Überwachung und Protokollierung von Anforderungen, die über einen Multi-Regions-Zugriffspunkt an zugrunde liegende Ressourcen erfolgen - Amazon Simple Storage Service
Überwachen und Protokollieren von Anforderungen an Verwaltungs-API-Operationen von Multi-Region Access PointsVerwenden CloudTrail

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überwachung und Protokollierung von Anforderungen, die über einen Multi-Regions-Zugriffspunkt an zugrunde liegende Ressourcen erfolgen

Amazon S3 protokolliert Anforderungen, die über Multi-Region Access Points gestellt werden, und Anforderungen an die API-Operationen, die sie verwalten, wie z. B. CreateMultiRegionAccessPoint und GetMultiRegionAccessPointPolicy. Anfragen, die über einen Multiregion Access Point an Amazon S3 gestellt werden, erscheinen in Ihren Amazon S3 S3-Serverzugriffsprotokollen und AWS CloudTrail Protokollen mit dem Hostnamen des Multi-Region Access Points. Der Hostname eines Zugriffspunkts hat das Format MRAP_alias.accesspoint.s3-global.amazonaws.com. Angenommen, Sie haben die folgende Bucket- und Multi-Regions-Zugriffspunktkonfiguration:

  • Ein Bucket mit dem Namen my-bucket-usw2 in der Region us-west-2, der das Objekt my-image.jpg enthält.

  • Ein Bucket mit dem Namen my-bucket-aps1 in der Region ap-south-1, der das Objekt my-image.jpg enthält.

  • Ein Bucket mit dem Namen my-bucket-euc1 in der Region eu-central-1, der kein Objekt namens my-image.jpg enthält.

  • Ein Multi-Regions-Zugriffspunkt namens my-mrap mit dem Alias mfzwi23gnjvgw.mrap, der so konfiguriert ist, dass Anforderungen aus allen drei Buckets erfüllt werden.

  • Ihre AWS Konto-ID lautet. 123456789012

Eine Anforderung, die gesendet wird, um my-image.jpg direkt über einen der Buckets anzurufen, wird in Ihren Protokollen mit dem Hostnamen bucket_name.s3.Region.amazonaws.com angezeigt.

Wenn Sie die Anforderung stattdessen über den Multi-Region Access Point stellen, bestimmt Amazon S3 zunächst, welcher der Buckets in den verschiedenen Regionen am nächsten gelegen ist. Nach der Ermittlung, welcher Bucket zur Erfüllung der Anforderung verwendet werden soll, sendet Amazon S3 die Anforderung an diesen Bucket und protokolliert den Vorgang unter Verwendung des Hostnamens des Multi-Region Access Point. Wenn Amazon S3 in diesem Beispiel die Anforderung an my-bucket-aps1 weiterleitet, spiegeln Ihre Protokolle eine erfolgreiche GET-Anforderung für my-image.jpg von my-bucket-aps1 unter Verwendung des Hostnamens mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com wider.

Wichtig

Multi-Region Access Points kennen den Dateninhalt der zugrunde liegenden Buckets nicht. Daher kann es sein, dass der Bucket, der die Anforderung erhält, die angeforderten Daten nicht enthält. Wenn Amazon S3 beispielsweise feststellt, dass der Bucket my-bucket-euc1 am nächsten gelegen ist, spiegeln Ihre Protokolle eine fehlgeschlagene GET-Anforderung für my-image.jpg von my-bucket-euc1 unter Verwendung des Hostnamens mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com wider. Wenn die Anforderung stattdessen an my-bucket-usw2 weitergeleitet worden wäre, würden Ihre Protokolle eine erfolgreiche GET-Anforderung anzeigen.

Weitere Informationen zu Amazon S3-Server-Zugriffsprotokollen finden Sie unter Protokollieren von Anfragen mit Server-Zugriffsprotokollierung. Weitere Informationen zu AWS CloudTrail finden Sie unter Was ist AWS CloudTrail? im AWS CloudTrail Benutzerhandbuch.

Überwachen und Protokollieren von Anforderungen an Verwaltungs-API-Operationen von Multi-Region Access Points

Amazon S3 bietet verschiedene API-Operationen für die Verwaltung von Multi-Region Access Points, wie z. B. CreateMultiRegionAccessPoint und GetMultiRegionAccessPointPolicy. Wenn Sie Anfragen an diese API-Operationen mithilfe der AWS Command Line Interface (AWS CLI) AWS SDKs, oder Amazon S3-REST-API stellen, verarbeitet Amazon S3 diese Anfragen asynchron. Vorausgesetzt, Sie verfügen über die entsprechenden Berechtigungen für die Anforderung, gibt Amazon S3 ein Token für diese Anforderungen zurück. Sie können dieses Token mit DescribeAsyncOperation verwenden, um Ihnen zu helfen, den Status von laufenden asynchronen Vorgängen anzuzeigen. Amazon S3 verarbeitet DescribeAsyncOperation-Anforderungen synchron. Um den Status asynchroner Anfragen anzuzeigen, können Sie die Amazon S3 S3-Konsole, AWS CLI SDKs, oder die REST-API verwenden.

Anmerkung

Die Konsole zeigt nur den Status asynchroner Anforderungen an, die innerhalb der letzten 14 Tage gestellt wurden. Um den Status älterer Anfragen einzusehen, verwenden Sie die REST-API AWS CLI SDKs, oder.

Asynchrone Verwaltungsvorgänge können einen von mehreren Zuständen aufweisen:

NEW

Amazon S3 hat die Anforderung erhalten und bereitet die Ausführung des Vorgangs vor.

IN_PROGRESS

Amazon S3 führt derzeit den Vorgang aus.

SUCCESS

Der Vorgang war erfolgreich. Die Antwort enthält relevante Informationen, z. B. den Multi-Regions-Zugriffspunkt-Alias für eine CreateMultiRegionAccessPoint-Anforderung.

FAILED

Der Vorgang schlägt fehl. Die Antwort enthält eine Fehlermeldung, die den Grund für den Anforderungsfehler angibt.

Verwendung AWS CloudTrail mit Access Points für mehrere Regionen

Sie können AWS CloudTrail damit Kontoaktivitäten in Ihrer gesamten AWS Infrastruktur anzeigen, suchen, herunterladen, archivieren, analysieren und darauf reagieren. Mithilfe von Access Points und CloudTrail Protokollierung für mehrere Regionen können Sie Folgendes identifizieren:

  • Wer oder was welche Maßnahme ergriffen hat

  • Welche Ressourcen in Anspruch genommen wurden

  • Wann das Ereignis aufgetreten ist

  • Weitere Details zu dem Ereignis

Sie können diese Protokollinformationen für die Analyse und Reaktion auf Aktivitäten verwenden, die über Ihre Multi-Region Access Points erfolgt sind.

Wie richtet man Access Points AWS CloudTrail für mehrere Regionen ein

Um die CloudTrail Protokollierung für alle Vorgänge im Zusammenhang mit der Erstellung oder Verwaltung von Access Points mit mehreren Regionen zu aktivieren, müssen Sie die CloudTrail Protokollierung so konfigurieren, dass die Ereignisse in der Region USA West (Oregon) aufgezeichnet werden. Sie müssen Ihre Protokollierungskonfiguration auf diese Weise einrichten, unabhängig davon, in welcher Region Sie sich befinden, wenn Sie die Anforderung stellen, oder welche Regionen der Multi-Region Access Point unterstützt. Alle Anforderungen, einen Multi-Region Access Point zu erstellen oder zu verwalten, werden über die Region USA West (Oregon) geleitet. Wir empfehlen Ihnen, diese Region entweder einem vorhandenen Trail hinzuzufügen oder einen neuen Trail zu erstellen, der diese Region und alle Regionen enthält, die mit dem Multi-Region Access Point verknüpft sind.

Amazon S3 protokolliert alle Anforderungen, die über einen Multi-Region Access Point erfolgen, und Anforderungen an die API-Operationen, die Zugriffspunkte verwalten, z. B. CreateMultiRegionAccessPoint und GetMultiRegionAccessPointPolicy. Wenn Sie diese Anfragen über einen Multi-Region-Access Point protokollieren, erscheinen sie in Ihren AWS CloudTrail Protokollen mit dem Hostnamen des Multi-Region-Access Points. Wenn Sie beispielsweise über einen Multi-Region-Access Point mit dem Alias Anfragen an einen Bucket stellenmfzwi23gnjvgw.mrap, haben die Einträge im CloudTrail Protokoll den Hostnamen. mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com

Access Points mit mehreren Regionen leiten Anfragen an den nächstgelegenen Bucket weiter. Wenn Sie sich die CloudTrail Protokolle für einen Access Point mit mehreren Regionen ansehen, werden Sie aufgrund dieses Verhaltens feststellen, dass Anfragen an die zugrunde liegenden Buckets gestellt werden. Einige dieser Anforderungen sind möglicherweise direkte Anforderungen an den Bucket, die nicht über den Multi-Region Access Point geleitet werden. Beachten Sie dies bei der Überprüfung des Datenverkehrs. Wenn sich ein Bucket in einem Multi-Regions-Zugriffspunkt befindet, können Anforderungen direkt an diesen Bucket gestellt werden, ohne den Multi-Regions-Zugriffspunkt zu durchlaufen.

Beim Erstellen und Verwalten von Multi-Regions-Zugriffspunkten sind asynchrone Ereignisse erforderlich. Asynchrone Anfragen enthalten keine Abschlussereignisse im Protokoll. CloudTrail Weitere Informationen zu asynchronen Anforderungen finden Sie unter Überwachen und Protokollieren von Anforderungen an Verwaltungs-API-Operationen von Multi-Region Access Points.

Weitere Informationen zu finden Sie AWS CloudTrail unter Was ist AWS CloudTrail? im AWS CloudTrail Benutzerhandbuch.