Résolution des problèmes de journalisation des accès au serveur - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des problèmes de journalisation des accès au serveur

Les rubriques suivantes peuvent vous aider à résoudre les problèmes que vous êtes susceptible de rencontrer lors de la configuration de la journalisation avec Amazon S3.

Messages d'erreur courants lors de la configuration de la journalisation

Les messages d'erreur courants suivants peuvent apparaître lorsque vous activez la journalisation via AWS Command Line Interface (AWS CLI) et AWS SDKs :

Erreur : la journalisation entre localisations S3 n'est pas autorisée

Si le compartiment de destination (également appelé compartiment cible) se trouve dans une région différente de celle du compartiment source, une erreur La journalisation entre localisations S3 n’est pas autorisée se produit. Pour résoudre cette erreur, assurez-vous que le compartiment de destination configuré pour recevoir les journaux d'accès se trouve dans le même Région AWS compartiment Compte AWS que le compartiment source.

Erreur : le propriétaire du compartiment à journaliser et celui du compartiment cible doivent être identiques

Lorsque vous activez la journalisation des accès au serveur, cette erreur se produit si le compartiment de destination spécifié appartient à un compte différent. Pour résoudre cette erreur, assurez-vous que le compartiment de destination se trouve dans le même compartiment Compte AWS que le compartiment source.

Note

Nous vous recommandons de choisir un compartiment de destination différent du compartiment source. Lorsque le compartiment source et le compartiment de destination sont identiques, des journaux supplémentaires sont créés pour les journaux qui sont écrits dans le compartiment, ce qui peut augmenter votre facture de stockage. Ces journaux supplémentaires peuvent également rendre difficile de trouver des journaux spécifiques. Pour simplifier la gestion des journaux, nous vous recommandons d'enregistrer les journaux d'accès dans un autre compartiment. Pour plus d’informations, consultez Comment activer la livraison des journaux ?.

Erreur : le compartiment cible pour la journalisation n'existe pas

Le compartiment de destination doit exister avant de définir la configuration. Cette erreur indique que le compartiment de destination n’existe pas ou est introuvable. Assurez-vous que le nom du compartiment est correctement orthographié, puis réessayez.

Erreur : les accords cibles ne sont pas autorisés pour les compartiments appliqués par le propriétaire du compartiment

Cette erreur indique que le compartiment de destination utilise le paramètre Propriétaire du compartiment appliqué pour la propriété des objets S3. Le paramètre Propriétaire du compartiment appliqué ne prend pas en charge les octrois de destination (cibles). Pour plus d’informations, consultez Autorisations de diffusion de journaux.

Dépannage des échecs de livraison

Pour éviter les problèmes de journalisation des accès au serveur, veillez à suivre les bonnes pratiques suivantes :

  • Le groupe de livraison des journaux S3 dispose d’un accès en écriture au compartiment de destination : le groupe de livraison des journaux S3 fournit des journaux d’accès au serveur vers le compartiment de destination. Une politique de compartiment ou une liste de contrôle d'accès aux ACL compartiments () peuvent être utilisées pour accorder un accès en écriture au compartiment de destination. Cependant, nous vous recommandons d'utiliser une politique de compartiment au lieu d'uneACL. Pour plus d’informations sur la manière d’accorder l’accès en écriture à votre compartiment de destination, consultez Autorisations de diffusion de journaux.

    Note

    Si le compartiment de destination utilise le paramètre Propriétaire du compartiment appliqué pour Propriété d’objets, tenez compte de ce qui suit :

    • ACLssont désactivés et n'affectent plus les autorisations. Cela signifie que vous ne pouvez pas mettre à jour votre compartiment ACL pour accorder l'accès au groupe de mise à disposition de journaux S3. À la place, pour accorder l’accès au principal du service de journalisation, vous devez mettre à jour la politique de compartiment pour le compartiment de destination.

    • Vous ne pouvez pas inclure d’octrois de destination dans votre configuration PutBucketLogging.

  • La politique de compartiment du compartiment de destination permet d’accéder aux journaux : vérifiez la politique de compartiment du compartiment de destination. Recherchez dans la politique du compartiment toutes les déclarations contenant "Effect": "Deny". Vérifiez ensuite que la déclaration Deny n'empêche pas l'écriture des journaux d'accès dans le compartiment.

  • Le verrouillage d’objet S3 n’est pas activé sur le compartiment de destination : vérifiez si le verrouillage d’objet est activé dans le compartiment de destination. Le verrouillage des objets bloque la livraison des journaux d'accès au serveur. Vous devez choisir un compartiment de destination sur lequel le verrouillage d’objet n’est pas activé.

  • Les clés gérées par Amazon S3 (SSE-S3) sont sélectionnées si le chiffrement par défaut est activé sur le compartiment de destination. Vous ne pouvez utiliser le chiffrement de compartiment par défaut sur le compartiment de destination que si vous utilisez le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3). Le chiffrement côté serveur par défaut avec les clés AWS Key Management Service (AWS KMS) (SSE-KMS) n'est pas pris en charge pour les compartiments de destination de journalisation des accès au serveur. Pour plus d'informations sur l'activation du chiffrement par défaut, consultez Configuration du chiffrement par défaut.

  • Le paiement par le demandeur n’est pas activé dans le compartiment de destination : le paiement par le demandeur n’est pas pris en charge dans le compartiment de destination pour la journalisation des accès au serveur. Pour autoriser la livraison des journaux d’accès au serveur, désactivez l’option Paiement par le demandeur sur le compartiment de destination.

  • Passez en revue votre politique de contrôle des AWS Organizations services : lorsque vous utilisez AWS Organizations, vérifiez les politiques de contrôle des services pour vous assurer que l'accès à Amazon S3 est autorisé. Les politiques de contrôle des services spécifient les autorisations maximales pour les comptes concernés. Recherchez toutes les déclarations qui contiennent "Effect": "Deny" dans la politique de contrôle des services et vérifiez que les déclarations Deny n'empêchent pas l'écriture de journaux d'accès dans le compartiment. Pour plus d'informations, voir Politiques de contrôle des services (SCPs) dans le guide de AWS Organizations l'utilisateur.

  • Prévoyez un certain temps pour que les modifications récentes de la configuration de la journalisation prennent effet : l’activation de la journalisation des accès au serveur pour la première fois ou la modification du compartiment de destination pour les journaux nécessite du temps pour entrer pleinement en vigueur. Plus d'une heure peut être nécessaire pour que toutes les demandes soient correctement journalisées et livrées.

    Pour vérifier les échecs de livraison des journaux, activez les métriques de demande sur Amazon CloudWatch. Si les journaux ne sont pas livrés au bout de quelques heures, recherchez la métrique 4xxErrors, qui peut indiquer des échecs de livraison des journaux. Pour plus d'informations sur l'activation des métriques de demande, consultez Création d'une configuration de CloudWatch métriques pour tous les objets de votre compartiment.