Habilitación de los registros de acceso del Equilibrador de carga clásico - ELB
Paso 1: Crear un bucket de S3Paso 2: Adjuntar una política al bucket de S3Paso 3: configurar los registros de accesoPaso 4: verificar los permisos del bucketResolución de problemas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación de los registros de acceso del Equilibrador de carga clásico

Para habilitar los registros de acceso del equilibrador de carga, debe especificar el nombre del bucket de Amazon S3 donde el equilibrador de carga almacenará los registros. También debes adjuntar una política de bucket a este bucket que otorgue al ELB permiso para escribir en el bucket.

Paso 1: Crear un bucket de S3

Al habilitar el registro de acceso, es preciso especificar un bucket de S3 para los registros de acceso. El bucket debe cumplir los siguientes requisitos.

Requisitos

  • El bucket debe estar ubicado en la misma región que el equilibrador de carga. El bucket y el equilibrador de carga pueden ser propiedad de diferentes cuentas.

  • La única opción de cifrado del lado del servidor que se admite son claves administradas por Amazon S3 (SSE-S3). Para obtener más información, consulte Claves de cifrado administradas por Amazon S3 (SSE-S3).

Para crear un bucket de S3 con la consola de Amazon S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. Elija Crear bucket.

  3. En la página Crear un bucket, realice las siguientes acciones:

    1. En Nombre del bucket, escriba un nombre para el bucket. Este nombre debe ser único entre todos los nombres de buckets de Amazon S3. En algunas regiones, es posible que haya restricciones adicionales para los nombres de los buckets. Para obtener más información, consulte Cuotas, restricciones y limitaciones de bucket en la Guía del usuario de Amazon S3.

    2. En Región AWS , seleccione la región donde ha creado el equilibrador de carga.

    3. Para el cifrado predeterminado, elija las claves administradas por Amazon S3 (SSE-S3).

    4. Elija Crear bucket.

Paso 2: Adjuntar una política al bucket de S3

Su bucket de S3 debe tener una política de bucket que conceda permiso al ELB para escribir los registros de acceso en el bucket. Las políticas de bucket son colecciones de instrucciones JSON escritas en el lenguaje de la política de acceso para definir los permisos de acceso al bucket. Cada instrucción incluye información sobre un único permiso y contiene una serie de elementos.

Si utilizas un depósito existente que ya tiene una política adjunta, puedes añadir a la política la declaración relativa a los registros de acceso del ELB. En este caso, recomendamos evaluar el conjunto de permisos resultante para asegurarse de que sean adecuados para los usuarios que necesitan obtener acceso al bucket en relación con los registros de acceso.

Esta política otorga permisos al servicio de entrega de registros.

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logdelivery.elasticloadbalancing.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/123456789012/*"
    }
  ]
}

Para Resource, introduzca el ARN de la ubicación de los registros de acceso con el formato que se muestra en la política de ejemplo. Incluya siempre el ID de la cuenta que contiene el equilibrador de carga en la ruta de recursos del ARN del bucket de S3. Esto garantiza que solo los equilibradores de carga de la cuenta especificada puedan escribir registros de acceso en el bucket de S3.

El ARN que especifique dependerá de si planea incluir un prefijo al habilitar los registros de acceso en el paso 3.

Ejemplo de ARN del bucket de S3 con un prefijo

El nombre del bucket de S3 es amzn-s3-demo-logging-bucket y el prefijo es logging-prefix.

arn:aws:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/*

[AWS GovCloud (US)] En el siguiente ejemplo, se utiliza la sintaxis ARN para las AWS GovCloud (US) Regions.

arn:aws-us-gov:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/*
Ejemplo de ARN del bucket de S3 sin prefijo

El nombre del bucket de S3 es amzn-s3-demo-logging-bucket. No hay ninguna parte de prefijo en el ARN del bucket de S3.

arn:aws:s3:::amzn-s3-demo-logging-bucket/AWSLogs/123456789012/*

[AWS GovCloud (US)] En el siguiente ejemplo, se utiliza la sintaxis ARN para las AWS GovCloud (US) Regions.

arn:aws-us-gov:s3:::amzn-s3-demo-logging-bucket/AWSLogs/123456789012/*

Anteriormente, para las regiones disponibles antes de agosto de 2022, exigíamos una política que concediera permisos a una cuenta del ELB específica de la región. Esta política heredada sigue siendo compatible, pero le recomendamos que la sustituya por la política más reciente que se ha indicado anteriormente. Si lo prefiere, puede seguir utilizando la política de bucket heredada, que no se muestra aquí.

Como referencia, estas son las cuentas IDs del ELB para especificarlas. Principal Tenga en cuenta que las regiones que no figuran en esta lista no han admitido nunca la política de bucket heredada.

  • Este de EE. UU. (Norte de Virginia): 127311923021

  • Este de EE. UU. (Ohio): 033677994240

  • Oeste de EE. UU. (Norte de California): 027434742980

  • Oeste de EE. UU. (Oregón): 797873946194

  • África (Ciudad del Cabo): 098369216593

  • Asia-Pacífico (Hong Kong): 754344448648

  • Asia-Pacífico (Yakarta): 589379963580

  • Asia-Pacífico (Bombay): 718504428378

  • Asia-Pacífico (Osaka): 383597477331

  • Asia-Pacífico (Seúl): 600734575887

  • Asia Pacífico (Singapur): 114774131450

  • Asia Pacífico (Sídney): 783225319266

  • Asia Pacífico (Tokio): 582318560864

  • Canadá (Centro): 985666609251

  • Europa (Fráncfort): 054676820928

  • Europa (Irlanda): 156460612806

  • Europa (Londres): 652711504416

  • Europa (Milán): 635631232127

  • Europa (París): 009996457667

  • Europa (Estocolmo): 897822967062

  • Medio Oriente (Baréin): 076674570225

  • América del Sur (São Paulo): 507241528517

  • AWS GovCloud (EEUU-Este) — 190560391635

  • AWS GovCloud (US-Oeste) — 048591011584

Para mejorar la seguridad, utilice un cubo S3 preciso. ARNs

  • Utilice la ruta de recurso completa, no solo el ARN del bucket de S3.

  • Incluya la parte del ID de cuenta del ARN del bucket de S3.

  • No utilice caracteres comodín (*) en la parte del ID de cuenta del ARN del bucket de S3.

Después de crear la política de bucket, utilice una interfaz de Amazon S3, como la consola o los AWS CLI comandos de Amazon S3, para adjuntar la política de bucket a su bucket de S3.

Para asociar su política de bucket a su bucket con la consola

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. Seleccione el nombre del bucket para abrir la página de detalles.

  3. Elija Permisos y, a continuación, seleccione Política de bucket, Editar.

  4. Actualice la política de bucket para conceder los permisos necesarios.

  5. Seleccione Save changes (Guardar cambios).

Para adjuntar su política de bucket a su bucket de S3 mediante el AWS CLI

Utilice el comando put-bucket-policy. En este ejemplo, la política de bucket se ha guardado en el archivo .json especificado.

aws s3api put-bucket-policy \
    --bucket amzn-s3-demo-bucket \
    --policy file://access-log-policy.json

Paso 3: configurar los registros de acceso

Utilice el siguiente procedimiento para configurar los registros de acceso para capturar información de solicitudes y entregar los archivos de registro al bucket de S3.

Requisitos

El bucket debe cumplir los requisitos descritos en el paso 1 y debe adjuntar una política de bucket tal como se describe en el paso 2. Si especificas un prefijo, no debe incluir la cadena "AWSLogs».

Configurar los registros de acceso para el equilibrador de carga mediante la consola

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, en Equilibrio de carga, elija Equilibradores de carga.

  3. Seleccione el nombre del equilibrador de carga para abrir la página de detalles.

  4. En la pestaña Atributos, seleccione Editar.

  5. En la página Editar atributos del equilibrador de carga, en la sección Monitoreo, haga lo siguiente:

    1. Habilite los Registros de acceso.

    2. En URI de S3, ingrese el URI de S3 correspondiente a los archivos de registro. El URI que especifique depende de si utiliza un prefijo.

      • URI con un prefijo: s3://amzn-s3-demo-logging-bucket/logging-prefix

      • URI sin un prefijo: s3://amzn-s3-demo-logging-bucket

    3. En Intervalo de registro, mantenga 60 minutes - default.

    4. Seleccione Save changes (Guardar cambios).

Para configurar los registros de acceso de su balanceador de carga mediante el AWS CLI

En primer lugar, cree un archivo.json que permita a ELB capturar y entregar los registros cada 60 minutos al depósito de S3 que creó para los registros:

{ 
  "AccessLog": {
    "Enabled": true,
    "S3BucketName": "amzn-s3-demo-logging-bucket",
    "EmitInterval": 60,
    "S3BucketPrefix": "my-app"
  }
}

A continuación, especifique el archivo.json en el modify-load-balancer-attributescomando de la siguiente manera:

aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes file://my-json-file.json

A continuación, se muestra un ejemplo de respuesta.

{
    "LoadBalancerAttributes": {
        "AccessLog": {
            "Enabled": true,
            "EmitInterval": 60,
            "S3BucketName": "amzn-s3-demo-logging-bucket",
            "S3BucketPrefix": "my-app"
        }
    },
    "LoadBalancerName": "my-loadbalancer"
}
Para administrar el bucket de S3 para los registros de acceso

Asegúrese de deshabilitar los registros de acceso antes de eliminar el bucket que configuró para los registros de acceso. De lo contrario, si hay un depósito nuevo con el mismo nombre y se ha creado la política de depósito requerida en un depósito Cuenta de AWS que no es de tu propiedad, ELB podría escribir los registros de acceso de tu balanceador de cargas en este nuevo depósito.

Paso 4: verificar los permisos del bucket

Una vez habilitados los registros de acceso para tu balanceador de cargas, ELB valida el bucket de S3 y crea un archivo de prueba para garantizar que la política del bucket especifique los permisos necesarios. Puede utilizar la consola de S3 para comprobar que se ha creado el archivo de prueba. El archivo de prueba no es un archivo de registro de acceso real; no contiene registros de ejemplo.

Para comprobar que ELB creó un archivo de prueba en su bucket de S3

  1. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. Seleccione el nombre del bucket de S3 que especificó para los registros de acceso.

  3. Vaya al archivo registro de prueba, ELBAccessLogTestFile. La ubicación depende de si utiliza un prefijo.

    • Ubicación con un prefijo:amzn-s3-demo-loadbalancer-logs///logging-prefix/AWSLogs123456789012ELBAccessLogTestFile

    • Ubicación sin prefijo:amzn-s3-demo-loadbalancer-logs///AWSLogs123456789012ELBAccessLogTestFile

Resolución de problemas

Acceso denegado para el depósito:bucket-name. Compruebe el permiso de S3bucket

Si recibe este error, estas pueden ser causas posibles:

  • La política del depósito no otorga al ELB permiso para escribir registros de acceso en el depósito. Compruebe que está utilizando la política de bucket correcta para la región. Compruebe que el ARN del recurso utilice el mismo nombre de bucket que especificó al habilitar los registros de acceso. Compruebe que el ARN del recurso no incluya un prefijo si no especificó un prefijo al habilitar los registros de acceso.

  • El bucket usa una opción de cifrado del lado del servidor no compatible. El bucket debe usar claves administradas por Amazon S3 (SSE-S3).