Activez les journaux de connexion pour votre Application Load Balancer - Elastic Load Balancing
Étape 1 : Créer un compartiment S3Étape 2 : Attacher une politique à votre compartiment S3Étape 3 : Configuration des journaux de connexionÉtape 4 : vérifier les autorisations du compartimentRésolution des problèmes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activez les journaux de connexion pour votre Application Load Balancer

Lorsque vous activez les journaux de connexion pour votre équilibreur de charge, vous devez spécifier le nom du compartiment S3 dans lequel l'équilibreur de charge stockera les journaux. Le compartiment doit avoir une politique de compartiment qui accorde à Elastic Load Balancing l'autorisation d'écrire dans le compartiment.

Étape 1 : Créer un compartiment S3

Lorsque vous activez les journaux de connexion, vous devez spécifier un compartiment S3 pour les journaux de connexion. Vous pouvez utiliser un bucket existant ou en créer un spécifiquement pour les journaux de connexion. Le compartiment doit répondre aux critères suivants :

Prérequis

  • Le compartiment doit se situer dans la même région que l'équilibreur de charge. Le compartiment et l'équilibreur de charge peuvent être détenus par des comptes différents.

  • La seule option de chiffrement côté serveur prise en charge est celle des clés gérées par Amazon S3 (-S3). SSE Pour plus d'informations, consultez les clés de chiffrement gérées par Amazon S3 (SSE-S3).

Pour créer un compartiment S3 vide à l'aide de la console Amazon S3

  1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Choisissez Créer un compartiment.

  3. Sur la page Créer un compartiment, procédez de la façon suivante :

    1. Pour Nom du compartiment, saisissez le nom de votre compartiment. Ce nom doit être unique parmi tous les noms de compartiment existants dans Amazon S3. Dans certaines régions, des restrictions supplémentaires peuvent être appliquées aux noms de compartiment. Pour de plus amples informations, consultez Limites et restrictions applicables aux compartiments dans le Guide de l'utilisateur Amazon Simple Storage Service.

    2. Pour AWS Region (Région ), sélectionnez la région où vous avez créé votre équilibreur de charge.

    3. Pour le chiffrement par défaut, choisissez les clés gérées par Amazon S3 (SSE-S3).

    4. Choisissez Créer un compartiment.

Étape 2 : Attacher une politique à votre compartiment S3

Votre bucket S3 doit disposer d'une politique de bucket qui accorde à Elastic Load Balancing l'autorisation d'écrire les journaux de connexion dans le bucket. Les politiques de compartiment sont un ensemble d'JSONinstructions rédigées dans le langage de la politique d'accès pour définir les autorisations d'accès pour votre compartiment. Chaque instruction comporte des informations relatives à une seule autorisation et contient une série d'éléments.

Si vous utilisez un bucket existant auquel est déjà attachée une politique, vous pouvez ajouter l'instruction pour les journaux de connexion d'Elastic Load Balancing à la politique. Dans ce cas, nous vous recommandons d'évaluer l'ensemble d'autorisations obtenu afin de vous assurer qu'il convient aux utilisateurs qui ont besoin d'accéder au bucket pour les journaux de connexion.

Stratégies de compartiment disponibles

La politique de compartiment que vous allez utiliser dépend de la zone Région AWS et du type de zone. Chaque section extensible ci-dessous contient une stratégie de compartiment et des informations indiquant quand utiliser cette stratégie.

Cette politique accorde des autorisations au service de livraison de journaux spécifié. Utilisez cette politique pour les équilibreurs de charge dans les zones de disponibilité et les zones locales des régions suivantes :

  • Asie-Pacifique (Hyderabad)

  • Asie-Pacifique (Malaisie)

  • Asie-Pacifique (Melbourne)

  • Europe (Espagne)

  • Europe (Zurich)

  • Israël (Tel Aviv)

  • Moyen-Orient (UAE)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logdelivery.elasticloadbalancing.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*"
    }
  ]
}

Cette politique accorde des autorisations à l'ID de compte Elastic Load Balancing spécifié. Utilisez cette politique pour les équilibreurs de charge dans les zones de disponibilité ou les zones locales des régions de la liste ci-dessous.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::elb-account-id:root"
      },
      "Action": "s3:PutObject",
       "Resource": "s3-bucket-arn"
    }
  ]
}

Remplacez elb-account-id avec l'ID d'Elastic Load Balancing pour votre région : Compte AWS

  • USA Est (Virginie du Nord) : 127311923021

  • USA Est (Ohio) : 033677994240

  • USA Ouest (Californie du Nord) : 027434742980

  • USA Ouest (Oregon) : 797873946194

  • Afrique (Le Cap) : 098369216593

  • Asie-Pacifique (Hong Kong) : 754344448648

  • Asie-Pacifique (DJakarta) – 589379963580

  • Asie-Pacifique (Mumbai) : 718504428378

  • Asie-Pacifique (Osaka) : 383597477331

  • Asie-Pacifique (Séoul) : 600734575887

  • Asie-Pacifique (Singapour) : 114774131450

  • Asie-Pacifique (Sydney) : 783225319266

  • Asie-Pacifique (Tokyo) : 582318560864

  • Canada (Centre) : 985666609251

  • Europe (Francfort) : 054676820928

  • Europe (Irlande) : 156460612806

  • Europe (Londres) : 652711504416

  • Europe (Milan) : 635631232127

  • Europe (Paris) : 009996457667

  • Europe (Stockholm) : 897822967062

  • Moyen-Orient (Bahreïn) : 076674570225

  • Amérique du Sud (São Paulo) : 507241528517

Remplacez s3-bucket-arn avec l'emplacement ARN de vos journaux de connexion. Le préfixe ARN que vous spécifiez dépend de votre intention de spécifier ou non un préfixe lorsque vous activez les journaux de connexion à l'étape 3.

Exemple de compartiment S3 ARN avec un préfixe

Le nom du bucket est amzn-s3-demo-logging-bucket, le préfixe est logging-prefix et l'ID du AWS compte auprès de l'équilibreur de charge est. 111122223333

arn:aws:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/111122223333/*
Exemple de compartiment ARN S3 sans préfixe

Le nom du bucket est amzn-s3- demo-logging-bucket et l'ID du AWS compte associé à l'équilibreur de charge est. 111122223333

arn:aws:s3:::amzn-s3-demo-logging-bucket/AWSLogs/111122223333/*

Cette politique accorde des autorisations à l'ID de compte Elastic Load Balancing spécifié. Utilisez cette politique pour les équilibreurs de charge situés dans les zones de disponibilité ou les zones locales des AWS GovCloud (US) régions de la liste ci-dessous.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws-us-gov:iam::elb-account-id:root"
      },
      "Action": "s3:PutObject",
      "Resource": "s3-bucket-arn"
    }
  ]
}

Remplacez elb-account-id avec l'ID d'Elastic Load Balancing pour votre AWS GovCloud (US) région : Compte AWS

  • AWS GovCloud (US-Ouest) — 048591011584

  • AWS GovCloud (USA Est) — 190560391635

Remplacez s3-bucket-arn avec ARN le compartiment pour vos journaux d'accès.

Exemple de compartiment S3 ARN avec un préfixe

Le nom du compartiment estamzn-s3-demo-logging-bucket, le préfixe est logging-prefix et l'ID du AWS compte auprès de l'équilibreur de charge est. 111122223333

arn:aws-us-gov:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/111122223333/*
Exemple de compartiment S3 ARN sans préfixe

Le nom du bucket amzn-s3-demo-logging-bucket et l'ID du AWS compte auprès de l'équilibreur de charge sont111122223333.

arn:aws-us-gov:s3:::amzn-s3-demo-logging-bucket/AWSLogs/111122223333/*
Pour associer une politique de compartiment pour les journaux de connexion à votre compartiment à l'aide de la console Amazon S3

  1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Sélectionnez le nom du compartiment pour ouvrir sa page de détails.

  3. Choisissez Permissions (Autorisations), Bucket policy (Politique de compartiment), puis Edit (Modifier).

  4. Mettez à jour la politique de compartiment pour accorder les autorisations requises.

  5. Sélectionnez Enregistrer les modifications.

Étape 3 : Configuration des journaux de connexion

Utilisez la procédure suivante pour configurer les journaux de connexion afin de capturer et de transmettre des fichiers journaux à votre compartiment S3.

Prérequis

Le compartiment doit répondre aux exigences décrites à l'étape 1 et vous devez y associer une politique de compartiment comme décrit à l'étape 2. Si vous spécifiez un préfixe, celui-ci ne doit pas inclure la chaîne « AWSLogs ».

Pour activer les journaux de connexion pour votre équilibreur de charge à l'aide de la console

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, choisissez Load Balancers.

  3. Sélectionnez le nom de votre équilibreur de charge afin d'ouvrir sa page de détails.

  4. Dans l'onglet Attributes, choisissez Edit.

  5. Pour la surveillance, activez les journaux de connexion.

  6. Pour S3 URI, entrez le S3 URI pour vos fichiers journaux. Le préfixe URI que vous spécifiez varie selon que vous utilisez ou non un préfixe.

    • URIavec un préfixe : s3://bucket-name/prefix

    • URIsans préfixe : s3://bucket-name

  7. Sélectionnez Enregistrer les modifications.

Pour activer les journaux de connexion à l'aide du AWS CLI

Utilisez la modify-load-balancer-attributescommande.

Pour gérer le compartiment S3 pour vos journaux de connexion

Assurez-vous de désactiver les journaux de connexion avant de supprimer le compartiment que vous avez configuré pour les journaux de connexion. Sinon, s'il existe un nouveau bucket portant le même nom et la même politique de bucket requise mais créé dans un compartiment Compte AWS dont vous n'êtes pas le propriétaire, Elastic Load Balancing pourrait écrire les journaux de connexion de votre équilibreur de charge dans ce nouveau bucket.

Étape 4 : vérifier les autorisations du compartiment

Une fois les journaux de connexion activés pour votre équilibreur de charge, Elastic Load Balancing valide le compartiment S3 et crée un fichier de test pour s'assurer que la politique du bucket spécifie les autorisations requises. Vous pouvez utiliser la console Amazon S3 pour vérifier que le fichier test a été créé. Le fichier de test n'est pas un véritable fichier journal de connexion ; il ne contient aucun exemple d'enregistrement.

Pour vérifier qu'Elastic Load Balancing a créé un fichier test dans votre compartiment S3

  1. Ouvrez la console Amazon S3 à l'adresse https://console.aws.amazon.com/s3/.

  2. Sélectionnez le nom du compartiment que vous avez spécifié pour les journaux de connexion.

  3. Accédez au fichier test, ELBConnectionLogTestFile. L'emplacement varie selon que vous utilisez ou non un préfixe.

    • Emplacement avec préfixe : amzn-s3-demo-logging-bucket/prefix/AWSLogs/123456789012/ELBConnectionLogTestFile

    • Emplacement sans préfixe : amzn-s3-demo-logging-bucket/AWSLogs/123456789012/ELBConnectionLogTestFile

Résolution des problèmes

Si vous recevez une erreur de refus d'accès, les causes possibles sont les suivantes :

  • La politique du bucket n'accorde pas à Elastic Load Balancing l'autorisation d'écrire des journaux de connexion dans le bucket. Vérifiez que vous utilisez la bonne politique en matière de compartiments pour la région. Vérifiez que la ressource ARN utilise le même nom de compartiment que celui que vous avez spécifié lorsque vous avez activé les journaux de connexion. Vérifiez que la ressource n'ARNinclut pas de préfixe si vous n'en avez pas spécifié lorsque vous avez activé les journaux de connexion.

  • Le compartiment utilise une option de chiffrement côté serveur non prise en charge. Le compartiment doit utiliser des clés gérées par Amazon S3 (SSE-S3).