¿Por qué no se entregan los registros de acceso a mis servidores Amazon S3?

4 minutos de lectura

He configurado el registro de acceso al servidor Amazon Simple Storage Service (Amazon S3). Sin embargo, los registros no llegan al bucket al que se supone que deben entregarse.

Descripción breve

Si ha configurado el registro de acceso al servidor de Amazon 3 pero no ve los registros en el bucket esperado, compruebe lo siguiente:

El grupo Log Delivery (cuenta de entrega) tiene acceso al bucket de destino.
La política de buckets del bucket de destino no debe denegar el acceso a los registros.
El bloqueo de objetos de Amazon S3 no debe estar activado en el bucket de destino.
Si el cifrado predeterminado está activado para el bucket de destino, se debe seleccionar AES256 (SSE-S3) como clave de cifrado.
Deje transcurrir un tiempo hasta que surtan efecto los cambios recientes en la configuración del registro.

Resolución

El grupo Log Delivery tiene acceso al bucket de destino

Los registros de acceso al servidor se entregan al bucket de destino (el bucket al que se envían los registros) mediante una cuenta de entrega denominada grupo Log Delivery. Para recibir los registros de acceso al servidor, el grupo Log Delivery debe tener acceso de escritura al bucket de destino. Consulte la lista de control de acceso (ACL) del bucket de destino para comprobar si el grupo Log Delivery tiene acceso de escritura.

Para comprobar y modificar la ACL del bucket de destino mediante la consola de Amazon S3, haga lo siguiente:

Abra la consola de Amazon S3.
En la lista de buckets, elija el bucket de destino al que deben enviarse los registros de acceso al servidor.
Seleccione la pestaña Permisos.
Elija la Lista de control de acceso.
En el grupo Log Delivery de S3, compruebe si el grupo tiene acceso a Escribir objetos. Si el grupo no tiene acceso a Escribir objetos, continúe con el paso siguiente.
Seleccione Log Delivery.
En el cuadro de diálogo LogDelivery, en Acceso a los objetos, seleccione Escribir objetos.
Seleccione Guardar.

La política de buckets de destino no debe denegar el acceso a los registros

Compruebe la política de buckets del bucket de destino. Busque en la política de buckets cualquier sentencia que contenga la palabra «Efecto»: «Denegado». A continuación, compruebe que la sentencia de denegación no impide que los registros de acceso se escriban en el bucket.

Nota: Se recomienda utilizar un bucket independiente para los registros de acceso al servidor. De forma predeterminada, los buckets de S3 son privados, por lo que no es necesario utilizar una sentencia de denegación en la política de buckets para evitar el acceso no autorizado al bucket. Si un usuario o rol de AWS Identity and Access Management (IAM) está en la misma cuenta de AWS que el bucket y la identidad de IAM tiene permisos para el bucket en sus políticas de IAM, el usuario o el rol pueden acceder al bucket.

El bloqueo de objetos de Amazon S3 no debe estar activado en el bucket de destino

Compruebe si el bucket de destino tiene activado el bloqueo de objetos. El bloqueo de objetos impide que se entreguen los registros de acceso al servidor, por lo que debe desactivar el bloqueo de objetos en el bucket al que desea que se envíen los registros.

Si el cifrado predeterminado está activado para el bucket de destino, debe seleccionar AES256 (SSE-S3)

Si utiliza el cifrado predeterminado en el bucket de destino, confirme que se ha seleccionado AES-256 (SSE-S3) como clave de cifrado. No se admite el cifrado mediante AWS-KMS (SSE-KMS). Para obtener instrucciones sobre cómo configurar el cifrado predeterminado mediante la consola de Amazon S3, consulte Activar el cifrado de bucket predeterminado de Amazon S3.

Deje pasar unos momentos para que los cambios recientes en la configuración de los registros tengan efecto

Activar el registro de acceso al servidor por primera vez o cambiar el bucket de destino para los registros puede llevar algo de tiempo para implementarlo por completo. Durante la hora siguiente de activar el registro, es posible que algunas solicitudes no se registren. Durante una hora después de cambiar el bucket de destino, es posible que algunos registros sigan enviándose al bucket de destino anterior. Después de realizar un cambio de configuración en el registro, es recomendable esperar aproximadamente una hora antes de comprobar los registros. Para obtener más información, consulte Entrega de registros del servidor Best effort.

Información relacionada

¿Cómo se entregan los registros?

Temas

Almacenamiento

Etiquetas

Amazon Simple Storage Service

Idioma

Español

OFICIAL DE AWSActualizada hace un año

Contenido relevante

¿Cómo puedo utilizar Amazon Athena para analizar mis registros de acceso al servidor de Amazon S3?
OFICIAL DE AWSActualizada hace 3 meses
¿Por qué no se entregan los registros de Lambda@Edge CloudTrail?
OFICIAL DE AWSActualizada hace 2 años
¿Por qué mis registros de CloudWatch no se exportan a los buckets de S3?
OFICIAL DE AWSActualizada hace un año
¿Por qué los registros de contenedores de Amazon ECS no se entregan a Amazon CloudWatch Logs?
OFICIAL DE AWSActualizada hace 2 años