Abilita i log di accesso per il tuo Network Load Balancer - Sistema di bilanciamento del carico elastico
Requisiti del bucketConfigura i log di accesso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Abilita i log di accesso per il tuo Network Load Balancer

Quando abiliti la registrazione degli accessi per il tuo sistema di bilanciamento del carico, devi specificare il nome del bucket S3 in cui il sistema archivierà i log. Il bucket deve avere una policy di bucket che concede a Elastic Load Balancing l'autorizzazione a scrivere nel bucket.

Requisiti del bucket

È possibile utilizzare un bucket esistente o creare un bucket specifico per i log di accesso. Il bucket deve soddisfare i seguenti requisiti.

Requisiti

  • Il bucket deve trovarsi nella stessa regione del load balancer. Il bucket e il load balancer possono essere di proprietà di account differenti.

  • Il prefisso specificato non deve includere AWSLogs. Aggiungiamo la parte del nome del file che inizia con AWSLogs dopo il nome del bucket e il prefisso specificato.

  • Il bucket deve disporre di una relativa policy che conceda l'autorizzazione a scrivere i log di accesso nel bucket. Le policy dei bucket sono una raccolta di JSON istruzioni scritte nel linguaggio delle policy di accesso per definire le autorizzazioni di accesso per il bucket.

Esempio di policy di bucket

Di seguito è riportata una policy di esempio. Per gli elementi, sostituisci Resource amzn-s3-demo-destination-bucket con il nome del bucket S3 per i log di accesso. Assicurati di omettere il Prefix/ se non stai usando un prefisso bucket. Peraws:SourceAccount, specifica l'ID dell' AWS account con il sistema di bilanciamento del carico. Peraws:SourceArn, sostituisci region e 012345678912 con la regione e l'ID dell'account del sistema di bilanciamento del carico, rispettivamente.

{
    "Version": "2012-10-17",
    "Id": "AWSLogDeliveryWrite",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": ["012345678912"]
                },
                "ArnLike": {
                    "aws:SourceArn": ["arn:aws:logs:region:012345678912:*"]
                }
            }
        },
        {
            "Sid": "AWSLogDeliveryWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/Prefix/AWSLogs/account-ID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": ["012345678912"]
                },
                "ArnLike": {
                    "aws:SourceArn": ["arn:aws:logs:region:012345678912:*"]
                }
            }
        }
    ]
}
Crittografia

Puoi abilitare la crittografia lato server per il bucket di log di accesso Amazon S3 in uno dei seguenti modi:

  • Chiavi gestite da Amazon S3 (SSE-S3)

  • AWS KMS chiavi memorizzate in AWS Key Management Service (-) † SSE KMS

† Con i log di accesso a Network Load Balancer, non è possibile utilizzare chiavi AWS gestite, ma solo chiavi gestite dal cliente.

Per ulteriori informazioni, consulta Specificare la crittografia Amazon S3 SSE (-S3) e Specificare la crittografia lato server con ( AWS KMS -SSE) KMS nella Guida per l'utente di Amazon S3.

La policy della chiave deve consentire al servizio di crittografare e decrittografare i log. Di seguito è riportata una policy di esempio.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}

Configura i log di accesso

Utilizza la seguente procedura per configurare i log di accesso per acquisire le informazioni sulle richieste e inviare i file di registro al tuo bucket S3.

Per abilitare la registrazione degli accessi tramite la console

  1. Apri la EC2 console Amazon all'indirizzo https://console.aws.amazon.com/ec2/.

  2. Selezionare Sistemi di bilanciamento del carico nel riquadro di navigazione.

  3. Seleziona il nome del sistema di bilanciamento del carico per aprirne la pagina dei dettagli.

  4. Nella scheda Attributi, scegli Modifica.

  5. Nella pagina Edit load balancer attributes (Modifica gli attributi del sistema di bilanciamento del carico), procedere come segue:

    1. In Monitoraggio, attiva Log di accesso.

    2. Scegli Sfoglia S3 e seleziona il bucket da usare. In alternativa, inserisci il percorso del bucket S3, compreso l'eventuale prefisso.

    3. Scegli Save changes (Salva modifiche).

Per abilitare la registrazione degli accessi utilizzando il AWS CLI

Usare il modify-load-balancer-attributescomando.