amazon-web-services - Terraform ELB S3 权限问题

Question

我在使用 Terraform (v0.9.2) 向 ELB 添加服务时遇到问题（我正在使用：https ://github.com/segmentio/stack/blob/master/s3-logs/main.tf ）。

当我运行时，terraform apply我收到此错误：

* module.solr.module.elb.aws_elb.main: 1 error(s) occurred:

* aws_elb.main: Failure configuring ELB attributes: 
    InvalidConfigurationRequest: Access Denied for bucket: my-service-
    logs. Please check S3bucket permission
    status code: 409, request id: xxxxxxxxxx-xxxx-xxxx-xxxxxxxxx

我的服务如下所示：

module "solr" {
  source = "github.com/segmentio/stack/service"
  name = "${var.prefix}-${terraform.env}-solr"
  environment = "${terraform.env}"
  image = "123456789876.dkr.ecr.eu-west-2.amazonaws.com/my-docker-image"
  subnet_ids = "${element(split(",", module.vpc_subnets.private_subnets_id), 3)}"
  security_groups = "${module.security.apache_solr_group}"
  port = "8983"
  cluster = "${module.ecs-cluster.name}"
  log_bucket = "${module.s3_logs.id}"

  iam_role = "${aws_iam_instance_profile.ecs.id}"
  dns_name = ""
  zone_id = "${var.route53_zone_id}"
}

我的 s3-logs 存储桶如下所示：

module "s3_logs" {
  source = "github.com/segmentio/stack/s3-logs"
  name = "${var.prefix}"
  environment = "${terraform.env}"
  account_id = "123456789876"
}

我签入了 S3，存储桶策略如下所示：

{
  "Version": "2012-10-17",
  "Id": "log-bucket-policy",
  "Statement": [
  {
  "Sid": "log-bucket-policy",
  "Effect": "Allow",
  "Principal": {
  "AWS": "arn:aws:iam::123456789876:root"
  },
  "Action": "s3:PutObject",
  "Resource": "arn:aws:s3:::my-service-logs/*"
  }
  ]
}

据我所知，ELB 应该可以访问 S3 存储桶来存储日志（它在同一个 AWS 账户中运行）。

桶和 ELB 都在eu-west-2.

任何关于问题可能是什么的想法都将不胜感激。

Answer 1

ELB 访问日志的文档说您希望允许特定的 Amazon 帐户能够写入 S3，而不是您的帐户。

因此，您想要类似的东西：

{
  "Id": "Policy1429136655940",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1429136633762",
      "Action": [
        "s3:PutObject"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::my-loadbalancer-logs/my-app/AWSLogs/123456789012/*",
      "Principal": {
        "AWS": [
          "652711504416"
        ]
      }
    }
  ]
}

在 Terraform 中，您可以使用aws_elb_service_account 数据源自动获取用于写入日志的帐户 ID，如文档中的示例所示：

data "aws_elb_service_account" "main" {}

resource "aws_s3_bucket" "elb_logs" {
  bucket = "my-elb-tf-test-bucket"
  acl    = "private"

  policy = <<POLICY
{
  "Id": "Policy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "s3:PutObject"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::my-elb-tf-test-bucket/AWSLogs/*",
      "Principal": {
        "AWS": [
          "${data.aws_elb_service_account.main.arn}"
        ]
      }
    }
  ]
}
POLICY
}

resource "aws_elb" "bar" {
  name               = "my-foobar-terraform-elb"
  availability_zones = ["us-west-2a"]

  access_logs {
    bucket   = "${aws_s3_bucket.elb_logs.bucket}"
    interval = 5
  }

  listener {
    instance_port     = 8000
    instance_protocol = "http"
    lb_port           = 80
    lb_protocol       = "http"
  }
}

Answer 2

即使拥有文档中的所有内容，我也不断收到“拒绝访问存储桶”错误。从存储桶中删除加密对我有用。

Answer 3

在存储桶策略中，帐号必须不是您的。相反，它属于 AWS，对于每个区域，您应该在存储桶策略中使用的帐号列在：https ://docs.aws.amazon.com/elasticloadbalancing/latest/classic/enable-access-logs.html #attach-bucket-policy

例如，对于us-east-1地区，帐号是127311923021。

虽然问题是关于 Terraform，但我发布了 CloudFormation 片段，为 ELB 的访问日志创建了一个存储桶，其存储桶策略：

    MyAccessLogsBucket:
        Type: AWS::S3::Bucket
        DeletionPolicy: Retain


    MyAllowELBAccessBucketPolicy:
        Type: AWS::S3::BucketPolicy
        Properties: 
            Bucket: !Ref MyAccessLogsBucket
            PolicyDocument: 
                Version: "2012-10-17"
                Statement: 
                    - Effect: "Allow"
                      Principal: 
                          AWS: "arn:aws:iam::127311923021:root"
                      Action: 
                          - "s3:PutObject"
                      Resource: !Sub "arn:aws:s3:::${MyAccessLogsBucket}/AWSLogs/*"

原则 127311923021上使用，因为这是 AWS 帐号，应该用于us-east-1.

Answer 4

存储桶权限 当您启用访问日志记录时，您必须为访问日志指定一个 S3 存储桶。桶必须满足以下要求。要求 存储桶必须与负载均衡器位于同一区域。需要 Amazon S3 托管的加密密钥 (SSE-S3)。不支持其他加密选项。存储桶必须具有授予 Elastic Load Balancing 将访问日志写入您的存储桶的权限的存储桶策略。存储桶策略是使用访问策略语言编写的 JSON 语句的集合，用于定义存储桶的访问权限。每个语句都包含有关单个权限的信息并包含一系列元素。

使用以下选项之一准备 S3 存储桶以进行访问日志记录。

需要 Amazon S3 托管的加密密钥 (SSE-S3)。不支持其他加密选项。

所以 AWS 文档说不支持 KMS ......

Answer 5

就我而言，它是request_payer设置为Requester. 需要设置BucketOwner为工作。