监视和记录通过多区域接入点发出的对底层资源的请求 - Amazon Simple Storage Service
监控和记录对多区域接入点管理 API 操作发出的请求使用 CloudTrail

监视和记录通过多区域接入点发出的对底层资源的请求

Amazon S3 记录通过多区域接入点发出的请求以及对管理这些接入点的 API 操作(如 CreateMultiRegionAccessPointGetMultiRegionAccessPointPolicy)发出的请求。通过接入点向 Amazon S3 发出的请求将显示在 S3 服务器访问日志和具有多区域接入点主机名的 AWS CloudTrail 日志中。接入点的主机名采用此形式:MRAP_alias.accesspoint.s3-global.amazonaws.com。例如,假设您具有以下桶和接入点配置:

  • 区域 us-west-2 中包含对象 my-image.jpg 且名为 my-bucket-usw2 的桶。

  • 区域 ap-south-1 中包含对象 my-image.jpg 且名为 my-bucket-aps1 的桶。

  • 区域 eu-central-1 中不包含名为 my-image.jpg 的对象且名为 my-bucket-euc1 的桶。

  • 名为 my-mrap 别名 mfzwi23gnjvgw.mrap 的多区域接入点配置为满足来自所有三个桶的请求。

  • 您的 AWS 账户 ID 是 123456789012

为了直接通过日志中显示的主机名为 bucket_name.s3.Region.amazonaws.com 的桶检索 my-image.jpg 而发出的请求。

如果您改为通过多区域接入点发出请求,Amazon S3 首先确定不同区域中的哪个桶距离最近。Amazon S3 确定用于满足请求的桶后,它会将请求发送到该桶并使用多区域接入点主机名记录操作。在此示例中,如果 Amazon S3 将请求中继到 my-bucket-aps1,则您的日志将反映对 my-bucket-aps1my-image.jpg 的成功 GET 请求,使用的主机名为 mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com

重要

多区域接入点不了解底层桶的数据内容。因此,收到请求的桶可能不包含所请求的数据。例如,如果 Amazon S3 确定 my-bucket-euc1 桶距离最近,则您的日志将反映对于 my-bucket-euc1my-image.jpg 的失败 GET 请求,使用的主机名为 mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com。如果请求已改而路由到 my-bucket-usw2,您的日志将表明成功的 GET 请求。

有关 Amazon S3 服务器访问日志的更多信息,请参阅 使用服务器访问日志记录来记录请求。有关 AWS CloudTrail 的更多信息,请参阅《AWS CloudTrail 用户指南》中的什么是 AWS CloudTrail?

监控和记录对多区域接入点管理 API 操作发出的请求

Amazon S3 提供了多个 API 操作来管理多区域接入点,例如 CreateMultiRegionAccessPointGetMultiRegionAccessPointPolicy。当您使用 AWS Command Line Interface(AWS CLI)、AWS SDK 或 Amazon S3 REST API 请求这些 API 操作时,Amazon S3 将异步处理这些请求。只要您对请求具有相应的权限,Amazon S3 将返回这些请求的令牌。您可以将此令牌与 DescribeAsyncOperation 用来帮助您查看正在进行的异步操作的状态。Amazon S3 同步处理 DescribeAsyncOperation 请求。要查看异步请求的状态,可以使用 Amazon S3 控制台、AWS CLI、SDK 或 REST API。

注意

控制台仅显示前 14 天内发出的异步请求的状态。要查看旧请求的状态,请使用 AWS CLI、开发工具包或 REST API。

异步管理操作可以处于以下几种状态之一:

NEW

Amazon S3 已收到请求,并准备执行该操作。

IN_PROGRESS

Amazon S3 当前正在执行该操作。

SUCCESS

操作已成功。响应包括相关信息,例如 CreateMultiRegionAccessPoint 请求。

FAILED

该操作失败。响应包含一条错误消息,指示请求失败的原因。

将 AWS CloudTrail 与多区域接入点结合使用

您可以使用 AWS CloudTrail 来查看、搜索、下载、归档、分析和响应您的 AWS 基础设施中的账户活动。通过多区域接入点和 CloudTrail 日志记录,您可以确定以下各项:

  • 谁或什么执行了哪个操作

  • 对哪些资源执行了操作

  • 事件发生的时间

  • 有关事件的其他详细信息

您可以使用此日志记录信息来帮助您分析和响应通过多区域接入点发生的活动。

如何设置 AWS CloudTrail 多区域接入点

要针对与创建或维护多区域接入点相关的任何操作启用 CloudTrail 日志记录,您必须配置 CloudTrail 日志记录来记录美国西部(俄勒冈州)区域中的事件。您必须以这种方式设置日志记录配置,而无论您在发出请求时所在的区域,也无论多区域接入点支持哪些区域。创建或维护多区域接入点的所有请求都通过美国西部(俄勒冈州)区域路由。我们建议您将此区域添加到现有跟踪中,或者创建包含此区域以及与多区域接入点关联的所有区域的新跟踪。

Amazon S3 记录通过多区域接入点发出的所有请求以及对管理接入点的 API 操作(如 CreateMultiRegionAccessPointGetMultiRegionAccessPointPolicy)发出的请求。当您通过多区域接入点记录这些请求时,它们将显示在 AWS CloudTrail 日志中包含多区域接入点的主机名。例如,如果您通过带有别名 mfzwi23gnjvgw.mrap 的多区域接入点向桶发出请求,则 CloudTrail 日志中的条目的主机名将为 mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com

多区域接入点将请求路由到最近的桶。由于这种行为,当您查看多区域接入点的 CloudTrail 日志时,您将看到对底层桶发出的请求。其中一些请求可能是对桶的直接请求,这些请求不是通过多区域接入点路由的。在查看流量时,请记住这一事实。当桶位于多区域接入点中时,仍可直接向该桶发出请求,而无需通过多区域接入点。

创建和管理多区域接入点涉及异步事件。异步请求在 CloudTrail 日志中没有完成事件。有关异步请求的更多信息,请参阅 监控和记录对多区域接入点管理 API 操作发出的请求

有关 AWS CloudTrail 的更多信息,请参阅《AWS CloudTrail 用户指南》中的什么是 AWS CloudTrail?