Registros de acceso a Amazon VPC Lattice - Amazon VPC Lattice
IAMpermisos necesarios para habilitar los registros de accesoDestinos de registro de accesoHabilitación de registros de accesoContenidos del registro de accesoContenido del registro de acceso a los recursosSolución de problemas en el registro de acceso

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registros de acceso a Amazon VPC Lattice

Los registros de acceso recopilan información detallada sobre sus servicios y configuraciones de recursos de VPC Lattice. Puede usar estos registros de acceso para analizar los patrones de tráfico y controlar todos los servicios de la red. Para los servicios de VPC Lattice, publicamos VpcLatticeAccessLogs y para las configuraciones de recursos, publicamos las VpcLatticeResourceAccessLogs que deben configurarse por separado.

Los registros de acceso son opcionales y están deshabilitados de forma predeterminada. Después de habilitar los registros de acceso, puede deshabilitarlos en cualquier momento.

Precios

Los cargos se aplican cuando se publican los registros de acceso. Los registros que se publican de AWS forma nativa en su nombre se denominan registros vendidos. Para obtener más información sobre los precios de los registros vendidos, consulta los CloudWatch precios de Amazon, selecciona Logs y consulta los precios en Vended Logs.

IAMpermisos necesarios para habilitar los registros de acceso

Para habilitar los registros de acceso y enviarlos a sus destinos, debe incluir las siguientes acciones en la política asociadas al IAM usuario, grupo o rol que esté utilizando.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Sid": "ManageVPCLatticeAccessLogSetup",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "vpc-lattice:CreateAccessLogSubscription",
                "vpc-lattice:GetAccessLogSubscription",
                "vpc-lattice:UpdateAccessLogSubscription",
                "vpc-lattice:DeleteAccessLogSubscription",
                "vpc-lattice:ListAccessLogSubscriptions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Para obtener más información, consulte Añadir y eliminar permisos de IAM identidad en la Guía del AWS Identity and Access Management usuario.

Una vez que haya actualizado la política asociada al IAM usuario, grupo o rol que esté utilizando, vaya aHabilitación de registros de acceso.

Destinos de registro de acceso

Puede enviar registros de acceso a los siguientes destinos.

Amazon CloudWatch Logs

  • VPCPor lo general, Lattice entrega los CloudWatch registros a Logs en 2 minutos. Sin embargo, tenga en cuenta que el tiempo real de entrega de los registros se basa en el mayor esfuerzo y puede haber una demora adicional.

  • Una política de recursos se crea automáticamente y se agrega al grupo de CloudWatch registros si el grupo de registros no tiene ciertos permisos. Para obtener más información, consulta Registros enviados a CloudWatch Logs en la Guía del CloudWatch usuario de Amazon.

  • Puede encontrar los registros de acceso que se envían en la CloudWatch sección Grupos de registros de la CloudWatch consola. Para obtener más información, consulta Ver los datos de registro enviados a CloudWatch Logs en la Guía del CloudWatch usuario de Amazon.

Amazon S3

  • VPCPor lo general, Lattice entrega los registros a Amazon S3 en 6 minutos. Sin embargo, tenga en cuenta que el tiempo real de entrega de los registros se basa en el mayor esfuerzo y puede haber una demora adicional.

  • Se creará una política de bucket automáticamente y se añadirá a su bucket de Amazon S3 si este no cuenta con ciertos permisos. Para obtener más información, consulte Registros enviados a Amazon S3 en la Guía del CloudWatch usuario de Amazon.

  • Los registros de acceso que se envían a Amazon S3 utilizan la siguiente convención de nomenclatura:

    [bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/AccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz

  • VpcLatticeResourceAccessLogs que se envían a Amazon S3 utilizan la siguiente convención de nomenclatura:

    [bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/ResourceAccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeResourceAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz
Amazon Data Firehose

  • VPCPor lo general, Lattice entrega troncos a Firehose en 2 minutos. Sin embargo, tenga en cuenta que el tiempo real de entrega de los registros se basa en el mayor esfuerzo y puede haber una demora adicional.

  • Se crea automáticamente un rol vinculado al servicio que otorga permiso a VPC Lattice para enviar los registros de acceso a. Amazon Data Firehose Para que la creación automática de roles se realice correctamente, los usuarios deben disponer de permisos para la acción iam:CreateServiceLinkedRole. Para obtener más información, consulta los registros enviados a Amazon Data Firehose en la Guía del CloudWatch usuario de Amazon.

  • Para obtener más información sobre cómo ver los registros enviados a Amazon Data Firehose, consulte el Monitoreo de Amazon Kinesis Data Streams dentro de la Guía del desarrollador de Amazon Data Firehose .

Habilitación de registros de acceso

Complete el siguiente procedimiento para configurar los registros de acceso a fin de capturar y entregar los registros de acceso al destino que elija.

Habilitación de registro de acceso desde la consola

Puede habilitar los registros de acceso para una red de servicios, un servicio o una configuración de recursos durante la creación. También puede habilitar los registros de acceso después de crear una configuración de red de servicio, servicio o recurso, tal como se describe en el siguiente procedimiento.

Creación de un servicio básico mediante la consola

  1. Abre la VPC consola de Amazon en https://console.aws.amazon.com/vpc/.

  2. Seleccione la configuración de red, servicio o recurso de servicio.

  3. Elija Acciones, Editar configuraciones de registro.

  4. Active el conmutador de Registros de acceso.

  5. Añada un destino de entrega para sus registros de acceso de la siguiente manera:

    • Seleccione Grupo de CloudWatch registros y elija un grupo de registros. Para crear un grupo de registros, elija Crear un grupo de registros en CloudWatch.

    • Seleccione Bucket de S3 e introduzca la ruta del bucket de S3, incluido cualquier prefijo. Para buscar sus buckets de S3, elija Explorar S3.

    • Seleccione Flujo de entrega de Kinesis Data Firehose y elija un flujo de entrega. Para crear un flujo de entrega, elija Crear un flujo de entrega en Kinesis.

  6. Elija Guardar cambios.

Habilitación de registros de acceso mediante la AWS CLI

Use el CLI comando create-access-log-subscriptionpara habilitar los registros de acceso a las redes o servicios de servicio.

Contenidos del registro de acceso

En la siguiente tabla se describen los campos de una entrada de registro de acceso.

Campo Descripción Formato
hostHeader

El encabezado de autoridad de la solicitud.

cadena
sslCipher

El SSL nombre Open del conjunto de cifrados que se utiliza para establecer la TLS conexión del cliente.

cadena
serviceNetworkArn

La red ARN de servicio.

arn:aws:vpc-lattice: :servicenetwork/ region account id
resolvedUser

El del usuario cuando la autenticación está habilitada y se realiza la autenticación. ARN

null | ARN | «Anónimo» | «Desconocido»
authDeniedReason

El motivo por el que se rechaza el acceso cuando la autenticación está habilitada.

anulación | “Servicio” | “Red” | “Identidad”
requestMethod

El encabezado del método de la solicitud.

cadena
targetGroupArn

El grupo de hosts de destino al que pertenece el host de destino.

cadena
tlsVersion

La versión de TLS.

TLSvx
userAgent

El encabezado del usuario-agente.

cadena
ServerNameIndication

[HTTPSsolo] El valor establecido en el conector de conexión ssl para la indicación del nombre del servidor (SNI).

cadena
destinationVpcId

El VPC ID de destino.

vpc- xxxxxxxx
sourceIpPort

Dirección IP y el puerto del origen.

ip:port
targetIpPort

La dirección IP y el puerto de destino.

ip:port
serviceArn

El servicio. ARN

arn:aws:vpc-lattice: :service/ region account id
sourceVpcId

El ID de la fuente. VPC

vpc- xxxxxxxx
requestPath

La ruta de la solicitud.

LatticePath?:path
startTime

La hora de inicio de la solicitud.

YYYY- MM - DD T HHMM: Z SS
protocol

El protocolo. Actualmente, HTTP /1.1 o HTTP /2.

cadena
responseCode

El código de HTTP respuesta. Solo se registra el código de respuesta de los encabezados finales. Para obtener más información, consulte Solución de problemas en el registro de acceso.

integer
bytesReceived

Los bytes de cuerpo y encabezado recibidos.

integer
bytesSent

Los bytes de cuerpo y encabezado enviados.

integer
duration

Duración total en milisegundos de la solicitud desde la hora de inicio hasta la salida del último byte.

integer
requestToTargetDuration

Duración total en milisegundos de la solicitud desde la hora de inicio hasta el envío a destino del último byte.

integer
responseFromTargetDuration

Duración total en milisegundos de la solicitud desde el primer byte leído desde el host de destino hasta el envío al cliente del último byte.

integer
grpcResponseCode

El código de RPC respuesta g. Para obtener más información, consulte Los códigos de estado y su uso en g RPC. Este campo se registra solo si el servicio admite gRPC.

integer
callerPrincipal

La entidad principal autenticada.

cadena
callerX509SubjectCN

El nombre del sujeto (CN).

cadena
callerX509IssuerOU

El emisor (OU).

cadena
callerX509SANNameCN

La alternativa del emisor (nombre/CN).

cadena
callerX509SANDNS

El nombre alternativo del sujeto (DNS).

cadena
callerX509SANURI

El nombre alternativo del sujeto (URI).

cadena
sourceVpcArn

El ARN lugar VPC donde se originó la solicitud.

arn:aws:ec2: ::vpc/ region account id
Ejemplo

A continuación, se muestra un ejemplo de entrada de registro.

{
    "hostHeader": "example.com",
    "sslCipher": "-",
    "serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/svn-1a2b3c4d",
    "resolvedUser": "Unknown",
    "authDeniedReason": "null",
    "requestMethod": "GET",
    "targetGroupArn": "arn:aws:vpc-lattice:us-west-2:123456789012:targetgroup/tg-1a2b3c4d",
    "tlsVersion": "-",
    "userAgent": "-",
    "serverNameIndication": "-",
    "destinationVpcId": "vpc-0abcdef1234567890",
    "sourceIpPort": "178.0.181.150:80",
    "targetIpPort": "131.31.44.176:80",
    "serviceArn": "arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-1a2b3c4d",
    "sourceVpcId": "vpc-0abcdef1234567890",
    "requestPath": "/billing",
    "startTime": "2023-07-28T20:48:45Z",
    "protocol": "HTTP/1.1",
    "responseCode": 200,
    "bytesReceived": 42,
    "bytesSent": 42,
    "duration": 375,
    "requestToTargetDuration": 1,
    "responseFromTargetDuration": 1,
    "grpcResponseCode": 1
}

Contenido del registro de acceso a los recursos

En la siguiente tabla se describen los campos de una entrada del registro de acceso a los recursos.

Campo Descripción Formato
serviceNetworkArn

La red de serviciosARN.

arn: partition vpc-lattice: :servicenetwork/ region account id
serviceNetworkResourceAssociationId

El ID del recurso de la red de servicio.

snra-xxx
vpcEndpointId

El ID del punto final que se utilizó para acceder al recurso.

cadena
sourceVpcArn

La fuente VPC ARN o el lugar VPC desde el que se inició la conexión.

cadena
resourceConfigurationArn

La configuración ARN de recursos a la que se accedió.

cadena
protocol

El protocolo utilizado para comunicarse con la configuración del recurso. Actualmente, solo se admite tcp.

cadena
sourceIpPort

La dirección IP y el puerto de la fuente que inició la conexión.

ip:port
destinationIpPort

La dirección IP y el puerto desde los que se inició la conexión. Será la IP de SN-E/SN-A.

ip:port
gatewayIpPort

La dirección IP y el puerto utilizados por la puerta de enlace de recursos para acceder al recurso.

ip:port
resourceIpPort

La dirección IP y el puerto del recurso.

ip:port
Ejemplo

A continuación, se muestra un ejemplo de entrada de registro.

{
    "eventTimestamp": "2024-12-02T10:10:10.123Z",
    "serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:1234567890:servicenetwork/sn-1a2b3c4d",
    "serviceNetworkResourceAssociationId": "snra-1a2b3c4d",
    "vpcEndpointId": "vpce-01a2b3c4d",
    "sourceVpcArn": "arn:aws:ec2:us-west-2:1234567890:vpc/vpc-01a2b3c4d",
    "resourceConfigurationArn": "arn:aws:vpc-lattice:us-west-2:0987654321:resourceconfiguration/rcfg-01a2b3c4d",
    "protocol": "tcp",
    "sourceIpPort": "172.31.23.56:44076",
    "destinationIpPort": "172.31.31.226:80",
    "gatewayIpPort": "10.0.28.57:49288",
    "resourceIpPort": "10.0.18.190:80"
}

Solución de problemas en el registro de acceso

Esta sección contiene una explicación de los códigos de HTTP error que pueden aparecer en los registros de acceso.

Código de error Causas posibles

HTTP400: Solicitud incorrecta

  • El cliente envió una solicitud con un formato incorrecto que no cumple con las HTTP especificaciones.

  • El encabezado de la solicitud superó los 60 000 para todo el encabezado de la solicitud o los 100 encabezados.

  • El cliente cerró la conexión antes de enviar el cuerpo completo de la solicitud.

HTTP403: Prohibido

Se configuró la autenticación del servicio, pero la solicitud entrante no está autenticada ni autorizada.

HTTP404: Servicio inexistente

Está intentando conectarse a un servicio que no existe o que no está registrado en la red de servicio correcta.

HTTP500: Error interno del servidor

VPCLattice detectó un error, como una falla al conectarse a los objetivos.

HTTP502: Puerta de enlace incorrecta

VPCLattice ha detectado un error.