Solucionar problemas de registro de acceso al servidor - Amazon Simple Storage Service
Mensajes de error comunes al configurar el registroSolución de los errores de entrega

Solucionar problemas de registro de acceso al servidor

Los siguientes temas pueden ayudarlo a solucionar problemas que pueden surgir al configurar el registro con Amazon S3.

Mensajes de error comunes al configurar el registro

Al habilitar el registro a través de la AWS Command Line Interface (AWS CLI) y los SDK de AWS, pueden aparecer los siguientes mensajes de error:

Error: Registro entre ubicaciones de S3 no permitido

Si el bucket de destino se encuentra en una región diferente a la del bucket de origen, se produce un error de Registro entre ubicaciones de S3 no permitido. Para resolver este error, asegúrese de que el bucket de destino configurado para recibir los registros de acceso esté en la misma Región de AWS y Cuenta de AWS que el bucket de origen.

Error: El propietario del bucket que se va a registrar y el bucket de destino deben ser iguales

Al habilitar el registro de acceso al servidor, este error se produce si el bucket de destino especificado pertenece a una cuenta diferente. Para resolver este error, asegúrese de que el bucket de destino esté en la misma Cuenta de AWS que el bucket de origen.

nota

Le recomendamos que elija un bucket de destino diferente al bucket de origen. Cuando los buckets de origen y destino son el mismo, se crean registros adicionales para los registros que se escriben en el bucket, lo que puede incrementar la factura de almacenamiento. Estos registros adicionales sobre los registros también pueden dificultar la búsqueda de los registros concretos que está buscando. Para que la administración de registros sea más sencilla, le recomendamos que guarde los registros de acceso en un bucket distinto. Para obtener más información, consulte ¿Cómo habilito la entrega de registros?.

Error: El bucket de destino para el registro no existe

El bucket de destino debe existir antes de definir la configuración. Este error indica que el bucket de destino no existe o no se encuentra. Asegúrese de el nombre del bucket esté bien escrito y, a continuación, vuelva a intentarlo.

Error: Concesiones de destino no permitidas para los buckets aplicados al propietario del bucket

Este error indica que el bucket de destino utiliza la configuración Aplicada al propietario del bucket en S3 Object Ownership. La configuración Aplicada al propietario del bucket no admite concesiones de destino. Para obtener más información, consulte Permisos para entrega de registros.

Solución de los errores de entrega

Para evitar problemas con el registro de acceso al servidor, siga estas prácticas recomendadas:

  • El grupo de entrega de registros de S3 tiene acceso de escritura al bucket de destino: el grupo de entrega de registros de S3 entrega los registros de acceso al servidor al bucket de destino. Se puede utilizar una política de bucket o una lista de control de acceso (ACL) para otorgar acceso de escritura al bucket de destino. Sin embargo, le recomendamos que utilice una política de bucket en lugar de una ACL. Para obtener más información acerca de cómo otorgar acceso de escritura al bucket de destino, consulte Permisos para entrega de registros.

    nota

    Si el bucket de destino utiliza la configuración Aplicada al propietario del bucket para Propiedad del objeto, tenga en cuenta lo siguiente:

    • Las ACL están desactivadas y ya no afectan a los permisos. Esto significa que no puede actualizar la ACL del bucket para conceder acceso al grupo de entrega de registros de S3. En su lugar, debe actualizar la política del bucket de destino para conceder acceso a la entidad principal del servicio de registro.

    • Tampoco puede incluir concesiones de destino en la configuración de PutBucketLogging.

  • La política de bucket para el bucket de destino permite el acceso a los registros: compruebe la política de bucket para el bucket de destino. En la política de bucket, busque cualquier instrucción que contenga "Effect": "Deny". A continuación, compruebe que la instrucción Deny no impida que los registros de acceso se escriban en el bucket.

  • El bloqueo de objetos de S3 no está activado en el bucket de destino: compruebe si el bucket de destino tiene activado el bloqueo de objetos. El bloqueo de objetos bloquea la entrega del registro de acceso al servidor. Debe elegir un bucket de destino que no tenga activado el bloqueo de objetos.

  • Se seleccionan claves administradas de Amazon S3 (SSE-S3) si el cifrado predeterminado está habilitado en el bucket de destino: puede usar el cifrado del bucket predeterminado en el bucket de destino solo si utiliza el cifrado del lado del servidor con claves administradas de Amazon S3 (SSE-S3). El cifrado del lado del servidor con claves de AWS Key Management Service (AWS KMS) (SSE-KMS) no se admite para los buckets de destino de registro de acceso al servidor. Para obtener más información acerca de cómo habilitar el cifrado predeterminado, consulte Configuración del cifrado predeterminado.

  • El bucket de destino no tiene la opción Pago por solicitante habilitada: no se admite el uso de un bucket de Pago por solicitante como bucket de destino para el registro de acceso al servidor. Para permitir la entrega de los registros de acceso al servidor, desactive la opción Pago por solicitante en el bucket de destino.

  • Revise su política de control de servicios de AWS Organizations: cuando use AWS Organizations, compruebe las políticas de control de servicios para asegurarse de que se permite el acceso a Amazon S3. Las políticas de control de servicios especifican el número máximo de permisos que pueden tener las cuentas afectadas. En la política de control de servicios, busque cualquier instrucción que contenga "Effect": "Deny" y verifique que las instrucciones Deny no impidan que se escriban registros de acceso en el bucket. Para obtener más información, consulte Políticas de control de servicios (SCP) en la Guía del usuario de AWS Organizations.

  • Espere un tiempo hasta que surtan efecto los cambios recientes en la configuración del registro: habilitar el registro de acceso al servidor por primera vez o cambiar el bucket de destino para los registros requieren un tiempo hasta que surtan efecto. Es posible que todas las solicitudes tarden más de una hora en registrarse y entregarse correctamente.

    Para comprobar los fallos de entrega de registros, active las métricas de solicitudes en Amazon CloudWatch. Si los registros no se entregan en unas pocas horas, busque la métrica 4xxErrors, que puede indicar errores en la entrega de registros. Para obtener más información acerca de la activación de las métricas de solicitudes, consulte Creación de una configuración de métricas de CloudWatch para todos los objetos del bucket.