監控與記錄透過多區域存取點對基礎資源提出的請求 - Amazon Simple Storage Service
監控與記錄對多區域存取點管理 API 操作提出的請求使用 CloudTrail

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

監控與記錄透過多區域存取點對基礎資源提出的請求

Amazon S3 會記錄透過多區域存取點和對管理它們的 API 操作提出的請求,例如 CreateMultiRegionAccessPointGetMultiRegionAccessPointPolicy。透過多區域存取點對 Amazon S3 提出的請求會使用多區域存取點主機名稱顯示在 Amazon S3 伺服器存取日誌和 AWS CloudTrail 日誌中。存取點的主機名稱採用此格式 MRAP_alias.accesspoint.s3-global.amazonaws.com。例如,假設您有下列儲存貯體和多區域存取點組態:

  • 區域 us-west-2 中名為 my-bucket-usw2 的儲存貯體,其中包含物件 my-image.jpg

  • 區域 ap-south-1 中名為 my-bucket-aps1 的儲存貯體,其中包含物件 my-image.jpg

  • 區域 eu-central-1 中名為 my-bucket-euc1 的儲存貯體,其中不包含名為 my-image.jpg 的物件。

  • 名為 my-mrap 且別名為 mfzwi23gnjvgw.mrap 的多區域存取點被設定為可滿足來自所有三個儲存貯體的請求。

  • 您的 AWS 帳戶 ID 是 123456789012

透過任何儲存貯體直接擷取 my-image.jpg 的請求會顯示在您的日誌中,其主機名稱為 bucket_name.s3.Region.amazonaws.com

如果您改為透過多區域存取點提出請求,Amazon S3 會先判定不同區域中的哪個儲存貯體最接近。在 Amazon S3 判定要使用哪個儲存貯體來完成請求後,它會將請求傳送到該儲存貯體,並使用多區域存取點主機名稱記錄操作。在此範例中,如果 Amazon S3 將請求轉送到 my-bucket-aps1,您的日誌會反映來自 my-bucket-aps1 且針對 my-image.jpg 的成功 GET 請求,其中使用了 mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com 的主機名稱。

重要

多區域存取點不知道基礎儲存貯體的資料內容。因此,取得請求的儲存貯體可能不包含請求的資料。例如,如果 Amazon S3 判定 my-bucket-euc1 儲存貯體最接近,您的日誌將反映來自 my-bucket-euc1 且針對 my-image.jpg 的失敗 GET 請求,其中使用了 mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com 的主機名稱。如果請求被路由到 my-bucket-usw2,您的日誌將表示一個成功的 GET 請求。

如需 Amazon S3 伺服器存取日誌的詳細資訊,請參閱「使用伺服器存取記錄記錄要求」。如需 AWS CloudTrail 的詳細資訊,請參閱《AWS CloudTrail 使用者指南》中的什麼是 AWS CloudTrail?

監控與記錄對多區域存取點管理 API 操作提出的請求

Amazon S3 提供數個可管理多區域存取點的 API 操作,例如 CreateMultiRegionAccessPointGetMultiRegionAccessPointPolicy。當您使用 AWS Command Line Interface (AWS CLI)、AWS 開發套件或 Amazon S3 REST API 對這些 API 操作提出請求時,Amazon S3 會以非同步方式處理這些請求。如果您擁有請求的適當許可,Amazon S3 會傳回這些請求的字符。您可以搭配使用此字符與 DescribeAsyncOperation,從而協助您檢視正在進行的非同步操作狀態。Amazon S3 會同步處理 DescribeAsyncOperation 請求。您可以使用 Amazon S3 主控台、AWS CLI、開發套件或 REST API 檢視非同步請求的狀態。

注意

主控台只會顯示過去 14 天內提出的非同步請求的狀態。若要檢視較舊的請求的狀態,請使用 AWS CLI、開發套件或 REST API。

非同步管理操作可能處於以下幾種狀態的其中一種:

NEW

Amazon S3 已收到請求並正準備執行操作。

IN_PROGRESS

Amazon S3 目前正在執行操作。

SUCCESS

操作成功。回應包含相關資訊,例如 CreateMultiRegionAccessPoint 請求的多區域存取點別名。

FAILED

操作失敗。回應包含錯誤訊息,其中會表示請求失敗的原因。

使用具有多區域存取點的 AWS CloudTrail

您可以使用 AWS CloudTrail 檢視、搜尋、下載、封存、分析和回應您 AWS 基礎設施的帳戶活動。透過多區域存取點和 CloudTrail 日誌記錄,您可以識別下列項目:

  • 誰採取了哪些行動

  • 針對哪些資源採取行動

  • 事件發生時間

  • 有關事件的其他詳細資訊

您可以使用此日誌記錄資訊,協助分析和回應透過多區域存取點發生的活動。

如何設定多區域存取點的 AWS CloudTrail

若要針對建立或維護多區域存取點的任何操作啟用 CloudTrail 記錄,您必須設定 CloudTrail 記錄,以便記錄美國西部 (奧勒岡) 區域中的事件。無論您在提出請求時位於哪個區域,或多區域存取點支援哪些區域,您皆必須以此方式設定日誌紀錄組態。建立或維護多區域存取點的所有請求皆會透過美國西部 (奧勒岡) 區域路由。建議您將此區域新增至現有線索,或建立一個包含此區域和與多區域存取點關聯的所有區域的新線索。

Amazon S3 會記錄透過多區域存取點提出的請求以及對管理存取點的 API 操作提出的請求,例如 CreateMultiRegionAccessPointGetMultiRegionAccessPointPolicy。當您透過多區域存取點記錄這些請求時,它們會顯示在您的 AWS CloudTrail 記錄中,其中包含多區域存取點的主機名稱。例如,如果您透過具有別名 mfzwi23gnjvgw.mrap 的多區域存取點對儲存貯體提出請求,則 CloudTrail 日誌中的項目將具有 mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com 的主機名稱。

多區域存取點會將請求路由至最近的儲存貯體,因此,當您查看多區域存取點的 CloudTrail 日誌時,您會看到基礎儲存貯體提出的請求。其中一些請求可能是直接向儲存貯體提出的請求,而不是透過多區域存取點路由的請求。檢視流量時,請務必牢記這點。當儲存貯體位於多區域存取點時,仍然可以直接對該儲存貯體提出請求,而無需透過多區域存取點。

建立和管理多區域存取點時涉及非同步事件。非同步請求在 CloudTrail 日誌中沒有完成事件。如需非同步請求的詳細資訊,請參閱 監控與記錄對多區域存取點管理 API 操作提出的請求

如需 AWS CloudTrail 的詳細資訊,請參閱《AWS CloudTrail 使用者指南》中的什麼是 AWS CloudTrail?