Risoluzione dei problemi di registrazione degli accessi al server - Amazon Simple Storage Service
Messaggi di errore comuni durante la configurazione della registrazioneRisoluzione dei problemi di consegna

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione dei problemi di registrazione degli accessi al server

Gli argomenti seguenti possono essere utili per risolvere i problemi che possono verificarsi durante la configurazione della registrazione con Amazon S3.

Messaggi di errore comuni durante la configurazione della registrazione

I seguenti messaggi di errore comuni possono essere visualizzati quando si abilita la registrazione tramite la AWS Command Line Interface (AWS CLI) e gli SDK AWS:

Errore: Registrazione multi-posizione S3 non consentita

Se il bucket di destinazione (noto anche come bucket target) si trova in una regione diversa da quella del bucket di origine, si verifica l'errore Registrazione multi-posizione S3 non consentita. Per risolvere questo errore, verifica che il bucket di destinazione configurato per ricevere i log degli accessi si trovi nella stessa Regione AWS e nello stesso Account AWS del bucket di origine.

Errore: Il proprietario del bucket da registrare e quello del bucket di destinazione devono coincidere

Quando si abilita la registrazione degli accessi al server, questo errore si verifica se il bucket di destinazione specificato appartiene a un account diverso. Per risolvere questo problema, verifica che il bucket di destinazione si trovi nello stesso Account AWS del bucket di origine.

Nota

Ti consigliamo di scegliere un bucket di destinazione diverso dal bucket di origine. Quando il bucket di origine e il bucket di destinazione coincidono, vengono creati log aggiuntivi per i log scritti nel bucket. Questa situazione può causare l'aumento delle spese di archiviazione. La registrazione di questi log aggiuntivi può rendere difficile la ricerca di log specifici. Tuttavia, per una gestione più semplice dei log, si consiglia di salvare i log degli accessi in un bucket diverso. Per ulteriori informazioni, consulta Come si abilita il recapito dei log?.

Errore: Il bucket di destinazione per la registrazione non esiste

Il bucket di destinazione deve esistere prima di impostare la configurazione. Questo errore indica che il bucket di destinazione non esiste o non può essere trovato. Verifica che il nome del bucket sia stato digitato correttamente, quindi riprova.

Errore: Concessioni di destinazione non consentite per i bucket con l'opzione Bucket owner enforced abilitata

Questo errore indica che il bucket di destinazione utilizza l'impostazione Proprietario del bucket applicato per Proprietà dell'oggetto S3. L'impostazione Proprietario del bucket applicato non supporta le concessioni di destinazione (target). Per ulteriori informazioni, consulta Autorizzazioni per la distribuzione dei registri.

Risoluzione dei problemi di consegna

Per evitare problemi di registrazione degli accessi al server, assicurati di seguire queste best practice:

  • Il gruppo di distribuzione dei log S3 dispone dell'accesso in scrittura al bucket di destinazione: il gruppo di distribuzione dei log S3 fornisce i log degli accessi al server al bucket di destinazione. Puoi usare una policy del bucket o una lista di controllo degli accessi (ACL) di un bucket per concedere l'accesso in scrittura al bucket di destinazione. Invece di una lista di controllo degli accessi (ACL) consigliamo di utilizzare una policy di bucket. Per ulteriori informazioni su come concedere l'accesso in scrittura al bucket di destinazione, consulta Autorizzazioni per la distribuzione dei registri.

    Nota

    Se il bucket di destinazione utilizza l'impostazione Proprietario del bucket applicato per Proprietà dell'oggetto, tieni presente quanto segue:

    • Le ACL sono disabilitate e non hanno più alcuna ripercussione sulle autorizzazioni. Ciò significa che non è possibile aggiornare l'ACL del bucket per concedere l'accesso al gruppo di distribuzione dei log S3. Invece, è necessario aggiornare la policy del bucket per il bucket di destinazione per concedere l'accesso al principale del servizio di registrazione.

    • Non puoi includere concessioni di destinazione nella configurazione PutBucketLogging.

  • La policy del bucket per il bucket di destinazione consente l'accesso ai log: controlla la policy del bucket del bucket di destinazione. Nella policy di bucket cerca tutte le istruzioni contenenti "Effect": "Deny". Verifica quindi che l'istruzione Deny non impedisca la scrittura dei log di accesso nel bucket.

  • S3 Object Lock non è abilitato sul bucket di destinazione: controlla se per il bucket di destinazione è stata abilitata l'opzione Object Lock. L'opzione Blocco oggetti blocca la consegna del log degli accessi al server. È necessario scegliere un bucket di destinazione in cui non sia abilitata l'opzione Object Lock.

  • Le chiavi gestite da Amazon S3 (SSE-S3) vengono selezionate se la crittografia predefinita è abilitata sul bucket di destinazione: puoi usare la crittografia bucket predefinita sul bucket di destinazione solo se utilizzi la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3). La crittografia lato server predefinita con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS) non è supportata per i bucket di destinazione con la registrazione degli accessi al server. Per ulteriori informazioni su come abilitare la crittografia predefinita, consulta Configurazione della crittografia predefinita.

  • Nel bucket di destinazione l'opzione Pagamento a carico del richiedente non è abilitata: non è supportato l'uso di un bucket con pagamento a carico del richiedente come bucket di destinazione per la registrazione degli accessi al server. Per consentire la consegna dei log di accesso ai server, disabilita l'opzione Pagamento a carico del richiedente nel bucket di destinazione.

  • Controlla la policy di controllo del servizio AWS Organizations: durante l'utilizzo di AWS Organizations, controlla le policy di controllo del servizio per assicurarti che l'accesso ad Amazon S3 sia consentito. Le policy di controllo del servizio specificano le autorizzazioni massime per gli account interessati. Nella policy di controllo del servizio cerca tutte le istruzioni contenenti "Effect": "Deny" e verifica che le istruzioni Deny non impediscano la scrittura dei log degli accessi nel bucket. Per ulteriori informazioni, consulta Policy di controllo dei servizi nella Guida per l'utente di AWS Organizations.

  • Attendi qualche minuto affinché le modifiche recenti alla configurazione dei log siano effettive: l'abilitazione della registrazione di accesso ai server per la prima volta o la modifica del bucket di destinazione per i log richiede tempo per essere pienamente effettiva. Potrebbe essere necessaria più di un'ora prima che tutte le richieste vengano registrate e consegnate correttamente.

    Per verificare eventuali errori di consegna dei log, abilita le metriche delle richieste in Amazon. CloudWatch Se i log non vengono consegnati entro poche ore, cerca la metrica 4xxErrors, che può indicare gli errori di consegna dei log. Per ulteriori informazioni sull'abilitazione delle metriche delle richieste, consulta Creazione di una configurazione CloudWatch delle metriche per tutti gli oggetti nel bucket.