Habilitar logs de acesso do seu Application Load Balancer - Elastic Load Balancing

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitar logs de acesso do seu Application Load Balancer

Ao habilitar os logs de acesso do seu balanceador de carga, você deverá especificar o nome do bucket do S3 em que o balanceador de carga armazenará os logs. O bucket deve ter uma política de bucket que conceda ao Elastic Load Balancing permissão para gravar no bucket.

Crie um bucket do S3.

Ao habilitar os logs de acesso, você deverá especificar um bucket do S3 para os logs de acesso. O bucket deve atender aos seguintes requisitos:

Requisitos

  • O bucket deve estar localizado na mesma região que o load balancer. O bucket e o balanceador de carga podem pertencer a contas diferentes.

  • O prefixo especificado não deve incluir AWSLogs. Adicionamos a parte do nome do arquivo que começa com AWSLogs após o nome do bucket e o prefixo que você especificar.

  • A única opção de criptografia compatível no lado do servidor são as chaves gerenciadas pelo Amazon S3 (SSE-S3). Para obter mais informações, consulte Chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3).

Use uma das opções a seguir para criar e configurar um bucket do S3 para os logs de acesso.

Opções

  • Para criar um bucket e habilitar registros de acesso usando o console do Elastic Load Balancing, vá atéConfigurar logs de acesso a opção de fazer com que o console crie a política de bucket e bucket para você.

  • Para usar um bucket existente e adicionar a política de bucket necessária usando o console do Amazon S3, vá paraAnexe uma política ao seu bucket do S3.

  • Para criar um bucket e adicionar a política de bucket necessária usando o console do Amazon S3 manualmente (por exemplo, se você estiver usando oAWS CLI ou uma API para habilitar os registros de acesso), use o procedimento abaixo e continueAnexe uma política ao seu bucket do S3.

Use o procedimento a seguir para criar um bucket manualmente usando o console do Amazon S3 se você não estiver usando o console do Elastic Load Balancing para criar e configurar o bucket em seu nome.

Para criar um bucket do S3 manualmente usando o console do Amazon S3

  1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. Selecione Create bucket (Criar bucket).

  3. Na página Criar bucket (Criar bucket), faça o seguinte:

    1. Para Bucket name (Nome do bucket), insira um nome para o bucket. Esse nome deve ser exclusivo entre todos os nomes de buckets existentes no Amazon S3. Em algumas regiões, talvez haja restrições adicionais quanto a nomes de buckets. Para obter mais informações, consulte Restrições e limitações de bucket no Manual do usuário do Amazon Simple Storage Service.

    2. Em Region (AWSRegião da), selecione a região em que você criou seu balanceador de carga.

    3. (Opcional) Habilite a criptografia no lado do servidor usando chaves gerenciadas pelo Amazon S3 (SSE-S3).

    4. Selecione Create bucket (Criar bucket).

Anexe uma política ao seu bucket do S3

O bucket do S3 deve ter uma política de bucket que conceda ao Elastic Load Balancing permissão para gravar os logs de acesso em seu bucket. As políticas de bucket são um conjunto de instruções JSON gravadas na linguagem de políticas de acesso para definir permissões de acesso para o seu bucket. Cada instrução inclui informações sobre uma única permissão e contém uma série de elementos.

Se estiver usando um bucket que já tem uma política anexada, você poderá adicionar a instrução para os logs de acesso do Elastic Load Balancing à política. Se você fizer isso, recomendamos que avalie o conjunto resultante de permissões para garantir que eles são apropriadas para os usuários que precisam de acesso ao bucket para logs de acesso.

Para anexar uma política de bucket para logs de acesso ao seu bucket

  1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. Selecione o nome do bucket para abrir sua página de detalhes.

  3. Escolha Permissions (Permissões) e, em seguida, escolha Bucket policy (Política de bucket), Edit (Editar).

  4. Crie ou atualize a política de bucket para conceder as permissões necessárias. A política de bucket que você usará dependeRegião da AWS do bucket depende do bucket e do do bucket.

    • [Zonas de disponibilidade e Local Zones] Para as regiões na lista abaixo, use a política a seguir que concede permissões para o ID de conta do Elastic Load Balancing especificado.

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::elb-account-id:root" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/your-aws-account-id/*" } ] }

      elb-account-idSubstitua o ID daConta da AWS para o Elastic Load Balancing em sua região:

      • Leste dos EUA (N. da Virgínia): 127311923021

      • Leste os EUA (Ohio): 033677994240

      • Oeste dos EUA (N. da Califórnia): 027434742980

      • Oeste dos EUA (Oregon): 797873946194

      • África (Cidade do Cabo): 098369216593

      • Ásia-Pacífico (Hong Kong): 754344448648

      • Ásia-Pacífico (Jacarta) — 589379963580

      • Ásia-Pacífico (Mumbai): 718504428378

      • Ásia-Pacífico (Osaka): 383597477331

      • Ásia-Pacífico (Seul): 600734575887

      • Ásia-Pacífico (Singapura): 114774131450

      • Ásia-Pacífico (Sydney): 783225319266

      • Ásia-Pacífico (Tóquio): 582318560864

      • Canadá (Central): 985666609251

      • Europa (Frankfurt): 054676820928

      • Europa (Irlanda): 156460612806

      • Europa (Londres): 652711504416

      • Europa (Milão): 635631232127

      • Europa (Paris): 009996457667

      • Europa (Estocolmo): 897822967062

      • Oriente Médio (Bahrein): 076674570225

      • América do Sul (São Paulo): 507241528517

      • AWS GovCloud (EUA-Oeste): 048591011584

      • AWS GovCloud (EUA-Leste): 190560391635

    • [Zonas de disponibilidade e Local Zones] Para as regiões que não aparecem na lista acima, como Oriente Médio (EAU), use a política a seguir que concede permissões ao serviço de entrega de log especificado.

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "logdelivery.elasticloadbalancing.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/aws-account-id/*" } ] }
    • [Outpost] Use a política a seguir, que concede permissões ao serviço de entrega de log especificado.

      { "Effect": "Allow", "Principal": { "Service": "logdelivery.elb.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::bucket-name/prefix/AWSLogs/your-aws-account-id/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } }
  5. Escolha Save changes (Salvar alterações).

Configurar logs de acesso

Use o procedimento a seguir para configurar logs de acesso para capturar e entregar arquivos de log ao seu bucket do S3. Observe que, opcionalmente, você pode fazer com que o Elastic Load Balancing crie o bucket e adicione a política necessária, caso você não tenha usado as etapas anteriores para fazer isso manualmente. Se você especificou um bucket existente, certifique-se de que possui o bucket e de que adicionou a política de bucket necessária.

Para habilitar os logs de acesso usando o console do

  1. Abra o console do Amazon EC2 em https://console.aws.amazon.com/ec2/.

  2. No painel de navegação, selecione Load Balancers.

  3. Selecione seu load balancer.

  4. Na guia Descrição, selecione Editar atributos.

  5. Na página Editar atributos do load balancer, faça o seguinte:

    1. Para Access logs (Logs de acesso), selecione Enable (Habilitar).

    2. Em S3 location (Local do S3), digite o nome do bucket do S3, incluindo qualquer prefixo (por exemplo,my-loadbalancer-logs/my-app). Você pode especificar o nome de um bucket existente ou um nome para um novo bucket.

    3. (Opcional) Se o bucket não existir, selecione Criar este local para mim. O nome do novo bucket deve ser único entre todos os nomes de buckets existentes no Amazon S3 e seguir as convenções de nomeação do DNS. Para obter mais informações, consulte as Regras para nomear buckets no Manual do usuário do Amazon Simple Storage Service.

    4. Escolha Save (Salvar).

Para habilitar os registros de acesso usando oAWS CLI

Use o comando modify-load-balancer-attributes.

Gerenciar o bucket do S3 para os logs de acesso

Certifique-se de desabilitar os registros de acesso antes de excluir o bucket que você configurou para os logs de acesso. Caso contrário, se houver um novo bucket com o mesmo nome e a política de bucket necessária, mas criada em umaConta da AWS que não seja a sua, o Elastic Load Balancing poderá gravar os logs de acesso do seu balanceador de carga nesse novo bucket.

Verificar permissões do bucket

Após o registro de acesso em logs ser habilitado para seu balanceador de carga, o Elastic Load Balancing validará o bucket do S3 e criará um arquivo de teste para garantir que a política do bucket especifique as permissões necessárias. Você pode usar o console do Amazon S3 para verificar se o arquivo de teste foi criado. O arquivo de teste não é um arquivo de log de acesso real; ele não contêm registros de exemplo.

Para verificar se o Elastic Load Balancing criou um arquivo de teste no seu bucket do S3

  1. Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. Selecione o nome do bucket que você especificou para logs de acesso.

  3. Navegue até o arquivo de testeELBAccessLogTestFile,, no seguinte local:

    my-bucket/prefix/AWSLogs/123456789012/ELBAccessLogTestFile