AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Pourquoi mes journaux d'accès au serveur Amazon S3 n'ont-ils pas été transmis à mon compartiment ?

Lecture de 4 minute(s)

J'ai configuré la journalisation des accès au serveur Amazon Simple Storage Service (Amazon S3). Cependant, Amazon S3 n'a pas transmis les journaux d'accès au serveur au compartiment de destination Amazon S3.

Brève description

Lorsque vous activez la journalisation des accès au serveur pour la première fois ou que vous modifiez le compartiment de destination pour les journaux, la mise en œuvre des modifications prend du temps. Amazon S3 peut ne pas enregistrer les demandes de diffusion dans l'heure qui suit l'activation de la journalisation. Amazon S3 peut également envoyer des journaux au compartiment de destination précédent dans l'heure qui suit la modification du compartiment de destination.

Après avoir modifié la configuration de journalisation, attendez au moins 1 heure avant de vérifier les journaux. Pour plus d'informations, consultez la section Diffusion de journaux de serveur respectée dans la mesure du possible.

Assurez-vous que les compartiments source et de destination se trouvent dans la même région AWS et que le même compte AWS est propriétaire des compartiments. De même, si vous avez activé l’option Paiement par le demandeur pour le compartiment de destination, désactivez-le.

Remarque : Amazon S3 assure la journalisation des accès au serveur uniquement pour les compartiments à usage général. Les compartiments de répertoires et les compartiments de répertoires S3 Express One Zone ne prennent pas en charge cette fonctionnalité.

Si les journaux ne s'affichent toujours pas dans le compartiment de destination, utilisez la procédure de dépannage suivante pour résoudre le problème.

Résolution

Vérifier si le groupe de diffusion de journaux a accès au compartiment de destination

Amazon S3 utilise un groupe de diffusion de journaux pour transmettre les journaux d'accès au serveur vers le compartiment de destination. Pour recevoir les journaux d'accès au serveur, vous devez accorder au service de journalisation l'accès du principal à votre compartiment de destination.

Pour accorder l'accès au compartiment de destination, créez une politique de compartiment S3. Vous pouvez utiliser une liste de contrôle d'accès (ACL) pour accorder l'accès au compartiment de destination. Il est toutefois recommandé d'utiliser les ACL uniquement lorsque vous devez contrôler individuellement l'accès à chaque objet. Si vous devez utiliser des ACL, ne définissez pas Propriétaire de l’objet sur Propriétaire du compartiment appliqué.

Autoriser l'accès par le biais d'une politique de compartiment

Mettez à jour la politique de compartiment pour accorder l’autorisation s3:PutObject au principal du service de journalisation.

Exemple de politique :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "S3ServerAccessLogsPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "logging.s3.amazonaws.com"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::DOC-EXAMPLE-DESTINATION-BUCKET/EXAMPLE-LOGGING-PREFIX*",
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:::DOC-EXAMPLE-SOURCE-BUCKET"
                },
                "StringEquals": {
                    "aws:SourceAccount": "SOURCE-ACCOUNT-ID"
                }
            }
        }
    ]
}

Autoriser l'accès via un ACL de compartiment

Ajoutez une entrée d'autorisation à l'ACL de compartiment qui accorde des autorisations d'écriture au groupe de diffusion de journaux S3.

Pour modifier l'ACL de compartiment de destination, procédez comme suit :

Ouvrez la console Amazon S3.
Dans le volet de navigation, choisissez Compartiments, puis sélectionnez le compartiment à usage général de destination.
Choisissez l’onglet Autorisations.
Dans la section Liste de contrôle d'accès (ACL), choisissez Modifier.
Dans le groupe de diffusion de journaux S3, sélectionnez Objets - Écriture et Liste de contrôle d’accès (ACL) de compartiment - Écriture.
Sélectionnez Enregistrer les modifications.

Vérifier que la politique du compartiment de destination ne refuse pas l'accès aux journaux

Consultez la politique du compartiment de destination pour les instructions contenant la mention « Effet » : « Refuser ». Si la politique comporte des instructions de refus, vérifiez que**** celles-ci n'empêchent pas l'accès en écriture au compartiment.

Remarque : Il est recommandé d'utiliser un compartiment distinct pour les journaux d'accès au serveur. Les compartiments sont privés par défaut. Vous n'avez donc pas besoin d'utiliser une instruction de refus dans la politique de compartiment pour empêcher tout accès non autorisé au compartiment.

Vérifier que vous avez désactivé Amazon S3 Object Lock pour le compartiment de destination

Assurez-vous d'avoir désactivé le verrouillage d’objet pour le compartiment de destination. Lorsque vous activez le verrouillage d’objet, Amazon S3 ne peut pas fournir de journaux d'accès au serveur.

Vérifier que vous avez sélectionné SSE-S3 comme clé de chiffrement

Si vous utilisez le chiffrement par défaut sur le compartiment de destination, vérifiez que vous avez sélectionné le chiffrement côté serveur avec des clés gérées Amazon S3 (SSE-S3) pour le chiffrement. La diffusion des journaux du serveur ne prend pas en charge le chiffrement côté serveur avec les clés AWS Key Management Service (AWS KMS). Pour configurer le chiffrement par défaut, consultez la section Configuration du chiffrement par défaut.

Informations connexes

Activation de la journalisation des accès au serveur Amazon S3

Sujets: Storage
Balises: Amazon Simple Storage Service
Langue: Français

AWS OFFICIELA mis à jour il y a 5 mois

Aucun commentaire

Contenus pertinents

Désactiver le chiffrement côté serveur sur Amazon S3
rePost-User-6017646
demandé il y a 3 ans
Règle de cycle de vie pour transition de stockage S3 à S3 glacier
HoubaHoubi
demandé il y a un an
Serveur freeze => analyse post-incident
EC2 freeze
demandé il y a 2 ans
mon serveur arrête subitement de marcher sans que je ne fasse rien, plus possible d'utiliser SSH et l accès http web
rePost-User-2785495
demandé il y a 2 ans
S3 Error: 404 (Not Found)
Gabsi
demandé il y a 2 ans
Comment résoudre l'erreur « Write Not Enabled » (Écriture non activée) pour les journaux d'accès aux compartiments Amazon S3 dans Trusted Advisor ?
AWS OFFICIELA mis à jour il y a un an
Puis-je transférer les journaux d'accès au serveur relatifs à un compartiment Amazon S3 dans le même compartiment ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je utiliser Amazon Athena pour analyser les journaux d’accès à mon serveur Amazon S3 ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment résoudre les problèmes liés à l’échec de l’exportation des journaux CloudWatch vers des compartiments S3 ?
AWS OFFICIELA mis à jour il y a 2 ans