Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Résolution des problèmes de journalisation des accès au serveur
Les rubriques suivantes peuvent vous aider à résoudre les problèmes que vous êtes susceptible de rencontrer lors de la configuration de la journalisation avec Amazon S3.
Rubriques
Messages d’erreur courants lors de la configuration de la journalisation
Les messages d'erreur courants suivants peuvent apparaître lorsque vous activez la journalisation via AWS Command Line Interface (AWS CLI) et AWS SDKs :
Erreur : la journalisation entre localisations S3 n’est pas autorisée
Si le compartiment de destination (également appelé compartiment cible) se trouve dans une région différente de celle du compartiment source, une erreur La journalisation entre localisations S3 n’est pas autorisée se produit. Pour résoudre cette erreur, assurez-vous que le compartiment de destination configuré pour recevoir les journaux d'accès se trouve dans le même Région AWS compartiment Compte AWS que le compartiment source.
Erreur : le propriétaire du compartiment à journaliser et celui du compartiment cible doivent être identiques
Lorsque vous activez la journalisation des accès au serveur, cette erreur se produit si le compartiment de destination spécifié appartient à un compte différent. Pour résoudre cette erreur, assurez-vous que le compartiment de destination se trouve dans le même compartiment Compte AWS que le compartiment source.
Note
Nous vous recommandons de choisir un compartiment de destination différent du compartiment source. Lorsque le compartiment source et le compartiment de destination sont identiques, des journaux supplémentaires sont créés pour les journaux qui sont écrits dans le compartiment, ce qui peut augmenter votre facture de stockage. Ces journaux supplémentaires peuvent également rendre difficile de trouver des journaux spécifiques. Pour simplifier la gestion des journaux, nous vous recommandons d’enregistrer les journaux d’accès dans un autre compartiment. Pour plus d’informations, consultez Comment activer la livraison des journaux ?.
Erreur : le compartiment cible pour la journalisation n’existe pas
Le compartiment de destination doit exister avant de définir la configuration. Cette erreur indique que le compartiment de destination n’existe pas ou est introuvable. Assurez-vous que le nom du compartiment est correctement orthographié, puis réessayez.
Erreur : les accords cibles ne sont pas autorisés pour les compartiments appliqués par le propriétaire du compartiment
Cette erreur indique que le compartiment de destination utilise le paramètre Propriétaire du compartiment appliqué pour la propriété des objets S3. Le paramètre Propriétaire du compartiment appliqué ne prend pas en charge les octrois de destination (cibles). Pour plus d’informations, consultez Autorisations de diffusion de journaux.
Dépannage des échecs de livraison
Pour éviter les problèmes de journalisation des accès au serveur, veillez à suivre les bonnes pratiques suivantes :
Le groupe de livraison des journaux S3 dispose d’un accès en écriture au compartiment de destination : le groupe de livraison des journaux S3 fournit des journaux d’accès au serveur vers le compartiment de destination. Une politique de compartiment ou une liste de contrôle d’accès (ACL) peuvent être utilisées pour accorder l’accès en écriture au compartiment de destination. Toutefois, nous vous recommandons d’utiliser une politique de compartiment plutôt qu’une liste ACL. Pour plus d’informations sur la manière d’accorder l’accès en écriture à votre compartiment de destination, consultez Autorisations de diffusion de journaux.
Note
Si le compartiment de destination utilise le paramètre Propriétaire du compartiment appliqué pour Propriété d’objets, tenez compte de ce qui suit :
-
ACLs sont désactivés et n'affectent plus les autorisations. Vous ne pouvez pas mettre à jour la liste ACL de votre compartiment pour accorder l’accès au groupe de livraison des journaux S3. À la place, pour accorder l’accès au principal du service de journalisation, vous devez mettre à jour la politique de compartiment pour le compartiment de destination.
-
Vous ne pouvez pas inclure d’octrois de destination dans votre configuration
PutBucketLogging.
-
La politique de compartiment du compartiment de destination permet d’accéder aux journaux : vérifiez la politique de compartiment du compartiment de destination. Recherchez dans la politique du compartiment toutes les déclarations contenant
"Effect": "Deny". Vérifiez ensuite que la déclarationDenyn’empêche pas l’écriture des journaux d’accès dans le compartiment.Le verrouillage d’objet S3 n’est pas activé sur le compartiment de destination : vérifiez si le verrouillage d’objet est activé dans le compartiment de destination. Le verrouillage des objets bloque la livraison des journaux d’accès au serveur. Vous devez choisir un compartiment de destination sur lequel le verrouillage d’objet n’est pas activé.
Les clés gérées par Amazon S3 (SSE-S3) sont sélectionnées si le chiffrement par défaut est activé sur le compartiment de destination : vous pouvez utiliser le chiffrement de compartiment par défaut sur le compartiment de destination uniquement si vous utilisez le chiffrement côté serveur avec les clés gérées par Amazon S3 (SSE-S3). Le chiffrement côté serveur par défaut avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS) n'est pas pris en charge pour les compartiments de destination de journalisation des accès au serveur. Pour plus d’informations sur l’activation du chiffrement par défaut, consultez Configuration du chiffrement par défaut.
Le paiement par le demandeur n’est pas activé dans le compartiment de destination : le paiement par le demandeur n’est pas pris en charge dans le compartiment de destination pour la journalisation des accès au serveur. Pour autoriser la livraison des journaux d’accès au serveur, désactivez l’option Paiement par le demandeur sur le compartiment de destination.
Passez en revue vos politiques de contrôle des AWS Organizations services (SCPs) et vos politiques de contrôle des ressources (RCPs) : lorsque vous utilisez AWS Organizations, vérifiez les politiques de contrôle des services et les politiques de contrôle des ressources pour vous assurer que l'accès à Amazon S3 est autorisé. Ces politiques spécifient les autorisations maximales pour les principaux et les ressources des comptes concernés. Recherchez dans les politiques toutes les instructions qui contiennent
"Effect": "Deny"et vérifiez que les instructionsDenyn’empêchent pas l’écriture des journaux d’accès dans le compartiment. Pour plus d’informations, consultez Politiques d’autorisation dans AWS Organizations dans le Guide de l’utilisateur AWS Organizations .-
Prévoyez un certain temps pour que les modifications récentes de la configuration de la journalisation prennent effet : l’activation de la journalisation des accès au serveur pour la première fois ou la modification du compartiment de destination pour les journaux nécessite du temps pour entrer pleinement en vigueur. Plus d’une heure peut être nécessaire pour que toutes les demandes soient correctement journalisées et livrées.
Pour vérifier les échecs de livraison des journaux, activez les métriques de demande sur Amazon CloudWatch. Si les journaux ne sont pas livrés au bout de quelques heures, recherchez la métrique
4xxErrors, qui peut indiquer des échecs de livraison des journaux. Pour plus d’informations sur l’activation des métriques de demande, consultez Création d'une configuration de CloudWatch métriques pour tous les objets de votre compartiment.
