本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 Application Load Balancer 启用访问日志
在为负载均衡器启用访问日志时,您必须指定负载均衡器将在其中存储日志的 S3 存储桶的名称。存储桶必须具有为 Elastic Load Balancing 授予写入存储桶的权限的存储桶策略。
步骤 1:创建 S3 存储桶
在启用访问日志时,您必须为访问日志指定 S3 存储桶。您可以使用现有存储桶,也可以创建专门用于访问日志的存储桶。存储桶必须满足以下要求。
要求
-
存储桶必须位于与负载均衡器相同的区域中。该存储桶和负载均衡器可由不同的账户拥有。
-
唯一支持的服务器端加密选项是 Amazon S3 托管密钥 (SSE-S3)。有关更多信息,请参阅 Amazon S3 托管的加密密钥 (SSE- S3)。
使用 Amazon S3 控制台创建 S3 存储桶。
-
打开 Amazon S3 控制台,网址为https://console.aws.amazon.com/s3/
。 -
选择 Create bucket (创建存储桶)。
-
在 Create a bucket (创建存储桶) 页上,执行以下操作:
-
对于存储桶名称,请输入存储桶的名称。此名称在 Amazon S3 内所有现有存储桶名称中必须唯一。在某些区域,可能对存储桶名称有其他限制。有关更多信息,请参阅 《Amazon Simple Storage Service 用户指南》中的存储桶限制。
-
对于 Amazon 区域,选择在其中创建负载均衡器的区域。
-
对于默认加密,请选择亚马逊 S3 托管密钥 (SSE- S3)。
-
选择创建存储桶。
-
步骤 2:将策略附加到 S3 存储桶
S3 存储桶必须具有为 Elastic Load Balancing 授予将访问日志写入存储桶的权限的存储桶策略。存储桶策略是用访问策略语言编写的一组语JSON句,用于定义存储桶的访问权限。每个语句都包括有关单个权限的信息并包含一系列元素。
如果您正在使用具有附加策略的现有存储桶,则可以将 Elastic Load Balancing 访问日志的语句添加到该策略。如果您这样做,则建议您评估生成的权限集,以确保它们适用于需要具有对访问日志的存储桶的访问权的用户。
可用的存储桶策略
您将使用的存储桶策略取决于区域的类型 Amazon Web Services 区域 和类型。 以下每个可扩展部分都包含存储桶策略,以及有关何时使用该策略的信息。
该策略向指定的日志传送服务授予权限。将此策略用于以下区域的可用区和本地区中的负载均衡器:
亚太地区(海得拉巴)
亚太地区(马来西亚)
亚太地区(墨尔本)
加拿大西部(卡尔加里)
欧洲(西班牙)
欧洲(苏黎世)
以色列(特拉维夫)
中东 (UAE)
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "logdelivery.elasticloadbalancing.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "
s3-bucket-arn
" } ] }
Replace(替换) s3-bucket-arn
以及ARN您的访问日志所在的位置。ARN您指定的取决于您是否计划在步骤 3 中启用访问日志时包含前缀。
ARN带前缀的 S3 存储桶示例
存储桶名称为amzn-s3-demo-logging-bucket
,前缀为logging-prefix
,负载均衡器 Amazon 账户的 ID 为111122223333
。
arn:aws:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/111122223333/*
不ARN带前缀的 S3 存储桶示例
存储桶名称为amzn-s3-demo-logging-bucket
,负载均衡器 Amazon 账户的 ID 为111122223333
。
arn:aws:s3:::amzn-s3-demo-logging-bucket/AWSLogs/111122223333/*
使用 NotPrincipal 什么时候 Effect 为 Deny
如果 Amazon S3 存储桶策略使用值为 Deny
的 Effect
并包含 NotPrincipal
(如下例所示),请确保在 Service
列表中包含 logdelivery.elasticloadbalancing.amazonaws.com
。
{ "Effect": "Deny", "NotPrincipal": { "Service": [ "logdelivery.elasticloadbalancing.amazonaws.com", "example.com" ] } },
该策略向指定的 Elastic Load Balancing 账户 ID 授予权限。将此策略用于以下所列 区域的可用区或 Local Zones 中的负载均衡器。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
elb-account-id
:root" }, "Action": "s3:PutObject", "Resource": "s3-bucket-arn
" } ] }
Replace(替换) elb-account-id
以及您所在地区的 Elastic Load Balancing 的 ID: Amazon Web Services 账户
-
中国(北京)– 638102146993
-
中国(宁夏)– 037604701340
Replace(替换) s3-bucket-arn
以及ARN您的访问日志所在的位置。ARN您指定的取决于您是否计划在步骤 3 中启用访问日志时包含前缀。
ARN带前缀的 S3 存储桶示例
存储桶名称为amzn-s3-demo-logging-bucket
,前缀为logging-prefix
,负载均衡器 Amazon 账户的 ID 为111122223333
。
arn:aws:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/111122223333/*
不ARN带前缀的 S3 存储桶示例
存储桶名称为amzn-s3-demo-logging-bucket
,负载均衡器 Amazon 账户的 ID 为111122223333
。
arn:aws:s3:::amzn-s3-demo-logging-bucket/AWSLogs/111122223333/*
使用 NotPrincipal 什么时候 Effect 为 Deny
如果 Amazon S3 存储桶策略使用值为 Deny
的 Effect
并包含 NotPrincipal
(如下例所示),请确保在 Service
列表中包含 logdelivery.elasticloadbalancing.amazonaws.com
。
{ "Effect": "Deny", "NotPrincipal": { "Service": [ "logdelivery.elasticloadbalancing.amazonaws.com", "example.com" ] } },
以下策略向指定的日志传送服务授予权限。将此策略用于 Outposts 区域中的负载均衡器。
{ "Effect": "Allow", "Principal": { "Service": "logdelivery.elb.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "
s3-bucket-arn
, "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } }
Replace(替换) s3-bucket-arn
以及ARN您的访问日志所在的位置。ARN您指定的取决于您是否计划在步骤 3 中启用访问日志时包含前缀。
arn:aws:s3:::amzn-s3-demo-logging-bucket/logging-prefix/AWSLogs/111122223333/*
arn:aws:s3:::amzn-s3-demo-logging-bucket/AWSLogs/111122223333/*
使用 NotPrincipal 什么时候 Effect 为 Deny
如果 Amazon S3 存储桶策略使用值为 Deny
的 Effect
并包含 NotPrincipal
(如下例所示),请确保在 Service
列表中包含 logdelivery.elasticloadbalancing.amazonaws.com
。
{ "Effect": "Deny", "NotPrincipal": { "Service": [ "logdelivery.elasticloadbalancing.amazonaws.com", "example.com" ] } },
使用 Amazon S3 控制台将访问日志的存储桶策略附加到您的存储桶
打开 Amazon S3 控制台,网址为https://console.aws.amazon.com/s3/
。 -
选择存储桶的名称以打开其详细信息页面。
-
选择 Permissions(权限),然后选择 Bucket policy(存储桶策略)、Edit(编辑)。
-
更新存储桶策略以授予所需权限。
-
选择 Save changes(保存更改)。
步骤 3:配置访问日志
使用以下过程配置访问日志,以捕获请求信息并将日志文件传输到 S3 存储桶。
要求
存储桶必须满足第 1 步中所描述的要求,并且必须附加第 2 步中所描述的存储桶策略。如果包含前缀,则不得包含字符串 “AWSLogs”。
使用控制台为负载均衡器启用访问日志
打开亚马逊EC2控制台,网址为https://console.aws.amazon.com/ec2/
。 -
在导航窗格中,选择负载均衡器。
-
选择您的负载均衡器的名称以打开其详细信息页面。
-
在属性选项卡上,选择编辑。
-
对于监控,打开访问日志。
-
对于 S3 URI,请输入日志文件URI的 S3。URI您指定的取决于您是否使用前缀。
-
URI前缀为:s3://
amzn-s3-demo-logging-bucket
/logging-prefix
-
URI不带前缀:s3://
amzn-s3-demo-logging-bucket
-
-
选择 Save changes(保存更改)。
要启用访问日志,请使用 Amazon CLI
使用modify-load-balancer-attributes命令。
管理保存访问日志的 S3 存储桶
要删除您配置用于访问日志的存储桶,请确保首先禁用访问日志。否则,如果在一个不属于您的 Amazon Web Services 账户 中创建了具有相同名称和必要的存储桶策略的新存储桶,Elastic Load Balancing 会将您的负载均衡器的访问日志写入这个新存储桶。
步骤 4:确认存储桶权限
在为负载均衡器启用访问日志后,Elastic Load Balancing 将验证 S3 存储桶,并创建测试文件以确保存储桶策略指定所需权限。您可以使用 Amazon S3 控制台验证是否已创建测试文件。测试文件不是实际的访问日志文件;它不包含示例记录。
使用 Amazon S3 控制台验证您的存储桶中是否创建了测试文件
打开 Amazon S3 控制台,网址为https://console.aws.amazon.com/s3/
。 -
选择您指定用于访问日志的存储桶的名称。
-
导航到测试文件
ELBAccessLogTestFile
。位置取决于您是否使用前缀。-
带前缀的位置:
amzn-s3-demo-logging-bucket
/logging-prefix
/AWSLogs/123456789012
/ELBAccessLogTestFile -
没有前缀的位置:
amzn-s3-demo-logging-bucket
/AWSLogs/123456789012
/ELBAccessLogTestFile
-
问题排查
如果您遇到访问被拒绝错误,则可能的原因如下:
-
存储桶策略没有为 Elastic Load Balancing 授予将访问日志写入存储桶的权限。确认您使用的是该区域正确的存储桶策略。确认该资源ARN使用的存储桶名称与您在启用访问日志时指定的存储桶名称相同。如果您在启用访问日志时ARN未指定前缀,请验证资源是否不包含前缀。
-
存储桶使用不支持的服务器端加密选项。存储桶必须使用亚马逊 S3 托管的密钥 (SSE-S3)。