Get Hands-on with Amazon EKS - Workshop Event Series

Whether you're taking your first steps with Kubernetes or you're an experienced practitioner looking to sharpen your skills, our Amazon EKS workshop series delivers practical, real-world experience that moves you forward. Learn directly from AWS solutions architects and EKS specialists through hands-on sessions designed to build your confidence with Kubernetes. Register now and start building with Amazon EKS!

Pourquoi l'erreur « Unable to validate the following destination configurations » s'affiche-t-elle lorsque j’utilise des notifications d'événement Amazon S3 ?

Lecture de 6 minute(s)

Lorsque j'utilise les notifications d'événement Amazon Simple Storage Service (Amazon S3) pour ajouter une configuration de notification, le message d'erreur « Unable to validate the following destination configurations when creating an Amazon S3 Event Notification » s'affiche. Je souhaite dépanner et résoudre ce problème.

Résolution

Si vous ajoutez ou mettez à jour la configuration des notifications d’événements, Amazon S3 vérifie l’existence de toutes les destinations d’événements. Amazon S3 vérifie également que les destinations des événements disposent des politiques basées sur les ressources qui permettent à Amazon S3 d’effectuer les opérations suivantes :

Publier des événements
Envoyer des messages
Invoquer des fonctions

Pendant une mise à jour, Amazon S3 effectue les vérifications sur les nouvelles destinations d'événement et sur toutes les destinations d'événement existantes que vous ne supprimez pas pendant la mise à jour. En cas d'échec de ces vérifications, le message d'erreur « Unable to validate the following destination configurations » pourrait s'afficher.

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'AWS CLI.

Remarque : Les notifications d'événements ne sont prises en charge que pour les compartiments à usage général. Les compartiments de répertoires et les compartiments de table ne prennent pas en charge les notifications d'événements. Si vous avez besoin d'une fonctionnalité de notification d'événements, utilisez un compartiment à usage général.

Exécuter le dossier d’exploitation d'automatisation AWSSupport-Troubleshoots3EventNotifications

Il est recommandé d'utiliser AWSSupport-Troubleshoots3EventNotifications pour résoudre les problèmes lorsque vous ajoutez une configuration de notification d'événement.

Remarque :

Le dossier d’exploitation ne peut évaluer les configurations des notifications d'événements que lorsque le propriétaire du compartiment détient également le compte AWS sur lequel vous exécutez l'automatisation.
Le dossier d’exploitation ne peut pas évaluer les politiques relatives aux ressources de destination que vous hébergez sur un autre compte.

Pour lancer l'automatisation, procédez comme suit :

Ouvrez la console AWS Systems Manager, puis ouvrez AWSSupport-TroubleshootS3EventNotifications.
Sélectionnez Exécuter l'automatisation.
Saisissez vos paramètres d'entrée.
Sélectionnez Exécuter.
Examinez les résultats dans la section Sorties.

Le rapport final contient les ressources configurées avec le compartiment S3 en tant que notification d'événement de destination. Si le problème de notification d'événement Amazon S3 persiste, utilisez la solution suivante pour résoudre les problèmes manuellement.

Supprimer des événements pour les destinations qui n'existent plus

Lorsque les destinations de vos notifications d'événements S3 n'existent plus, vous devez supprimer les configurations de ces notifications. Par exemple, lorsque vous supprimez une destination telle qu'une fonction Lambda, ses paramètres de notification d'événement restent dans votre compartiment à usage général. Vous pouvez supprimer les notifications d'événements obsolètes à l'aide de la console Amazon S3, de l'AWS CLI ou de l'API PutBucketNotificationConfiguration. Nous vous recommandons d'utiliser l'API PutBucketNotificationConfiguration pour gérer toutes vos notifications d'événements.

Vérifier que les destinations d'événements disposent de politiques valides basées sur les ressources

Pour publier des messages vers les services AWS suivants, accordez à Amazon S3 les autorisations nécessaires pour appeler l'API pertinente :

Rubrique Amazon Simple Notification Service (Amazon SNS)
File d'attente Amazon Simple Queue Service (Amazon SQS)
Fonction AWS Lambda

Exemple de politique de destination de rubrique Amazon SNS :

{
    "Version": "2012-10-17",
    "Id": "example-ID",
    "Statement": [
        {
            "Sid": "Example SNS topic policy",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "SNS:Publish"
            ],
            "Resource": "SNS-topic-ARN",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:*:*:bucket-name"
                },
                "StringEquals": {
                    "aws:SourceAccount": "bucket-owner-account-id"
                }
            }
        }
    ]
}

Exemple de politique de destination de file d'attente Amazon SQS :

{
    "Version": "2012-10-17",
    "Id": "example-ID",
    "Statement": [
        {
            "Sid": "example-statement-ID",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": [
                "SQS:SendMessage"
            ],
            "Resource": "arn:aws:sqs:Region:account-id:queue-name",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:*:*:awsexamplebucket1"
                },
                "StringEquals": {
                    "aws:SourceAccount": "bucket-owner-account-id"
                }
            }
        }
    ]
}

Exemple de politique de destination de la fonction Lambda :

{
    "Version": "2012-10-17",
    "Id": "example-ID",
    "Statement": [
        {
            "Sid": "s3invoke",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": "lambda:InvokeFunction",
            "Resource": "arn:aws:lambda:Region:account-id:function:function-name",
            "Condition": {
                "StringEquals": {
                    "AWS:SourceAccount": "bucket-owner-account-id"
                },
                "ArnLike": {
                    "AWS:SourceArn": "arn:aws:s3:::awsexamplebucket1"
                }
            }
        }
    ]
}

Si vous ajoutez un nouvel événement au compartiment, assurez-vous que le nouvel événement dispose d’une politique basée sur les ressources valide.

Pour plus d'informations sur les autorisations Amazon SNS ou Amazon SQS, consultez la section Octroyer des autorisations pour publier des messages dans une rubrique SNS ou dans une file d'attente SQS.

Pour mettre à jour la fonction Lambda avec des politiques valides, consultez la section Didacticiel : Utilisation d'un déclencheur Amazon S3 pour appeler une fonction Lambda.

Si vous utilisez la console Amazon S3 pour activer Notifications d’événements, Amazon S3 tente de mettre à jour la politique avant que vous ne l’ajoutiez à l’événement. Si la politique basée sur les ressources de destination de l’événement est valide et que la même erreur survient, vérifiez vos destinations d’événements pour voir si les politiques basées sur les ressources sont valides. Si vous modifiez une politique basée sur les ressources pour les destinations des événements après avoir mis à jour la configuration des notifications d'événements sur le compartiment, la validation échoue. Pour éviter ce problème, assurez-vous que toutes les autorisations sont valides et supprimez les événements dont les destinations sont non valides.

S’assurer que la stratégie de clé AWS KMS est appropriée pour les rubriques et les files d’attente chiffrées par AWS KMS

Si vous activez le chiffrement AWS Key Management Service (AWS KMS) pour une destination SQS ou SNS, mettez à jour la politique de clé gérée par le client pour autoriser Amazon S3 à utiliser la clé.

Les clés gérées par AWS, notamment les clés aws/sns et aws/sqs, ne sont pas prises en charge. Si vous utilisez une clé gérée par AWS sur la destination de votre événement, vous devez mettre à jour la destination pour utiliser une clé gérée par le client. Ensuite, mettez à jour la stratégie de clé.

Exemple de stratégie de clé AWS KMS :

{  
    "Version": "2012-10-17",  
    "Id": "example-ID",  
    "Statement": [  
        {  
            "Sid": "example-statement-ID",  
            "Effect": "Allow",  
            "Principal": {  
                "Service": "s3.amazonaws.com"  
            },  
            "Action": [  
                "kms:GenerateDataKey",  
                "kms:Decrypt"  
            ],  
            "Resource": "*"  
        }  
    ]  
}

Informations connexes

Politique Gestion des identités et des accès AWS (AWS IAM) pour une rubrique SNS de destination

Politique IAM pour une file d'attente SQS de destination

Sujets: Storage
Balises: Amazon Simple Storage Service
Langue: Français

AWS OFFICIELA mis à jour il y a 3 mois

Aucun commentaire

Contenus pertinents

L3 Troubleshooting Workshop - Error when trying to increase the size of the Application settings VHD
User-0629970
demandé il y a un an
[ACTION REQUIRED] Update your TLS connections to 1.2 : quelles applications sont concernées ?
rePost-User-7550145
demandé il y a 3 ans
Amazon SES - 4.4.1 Unable to connect to remote host de la part d'Orange.fr
Lionel
demandé il y a 2 ans
Plus d'accès à Amazon Q developper depuis Vscode
Averroes
demandé il y a 3 mois
Règle de cycle de vie pour transition de stockage S3 à S3 glacier
HoubaHoubi
demandé il y a un an
Comment puis-je corriger l’erreur « Unable to validate the following destination configurations » dans CloudFormation ?
AWS OFFICIELA mis à jour il y a un an
Comment résoudre l’erreur CloudFormation « Unable to assume role and validate » lorsque je lance une ressource Amazon ECS ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment résoudre l'erreur « Configuration is ambiguously defined » (Configuration définie de manière ambiguë) lorsque j’ai essayé de créer une notification d'événement Amazon S3 pour déclencher ma fonction Lambda ?
AWS OFFICIELA mis à jour il y a un an
Comment puis-je résoudre les problèmes lorsque mes notifications d'événement Amazon S3 n'invoquent pas ma fonction Lambda ?
AWS OFFICIELA mis à jour il y a un an