Comment activer la journalisation pour ma distribution CloudFront ?

Brève description

Les journaux standard CloudFront, ou journaux d'accès, détaillent chaque requête adressée à une distribution CloudFront. Ces journaux sont envoyés à un compartiment Amazon Simple Storage Service (Amazon S3). CloudFront ne facture pas les journaux standard. Toutefois, vous pouvez accumuler des frais Amazon S3 pour le stockage et l'accès aux fichiers sur Amazon S3.

Les journaux CloudFront en temps réel fournissent des informations sur les requêtes adressées à une distribution au moment où elles se produisent. Vous configurez le pourcentage de requêtes et de champs spécifiques que vous souhaitez recevoir dans les enregistrements de journaux. Ces journaux sont envoyés à Amazon Kinesis Data Streams. Les journaux en temps réel sont facturés en fonction du nombre de lignes de journal qui sont générées. Pour plus d'informations sur la tarification de CloudFront, consultez la page Tarification de CloudFront. Pour en savoir plus sur les coûts liés à Kinesis Data Streams, consultez la page de Tarification d'Amazon Kinesis Data Streams.

Solution

Activer les journaux standard CloudFront

Avant d'activer les journaux d'accès standard pour votre distribution CloudFront, prenez en compte ce qui suit :

• Ne choisissez pas un compartiment Amazon S3 dont la propriété de l'objet S3 est définie sur propriétaire du compartiment. Ce paramètre supprime les listes de contrôle d'accès réseau (ACL) pour le compartiment et les objets qu'il contient, ce qui signifie que CloudFront ne peut pas fournir de fichiers journaux au compartiment.
• CloudFront ne fournit pas de journaux standard aux compartiments Amazon S3 dans les Régions AWS suivantes : Afrique (Le Cap), Asie-Pacifique (Hong Kong), Asie-Pacifique (Jakarta), Europe (Milan) et Moyen-Orient (Bahreïn).
• Votre compte AWS doit disposer des autorisations s3:GetBucketAcl et s3:PutBucketAcl pour le compartiment Amazon S3 dans lequel vous souhaitez envoyer les journaux.
• Le réseau ACL pour le compartiment Amazon S3 doit accorder à votre compte la permission : AWS FULL_CONTROL. Si vous êtes le propriétaire du compartiment, votre compte dispose de cette autorisation par défaut. Si vous n'êtes pas le propriétaire du compartiment, alors le propriétaire du compartiment doit mettre à jour l'ACL du compartiment.
• Si le compartiment Amazon S3 utilise un chiffrement côté serveur avec des clés AWS KMS (SSE-KMS) au moyen d'une clé gérée par le client, vous devez disposer de la politique de clé requise pour les compartiments SSE-KMS.

Pour activer la journalisation standard pour une distribution CloudFront, procédez comme suit :

1. Ouvrez la console CloudFront.
2. Choisissez la distribution que vous souhaitez mettre à jour.
3. Dans l'onglet Général, sous Paramètres, choisissez Modifier.
4. Pour la journalisation standard, sélectionnez Activé.
5. Choisissez le compartiment S3 dans lequel vous souhaitez que CloudFront envoie les fichiers journaux. Vous pouvez spécifier un préfixe facultatif pour les noms de fichiers.
6. (Facultatif) Pour l'enregistrement des cookies, sélectionnez Activé ou Désactivé. Si cette option est activée, CloudFront enregistre les cookies dans toutes les requêtes, quels que soient les cookies que vous choisissez de transmettre à l'origine.
7. Choisissez Enregistrer les modifications.

Activer les journaux CloudFront en temps réel

1. Ouvrez la console CloudFront.
2. Dans le panneau de navigation de gauche, sélectionnez Journaux.
3. Choisissez l'onglet Configurations en temps réel.
4. Choisissez Créer une configuration.
5. Pour Taux d'échantillonnage, saisissez le pourcentage de requêtes pour lesquelles vous souhaitez recevoir des journaux en temps réel.
6. Pour Champs, choisissez les champs spécifiques que vous souhaitez recevoir dans les enregistrements de journaux. Dans la liste déroulante Choisir les options, sélectionnez les champs que vous souhaitez inclure dans la configuration.
7. Choisissez un ou plusieurs flux de données Kinesis pour recevoir des journaux en temps réel.
   Remarque : les journaux en temps réel CloudFront sont distribués vers le flux de données de votre choix dans Amazon Kinesis Data Streams. Pour lire et analyser vos journaux en temps réel, vous pouvez créer votre propre consommateur de flux de données Kinesis. Vous pouvez également utiliser Amazon Kinesis Data Firehose pour envoyer les données des journaux à Amazon S3, Amazon Redshift, Amazon OpenSearch Service ou un service de traitement des journaux tiers.
8. Pour Rôle IAM, choisissez Créer une nouvelle fonction du service pour que la console crée un rôle IAM pour vous. Pour utiliser cette option, vous devez être autorisé à créer des rôles IAM.
   -ou-
   Utilisez un rôle IAM existant.
9. (Facultatif) Dans la section Distribution, choisissez une distribution CloudFront et un comportement de cache à associer à la configuration des journaux en temps réel.
10. Choisissez Créer une configuration.