Journalisation des accès au serveur Amazon S3 - Amazon Simple Storage Service

Journalisation des accès au serveur Amazon S3

La journalisation des accès au serveur fournit des enregistrements détaillés pour les demandes soumises à un compartiment. Les journaux d'accès au serveur sont utiles pour de nombreuses applications. Par exemple, les informations des journaux d'accès peuvent s'avérer utiles en cas d'audit de sécurité ou d'audit des accès. Elles peuvent également vous permettre d'en savoir plus sur votre clientèle et de comprendre votre facture Amazon S3.

Note

Les journaux d'accès au serveur n'enregistrent pas les informations concernant les erreurs de réacheminement en cas de région incorrecte pour les régions lancées après le 20 mars 2019. Les erreurs de réacheminement en cas de région incorrecte se produisent lorsqu'une demande pour un objet/compartiment est faite en dehors de la région dans laquelle se trouve le compartiment.

Comment activer la journalisation des accès au serveur

Pour suivre les demandes d'accès au compartiment, vous pouvez activer la journalisation des accès au serveur. Chaque enregistrement de journal d'accès fournit des informations détaillées sur une demande d'accès donnée (demandeur, nom du compartiment, heure de la demande, action associée à la demande, état de la réponse et code d'erreur, si nécessaire).

Aucuns frais supplémentaires n’est encouru pour l'activation de la journalisation d'accès au serveur sur un compartiment Amazon S3, et vous n'êtes pas facturé lorsque les journaux sont PUT dans votre compartiment. Toutefois, les fichiers journaux qui vous fournis à votre compartiment par le système augmentent les coûts de stockage habituels. Vous pouvez supprimer ces fichiers journaux à tout moment. Les lectures ultérieures et les autres demandes à ces fichiers journaux sont facturées normalement, comme pour tout autre objet, y compris les frais de transfert de données

Par défaut, la journalisation est désactivée. Lorsque la journalisation est activée, les journaux sont enregistrés dans un compartiment dans la même région AWS que le compartiment source.

Pour activer la journalisation :

  1. Activez la journalisation sur le compartiment Amazon S3 que vous souhaitez surveiller. Nous appelons ce compartiment le compartiment source.

  2. Accordez au groupe de livraison des journaux Amazon S3 l'autorisation en écriture sur le compartiment dans lequel vous souhaitez que les journaux d'accès soient enregistrés. Nous appelons ce compartiment le compartiment cible.

Note
  • Dans Amazon S3, vous pouvez accorder l'autorisation de fournir des journaux d'accès via des listes de contrôle d'accès (ACL) au compartiment, mais pas via une stratégie de compartiment.

  • L'ajout de conditions de refus à une stratégie de compartiment peut empêcher Amazon S3 de fournir des journaux d'accès.

  • Le chiffrement de compartiment par défaut sur le compartiment cible ne peut être utilisé que si le mode AES256 (SSE-S3) est sélectionné. Le chiffrement SSE-KMS n’est pas pris en charge.

  • S3 Verrouillage d'objet ne peut pas être activé sur le compartiment cible.

Pour activer la fourniture de journaux :

  1. Indiquez le nom du compartiment cible dans lequel vous souhaitez qu'Amazon S3 enregistre les journaux d'accès comme objets. Les compartiments source et cible doivent être dans la même région AWS et être détenus par le même compte.

    Les journaux peuvent être fournis dans n'importe quel compartiment que vous possédez qui est situé dans la même région que le compartiment source, y compris le compartiment source lui-même. Nous vous recommandons d'enregistrer les journaux d'accès dans un compartiment différent, afin qu'ils soient plus faciles à gérer.

    Lorsque le compartiment source et le compartiment cible sont les mêmes, des journaux supplémentaires sont créés pour les journaux qui sont écrits dans le compartiment. Il est possible que ce ne soit pas idéal, car cela peut entraîner une légère augmentation de votre facture de stockage. En outre, les journaux supplémentaires à propos des journaux peuvent rendre difficile l'identification du journal que vous cherchez. Si vous choisissez d'enregistrer les journaux d'accès dans le compartiment source, nous vous recommandons de spécifier un préfixe pour toutes les clés d'objet des journaux, afin que les noms des objets commencent par une chaîne commune et que les objets des journaux puissent être identifiés plus facilement.

    Les préfixes de clés sont également utiles pour distinguer les compartiments source lorsque plusieurs compartiments se connectent au même compartiment cible.

  2. (Facultatif) Affectez un préfixe à toutes les clés d'objets de journaux Amazon S3. Le préfixe simplifie la localisation des objets des journaux. Par exemple, si vous spécifiez la valeur de préfixe logs/, chaque objet des journaux créé par Amazon S3 commence par le préfixe logs/ dans la clé.

    logs/2013-11-01-21-32-16-E568B2907131C0C0

    Le préfixe de clé peut également s'avérer utile lors de la suppression des journaux. Par exemple, vous pouvez configurer des règles de configuration du cycle de vie pour qu'Amazon S3 supprime les objets avec un préfixe de clé spécifique. Pour plus d'informations, consultez Suppression des fichiers journaux Amazon S3.

  3. (Facultatif) Définissez des autorisations pour que d'autres utilisateurs puissent accéder aux journaux générés. Par défaut, seul le propriétaire du compartiment possède un accès total aux objets des journaux.

Pour plus d'informations sur l'activation de la journalisation des accès au serveur, consultez Activation de la journalisation grâce à la console et Activation de la journalisation par programmation.

Format de la clé d'objet des journaux

Amazon S3 utilise le format de la clé d'objet suivant pour les objets des journaux qu'il charge dans le compartiment cible :

TargetPrefixYYYY-mm-DD-HH-MM-SS-UniqueString/

Dans la clé, YYYY, mm, DD, HH, MM et SS correspondent (respectivement) à l'année, au mois, au jour, aux heures, aux minutes et aux secondes auxquels le fichier journal est fourni. Ces dates et heures sont exprimées en heure UTC (temps universel coordonné).

Un fichier journal fourni à un moment spécifique peut contenir des enregistrements écrits n'importe quand avant ce moment. Il n'y a aucun moyen de savoir si tous les enregistrements de journaux pour un intervalle de temps donné ont été fournis ou non.

Le composant UniqueString de la clé empêche le remplacement des fichiers. Il n'a aucune signification, et doit être ignoré par les logiciels de traitement des journaux.

La barre oblique de fin / est nécessaire pour indiquer la fin du préfixe.

Comment sont fournis les journaux ?

Amazon S3 collecte régulièrement les enregistrements des journaux d'accès, consolide ces enregistrements dans des fichiers journaux, et ensuite charge les fichiers journaux dans le compartiment cible comme objets de journal. Si vous activez la journalisation sur plusieurs compartiments source qui identifient le même compartiment cible, ce dernier dispose de journaux d'accès pour tous ces compartiments source. Toutefois, chaque objet des journaux rapporte des enregistrements de journaux d'accès pour un compartiment source spécifique.

Amazon S3 utilise un compte de livraison de journaux spécial, appelé groupe de livraison des journaux, pour écrire des journaux d'accès. Ces journaux sont sujets aux restrictions habituelles de contrôle d'accès en écriture. Vous devez accorder une autorisation d'écriture au groupe de livraison des journaux sur le compartiment cible en ajoutant une entrée d'autorisation dans la liste de contrôle d'accès (ACL) du compartiment. Si vous utilisez la console Amazon S3 pour activer la journalisation sur un compartiment, la console active la journalisation sur le compartiment source et met à jour la liste ACL sur le compartiment cible, afin d'accorder l'autorisation en écriture au groupe de livraison des journaux.

Livraison des journaux du serveur dans la mesure du possible

Les enregistrements des journaux d'accès au serveur sont fournis dans la mesure du possible. La plupart des demandes soumises à un compartiment qui sont correctement configurées pour la journalisation se traduisent par la remise d'un enregistrement de journal. La plupart des enregistrements de journal sont fournis quelques heures après leur enregistrement, mais ils peuvent être livrés plus fréquemment.

L'exhaustivité et la disponibilité de la journalisation du serveur ne sont pas garanties. Il se peut que l'enregistrement du journal pour une demande particulière soit fourni bien après le traitement de la demande, ou ne soit fourni du tout. Le but des journaux du serveur est de vous donner une idée de la nature du trafic dans le compartiment. Il est rare de perdre des enregistrements de journaux, mais la journalisation n'est pas conçue pour comptabiliser toutes les demandes.

Il découle de la fonction de journalisation du serveur dans la mesure du possible que les rapports d'utilisation disponibles sur le portail AWS (rapports de facturation et de gestion des coûts sur la AWS Management Console) doivent inclure une ou plusieurs demandes qui n'apparaissent pas dans le journal du serveur fourni.

Les changements du statut de journalisation d'un compartiment prennent effet au fil du temps

Les changements du statut de journalisation d'un compartiment mettent du temps à impacter la livraison des fichiers journaux. Par exemple, si vous activez la journalisation pour un compartiment, des demandes faites dans l'heure suivante doivent être consignées, tandis que d'autres non. Si vous changez le compartiment cible pour consigner d'un compartiment A vers un compartiment B, certains journaux pour l'heure suivante continuent d'être fournis au compartiment A, tandis que d'autres doivent être fournis au nouveau compartiment B. Dans tous les cas, les nouveaux paramètres prennent effet à terme sans action supplémentaire de votre part.