As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Habilitar os logs de conexão para o Application Load Balancer
Ao habilitar os logs de conexão para o balanceador de carga, você deve especificar o nome do bucket do S3 no qual o balanceador de carga armazenará os logs. O bucket deve ter uma política de bucket que conceda permissão para o Elastic Load Balancing gravar no bucket.
Tarefas
Etapa 1: Crie um bucket do S3
Quando você habilitar os logs de conexão, deverá especificar um bucket do S3 para eles. É possível usar um bucket existente ou criar um bucket especificamente para logs de conexão. O bucket deve atender aos seguintes requisitos:
Requisitos
-
O bucket deve estar localizado na mesma região que o load balancer. O bucket e o balanceador de carga podem pertencer a contas diferentes.
-
A única opção de criptografia compatível no lado do servidor são as chaves gerenciadas pelo Amazon S3 (SSE-S3). Para obter mais informações, consulte Chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3).
Para criar um bucket do S3 usando o console do Amazon S3
-
Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/
. -
Escolha Criar bucket.
-
Na página Criar bucket, faça o seguinte:
-
Para Nome do bucket, insira um nome para o bucket. Esse nome deve ser exclusivo entre todos os nomes de buckets existentes no Amazon S3. Em algumas regiões, talvez haja restrições adicionais quanto a nomes de buckets. Para obter mais informações, consulte Restrições e limitações do bucket no Guia do usuário do Amazon S3.
-
Em Região da AWS , selecione a região em que você criou seu balanceador de carga.
-
Em Criptografia padrão, escolha Chaves gerenciadas pelo Amazon S3 (SSE-S3).
-
Escolha Criar bucket.
-
Etapa 2: Anexe uma política ao seu bucket do S3
O bucket do S3 deve ter uma política de bucket que conceda permissão para que o Elastic Load Balancing grave os logs de conexão no bucket. As políticas de bucket são um conjunto de instruções JSON gravadas na linguagem de políticas de acesso para definir permissões de acesso para o seu bucket. Cada instrução inclui informações sobre uma única permissão e contém uma série de elementos.
Se estiver usando um bucket existente que já tenha uma política anexada, você poderá adicionar a instrução para os logs de conexão do Elastic Load Balancing à política. Se você fizer isso, recomendamos que avalie o conjunto resultante de permissões para garantir que sejam apropriadas para os usuários que precisam de acesso ao bucket para logs de conexão.
Esta política concede permissões ao serviço de entrega de logs especificado.
-
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "logdelivery.elasticloadbalancing.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/123456789012/*" } ] }
ParaResource, insira o ARN do local para os registros de acesso, usando o formato mostrado no exemplo de política. Sempre inclua o ID da conta com o balanceador de carga no caminho do recurso do ARN do bucket do S3. Isso garante que somente os balanceadores de carga da conta especificada possam gravar registros de acesso no bucket do S3.
O ARN especificado dependerá de você planejar ou não incluir um prefixo ao habilitar os logs de acesso na etapa 3.
Exemplo de ARN do bucket do S3 com um prefixo
O nome do bucket do S3 é amzn-s3-demo-logging-bucket e o prefixo é. logging-prefix
arn:aws:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/*AWS GovCloud (US)— O exemplo a seguir usa a sintaxe ARN para o. AWS GovCloud (US) Regions
arn:aws-us-gov:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/*Exemplo de ARN do bucket do S3 sem prefixo
O nome do bucket do S3 éamzn-s3-demo-logging-bucket. Não há parte do prefixo no ARN do bucket do S3.
arn:aws:s3:::amzn-s3-demo-logging-bucket/AWSLogs/123456789012/*AWS GovCloud (US)— O exemplo a seguir usa a sintaxe ARN para o. AWS GovCloud (US) Regions
arn:aws-us-gov:s3:::amzn-s3-demo-logging-bucket/AWSLogs/123456789012/*Anteriormente, para regiões disponíveis antes de agosto de 2022, exigíamos uma política que concedesse permissões a uma conta do Elastic Load Balancing específica para a região. Essa política antiga ainda é suportada, mas recomendamos que você a substitua pela política mais recente acima. Se você preferir continuar usando a política antiga, que não é mostrada aqui, você pode.
Para referência, aqui estão as contas IDs do Elastic Load Balancing a serem especificadas Principal na política legada. Observe que as regiões que não estão nessa lista não oferecem suporte à política antiga.
-
Leste dos EUA (N. da Virgínia): 127311923021
-
Leste os EUA (Ohio): 033677994240
-
Oeste dos EUA (N. da Califórnia): 027434742980
-
Oeste dos EUA (Oregon): 797873946194
-
África (Cidade do Cabo): 098369216593
-
Ásia-Pacífico (Hong Kong): 754344448648
-
Ásia-Pacífico (Jacarta) — 589379963580
-
Ásia-Pacífico (Mumbai): 718504428378
-
Ásia-Pacífico (Osaka): 383597477331
-
Ásia-Pacífico (Seul): 600734575887
-
Ásia-Pacífico (Singapura): 114774131450
-
Ásia-Pacífico (Sydney): 783225319266
-
Ásia-Pacífico (Tóquio): 582318560864
-
Canadá (Central): 985666609251
-
Europa (Frankfurt): 054676820928
-
Europa (Irlanda): 156460612806
-
Europa (Londres): 652711504416
-
Europa (Milão): 635631232127
-
Europa (Paris): 009996457667
-
Europa (Estocolmo): 897822967062
-
Oriente Médio (Bahrein): 076674570225
-
América do Sul (São Paulo): 507241528517
-
AWS GovCloud (Leste dos EUA) — 190560391635
-
AWS GovCloud (Oeste dos EUA) — 048591011584
A política a seguir concede permissões ao serviço de entrega de logs especificado. Use essa política para balanceadores de carga em zonas de Outposts.
{ "Effect": "Allow", "Principal": { "Service": "logdelivery.elb.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/AWSLogs/123456789012/*" "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } }
ParaResource, insira o ARN do local para os registros de acesso. Sempre inclua o ID da conta com o balanceador de carga no caminho do recurso do ARN do bucket do S3. Isso garante que somente os balanceadores de carga da conta especificada possam gravar registros de acesso no bucket do S3.
O ARN especificado dependerá de você planejar ou não incluir um prefixo ao habilitar os logs de acesso na etapa 3.
Exemplo de ARN do bucket do S3 com um prefixo
O nome do bucket do S3 é amzn-s3-demo-logging-bucket e o prefixo é. logging-prefix
arn:aws:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/123456789012/*Exemplo de ARN do bucket do S3 sem prefixo
O nome do bucket do S3 éamzn-s3-demo-logging-bucket. Não há parte do prefixo no ARN do bucket do S3.
arn:aws:s3:::amzn-s3-demo-logging-bucket/AWSLogs/123456789012/*Para aumentar a segurança, use um bucket ARNs S3 preciso.
-
Use o caminho completo do recurso, não apenas o ARN do bucket do S3.
-
Inclua a parte do ID da conta do ARN do bucket do S3.
-
Não use curingas (*) na parte do ID da conta do ARN do bucket do S3.
Depois de criar sua política de bucket, use uma interface do Amazon S3, como o console AWS CLI ou comandos do Amazon S3, para anexar sua política de bucket ao seu bucket do S3.
Etapa 3: configurar logs de conexão
Siga o procedimento a seguir para configurar logs de conexão a fim de capturar e entregar arquivos de log ao bucket do S3.
Requisitos
O bucket deverá atender aos requisitos descritos na etapa 1 e você deverá anexar uma política de bucket, conforme descrito na etapa 2. Se você especificar um prefixo, ele não deverá incluir a string "AWSLogs”.
Para gerenciar o bucket do S3 para os logs de conexão
Certifique-se de desabilitar os logs de conexão antes de excluir o bucket que você configurou para os logs de conexão. Caso contrário, se houver um novo bucket com o mesmo nome e a política de bucket necessária, mas criado em uma Conta da AWS que não seja de sua propriedade, o Elastic Load Balancing poderá gravar os logs de conexão do balanceador de carga nesse novo bucket.
Etapa 4: Verificar permissões do bucket
Depois que os logs de conexão são habilitados para o balanceador de carga, o Elastic Load Balancing validará o bucket do S3 e criará um arquivo de teste para garantir que a política do bucket especifique as permissões necessárias. Você pode usar o console do Amazon S3 para verificar se o arquivo de teste foi criado. O arquivo de teste não é um arquivo de log de conexão real; ele não contêm registros de exemplo.
Para verificar se o Elastic Load Balancing criou um arquivo de teste no seu bucket do S3
Abra o console do Amazon S3 em https://console.aws.amazon.com/s3/
. -
Selecione o nome do bucket que você especificou para os logs de conexão.
-
Localize o arquivo de teste,
ELBConnectionLogTestFile. O local dependerá de você estar ou não usando um prefixo.-
Localização com um prefixo:
amzn-s3-demo-logging-bucket//prefix/AWSLogs/123456789012ELBConnectionLogTestFile -
Localização sem prefixo:
amzn-s3-demo-logging-bucket//AWSLogs/123456789012ELBConnectionLogTestFile
-
Solução de problemas
Se você receber um erro de acesso negado, as possíveis causas serão:
-
A política do bucket não concede ao Elastic Load Balancing permissão para gravar logs de conexão no bucket. Confira se está usando a política de bucket correta para a região. Confira se o ARN do recurso usa o mesmo nome de bucket que você especificou ao habilitar os logs de conexão. Confira se o ARN do recurso não inclui um prefixo se você não tiver especificado um ao habilitar os logs de conexão.
-
O bucket usa uma opção de criptografia que não é aceita no lado do servidor. O bucket deve usar chaves gerenciadas pelo Amazon S3 (SSE-S3).
