為什麼我的 CloudWatch Logs 無法匯出至 S3 儲存貯體？

1 分的閱讀內容

我想將 Amazon CloudWatch Logs 資料匯出至 Amazon Simple Storage Service (Amazon S3) 的儲存貯體。但是，匯出任務失敗。

解決方法

若要對建立期間失敗的任務進行疑難排解，請檢查下列設定：

區域：確認您的 CloudWatch Logs 日誌串流和 S3 儲存貯體位於相同的區域中。
S3 儲存貯體政策：預設情況下，所有 S3 儲存貯體和物件均為私有狀態。只有資源擁有者（建立儲存貯體的 AWS 帳戶）可以存取其內含的儲存貯體及任何物件。使用儲存貯體政策將 S3 儲存貯體上的存取權限設為 CloudWatch Logs。

**注意：**當您在 S3 儲存貯體上設定匯出權限時，您必須指定可將日誌匯出至儲存貯體之帳戶的帳戶 ID。在 aws:SourceAccount 金鑰下方，列出這些帳戶。但是，aws:SourceAccount 無法在 s3:GetBucketAcl 動作內新增。

S3 儲存貯體前綴：當您設定 S3 儲存貯體政策時，最佳實務是包括隨機產生的字串以作為儲存貯體的前綴。如果使用前綴的話，建立匯出任務時，您必須在 S3 儲存貯體前綴設定中指定隨機產生的字串。否則，匯出任務會建立失敗。
AWS Identity and Access Management (IAM) 政策：確認建立匯出任務的 IAM 使用者（IAM 角色）擁有 Amazon S3 和 CloudWatch Logs 的完整存取權限。
資源配額：CloudWatch Logs 服務配額只允許每個區域中有一項執行中或待處理的匯出任務。此配額無法變更。請確定您在允許的配額內操作。
伺服器端加密類型：請確定您使用的是伺服器端加密的支援類型。您可以匯出至使用 AES-256 和 SSE-KMS 加密的 S3 儲存貯體。

若要對建立後失敗的任務進行疑難排解，請檢查時間範圍設定。如果您匯出具有大量資料的日誌串流並指定長時間範圍，則匯出任務可能會失敗。在此情況下，請指定較短的時間範圍。

**注意：**日誌最多可能需要 12 小時才能用於匯出。匯出任務本身需要一些時間。若要即時處理或繼續將新資料封存至 S3，請使用訂閱篩選條件。您可以串流至 Amazon Kinesis Data Firehose，然後將 Amazon S3 設為目標。若要將歷程資料封存至 S3，請將您的資料匯出至 Amazon S3。