为网络负载均衡器启用访问日志 - Elastic Load Balancing
存储桶要求配置访问日志

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为网络负载均衡器启用访问日志

在为负载均衡器启用访问日志记录时,您必须指定负载均衡器将在其中存储日志的 S3 存储桶的名称。存储桶必须具有为 Elastic Load Balancing 授予写入存储桶的权限的存储桶策略。

存储桶要求

您可以使用现有存储桶,也可以创建专门用于访问日志的存储桶。存储桶必须满足以下要求。

要求

  • 存储桶必须位于与负载均衡器相同的区域中。该存储桶和负载均衡器可由不同的账户拥有。

  • 您指定的前缀不得包含 AWSLogs。我们会在您指定的存储桶名称和前缀后添加以 AWSLogs 开头的文件名部分。

  • 存储桶必须具有授予将访问日志写入存储桶的权限的存储桶策略。存储桶策略是用访问策略语言编写的一组语JSON句,用于定义存储桶的访问权限。

存储桶策略的示例

以下是示例策略。对于Resource元素,替换 amzn-s3-demo-destination-bucket 使用您的访问日志的 S3 存储桶的名称。一定要省略 Prefix/ 如果你没有使用存储桶前缀。对于aws:SourceAccount,请指定负载均衡器 AWS 账户的 ID。对于aws:SourceArn,替换 region 以及 012345678912 分别包含负载均衡器的区域和账户 ID。

{
    "Version": "2012-10-17",
    "Id": "AWSLogDeliveryWrite",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": ["012345678912"]
                },
                "ArnLike": {
                    "aws:SourceArn": ["arn:aws:logs:region:012345678912:*"]
                }
            }
        },
        {
            "Sid": "AWSLogDeliveryWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-destination-bucket/Prefix/AWSLogs/account-ID/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": ["012345678912"]
                },
                "ArnLike": {
                    "aws:SourceArn": ["arn:aws:logs:region:012345678912:*"]
                }
            }
        }
    ]
}
加密

您可以使用下列任何一种方式为 Amazon S3 访问日志存储桶启用服务器端加密:

  • 亚马逊 S3 托管密钥 (SSE-S3)

  • AWS KMS 密钥存储在 AWS Key Management Service (SSE-KMS) †

† 对于 Network Load Balancer 访问日志,您无法使用 AWS 托管密钥,必须使用客户托管密钥。

有关更多信息,请参阅 Amazon S3 用户指南中的指定 Ama zon S3 加密 (SSE-S3) 和使用 AWS KMS (SSE-KMS) 指定服务器端加密

密钥策略必须允许服务对日志进行加密和解密。以下是示例策略。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}

配置访问日志

使用以下过程配置访问日志,以捕获请求信息并将日志文件传输到 S3 存储桶。

使用控制台启用访问日志记录

  1. 打开亚马逊EC2控制台,网址为https://console.aws.amazon.com/ec2/

  2. 在导航窗格中,选择负载均衡器

  3. 选择您的负载均衡器的名称以打开其详细信息页面。

  4. 属性选项卡上,选择编辑

  5. 编辑负载均衡器属性页面上,执行以下操作:

    1. 对于监控,打开访问日志

    2. 选择浏览 S3 并选中要使用的桶。或者,输入 S3 桶的位置,包括任何前缀。

    3. 选择 Save changes(保存更改)

要启用访问日志记录,请使用 AWS CLI

使用modify-load-balancer-attributes命令。