다중 리전 액세스 포인트를 통해 기본 리소스에 대한 요청 모니터링 및 로깅 - Amazon Simple Storage Service

다중 리전 액세스 포인트를 통해 기본 리소스에 대한 요청 모니터링 및 로깅

Amazon S3는 다중 리전 액세스 포인트를 통해 수행된 요청 및 이를 관리하는 API 작업에 대한 요청(예: CreateMultiRegionAccessPointGetMultiRegionAccessPointPolicy)을 로깅합니다. 다중 리전 액세스 포인트를 통해 수행된 Amazon S3에 대한 요청은 다중 리전 액세스 포인트의 호스트 이름과 함께 Amazon S3 서버 액세스 로그 및 AWS CloudTrail 로그에 표시됩니다. 액세스 포인트의 호스트 이름은 MRAP_alias.accesspoint.s3-global.amazonaws.com 형식을 사용합니다. 예를 들어 다음과 같은 버킷 및 다중 리전 액세스 포인트 구성이 있다고 가정합니다.

  • 이름이 my-bucket-usw2이며 us-west-2 리전에 있고 my-image.jpg 객체가 포함된 버킷

  • 이름이 my-bucket-aps1이며 ap-south-1 리전에 있고 my-image.jpg 객체가 포함된 버킷

  • 이름이 my-bucket-euc1이며 eu-central-1 리전에 있고 my-image.jpg 객체가 포함되지 않은 버킷

  • mfzwi23gnjvgw.mrap 별칭이 있는 my-mrap 다중 영역 액세스 포인트가 버킷 3개의 요청을 모두 이행하도록 구성되어 있습니다.

  • 귀하의 AWS 계정 ID는 123456789012입니다.

버킷을 통해 my-image.jpg를 직접 검색하기 위해 이루어진 요청은 호스트 이름이 bucket_name.s3.Region.amazonaws.com인 로그에 표시됩니다.

다중 리전 액세스 포인트를 통해 요청하는 경우 Amazon S3는 먼저 서로 다른 리전의 버킷 중 가장 가까운 버킷을 판단합니다. Amazon S3가 요청을 이행하는 데 사용할 버킷을 결정하면 해당 버킷으로 요청을 보내고 다중 리전 액세스 포인트 호스트 이름을 사용하여 작업을 로깅합니다. 이 예에서 Amazon S3가 요청을 my-bucket-aps1로 릴레이하면 로그는 mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com의 호스트 이름을 사용하여 my-bucket-aps1에서 my-image.jpg에 대해 성공한 GET 요청을 반영합니다.

중요

다중 리전 액세스 포인트는 기본 버킷의 데이터 콘텐츠를 인식하지 못합니다. 따라서 요청을 받는 버킷에는 요청된 데이터가 포함되어 있지 않을 수 있습니다. 예를 들어, Amazon S3가 my-bucket-euc1 버킷이 가장 가깝다고 판단한 경우 로그에는 mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com의 호스트 이름을 사용하여 my-bucket-euc1에서 my-image.jpg에 대해 실패한 GET 요청이 반영됩니다. 요청이 대신 my-bucket-usw2로 라우팅된 경우 로그에는 성공한 GET 요청이 표시됩니다.

Amazon S3 서버 액세스 로그에 대한 자세한 내용은 서버 액세스 로깅을 사용한 요청 로깅 섹션을 참조하세요. AWS CloudTrail에 대한 자세한 내용은 AWS CloudTrail 사용 설명서AWS CloudTrail이란 무엇인가요?를 참조하세요.

다중 리전 액세스 포인트 관리 API 작업에 대한 요청 모니터링 및 로깅

Amazon S3는 CreateMultiRegionAccessPointGetMultiRegionAccessPointPolicy와 같은 다중 리전 액세스 포인트를 관리하기 위한 여러 가지 API 작업을 제공합니다. AWS Command Line Interface(AWS CLI), AWS SDK 또는 Amazon S3 REST API를 사용하여 이러한 API 작업에 대해 요청을 수행하면 Amazon S3는 이러한 요청을 비동기적으로 처리합니다. 해당 요청에 대한 적절한 권한이 있는 경우 Amazon S3는 이러한 요청에 대한 토큰을 반환합니다. 이 토큰을 DescribeAsyncOperation과 같이 사용하면 진행 중인 비동기 작업의 상태를 확인할 수 있습니다. Amazon S3는 DescribeAsyncOperation 요청을 동기적으로 처리합니다. 비동기 요청의 상태를 확인하려면 Amazon S3 콘솔, AWS CLI, SDK 또는 REST API를 사용합니다.

참고

콘솔에는 이전 14일 이내에 수행된 비동기 요청의 상태만 표시됩니다. AWS CLI, SDK 또는 REST API를 사용하여 기존의 요청 상태 확인

비동기 관리 작업은 다음 상태 중 하나일 수 있습니다.

NEW

Amazon S3가 요청을 받았으며 작업을 수행할 준비를 하고 있습니다.

IN_PROGRESS

Amazon S3가 현재 작업을 수행하고 있습니다.

SUCCESS

작업이 성공했습니다. 응답에는 CreateMultiRegionAccessPoint 요청에 대한 다중 리전 액세스 포인트 별칭과 같은 관련 정보가 포함됩니다.

FAILED

작업이 실패했습니다. 응답에는 요청 실패의 원인을 나타내는 오류 메시지가 포함됩니다.

AWS CloudTrail 및 다중 리전 액세스 포인트 사용

AWS CloudTrail을 사용하여 AWS 인프라 전반에서 계정 활동을 확인, 검색, 다운로드, 보관 및 응답할 수 있습니다. 다중 리전 액세스 포인트 및 CloudTrail 로깅을 통해 다음을 식별할 수 있습니다.

  • 누가 또는 무엇이 어떤 조치를 취했는지

  • 어떤 리소스가 사용되었는지

  • 이벤트가 언제 발생했는지

  • 이벤트에 관한 기타 세부 정보

이 로깅 정보를 사용하여 다중 리전 액세스 포인트를 통해 발생한 활동을 분석하고 이에 대응할 수 있습니다.

다중 리전 액세스 포인트에 AWS CloudTrail을 설정하는 방법

다중 리전 액세스 포인트 생성 또는 유지 관리와 관련된 모든 작업에 대해 CloudTrail 로깅을 활성화하려면 CloudTrail 로깅을 구성하여 미국 서부(오레곤) 리전의 이벤트를 기록해야 합니다. 요청을 할 때 사용자가 있는 리전 또는 다중 리전 액세스 포인트가 지원하는 리전과 관계없이 이 방법으로 로깅 구성을 설정해야 합니다. 다중 리전 액세스 포인트를 생성하거나 유지하기 위한 모든 요청은 미국 서부(오레곤) 리전을 통해 라우팅됩니다. 이 리전을 기존 추적에 추가하거나 이 리전 및 다중 리전 액세스 포인트와 연관된 모든 리전을 포함하는 새 추적을 만드는 것이 좋습니다.

Amazon S3는 다중 리전 액세스 포인트를 통해 수행된 모든 요청 및 액세스 포인트를 관리하는 API 작업에 대한 요청(예: CreateMultiRegionAccessPointGetMultiRegionAccessPointPolicy)을 로깅합니다. 다중 리전 액세스 포인트를 통해 이러한 요청을 기록하면 다중 리전 액세스 포인트의 호스트 이름으로 AWS CloudTrail 로그에 표시됩니다. 예를 들어 mfzwi23gnjvgw.mrap 별칭을 사용하여 다중 리전 액세스 포인트를 통해 버킷에 요청하는 경우 CloudTrail 로그 항목의 호스트 이름은 mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com입니다.

다중 리전 액세스 포인트는 가장 가까운 버킷에 요청을 라우팅합니다. 이 동작으로 인해 다중 리전 액세스 포인트에 대한 CloudTrail 로그를 보면 기본 버킷에 대해 요청이 이루어지는 것을 볼 수 있습니다. 이러한 요청 중 일부는 다중 리전 액세스 포인트를 통해 라우팅되지 않는 버킷에 대한 직접 요청일 수 있습니다. 트래픽을 검토할 때는 이 사실에 유의하시기 바랍니다. 버킷이 다중 리전 액세스 포인트에 있는 경우 다중 리전 액세스 포인트를 통하지 않고도 해당 버킷에 대한 요청을 직접 수행할 수 있습니다.

다중 리전 액세스 포인트 생성 및 관리와 관련된 비동기 이벤트가 있습니다. 비동기 요청의 경우 CloudTrail 로그에는 완료 이벤트가 없습니다. 비동기 요청에 대한 자세한 내용은 다중 리전 액세스 포인트 관리 API 작업에 대한 요청 모니터링 및 로깅 섹션을 참조하세요.

AWS CloudTrail에 대한 자세한 내용은 AWS CloudTrail 사용 설명서AWS CloudTrail이란 무엇인가요?를 참조하세요.