AWS CloudTrail が Amazon S3 DeleteObjects API のロギングを強化
本日、AWS は AWS CloudTrail に関して、Amazon S3 DeleteObjects API のロギングの強化を発表しました。これにより、一括削除オペレーションの可視性が向上し、効果的に Amazon S3 バケットを保護し、使用状況をモニタリングできるようになります。
Amazon S3 の DeleteObjects API を使用すると、1 回のオペレーションでオブジェクトを一括削除できます。このメソッドは、コンソールでオブジェクトを削除する際にデフォルトで使用されます。
これまでは、DeleteObjects API コールを使用して複数の S3 オブジェクトを削除すると、CloudTrail によって DeleteObjects API コールが 1 つのイベントとしてログに記録されていました。これにより、誰がどのバケットを対象に API コールを実行したかがわかります。ただし、このイベントには、どのオブジェクトが対象となったのかや、どのオブジェクトが正常に削除されたのかという情報は含まれていません。今回のアップデートにより、CloudTrail で以下の情報がログに記録されるようになり、可視性が向上します。
- DeleteObjects API コールイベント全体 (以前と同様)
- 一括削除リクエストに含まれる各オブジェクトの個別の DeleteObject イベント (新機能)
この機能強化により、一括削除リクエストの一部として削除された個々の S3 オブジェクトを把握できるようになります。このような詳細な記録があると、セキュリティ体制が強化され、S3 バケット内の削除アクティビティに関して詳しい情報が得られるため、コンプライアンス要件を満たすうえで役立ちます。高度なイベントセレクターを使用して、ユースケースに最も関連性の高いデータイベントのみをログに記録することもできます。高度なイベントセレクターを使用して、個別の DeleteObject データイベントを除外する方法については、こちらのドキュメントをご覧ください。この機能は、AWS 商用リージョンで利用できます。