Transmisión de entrega de Amazon Data Firehose - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Directrices de configuraciónPermisos para el registro de

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Transmisión de entrega de Amazon Data Firehose

En esta sección se proporciona información para enviar tus registros de tráfico de ACL web a una transmisión de entrega de Amazon Data Firehose.

nota

Se le cobrará por el registro además de los cargos por su uso de AWS WAF. Para obtener más información, consulte Precios para registrar la información de tráfico de la ACL web.

Para enviar registros a Amazon Data Firehose, debe enviar los registros desde su ACL web a una transmisión de entrega de Amazon Data Firehose que configure en Firehose. Después de habilitar el registro, AWS WAF entrega los registros a su destino de almacenamiento a través del punto de conexión HTTPS de Firehose.

Un AWS WAF registro equivale a un registro de Firehose. Si normalmente recibes 10 000 solicitudes por segundo y habilitas los registros completos, deberías tener una configuración de 10 000 registros por segundo en Firehose. Si no configuras Firehose correctamente, no AWS WAF registrará todos los registros. Para obtener más información, consulte Cuotas de Amazon Kinesis Data Firehose.

Para obtener información sobre cómo crear una transmisión de entrega de Amazon Data Firehose y revisar los registros almacenados, consulta ¿Qué es Amazon Data Firehose?

Para obtener información sobre cómo crear tu flujo de entrega, consulta Cómo crear un flujo de entrega de Amazon Data Firehose.

Configuración de una transmisión de entrega de Amazon Data Firehose para su ACL web

Configure una transmisión de entrega de Amazon Data Firehose para su ACL web de la siguiente manera.

  • Créelo con la misma cuenta que utiliza para administrar la ACL web.

  • Créelo en la misma región que la ACL web. Si está capturando troncos para Amazon CloudFront, cree la manguera de incendios en la región EE.UU. Este (Norte de Virginia),us-east-1.

  • Asigne a Data Firehose un nombre que comience con el prefijo aws-waf-logs-. Por ejemplo, aws-waf-logs-us-east-2-analytics.

  • Configúrela para la colocación directa, lo que permite a las aplicaciones acceder directamente al flujo de envío. En la consola Amazon Data Firehose, para configurar la fuente de la transmisión de entrega, elija Direct PUT u otras fuentes. A través de la API, defina la propiedad DeliveryStreamType de flujo de envío en DirectPut.

    nota

    No utilice Kinesis stream como origen.

Permisos necesarios para publicar registros en una transmisión de entrega de Amazon Data Firehose

Para conocer los permisos necesarios para la configuración de Kinesis Data Firehose, consulte Controlling Access with Amazon Kinesis Data Firehose.

Debe tener los siguientes permisos para habilitar correctamente el registro de ACL web con una transmisión de entrega de Amazon Data Firehose.

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

Para obtener información acerca de los roles vinculados a servicios y el permiso iam:CreateServiceLinkedRole, consulte Uso de roles vinculados a servicios para AWS WAF.