Como soluciono problemas de permissão ao carregar logs de acesso do Elastic Load Balancing para um bucket do Amazon S3?

Data da última atualização: 16/05/2022

Estou carregando logs de acesso do Elastic Load Balancing em um bucket do Amazon Simple Storage Service (Amazon S3) e recebendo erros. Como corrigir isso?

Breve descrição

Para usar logs de acesso com seu balanceador de carga, o balanceador de carga e o bucket do Amazon S3 devem estar na mesma conta. Você também deve anexar uma política de bucket ao bucket do Amazon S3 que permita a permissão do ELB para gravar nesse bucket. Dependendo da mensagem de erro que você receber, consulte a seção de resolução relacionada.

Observação: Network Load Balancers (NLB) oferecem suporte a logs de acesso somente para ouvintes Transport Layer Security (TLS). O log contém informações sobre solicitações TLS feitas ao Network Load Balancer. Não há suporte para o Transmission Control Protocol (TCP).

Resolução

"S3Bucket: my-access-log-bucket não está localizado na mesma região com o ELB: app/my-load-balancer/50dc6c495c0c9188"

Esse erro indica que o bucket e a carga do Amazon S3 não estão localizados na mesma região. O bucket do Amazon S3 pode estar em uma região diferente, mas deve estar na mesma conta que o balanceador de carga.

“Acesso negado para bucket: my-access-log-bucket. Verifique a permissão de S3bucket”

Esse erro indica que o bucket do Amazon S3 não tem uma política que conceda permissão para gravar os logs de acesso.

Para resolver esse erro, verifique se a política de bucket concede permissão para gravar registros no seu bucket. Confirme se você tem os espaços reservados corretos para o nome e o prefixo do seu bucket. Confirme se você tem o ID correto da conta da AWS para o Elastic Load Balancing, com base na região do seu balanceador de carga.

Para obter mais informações sobre as permissões necessárias, consulte:

Se você estiver usando um bucket criptografado, certifique-se de usar uma chave de criptografia gerenciada pelo Amazon S3 (SSE-S3). Outros métodos de criptografia, como chaves do AWS KMS, não são compatíveis com os logs de acesso do Network Load Balancer.

“O nome do bucket solicitado não está disponível. O namespace do bucket é compartilhado por todos os usuários do sistema. Selecione um nome diferente e tente novamente.”

Se você receber esse erro, verifique se o prefixo do bucket de logs de acesso não inclui “AWSLogs”.

Solução de problemas adicionais

Se você verificou a política e a configuração do bucket do S3 e ainda não consegue visualizar os logs, verifique se o balanceador de carga está recebendo tráfego. Para verificar se o balanceador de carga está recebendo tráfego, verifique as métricas ActiveConnectionCount e RequestCount.


Este artigo ajudou?


Precisa de ajuda com faturamento ou suporte técnico?