Perché i log di accesso al mio server Amazon S3 non vengono consegnati?

4 minuti di lettura
0

Ho configurato la registrazione degli accessi al server Amazon Simple Storage Service (Amazon S3). Tuttavia, i log non popolano il bucket a cui dovrebbero essere consegnati.

Breve descrizione

Se hai configurato la registrazione degli accessi al server Amazon 3 ma non visualizzi i log nel bucket previsto, verifica quanto segue:

  • Il gruppo Log Delivery (account di distribuzione) ha accesso al bucket di destinazione.
  • La policy dei bucket del bucket di destinazione non deve negare l'accesso ai log.
  • Amazon S3 Object Lock non deve essere attivato per il bucket di destinazione.
  • Se la crittografia predefinita è attivata per il bucket di destinazione, è necessario selezionare AES256 (SSE-S3) come chiave di crittografia.
  • Attendi un po' di tempo affinché le recenti modifiche alla configurazione della registrazione abbiano effetto.

Risoluzione

Il gruppo Log Delivery ha accesso al bucket di destinazione

I log di accesso al server vengono distributi al bucket di destinazione (il bucket a cui vengono inviati i log) da un account di distribuzione chiamato gruppo Log Delivery. Per ricevere i log di accesso al server, il gruppo Log Delivery deve disporre dell'accesso in scrittura al bucket di destinazione. Controlla la lista di controllo degli accessi (ACL) del bucket di destinazione per verificare se il gruppo Log Delivery ha accesso in scrittura.

Per controllare e modificare l'ACL del bucket di destinazione utilizzando la console Amazon S3, procedi come segue:

  1. Apri la console Amazon S3.
  2. Dall'elenco dei bucket, scegli il bucket di destinazione a cui devono essere inviati i log di accesso al server.
  3. Scegli la scheda Autorizzazioni.
  4. Scegli Lista di controllo degli accessi.
  5. Nel gruppo di distribuzione dei log S3, controlla se il gruppo ha accesso a Scrivi oggetti. Se il gruppo non ha accesso a Scrivi oggetti, procedi al passaggio successivo.
  6. Seleziona Log Delivery.
  7. Nella finestra di dialogo LogDelivery, in Accesso agli oggetti, seleziona Scrivi oggetti.
  8. Scegli Salva.

La policy dei bucket del bucket di destinazione non deve negare l'accesso ai log

Controlla la policy dei bucket del bucket di destinazione. Cerca nella policy dei bucket tutte le affermazioni che contengono "Effect": "Deny". Quindi, verifica che l'istruzione di negazione non impedisca la scrittura dei log di accesso nel bucket.

**Nota:**è consigliabile utilizzare un bucket separato per i log di accesso al server. Per impostazione predefinita, i bucket S3 sono privati, quindi non è necessario utilizzare un'istruzione di negazione nella policy del bucket per impedire l'accesso non autorizzato al bucket. Se un utente o un ruolo di AWS Identity and Access Management (IAM) si trova nello stesso account AWS del bucket e l'identità IAM dispone delle autorizzazioni per il bucket nelle sue policy IAM, l'utente o il ruolo può accedere al bucket.

Amazon S3 Object Lock non deve essere attivato per il bucket di destinazione

Controlla se il bucket di destinazione ha Object Lock attivato. Object Lock impedisce la distribuzione dei log di accesso al server, quindi è necessario disattivare Object Lock sul bucket a cui si desidera inviare i log.

Se la crittografia predefinita è attivata per il bucket di destinazione, è necessario selezionare AES256 (SSE-S3)

Se utilizzi la crittografia predefinita nel bucket di destinazione, conferma che AES-256 (SSE-S3) sia selezionato come chiave di crittografia. La crittografia tramite AWS-KMS (SSE-KMS) non è supportata. Per istruzioni su come configurare la crittografia predefinita utilizzando la console Amazon S3, consulta Turning on Amazon S3 default bucket encryption.

Attendi un po' di tempo affinché le recenti modifiche alla configurazione della registrazione siano valide

L'attivazione della registrazione degli accessi al server per la prima volta o la modifica del bucket di destinazione per i log può richiedere del tempo per l'implementazione completa. Nell'ora successiva all'attivazione della registrazione, alcune richieste potrebbero non essere registrate. Durante l'ora successiva alla modifica del bucket di destinazione, è possibile che alcuni log vengano ancora distribuiti al bucket di destinazione precedente. Dopo aver apportato una modifica alla configurazione della registrazione, assicurati di attendere circa un'ora dopo la modifica per verificare i log. Per ulteriori informazioni, consulta Best effort server log delivery.


Informazioni correlate

Modalità di distribuzione dei log?

AWS UFFICIALE
AWS UFFICIALEAggiornata un anno fa