent 属性中有小差异。这次，它指的是 AWS CLI。

json{ eventTime 20240705T213719Z eventSource s3expressamazonawscom eventName PutObject awsRegion apnortheast1 sourceIPAddress MYIP userAgent awscli/2179 md/awscrt#02011 ua/20 os/linux#510218208862amzn2x8664 md/arch#x8664 lang/python#3118 md/pyimpl#CPython cfg/retrymode#standard md/installer#exe md/distrib#amzn2 md/prompt#off md/command#s3apiputobject requestParameters { } responseElements {} additionalEventData {} resources [ { type AWSS3ExpressObject ARN arnawss3expressapnortheast1MYACCOUNTIDbucket/s3expressonezonecloudtrailapne1az4xs3/cloudtrailexamplepng } { accountId MYACCOUNTID type AWSS3ExpressDirectoryBucket ARN arnawss3expressapnortheast1MYACCOUNTIDbucket/s3expressonezonecloudtrailapne1az4xs3 } ]}

接下来，让我们查看第二个文件中的 GetObject 事件。我可以看到事件类型是 GetObject，且 userAgent 指向浏览器，所以该事件指的是我使用 S3 控制台的下载。

json{ eventTime 20240705T204741Z eventSource s3expressamazonawscom eventName GetObject awsRegion apnortheast1 sourceIPAddress MYIP userAgent Mozilla/50 (Macintosh Intel Mac OS X 10157) AppleWebKit/53736 (KHTML like Gecko) Chrome/125000 Safari/53736 requestParameters { } responseElements {} additionalEventData {} resources [ { type AWSS3ExpressObject ARN arnawss3expressapnortheast1MYACCOUNTIDbucket/s3expressonezonecloudtrailapne1az4xs3/cloudtrailexamplepng } { accountId MYACCOUNTID type AWSS3ExpressDirectoryBucket ARN arnawss3expressapnortheast1MYACCOUNTIDbucket/s3expressonezonecloudtrailapne1az4xs3 } ]}

最后，我来展示第四个文件中的 GetObject 命令的事件，查看我从 AWS CLI 发送的命令细节。可以看到eventName 和 userAgent 符合预期。

json{ eventTime 20240705T214204Z eventSource s3expressamazonawscom eventName GetObject awsRegion apnortheast1 sourceIPAddress MYIP userAgent awscli/2179 md/awscrt#02011 ua/20 os/linux#510218208862amzn2x8664 md/arch#x8664 lang/python#3118 md/pyimpl#CPython cfg/retrymode#standard md/installer#exe md/distrib#amzn2 md/prompt#off md/command#s3apiputobject requestParameters { } responseElements {} additionalEventData {} resources [ { type AWSS3ExpressObject ARN arnawss3expressapnortheast1MYACCOUNTIDbucket/s3expressonezonecloudtrailapne1az4xs3/cloudtrailexamplepng } { accountId MYACCOUNTID type AWSS3ExpressDirectoryBucket ARN arnawss3expressapnortheast1MYACCOUNTIDbucket/s3expressonezonecloudtrailapne1az4xs3 } ]}

需知事项

入门您可以通过 CloudTrail 控制台、CLI 或 SDK 启用 S3 Express One Zone 的数据事件日志记录。区域 CloudTrail 数据事件日志记录在所有 S3 Express One Zone 当前可用的 AWS 区域中可用。活动日志通过 S3 Express One Zone 的 CloudTrail 数据事件日志记录，您可以跟踪对象级活动，如 PutObject、GetObject 和 DeleteObject，以及桶级活动，如创建和删除桶。定价与 S3 存储类一样，您为 CloudTrail 中记录 S3 Express One Zone 数据事件的数量和日志保留时间付费。有关更多信息，请查看 AWS CloudTrail 定价页面。

您可以通过启用 CloudTrail 数据事件日志记录，简化高性能存储的治理和合规。要了解更多有关此新功能的信息，请访问 S3 用户指南。

Eli