Simpline Blog[AWS]ELBのアクセスログ保管

こんにちは。middleです。
いきなり言い訳で恐縮ですが、あんまりよいネタを思いつかなかったので、「最近私が知ったAWSの話シリーズ」をやりたいと思います。

★今回のお題

ELBのログ保管（＆懲りずにCloudFormationのあれやこれ）

★背景

CloudFormationでELBを構築しようとしていたら、「S3Bucket validation transient issue」というエラーが出てスタック作成が失敗してしまいました。
・ELBテンプレート内でS3に関係している部分は、アクセスログの保管先としてS3バケットを指定しているところのみです。

★いきなり結果

何故なのかわからなかったので、伝家の宝刀サポート問い合わせの結果、以下回答をいただきました。

※一部抜粋＆改変してます。

私がログ保管先として指定していたS3バケットはAWS-KMSを利用して暗号化しており、それが原因だということがわかりました。
SSE-S3で暗号化したバケットを新たに作成し、それをログ保管先としたところ、スタック作成が成功しました！

ということで、以下ELBをCloudFormationで構築する場合のポイントをまとめました！

★①S3バケット暗号化（任意）

もちろん暗号化は必須ではないのでここはお任せですが、上述の通り、AWS-KMSは利用しないようにしましょう。

★②S3バケットポリシーでELBに権限許可

ほかのAWSサービス（例えばConfigやCloudWatchLogsなど）ですと、Principalの部分にサービス名を書くのですが、ELBの場合はリージョン毎に特定のアカウントを指定します。
そしてリソースは特定のプレフィックスを指定します。

■参考：
Classic Load Balancer のアクセスログの有効化 – Elastic Load Balancing
Application Load Balancer のアクセスログ – Elastic Load Balancing

※NLBはアクセスログ出力ができないそうなので、気にしません。

今回は東京リージョンでしか使用しないので、テンプレートでは以下のように書いてみました。

この582318560864というのが、東京リージョンのELBアカウントIDです。
複数リージョンで利用する場合は、リージョンによってアカウントIDを書き換えるようなテンプレートにすると便利ですね。諸先輩方がサンプル書かれてるので探してみてください！

そしてリソースとして指定するのは以下です。テンプレートだと青字部分です。

!GetAtt S3BucketForElbLogs.Arnというのが「arn:aws:s3:::bucket」部分（S3バケットのARN）に該当します。
「prefix」は固定しなくてよいかと思ったので「*」にしてみました。
また、自分のアカウントIDは「!Ref AWS::AccountId」と表記することで呼び出すことができます。

★③アクセスログ有効化

ここまでできたら、ELB構築のテンプレート部分でアクセスログ有効化をします。

※こちらはALB仕様です。

※こちらはCLB仕様です。

というわけで以上でELBのアクセスログ有効化にまつわるあれやこれが完了です！
お疲れ様でした 🙂