Come posso risolvere i problemi relativi alla mia connessione tra Amazon ECS e Amazon S3?

Risoluzione

Analizza i log di CloudWatch per identificare la causa dei problemi di accesso ad Amazon S3

Prima di tutto, configura l'accesso a CloudWatch Logs. Quindi utilizza Approfondimenti di CloudWatch Logs per identificare la causa del problema.

Configura l'accesso a CloudWatch Logs

Per configurare Amazon CloudWatch Logs per la definizione delle attività Amazon ECS, completa i seguenti passaggi:

1. Apri la console Amazon ECS.
2. Nel pannello di navigazione, seleziona Definizioni di attività.
3. Seleziona la definizione dell'attività, quindi aggiungi alla definizione questo codice:

   {
       "containerDefinitions": [
           {
               "name": "my-container",
               "image": "my-image:latest",
               "logConfiguration": {
                   "logDriver": "awslogs",
                   "options": {
                       "awslogs-group": "/ecs/my-task",
                       "awslogs-region": "region-code",
                       "awslogs-stream-prefix": "ecs"
                   }
               }
           }
       ]
   }

   Nota: sostituisci my-container con il nome dell'istanza di container, my-image:latest con il nome e il tag dell'immagine e region-code con la tua Regione AWS.
4. Aggiorna il servizio Amazon ECS in modo da utilizzare la versione più recente della definizione dell'attività.

Utilizza Approfondimenti di CloudWatch Logs per identificare la causa del problema

Per individuare errori generali di Amazon S3, esegui questa query:

filter @message like /S3|AccessDenied|NoSuchBucket/

Per individuare problemi specifici di accesso al bucket, esegui questa query:

filter @message like /my-bucket-name/

Nota: sostituisci my-bucket-name con il nome del tuo bucket.

Utilizza queste informazioni per identificare se il problema riguarda le autorizzazioni AWS Identity and Access Management (AWS IAM), la connettività di rete, la configurazione del bucket o l'applicazione. Quindi completa i relativi passaggi per risolverlo.

Verifica la configurazione del ruolo IAM

Verifica che il ruolo dell'attività Amazon ECS disponga delle autorizzazioni per Amazon S3 necessarie, ad esempio la policy AmazonS3ReadOnlyAccess per le operazioni di sola lettura. Esamina i log di AWS CloudTrail per identificare le azioni negate correlate ad Amazon S3. Ad esempio, se l'attività Amazon ECS deve leggere oggetti dal bucket my-app-data, collega all'attività questa policy personalizzata:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::my-app-data",
                "arn:aws:s3:::my-app-data/*"
            ]
        }
    ]
}

Nota: la policy precedente consente all'attività di elencare il contenuto e recuperare gli oggetti dal bucket my-app-data.

Controlla la configurazione della rete

Attività nelle sottoreti pubbliche

Per le attività nelle sottoreti pubbliche, controlla la lista di controllo degli accessi alla rete (ACL) del cloud privato virtuale (VPC) in cui si trova l'istanza. L'ACL deve consentire il traffico in uscita sulla porta 443. Inoltre, verifica che i gruppi di sicurezza associati all'attività consentano il traffico HTTPS in uscita sulla porta 443 verso gli elenchi di prefissi gestiti da AWS Amazon S3.

Attività nelle sottoreti private

Per le attività nelle sottoreti private, verifica che alla tabella di routing della sottorete sia associato un gateway NAT. Il gateway NAT crea un percorso Internet per raggiungere l'endpoint di Amazon S3. Se utilizzi un endpoint VPC per Amazon S3, controlla la tabella di routing associata al VPC per l'endpoint gateway di Amazon S3. Verifica che la tabella di routing includa una route per l'elenco di prefissi gestiti da AWS di Amazon S3 che indirizza il traffico verso l'endpoint gateway di Amazon S3. Questa route assicura che le richieste ad Amazon S3 non vengano inviate tramite Internet pubblico.

Quando utilizzi un endpoint di interfaccia di Amazon S3, verifica che i gruppi di sicurezza collegati all'endpoint consentano il traffico HTTPS in entrata sulla porta 443. Inoltre, assicurati che l'impostazione del DNS privato dell'endpoint e le impostazioni del DNS Enable DNS hostname (Abilita hostname DNS) e Enable DNS support (Abilita supporto DNS) del VPC siano attivate. Infine, verifica che l'applicazione utilizzi l'endpoint s3.region.amazonaws.com, non l'endpoint globale s3.amazonaws.com.

Verifica la connettività di rete dalle attività di Amazon ECS agli endpoint di Amazon S3

Nota: se ricevi errori quando esegui i comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta Risoluzione degli errori per AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.

Verifica che la configurazione di rete, inclusi firewall e gruppi di sicurezza, consenta il traffico verso gli endpoint di Amazon S3.

Nota: puoi utilizzare ECS Exec per eseguire questi comandi.

Per verificare la connessione HTTPS all'endpoint di Amazon S3 sulla porta 443, esegui questo comando telnet o curl:

telnet s3.region-code.amazonaws.com 443

curl -v https://s3.region-code.amazonaws.com

Nota: sostituisci region-code con la tua Regione. Potresti dover installare il comando telnet.

Per verificare se l'istanza di container è in grado di autenticare ed eseguire operazioni Amazon S3, esegui il comando AWS CLI ls:

aws s3 ls

Se la verifica precedente ha esito negativo, rivedi i gruppi di sicurezza, le ACL e le regole del firewall per controllare se sono presenti porte bloccate.

Informazioni correlate

Come posso risolvere gli errori 403 di Accesso negato da Amazon S3?

Come posso accedere ad altri servizi AWS dalle mie attività Amazon ECS su Fargate?

Come posso risolvere un errore di connessione quando eseguo i comandi "cp" o sul mio bucket Amazon S3?"sync"