Monitoreo y registro de solicitudes realizadas a través de un punto de acceso de varias regiones a los recursos subyacentes - Amazon Simple Storage Service

Monitoreo y registro de solicitudes realizadas a través de un punto de acceso de varias regiones a los recursos subyacentes

Amazon S3 registra las solicitudes realizadas a través de los puntos de acceso de varias regiones y las solicitudes realizadas a las operaciones de la API que los administran, tales como CreateMultiRegionAccessPoint y GetMultiRegionAccessPointPolicy. Las solicitudes realizadas a Amazon S3 través de un punto de acceso de varias regiones aparecen en los registros de acceso de servidor de Amazon S3 y en los registros de AWS CloudTrail con el nombre de host del punto de acceso de varias regiones. El nombre de host de un punto de acceso toma la forma MRAP_alias.accesspoint.s3-global.amazonaws.com. Por ejemplo, supongamos que tiene la siguiente configuración de bucket y punto de acceso de varias regiones:

  • Un bucket denominado my-bucket-usw2 en la región us-west-2 que contiene el objeto my-image.jpg.

  • Un bucket denominado my-bucket-aps1 en la región ap-south-1 que contiene el objeto my-image.jpg.

  • Un bucket denominado my-bucket-euc1 en la región eu-central-1 que no contiene un objeto denominado my-image.jpg.

  • Un punto de acceso de varias regiones denominado my-mrap con el alias mfzwi23gnjvgw.mrap que está configurado para satisfacer las solicitudes de los tres buckets.

  • El ID de la cuenta de AWS es 123456789012.

Una solicitud realizada para recuperar my-image.jpg directamente a través de los buckets aparece en los registros con el nombre de host bucket_name.s3.Region.amazonaws.com.

Si realiza la solicitud a través del punto de acceso de varias regiones, Amazon S3 determina primero cuál de los buckets de las diferentes regiones está más cerca. Una vez que Amazon S3 determina qué bucket utilizar para gestionar la solicitud, envía la solicitud a ese bucket y registra la operación utilizando el nombre de host del punto de acceso de varias regiones. En este ejemplo, si Amazon S3 retransmitió la solicitud a my-bucket-aps1, sus registros reflejarían una solicitud GET correcta para my-image.jpg desde my-bucket-aps1, usando un nombre de host de mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com.

importante

Los puntos de acceso de varias regiones no conocen el contenido de datos de los buckets subyacentes. Por lo tanto, es posible que el bucket que reciba la solicitud no contenga los datos solicitados. Por ejemplo, si Amazon S3 determina que el bucket de my-bucket-euc1 está más cerca, los registros reflejarían una solicitud GET errónea para my-image.jpg desde my-bucket-euc1, usando un nombre de host de mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com. Si, en cambio, la solicitud se dirigió hacia my-bucket-usw2, sus registros indicarían un solicitud GET correcta.

Para obtener más información acerca de los registros de acceso al servidor de Amazon S3, consulte Registro de solicitudes con registro de acceso al servidor. Para obtener más información sobre AWS CloudTrail, consulte ¿Qué es AWS CloudTrail? en la Guía del usuario de AWS CloudTrail.

Monitoreo y registro de solicitudes realizadas a las operaciones de la API de administración de puntos de acceso de varias regiones

Amazon S3 ofrece varias operaciones de la API para administrar puntos de acceso de varias regiones, como CreateMultiRegionAccessPoint y GetMultiRegionAccessPointPolicy. Cuando realiza estas solicitudes a estas operaciones de la API utilizando la AWS Command Line Interface (AWS CLI), los SDK de AWS o la API de REST de Amazon S3, Amazon S3 procesa estas solicitudes de forma asincrónica. Si tiene los permisos adecuados para la solicitud, Amazon S3 devuelve un token para estas solicitudes. Puede usar este token con DescribeAsyncOperation para ayudarle a ver el estado de las operaciones asincrónicas en curso. Amazon S3 procesa las solicitudes de DescribeAsyncOperation de forma sincrónica. Puede utilizar la consola, AWS CLI, los SDK o la API de REST de Amazon S3 para ver el estado de las solicitudes asincrónicas.

nota

La consola solo muestra el estado de las solicitudes asincrónicas realizadas en los 14 días anteriores. Para ver el estado de solicitudes anteriores, utilice la AWS CLI, los SDK o la API REST.

Las operaciones de administración asíncrona pueden tener uno de los siguientes estados:

NEW

Amazon S3 ha recibido la solicitud y se está preparando para realizar la operación.

IN_PROGRESS

Amazon S3 está llevando a cabo la operación actualmente.

SUCCESS

La operación se ha completado correctamente. La respuesta incluye información relevante, como el alias de punto de acceso de varias regiones para una solicitud de CreateMultiRegionAccessPoint.

FAILED

La operación produce un error. La respuesta incluye un mensaje de error que indica el motivo del error de la solicitud.

Uso de AWS CloudTrail con puntos de acceso de varias regiones

Puede utilizar AWS CloudTrail para ver, buscar, descargar, archivar, analizar y responder a la actividad de la cuenta en la infraestructura de AWS. Con los puntos de acceso de varias regiones y el registro de CloudTrail, puede identificar lo siguiente:

  • Quién o qué ha tomado qué medida

  • Sobre qué recursos se ha actuado

  • Cuándo se produjo el evento

  • Otros detalles sobre el evento

Puede utilizar esta información de registro para analizar y responder a la actividad que se produjo a través de sus puntos de acceso de varias regiones.

Cómo configurar AWS CloudTrail para puntos de acceso de varias regiones

Para habilitar el registro de CloudTrail para cualquier operación relacionada con la creación o el mantenimiento de puntos de acceso de varias regiones, debe configurar el registro de CloudTrail para registrar los eventos en la región de Oeste de EE. UU. (Oregón). Debe configurar su registro de este modo, independientemente de la región en la que se encuentre al realizar la solicitud o de las regiones que admita el punto de acceso de varias regiones. Todas las solicitudes para crear o mantener un punto de acceso de varias regiones se dirigen a través de la región de Oeste de EE. UU. (Oregón). Le recomendamos que agregue esta región a un seguimiento existente o que cree un nuevo seguimiento que contenga esta región y todas las regiones asociadas al punto de acceso de varias regiones.

Amazon S3 registra todas las solicitudes realizadas a través de los puntos de acceso de varias regiones y las solicitudes realizadas a las operaciones de la API que administran puntos de acceso, tales como CreateMultiRegionAccessPoint y GetMultiRegionAccessPointPolicy. Cuando registra estas solicitudes a través de un punto de acceso de varias regiones, aparecen en los registros de AWS CloudTrail con el nombre de host del punto de acceso de varias regiones. Por ejemplo, si realiza solicitudes a un bucket a través de un punto de acceso de varias regiones con el alias mfzwi23gnjvgw.mrap, las entradas en el registro de CloudTrail tendrían un nombre de host de mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com.

Los puntos de acceso de varias regiones dirigen las solicitudes al bucket más cercano. Debido a este comportamiento, cuando busque los registros de CloudTrail para un punto de acceso de varias regiones, verá que las solicitudes se realizarán a los buckets subyacentes. Algunas de esas solicitudes pueden ser solicitudes directas al bucket que no se enrutan a través del punto de acceso de varias regiones. Es importante recordarlo al revisar el tráfico. Cuando un bucket se encuentra en un punto de acceso de varias regiones, las solicitudes se pueden realizar directamente a ese bucket sin pasar por el punto de acceso de varias regiones.

Hay eventos asíncronos relacionados con la creación y administración de puntos de acceso de varias regiones. Las solicitudes asincrónicas no tienen eventos de finalización en el registro de CloudTrail. Para obtener más información acerca de solicitudes asincrónicas, consulte Monitoreo y registro de solicitudes realizadas a las operaciones de la API de administración de puntos de acceso de varias regiones.

Para obtener más información sobre AWS CloudTrail, consulte ¿Qué es AWS CloudTrail? en la Guía del usuario de AWS CloudTrail.