Comment puis-je résoudre les erreurs liées à S3 lors de la configuration de la journalisation des accès ELB ?

Lecture de 3 minute(s)
0

Je reçois une erreur lors de la configuration des journaux d'accès Elastic Load Balancing (ELB) à l'aide d'un compartiment Amazon Simple Storage Service (Amazon S3).

Brève description

Pour utiliser les journaux d'accès avec votre équilibreur de charge, l'équilibreur de charge et le compartiment Amazon S3 doivent se trouver dans le même compte. Vous devez également associer une politique de compartiment au compartiment Amazon S3 qui permet à l'autorisation ELB à écrire dans le compartiment. En fonction du message d'erreur que vous recevez, consultez la section relative à la résolution.

Remarque : Les Network Load Balancers (NLB) prennent en charge les journaux d'accès uniquement pour les écouteurs TLS (Transport Layer Security). Le journal contient des informations sur les requêtes TLS adressées au Network Load Balancer. TCP (Transmission Control Protocol) n'est pas pris en charge.

Solution

« S3Bucket: my-access-log-bucket is not located in the same region with ELB: app/my-load-balancer/50dc6c495c0c9188 »

Cette erreur indique que votre compartiment Amazon S3 et la charge ne se trouvent pas dans la même région AWS. Le compartiment Amazon S3 peut se trouver dans une région différente mais doit se trouver dans le même compte que l'équilibreur de charge.

« Access Denied for bucket: my-access-log-bucket. Please check S3bucket permission »

Cette erreur indique que le compartiment Amazon S3 ne possède pas de politique accordant l'autorisation d'écrire les journaux d'accès.

Pour résoudre cette erreur, vérifiez que la politique de compartiment accorde l'autorisation d'écrire des journaux dans votre compartiment. Vérifiez que vous avez les bons espaces réservés pour le nom et le préfixe de votre compartiment. Vérifiez que vous disposez de l'ID correct du compte AWS pour la répartition de charge Elastic, en fonction de la région de votre équilibreur de charge.

Pour plus d'informations sur les autorisations requises, voir :

Le chiffrement côté serveur à l'aide de clés gérées par Amazon S3 (SSE-S3) peut être utilisé pour crypter les journaux d'accès pour ELB. En outre, les Network Load Balancers prennent en charge les AWS Key Management Service (AWS KMS) pour chiffrer les journaux d'accès. Vous ne pouvez pas utiliser les clés gérées AWS KMS pour chiffrer les journaux d'accès à l'ELB. 

« Le nom de compartiment demandé n'est pas disponible. The bucket namespace is shared by all users of the system. Please select a different name and try again. »

Si vous recevez cette erreur, vérifiez que le préfixe de compartiment des journaux d'accès n'inclut pas « AWSLogs ».

Dépannage supplémentaire

Si vous avez vérifié la politique et la configuration de votre compartiment S3, mais et que vous ne parvenez toujours pas à afficher les journaux, vérifiez que l'équilibreur de charge reçoit du trafic. Pour vérifier si l'équilibreur de charge reçoit du trafic, vérifiez les métriques ActiveConnectionCount et RequestCount.


AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an