¿Cómo soluciono problemas de permisos al cargar los registros de acceso de Elastic Load Balancing en un bucket de Amazon S3?

Última actualización: 16/05/2022

Estoy cargando los registros de acceso de Elastic Load Balancing en un bucket de Amazon Simple Storage Service (Amazon S3) y obtengo errores. ¿Cómo soluciono este problema?

Descripción corta

Para usar los registros de acceso con el equilibrador de carga, el equilibrador de carga y el bucket de Amazon S3 deben estar en la misma cuenta. También debe adjuntar una política de bucket al bucket de Amazon S3 que le permita a ELB escribir en el bucket. Según el mensaje de error que reciba, consulte la sección de resolución correspondiente.

Nota: Network Load Balancers (NLB) admiten registros de acceso solo para los oyentes de seguridad de la capa de transporte (TLS). El registro contiene información sobre las solicitudes de TLS realizadas al Network Load Balancer. No se admite el protocolo de control de transmisión (TCP).

Resolución

“S3Bucket: my-access-log-bucket no está ubicado en la misma región que ELB: app/my-load-balancer/50dc6c495c0c9188”

Este error indica que el bucket y la carga de Amazon S3 no se encuentran en la misma región. El bucket de Amazon S3 puede estar en una región diferente, pero debe estar en la misma cuenta que el equilibrador de carga.

“Acceso denegado para bucket: my-access-log-bucket. Comprobar el permiso de S3bucket”

Este error indica que el bucket de Amazon S3 no tiene una política que concede permiso para escribir los registros de acceso.

Para resolver este error, verifique que la política de bucket conceda permiso para escribir registros en el bucket. Confirme que tiene los marcadores de posición correctos para el nombre y el prefijo de su bucket. Confirme que tiene el ID correcto de la cuenta de AWS para Elastic Load Balancing, según la región del equilibrador de carga.

Para obtener más información sobre los permisos requeridos, consulte:

Si utiliza un bucket cifrado, asegúrese de usar una clave de cifrado administrada por Amazon S3 (SSE-S3). Otros métodos de cifrado, como las claves de AWS KMS, no se admiten para los registros de acceso de Network Load Balancer.

“El nombre del bucket solicitado no está disponible. Todos los usuarios del sistema comparten el espacio de nombres del bucket. Seleccione otro nombre e inténtalo de nuevo”.

Si recibe este error, compruebe que el prefijo del bucket de registros de acceso no incluya “AWSLogs”.

Soluciones de problemas adicionales

Si verificó su política y configuración de bucket de S3 y sigue sin poder ver los registros, verifique que el equilibrador de carga recibe tráfico. Para comprobar si el equilibrador de carga recibe tráfico, compruebe las métricas ActiveConnectionCount y RequestCount.


¿Le resultó útil este artículo?


¿Necesita asistencia técnica o con la facturación?