Como soluciono problemas de permissão ao carregar logs de acesso do Elastic Load Balancing para um bucket do Amazon S3?
Data da última atualização: 16/05/2022
Estou carregando logs de acesso do Elastic Load Balancing em um bucket do Amazon Simple Storage Service (Amazon S3) e recebendo erros. Como corrigir isso?
Breve descrição
Para usar logs de acesso com seu balanceador de carga, o balanceador de carga e o bucket do Amazon S3 devem estar na mesma conta. Você também deve anexar uma política de bucket ao bucket do Amazon S3 que permita a permissão do ELB para gravar nesse bucket. Dependendo da mensagem de erro que você receber, consulte a seção de resolução relacionada.
Observação: Network Load Balancers (NLB) oferecem suporte a logs de acesso somente para ouvintes Transport Layer Security (TLS). O log contém informações sobre solicitações TLS feitas ao Network Load Balancer. Não há suporte para o Transmission Control Protocol (TCP).
Resolução
"S3Bucket: my-access-log-bucket não está localizado na mesma região com o ELB: app/my-load-balancer/50dc6c495c0c9188"
Esse erro indica que o bucket e a carga do Amazon S3 não estão localizados na mesma região. O bucket do Amazon S3 pode estar em uma região diferente, mas deve estar na mesma conta que o balanceador de carga.
“Acesso negado para bucket: my-access-log-bucket. Verifique a permissão de S3bucket”
Esse erro indica que o bucket do Amazon S3 não tem uma política que conceda permissão para gravar os logs de acesso.
Para resolver esse erro, verifique se a política de bucket concede permissão para gravar registros no seu bucket. Confirme se você tem os espaços reservados corretos para o nome e o prefixo do seu bucket. Confirme se você tem o ID correto da conta da AWS para o Elastic Load Balancing, com base na região do seu balanceador de carga.
Para obter mais informações sobre as permissões necessárias, consulte:
- Application Load Balancer: Permissões de bucket
- Network Load Balancer: Requisitos de bucket
- Classic Load Balancer: Anexar uma política ao seu bucket do S3
Se você estiver usando um bucket criptografado, certifique-se de usar uma chave de criptografia gerenciada pelo Amazon S3 (SSE-S3). Outros métodos de criptografia, como chaves do AWS KMS, não são compatíveis com os logs de acesso do Network Load Balancer.
“O nome do bucket solicitado não está disponível. O namespace do bucket é compartilhado por todos os usuários do sistema. Selecione um nome diferente e tente novamente.”
Se você receber esse erro, verifique se o prefixo do bucket de logs de acesso não inclui “AWSLogs”.
Solução de problemas adicionais
Se você verificou a política e a configuração do bucket do S3 e ainda não consegue visualizar os logs, verifique se o balanceador de carga está recebendo tráfego. Para verificar se o balanceador de carga está recebendo tráfego, verifique as métricas ActiveConnectionCount e RequestCount.
Este artigo ajudou?
Precisa de ajuda com faturamento ou suporte técnico?