If you're experiencing issues with your AWS services, then please refer to the AWS Health Dashboard. You can find the overall status of ongoing outages, the health of AWS services, and the latest updates from AWS engineers.
Amazon S3 のバケットとオブジェクトにアクセスしているユーザーを確認する方法を教えてください。
Amazon Simple Storage Service (Amazon S3) のバケットとオブジェクトに誰がアクセスしているかを追跡したいと考えています。
解決策
ユーザー、ロール、AWS サービスが Amazon S3 リソースに対して実行するアクションを記録し、監査やコンプライアンス要件に備えてログ記録を維持できます。Amazon S3 リソースでのアクションを記録するには、サーバーアクセスログ、AWS CloudTrail ログ、または両方の組み合わせを使用できます。
サーバーアクセスログ
サーバーアクセスログは、バケットへのリクエストの詳細なレコードを提供します。詳細なトラフィック分析、アクセスパターン、ライフサイクルアクションの監査、またはきめ細かなリクエストデータが必要な場合は、サーバーアクセスログを使用してください。
Amazon S3 はベストエフォート方式でサーバーアクセスログレコードを配信します。ほとんどのログレコードは、記録されてから数時間以内に入手できますが、それより早く配信される場合もあります。
バケットのサーバーアクセスログを、同じ AWS リージョン内の同じ AWS アカウントが所有する別のバケットに配信できます。送信先バケットに関する重要な考慮事項は次のとおりです。
- 送信先バケットでは、AWS KMS キー (SSE-KMS) によるログレコードのサーバー側の暗号化が自動的に行われません。ログ配信サービスへのアクセスを許可するには、キーポリシーを更新しなければなりません。
- 送信先バケットで S3 Object Lock を有効にすることはできません。
- 送信先バケットには、デフォルトの保存期間を設定してはなりません。
サーバーアクセスログは、汎用バケットでのみ使用できます。
サーバーアクセスログを有効にするには、「Amazon S3 サーバーアクセスログを有効にします」を参照してください。
Amazon Athena でサーバーアクセスログを分析するには、「Amazon Athena で Amazon S3 サーバーアクセスログを分析する方法を教えてください」を参照してください。
AWS CloudTrail ログ
CloudTrail を使用して Amazon S3 に対して行われた API コールを追跡します。CloudTrail は、リクエストを行ったユーザー、リクエストが発生した日時、ソース IP アドレス、リクエストパラメータ、およびレスポンス要素に関する情報を提供します。コンプライアンス、セキュリティ分析、または AWS セキュリティサービスとの統合のための監査証跡が必要な場合は、CloudTrail を使用してください。
CloudTrail は、汎用バケット、ディレクトリバケット、テーブルバケット、ベクトルバケットで使用できます。CloudTrail はサーバーアクセスログ記録よりも高速なログ配信を提供します。データイベントは 5 分ごと、管理イベントは 15 分ごとに配信されます。CloudTrail は、複数のリージョンとアカウントにログを配信できます。ログストレージの料金に加えて、データイベントにも料金が発生します。
CloudTrail のログ記録の詳細については、「AWS CloudTrail を使用した Amazon S3 API コールのログ記録」を参照してください。
CloudTrail ログを有効にするには、「S3 バケットとオブジェクトの CloudTrail イベントログ記録の有効化」を参照してください。
関連情報
関連するコンテンツ
- AWS公式更新しました 7ヶ月前
