Activer les journaux d'accès pour votre Classic Load Balancer

Pour activer les journaux d'accès pour votre équilibreur de charge, vous devez spécifier le nom du compartiment Amazon S3 dans lequel l'équilibreur de charge stockera les journaux. Vous devez également attacher une politique de compartiment à ce compartiment, laquelle accorde à Elastic Load Balancing l'autorisation d'écrire dans le compartiment.

Étape 1 : Créer un compartiment S3

Lorsque vous activez les journaux d'accès, vous devez spécifier un compartiment S3 pour les fichiers de journaux d'accès. Le compartiment doit répondre aux critères suivants :

Prérequis

• Le compartiment doit se situer dans la même région que l'équilibreur de charge. Le compartiment et l'équilibreur de charge peuvent être détenus par des comptes différents.

• La seule option de chiffrement côté serveur qui soit prise en charge est celle des clés gérées par Amazon S3 (SSE-S3). Pour plus d'informations, veuillez consulter la rubrique Clés de chiffrement gérées par Amazon S3 (SSE-S3).

Pour créer un compartiment S3 vide à l'aide de la console Amazon S3

1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

2. Choisissez Create bucket (Créer un compartiment).

3. Sur la page Créer un compartiment, procédez de la façon suivante :

   1. Pour Nom du compartiment, saisissez le nom de votre compartiment. Ce nom doit être unique parmi tous les noms de compartiment existants dans Amazon S3. Dans certaines régions, des restrictions supplémentaires peuvent être appliquées aux noms de compartiment. Pour de plus amples informations, consultez Limites et restrictions applicables aux compartiments dans le Guide de l'utilisateur Amazon Simple Storage Service.

   2. Pour AWS Region (Région ), sélectionnez la région où vous avez créé votre équilibreur de charge.

   3. Pour le chiffrement par défaut, choisissez des clés gérées par Amazon S3 (SSE-S3).

   4. Choisissez Create bucket (Créer un compartiment).

Étape 2 : Attacher une politique à votre compartiment S3

Votre compartiment S3 doit avoir une politique de compartiment qui accorde à Elastic Load Balancing l'autorisation d'écrire les journaux d'accès dans le compartiment. Les stratégies de compartiment sont une collection d'instructions JSON écrites dans le langage d'access policy permettant de définir des autorisations d'accès pour votre compartiment. Chaque instruction comporte des informations relatives à une seule autorisation et contient une série d'éléments.

Si vous utilisez un compartiment existant qui comporte déjà une politique attachée, vous pouvez ajouter la déclaration pour le journaux d'accès Elastic Load Balancing à la politique. Si vous procédez ainsi, nous vous recommandons d'évaluer l'ensemble d'autorisations résultant pour vous s'assurer que celles-ci sont appropriées pour les utilisateurs qui ont besoin d'accéder au compartiment pour trouver des journaux d'accès.

Stratégies de compartiment disponibles

La stratégie de compartiment que vous utiliserez dépend de la Région AWS du compartiment. Chaque section extensible ci-dessous contient une stratégie de compartiment et des informations indiquant quand utiliser cette stratégie.

Régions disponibles à partir d'août 2022 ou ultérieurement

Cette politique accorde des autorisations au service de livraison de journaux spécifié. Utilisez cette politique pour les équilibreurs de charge dans les zones de disponibilité et les zones locales des régions suivantes :

• Asie-Pacifique (Hyderabad)

• Asie-Pacifique (Melbourne)

• Europe (Espagne)

• Europe (Zurich)

• Israël (Tel Aviv)

• Moyen-Orient (EAU)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logdelivery.elasticloadbalancing.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*"
    }
  ]
}

Régions disponibles avant août 2022

Cette politique accorde des autorisations à l'ID de compte Elastic Load Balancing spécifié. Utilisez cette politique pour les équilibreurs de charge dans les zones de disponibilité ou les zones locales des régions de la liste ci-dessous.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::elb-account-id:root"
      },
      "Action": "s3:PutObject",
      "Resource": "my-s3-arn"
    }
  ]
}

Remplacez elb-account-id par l'ID du Compte AWS pour Elastic Load Balancing pour votre région :

• USA Est (Virginie du Nord) : 127311923021

• USA Est (Ohio) : 033677994240

• USA Ouest (Californie du Nord) : 027434742980

• USA Ouest (Oregon) : 797873946194

• Afrique (Le Cap) : 098369216593

• Asie-Pacifique (Hong Kong) : 754344448648

• Asie-Pacifique (DJakarta) – 589379963580

• Asie-Pacifique (Mumbai) : 718504428378

• Asie-Pacifique (Osaka) : 383597477331

• Asie-Pacifique (Séoul) : 600734575887

• Asie-Pacifique (Singapour) : 114774131450

• Asie-Pacifique (Sydney) : 783225319266

• Asie-Pacifique (Tokyo) : 582318560864

• Canada (Centre) : 985666609251

• Europe (Francfort) : 054676820928

• Europe (Irlande) : 156460612806

• Europe (Londres) : 652711504416

• Europe (Milan) : 635631232127

• Europe (Paris) : 009996457667

• Europe (Stockholm) : 897822967062

• Moyen-Orient (Bahreïn) : 076674570225

• Amérique du Sud (São Paulo) : 507241528517

• AWS GovCloud (US, côte ouest) : 048591011584

• AWS GovCloud (US, côte est) : 190560391635

Remplacez my-s3-arn par l'ARN de l'emplacement de vos journaux d'accès. L'ARN que vous spécifiez dépend de votre intention de spécifier ou non un préfixe lorsque vous activez les journaux d'accès à l'étape 3.

• Exemple d'ARN avec un préfixe

  arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*

• Exemple d'ARN sans préfixe

  arn:aws:s3:::bucket-name/AWSLogs/aws-account-id/*

Pour associer une politique de compartiment de journaux d'accès à votre compartiment à l’aide de la console Amazon S3

1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

2. Sélectionnez le nom du compartiment pour ouvrir sa page de détails.

3. Choisissez Permissions (Autorisations), Bucket policy (Politique de compartiment), puis Edit (Modifier).

4. Mettez à jour la politique de compartiment pour accorder les autorisations requises.

5. Sélectionnez Save Changes (Enregistrer les modifications).

Étape 3 : configurer des journaux d'accès

Utilisez la procédure suivante pour configurer des journaux d'accès afin de capturer et de diffuser des fichiers journaux vers votre compartiment S3.

Prérequis

Le compartiment doit répondre aux exigences décrites à l'étape 1 et vous devez y associer une politique de compartiment comme décrit à l'étape 2. Si vous spécifiez un préfixe, celui-ci ne doit pas inclure la chaîne « AWSLogs ».

New EC2 experience

Pour configurer les journaux d'accès pour votre équilibreur de charge à l'aide de la console

1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

2. Dans le panneau de navigation, sous Load Balancing (Équilibrage de charge), choisissez Load Balancers (Équilibreurs de charge).

3. Sélectionnez le nom de votre équilibreur de charge afin d'ouvrir sa page de détails.

4. Dans l'onglet Attributes, choisissez Edit.

5. Sur la page Edit load balancer attributes, dans la section Monitoring, procédez comme suit :

   1. Activer Access logs.

   2. Pour S3 URI, saisissez l'URI S3 de vos fichiers journaux. L'URI que vous spécifiez varie selon que vous utilisez ou non un préfixe.

      • URI avec un préfixe : s3://bucket-name/prefix

      • URI sans préfixe : s3://bucket-name

   3. Conservez Logging interval à 60 minutes - default.

   4. Sélectionnez Save Changes (Enregistrer les modifications).

Old EC2 experience

Pour configurer les journaux d'accès pour votre équilibreur de charge à l'aide de la console

1. Ouvrez la console Amazon EC2 sur https://console.aws.amazon.com/ec2/.

2. Dans le panneau de navigation, sous Load Balancing (Équilibrage de charge), choisissez Load Balancers (Équilibreurs de charge).

3. Sélectionnez le nom de votre équilibreur de charge afin d'ouvrir sa page de détails.

4. Sous l'onglet Description, choisissez Configure access logs (Configurer les journaux d'accès).

5. Sur la page Configure access logs (Configurer les journaux d'accès), procédez de la façon suivante :

   1. Sélectionnez Activer les journaux d'accès.

   2. Conservez pour Interval la valeur par défaut, 60 minutes.

   3. Pour l'emplacement S3, saisissez l'URI S3 de vos fichiers journaux. L'URI que vous spécifiez varie selon que vous utilisez ou non un préfixe.

      • URI avec un préfixe : s3://bucket-name/prefix

      • URI sans préfixe : s3://bucket-name

   4. Choisissez Enregistrer.

Pour configurer les journaux d'accès pour votre équilibreur de charge à l'aide de la AWS CLI

Commencez par créer un fichier .json qui permet à Elastic Load Balancing de capturer et fournir des journaux de toutes les 60 minutes au compartiment S3 que vous avez créé pour les journaux :

{ 
  "AccessLog": {
    "Enabled": true,
    "S3BucketName": "my-loadbalancer-logs",
    "EmitInterval": 60,
    "S3BucketPrefix": "my-app"
  }
}

Ensuite, spécifiez le fichier .json dans la commande modify-load-balancer-attributes comme suit :

aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes file://my-json-file.json

Voici un exemple de réponse.

{
    "LoadBalancerAttributes": {
        "AccessLog": {
            "Enabled": true,
            "EmitInterval": 60,
            "S3BucketName": "my-loadbalancer-logs",
            "S3BucketPrefix": "my-app"
        }
    },
    "LoadBalancerName": "my-loadbalancer"
}

Pour gérer le compartiment S3 pour vos journaux d'accès

Assurez-vous de désactiver les journaux d'accès avant de supprimer le compartiment que vous avez configuré pour ces derniers. Sinon, s'il existe un nouveau compartiment avec le même nom et la politique de compartiment requise créée dans un Compte AWS que vous ne possédez pas, Elastic Load Balancing risque d'écrire les journaux d'accès pour votre équilibreur de charge dans ce nouveau compartiment.

Étape 4 : vérifier les autorisations du compartiment

Une fois que les journaux d'accès sont activés pour votre équilibreur de charge, Elastic Load Balancing valide le compartiment S3 et crée un fichier de test pour s'assurer que la politique de compartiment spécifie les autorisations requises. Vous pouvez utiliser la console S3 pour vérifier que le fichier test a été créé. Le fichier test n'est pas un fichier journal d'accès réel ; il ne contient pas de modèles d'enregistrement.

Pour vérifier qu'Elastic Load Balancing a créé un fichier test dans votre compartiment S3

1. Ouvrez la console Amazon S3 sur https://console.aws.amazon.com/s3/.

2. Sélectionnez le nom du compartiment S3 que vous avez spécifié pour les journaux d'accès.

3. Accédez au fichier test, ELBAccessLogTestFile. L'emplacement varie selon que vous utilisez ou non un préfixe.

   • Emplacement avec un préfixe : my-bucket/prefix/AWSLogs/123456789012/ELBAccessLogTestFile

   • Emplacement sans préfixe : my-bucket/AWSLogs/123456789012/ELBAccessLogTestFile

Résolution des problèmes

Accès refusé pour le compartiment : bucket-name. Veuillez vérifier l'autorisation de S3bucket

Si vous recevez une erreur, les éléments suivants sont des causes possibles :

• La politique de compartiment n’accorde pas à Elastic Load Balancing l'autorisation d'écrire des journaux d’accès dans le compartiment. Vérifiez que vous utilisez la bonne politique en matière de compartiments pour la région. Vérifiez que l'ARN de la ressource utilise le même nom de compartiment que celui que vous avez spécifié lorsque vous avez activé les journaux d'accès. Vérifiez que l'ARN de la ressource n'inclut pas de préfixe si vous n'en avez pas spécifié lorsque vous avez activé les journaux d'accès.

• Le compartiment utilise une option de chiffrement côté serveur non prise en charge. Le compartiment doit utiliser des clés gérées par Amazon S3 (SSE-S3).