VPC Lattice のアクセスログ

アクセスログには、VPC Lattice サービスに関する詳細情報が記録されます。これらのアクセスログを使用して、トラフィックパターンを分析し、ネットワーク内のすべてのサービスを監査できます。

アクセスログはオプションであり、デフォルトでは無効になっています。アクセスログを有効にした後は、いつでも無効にできます。

料金

アクセスログが公開されると料金が発生します。ユーザーに代わって AWS ネイティブに公開されるログは、公開ログと呼ばれます。提供されるログの料金の詳細については、「Amazon CloudWatch 料金表」、「ログ」を選択し、「提供されるログ」で料金表を確認してください。

アクセスログを有効にするために必要な IAM アクセス許可

アクセスログを有効にしてログを送信先に送信するには、使用している IAM ユーザー、グループ、またはロールにアタッチされたポリシーで次のアクションが必要です。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Sid": "ManageVPCLatticeAccessLogSetup",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "vpc-lattice:CreateAccessLogSubscription",
                "vpc-lattice:GetAccessLogSubscription",
                "vpc-lattice:UpdateAccessLogSubscription",
                "vpc-lattice:DeleteAccessLogSubscription",
                "vpc-lattice:ListAccessLogSubscriptions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}            

詳細については、[AWS Identity and Access Management ユーザーガイド]の「IAM ID アクセス許可の追加と削除」を参照してください。

IAM ユーザー、IAM グループ、または使用している IAM ロールにアタッチされているポリシーを更新したら、アクセスログの有効化 に進みます。

アクセスログの送信先

アクセスログは、次の宛先に送信できます。

Amazon CloudWatch Logs

• VPC Lattice は通常 2 分以内にログを CloudWatch Logs に配信します。ただし、実際のログ配信時間はベストエフォートベースであり、さらにレイテンシーが発生する可能性があることに注意してください。

• CloudWatch ロググループに特定のアクセス許可がない場合、リソースポリシーが自動的に作成され、ロググループに追加されます。詳細については、「Amazon ユーザーガイド」の「ログに送信される CloudWatch ログ」を参照してください。 CloudWatch

• に送信されるアクセスログは、 CloudWatch コンソールの CloudWatch ロググループにあります。詳細については、「Amazon CloudWatch ユーザーガイド」の「ログに送信された CloudWatch ログデータを表示する」を参照してください。

Amazon S3

• VPC Lattice は通常 6 分以内に Amazon S3 にログを配信します。ただし、実際のログ配信時間はベストエフォートベースであり、さらにレイテンシーが発生する可能性があることに注意してください。

• バケットに特定の権限がない場合は、バケットポリシーが自動的に作成され、Amazon S3 バケットに追加されます。詳細については、「Amazon ユーザーガイド」の「Amazon S3 に送信されたログ」を参照してください。 CloudWatch

• Amazon S3 に送信されるアクセスログには、次の命名規則が使用されます。

  [bucket]/[prefix]/AWSLogs/[accountId]/VpcLattice/AccessLogs/[region]/[YYYY/MM/DD]/[resource-id]/[accountId]_VpcLatticeAccessLogs_[region]_[resource-id]_YYYYMMDDTHHmmZ_[hash].json.gz

Amazon Data Firehose

• VPC Lattice は通常、2 分以内に Firehose にログを配信します。ただし、実際のログ配信時間はベストエフォートベースであり、さらにレイテンシーが発生する可能性があることに注意してください。

• アクセスログを Amazon Data Firehoseに送信する権限を VPC Lattice に付与するサービスにリンクされたロールが自動的に作成されます。この自動ロール作成が正常に行われるには、ユーザーが iam:CreateServiceLinkedRole アクションに対する許可を持っている必要があります。詳細については、「Amazon CloudWatch ユーザーガイド」の「 に送信されたログ Amazon Data Firehose」を参照してください。

• に送信されたログの表示の詳細については Amazon Data Firehose、「 Amazon Data Firehose デベロッパーガイド」の「Amazon Kinesis Data Streams のモニタリング」を参照してください。

アクセスログの有効化

次の手順を実行して、アクセスログを取得し、選択した宛先に配信するように設定します。

コンテンツ

• コンソールを使用してアクセスログを有効にする
• を使用してアクセスログを有効にする AWS CLI

コンソールを使用してアクセスログを有効にする

サービスネットワークまたはサービスのアクセスログは、作成時に有効にできます。次の手順で説明するように、サービスネットワークまたはサービスの作成後に、アクセスログを有効にすることもできます。

コンソールを使用して基本サービスを作成するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. サービスネットワークまたはサービスを選択します。

3. [アクション]、[ログ設定を編集] の順に選択します。

4. [アクセスログ] トグルスイッチをオンにします。

5. アクセスログの配信先を次のように追加します。

   • CloudWatch ロググループを選択し、ロググループを選択します。ロググループを作成するには、 でロググループを作成する CloudWatchを選択します。

   • [S3 バケット] を選択し、プレフィックスを含む S3 バケットパスを入力します。S3 バケットを検索するには、[S3 を参照] を選択します。

   • [Kinesis Data Firehose 配信ストリーム] を選択し、配信ストリームを選択します。配信ストリームを作成するには、[Kinesis で配信ストリームを作成] を選択します。

6. [変更の保存] をクリックします。

を使用してアクセスログを有効にする AWS CLI

CLI コマンドを使用してcreate-access-log-subscription、サービスネットワークまたはサービスのアクセスログを有効にします。

アクセスログの内容

次の表は、アクセスログのエントリのフィールドを示しています。

フィールド	説明	形式
hostHeader	リクエストの権限ヘッダー。	string
sslCipher	クライアント TLS 接続を確立するために使用される暗号セットの OpenSSL 名。	string
serviceNetworkArn	サービスネットワーク ARN。	arn:aws:vpc-lattice:region:account:servicenetwork/id
resolvedUser	認証が有効な場合に認証が行われたときのユーザーの ARN。	null | ARN | "Anonymous" | "Unknown"
authDeniedReason	認証が有効な場合にアクセスが拒否される理由。	null | "Service" | "Network" | "Identity"
requestMethod	リクエストのメソッドヘッダー。	string
targetGroupArn	ターゲットホストが属するターゲットホストグループ。	string
tlsVersion	TLS バージョン。	TLSvx
userAgent	ユーザーエージェントヘッダー。	string
ServerNameIndication	[HTTPS のみ] ssl 接続ソケットに設定された Server Name Indication (SNI) の値。	string
destinationVpcId	送信先 VPC ID。	vpc-xxxxxxxx
sourceIpPort	送信元の IP アドレスとポート。	ip:port
targetIpPort	ターゲットの IP アドレスとポート。	ip:port
serviceArn	サービス ARN。	arn:aws:vpc-lattice:region:account:service/id
sourceVpcId	ソース VPC ID。	vpc-xxxxxxxx
requestPath	リクエストのパス。	LatticePath?:path
startTime	リクエストの開始時刻。	YYYY-MM-DDTHH:MM:SSZ
protocol	プロトコル。現在は HTTP/1.1 または HTTP/2。	string
responseCode	HTTP レスポンスコード。最終ヘッダーのレスポンスコードのみが記録されます。詳細については、「アクセスログのトラブルシューティング」を参照してください。	integer
bytesReceived	受信した本文とヘッダーのバイト数。	integer
bytesSent	送信された本文とヘッダーのバイト数。	integer
duration	リクエストの開始時刻から最後のバイトが送信されるまでの合計期間 (ミリ秒単位)。	integer
requestToTargetDuration	リクエストの開始時刻から最後のバイトがターゲットに送信されるまでの合計期間 (ミリ秒単位)。	integer
responseFromTargetDuration	リクエストの最初のバイトがターゲットホストから読み取られてから、最後のバイトがクライアントに送信されるまでの合計期間 (ミリ秒単位)。	integer
grpcResponseCode	gRPC レスポンスコード。詳細については、「Status codes and their use in gRPC」を参照してください。このフィールドは、サービスが gRPC をサポートしている場合にのみ記録されます。	integer
callerPrincipal	認証されたプリンシパル。	string
callerX509SubjectCN	サブジェクト名 (CN)。	string
callerX509IssuerOU	発行者 (OU)。	string
callerX509SANNameCN	発行者の代替 (名前/CN)。	string
callerX509SANDNS	サブジェクト代替名 (DNS)。	string
callerX509SANURI	サブジェクト代替名 (URI)。	string
sourceVpcArn	リクエストが発生した VPC の ARN。	arn:aws:ec2:region:account:vpc/id

例

ログエントリの例を示します。

{
    "hostHeader": "example.com",
    "sslCipher": "-",
    "serviceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/svn-1a2b3c4d",
    "resolvedUser": "Unknown",
    "authDeniedReason": "null",
    "requestMethod": "GET",
    "targetGroupArn": "arn:aws:vpc-lattice:us-west-2:123456789012:targetgroup/tg-1a2b3c4d",
    "tlsVersion": "-",
    "userAgent": "-",
    "serverNameIndication": "-",
    "destinationVpcId": "vpc-0abcdef1234567890",
    "sourceIpPort": "178.0.181.150:80",
    "targetIpPort": "131.31.44.176:80",
    "serviceArn": "arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-1a2b3c4d",
    "sourceVpcId": "vpc-0abcdef1234567890",
    "requestPath": "/billing",
    "startTime": "2023-07-28T20:48:45Z",
    "protocol": "HTTP/1.1",
    "responseCode": 200,
    "bytesReceived": 42,
    "bytesSent": 42,
    "duration": 375,
    "requestToTargetDuration": 1,
    "responseFromTargetDuration": 1,
    "grpcResponseCode": 1
}

アクセスログのトラブルシューティング

このセクションでは、アクセスログに表示される可能性のある HTTP エラーコードについて説明します。

エラーコード	考えられる原因
HTTP 400: Bad Request	クライアントが HTTP 仕様を満たさない不正な形式のリクエストを送信した。 リクエストヘッダーが全体で 60,000 を超えているか、ヘッダーが 100 を超えている。 クライアントが、リクエスト本文全体を送信する前に接続を閉じた。
HTTP 403: Forbidden	認証はサービスに対して設定されているが、受信リクエストは認証も承認もされていない。
HTTP 404: Non Existent Service	存在しないサービスに接続しようとしているか、適切なサービスネットワークに登録されていない。
HTTP 500: 内部サーバーエラー	VPC Lattice でターゲットに接続できないなどのエラーが発生した。
HTTP 502: Bad Gateway	VPC Lattice でエラーが発生した。