NLBのTLSリスナーを不特定多数のクライアントがHTTPS接続するシステムでは、NLBのアクセスログを設定する事をおすすめします。今回利用したCloudFormationテンプレートです。てんとタカハシ2020.07.22若槻龍太2020.07.21しんや2020.07.21キム インソ2020.07.20 紹介させていただきます。TLSリスナーで利用するサーバ証明書、同一リージョンのACMに登録済みの証明書のARNを指定し利用します。EIP、TLSリスナー設定を行ったNLB、S3へのアクセスログ出力を有効化しています。ログ保存に伴うS3費用を抑制するため、S3に保存したログは14日で自動削除、 CloudFormationでS3バケット作成、ライフサイクルルール・バケットポリシーの設定をしたのでCloudFormationのテンプレート紹介と説明をしていきます。(CloudFormationはCFnと以下略)そもそもS3バケットの作成目的はCloudWatch LogsからS3へエクスポートするためでした。GitHub Gistにもあげておきました -> S３バケットの作成しますスタックを削除しても作成したS3バケットは残すようにDeletionPolicyでRetainを指定します。バケットの公開をブロックするための設定パラメータです。オブジェクトが作成されてから削除するまでの日数を指定します。Prefixを指定することで、ライフサイクルルールを特定のオブジェクトだけに適用できます。ストレージクラスを移行するために使用します。CWLogsExportBucketのバケットポリシーを作成しますPolicyDocumentにバケットポリシーの内容を記述していきます。 TLS リスナーを有効とした Network Load Balancer (NLB)と、 テンプレートはライフサイクル、権限（操作する部署・チーム）が同じものでまとめる; Web用、DB用、ネットワーク用等、管理者ごとチームごとに分割する; IAM を使用したアクセス制御. suzuki.ryoAWSチームのすずきです。CloudFormationを利用して 従来のELB(ALB/CLB) 用の許可に加え、NLBのS3アクセスログを担う「delivery.logs.amazonaws.com」に対し、「s3:PutObject」、「s3:GetBucketAcl」の許可を付与、 CloudFormationを利用して TLS リスナーを有効とした Network Load Balancer (NLB)と、 NLB のアクセスログ保存を許可するバケットポリシーと、ライフサイクル設定を行ったS3バケットを作成する機会がありましたので、 紹介させていただきます。 CloudFormationの操作（スタックの作成・表示・削除）をIAMの権限で制御できる NLB のアクセスログ保存を許可するバケットポリシーと、ライフサイクル設定を行ったS3バケットを作成する機会がありましたので、 オブジェクトがライフサイクルを通じてコスト効率の高い方法で保存されるように管理するには、Amazon S3 ライフサイクルを設定します。S3 ライフサイクル 設定は、Amazon S3 がオブジェクトのグループに適用するアクションを定義する一連のルールです。 次の 2 種類のアクションがあります。 Webコンソール設定を踏襲し、 誤操作に備えて有効化したバージョニング情報は、7日間保持する設定としました。Webコンソールで新規作成したS3バケットを踏襲し、パブリックアクセスを制限する設定を行いました。Webコンソール (EC2ダッシュボード) の「ロードバランサー設定」で アクセスログの設定時に「この場所の作成」をチェックして作成したS3バケットは、 ALB/CLB 、NLB のアクセスログ保存先として利用できるS3バケットポリシーを作成しました。既存の ELB アクセスログ 用に設定されたS3 バケットを NLBのアクセスログ保存先とする場合、パケットポリシーの追記が必要です。 ALB/CLB 用と、 NLB 用のバケットポリシーが併記されます。(2019年6月現在)S3バケットポリシー

NLBのアクセスログ 、HTTPS 接続に問題が発生した際のトラブルシューティングに有用な情報が記録されています。 CloudFormationでS3バケット作成、ライフサイクルルール・バケットポリシーの設定をしたのでCloudFormationのテンプレート紹介と説明をしていきます。(CloudFormationはCFnと以下略) そもそもS3バケットの作成目的はCloudWatch LogsからS3へエクスポートするためでした。