使用 Amazon S3 记录会话数据(控制台)
您可以选择将会话日志数据存储在指定的 Amazon Simple Storage Service (Amazon S3) 存储桶中,以便用于调试和故障排除。默认选项是将日志发送到加密的 Amazon S3 存储桶。系统将使用为存储桶指定的密钥执行加密,可以是 AWS KMS key或 Amazon S3 服务器端加密 (SSE) 密钥 (AES-256)。
重要
当通过安全套接字 (SSL) 使用虚拟托管类型存储桶时,SSL 通配符证书仅匹配不包含句点的存储桶。要解决此问题,请使用 HTTP 或编写自己的证书验证逻辑。在使用虚拟托管类型存储桶时,建议您不要在存储桶名称中使用句点(“.”)。
Amazon S3 存储桶加密
要将日志发送到 Amazon S3 存储桶并进行加密,必须在存储桶上允许加密。有关 Amazon S3 存储桶加密的更多信息,请参阅 Amazon S3 默认 S3 存储桶加密。
客户托管密钥
如果使用自己管理的 KMS 密钥来加密存储桶,则附加到实例的 IAM 实例配置文件必须具有读取此密钥的显式权限。如果使用 AWS 托管式密钥,则实例不需要此显式权限。有关为实例配置文件提供使用密钥的权限的更多信息,请参阅《AWS Key Management Service 开发人员指南》中的允许密钥用户使用密钥。
请按照以下步骤配置 Session Manager,以将会话日志存储在 Amazon S3 存储桶中。
注意
您也可以使用 AWS CLI 指定或更改将会话数据发送到的 Amazon S3 存储桶。有关信息,请参阅更新 Session Manager 首选项(命令行)。
要使用 Amazon S3 记录会话数据(控制台),请执行以下步骤:
访问 https://console.aws.amazon.com/systems-manager/
,打开 AWS Systems Manager 控制台。 -
在导航窗格中,选择 Session Manager。
-
选择首选项选项卡,然后选择编辑。
-
选中 S3 logging (S3 日志记录) 下 Enable (启用) 旁边的复选框。
-
(推荐)选中 Allow only encrypted S3 buckets (仅允许加密的 S3 存储桶) 旁边的复选框。开启此选项后,将使用为存储桶指定的服务器端加密密钥对日志数据进行加密。如果不需要加密发送到 Amazon S3 的日志数据,请清除此复选框。如果 S3 存储桶不允许加密,也必须清除此复选框。
-
对于 S3 bucket name (S3 存储桶名称),请选择以下选项之一:
注意
在使用虚拟托管类型存储桶时,建议您不要在存储桶名称中使用句点(“.”)。有关 Amazon S3 存储桶命名约定的更多信息,请参阅 Amazon Simple Storage Service 用户指南中的存储桶限制和局限性。
-
Choose a bucket name from the list (从列表中选择存储桶名称):选择已在账户中创建的用于存储会话日志数据的 Amazon S3 存储桶。
-
Enter a bucket name in the text box (在文本框中输入存储桶名称):输入已在账户中创建的用于存储会话日志数据的 Amazon S3 存储桶名称。
-
-
(可选)对于 S3 key prefix (S3 键前缀),输入现有或新文件夹的名称,以便将日志存储在所选的存储桶中。
-
选择保存。
有关使用 Amazon S3 和 Amazon S3 存储桶的更多信息,请参阅 Amazon Simple Storage Service 用户指南和 Amazon Simple Storage Service 用户指南。
