Monitoramento e registro de solicitações feitas por meio de um ponto de acesso multirregional para recursos subjacentes - Amazon Simple Storage Service
Monitoramento e registro em log de solicitações feitas para operações de API de gerenciamento de pontos de acesso multirregionaisUso do CloudTrail

Monitoramento e registro de solicitações feitas por meio de um ponto de acesso multirregional para recursos subjacentes

O Amazon S3 registra solicitações feitas por meio de pontos de acesso multirregionais e solicitações feitas às operações de API que os gerenciam, como CreateMultiRegionAccessPoint e GetMultiRegionAccessPointPolicy. As solicitações feitas ao Amazon S3 por meio de um ponto de acesso multirregional aparecem nos logs de acesso do servidor do Amazon S3 e em logs do AWS CloudTrail com o nome de host do ponto de acesso multirregional. O nome do host de um ponto de acesso assume a forma de MRAP_alias.accesspoint.s3-global.amazonaws.com. Por exemplo, suponha que você tenha a seguinte configuração de bucket e de ponto de acesso multirregional:

  • Um bucket denominado my-bucket-usw2 na região us-west-2 que contém o objeto my-image.jpg.

  • Um bucket denominado my-bucket-aps1 na região ap-south-1 que contém o objeto my-image.jpg.

  • Um bucket denominado my-bucket-euc1 na região eu-central-1 que não contém um objeto denominado my-image.jpg.

  • Um ponto de acesso multirregional chamado my-mrap com o alias mfzwi23gnjvgw.mrap que está configurado para atender a solicitações de todos os três buckets.

  • O ID de sua conta da AWS é 123456789012.

Uma solicitação feita para recuperar my-image.jpg diretamente por meio de quaisquer buckets aparece nos logs com um nome de host de bucket_name.s3.Region.amazonaws.com.

Se, em vez disso, você fizer a solicitação por meio do ponto de acesso multirregional, primeiro o Amazon S3 determinará quais dos buckets nas diferentes regiões é o mais próximo. Depois que o Amazon S3 determina qual bucket usar para atender à solicitação, ele envia a solicitação para esse bucket e registra a operação usando o nome de host do ponto de acesso multirregional. Neste exemplo, se o Amazon S3 retransmitir a solicitação para my-bucket-aps1, seus logs refletirão uma solicitação GET bem-sucedida para my-image.jpg do my-bucket-aps1, usando um nome de host do mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com.

Importante

Pontos de acesso multirregionais não estão cientes do conteúdo de dados de buckets subjacentes. Portanto, o bucket que recebe a solicitação pode não conter os dados solicitados. Por exemplo, se o Amazon S3 determinar que o bucket my-bucket-euc1 é o mais próximo, seus logs refletirão uma falha de solicitação GET de my-image.jpg do my-bucket-euc1, usando um nome de host do mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com. Se a solicitação tiver sido roteada para my-bucket-usw2, em vez disso, seus logs indicarão uma solicitação GET bem-sucedida.

Para obter mais informações sobre logs de acesso do servidor do Amazon S3, consulte Registrar em log as solicitações com registro em log de acesso ao servidor. Para obter mais informações sobre o AWS CloudTrail, consulte What is AWS CloudTrail? (O que é?) no AWS CloudTrail Guia do usuário.

Monitoramento e registro em log de solicitações feitas para operações de API de gerenciamento de pontos de acesso multirregionais

O Amazon S3 fornece várias operações de API para gerenciar pontos de acesso multirregionais, como CreateMultiRegionAccessPoint e GetMultiRegionAccessPointPolicy. Quando você faz solicitações para essas operações de API usando a AWS Command Line Interface (AWS CLI), AWS SDKs ou a API REST do Amazon S3, o Amazon S3 processa essas solicitações de forma assíncrona. Desde que você tenha as permissões apropriadas para a solicitação, o Amazon S3 retornará um token para essas solicitações. Você pode usar este token com DescribeAsyncOperation para ajudar você a visualizar o status das operações assíncronas em andamento. O Amazon S3 processa solicitações de DescribeAsyncOperation de forma síncrona. Para visualizar o status de solicitações assíncronas, você pode usar o console do Amazon S3, a AWS CLI, SDKs ou a API REST.

nota

O console exibe somente o status de solicitações assíncronas feitas nos 14 dias anteriores. Para exibir o status das solicitações mais antigas, use a AWS CLI, SDKs ou a API REST.

As operações de gerenciamento assíncronas podem estar em um dos vários estados:

NEW

O Amazon S3 recebeu a solicitação e está se preparando para executar a operação.

IN_PROGRESS

O Amazon S3 está executando a operação no momento.

SUCCESS

A operação foi bem-sucedida. A resposta inclui informações relevantes, como o alias de ponto de acesso multirregional para uma solicitação CreateMultiRegionAccessPoint.

FAILED

Falha na operação. A resposta inclui uma mensagem de erro indicando o motivo da falha da solicitação.

Usar o AWS CloudTrail com pontos de acesso multirregionais

É possível usar o AWS CloudTrail para visualizar, pesquisar, fazer download, arquivar, analisar e responder às atividades da conta em toda a infraestrutura da AWS. Com os pontos de acesso multirregionais e o registro em log do CloudTrail, você pode identificar o seguinte:

  • Quem ou o que realizou qual ação

  • Quais recursos foram utilizados

  • Quando ocorreu o evento

  • Outros detalhes sobre o evento

Você pode usar essas informações de registro em log para ajudar a analisar e responder às atividades que ocorreram por meio de seus pontos de acesso multirregionais.

Como configurar o AWS CloudTrail para pontos de acesso multirregionais

Para ativar o registro em log do CloudTrail para quaisquer operações relacionadas à criação ou à manutenção de pontos de acesso multirregionais, você deve configurar o registro em log do CloudTrail para registrar os eventos na região Oeste dos EUA (Oregon). Você deve definir a configuração de registro em log dessa forma independentemente da região em que você esteja ao fazer a solicitação ou a quais regiões o ponto de acesso multirregional oferece suporte. Todas as solicitações para criar ou manter um ponto de acesso multirregional são encaminhadas para a região Oeste dos EUA (Oregon). Recomendamos que você adicione essa região a uma trilha existente ou crie uma trilha que contenha essa região e todas as regiões associadas ao ponto de acesso multirregional.

O Amazon S3 registra todas as solicitações feitas por meio de pontos de acesso multirregionais e solicitações feitas às operações de API que os gerenciam, como CreateMultiRegionAccessPoint e GetMultiRegionAccessPointPolicy. Quando você registra essas solicitações por meio de um ponto de acesso multirregional, elas aparecem em seus logs do AWS CloudTrail com o nome do host do ponto de acesso multirregional. Por exemplo, se você fizer solicitações para um bucket por meio de um ponto de acesso multirregional com o alias mfzwi23gnjvgw.mrap, as entradas no log do CloudTrail terão um nome de host de mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com.

Os pontos de acesso multirregionais encaminham as solicitações para o bucket mais próximo. Devido a esse comportamento, quando você estiver observando os logs do CloudTrail de um ponto de acesso multirregional, você verá solicitações sendo feitas aos buckets subjacentes. Algumas dessas solicitações podem ser solicitações diretas para o bucket e não roteadas pelo ponto de acesso multirregional. Lembre-se disso ao analisar o tráfego. Quando um bucket está em um ponto de acesso multirregional, as solicitações ainda podem ser feitas a esse bucket diretamente sem passar pelo ponto de acesso multirregional.

Há eventos assíncronos envolvidos na criação e gerenciamento de pontos de acesso multirregionais. As solicitações assíncronas não têm eventos de conclusão no log do CloudTrail. Para mais informações sobre solicitações assíncronas, consulte Monitoramento e registro em log de solicitações feitas para operações de API de gerenciamento de pontos de acesso multirregionais.

Para obter mais informações sobre o AWS CloudTrail, consulte What is AWS CloudTrail? (O que é?) no AWS CloudTrail Guia do usuário.