Aktifkan log akses untuk Application Load Balancer - Elastic Load Balancing
Langkah 1: Buat ember S3Langkah 2: Lampirkan kebijakan ke bucket S3 AndaLangkah 3: Konfigurasikan log aksesLangkah 4: Verifikasi izin bucketPemecahan Masalah

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Aktifkan log akses untuk Application Load Balancer

Saat mengaktifkan log akses untuk penyeimbang beban, Anda harus menentukan nama bucket S3 tempat penyeimbang beban akan menyimpan log. Bucket harus memiliki kebijakan bucket yang memberikan izin Elastic Load Balancing untuk menulis ke bucket.

Langkah 1: Buat ember S3

Saat mengaktifkan log akses, Anda harus menentukan bucket S3 untuk log akses. Anda dapat menggunakan bucket yang sudah ada, atau membuat bucket khusus untuk log akses. Bucket harus memenuhi persyaratan berikut.

Persyaratan

  • Bucket harus ditempatkan di Wilayah yang sama dengan penyeimbang beban. Bucket dan load balancer dapat dimiliki oleh akun yang berbeda.

  • Satu-satunya opsi enkripsi sisi server yang didukung adalah kunci yang dikelola Amazon S3 (SSE-S3). Untuk informasi selengkapnya, lihat kunci enkripsi terkelola Amazon S3 (SSE-S3).

Untuk membuat bucket S3 menggunakan konsol Amazon S3

  1. Buka konsol Amazon S3 di https://console.aws.amazon.com/s3/.

  2. Pilih Buat bucket.

  3. Pada halaman Create bucket, lakukan hal berikut:

    1. Untuk Bucket name, masukkan nama untuk bucket Anda. Nama ini harus unik di semua nama bucket yang ada di Amazon S3. Di beberapa Wilayah, mungkin ada pembatasan tambahan pada nama bucket. Untuk informasi selengkapnya, lihat Pembatasan dan batasan Bucket di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

    2. Untuk AWS Region, pilih Wilayah tempat Anda membuat penyeimbang beban.

    3. Untuk enkripsi Default, pilih kunci yang dikelola Amazon S3 (SSE-S3).

    4. Pilih Buat bucket.

Langkah 2: Lampirkan kebijakan ke bucket S3 Anda

Bucket S3 Anda harus memiliki kebijakan bucket yang memberikan izin Elastic Load Balancing untuk menulis log akses ke bucket. Kebijakan bucket adalah kumpulan pernyataan JSON yang ditulis dalam bahasa kebijakan akses untuk menentukan izin akses untuk bucket Anda. Setiap pernyataan mencakup informasi tentang satu izin dan berisi serangkaian elemen.

Jika Anda menggunakan bucket yang sudah memiliki kebijakan terlampir, Anda dapat menambahkan pernyataan untuk log akses Elastic Load Balancing ke kebijakan. Jika Anda melakukannya, sebaiknya Anda mengevaluasi kumpulan izin yang dihasilkan untuk memastikan bahwa izin tersebut sesuai untuk pengguna yang memerlukan akses ke bucket untuk log akses.

Kebijakan bucket yang tersedia

Kebijakan bucket yang akan Anda gunakan bergantung pada Wilayah AWS dan jenis zona. Setiap bagian yang dapat diperluas di bawah ini berisi kebijakan bucket dan informasi tentang kapan harus menggunakan kebijakan tersebut.

Kebijakan ini memberikan izin ke layanan pengiriman log yang ditentukan. Gunakan kebijakan ini untuk penyeimbang beban di Availability Zone dan Local Zones di Wilayah berikut:

  • Asia Pasifik (Hyderabad)

  • Asia Pasifik (Melbourne)

  • Kanada Barat (Calgary)

  • Eropa (Spanyol)

  • Eropa (Zürich)

  • Israel (Tel Aviv)

  • Timur Tengah (UEA)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logdelivery.elasticloadbalancing.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*"
    }
  ]
}

Kebijakan ini memberikan izin ke ID akun Elastic Load Balancing yang ditentukan. Gunakan kebijakan ini untuk load balancers di Availability Zones atau Local Zones di Daerah pada daftar di bawah ini.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::elb-account-id:root"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*"
    }
  ]
}

Ganti elb-account-id dengan ID Elastic Load Akun AWS Balancing untuk Wilayah Anda:

  • AS Timur (Virginia N.) — 127311923021

  • AS Timur (Ohio) — 033677994240

  • AS Barat (California N.) — 027434742980

  • AS Barat (Oregon) — 797873946194

  • Afrika (Cape Town) — 098369216593

  • Asia Pasifik (Hong Kong) — 754344448648

  • Asia Pasifik (Jakarta) - 589379963580

  • Asia Pasifik (Mumbai) — 718504428378

  • Asia Pasifik (Osaka) — 383597477331

  • Asia Pasifik (Seoul) — 600734575887

  • Asia Pasifik (Singapura) — 114774131450

  • Asia Pasifik (Sydney) — 783225319266

  • Asia Pasifik (Tokyo) — 582318560864

  • Kanada (Tengah) — 985666609251

  • Eropa (Frankfurt am Main) — 054676820928

  • Eropa (Irlandia) — 156460612806

  • Eropa (London) — 652711504416

  • Eropa (Milan) — 635631232127

  • Eropa (Paris) — 009996457667

  • Eropa (Stockholm) — 897822967062

  • Timur Tengah (Bahrain) — 076674570225

  • Amerika Selatan (São Paulo) — 507241528517

Ganti my-s3-arn dengan ARN lokasi untuk log akses Anda. ARN yang Anda tentukan tergantung pada apakah Anda berencana untuk menentukan awalan saat Anda mengaktifkan log akses di langkah 3.

  • Contoh ARN dengan awalan

    arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*

  • Contoh ARN tanpa awalan

    arn:aws:s3:::bucket-name/AWSLogs/aws-account-id/*
Menggunakan NotPrincipal kapan EffectDeny.

Jika kebijakan bucket Amazon S3 digunakan Effect dengan nilai Deny dan menyertakan NotPrincipal seperti yang ditunjukkan pada contoh di bawah ini, pastikan kebijakan tersebut logdelivery.elasticloadbalancing.amazonaws.com disertakan dalam daftar. Service

{
  "Effect": "Deny",
  "NotPrincipal": {
    "Service": [
       "logdelivery.elasticloadbalancing.amazonaws.com",
       "example.com"
    ]
  }
},
AWS GovCloud (US) Regions

Kebijakan ini memberikan izin ke ID akun Elastic Load Balancing yang ditentukan. Gunakan kebijakan ini untuk load balancers di Availability Zones atau Local Zones di AWS GovCloud (US) Daerah pada daftar di bawah ini.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws-us-gov:iam::elb-account-id:root"
      },
      "Action": "s3:PutObject",
      "Resource": "my-s3-arn"
    }
  ]
}

Ganti elb-account-id dengan ID Elastic Load Akun AWS Balancing untuk Wilayah Anda: AWS GovCloud (US)

  • AWS GovCloud (AS-Barat) — 048591011584

  • AWS GovCloud (AS-Timur) — 190560391635

Ganti my-s3-arn dengan ARN lokasi untuk log akses Anda. ARN yang Anda tentukan tergantung pada apakah Anda berencana untuk menentukan awalan saat Anda mengaktifkan log akses di langkah 3.

  • Contoh ARN dengan awalan

    arn:aws-us-gov:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*

  • Contoh ARN tanpa awalan

    arn:aws-us-gov:s3:::bucket-name/AWSLogs/aws-account-id/*

Kebijakan berikut memberikan izin ke layanan pengiriman log yang ditentukan. Gunakan kebijakan ini untuk penyeimbang beban di Zona Outposts.

{
    "Effect": "Allow",
    "Principal": {
        "Service": "logdelivery.elb.amazonaws.com"
    },
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/your-aws-account-id/*",
    "Condition": {
        "StringEquals": {
            "s3:x-amz-acl": "bucket-owner-full-control"
        }
    }
}
Untuk melampirkan kebijakan bucket untuk log akses ke bucket Anda menggunakan konsol Amazon S3

  1. Buka konsol Amazon S3 di https://console.aws.amazon.com/s3/.

  2. Pilih nama bucket untuk membuka halaman detailnya.

  3. Pilih Izin lalu pilih Kebijakan Bucket, Edit.

  4. Perbarui kebijakan bucket untuk memberikan izin yang diperlukan.

  5. Pilih Simpan perubahan.

Langkah 3: Konfigurasikan log akses

Gunakan prosedur berikut untuk mengonfigurasi log akses untuk menangkap dan mengirimkan file log ke bucket S3 Anda.

Persyaratan

Bucket harus memenuhi persyaratan yang dijelaskan pada langkah 1, dan Anda harus melampirkan kebijakan bucket seperti yang dijelaskan pada langkah 2. Jika Anda menentukan awalan, itu tidak harus menyertakan string "AWSLogs”.

Untuk mengaktifkan log akses untuk penyeimbang beban Anda menggunakan konsol

  1. Buka konsol Amazon EC2 di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Load Balancers.

  3. Pilih nama penyeimbang beban Anda untuk membuka halaman detailnya.

  4. Pada tab Atribut, pilih Edit.

  5. Untuk Monitoring, aktifkan Access logs.

  6. Untuk URI S3, masukkan URI S3 untuk file log Anda. URI yang Anda tentukan bergantung pada apakah Anda menggunakan awalan.

    • URI dengan awalan: s3://bucket-name/prefix

    • URI tanpa awalan: s3://bucket-name

  7. Pilih Simpan perubahan.

Untuk mengaktifkan log akses menggunakan AWS CLI

Gunakan perintah modify-load-balancer-attributes.

Untuk mengelola bucket S3 untuk log akses Anda

Pastikan untuk menonaktifkan log akses sebelum menghapus bucket yang dikonfigurasi untuk log akses. Jika tidak, jika ada bucket baru dengan nama yang sama dan kebijakan bucket yang diperlukan tetapi dibuat dalam bucket Akun AWS yang tidak Anda miliki, Elastic Load Balancing dapat menulis log akses untuk penyeimbang beban Anda ke bucket baru ini.

Langkah 4: Verifikasi izin bucket

Setelah log akses diaktifkan untuk penyeimbang beban Anda, Elastic Load Balancing memvalidasi bucket S3 dan membuat file pengujian untuk memastikan bahwa kebijakan bucket menentukan izin yang diperlukan. Anda dapat menggunakan konsol Amazon S3 untuk memverifikasi bahwa file uji dibuat. File uji bukan berkas log akses yang sebenarnya; file tersebut tidak berisi contoh catatan.

Untuk memverifikasi bahwa Elastic Load Balancing membuat file uji di bucket S3 Anda

  1. Buka konsol Amazon S3 di https://console.aws.amazon.com/s3/.

  2. Pilih nama bucket yang Anda tentukan untuk log akses.

  3. Arahkan ke file pengujian,ELBAccessLogTestFile. Lokasi tergantung pada apakah Anda menggunakan awalan.

    • Lokasi dengan awalan: my-bucket/prefix/AWSLogs/123456789012/ELBAccessLogTestFile

    • Lokasi tanpa awalan: my-bucket/AWSLogs/123456789012/ELBAccessLogTestFile

Pemecahan Masalah

Jika Anda menerima kesalahan akses ditolak, berikut ini adalah kemungkinan penyebabnya:

  • Kebijakan bucket tidak memberikan izin Elastic Load Balancing untuk menulis log akses ke bucket. Verifikasi bahwa Anda menggunakan kebijakan bucket yang benar untuk Wilayah tersebut. Verifikasi bahwa ARN sumber daya menggunakan nama bucket yang sama dengan yang Anda tentukan saat mengaktifkan log akses. Verifikasi bahwa ARN sumber daya tidak menyertakan awalan jika Anda tidak menentukan awalan saat Anda mengaktifkan log akses.

  • Bucket menggunakan opsi enkripsi sisi server yang tidak didukung. Bucket harus menggunakan kunci yang dikelola Amazon S3 (SSE-S3).