Habilite los registros de conexión para su Application Load Balancer - Elastic Load Balancing
Paso 1: Crear un bucket de S3Paso 2: Adjuntar una política al bucket de S3Paso 3: Configurar los registros de conexiónPaso 4: verificar los permisos del bucketResolución de problemas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilite los registros de conexión para su Application Load Balancer

Al habilitar los registros de conexión para el balanceador de cargas, debes especificar el nombre del depósito de S3 en el que el balanceador de cargas almacenará los registros. El bucket debe tener una política de bucket que conceda permiso a Elastic Load Balancing para escribir en el bucket.

Paso 1: Crear un bucket de S3

Al habilitar los registros de conexión, debe especificar un bucket de S3 para los registros de conexión. Puede usar un depósito existente o crear uno específico para los registros de conexión. El bucket debe cumplir los siguientes requisitos.

Requisitos

  • El bucket debe estar ubicado en la misma región que el equilibrador de carga. El bucket y el equilibrador de carga pueden ser propiedad de diferentes cuentas.

  • La única opción de cifrado del lado del servidor que se admite son claves administradas por Amazon S3 (SSE-S3). Para obtener más información, consulte Claves de cifrado administradas por Amazon S3 (SSE-S3).

Para crear un bucket de S3 con la consola de Amazon S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. Elija Crear bucket.

  3. En la página Create bucket (Crear un bucket), realice las siguientes acciones:

    1. En Nombre del bucket, escriba un nombre para el bucket. Este nombre debe ser único entre todos los nombres de buckets de Amazon S3. En algunas regiones, es posible que haya restricciones adicionales para los nombres de los buckets. Para obtener más información, consulte Restricciones y limitaciones de los buckets en la Guía del usuario de Amazon Simple Storage Service.

    2. En AWS Region (Región de ), seleccione la región donde ha creado el equilibrador de carga.

    3. Para el cifrado predeterminado, elija las claves administradas por Amazon S3 (SSE-S3).

    4. Elija Crear bucket.

Paso 2: Adjuntar una política al bucket de S3

El bucket de S3 debe tener una política de bucket que conceda permiso a Elastic Load Balancing para escribir los registros de conexión en el bucket. Las políticas de bucket son colecciones de instrucciones JSON escritas en el lenguaje de la política de acceso para definir los permisos de acceso al bucket. Cada instrucción incluye información sobre un único permiso y contiene una serie de elementos.

Si utilizas un bucket existente que ya tiene una política adjunta, puedes añadir la declaración para los registros de conexión de Elastic Load Balancing a la política. Si lo hace, le recomendamos que evalúe el conjunto de permisos resultante para asegurarse de que son adecuados para los usuarios que necesitan acceder al depósito para los registros de conexión.

Políticas de bucket disponibles

La política de bucket que utilices depende de la zona Región de AWS y del tipo de zona. Cada sección expandible que aparece a continuación contiene una política de bucket e información sobre cuándo usar esa política.

Esta política otorga permisos al servicio de entrega de registros especificado. Utilice esta política para los equilibradores de carga en las zonas de disponibilidad y las zonas locales de las siguientes regiones:

  • Asia-Pacífico (Hyderabad)

  • Asia-Pacífico (Melbourne)

  • Europa (España)

  • Europa (Zúrich)

  • Israel (Tel Aviv)

  • Medio Oriente (EAU)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logdelivery.elasticloadbalancing.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*"
    }
  ]
}

Esta política concede permisos al ID de cuenta de Elastic Load Balancing especificado. Utilice esta política para los equilibradores de carga de las zonas de disponibilidad o las zonas locales de las regiones de en la siguiente lista.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::elb-account-id:root"
      },
      "Action": "s3:PutObject",
       "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*"
    }
  ]
}

Sustituya elb-account-id por el ID de Elastic Cuenta de AWS Load Balancing de su región:

  • Este de EE. UU. (Norte de Virginia): 127311923021

  • Este de EE. UU. (Ohio): 033677994240

  • Oeste de EE. UU. (Norte de California): 027434742980

  • Oeste de EE. UU. (Oregón): 797873946194

  • África (Ciudad del Cabo): 098369216593

  • Asia-Pacífico (Hong Kong): 754344448648

  • Asia-Pacífico (Yakarta): 589379963580

  • Asia-Pacífico (Bombay): 718504428378

  • Asia-Pacífico (Osaka): 383597477331

  • Asia-Pacífico (Seúl): 600734575887

  • Asia Pacífico (Singapur): 114774131450

  • Asia Pacífico (Sídney): 783225319266

  • Asia Pacífico (Tokio): 582318560864

  • Canadá (Centro): 985666609251

  • Europa (Fráncfort): 054676820928

  • Europa (Irlanda): 156460612806

  • Europa (Londres): 652711504416

  • Europa (Milán): 635631232127

  • Europa (París): 009996457667

  • Europa (Estocolmo): 897822967062

  • Medio Oriente (Baréin): 076674570225

  • América del Sur (São Paulo): 507241528517

  • AWS GovCloud (US-West) — 048591011584

  • AWS GovCloud (EEUU-Este) — 190560391635

Sustituya my-s3-arn por el ARN de la ubicación de los registros de conexión. El ARN que especifique depende de si planea especificar un prefijo al habilitar los registros de conexión en el paso 3.

  • Ejemplo de ARN con un prefijo

    arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*

  • Ejemplo de ARN sin un prefijo

    arn:aws:s3:::bucket-name/AWSLogs/aws-account-id/*
Usar NotPrincipal cuándo Effect es. Deny

Si la política de bucket de Amazon S3 utiliza Effect el valor Deny e incluye NotPrincipal lo que se muestra en el siguiente ejemplo, asegúrese de que logdelivery.elasticloadbalancing.amazonaws.com esté incluido en la Service lista.

{
"Effect": "Deny",
"NotPrincipal": {
    "Service": [
       "logdelivery.elasticloadbalancing.amazonaws.com",
       "example.com"
},
Para adjuntar una política de bucket para los registros de conexión a su bucket mediante la consola Amazon S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. Seleccione el nombre del bucket para abrir la página de detalles.

  3. Elija Permisos y, a continuación, seleccione Política de bucket, Editar.

  4. Actualice la política de bucket para conceder los permisos necesarios.

  5. Elija Guardar cambios.

Paso 3: Configurar los registros de conexión

Utilice el siguiente procedimiento para configurar los registros de conexión a fin de capturar y entregar los archivos de registro a su bucket de S3.

Requisitos

El bucket debe cumplir los requisitos descritos en el paso 1 y debe adjuntar una política de bucket tal como se describe en el paso 2. Si especifica un prefijo, no debe incluir la cadena "AWSLogs».

Para habilitar los registros de conexión de tu balanceador de cargas mediante la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, seleccione Equilibradores de carga.

  3. Seleccione el nombre del equilibrador de carga para abrir la página de detalles.

  4. En la pestaña Atributos, seleccione Editar.

  5. Para la supervisión, activa los registros de conexión.

  6. En URI de S3, ingrese el URI de S3 correspondiente a los archivos de registro. El URI que especifique depende de si utiliza un prefijo.

    • URI con un prefijo: s3://bucket-name/prefix

    • URI sin un prefijo: s3://bucket-name

  7. Elija Guardar cambios.

Para habilitar los registros de conexión mediante la AWS CLI

Utilice el comando modify-load-balancer-attributes.

Para administrar el bucket de S3 para sus registros de conexión

Asegúrese de deshabilitar los registros de conexión antes de eliminar el depósito que configuró para los registros de conexión. De lo contrario, si hay un nuevo bucket con el mismo nombre y la política de bucket requerida, pero creado en uno del Cuenta de AWS que no eres propietario, Elastic Load Balancing podría escribir los registros de conexión de tu balanceador de carga en este nuevo bucket.

Paso 4: verificar los permisos del bucket

Una vez habilitados los registros de conexión para el balanceador de cargas, Elastic Load Balancing valida el bucket S3 y crea un archivo de prueba para garantizar que la política del bucket especifique los permisos necesarios. Puede utilizar la consola de Amazon S3 para comprobar que se ha creado el archivo de prueba. El archivo de prueba no es un archivo de registro de conexiones real; no contiene registros de ejemplo.

Para comprobar que Elastic Load Balancing ha creado un archivo de prueba en el bucket de S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3.

  2. Seleccione el nombre del depósito que especificó para los registros de conexión.

  3. Vaya al archivo registro de prueba, ELBConnectionLogTestFile. La ubicación depende de si utiliza un prefijo.

    • Ubicación con un prefijo: my-bucket/prefix/AWSLogs/123456789012/ELBConnectionLogTestFile

    • Ubicación sin un prefijo: my-bucket/AWSLogs/123456789012/ELBConnectionLogTestFile

Resolución de problemas

Si recibe un error de acceso denegado, estas pueden ser causas posibles:

  • La política de bucket no concede permiso a Elastic Load Balancing para escribir registros de conexión en el bucket. Compruebe que está utilizando la política de bucket correcta para la región. Compruebe que el ARN del recurso utilice el mismo nombre de bucket que especificó al habilitar los registros de conexión. Compruebe que el ARN del recurso no incluya un prefijo si no lo especificó al habilitar los registros de conexión.

  • El bucket usa una opción de cifrado del lado del servidor no compatible. El bucket debe usar claves administradas por Amazon S3 (SSE-S3).