web-dev-qa-db-fra.com

Problème d'autorisations Terraform ELB S3

Je rencontre un problème d'utilisation de Terraform (v0.9.2) lors de l'ajout de services à un ELB (J'utilise: https://github.com/segmentio/stack/blob/master/s3-logs/main.tf ).

Quand j'exécute terraform apply j'obtiens cette erreur:

* module.solr.module.elb.aws_elb.main: 1 error(s) occurred:

* aws_elb.main: Failure configuring ELB attributes: 
    InvalidConfigurationRequest: Access Denied for bucket: my-service-
    logs. Please check S3bucket permission
    status code: 409, request id: xxxxxxxxxx-xxxx-xxxx-xxxxxxxxx

Mon service ressemble à ceci:

module "solr" {
  source = "github.com/segmentio/stack/service"
  name = "${var.prefix}-${terraform.env}-solr"
  environment = "${terraform.env}"
  image = "123456789876.dkr.ecr.eu-west-2.amazonaws.com/my-docker-image"
  subnet_ids = "${element(split(",", module.vpc_subnets.private_subnets_id), 3)}"
  security_groups = "${module.security.Apache_solr_group}"
  port = "8983"
  cluster = "${module.ecs-cluster.name}"
  log_bucket = "${module.s3_logs.id}"

  iam_role = "${aws_iam_instance_profile.ecs.id}"
  dns_name = ""
  zone_id = "${var.route53_zone_id}"
}

Mon compartiment s3-logs ressemble à ceci:

module "s3_logs" {
  source = "github.com/segmentio/stack/s3-logs"
  name = "${var.prefix}"
  environment = "${terraform.env}"
  account_id = "123456789876"
}

J'ai vérifié dans S3 et la politique de compartiment ressemble à ceci:

{
  "Version": "2012-10-17",
  "Id": "log-bucket-policy",
  "Statement": [
  {
  "Sid": "log-bucket-policy",
  "Effect": "Allow",
  "Principal": {
  "AWS": "arn:aws:iam::123456789876:root"
  },
  "Action": "s3:PutObject",
  "Resource": "arn:aws:s3:::my-service-logs/*"
  }
  ]
}

Autant que je sache, ELB devrait avoir accès au compartiment S3 pour stocker les journaux (il s'exécute dans le même compte AWS).

Le compartiment et l'ELB sont tous dans eu-west-2.

Toute idée sur ce que le problème pourrait être serait très appréciée.

amazon-web-servicesamazon-s3terraformelastic-load-balancer
9
LondonAppDev

Les journaux des accès docs for ELB indiquent que vous souhaitez autoriser un compte Amazon spécifique à écrire sur S3, et non votre compte.

En tant que tel, vous voulez quelque chose comme:

{
  "Id": "Policy1429136655940",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1429136633762",
      "Action": [
        "s3:PutObject"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::my-loadbalancer-logs/my-app/AWSLogs/123456789012/*",
      "Principal": {
        "AWS": [
          "652711504416"
        ]
      }
    }
  ]
}

Dans Terraform, vous pouvez utiliser la source de données aws_elb_service_account pour extraire automatiquement l'ID de compte utilisé pour l'écriture des journaux, comme vous pouvez le voir dans l'exemple de la documentation:

data "aws_elb_service_account" "main" {}

resource "aws_s3_bucket" "elb_logs" {
  bucket = "my-elb-tf-test-bucket"
  acl    = "private"

  policy = <<POLICY
{
  "Id": "Policy",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "s3:PutObject"
      ],
      "Effect": "Allow",
      "Resource": "arn:aws:s3:::my-elb-tf-test-bucket/AWSLogs/*",
      "Principal": {
        "AWS": [
          "${data.aws_elb_service_account.main.arn}"
        ]
      }
    }
  ]
}
POLICY
}

resource "aws_elb" "bar" {
  name               = "my-foobar-terraform-elb"
  availability_zones = ["us-west-2a"]

  access_logs {
    bucket   = "${aws_s3_bucket.elb_logs.bucket}"
    interval = 5
  }

  listener {
    instance_port     = 8000
    instance_protocol = "http"
    lb_port           = 80
    lb_protocol       = "http"
  }
}
18
ydaetskcoR

Même lorsque tout était dans la documentation, je continuais à avoir l'erreur «Accès refusé pour le compartiment». Supprimer le cryptage du compartiment a fonctionné pour moi.

0
hernvnc