Aktifkan log akses untuk Network Load Balancer - Elastic Load Balancing
Persyaratan bucketKonfigurasikan log akses

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Aktifkan log akses untuk Network Load Balancer

saat mengaktifkan pengelogan akses untuk penyeimbang beban, Anda harus menentukan nama bucket S3 tempat penyeimbang beban akan menyimpan log. Bucket harus memiliki kebijakan bucket yang memberikan izin Elastic Load Balancing untuk menulis ke bucket.

Persyaratan bucket

Anda dapat menggunakan bucket yang sudah ada, atau membuat bucket khusus untuk log akses. Bucket harus memenuhi persyaratan berikut.

Persyaratan

  • Bucket harus ditempatkan di Wilayah yang sama dengan penyeimbang beban. Bucket dan load balancer dapat dimiliki oleh akun yang berbeda.

  • Awalan yang Anda tentukan tidak boleh disertakanAWSLogs. Kami menambahkan bagian dari nama file dimulai dengan AWSLogs setelah nama bucket dan awalan yang Anda tentukan.

  • Bucket harus memiliki kebijakan bucket yang memberikan izin untuk menulis log akses ke bucket Anda. Kebijakan bucket adalah kumpulan pernyataan JSON yang ditulis dalam bahasa kebijakan akses untuk menentukan izin akses untuk bucket Anda.

Contoh kebijakan bucket

Berikut ini adalah contoh kebijakan . Untuk Resource elemen, ganti amzn-s3-demo-destination-bucket dengan nama bucket S3 untuk log akses Anda. Pastikan untuk menghilangkan Prefix/ jika Anda tidak menggunakan awalan ember. Untukaws:SourceAccount, tentukan ID AWS akun dengan penyeimbang beban. Untukaws:SourceArn, ganti region dan 012345678912 dengan Wilayah dan ID akun penyeimbang beban, masing-masing.

{
    "Version": "2012-10-17",
    "Id": "AWSLogDeliveryWrite",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": ["012345678912"]
                },
                "ArnLike": {
                    "aws:SourceArn": ["arn:aws:logs:region:012345678912:*"]
                }
            }
        },
        {
            "Sid": "AWSLogDeliveryWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/Prefix/AWSLogs/account-ID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": ["012345678912"]
                },
                "ArnLike": {
                    "aws:SourceArn": ["arn:aws:logs:region:012345678912:*"]
                }
            }
        }
    ]
}
Enkripsi

Anda dapat mengaktifkan enkripsi sisi server untuk bucket log akses Amazon S3 Anda dengan salah satu cara berikut:

  • Tombol yang Dikelola Amazon S3 (SSE-S3)

  • AWS KMS kunci yang disimpan di AWS Key Management Service (SSE-KMS) †

† Dengan log akses Network Load Balancer, Anda tidak dapat menggunakan kunci AWS terkelola, Anda harus menggunakan kunci terkelola pelanggan.

Untuk informasi selengkapnya, lihat Menentukan enkripsi Amazon S3 (SSE-S3) dan Menentukan enkripsi sisi server dengan (SSE-KMS) di Panduan Pengguna Amazon AWS KMS S3.

Kebijakan utama harus mengizinkan layanan untuk mengenkripsi dan mendekripsi log. Berikut ini adalah contoh kebijakan .

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}

Konfigurasikan log akses

Gunakan prosedur berikut untuk mengonfigurasi log akses untuk menangkap informasi permintaan dan mengirimkan file log ke bucket S3 Anda.

Untuk mengaktifkan pengelogan akses menggunakan konsol

  1. Buka EC2 konsol Amazon di https://console.aws.amazon.com/ec2/.

  2. Di panel navigasi, pilih Load Balancers.

  3. Pilih nama penyeimbang beban Anda untuk membuka halaman detailnya.

  4. Pada tab Atribut, pilih Edit.

  5. Pada halaman Edit load balancer attributes, lakukan hal berikut:

    1. Untuk Monitoring, aktifkan Access logs.

    2. Pilih Browse S3 dan pilih bucket untuk digunakan. Atau, masukkan lokasi bucket S3 Anda, termasuk awalan apa pun.

    3. Pilih Simpan perubahan.

Untuk mengaktifkan pencatatan akses menggunakan AWS CLI

Gunakan perintah modify-load-balancer-attributes.