Perché il mio processo Amazon S3 Batch Replication ha esito negativo?

Breve descrizione

La replica in batch può avere esito negativo a causa di problemi relativi alle autorizzazioni, alle policy o alla configurazione di un processo.

Per evitare un gran numero di operazioni non riuscite, Amazon S3 imposta una soglia di errori delle attività per ogni processo Operazioni in batch. Amazon S3 monitora la percentuale di errori delle attività dopo che il processo ha eseguito almeno 1.000 attività. Se un processo supera la percentuale di errori del 50%, il processo ha esito negativo. Utilizza la seguente procedura di risoluzione per individuare e risolvere il problema. Quindi riproponi il processo.

Risoluzione

Autorizzazioni del ruolo per le operazioni in batch

Concedi le seguenti autorizzazioni al ruolo per le operazioni in batch:

• Concedi le autorizzazioni PUT per il manifesto o per la configurazione.
• Concedi le autorizzazioni GET per il manifesto con il bucket che memorizza il manifesto.
• Se utilizzi il tuo manifesto, concedi al ruolo per le operazioni in batch le autorizzazioni di accesso al manifesto.
• Concedi l'autorizzazione s3:CreateJob per creare il processo in batch.
• Se applichi un'opzione di etichettatura del processo, concedi anche l'autorizzazione s3:PutJobTagging.

Nota: per salvare operazioni in batch, il relativo ruolo deve avere le autorizzazioni GET e PUT per il file manifesto. Per ulteriori informazioni, consulta Configurazione di un ruolo AWS Identity and Access Management (AWS IAM) per S3 Batch Replication.

Autorizzazioni del ruolo di replica

Quando un processo in batch supera la percentuale di errori del 50%, potrebbe essere presente un problema nella configurazione del ruolo di replica.

Quando configuri il ruolo di replica, utilizza le seguenti impostazioni:

• Se utilizzi lo stesso ruolo per i processi in batch e di replica, concedi ad Amazon S3 e Operazioni in batch Amazon S3 l'autorizzazione ad assumere il ruolo.
• Includi le autorizzazioni minime richieste per la replica. Per ulteriori informazioni, consulta Perché i miei oggetti Amazon S3 non si replicano quando configuro la replica tra i miei bucket?
• Concedi autorizzazioni aggiuntive per il Servizio AWS di gestione delle chiavi (AWS KMS), le chiavi del bucket, la modifica della proprietà degli oggetti e la replica dei contrassegni di eliminazione.
• Blocca le impostazioni di accesso pubblico.
• Rivedi i limiti delle autorizzazioni che potrebbero essere associati ai ruoli IAM perché i limiti potrebbero causare un errore di replica.

Policy del bucket di origine e del bucjet destinazione

Utilizza le seguenti impostazioni delle policy di bucket:

• Se il bucket di destinazione si trova in un altro account AWS, per replicare gli oggetti, concedi l'autorizzazione al ruolo di replica nella regola di replica dell'origine del bucket. Queste autorizzazioni si aggiungono alla policy del ruolo IAM. Inoltre, non configurare il bucket di destinazione come Pagamento a carico del richiedente.
• Per impostazione predefinita, il proprietario del bucket di origine non ha l'autorizzazione per accedere agli oggetti creati da altri account. La configurazione di replica consente di replicare solamente gli oggetti a cui può accedere il proprietario del bucket di origine. Per risolvere il problema, disattiva le liste di controllo degli accessi (ACL) nei controlli della proprietà degli oggetti o modifica la proprietà degli oggetti nell'account di origine.
• Se memorizzi il manifesto del processo in batch in un bucket con più account, consenti all'account del bucket di accedere al manifesto. Aggiungi alla policy di bucket l'autorizzazione per il ruolo per le operazioni in batch.

Autorizzazione AWS KMS per gli oggetti crittografati

Utilizza le seguenti impostazioni AWS KMS per gli oggetti crittografati:

• Se utilizzi AWS KMS o la crittografia a livello di oggetto per il manifesto e il bucket di archiviazione del report, includi nella chiave il ruolo per le operazioni in batch. La chiave AWS KMS deve consentire al ruolo per le operazioni in batch di scaricare e caricare dati dal bucket.
• Se la replica include un bucket di origine o di destinazione crittografato, consenti l'accesso alla replica e ai ruoli per le operazioni in batch con le chiavi AWS KMS. Concedi al ruolo per le operazioni in batch l'autorizzazione per scaricare il manifesto.
• Se concedi l'autorizzazione in base al contesto di crittografia, includi l'ARN basato sulla configurazione della chiave del bucket. Consulta Perché i miei oggetti Amazon S3 non si replicano quando configuro la replica tra i miei bucket?
• Utilizza i report di Inventario Amazon S3 crittografati con AWS KMS. Amazon S3 non supporta i file manifesto crittografati da AWS KMS generati manualmente per le operazioni in batch.

Istruzioni Deny esplicite

Se l'istruzione Deny della policy di bucket limita le azioni in base alla rete, Amazon S3 non può eseguire la replica. La replica in Amazon S3 non utilizza l'endpoint VPC (Virtual Private Cloud) o i Punti di accesso Amazon S3 che hai configurato per l'accesso privato.

Per rimuovere le restrizioni, intraprendi le seguenti azioni:

• Configura la policy di bucket del manifesto per non negare alcuna azione richiesta dal ruolo per le operazioni in batch.
• Se utilizzi l'accesso privato quando crei il processo in batch S3, concedi all'endpoint VPC l'autorizzazione per creare il processo.
• Verifica di non aver negato le autorizzazioni di replica richieste in IAM, nelle policy di controllo dei servizi (SCP) di AWS Organizations, nelle policy di bucket o nelle policy di AWS KMS.

Errori di configurazione del processo di replica in batch

Errori di configurazione possono causare le seguenti risposte di errore.

La generazione del manifesto non ha trovato chiavi corrispondenti ai criteri del filtro

Non includere nel manifesto oggetti che si trovano in Amazon S3 Glacier o Amazon S3 Glacier Deep Archive perché un'operazione di replica non li trova.

Se il prefisso, il filtro o i criteri di filtro della regola di replica nel processo di replica in batch non corrispondono a un prefisso nel bucket, ripristina gli oggetti. Dopo aver ripristinato gli oggetti, esegui nuovamente la replica.

SrcGetObjectNotPermitted or SrcHeadObjectNotPermitted

Ricevi l'errore SrcGetObjectNotPermitted o SrcHeadObjectNotPermitted quando il ruolo IAM configurato nella regola di replica non ha l'autorizzazione per accedere agli oggetti. Puoi anche ricevere uno di questi errori quando il ruolo IAM non è in grado di recuperare i metadati degli oggetti dal bucket di origine. Per risolvere il problema, aggiungi l'autorizzazione s3:GetObjectVersionForReplication alla policy del ruolo IAM.

Per ulteriori informazioni, consulta Impostazione delle autorizzazioni per creare regole di replica.

DstPutObjectNotPermitted

Quando ricevi l'errore DstObjectNotPermitted, Amazon S3 non è in grado di replicare gli oggetti nel bucket di destinazione. Per risolvere il problema, concedi l'autorizzazione s3:ReplicateObject o s3:ObjectOwnerOverrideToBucketOwner sia nella policy del ruolo IAM che nella policy del bucket S3 di destinazione.

Il processo in batch è stato eseguito correttamente ma il numero di oggetti previsti nel bucket di destinazione non è lo stesso

Questo errore si verifica quando non c’è corrispondenza tra gli oggetti elencati nel manifesto e nel filtro. Per risolvere il problema, correggi gli errori di battitura nel filtro selezionato al momento della creazione del processo o nella configurazione delle regole di replica.

400 InvalidRequest: Task failed due to missing VersionId

Questo errore si verifica quando il processo incontra un oggetto nel manifesto con un campo ID versione vuoto. Per risolvere il problema, converti i campi ID versione vuoti in stringhe nulle.

Reasons for failure. The job report could not be written to your report bucket. Please check your permissions.

Amazon S3 non supporta il blocco degli oggetti nel bucket designato per archiviare il report di completamento del batch, per cui archivia il report in un bucket S3 senza Object Lock.

Oggetti ignorati senza un messaggio di errore

Amazon S3 non replica un oggetto in un bucket di origine che è una replica di un'altra configurazione di replica.

Inoltre, Amazon S3 non replica oggetti nello stesso bucket di destinazione in cui ha completato correttamente una replica. In questi casi, Amazon S3 ignora l'oggetto senza un messaggio di errore.

Monitoraggio

Al termine di un processo di replica in batch, Amazon S3 genera un report di completamento del batch nel bucket o nel prefisso di destinazione specificato. Il report fornisce informazioni dettagliate che includono gli errori e i relativi messaggi di errore. Esamina il report completo del batch per identificare gli oggetti o le operazioni che hanno avuto esito negativo durante il processo di replica e i ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-metrics-events.html#replication-failure-codes)relativi motivi di errore o mancata riuscita[.

Utilizza Notifiche degli eventi Amazon S3 per ricevere notifiche quando gli oggetti non vengono replicati nella loro Regione AWS di destinazione.

Nota: la preparazione di un manifesto per Amazon S3 richiede tempo. Tuttavia, se il processo in batch è in Preparazione o ha la stessa percentuale di completamento per diverse ore, contatta il Supporto AWS.

Informazioni correlate

Come posso risolvere i problemi relativi a Operazioni in batch Amazon S3?