AWS announces preview of AWS Interconnect - multicloud

AWS announces AWS Interconnect – multicloud (preview), providing simple, resilient, high-speed private connections to other cloud service providers. AWS Interconnect - multicloud is easy to configure and provides high-speed, resilient connectivity with dedicated bandwidth, enabling customers to interconnect AWS networking services such as AWS Transit Gateway, AWS Cloud WAN, and Amazon VPC to other cloud service providers with ease.

Perché non riesco a generare un report di Inventario Amazon S3?

5 minuti di lettura

Ho configurato un report di Inventario Amazon Simple Storage Service (Amazon S3), ma non è stato consegnato e ho ricevuto un errore "Access Denied".

Breve descrizione

Viene visualizzato il seguente errore:

"Access denied Inventory export for 2021-02-19 failed because S3 doesn't have access to the destination bucket or KMS key. Ask the owner of the destination bucket or KMS key to grant the necessary access and then try again."

Per generare un report di Inventario Amazon S3 ed evitare il messaggio di errore precedente, devi soddisfare i seguenti requisiti:

Consenti al bucket di origine di caricare il report di Inventario Amazon S3 nel bucket di destinazione.
Mantieni il bucket di destinazione e il bucket di origine nella stessa regione AWS in cui hai configurato l'Inventario Amazon S3.
Concedi ad Amazon S3 l'accesso al Servizio AWS di gestione delle chiavi (AWS KMS) utilizzato per crittografare il file del report di inventario.

Nota: Amazon S3 può impiegare fino a 48 ore per fornire il primo report di inventario.

Risoluzione

Consenti al bucket di origine di caricare il report di Inventario Amazon S3 nel bucket di destinazione

Verifica che la tua policy del bucket consenta il caricamento del bucket di origine nel bucket di destinazione.

Esempio di policy del bucket che include l'azione PutObject:

{
    "Version": "2012-10-17",
    "Id": "S3PolicyId",
    "Statement": [
        {
            "Sid": "InventoryAndAnalyticsExamplePolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "s3.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::destinationbucket/*"
            ],
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:::sourcebucket"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

Escludi s3.amazonaws.com da ogni istruzione Deny che potrebbe influire su un'azione PutObject. Un Deny esplicito ha la precedenza sulle istruzioni Allow.

Il seguente esempio di policy del bucket nega l'accesso a s3.amazonaws.com e consente solo l'accesso a un intervallo di indirizzi IP specificato:

{
    "Version": "2012-10-17",
    "Id": "S3PolicyId",
    "Statement": [
        {
            "Sid": "IPAllow",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::destinationbucket",
                "arn:aws:s3:::destinationbucket/*"
            ],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "54.240.143.0/24"
                }
            }
        }
    ]
}

Quella che segue è una versione aggiornata della precedente policy del bucket che consente l'accesso a s3.amazonaws.com:

{
    "Version": "2012-10-17",
    "Id": "S3PolicyId",
    "Statement": [
        {
            "Sid": "IPAllow",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::destinationbucket",
                "arn:aws:s3:::destinationbucket/*"
            ],
            "Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": "54.240.143.0/24"
                },
                "ArnNotLike": {
                    "aws:SourceArn": "arn:aws:s3:::sourcebucket"
                }
            },
            "Principal": "*"
        },
        {
            "Sid": "InventoryAndAnalyticsExamplePolicy",
            "Action": [
                "s3:PutObject"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::destinationbucket/*"
            ],
            "Condition": {
                "ArnLike": {
                    "aws:SourceArn": "arn:aws:s3:::sourcebucket"
                },
                "StringEquals": {
                    "aws:SourceAccount": "123456789012",
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            },
            "Principal": {
                "AWS": [
                    "s3.amazonaws.com"
                ]
            }
        }
    ]
}

Conferma che il bucket di destinazione si trova nella stessa regione del bucket di origine

Apri la console Amazon S3. Vai al tuo elenco dei bucket e controlla la colonna Regioni per determinare se il bucket di destinazione e il bucket di origine si trovano nella stessa regione.

Se il bucket di origine e quello di destinazione si trovano in regioni diverse, crea o scegli un nuovo bucket.

Nota: finché non trasferisci gli oggetti, gli oggetti che appartengono al bucket rimangono nella regione in cui hai creato il bucket. Per ulteriori informazioni, consulta Panoramica dei bucket.

Concedi l'accesso alla chiave AWS KMS utilizzata per crittografare il file del report di inventario

Se hai crittografato il bucket Amazon S3 con una chiave AWS KMS, concedi ad Amazon S3 l'accesso alla tua chiave AWS KMS.

Completa i seguenti passaggi:

Apri la console AWS KMS.
Nota: utilizza l'account AWS che possiede la chiave AWS KMS per accedere.
Nel pannello di navigazione, scegli Chiavi gestite dal cliente.
In Chiavi gestite dal cliente, seleziona la chiave AWS KMS da utilizzare per crittografare il file del report di inventario.
In Policy della chiave, scegli Passa alla visualizzazione della policy.
Scegli Modifica.

In ** Modifica policy della chiave**, aggiungi la seguente policy della chiave alla policy della chiave esistente:

{
    "Sid": "Allow Amazon S3 use of the KMS key",
    "Effect": "Allow",
    "Principal": {
        "Service": "s3.amazonaws.com"
    },
    "Action": [
        "kms:GenerateDataKey"
    ],
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:SourceAccount": "source-account-id"
        },
        "ArnLike": {
            "aws:SourceARN": "arn:aws:s3:::source-bucket-name"
        }
    }
}

Scegli Salva modifiche.

Nota: controlla la colonna Ultima esportazione in Configurazioni dell'inventario nella console Amazon S3. Una colonna vuota Ultima esportazione può indicare che Amazon S3 non ha fornito il report di inventario. Se Amazon S3 ha consegnato il report di inventario, puoi trovarlo nel percorso specificato nel bucket di destinazione.

Controlla i log di accesso al server e la cronologia di CloudTrail

Controlla i log di accesso al server per determinare se sono state apportate modifiche alle politiche del bucket che hanno interrotto la consegna. Per esempi di formati di log, consulta Formato del log di accesso al server Amazon S3.

Di seguito è riportato un esempio di voce di log che mostra che è stata apportata una modifica alla policy del bucket:

REST.PUT.BUCKETPOLICY

Puoi anche cercare l'azione dell'API PutBucketPolicy nella cronologia degli eventi di AWS CloudTrail. Se l'azione PutBucketPolicy è stata eseguita più di 90 giorni fa, devi interrogare i log di CloudTrail in Amazon S3. Per informazioni, consulta Amazon S3 information in CloudTrail sul sito web GitHub, AWS Docs.

Controlla il filtro dei prefissi per l'ambito dell'inventario

Se hai configurato un filtro per i prefissi e il report di inventario non viene consegnato dopo 48 ore, controlla la configurazione del prefisso. Assicurati che il filtro dei prefissi corrisponda a un prefisso esistente all'interno del bucket che è stato inventariato. Rimuovi gli spazi vuoti, gli errori di battitura e le barre iniziali.

Informazioni correlate

Abilitazione della registrazione CloudTrail degli eventi per bucket e oggetti S3

Gestione delle autorizzazioni per i report di Analisi S3 e Inventario S3

Argomenti: Storage
Tag: Amazon Simple Storage Service
Lingua: Italiano

AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente

Perché non riesco a visualizzare i miei dati di fatturazione più recenti quando interrogo i miei report costi e utilizzo con Amazon Athena?
AWS UFFICIALEAggiornata 2 anni fa
Perché i miei report di utilizzo di SMS giornalieri da Amazon SNS non vengono visualizzati nel bucket Amazon S3?
AWS UFFICIALEAggiornata 2 anni fa
Perché il mio processo Amazon S3 Batch Replication ha esito negativo?
AWS UFFICIALEAggiornata 8 mesi fa
Come posso inserire il Report costi e utilizzo (CUR) AWS in Amazon Quick Sight e visualizzarlo?
AWS UFFICIALEAggiornata 2 anni fa