Abilita i log di connessione per il tuo Application Load Balancer

Quando abiliti i log di connessione per il tuo load balancer, devi specificare il nome del bucket S3 in cui il load balancer memorizzerà i log. Il bucket deve avere una policy di bucket che concede a Elastic Load Balancing l'autorizzazione a scrivere nel bucket.

Fase 1: Crea un bucket S3

Quando abiliti i log di connessione, devi specificare un bucket S3 per i log di connessione. È possibile utilizzare un bucket esistente o creare un bucket specifico per i log di connessione. Il bucket deve soddisfare i seguenti requisiti.

Requisiti

• Il bucket deve trovarsi nella stessa regione del load balancer. Il bucket e il load balancer possono essere di proprietà di account differenti.

• L'unica opzione di crittografia lato server supportata è data dalle chiavi gestite da Amazon S3 (SSE-S3). Per ulteriori informazioni, consulta Chiavi di crittografia gestite da Amazon S3 (SSE-S3).

Per creare un bucket S3 utilizzando la console Amazon S3

1. Apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

2. Seleziona Crea bucket.

3. Nella pagina Crea bucket, segui questi passaggi:

   1. In Nome bucket, immettere il nome del bucket. Il nome deve essere univoco rispetto a tutti i nomi di bucket esistenti in Amazon S3. In alcune regioni , possono esistere restrizioni aggiuntive sui nomi bucket. Per ulteriori informazioni, consulta Restrizioni e limitazioni dei bucket nella Guida per l'utente di Amazon Simple Storage Service.

   2. Per Regione AWS , seleziona la regione in cui è stato creato il sistema di bilanciamento del carico.

   3. Per la crittografia predefinita, scegli le chiavi gestite da Amazon S3 (SSE-S3).

   4. Seleziona Crea bucket.

Fase 2: collegamento di una policy al bucket S3

Il bucket S3 deve disporre di una policy relativa ai bucket che conceda a Elastic Load Balancing l'autorizzazione a scrivere i log di connessione nel bucket. Le policy dei bucket sono una raccolta di istruzioni JSON scritte nella sintassi della policy di accesso per definire le autorizzazioni di accesso per il tuo bucket. Ogni istruzione include informazioni su una singola autorizzazione e contiene una serie di elementi.

Se utilizzi un bucket esistente a cui è già associata una policy, puoi aggiungere l'istruzione per i log di connessione Elastic Load Balancing alla policy. In tal caso, ti consigliamo di valutare il set di autorizzazioni risultante per assicurarti che siano appropriate per gli utenti che devono accedere al bucket per i log di connessione.

Policy di bucket disponibili

La policy del bucket che utilizzerai dipende dalla Regione AWS e dal tipo di zona. Ogni sezione espandibile di seguito contiene una policy del bucket e informazioni su quando utilizzarla.

Regioni disponibili a partire da agosto 2022

Questa policy concede le autorizzazioni al servizio di consegna dei log specificato. Utilizza questa policy per i sistemi di bilanciamento del carico nelle zone di disponibilità e zone locali delle seguenti regioni:

• Asia Pacific (Hyderabad)

• Asia Pacifico (Melbourne)

• Europa (Spagna)

• Europa (Zurigo)

• Israele (Tel Aviv)

• Medio Oriente (Emirati Arabi Uniti)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logdelivery.elasticloadbalancing.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*"
    }
  ]
}

Regioni disponibili prima di agosto 2022

Questa policy concede le autorizzazioni all'ID dell'account del sistema di bilanciamento del carico elastico specificato. Utilizza questa policy per i sistemi di bilanciamento del carico nelle zone di disponibilità o locali nelle regioni elencate qui sotto.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::elb-account-id:root"
      },
      "Action": "s3:PutObject",
       "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*"
    }
  ]
}

Sostituisci elb-account-id con l'ID di Elastic Load Account AWS Balancing per la tua regione:

• Stati Uniti orientali (Virginia settentrionale): 127311923021

• Stati Uniti orientali (Ohio): 033677994240

• Stati Uniti occidentali (California settentrionale): 027434742980

• Stati Uniti occidentali (Oregon): 797873946194

• Africa (Città del Capo): 098369216593

• Asia Pacifico (Hong Kong): 754344448648

• Asia Pacifico (Giacarta) – 589379963580

• Asia Pacifico (Mumbai): 718504428378

• Asia Pacifico (Osaka-Locale): 383597477331

• Asia Pacifico (Seoul): 600734575887

• Asia Pacifico (Singapore): 114774131450

• Asia Pacifico (Sydney): 783225319266

• Asia Pacifico (Tokyo): 582318560864

• Canada (Centrale): 985666609251

• Europa (Francoforte): 054676820928

• Europa (Irlanda): 156460612806

• Europa (Londra): 652711504416

• Europa (Milano): 635631232127

• Europa (Parigi): 009996457667

• Europa (Stoccolma): 897822967062

• Medio Oriente (Bahrein): 076674570225

• Sud America (San Paolo): 507241528517

• AWS GovCloud (Stati Uniti occidentali) — 048591011584

• AWS GovCloud (Stati Uniti orientali) — 190560391635

Sostituisci my-s3-arn con l'ARN della posizione per i log di connessione. L'ARN specificato dipende dal fatto che si intenda specificare un prefisso quando si abilitano i registri di connessione nel passaggio 3.

• Esempio di ARN con un prefisso

  arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*

• Esempio di ARN senza prefisso

  arn:aws:s3:::bucket-name/AWSLogs/aws-account-id/*

Usare when isNotPrincipal. EffectDeny

Se la policy sui bucket di Amazon S3 utilizza Effect il valore Deny e include NotPrincipal come mostrato nell'esempio seguente, assicurati che logdelivery.elasticloadbalancing.amazonaws.com sia incluso nell'elenco. Service

{
"Effect": "Deny",
"NotPrincipal": {
    "Service": [
       "logdelivery.elasticloadbalancing.amazonaws.com",
       "example.com"
},

Per allegare una policy bucket per i log di connessione al tuo bucket utilizzando la console Amazon S3

1. Apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

2. Seleziona il nome del bucket per aprirne la pagina dei dettagli.

3. Scegli Autorizzazioni quindi seleziona Policy del bucket, Modifica.

4. Crea o aggiorna la policy del bucket per concedere le autorizzazioni richieste.

5. Seleziona Salvataggio delle modifiche.

Passaggio 3: configura i log di connessione

Utilizza la seguente procedura per configurare i log di connessione per acquisire e inviare i file di registro al tuo bucket S3.

Requisiti

Il bucket deve soddisfare i requisiti descritti nella fase 1 e devi collegare una policy di bucket come descritto nella fase 2. Se si specifica un prefisso, questo non deve includere la stringa "». AWSLogs

Per abilitare i registri di connessione per il sistema di bilanciamento del carico utilizzando la console

1. Apri la console Amazon EC2 all'indirizzo https://console.aws.amazon.com/ec2/.

2. Selezionare Sistemi di bilanciamento del carico nel riquadro di navigazione.

3. Seleziona il nome del sistema di bilanciamento del carico per aprirne la pagina dei dettagli.

4. Nella scheda Attributi, scegli Modifica.

5. Per il monitoraggio, attiva i registri di connessione.

6. In URI S3, inserisci l'URI S3 per i tuoi file di log. L'URI specificato dipende dall'utilizzo di un prefisso.

   • URI con prefisso: s3://bucket-name/prefix

   • URI senza prefisso: s3://bucket-name

7. Seleziona Salvataggio delle modifiche.

Per abilitare i registri di connessione utilizzando il AWS CLI

Utilizza il comando modify-load-balancer-attributes.

Per gestire il bucket S3 per i log di connessione

Assicurati di disabilitare i log di connessione prima di eliminare il bucket che hai configurato per i log di connessione. Altrimenti, se esiste un nuovo bucket con lo stesso nome e la policy del bucket richiesta ma creato in un bucket di Account AWS cui non sei proprietario, Elastic Load Balancing potrebbe scrivere i log di connessione del tuo load balancer su questo nuovo bucket.

Fase 4: verifica delle autorizzazioni del bucket

Dopo aver abilitato i log di connessione per il sistema di bilanciamento del carico, Elastic Load Balancing convalida il bucket S3 e crea un file di test per garantire che la policy del bucket specifichi le autorizzazioni richieste. Puoi utilizzare la console Amazon S3 per verificare che il file di test sia stato creato. Il file di test non è un vero file di registro delle connessioni; non contiene record di esempio.

Per verificare che Elastic Load Balancing abbia creato un file di test nel bucket S3

1. Apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

2. Seleziona il nome del bucket che hai specificato per i log di connessione.

3. Accedi al file di test, ELBConnectionLogTestFile. La posizione dipende dall'utilizzo di un prefisso.

   • Posizione con prefisso: my-bucket/prefix/AWSLogs/123456789012/ELBConnectionLogTestFile

   • Posizione senza prefisso: my-bucket/AWSLogs/123456789012/ELBConnectionLogTestFile

Risoluzione dei problemi

L'errore di accesso negato può essere provocato da una delle cause elencate di seguito:

• La policy del bucket non concede a Elastic Load Balancing l'autorizzazione a scrivere i log di connessione nel bucket. Verifica di utilizzare la policy di bucket corretta per la regione. Verifica che l'ARN della risorsa utilizzi lo stesso nome di bucket specificato quando hai abilitato i log di connessione. Verifica che l'ARN della risorsa non includa un prefisso se non hai specificato un prefisso quando hai abilitato i log di connessione.

• Il bucket utilizza un'opzione di crittografia lato server non supportata. Il bucket deve utilizzare chiavi gestite da Amazon S3 (SSE-S3).