Pourquoi mes journaux d'accès au serveur Amazon S3 ne sont-ils pas livrés ?

Lecture de 4 minute(s)

J'ai configuré la journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3), mais les journaux n'alimentent pas le compartiment dans lequel ils sont censés être livrés.

Brève description

Si vous avez configuré la journalisation de l'accès au serveur Amazon 3, mais que les journaux ne se trouvent pas dans le compartiment prévu, vérifiez les points suivants :

Le groupe de livraison des journaux (compte de livraison) a accès au compartiment cible.
La stratégie du compartiment cible ne doit pas refuser l'accès aux journaux.
Amazon S3 Object Lock ne doit pas être activé pour le compartiment cible.
Si le chiffrement par défaut est activé sur le compartiment cible, AES256 (SSE-S3) doit être sélectionné comme clé de chiffrement.
Patientez le temps nécessaire à l'application des modifications récentes de configuration de la journalisation.

Solution

Le groupe de livraison des journaux a accès au compartiment cible.

Les journaux d'accès au serveur sont livrés au compartiment cible (le compartiment auquel les journaux sont envoyés) par un compte de livraison appelé groupe de livraison des journaux. Pour recevoir les journaux d'accès au serveur, le groupe de livraison des journaux doit posséder un accès en écriture au compartiment cible. Vérifiez la liste de contrôle d'accès (ACL) du compartiment cible pour savoir si le groupe de livraison des journaux possède un accès en écriture.

Pour vérifier et modifier la liste ACL du compartiment cible à l'aide de la console Amazon S3, procédez comme suit :

Ouvrez la console Amazon S3.
Dans la liste des compartiments, choisissez le compartiment cible auquel les journaux d'accès au serveur doivent être envoyés.
Sélectionnez l'onglet Permissions (Autorisations).
Choisissez Access Control List (Liste de contrôle d’accès).
Sous S3 log delivery group (Groupe de livraison des journaux S3), vérifiez si le groupe a accès aux objets Write. Si le groupe n'a pas accès aux objets Write, passez à l'étape suivante.
Sélectionnez Log Delivery (Livraison des journaux).
Dans la boîte de dialogue LogDelivery (Livraison des journaux), sous Access to the objects (Accès aux objets), sélectionnez Write objects (Écrire des objets).
Choisissez Save (Enregistrer).

La stratégie du compartiment cible ne doit pas refuser l'accès aux journaux.

Vérifiez la stratégie du compartiment cible. Recherchez dans la stratégie de compartiment les instructions contenant "Effect": "Deny". Vérifiez ensuite que l'instruction de refus n'empêche pas l'écriture des journaux d'accès dans le compartiment.

Remarque : il est recommandé d'utiliser un compartiment distinct pour les journaux d'accès au serveur. Par défaut, les compartiments S3 étant privés, il n'est pas nécessaire d'utiliser une instruction de refus dans la stratégie de compartiment pour empêcher tout accès non autorisé au compartiment. Si un utilisateur ou un rôle de gestion des identités et des accès AWS (IAM) se trouve dans le même compte AWS que le compartiment et que l'identité IAM dispose des autorisations nécessaires pour l'accès au compartiment dans ses stratégies IAM, l'utilisateur ou le rôle peut accéder au compartiment.

Amazon S3 Object Lock ne doit pas être activé pour le compartiment cible

Vérifiez si Object Lock est activé pour le compartiment cible. Object Lock empêche la livraison des journaux d'accès au serveur. Vous devez donc désactiver Object Lock sur le compartiment auquel vous voulez envoyer les journaux.

Si le chiffrement par défaut est activé sur le compartiment cible, AES256 (SSE-S3) doit être sélectionné.

Si vous utilisez le chiffrement par défaut sur le compartiment cible, vérifiez que AES-256 (SSE-S3) est sélectionné comme clé de chiffrement. Le chiffrement à l'aide d'AWS-KMS (SSE-KMS) n'est pas pris en charge. Pour obtenir des instructions sur la configuration du chiffrement par défaut à l'aide de la console Amazon S3, consultez la section Activation du chiffrement par défaut des compartiments Amazon S3.

Patientez le temps nécessaire à l'application des modifications récentes de configuration de la journalisation.

La première activation de la journalisation des accès au serveur ou la modification du compartiment cible pour les journaux peut nécessiter un certain temps pour être entièrement réalisée. Pendant l'heure qui suit l'activation de la journalisation, certaines requêtes ne seront peut-être pas journalisées. Pendant l'heure qui suit la modification du compartiment cible, certains journaux seront peut-être livrés au compartiment cible précédent. Après avoir modifié la configuration de la journalisation, patientez environ une heure avant de vérifier les journaux. Pour plus d'informations, consultez la section Livraison des journaux du serveur dans la mesure du possible.

Informations connexes

Comment sont fournis les journaux ?

Sujets

Stockage

Balises

Amazon Simple Storage Service

Langue

Français

AWS OFFICIELA mis à jour il y a un an

Aucun commentaire

Contenus pertinents

Mon loadbalancer ne marche pas comme il devrait
zerros
demandé il y a un an
mon serveur arrête subitement de marcher sans que je ne fasse rien, plus possible d'utiliser SSH et l accès http web
ciao
demandé il y a 2 mois
[workmail] Le système n'a pas pu livrer votre courrier.
romain
demandé il y a 4 mois
Désactiver le chiffrement côté serveur sur Amazon S3
rePost-User-6017646
demandé il y a un an
Je n'arrive pas à me Connecter sur AWS
Pierre Ndiaye
demandé il y a 10 mois
Pourquoi les courriels que j'envoie via Amazon SES ne sont-ils pas livrés?
AWS OFFICIELA mis à jour il y a un an
Pourquoi mes objets Amazon S3 ne se répliquent-ils pas lorsque je configure la réplication entre mes compartiments ?
AWS OFFICIELA mis à jour il y a un an
Pourquoi les journaux CloudTrail Lambda@Edge ne sont-ils pas livrés ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je corriger l’erreur « Vous devez être connecté au serveur (non autorisé) » lorsque je me connecte au serveur d’API Amazon EKS ?
AWS OFFICIELA mis à jour il y a un an