Comment résoudre les erreurs liées à S3 lorsque je configure les journaux d’accès ELB ?

Brève description

Pour utiliser les journaux d’accès avec votre équilibreur de charge, vous devez associer une politique de compartiment au compartiment Amazon S3. La politique de compartiment doit inclure des autorisations pour qu’ELB puisse écrire dans le compartiment.

Remarque : Les Network Load Balancers prennent en charge les journaux d'accès uniquement pour les écouteurs TLS (Transport Layer Security). Le journal d’accès contient des informations sur les requêtes TLS adressées au Network Load Balancer. Les Network Load Balancers ne prennent pas en charge le protocole TCP (Transmission Control Protocol).

Résolution

Erreur dans le compartiment de la région AWS

Vous recevez le message d’erreur, « S3Bucket: my-access-log-bucket is not located in the same region with ELB: app/my-load-balancer/50dc6c495c0c9188 » (S3Bucket : my-access-log-bucket n’est pas situé dans la même région qu’ELB : app/my-load-balancer/50dc6c495c0c9188).

Cette erreur se produit lorsque votre compartiment Amazon S3 et votre équilibreur de charge ne se trouvent pas dans la même région AWS. Le compartiment Amazon S3 peut se trouver dans un compte AWS différent mais doit se trouver dans la même région que celle de l’équilibreur de charge.

Pour résoudre ce problème, déplacez le compartiment S3 vers la même région que celle de l'équilibreur de charge.

Erreur d’autorisation du compartiment

Le message d'erreur suivant s'affiche : « Access Denied for bucket: my-access-log-bucket. Please check S3bucket permission » (Accès refusé pour le compartiment : my-access-log-bucket. Veuillez vérifier l’autorisation S3bucket).

Cette erreur se produit lorsque le compartiment Amazon S3 ne dispose pas d’une politique autorisant l’écriture des journaux d’accès.

Pour résoudre ce problème, associez une politique de compartiment au compartiment S3 qui autorise ELB à écrire des journaux dans votre compartiment. Vérifiez que vous disposez des espaces réservés adéquats pour le nom et le préfixe de votre compartiment. Aussi, vérifiez que vous disposez de l’ID de compte approprié pour ELB, en fonction de la région de votre équilibreur de charge.

Pour plus d’informations sur les autorisations requises, consultez les rubriques suivantes :

• Application Load Balancer : Associer une politique à votre compartiment S3
• Network Load Balancer : Exigences relatives au compartiment
• Classic Load Balancer : Associer une politique à votre compartiment S3

Pour chiffrer les journaux d’accès pour ELB, vous pouvez utiliser le chiffrement côté serveur avec des clés gérées Amazon S3 (SSE-S3). En outre, les Network Load Balancers prennent en charge les clés gérées par les clients AWS Key Management Service (AWS KMS) pour chiffrer les journaux d'accès. Vous ne pouvez pas utiliser les clés gérées par AWS KMS pour chiffrer les journaux d’accès ELB.

Erreur d’espace de noms de compartiment

Le message d'erreur suivant s'affiche : « The value of 'access_logs.s3.prefix' cannot start with 'AWSLogs' ».

This error occurs when the access log's S3 bucket prefix includes AWSLogs. (La valeur de 'access_logs.s3.prefix' ne peut pas commencer par 'AWSLogs'. Cette erreur se produit lorsque le préfixe de compartiment du journal d’accès inclut « AWSLogs »). Pour résoudre ce problème, supprimez AWSLogs du préfixe de compartiment S3 de votre journal d'accès.

Résolution de problèmes supplémentaires

Si la politique et la configuration de votre compartiment S3 sont correctes mais que vous ne parvenez toujours pas à consulter les journaux, vérifiez que l’équilibreur de charge reçoit le trafic. Vérifiez les métriques de l’équilibreur de charge ActiveConnectionCount et RequestCount.