Activez les journaux d'accès pour votre Network Load Balancer - Elastic Load Balancing
Conditions requises pour le compartimentConfiguration des journaux d'accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activez les journaux d'accès pour votre Network Load Balancer

Pour activer la journalisation des accès pour votre équilibreur de charge, vous devez spécifier le nom du compartiment S3 dans lequel l'équilibreur de charge stockera les journaux. Le compartiment doit avoir une politique de compartiment qui accorde à Elastic Load Balancing l'autorisation d'écrire dans le compartiment.

Conditions requises pour le compartiment

Vous ou utiliser un compartiment existant ou créer un compartiment spécifique pour les journaux d'accès. Le compartiment doit répondre aux critères suivants :

Prérequis

  • Le compartiment doit se situer dans la même région que l'équilibreur de charge. Le compartiment et l'équilibreur de charge peuvent être détenus par des comptes différents.

  • Le préfixe que vous spécifiez ne doit pas inclure AWSLogs. Nous ajoutons la partie du nom de fichier commençant par AWSLogs après le nom du compartiment et le préfixe que vous avez spécifié.

  • Le compartiment doit avoir une stratégie de compartiment qui octroie l'autorisation d'écrire les journaux d'accès dans votre compartiment. Les politiques de compartiment sont un ensemble d'JSONinstructions rédigées dans le langage de la politique d'accès pour définir les autorisations d'accès pour votre compartiment.

Exemple de politique de compartiment

Voici un exemple de politique . Pour les Resource éléments, remplacez amzn-s3-demo-destination-bucket avec le nom du compartiment S3 pour vos journaux d'accès. Assurez-vous d'omettre le Prefix/ si vous n'utilisez pas de préfixe de compartiment. Pouraws:SourceAccount, spécifiez l'ID du AWS compte auprès de l'équilibreur de charge. Pouraws:SourceArn, remplacez region and 012345678912 avec la région et l'ID de compte de l'équilibreur de charge, respectivement.

{
    "Version": "2012-10-17",
    "Id": "AWSLogDeliveryWrite",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": ["012345678912"]
                },
                "ArnLike": {
                    "aws:SourceArn": ["arn:aws:logs:region:012345678912:*"]
                }
            }
        },
        {
            "Sid": "AWSLogDeliveryWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/Prefix/AWSLogs/account-ID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": ["012345678912"]
                },
                "ArnLike": {
                    "aws:SourceArn": ["arn:aws:logs:region:012345678912:*"]
                }
            }
        }
    ]
}
Chiffrement

Vous pouvez activer le chiffrement côté serveur pour votre compartiment de journaux d'accès Amazon S3 de l'une des manières suivantes :

  • Clés gérées par Amazon S3 (-S3) SSE

  • AWS KMS clés stockées dans AWS Key Management Service (SSE-KMS) †

† Avec les journaux d'accès de Network Load Balancer, vous ne pouvez pas utiliser de clés AWS gérées, vous devez utiliser des clés gérées par le client.

Pour plus d'informations, consultez les sections Spécification du chiffrement Amazon S3 (SSE-S3) et Spécification du chiffrement côté serveur avec AWS KMS (SSE-KMS) dans le guide de l'utilisateur Amazon S3.

La stratégie de clé doit permettre au service de chiffrer et de déchiffrer les journaux. Voici un exemple de politique .

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}

Configuration des journaux d'accès

Utilisez la procédure suivante pour configurer les journaux d'accès afin de capturer les informations relatives aux demandes et de transmettre les fichiers journaux à votre compartiment S3.

Pour activer la journalisation des accès à l'aide de la console

  1. Ouvrez la EC2 console Amazon à l'adresse https://console.aws.amazon.com/ec2/.

  2. Dans le volet de navigation, choisissez Load Balancers.

  3. Sélectionnez le nom de votre équilibreur de charge afin d'ouvrir sa page de détails.

  4. Dans l'onglet Attributes, choisissez Edit.

  5. Dans la page Modifier les attributs de l'équilibreur de charge, procédez comme suit :

    1. Pour Surveillance, activez Journaux d'accès.

    2. Choisissez Parcourir S3 et sélectionnez un compartiment à utiliser. Vous pouvez également saisir l'emplacement de votre compartiment S3, y compris tout préfixe.

    3. Sélectionnez Enregistrer les modifications.

Pour activer la journalisation des accès à l'aide du AWS CLI

Utilisez la modify-load-balancer-attributescommande.