Wie behebe ich S3-bezogene Fehler beim Einrichten der ELB-Zugriffsprotokollierung?

Kurzbeschreibung

Um Zugriffsprotokolle mit Ihrem Load Balancer zu verwenden, müssen sich der Load Balancer und der Amazon-S3-Bucket im selben Konto befinden. Sie müssen auch eine Bucket-Richtlinie an den Amazon-S3-Bucket anhängen, die ELB-Berechtigung zum Schreiben in den Bucket gewährt. Abhängig von der Fehlermeldung, die Sie erhalten, lesen Sie bitte den entsprechenden Lösungsabschnitt.

Hinweis: Network Load Balancer (NLB) unterstützen Zugriffsprotokolle nur für Transport Layer Security (TLS)-Listener. Das Protokoll enthält Informationen über TLS-Anfragen an den Network Load Balancer. Transmission Control Protocol (TCP) wird nicht unterstützt.

Auflösung

„S3Bucket: my-access-log-bucket befindet sich nicht in derselben Region wie ELB: app/my-load-balancer/50dc6c495c0c9188“

Dieser Fehler weist darauf hin, dass sich Ihr Amazon-S3-Bucket und Ihre Last nicht in derselben AWS-Region befinden. Der Amazon-S3-Bucket kann sich in einer anderen Region befinden, muss sich jedoch im selben Konto wie der Load Balancer befinden.

„Zugriff verweigert für Bucket: my-access-log-bucket. Bitte überprüfen Sie die S3-Bucket-Berechtigung“

Dieser Fehler weist darauf hin, dass der Amazon-S3-Bucket keine Richtlinie hat, die die Berechtigung zum Schreiben der Zugriffsprotokolle gewährt.

Stellen Sie zur Behebung dieses Fehlers sicher, dass die Bucket-Richtlinie die Berechtigung zum Schreiben von Protokollen in Ihren Bucket gewährt. Vergewissern Sie sich, dass Sie die richtigen Platzhalter für den Namen und das Präfix Ihres Buckets haben. Vergewissern Sie sich, dass Sie die richtige ID des AWS-Kontos für Elastic Load Balancing haben, basierend auf der Region für Ihren Load Balancer.

Weitere Informationen zu den erforderlichen Berechtigungen finden Sie unter:

• Application Load Balancer: Bucket-Berechtigungen
• Network Load Balancer: Bucket-Anforderungen
• Classic Load Balancer: Fügen Sie Ihrem S3-Bucket eine Richtlinie hinzu

Serverseitige Verschlüsselung mit verwalteten Amazon-S3-Schlüsseln (SSE-S3) kann verwendet werden, um Zugriffsprotokolle für ELB zu verschlüsseln. Darüber hinaus unterstützen Network Load Balancer von Kunden verwaltete AWS-Key-Management-Service-Schlüssel (AWS KMS) zur Verschlüsselung von Zugriffsprotokollen. Sie können keine von AWS KMS verwalteten Schlüssel für die Verschlüsselung von ELB-Zugriffsprotokollen verwenden. 

„Der angeforderte Bucket-Name ist nicht verfügbar. Der Bucket-Namespace wird von allen Benutzern des Systems gemeinsam genutzt. Bitte wählen Sie einen anderen Namen und versuchen Sie es erneut.“

Wenn Sie diesen Fehler erhalten, stellen Sie sicher, dass Ihr Bucket-Präfix für Zugriffsprotokolle nicht „AWSLogs“ enthält.

Zusätzliche Fehlerbehebung

Wenn Sie Ihre S3-Bucket-Richtlinie und -Konfiguration überprüft haben und immer noch keine Protokolle angezeigt werden, stellen Sie sicher, dass der Load Balancer Datenverkehr empfängt. Um zu prüfen, ob der Load Balancer Datenverkehr empfängt, überprüfen Sie die ActiveConnectionCount- und die RequestCount-Metriken.