Classic Load Balancer 액세스 로그 활성화 - ELB
1단계: S3 버킷 생성2단계: S3 버킷에 정책 연결3단계: 액세스 로그 구성4단계: 버킷 권한 확인문제 해결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Classic Load Balancer 액세스 로그 활성화

로드 밸런서에 대한 액세스 로그를 활성화하려면 로드 밸런서가 로그를 저장할 Amazon S3 버킷의 이름을 지정해야 합니다. 또한 버킷에 쓸 수 있는 권한을 ELB에 부여하는 버킷 정책을이 버킷에 연결해야 합니다.

1단계: S3 버킷 생성

액세스 로그를 활성화할 때는 반드시 액세스 로그 파일에 대한 S3 버킷을 지정해야 합니다. 버킷은 다음 요구 사항을 충족해야 합니다.

요구 사항

  • 버킷은 로드 밸런서와 같은 리전에 있어야 합니다. 서로 다른 계정에서 버킷과 로드 밸런서를 소유할 수 있습니다.

  • 지원되는 유일한 서버 측 암호화 옵션은 Amazon S3 관리형 키(SSE-S3)입니다. 자세한 내용은 Amazon S3 관리형 암호화 키(SSE-S3) 섹션을 참조하세요.

Amazon S3 콘솔을 사용하여 S3 버킷에 폴더를 생성하려면

  1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.

  2. 버킷 만들기를 선택합니다.

  3. [Create a bucket] 페이지에서 다음과 같이 실행합니다.

    1. [Bucket Name]에서 버킷 이름을 입력합니다. 선택한 이름은 Amazon S3에 있는 어떤 기존 버킷 이름과도 중복되지 않아야 합니다. 일부 리전에서는 버킷 이름에 대한 추가 제한이 있을 수 있습니다. 자세한 내용은 Amazon S3 사용 설명서버킷 할당량, 제한 및 제한 사항을 참조하세요.

    2. AWS 리전의 경우 로드 밸런서를 생성한 리전을 선택합니다.

    3. 기본 암호화에서 Amazon S3 관리형 키(SSE-S3)를 선택합니다.

    4. 버킷 생성을 선택합니다.

2단계: S3 버킷에 정책 연결

S3 버킷에는 버킷에 액세스 로그를 쓸 수 있는 권한을 ELB에 부여하는 버킷 정책이 있어야 합니다. 버킷 정책은 버킷에 대한 액세스 권한을 정의하기 위해 액세스 정책 언어로 작성된 JSON 문의 집합입니다. 각 문에는 단일 권한에 대한 정보와 일련의 요소들이 포함되어 있습니다.

이미 정책이 연결된 기존 버킷을 사용하는 경우 ELB 액세스 로그에 대한 문을 정책에 추가할 수 있습니다. 그렇게 하는 경우, 결과적인 액세스 권한 집합을 평가하여 해당 집합이 액세스 로그에 대한 버킷에 액세스해야 하는 사용자에게 적절한 권한인지 확인하는 것이 좋습니다.

이 정책은 로그 전송 서비스에 권한을 부여합니다.

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "logdelivery.elasticloadbalancing.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/123456789012/*"
    }
  ]
}

Resource에는 예제 정책에 표시된 형식을 사용하여 액세스 로그 위치의 ARN을 입력합니다. 항상 S3 버킷 ARN의 리소스 경로에는 로드 밸런서를 보유한 계정의 계정 ID를 포함해야 합니다. 이렇게 하면 지정된 계정의 로드 밸런서만 해당 S3 버킷에 액세스 로그를 기록할 수 있습니다.

지정하는 ARN은 3단계에서 액세스 로그를 활성화할 때 접두사를 포함할 계획인지 여부에 따라 다릅니다.

접두사가 있는 S3 버킷 ARN 예제

S3 버킷 이름은 amzn-s3-demo-logging-bucket이고 접두사는 logging-prefix입니다.

arn:aws:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/*

[AWS GovCloud (US)] 다음 예제에서는 AWS GovCloud (US) Regions에 ARN 구문을 사용합니다.

arn:aws-us-gov:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/*
접두사가 없는 S3 버킷 ARN 예제

S3 버킷 이름은 amzn-s3-demo-logging-bucket입니다. S3 버킷 ARN에는 접두사 부분이 없습니다.

arn:aws:s3:::amzn-s3-demo-logging-bucket/AWSLogs/123456789012/*

[AWS GovCloud (US)] 다음 예제에서는 AWS GovCloud (US) Regions에 ARN 구문을 사용합니다.

arn:aws-us-gov:s3:::amzn-s3-demo-logging-bucket/AWSLogs/123456789012/*

이전에는 2022년 8월 이전에 사용 가능한 리전의 경우 해당 리전에 고유한 ELB 계정에 권한을 부여하는 정책이 필요했습니다. 이 레거시 정책은 여전히 지원되지만, 위에 소개된 최신 정책으로 대체할 것을 권장합니다. 표시되어 있지 않지만 레거시 버킷 정책을 계속 사용하려는 경우 그대로 사용할 수 있습니다.

참고로에서 지정할 ELB 계정의 IDs는 다음과 같습니다Principal. 이 목록에 없는 리전은 레거시 버킷 정책을 지원하지 않습니다.

  • 미국 동부(버지니아 북부) – 127311923021

  • 미국 동부(오하이오) – 033677994240

  • 미국 서부(캘리포니아 북부) – 027434742980

  • 미국 서부(오레곤) – 797873946194

  • 아프리카(케이프타운) – 098369216593

  • 아시아 태평양(홍콩) – 754344448648

  • 아시아 태평양(자카르타) – 589379963580

  • 아시아 태평양(뭄바이) – 718504428378

  • 아시아 태평양(오사카) – 383597477331

  • 아시아 태평양(서울) – 600734575887

  • 아시아 태평양(싱가포르) – 114774131450

  • 아시아 태평양(시드니) – 783225319266

  • 아시아 태평양(도쿄) – 582318560864

  • 캐나다(중부) – 985666609251

  • 유럽(프랑크푸르트) – 054676820928

  • 유럽(아일랜드) – 156460612806

  • 유럽(런던) – 652711504416

  • 유럽(밀라노) – 635631232127

  • 유럽(파리) – 009996457667

  • 유럽(스톡홀름) – 897822967062

  • 중동(바레인) – 076674570225

  • 남아메리카(상파울루) – 507241528517

  • AWS GovCloud(미국 동부) – 190560391635

  • AWS GovCloud(미국 서부) – 048591011584

보안을 강화하려면 정확한 S3 버킷 ARN을 사용합니다.

  • S3 버킷 ARN뿐만 아니라 전체 리소스 경로를 사용합니다.

  • S3 버킷 ARN의 계정 ID 부분을 포함합니다.

  • S3 버킷 ARN의 계정 ID 부분에 와일드카드(*)를 사용하지 마세요.

버킷 정책을 생성한 후 Amazon S3 콘솔 또는 AWS CLI 명령과 같은 Amazon S3 인터페이스를 사용하여 버킷 정책을 S3 버킷에 연결합니다.

콘솔을 사용하여 버킷 정책을 버킷에 연결하려면

  1. https://console.aws.amazon.com/s3/에서 S3 콘솔을 엽니다.

  2. 버킷 이름을 선택하여 세부 정보 페이지를 엽니다.

  3. 권한을 선택한 다음에 버킷 정책, 편집을 선택합니다.

  4. 버킷 정책을 업데이트하여 필수 권한을 부여합니다.

  5. 변경 사항 저장을 선택합니다.

를 사용하여 버킷 정책을 S3 버킷에 연결하려면 AWS CLI

put-bucket-policy 명령을 사용합니다. 이 예제에서는 버킷 정책이 지정된 .json 파일에 저장되었습니다.

aws s3api put-bucket-policy \
    --bucket amzn-s3-demo-bucket \
    --policy file://access-log-policy.json

3단계: 액세스 로그 구성

다음 절차에 따라 요청 정보를 캡처하고 로그 파일을 S3 버킷에 전송하도록 액세스 로그를 구성합니다.

요구 사항

버킷은 1단계에 설명된 요구 사항을 충족해야 하며 2단계의 설명에 따라 버킷 정책을 연결해야 합니다. 접두사를 지정하는 경우 접두사에 'AWSLogs' 문자열이 포함되지 않아야 합니다.

콘솔을 사용하여 로드 밸런서에 대한 액세스 로그를 구성하는 방법

  1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

  2. 탐색 창의 Load Balancing 아래에서 로드 밸런서를 선택합니다.

  3. 로드 밸런서 이름을 선택하여 세부 정보 페이지를 엽니다.

  4. 속성 탭에서 편집을 선택합니다.

  5. 로드 밸런서 속성 편집 페이지의 모니터링 섹션에서 다음을 수행합니다.

    1. 액세스 로그를 활성화합니다.

    2. S3 URI로 로그 파일의 S3 URI를 입력합니다. 지정하는 URI는 접두사 사용 여부에 따라 달라집니다.

      • 접두사가 있는 URI: s3://amzn-s3-demo-logging-bucket/logging-prefix

      • 접두사가 없는 URI: s3://amzn-s3-demo-logging-bucket

    3. 로깅 간격60 minutes - default로 유지합니다.

    4. 변경 사항 저장을 선택합니다.

를 사용하여 로드 밸런서에 대한 액세스 로그를 구성하려면 AWS CLI

먼저 ELB가 로그를 캡처하여 로그에 대해 생성한 S3 버킷에 60분마다 전송할 수 있는 .json 파일을 생성합니다.

{ 
  "AccessLog": {
    "Enabled": true,
    "S3BucketName": "amzn-s3-demo-logging-bucket",
    "EmitInterval": 60,
    "S3BucketPrefix": "my-app"
  }
}

다음으로, 다음과 같이 modify-load-balancer-attributes 명령에 .json 파일을 지정합니다.

aws elb modify-load-balancer-attributes --load-balancer-name my-loadbalancer --load-balancer-attributes file://my-json-file.json

다음은 응답의 예입니다.

{
    "LoadBalancerAttributes": {
        "AccessLog": {
            "Enabled": true,
            "EmitInterval": 60,
            "S3BucketName": "amzn-s3-demo-logging-bucket",
            "S3BucketPrefix": "my-app"
        }
    },
    "LoadBalancerName": "my-loadbalancer"
}
액세스 로그에 대해 S3 버킷을 관리하려면

액세스 로그용으로 구성한 버킷을 삭제하기 전에 액세스 로그를 비활성화해야 합니다. 그렇지 않으면 이름이 같은 새 버킷과 소유 AWS 계정 하지 않은에서 생성된 필수 버킷 정책이 있는 경우 ELB는 로드 밸런서에 대한 액세스 로그를이 새 버킷에 쓸 수 있습니다.

4단계: 버킷 권한 확인

로드 밸런서에 대한 액세스 로그가 활성화되면 ELB는 S3 버킷을 검증하고 테스트 파일을 생성하여 버킷 정책이 필요한 권한을 지정하도록 합니다. S3 콘솔을 사용하여 테스트 파일이 생성되었는지 확인할 수 있습니다. 테스트 파일은 실제 액세스 로그 파일이 아니며, 예제 레코드가 포함되어 있지 않습니다.

ELB가 S3 버킷에 테스트 파일을 생성했는지 확인하려면

  1. https://console.aws.amazon.com/s3/에서 S3 콘솔을 엽니다.

  2. 액세스 로그에 대해 지정한 S3 버킷의 이름을 선택합니다.

  3. 테스트 파일인 ELBAccessLogTestFile로 이동합니다. 위치는 접두사 사용 여부에 따라 달라집니다.

    • 접두사가 있는 위치: amzn-s3-demo-loadbalancer-logs/logging-prefix/AWSLogs/123,456,789,012/ELBAccessLogTestFile

    • 접두사가 없는 위치: amzn-s3-demo-loadbalancer-logs/AWSLogs/123,456,789,012/ELBAccessLogTestFile

문제 해결

bucket-name 버킷에 대한 액세스가 거부되었습니다. S3bucket 권한을 확인하세요.

이 오류가 발생한 경우, 가능한 원인은 다음과 같습니다.

  • 버킷 정책은 ELB에 버킷에 액세스 로그를 쓸 수 있는 권한을 부여하지 않습니다. 리전에 올바른 버킷 정책을 사용하고 있는지 확인합니다. 액세스 로그를 활성화할 때 지정한 것과 동일한 버킷 이름을 리소스 ARN에서 사용하는지 확인하세요. 액세스 로그를 활성화할 때 접두사를 지정하지 않은 경우 리소스 ARN에 접두사가 포함되어 있지 않은지 확인합니다.

  • 버킷이 지원되지 않는 서버 측 암호화 옵션을 사용합니다. 버킷이 Amazon S3 관리형 키(SSE-S3)를 사용해야 합니다.