Aktivieren Sie die Zugriffsprotokolle für Ihren Network Load Balancer - Elastic Load Balancing
Bucket-AnforderungenKonfigurieren Sie die Zugriffsprotokolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktivieren Sie die Zugriffsprotokolle für Ihren Network Load Balancer

Wenn Sie die Zugriffsprotokollierung für Ihren Load Balancer aktivieren, müssen Sie den Namen des S3-Bucket angeben, in dem der Load Balancer die Protokolle speichert. Der Bucket muss über eine Bucket-Richtlinie verfügen, die Elastic Load Balancing die Berechtigung zum Schreiben in den Bucket gewährt.

Bucket-Anforderungen

Sie können einen vorhandenen Bucket verwenden oder einen Bucket speziell für Zugriffsprotokolle erstellen. Der Bucket muss die folgenden Anforderungen erfüllen.

Voraussetzungen

  • Der Bucket muss sich in derselben Region wie der Load Balancer befinden. Der Bucket und der Load Balancer können verschiedenen Konten gehören.

  • Das von Ihnen angegebene Präfix darf nicht AWSLogs enthalten. Wir fügen den Teil des Dateinamens hinzu, der mit AWSLogs nach dem von Ihnen angegebenen Bucket-Namen und dem Präfix beginnt.

  • Der Bucket muss über eine Bucket-Richtlinie verfügen, die die Berechtigung zum Schreiben von Zugriffsprotokollen in den Bucket gewährt. Bucket-Richtlinien sind eine Sammlung von JSON Anweisungen, die in der Sprache der Zugriffsrichtlinien verfasst wurden, um die Zugriffsberechtigungen für Ihren Bucket zu definieren.

Beispiel einer Bucket-Richtlinie

Es folgt eine Beispielrichtlinie . Ersetzen Sie die Resource Elemente amzn-s3-demo-destination-bucket durch den Namen des S3-Buckets für Ihre Zugriffsprotokolle. Achten Sie darauf, dass Sie das weglassen Prefix/ wenn Sie kein Bucket-Präfix verwenden. Geben Sie für aws:SourceAccount die ID des AWS Kontos beim Load Balancer an. Füraws:SourceArn, ersetzen region and 012345678912 mit der Region bzw. der Konto-ID des Load Balancers.

{
    "Version": "2012-10-17",
    "Id": "AWSLogDeliveryWrite",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": ["012345678912"]
                },
                "ArnLike": {
                    "aws:SourceArn": ["arn:aws:logs:region:012345678912:*"]
                }
            }
        },
        {
            "Sid": "AWSLogDeliveryWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/Prefix/AWSLogs/account-ID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": ["012345678912"]
                },
                "ArnLike": {
                    "aws:SourceArn": ["arn:aws:logs:region:012345678912:*"]
                }
            }
        }
    ]
}
Verschlüsselung

Sie können die serverseitige Verschlüsselung für Ihren Amazon-S3-Zugriffsprotokoll-Bucket auf eine der folgenden Arten aktivieren:

  • Von Amazon S3 verwaltete Schlüssel (SSE-S3)

  • AWS KMS Schlüssel, die in AWS Key Management Service (-) SSE † gespeichert sind KMS

† Mit Network Load Balancer Balancer-Zugriffsprotokollen können Sie keine AWS verwalteten Schlüssel verwenden. Sie müssen vom Kunden verwaltete Schlüssel verwenden.

Weitere Informationen finden Sie unter Angeben der Amazon S3 S3-Verschlüsselung (SSE-S3) und Angeben der serverseitigen Verschlüsselung mit AWS KMS (SSE-KMS) im Amazon S3 S3-Benutzerhandbuch.

Die Schlüsselrichtlinie muss es dem Service ermöglichen, die Protokolle zu verschlüsseln und zu entschlüsseln. Es folgt eine Beispielrichtlinie .

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}

Konfigurieren Sie die Zugriffsprotokolle

Gehen Sie wie folgt vor, um Zugriffsprotokolle zu konfigurieren, um Anforderungsinformationen zu erfassen und Protokolldateien an Ihren S3-Bucket zu übermitteln.

Aktivieren von Zugriffsprotokollierung mithilfe der Konsole

  1. Öffnen Sie die EC2 Amazon-Konsole unter https://console.aws.amazon.com/ec2/.

  2. Klicken Sie im Navigationsbereich auf Load Balancers.

  3. Wählen Sie den Namen Ihres Load Balancers aus, um die Detailseite zu öffnen.

  4. Klicken Sie in der Registerkarte Attribute auf Bearbeiten.

  5. Gehen Sie auf der Seite Edit load balancer attributes (Load Balancer Attribute verteilen) wie folgt vor:

    1. Aktivieren Sie für die Überwachung die Option Zugriffsprotokolle.

    2. Wählen Sie S3 durchsuchen und wählen Sie einen Bucket aus, den Sie verwenden möchten. Geben Sie alternativ den Speicherort Ihres S3-Buckets einschließlich eines beliebigen Präfixes ein.

    3. Wählen Sie Änderungen speichern.

Um die Zugriffsprotokollierung mit dem zu aktivieren AWS CLI

Verwenden Sie den modify-load-balancer-attributesBefehl.