Application Load Balancer 액세스 로그 활성화 - Elastic Load Balancing
1단계: S3 버킷 생성2단계: S3 버킷에 정책 연결3단계: 액세스 로그 구성4단계: 버킷 권한 확인문제 해결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Application Load Balancer 액세스 로그 활성화

로드 밸런서에 대한 액세스 로그를 활성화할 때는 로드 밸런서가 로그를 저장할 S3 버킷의 이름을 지정해야 합니다. 버킷에 액세스 로그를 쓰는 Elastic Load Balancing 권한을 부여하는 버킷 정책이 이 버킷에 있어야 합니다.

1단계: S3 버킷 생성

액세스 로그를 활성화할 때는 반드시 액세스 로그에 대한 S3 버킷을 지정해야 합니다. 기존 버킷을 사용하거나 액세스 로그 전용 버킷을 생성할 수 있습니다. 버킷은 다음 요구 사항을 충족해야 합니다.

요구 사항

  • 버킷은 로드 밸런서와 같은 리전에 있어야 합니다. 서로 다른 계정에서 버킷과 로드 밸런서를 소유할 수 있습니다.

  • 지원되는 유일한 서버 측 암호화 옵션은 Amazon S3 관리 키 (-S3) 입니다. SSE 자세한 내용은 Amazon S3 관리형 암호화 키 (SSE-S3) 를 참조하십시오.

Amazon S3 콘솔을 사용하여 S3 버킷에 폴더를 생성하려면

  1. 에서 Amazon S3 콘솔을 엽니다 https://console.aws.amazon.com/s3/.

  2. 버킷 만들기를 선택합니다.

  3. [Create a bucket] 페이지에서 다음과 같이 실행합니다.

    1. [Bucket Name]에서 버킷 이름을 입력합니다. 선택한 이름은 Amazon S3에 있는 어떤 기존 버킷 이름과도 중복되지 않아야 합니다. 일부 리전에서는 버킷 이름에 대한 추가 제한이 있을 수 있습니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서Bucket restrictions and limitations을 참조하세요.

    2. AWS 리전의 경우 로드 밸런서를 생성한 리전을 선택합니다.

    3. 기본 암호화에서는 Amazon S3 관리 키 (SSE-S3) 를 선택합니다.

    4. 버킷 생성을 선택합니다.

2단계: S3 버킷에 정책 연결

버킷에 액세스 로그를 쓰는 Elastic Load Balancing 권한을 부여하는 버킷 정책이 S3 버킷에 있어야 합니다. 버킷 정책은 버킷에 대한 액세스 권한을 정의하기 위해 액세스 정책 언어로 작성된 JSON 명령문 모음입니다. 각 문에는 단일 권한에 대한 정보와 일련의 요소들이 포함되어 있습니다.

연결된 정책이 이미 있는 기존 버킷을 사용하는 Elastic Load Balancing 액세스 로그에 대한 문을 정책에 추가할 수 있습니다. 그렇게 하는 경우, 결과적인 액세스 권한 집합을 평가하여 해당 집합이 액세스 로그에 대한 버킷에 액세스해야 하는 사용자에게 적절한 권한인지 확인하는 것이 좋습니다.

사용 가능한 버킷 정책

사용할 버킷 정책은 영역 AWS 리전 및 유형에 따라 다릅니다. 아래의 확장 가능한 각 섹션에는 버킷 정책과 해당 정책을 사용해야 하는 경우에 대한 정보가 포함되어 있습니다.

이 정책은 지정된 로그 전송 서비스에 권한을 부여합니다. 이 정책을 다음 리전의 가용 영역 및 로컬 영역의 로드 밸런서에 사용하세요.

  • 아시아 태평양(하이데라바드)

  • 아시아 태평양(멜버른)

  • 캐나다 서부(캘거리)

  • 유럽(스페인)

  • 유럽(취리히)

  • 이스라엘(텔아비브)

  • 중동 (UAE)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logdelivery.elasticloadbalancing.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "my-s3-arn"
    }
  ]
}

Replace my-s3-arn 액세스 로그의 위치와 함께 ARN 지정하는 ARN 위치는 3단계에서 액세스 로그를 활성화할 때 접두사를 지정할 계획인지 여부에 따라 달라집니다.

  • ARN접두사가 포함된 형식

    arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*

    예ARN, 여기서 bucket-namemy-s3-bucket,prefix 입니다my-prefix, 그리고 aws-account-id 입니다 111122223333

    arn:aws:s3:::my-s3-bucket/my-prefix/AWSLogs/111122223333/*

  • ARN접두사가 없는 형식

    arn:aws:s3:::bucket-name/AWSLogs/aws-account-id/*

    예ARN, 여기서 bucket-namemy-s3-bucket,aws-account-id 입니다 111122223333

    arn:aws:s3:::my-s3-bucket/AWSLogs/111122223333/*
사용 NotPrincipal 시기는 Effect 언제입니까Deny?

Amazon S3 버킷 정책에서 아래 Deny 예와 NotPrincipal 같이 값을 사용하고 Effect 포함하는 경우 해당 항목이 Service 목록에 포함되어 logdelivery.elasticloadbalancing.amazonaws.com 있는지 확인하십시오.

{
  "Effect": "Deny",
  "NotPrincipal": {
    "Service": [
       "logdelivery.elasticloadbalancing.amazonaws.com",
       "example.com"
    ]
  }
},

이 정책은 지정된 Elastic Load Balancing 계정 ID에 권한을 부여합니다. 이 정책은 아래 목록에 기재된 리전의 가용 영역 또는 로컬 영역의 로드 밸런서에 사용하세요.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::elb-account-id:root"
      },
      "Action": "s3:PutObject",
      "Resource": "my-s3-arn"
    }
  ]
}

Replace elb-account-id 해당 지역의 Elastic Load Balancing용 ID를 사용하여: AWS 계정

  • 미국 동부(버지니아 북부) – 127311923021

  • 미국 동부(오하이오) – 033677994240

  • 미국 서부(캘리포니아 북부) – 027434742980

  • 미국 서부(오레곤) – 797873946194

  • 아프리카(케이프타운) – 098369216593

  • 아시아 태평양(홍콩) – 754344448648

  • 아시아 태평양(자카르타) – 589379963580

  • 아시아 태평양(뭄바이) – 718504428378

  • 아시아 태평양(오사카) – 383597477331

  • 아시아 태평양(서울) – 600734575887

  • 아시아 태평양(싱가포르) – 114774131450

  • 아시아 태평양(시드니) – 783225319266

  • 아시아 태평양(도쿄) – 582318560864

  • 캐나다(중부) – 985666609251

  • 유럽(프랑크푸르트) – 054676820928

  • 유럽(아일랜드) – 156460612806

  • 유럽(런던) – 652711504416

  • 유럽(밀라노) – 635631232127

  • 유럽(파리) – 009996457667

  • 유럽(스톡홀름) – 897822967062

  • 중동(바레인) – 076674570225

  • 남아메리카(상파울루) – 507241528517

Replace my-s3-arn 액세스 로그의 위치와 함께. ARN 지정하는 ARN 위치는 3단계에서 액세스 로그를 활성화할 때 접두사를 지정할 계획인지 여부에 따라 달라집니다.

  • ARN접두사가 포함된 형식

    arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*

    예ARN, 여기서 bucket-namemy-s3-bucket,prefix 입니다my-prefix, 그리고 aws-account-id 입니다 111122223333

    arn:aws:s3:::my-s3-bucket/my-prefix/AWSLogs/111122223333/*

  • ARN접두사가 없는 형식

    arn:aws:s3:::bucket-name/AWSLogs/aws-account-id/*

    예ARN, 여기서 bucket-namemy-s3-bucket,aws-account-id 입니다 111122223333

    arn:aws:s3:::my-s3-bucket/AWSLogs/111122223333/*
사용 NotPrincipal 시기는 Effect 언제입니까Deny?

Amazon S3 버킷 정책에서 아래 Deny 예와 NotPrincipal 같이 값을 사용하고 Effect 포함하는 경우 해당 항목이 Service 목록에 포함되어 logdelivery.elasticloadbalancing.amazonaws.com 있는지 확인하십시오.

{
  "Effect": "Deny",
  "NotPrincipal": {
    "Service": [
       "logdelivery.elasticloadbalancing.amazonaws.com",
       "example.com"
    ]
  }
},

이 정책은 지정된 Elastic Load Balancing 계정 ID에 권한을 부여합니다. 아래 목록에 있는 AWS GovCloud (US) 지역의 가용 영역 또는 Local Zone에 있는 로드 밸런서에 이 정책을 사용하십시오.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws-us-gov:iam::elb-account-id:root"
      },
      "Action": "s3:PutObject",
      "Resource": "my-s3-arn"
    }
  ]
}

Replace elb-account-id 해당 AWS GovCloud (US) 지역의 Elastic Load Balancing용 ID를 사용하여: AWS 계정

  • AWS GovCloud (미국 서부) — 048591011584

  • AWS GovCloud (미국 동부) — 190560391635

Replace my-s3-arn 액세스 로그의 ARN 위치와 함께 지정하는 ARN 위치는 3단계에서 액세스 로그를 활성화할 때 접두사를 지정할 계획인지 여부에 따라 달라집니다.

  • ARN접두사가 포함된 형식

    arn:aws-us-gov:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*

    예ARN, 여기서 bucket-namemy-s3-bucket,prefix 입니다my-prefix, 그리고 aws-account-id 입니다 111122223333

    arn:aws-us-gov:s3:::my-s3-bucket/my-prefix/AWSLogs/111122223333/*

  • ARN접두사가 없는 형식

    arn:aws-us-gov:s3:::bucket-name/AWSLogs/aws-account-id/*

    예ARN, 여기서 bucket-namemy-s3-bucket,aws-account-id 입니다 111122223333

    arn:aws-us-gov:s3:::my-s3-bucket/AWSLogs/111122223333/*
사용 NotPrincipal 시기는 Effect 언제입니까Deny?

Amazon S3 버킷 정책에서 아래 Deny 예와 NotPrincipal 같이 값을 사용하고 Effect 포함하는 경우 해당 항목이 Service 목록에 포함되어 logdelivery.elasticloadbalancing.amazonaws.com 있는지 확인하십시오.

{
  "Effect": "Deny",
  "NotPrincipal": {
    "Service": [
       "logdelivery.elasticloadbalancing.amazonaws.com",
       "example.com"
    ]
  }
},

다음 정책은 지정된 로그 전송 서비스에 권한을 부여합니다. Outposts 영역의 로드 밸런서에 이 정책을 사용하세요.

{
    "Effect": "Allow",
    "Principal": {
        "Service": "logdelivery.elb.amazonaws.com"
    },
    "Action": "s3:PutObject",
    "Resource": "my-s3-arn,
    "Condition": {
        "StringEquals": {
            "s3:x-amz-acl": "bucket-owner-full-control"
        }
    }
}

Replace my-s3-arn 액세스 로그의 위치와 함께. ARN 지정하는 ARN 위치는 3단계에서 액세스 로그를 활성화할 때 접두사를 지정할 계획인지 여부에 따라 달라집니다.

  • ARN접두사가 포함된 형식

    arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*

    예ARN, 여기서 bucket-namemy-s3-bucket,prefix 입니다my-prefix, 그리고 aws-account-id 입니다 111122223333

    arn:aws:s3:::my-s3-bucket/my-prefix/AWSLogs/111122223333/*

  • ARN접두사가 없는 형식

    arn:aws:s3:::bucket-name/AWSLogs/aws-account-id/*

    예ARN, 여기서 bucket-namemy-s3-bucket,aws-account-id 입니다 111122223333

    arn:aws:s3:::my-s3-bucket/AWSLogs/111122223333/*
사용 NotPrincipal 시기는 Effect 언제입니까Deny?

Amazon S3 버킷 정책에서 아래 Deny 예와 NotPrincipal 같이 값을 사용하고 Effect 포함하는 경우 해당 항목이 Service 목록에 포함되어 logdelivery.elasticloadbalancing.amazonaws.com 있는지 확인하십시오.

{
  "Effect": "Deny",
  "NotPrincipal": {
    "Service": [
       "logdelivery.elasticloadbalancing.amazonaws.com",
       "example.com"
    ]
  }
},
Amazon S3 콘솔을 사용하여 버킷에 액세스 로그의 버킷 정책 연결

  1. 에서 Amazon S3 콘솔을 엽니다 https://console.aws.amazon.com/s3/.

  2. 버킷 이름을 선택하여 세부 정보 페이지를 엽니다.

  3. 권한을 선택한 다음에 버킷 정책, 편집을 선택합니다.

  4. 버킷 정책을 업데이트하여 필수 권한을 부여합니다.

  5. Save changes(변경 사항 저장)를 선택합니다.

3단계: 액세스 로그 구성

이벤트를 캡처하고 로그 파일을 S3 버킷에 전송하도록 다음과 같은 절차에 따라 액세스 로그를 구성합니다.

요구 사항

버킷은 1단계에 설명된 요구 사항을 충족해야 하며 2단계의 설명에 따라 버킷 정책을 연결해야 합니다. 접두사를 지정하는 경우 "AWSLogs" 문자열을 포함해서는 안 됩니다.

콘솔을 사용하여 로드 밸런서에 대한 액세스 로그를 활성화하려면

  1. 에서 Amazon EC2 콘솔을 엽니다 https://console.aws.amazon.com/ec2/.

  2. 탐색 창에서 로드 밸런서를 선택합니다.

  3. 로드 밸런서 이름을 선택하여 세부 정보 페이지를 엽니다.

  4. 속성성(Attributes) 탭에서 편집(Edit)을 선택합니다.

  5. 모니터링에서 액세스 로그를 켭니다.

  6. S3의 URI 경우 로그 파일로 S3를 URI 입력합니다. URI지정하는 것은 접두사 사용 여부에 따라 달라집니다.

    • URI접두사 포함: s3://bucket-name/prefix

    • URI접두사 없음: s3://bucket-name

  7. Save changes(변경 사항 저장)를 선택합니다.

를 사용하여 액세스 로그를 활성화하려면 AWS CLI

modify-load-balancer-attributes명령을 사용하세요.

액세스 로그에 대해 S3 버킷을 관리하려면

액세스 로그용으로 구성한 버킷을 삭제하기 전에 액세스 로그를 비활성화해야 합니다. 이렇게 하지 않으면 이름이 동일한 새로운 버킷이 있지만 필요한 버킷 정책이 다른 AWS 계정 에 생성된 경우, Elastic Load Balancing이 내 로드 밸런서의 액세스 로그를 이 새로운 버킷에 쓸 수 있습니다.

4단계: 버킷 권한 확인

로드 밸런서에 대해 액세스 로그가 활성화되면 Elastic Load Balancing에서는 S3 버킷을 검증하고 버킷 정책에서 필수 권한을 지정하는지 확인하는 테스트 파일을 생성합니다. Amazon S3 콘솔을 사용하여 테스트 파일이 생성되었는지 확인할 수 있습니다. 테스트 파일은 실제 액세스 로그 파일이 아니며, 예제 레코드가 포함되어 있지 않습니다.

Amazon S3 콘솔을 사용하여 버킷에 테스트 파일이 생성되었는지 확인하려면

  1. 에서 Amazon S3 콘솔을 엽니다 https://console.aws.amazon.com/s3/.

  2. 액세스 로그에 대해 지정한 버킷의 이름을 선택합니다.

  3. 테스트 파일인 ELBAccessLogTestFile로 이동합니다. 위치는 접두사 사용 여부에 따라 달라집니다.

    • 접두사가 있는 위치: my-bucket/prefix/AWSLogs/123456789012/ELBAccessLogTestFile

    • 접두사가 없는 위치: my-bucket/AWSLogs/123456789012/ELBAccessLogTestFile

문제 해결

액세스 거부 오류가 발생한 경우, 가능한 원인은 다음과 같습니다.

  • 버킷 정책이 버킷에 액세스 로그를 쓰도록 허용하는 Elastic Load Balancing 권한을 부여하지 않습니다. 리전에 올바른 버킷 정책을 사용하고 있는지 확인합니다. 리소스가 액세스 로그를 활성화할 때 지정한 것과 동일한 버킷 이름을 ARN 사용하는지 확인하십시오. 액세스 로그를 활성화할 때 접두사를 ARN 지정하지 않은 경우 리소스에 접두사가 포함되어 있지 않은지 확인하세요.

  • 버킷이 지원되지 않는 서버 측 암호화 옵션을 사용합니다. 버킷은 Amazon S3 관리 키 (SSE-S3) 를 사용해야 합니다.