Überwachung und Protokollierung von Anforderungen, die über einen Multi-Regions-Zugriffspunkt an zugrunde liegende Ressourcen erfolgen

Amazon S3 protokolliert Anforderungen, die über Multi-Region Access Points gestellt werden, und Anforderungen an die API-Operationen, die sie verwalten, wie z. B. CreateMultiRegionAccessPoint und GetMultiRegionAccessPointPolicy. Anforderungen, die über einen Multi-Regions-Zugriffspunkt an Amazon S3 gesendet werden, werden in den Zugriffsprotokollen und AWS CloudTrail-Protokollen des Amazon S3-Servers mit dem Hostnamen des Multi-Regions-Zugriffspunkts angezeigt. Der Hostname eines Zugriffspunkts hat das Format MRAP_alias.accesspoint.s3-global.amazonaws.com. Angenommen, Sie haben die folgende Bucket- und Multi-Regions-Zugriffspunktkonfiguration:

• Ein Bucket mit dem Namen my-bucket-usw2 in der Region us-west-2, der das Objekt my-image.jpg enthält.

• Ein Bucket mit dem Namen my-bucket-aps1 in der Region ap-south-1, der das Objekt my-image.jpg enthält.

• Ein Bucket mit dem Namen my-bucket-euc1 in der Region eu-central-1, der kein Objekt namens my-image.jpg enthält.

• Ein Multi-Regions-Zugriffspunkt namens my-mrap mit dem Alias mfzwi23gnjvgw.mrap, der so konfiguriert ist, dass Anforderungen aus allen drei Buckets erfüllt werden.

• Ihre AWS-Konto-ID ist 123456789012.

Eine Anforderung, die gesendet wird, um my-image.jpg direkt über einen der Buckets anzurufen, wird in Ihren Protokollen mit dem Hostnamen bucket_name.s3.Region.amazonaws.com angezeigt.

Wenn Sie die Anforderung stattdessen über den Multi-Region Access Point stellen, bestimmt Amazon S3 zunächst, welcher der Buckets in den verschiedenen Regionen am nächsten gelegen ist. Nach der Ermittlung, welcher Bucket zur Erfüllung der Anforderung verwendet werden soll, sendet Amazon S3 die Anforderung an diesen Bucket und protokolliert den Vorgang unter Verwendung des Hostnamens des Multi-Region Access Point. Wenn Amazon S3 in diesem Beispiel die Anforderung an my-bucket-aps1 weiterleitet, spiegeln Ihre Protokolle eine erfolgreiche GET-Anforderung für my-image.jpg von my-bucket-aps1 unter Verwendung des Hostnamens mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com wider.

Wichtig

Multi-Region Access Points kennen den Dateninhalt der zugrunde liegenden Buckets nicht. Daher kann es sein, dass der Bucket, der die Anforderung erhält, die angeforderten Daten nicht enthält. Wenn Amazon S3 beispielsweise feststellt, dass der Bucket my-bucket-euc1 am nächsten gelegen ist, spiegeln Ihre Protokolle eine fehlgeschlagene GET-Anforderung für my-image.jpg von my-bucket-euc1 unter Verwendung des Hostnamens mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com wider. Wenn die Anforderung stattdessen an my-bucket-usw2 weitergeleitet worden wäre, würden Ihre Protokolle eine erfolgreiche GET-Anforderung anzeigen.

Weitere Informationen zu Amazon S3-Server-Zugriffsprotokollen finden Sie unter Protokollieren von Anfragen mit Server-Zugriffsprotokollierung. Weitere Informationen zu AWS CloudTrail, finden Sie unter Was ist AWS CloudTrail? im AWS CloudTrail-Benutzerhandbuch.

Überwachen und Protokollieren von Anforderungen an Verwaltungs-API-Operationen von Multi-Region Access Points

Amazon S3 bietet verschiedene API-Operationen für die Verwaltung von Multi-Region Access Points, wie z. B. CreateMultiRegionAccessPoint und GetMultiRegionAccessPointPolicy. Wenn Sie Anforderungen an diese API-Operationen über die AWS Command Line Interface (AWS CLI), AWS-SDKs oder die Amazon-S3-REST-API stellen, verarbeitet Amazon S3 diese Anforderungen asynchron. Vorausgesetzt, Sie verfügen über die entsprechenden Berechtigungen für die Anforderung, gibt Amazon S3 ein Token für diese Anforderungen zurück. Sie können dieses Token mit DescribeAsyncOperation verwenden, um Ihnen zu helfen, den Status von laufenden asynchronen Vorgängen anzuzeigen. Amazon S3 verarbeitet DescribeAsyncOperation-Anforderungen synchron. Sie können die Amazon-S3-Konsole, die AWS CLI, SDKs oder die REST-API verwenden, um den Status asynchroner Anforderungen anzuzeigen.

Anmerkung

Die Konsole zeigt nur den Status asynchroner Anforderungen an, die innerhalb der letzten 14 Tage gestellt wurden. Verwende Sie AWS CLI, SDKs oder REST-API, um den Status älterer Anforderungen anzuzeigen.

Asynchrone Verwaltungsvorgänge können einen von mehreren Zuständen aufweisen:

NEW

Amazon S3 hat die Anforderung erhalten und bereitet die Ausführung des Vorgangs vor.

IN_PROGRESS

Amazon S3 führt derzeit den Vorgang aus.

SUCCESS

Der Vorgang war erfolgreich. Die Antwort enthält relevante Informationen, z. B. den Multi-Regions-Zugriffspunkt-Alias für eine CreateMultiRegionAccessPoint-Anforderung.

FAILED

Der Vorgang schlägt fehl. Die Antwort enthält eine Fehlermeldung, die den Grund für den Anforderungsfehler angibt.

Verwenden von AWS CloudTrail mit Multi-Region Access Points

Mit AWS CloudTrail können Sie Kontoaktivitäten in Ihrer AWS-Infrastruktur anzeigen, suchen, herunterladen, archivieren, analysieren und auf diese reagieren. Mit Multi-Region Access Points und CloudTrail-Protokollierung können Sie Folgendes ermitteln:

• Wer oder was welche Maßnahme ergriffen hat

• Welche Ressourcen in Anspruch genommen wurden

• Wann das Ereignis aufgetreten ist

• Weitere Details zu dem Ereignis

Sie können diese Protokollinformationen für die Analyse und Reaktion auf Aktivitäten verwenden, die über Ihre Multi-Region Access Points erfolgt sind.

Einrichten von AWS CloudTrail-Multi-Regions-Zugriffspunkten

Um die CloudTrail-Protokollierung für Vorgänge im Zusammenhang mit dem Erstellen oder Verwalten von Multi-Region Access Points zu aktivieren, müssen Sie die CloudTrail-Protokollierung so konfigurieren, dass die Ereignisse in der Region USA West (Oregon) aufgezeichnet werden. Sie müssen Ihre Protokollierungskonfiguration auf diese Weise einrichten, unabhängig davon, in welcher Region Sie sich befinden, wenn Sie die Anforderung stellen, oder welche Regionen der Multi-Region Access Point unterstützt. Alle Anforderungen, einen Multi-Region Access Point zu erstellen oder zu verwalten, werden über die Region USA West (Oregon) geleitet. Wir empfehlen Ihnen, diese Region entweder einem vorhandenen Trail hinzuzufügen oder einen neuen Trail zu erstellen, der diese Region und alle Regionen enthält, die mit dem Multi-Region Access Point verknüpft sind.

Amazon S3 protokolliert alle Anforderungen, die über einen Multi-Region Access Point erfolgen, und Anforderungen an die API-Operationen, die Zugriffspunkte verwalten, z. B. CreateMultiRegionAccessPoint und GetMultiRegionAccessPointPolicy. Wenn Sie diese Anforderungen über einen Multi-Regions-Zugriffspunkt protokollieren, werden sie in Ihren AWS CloudTrail-Protokollen mit dem Hostnamen des Multi-Regions-Zugriffspunkts erscheinen. Wenn Sie beispielsweise Anforderungen an einen Bucket über einen Multi-Region Access Point mit dem Alias mfzwi23gnjvgw.mrap stellen, haben die Einträge im CloudTrail-Protokoll den Hostnamen mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com.

Multi-Region Access Points leiten Anforderungen an den nächstgelegenen Bucket weiter. Aufgrund dieses Verhaltens sind beim Betrachten der CloudTrail-Protokolle für einen Multi-Region Access Point Anforderungen an die zugrunde liegenden Buckets zu sehen. Einige dieser Anforderungen sind möglicherweise direkte Anforderungen an den Bucket, die nicht über den Multi-Region Access Point geleitet werden. Beachten Sie dies bei der Überprüfung des Datenverkehrs. Wenn sich ein Bucket in einem Multi-Regions-Zugriffspunkt befindet, können Anforderungen direkt an diesen Bucket gestellt werden, ohne den Multi-Regions-Zugriffspunkt zu durchlaufen.

Beim Erstellen und Verwalten von Multi-Regions-Zugriffspunkten sind asynchrone Ereignisse erforderlich. Asynchrone Anforderungen haben keine Abschlussereignisse im CloudTrail-Protokoll. Weitere Informationen zu asynchronen Anforderungen finden Sie unter Überwachen und Protokollieren von Anforderungen an Verwaltungs-API-Operationen von Multi-Region Access Points.

Weitere Informationen zu AWS CloudTrail, finden Sie unter Was ist AWS CloudTrail? im AWS CloudTrail-Benutzerhandbuch.