Application Load Balancer 액세스 로그 활성화 - Elastic Load Balancing
1단계: S3 버킷 생성2단계: S3 버킷에 정책 연결3단계: 액세스 로그 구성4단계: 버킷 권한 확인문제 해결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Application Load Balancer 액세스 로그 활성화

로드 밸런서에 대한 액세스 로그를 활성화할 때는 로드 밸런서가 로그를 저장할 S3 버킷의 이름을 지정해야 합니다. 버킷에 액세스 로그를 쓰는 Elastic Load Balancing 권한을 부여하는 버킷 정책이 이 버킷에 있어야 합니다.

1단계: S3 버킷 생성

액세스 로그를 활성화할 때는 반드시 액세스 로그에 대한 S3 버킷을 지정해야 합니다. 기존 버킷을 사용하거나 액세스 로그 전용 버킷을 생성할 수 있습니다. 버킷은 다음 요구 사항을 충족해야 합니다.

요구 사항

  • 버킷은 로드 밸런서와 같은 리전에 있어야 합니다. 서로 다른 계정에서 버킷과 로드 밸런서를 소유할 수 있습니다.

  • 지원되는 유일한 서버 측 암호화 옵션은 Amazon S3 관리형 키(SSE-S3)입니다. 자세한 내용을 Amazon S3 관리형 암호화 키(SSE-S3) 섹션을 참조하세요.

Amazon S3 콘솔을 사용하여 S3 버킷에 폴더를 생성하려면

  1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.

  2. 버킷 만들기를 선택합니다.

  3. [Create a bucket] 페이지에서 다음과 같이 실행합니다.

    1. [Bucket Name]에서 버킷 이름을 입력합니다. 선택한 이름은 Amazon S3에 있는 어떤 기존 버킷 이름과도 중복되지 않아야 합니다. 일부 리전에서는 버킷 이름에 대한 추가 제한이 있을 수 있습니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서Bucket restrictions and limitations을 참조하세요.

    2. AWS 리전의 경우 로드 밸런서를 생성한 리전을 선택합니다.

    3. 기본 암호화에서 Amazon S3 관리형 키(SSE-S3)를 선택합니다.

    4. 버킷 생성을 선택합니다.

2단계: S3 버킷에 정책 연결

버킷에 액세스 로그를 쓰는 Elastic Load Balancing 권한을 부여하는 버킷 정책이 S3 버킷에 있어야 합니다. 버킷 정책은 버킷에 대한 액세스 권한을 정의하기 위해 액세스 정책 언어로 작성된 JSON 문의 집합입니다. 각 문에는 단일 권한에 대한 정보와 일련의 요소들이 포함되어 있습니다.

연결된 정책이 이미 있는 기존 버킷을 사용하는 Elastic Load Balancing 액세스 로그에 대한 문을 정책에 추가할 수 있습니다. 그렇게 하는 경우, 결과적인 액세스 권한 집합을 평가하여 해당 집합이 액세스 로그에 대한 버킷에 액세스해야 하는 사용자에게 적절한 권한인지 확인하는 것이 좋습니다.

사용 가능한 버킷 정책

사용할 버킷 정책은 영역 및 유형에 따라 다릅니다. AWS 리전 아래의 확장 가능한 각 섹션에는 버킷 정책과 해당 정책을 사용해야 하는 경우에 대한 정보가 포함되어 있습니다.

이 정책은 지정된 로그 전송 서비스에 권한을 부여합니다. 이 정책을 다음 리전의 가용 영역 및 로컬 영역의 로드 밸런서에 사용하세요.

  • 아시아 태평양(하이데라바드)

  • 아시아 태평양(멜버른)

  • 캐나다 서부(캘거리)

  • 유럽(스페인)

  • 유럽(취리히)

  • 이스라엘(텔아비브)

  • 중동(UAE)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logdelivery.elasticloadbalancing.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*"
    }
  ]
}

이 정책은 지정된 Elastic Load Balancing 계정 ID에 권한을 부여합니다. 이 정책은 아래 목록에 기재된 리전의 가용 영역 또는 로컬 영역의 로드 밸런서에 사용하세요.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::elb-account-id:root"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*"
    }
  ]
}

elb-account-id를 해당 지역의 AWS 계정 Elastic Load Balancing용 ID로 바꾸십시오.

  • 미국 동부(버지니아 북부) – 127311923021

  • 미국 동부(오하이오) – 033677994240

  • 미국 서부(캘리포니아 북부) – 027434742980

  • 미국 서부(오레곤) – 797873946194

  • 아프리카(케이프타운) – 098369216593

  • 아시아 태평양(홍콩) – 754344448648

  • 아시아 태평양(자카르타) – 589379963580

  • 아시아 태평양(뭄바이) – 718504428378

  • 아시아 태평양(오사카) – 383597477331

  • 아시아 태평양(서울) – 600734575887

  • 아시아 태평양(싱가포르) – 114774131450

  • 아시아 태평양(시드니) – 783225319266

  • 아시아 태평양(도쿄) – 582318560864

  • 캐나다(중부) – 985666609251

  • 유럽(프랑크푸르트) – 054676820928

  • 유럽(아일랜드) – 156460612806

  • 유럽(런던) – 652711504416

  • 유럽(밀라노) – 635631232127

  • 유럽(파리) – 009996457667

  • 유럽(스톡홀름) – 897822967062

  • 중동(바레인) – 076674570225

  • 남아메리카(상파울루) – 507241528517

my-s3-arn을 액세스 로그 위치의 ARN으로 바꾸세요. 지정하는 ARN은 3단계에서 액세스 로그를 사용하도록 설정할 때 접두사를 지정할 계획인지 여부에 따라 다릅니다.

  • 접두사가 있는 ARN의 예

    arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*

  • 접두사가 없는 ARN의 예

    arn:aws:s3:::bucket-name/AWSLogs/aws-account-id/*
사용 시점은 다음과 같습니다. NotPrincipalEffectDeny

Amazon S3 버킷 정책에서 아래 Deny 예와 NotPrincipal 같이 값을 사용하고 Effect 포함하는 경우 해당 항목이 Service 목록에 포함되어 logdelivery.elasticloadbalancing.amazonaws.com 있는지 확인하십시오.

{
  "Effect": "Deny",
  "NotPrincipal": {
    "Service": [
       "logdelivery.elasticloadbalancing.amazonaws.com",
       "example.com"
    ]
  }
},
AWS GovCloud (US) Regions

이 정책은 지정된 Elastic Load Balancing 계정 ID에 권한을 부여합니다. 아래 목록에 있는 AWS GovCloud (US) 지역의 가용 영역 또는 Local Zone에 있는 로드 밸런서에 이 정책을 사용하십시오.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws-us-gov:iam::elb-account-id:root"
      },
      "Action": "s3:PutObject",
      "Resource": "my-s3-arn"
    }
  ]
}

elb-account-id를 해당 지역의 AWS 계정 Elastic Load Balancing용 ID로 바꾸십시오. AWS GovCloud (US)

  • AWS GovCloud (미국 서부) — 048591011584

  • AWS GovCloud (미국 동부) — 190560391635

my-s3-arn을 액세스 로그 위치의 ARN으로 바꾸세요. 지정하는 ARN은 3단계에서 액세스 로그를 사용하도록 설정할 때 접두사를 지정할 계획인지 여부에 따라 다릅니다.

  • 접두사가 있는 ARN의 예

    arn:aws-us-gov:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*

  • 접두사가 없는 ARN의 예

    arn:aws-us-gov:s3:::bucket-name/AWSLogs/aws-account-id/*

다음 정책은 지정된 로그 전송 서비스에 권한을 부여합니다. Outposts 영역의 로드 밸런서에 이 정책을 사용하세요.

{
    "Effect": "Allow",
    "Principal": {
        "Service": "logdelivery.elb.amazonaws.com"
    },
    "Action": "s3:PutObject",
    "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/your-aws-account-id/*",
    "Condition": {
        "StringEquals": {
            "s3:x-amz-acl": "bucket-owner-full-control"
        }
    }
}
Amazon S3 콘솔을 사용하여 버킷에 액세스 로그의 버킷 정책 연결

  1. https://console.aws.amazon.com/s3/에서 S3 콘솔을 엽니다.

  2. 버킷 이름을 선택하여 세부 정보 페이지를 엽니다.

  3. 권한을 선택한 다음에 버킷 정책, 편집을 선택합니다.

  4. 버킷 정책을 업데이트하여 필수 권한을 부여합니다.

  5. 변경 사항 저장를 선택합니다.

3단계: 액세스 로그 구성

이벤트를 캡처하고 로그 파일을 S3 버킷에 전송하도록 다음과 같은 절차에 따라 액세스 로그를 구성합니다.

요구 사항

버킷은 1단계에 설명된 요구 사항을 충족해야 하며 2단계의 설명에 따라 버킷 정책을 연결해야 합니다. 접두사를 지정하는 경우 "" 문자열을 포함할 수 없습니다. AWSLogs

콘솔을 사용하여 로드 밸런서에 대한 액세스 로그를 활성화하려면

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창에서 [Load Balancers]를 클릭합니다.

  3. 로드 밸런서 이름을 선택하여 세부 정보 페이지를 엽니다.

  4. 속성성(Attributes) 탭에서 편집(Edit)을 선택합니다.

  5. 모니터링에서 액세스 로그를 켭니다.

  6. S3 URI로 로그 파일의 S3 URI를 입력합니다. 지정하는 URI는 접두사 사용 여부에 따라 달라집니다.

    • 접두사가 있는 URI: s3://bucket-name/prefix

    • 접두사가 없는 URI: s3://bucket-name

  7. 변경 사항 저장를 선택합니다.

를 사용하여 액세스 로그를 활성화하려면 AWS CLI

modify-load-balancer-attributes 명령을 사용합니다.

액세스 로그에 대해 S3 버킷을 관리하려면

액세스 로그용으로 구성한 버킷을 삭제하기 전에 액세스 로그를 비활성화해야 합니다. 이렇게 하지 않으면 이름이 동일한 새로운 버킷이 있지만 필요한 버킷 정책이 다른 AWS 계정 에 생성된 경우, Elastic Load Balancing이 내 로드 밸런서의 액세스 로그를 이 새로운 버킷에 쓸 수 있습니다.

4단계: 버킷 권한 확인

로드 밸런서에 대해 액세스 로그가 활성화되면 Elastic Load Balancing에서는 S3 버킷을 검증하고 버킷 정책에서 필수 권한을 지정하는지 확인하는 테스트 파일을 생성합니다. Amazon S3 콘솔을 사용하여 테스트 파일이 생성되었는지 확인할 수 있습니다. 테스트 파일은 실제 액세스 로그 파일이 아니며, 예제 레코드가 포함되어 있지 않습니다.

S3 버킷에서 Elastic Load Balancing이 테스트 파일을 생성했는지 확인하려면

  1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.

  2. 액세스 로그에 대해 지정한 버킷의 이름을 선택합니다.

  3. 테스트 파일인 ELBAccessLogTestFile로 이동합니다. 위치는 접두사 사용 여부에 따라 달라집니다.

    • 접두사가 있는 위치: my-bucket/prefix/AWSLogs/123456789012/ELBAccessLogTestFile

    • 접두사가 없는 위치: my-bucket/AWSLogs/123456789012/ELBAccessLogTestFile

문제 해결

액세스 거부 오류가 발생한 경우, 가능한 원인은 다음과 같습니다.

  • 버킷 정책이 버킷에 액세스 로그를 쓰도록 허용하는 Elastic Load Balancing 권한을 부여하지 않습니다. 리전에 올바른 버킷 정책을 사용하고 있는지 확인합니다. 액세스 로그를 활성화할 때 지정한 것과 동일한 버킷 이름을 리소스 ARN에서 사용하는지 확인하세요. 액세스 로그를 활성화할 때 접두사를 지정하지 않은 경우 리소스 ARN에 접두사가 포함되어 있지 않은지 확인합니다.

  • 버킷이 지원되지 않는 서버 측 암호화 옵션을 사용합니다. 버킷이 Amazon S3 관리형 키(SSE-S3)를 사용해야 합니다.