Destinations de journalisation - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Flux de données Amazon Data FirehoseCompartiments Amazon S3

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Destinations de journalisation

Cette section décrit les destinations de journalisation que vous pouvez choisir pour envoyer vos journaux AWS WAF de politiques. Chaque section fournit des conseils pour la configuration de la journalisation pour le type de destination et des informations sur tout comportement spécifique au type de destination. Après avoir configuré votre destination de journalisation, vous pouvez fournir ses spécifications à votre AWS WAF politique Firewall Manager pour commencer à vous y connecter.

Vous pouvez activer la journalisation centralisée pour vos AWS WAF politiques afin d'obtenir des informations détaillées sur le trafic analysé par votre site Web ACL au sein de votre organisation. Les informations contenues dans les journaux incluent l'heure à laquelle la demande AWS WAF a été reçue de la part de votre AWS ressource, des informations détaillées sur la demande et l'action correspondant à la règle selon laquelle chaque demande correspond à partir de tous les comptes concernés. Vous pouvez envoyer vos journaux vers un flux de données Amazon Data Firehose ou un bucket Amazon Simple Storage Service (S3). Pour plus d'informations sur la AWS WAF journalisation, consultez Journalisation AWS WAF ACLtrafic Web le guide du AWS WAF développeur.

Note

AWS Firewall Manager prend en charge cette option pour AWS WAFV2, pas pour AWS WAF Classic.

Firewall Manager n'a aucune visibilité sur les échecs de journalisation une fois la configuration de journalisation créée. Il est de votre responsabilité de vérifier que la livraison du journal fonctionne comme prévu.

Note

Firewall Manager ne modifie aucune configuration de journalisation existante dans les comptes membres de votre organisation.

Flux de données Amazon Data Firehose

Cette rubrique fournit des informations sur l'envoi de vos journaux de ACL trafic Web vers un flux de données Amazon Data Firehose.

Lorsque vous activez la journalisation d'Amazon Data Firehose, Firewall Manager envoie les journaux depuis le site Web de votre politique ACLs vers un Amazon Data Firehose où vous avez configuré une destination de stockage. Après avoir activé la journalisation, AWS WAF envoie les journaux pour chaque site Web configuréACL, via le HTTPS point de terminaison de Kinesis Data Firehose, à la destination de stockage configurée. Avant de l'utiliser, testez votre flux de diffusion pour vous assurer qu'il dispose d'un débit suffisant pour accueillir les journaux de votre organisation. Pour plus d'informations sur la façon de créer un Amazon Kinesis Data Firehose et de consulter les journaux enregistrés, consultez What Is Amazon Data Firehose ?

Vous devez disposer des autorisations suivantes pour activer correctement la journalisation avec un Kinesis :

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

Lorsque vous configurez une destination de journalisation Amazon Data Firehose sur une AWS WAF politique, Firewall Manager crée un site Web ACL pour la politique dans le compte administrateur de Firewall Manager comme suit :

  • Firewall Manager crée le Web ACL dans le compte administrateur de Firewall Manager, que le compte soit ou non concerné par la politique.

  • La journalisation ACL est activée sur le Web, avec un nom de journalFMManagedWebACLV2-Loggingpolicy name-timestamp, l'horodatage étant l'UTCheure à laquelle le journal a été activé pour le WebACL, en millisecondes. Par exemple, FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180. Le Web ne ACL possède aucun groupe de règles ni aucune ressource associée.

  • L'utilisation du Web vous est facturée ACL conformément aux directives AWS WAF tarifaires. Pour plus d'informations, consultez AWS WAF Pricing (Tarification CTlong).

  • Firewall Manager supprime le Web ACL lorsque vous supprimez la politique.

Pour plus d'informations sur les rôles liés aux services et les iam:CreateServiceLinkedRole autorisations, consultez. Utilisation de rôles liés à un service pour AWS WAF

Pour plus d'informations sur la création de votre flux de diffusion, consultez Création d'un flux de diffusion Amazon Data Firehose.

Compartiments Amazon Simple Storage Service

Cette rubrique fournit des informations sur l'envoi de vos journaux de ACL trafic Web vers un compartiment Amazon S3.

Le bucket que vous choisissez comme destination de journalisation doit appartenir à un compte administrateur de Firewall Manager. Pour plus d'informations sur les exigences relatives à la création de votre compartiment Amazon S3 pour la journalisation et les exigences en matière de dénomination des compartiments, consultez Amazon Simple Storage Service dans le guide du AWS WAF développeur.

Cohérence à terme

Lorsque vous modifiez AWS WAF les politiques configurées avec une destination de journalisation Amazon S3, Firewall Manager met à jour la politique de compartiment pour ajouter les autorisations nécessaires à la journalisation. Ce faisant, Firewall Manager suit les modèles de last-writer-wins sémantique et de cohérence des données utilisés par Amazon Simple Storage Service. Si vous effectuez plusieurs mises à jour de politique simultanément sur une destination Amazon S3 dans la console Firewall Manager ou via le PutPolicyAPI, certaines autorisations risquent de ne pas être enregistrées. Pour plus d'informations sur le modèle de cohérence des données Amazon S3, consultez le modèle de cohérence des données Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Autorisations pour publier des journaux dans un compartiment Amazon S3

La configuration de ACL la journalisation du trafic Web pour un compartiment Amazon S3 dans une AWS WAF politique nécessite les paramètres d'autorisation suivants. Firewall Manager attache automatiquement ces autorisations à votre compartiment Amazon S3 lorsque vous configurez Amazon S3 comme destination de journalisation afin d'autoriser le service à publier des journaux dans le compartiment. Si vous souhaitez gérer un accès plus précis à vos ressources de journalisation et de Firewall Manager, vous pouvez définir ces autorisations vous-même. Pour plus d'informations sur la gestion des autorisations, consultez la section Gestion de l'accès aux AWS ressources dans le Guide de IAM l'utilisateur. Pour plus d'informations sur les politiques AWS WAF gérées, consultezAWS politiques gérées pour AWS WAF. 

{
    "Version": "2012-10-17",
    "Id": "AWSLogDeliveryForFirewallManager",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheckFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-amzn-s3-demo-bucket"
        },
        {
            "Sid": "AWSLogDeliveryWriteFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket/policy-id/AWSLogs/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

Pour éviter le problème de confusion entre les services adjoints, vous pouvez ajouter les clés de contexte aws:SourceArnet de condition aws:SourceAccountglobale à la politique de votre compartiment. Pour ajouter ces clés, vous pouvez soit modifier la politique créée par Firewall Manager lorsque vous configurez la destination de journalisation, soit créer votre propre stratégie si vous souhaitez un contrôle plus précis. Si vous ajoutez ces conditions à votre politique de destination de journalisation, Firewall Manager ne validera ni ne surveillera les protections secondaires confuses. Pour des informations générales sur le problème des députés confus, voir Le problème des députés confus dans le guide de IAM l'utilisateur.

Lorsque vous sourceAccount ajoutez les sourceArn propriétés d'ajout, cela augmente la taille de la politique du compartiment. Si vous sourceAccount ajoutez une longue liste de sourceArn propriétés d'ajout, veillez à ne pas dépasser le quota de taille des compartiments fixé par la politique Amazon S3.

L'exemple suivant montre comment éviter le problème de confusion des adjoints en utilisant les clés de contexte aws:SourceArn et de condition aws:SourceAccount globale dans la politique de votre compartiment. Remplacez member-account-id avec le compte IDs des membres de votre organisation.

{
   "Version":"2012-10-17",
   "Id":"AWSLogDeliveryForFirewallManager",
   "Statement":[
      {
         "Sid":"AWSLogDeliveryAclCheckFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:GetBucketAcl",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":[
                  "member-account-id",
                  "member-account-id"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
                  "arn:aws:logs:*:member-account-id:*",
                  "arn:aws:logs:*:member-account-id:*"
               ]
            }
         }
      },
      {
         "Sid":"AWSLogDeliveryWriteFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket/policy-id/AWSLogs/*",
         "Condition":{
            "StringEquals":{
               "s3:x-amz-acl":"bucket-owner-full-control",
               "aws:SourceAccount":[
                    "member-account-id",
                  "member-account-id"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
                  "arn:aws:logs:*:member-account-id-1:*",
                  "arn:aws:logs:*:member-account-id-2:*"
               ]
            }
         }
      }
   ]
}

Chiffrement côté serveur pour les compartiments Amazon S3

Vous pouvez activer le chiffrement côté serveur Amazon S3 ou utiliser une clé gérée par AWS Key Management Service le client sur votre compartiment S3. Si vous choisissez d'utiliser le chiffrement Amazon S3 par défaut sur votre compartiment Amazon S3 pour AWS WAF les journaux, vous n'avez aucune action particulière à effectuer. Toutefois, si vous choisissez d'utiliser une clé de chiffrement fournie par le client pour chiffrer vos données Amazon S3 au repos, vous devez ajouter la déclaration d'autorisation suivante à votre AWS Key Management Service politique en matière de clés :

{
            "Sid": "Allow Logs Delivery to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
}

Pour plus d'informations sur l'utilisation des clés de chiffrement fournies par le client avec Amazon S3, consultez la section Utilisation du chiffrement côté serveur avec les clés fournies par le client (-CSSE) dans le guide de l'utilisateur d'Amazon Simple Storage Service.