Registrar dados da sessão em log usando o Amazon S3 (console) - AWS Systems Manager

Registrar dados da sessão em log usando o Amazon S3 (console)

Você pode optar por armazenar os dados de log da sessão em um bucket do Amazon Simple Storage Service (Amazon S3) de sua escolha para fins de depuração e solução de problemas. A opção padrão é que os logs sejam enviados para um bucket do Amazon S3 criptografado. A criptografia é feita usando a chave especificada para o bucket, uma chave do AWS KMS key ou uma chave de criptografia no lado do servidor (SSE) (AES-256) do Amazon S3.

Importante

Ao usar buckets hospedados virtualmente com Secure Sockets Layer (SSL), o certificado SSL curinga corresponde somente a buckets que não contenham pontos. Para contornar isso, use HTTP ou escreva a sua própria lógica de verificação do certificado. Recomendamos não usar pontos (".") em nomes de buckets ao usar buckets hospedados virtualmente.

Criptografia de bucket do Amazon S3

Para enviar logs ao seu bucket do Amazon S3 com criptografia, a mesma deve ser ativada no bucket. Para obter informações sobre a criptografia de buckets do Amazon S3, consulte Definir o comportamento padrão da criptografia para os buckets do Amazon S3.

Chave gerenciada pelo cliente

Se você estiver usando uma chave do KMS que você mesmo gerencia para criptografar o bucket, o perfil da instância do IAM anexado às suas instâncias deve ter permissões explícitas para ler a chave. Se você usar uma Chave gerenciada pela AWS, a instância não exigirá essa permissão explícita. Para obter mais informações sobre como fornecer o perfil da instância com acesso para usar a chave, consulte Permitir que os usuários de chaves usem a chave do KMS no Guia do desenvolvedor do AWS Key Management Service.

Siga estas etapas para configurar o Session Manager para armazenar logs de sessão em um bucket do Amazon S3.

nota

Você também pode usar o AWS CLI para especificar ou alterar o bucket do Amazon S3 para os quais os dados serão enviados. Para ter mais informações, consulte Atualizar preferências do Session Manager (linha de comando).

Para registrar dados da sessão em log usando o Amazon S3 (console)

  1. Abra o console AWS Systems Manager em https://console.aws.amazon.com/systems-manager/.

  2. No painel de navegação, escolha Session Manager.

  3. Escolha a guia Preferences (Preferências) e, em seguida, escolha Edit (Editar).

  4. Marque a caixa de seleção ao lado de Enable (Habilitar) em S3 logging (Registro em log do S3).

  5. (Recomendado) Marque a caixa de seleção ao lado de Allow only encrypted S3 buckets (Permitir apenas buckets do S3 criptografados). Com essa opção ativada, os dados de log serão criptografados usando a chave de criptografia no lado do servidor especificada para o bucket. Se não quiser criptografar os dados de log enviados ao Amazon S3, desmarque a caixa de seleção. Você também deverá desmarcar a caixa de seleção se a criptografia não for permitida no bucket do S3.

  6. Para S3 bucket name (Nome do bucket do S3), selecione uma das seguintes opções:

    nota

    Recomendamos não usar pontos (".") em nomes de buckets ao usar buckets hospedados virtualmente. Para obter informações sobre as convenções para nomear buckets do Amazon S3, consulte Restrições e limitações de buckets no guia do usuário do Amazon Simple Storage Service.

    • Escolha um nome de bucket na lista: selecione um bucket do Amazon S3 que já tenha sido criado na sua conta para armazenar dados de log de sessão.

    • Insira um nome de bucket na caixa de texto: insira o nome de um bucket do Amazon S3 que já tenha sido criado na conta para armazenar os dados de log da sessão.

  7. (Opcional) Para prefixo de chaves do S3, insira o nome de uma pasta existente ou uma nova pasta para armazenar logs no bucket selecionado.

  8. Escolha Salvar.

Para obter mais informações sobre como trabalhar com o Amazon S3 e com buckets do Amazon S3, consulte o Guia do usuário do Amazon Simple Storage Service e o Guia do usuário do Amazon Simple Storage Service.