Surveillance et journalisation des demandes effectuées via un point d'accès multi-Régions vers les ressources sous-jacentes - Amazon Simple Storage Service
Surveillance et journalisation des demandes faites aux opérations d'API de gestion de points d'accès multi-régionsEn utilisant CloudTrail

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Surveillance et journalisation des demandes effectuées via un point d'accès multi-Régions vers les ressources sous-jacentes

Amazon S3 journalise les demandes effectuées via les points d'accès multi-régions et les demandes adressées aux opérations d'API qui les gèrent, telles que CreateMultiRegionAccessPoint et GetMultiRegionAccessPointPolicy. Les demandes adressées à Amazon S3 via un point d'accès multirégional apparaissent dans les journaux d'accès de votre serveur Amazon S3 et AWS CloudTrail portent le nom d'hôte du point d'accès multirégional. Le nom d'hôte d'un point d'accès prend la forme MRAP_alias.accesspoint.s3-global.amazonaws.com. Par exemple, supposons que vous disposez de la configuration de compartiment et de point d'accès multi-Régions suivante :

  • Un compartiment nommé my-bucket-usw2 dans la région us-west-2 qui contient un objet my-image.jpg.

  • Un compartiment nommé my-bucket-aps1 dans la région ap-south-1 qui contient un objet my-image.jpg.

  • Un compartiment nommé my-bucket-euc1 dans la région eu-central-1 qui ne contient pas d'objet nommé my-image.jpg.

  • Un point d'accès multi-Régions nommé my-mrapavec l'alias mfzwi23gnjvgw.mrap qui est configuré pour traiter les demandes des trois compartiments.

  • L'identifiant AWS de votre compte est123456789012.

Une demande effectuée pour récupérer my-image.jpg directement via le compartiment apparaît dans vos journaux avec un nom d'hôte bucket_name.s3.Region.amazonaws.com.

Si vous faites la demande par le biais du point d'accès multi-régions, Amazon S3 détermine d'abord lequel des compartiments des différentes régions est le plus proche. Une fois qu'Amazon S3 aura déterminé le compartiment à utiliser pour traiter la demande, il enverra la demande à ce compartiment et journalisera l'opération à l'aide du nom d'hôte du point d'accès multi-régions. Dans cet exemple, si Amazon S3 relaye la demande à my-bucket-aps1, vos journaux refléteront une demande GET réussie pour my-image.jpg depuis my-bucket-aps1, en utilisant un nom d'hôte de mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com.

Important

Les points d'accès multi-régions ne connaissent pas le contenu des données des compartiment sous-jacents. Par conséquent, le compartiment qui reçoit la demande peut ne pas contenir les données demandées. Par exemple, si Amazon S3 détermine que le compartiment my-bucket-euc1 est le plus proche, vos journaux indiqueront l'échec d'une demande GET pour my-image.jpg, depuis my-bucket-euc1, avec un nom d'hôte de mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com. Si la demande a été acheminée vers my-bucket-usw2 au lieu de cela, vos journaux indiqueraient une demande GET réussie.

Pour en savoir plus sur les journaux d'accès au serveur Amazon S3, consultez Enregistrement de demandes avec journalisation des accès au serveur. Pour plus d'informations AWS CloudTrail, voir Qu'est-ce que c'est AWS CloudTrail ? dans le guide de AWS CloudTrail l'utilisateur.

Surveillance et journalisation des demandes faites aux opérations d'API de gestion de points d'accès multi-régions

Amazon S3 fournit plusieurs opérations d'API de gestion des points d'accès multi-régions, telles que CreateMultiRegionAccessPoint et GetMultiRegionAccessPointPolicy. Lorsque vous envoyez des demandes à ces opérations d'API à l'aide de AWS Command Line Interface (AWS CLI) AWS SDKs, ou de l'API REST Amazon S3, Amazon S3 traite ces demandes de manière asynchrone. Si vous disposez des autorisations appropriées pour la demande, Amazon S3 renverra un jeton pour ces demandes. Vous pouvez utiliser ce jeton avec DescribeAsyncOperation pour vous aider à afficher le statut des opérations asynchrones en cours. Amazon S3 traite DescribeAsyncOperation de manière synchrone. Pour consulter l'état des demandes asynchrones, vous pouvez utiliser la console Amazon S3 ou l' AWS CLI API SDKs REST.

Note

La console affiche uniquement l'état des demandes asynchrones effectuées au cours des 14 jours précédents. Pour consulter le statut des anciennes demandes, utilisez l'API AWS CLI SDKs, ou REST.

Les opérations de gestion asynchrone peuvent avoir l'un des états suivants :

NEW

Amazon S3 a reçu la demande et se prépare à effectuer l'opération.

IN_PROGRESS

Amazon S3 effectue actuellement l'opération.

SUCCESS

L'opération a réussi. La réponse inclut des informations pertinentes, telles que l'alias de point d'accès multi-Régions pour une demande CreateMultiRegionAccessPoint.

FAILED

L'opération a échoué. La réponse inclut un message d'erreur indiquant la raison de l'échec de la demande.

Utilisation AWS CloudTrail avec des points d'accès multirégionaux

Vous pouvez l'utiliser AWS CloudTrail pour afficher, rechercher, télécharger, archiver, analyser et répondre à l'activité des comptes dans l'ensemble de votre AWS infrastructure. Grâce aux points d'accès multirégionaux et à la CloudTrail journalisation, vous pouvez identifier les éléments suivants :

  • Qui ou quoi a pris quelle mesure

  • Quelles ressources ont été utilisées

  • Moment où l'événement est survenu

  • Autres détails concernant l'événement

Vous pouvez utiliser ces informations de journalisation pour vous aider à analyser les activités qui se sont produites via vos points d'accès multi-régions et à y répondre.

Comment configurer les points AWS CloudTrail d'accès multirégionaux

Pour activer la CloudTrail journalisation pour toutes les opérations liées à la création ou à la maintenance de points d'accès multirégionaux, vous devez configurer la CloudTrail journalisation pour enregistrer les événements dans la région de l'ouest des États-Unis (Oregon). Vous devez configurer votre journalisation de cette façon, quelle que soit la région dans laquelle vous vous trouvez lorsque vous effectuez la demande, ou quelles que soient les régions prises en charge par le point d'accès multi-régions. Toutes les demandes de création ou de gestion d'un point d'accès multi-régions sont acheminées via la région USA Ouest (Oregon). Nous vous recommandons d'ajouter cette région à un journal d'activité existant ou de créer un journal d'activité contenant cette région et toutes les régions associées au point d'accès multi-régions.

Amazon S3 enregistre les demandes de journalisation effectuées via un point d'accès multi-régions et les demandes adressées aux opérations d'API qui gèrent les points d'accès, telles que CreateMultiRegionAccessPoint et GetMultiRegionAccessPointPolicy. Lorsque vous enregistrez ces demandes via un point d'accès multirégional, elles apparaissent dans vos AWS CloudTrail journaux avec le nom d'hôte du point d'accès multirégional. Par exemple, si vous envoyez des demandes à un bucket via un point d'accès multirégional avec l'aliasmfzwi23gnjvgw.mrap, les entrées du CloudTrail journal porteront le nom d'hôte. mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com

Les points d'accès multirégionaux acheminent les demandes vers le compartiment le plus proche. En raison de ce comportement, lorsque vous consultez les CloudTrail journaux d'un point d'accès multirégional, vous verrez des demandes adressées aux compartiments sous-jacents. Certaines de ces demandes peuvent être des demandes directes vers le compartiment et non acheminées via le point d'accès multi-régions. Gardez ce fait en tête lorsque vous examinez le trafic. Si un compartiment est dans un point d'accès multi-Régions, les demandes pourront toujours être adressées directement à ce compartiment sans passer par le point d'accès multi-Régions.

Des événements asynchrones sont impliqués dans la création et la gestion des points d'accès multi-Régions. Les requêtes asynchrones ne contiennent aucun événement d'achèvement dans le CloudTrail journal. Pour en savoir plus amples sur les demandes asynchrones, consultez Surveillance et journalisation des demandes faites aux opérations d'API de gestion de points d'accès multi-régions.

Pour plus d'informations AWS CloudTrail, voir Qu'est-ce que c'est AWS CloudTrail ? dans le guide de AWS CloudTrail l'utilisateur.