Comment résoudre les problèmes d'autorisation lors du chargement des journaux d'accès Elastic Load Balancing vers un compartiment Amazon S3 ?

Date de la dernière mise à jour : 16/05/2022

Je charge les journaux d'accès Elastic Load Balancing vers un compartiment Amazon Simple Storage Service (Amazon S3) et je reçois des erreurs. Comment puis-je résoudre ce problème ?

Brève description

Pour utiliser les journaux d'accès avec votre équilibreur de charge, l'équilibreur de charge et le compartiment Amazon S3 doivent se trouver dans le même compte. Vous devez également associer une politique de compartiment au compartiment Amazon S3 qui permet à l'autorisation ELB à écrire dans le compartiment. En fonction du message d'erreur que vous recevez, consultez la section relative à la résolution.

Remarque : Les Network Load Balancers (NLB) prennent en charge les journaux d'accès uniquement pour les écouteurs TLS (Transport Layer Security). Le journal contient des informations sur les requêtes TLS adressées au Network Load Balancer. TCP (Transmission Control Protocol) n'est pas pris en charge.

Solution

« S3Bucket: my-access-log-bucket is not located in the same region with ELB: app/my-load-balancer/50dc6c495c0c9188 »

Cette erreur indique que votre compartiment Amazon S3 et la charge ne se trouvent pas dans la même région. Le compartiment Amazon S3 peut se trouver dans une région différente mais doit se trouver dans le même compte que l'équilibreur de charge.

« Access Denied for bucket: my-access-log-bucket. Please check S3bucket permission »

Cette erreur indique que le compartiment Amazon S3 ne possède pas de politique accordant l'autorisation d'écrire les journaux d'accès.

Pour résoudre cette erreur, vérifiez que la politique de compartiment accorde l'autorisation d'écrire des journaux dans votre compartiment. Vérifiez que vous avez les bons espaces réservés pour le nom et le préfixe de votre compartiment. Vérifiez que vous disposez de l'ID correct du compte AWS pour la répartition de charge Elastic, en fonction de la région de votre équilibreur de charge.

Pour plus d'informations sur les autorisations requises, voir :

Si vous utilisez un compartiment chiffré, assurez-vous d'utiliser une clé de chiffrement gérée par Amazon S3 (SSE-S3). Les autres méthodes de chiffrement, telles que les clés AWS KMS, ne sont pas prises en charge pour les journaux d'accès au Network Load Balancer.

« The requested bucket name is not available. The bucket namespace is shared by all users of the system. Please select a different name and try again. »

Si vous recevez cette erreur, vérifiez que le préfixe de compartiment des journaux d'accès n'inclut pas « AWSLogs ».

Dépannage supplémentaire

Si vous avez vérifié la politique et la configuration de votre compartiment S3 et que vous ne parvenez toujours pas à afficher les journaux, vérifiez que l'équilibreur de charge reçoit du trafic. Pour vérifier si l'équilibreur de charge reçoit du trafic, vérifiez les métriques ActiveConnectionCount et RequestCount.


Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?