AWS WAF politiques - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Groupes de règles dans AWS WAF les politiquesConfiguration de la journalisation pour une AWS WAF politique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS WAF politiques

Dans une AWS WAF politique Firewall Manager, vous spécifiez les groupes de AWS WAF règles que vous souhaitez utiliser dans l'ensemble de vos ressources. Lorsque vous appliquez la politique, Firewall Manager crée des ACL Web dans les comptes relevant du champ d'application de la politique en fonction de la façon dont vous configurez la gestion des ACL Web dans votre stratégie. Dans les ACL Web créées par la politique, les responsables de comptes individuels peuvent ajouter des règles et des groupes de règles, en plus des groupes de règles que vous avez définis via Firewall Manager.

Comment Firewall Manager gère les ACL Web

Firewall Manager crée des ACL Web en fonction de la façon dont vous configurez le paramètre Gérer les ACL Web non associées dans votre politique ou du optimizeUnassociatedWebACL paramètre du type de SecurityServicePolicyDatadonnées dans l'API.

Si vous activez la gestion des ACL Web non associées, Firewall Manager crée des ACL Web dans les comptes relevant du champ d'application de la politique uniquement si les ACL Web doivent être utilisées par au moins une ressource. À tout moment, si un compte entre dans le champ d'application de la politique, Firewall Manager crée automatiquement une ACL Web dans le compte si au moins une ressource utilise l'ACL Web. Lorsque vous activez la gestion des ACL Web non associées, Firewall Manager effectue un nettoyage unique des ACL Web non associées dans votre compte. Pendant le nettoyage, Firewall Manager ignore toutes les ACL Web que vous avez modifiées après leur création, par exemple si vous avez ajouté un groupe de règles à l'ACL Web ou modifié ses paramètres. Le processus de nettoyage peut prendre plusieurs heures. Si une ressource quitte le champ d'application de la politique après que Firewall Manager a créé une ACL Web, Firewall Manager dissocie la ressource de l'ACL Web, mais ne nettoie pas l'ACL Web non associée. Firewall Manager nettoie les ACL Web non associées uniquement lorsque vous activez pour la première fois la gestion des ACL Web non associées dans une politique.

Si vous n'activez pas cette option, Firewall Manager ne gère pas les ACL Web non associées et Firewall Manager crée automatiquement une ACL Web dans chaque compte relevant du champ d'application de la politique.

Échantillonnage et CloudWatch mesures

AWS Firewall Manager active l'échantillonnage et CloudWatch les métriques Amazon pour les ACL Web et les groupes de règles qu'il crée pour une AWS WAF politique.

Structure de dénomination Web ACL

Lorsque Firewall Manager crée une ACL Web pour la politique, il la nomme ACL WebFMManagedWebACLV2-policy name-timestamp. L'horodatage est exprimé en millisecondes UTC. Par exemple, FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

Note

Si une ressource configurée avec une atténuation automatique avancée des attaques DDoS au niveau de la couche application entre dans le champ d'application d'une AWS WAF stratégie, Firewall Manager ne pourra pas associer l'ACL Web créée par la AWS WAF politique à la ressource.

Groupes de règles dans AWS WAF les politiques

Les ACL Web qui sont gérées par les AWS WAF politiques de Firewall Manager contiennent trois ensembles de règles. Ces ensembles fournissent un niveau supérieur de hiérarchisation des règles et des groupes de règles dans la liste ACL web :

  • Premiers groupes de règles, définis par vos soins dans la AWS WAF politique de Firewall Manager. AWS WAF évalue d'abord ces groupes de règles.

  • Règles et groupes de règles définis par les gestionnaires de comptes dans les listes ACL web. AWS WAF évalue ensuite les règles ou groupes de règles gérés par un compte.

  • Derniers groupes de règles, définis par vos soins dans la AWS WAF politique de Firewall Manager. AWS WAF évalue ces groupes de règles en dernier.

Dans chacun de ces ensembles de règles, AWS WAF évalue les règles et les groupes de règles comme d'habitude, en fonction de leurs paramètres de priorité au sein de l'ensemble.

Dans les premier et dernier ensembles de groupes de règles de la stratégie, vous ne pouvez ajouter que des groupes de règles. Vous pouvez utiliser des groupes de règles gérés, que les règles AWS gérées et AWS Marketplace les vendeurs créent et gèrent pour vous. Vous pouvez également gérer et utiliser vos propres groupes de règles. Pour de plus amples informations sur l'ensemble de ces options, veuillez consulter AWS WAF groupes de règles.

Si vous souhaitez utiliser vos propres groupes de règles, vous devez les créer avant de créer votre AWS WAF politique Firewall Manager. Pour de plus amples informations, consultez Gestion de vos propres groupes de règles. Pour utiliser une règle personnalisée individuelle, vous devez définir votre propre groupe de règles, définir votre règle à l'intérieur de celui-ci, puis utiliser le groupe de règles dans votre stratégie.

Les premier et dernier groupes de AWS WAF règles que vous gérez via Firewall Manager ont des noms qui commencent respectivement par PREFMManaged- ou POSTFMManaged- sont suivis du nom de la politique de Firewall Manager et de l'horodatage de création du groupe de règles, en millisecondes UTC. Par exemple, PREFMManaged-MyWAFPolicyName-1621880555123.

Pour plus d'informations sur le mode AWS WAF d'évaluation des requêtes Web, consultezÉvaluation des règles ACL Web et des groupes de règles.

Pour la procédure de création d'une AWS WAF politique Firewall Manager, consultezCréation d'une AWS Firewall Manager politique pour AWS WAF.

Firewall Manager active l'échantillonnage et CloudWatch les métriques Amazon pour les groupes de règles que vous définissez pour la AWS WAF politique.

Les propriétaires de comptes individuels ont un contrôle total sur les mesures et la configuration d'échantillonnage pour toute règle ou groupe de règles qu'ils ajoutent aux ACL Web gérées par la politique.

Configuration de la journalisation pour une AWS WAF politique

Vous pouvez activer la journalisation centralisée pour vos AWS WAF politiques afin d'obtenir des informations détaillées sur le trafic analysé par votre ACL Web au sein de votre organisation. Les informations contenues dans les journaux incluent l'heure à laquelle la demande AWS WAF a été reçue de la part de votre AWS ressource, des informations détaillées sur la demande et l'action correspondant à la règle selon laquelle chaque demande correspond à partir de tous les comptes concernés. Vous pouvez envoyer vos journaux vers un flux de données Amazon Data Firehose ou un bucket Amazon Simple Storage Service (S3). Pour plus d'informations sur la AWS WAF journalisation, consultez Journalisation AWS WAF du trafic ACL Web le guide du AWS WAF développeur.

Note

AWS Firewall Manager prend en charge cette option pour AWS WAFV2, pas pour AWS WAF Classic.

Destinations de journalisation

Cette section décrit les destinations de journalisation que vous pouvez choisir pour envoyer vos journaux AWS WAF de politiques. Chaque section fournit des conseils pour la configuration de la journalisation pour le type de destination et des informations sur tout comportement spécifique au type de destination. Après avoir configuré votre destination de journalisation, vous pouvez fournir ses spécifications à votre AWS WAF politique Firewall Manager pour commencer à vous y connecter.

Firewall Manager n'a aucune visibilité sur les échecs de journalisation une fois la configuration de journalisation créée. Il est de votre responsabilité de vérifier que la livraison du journal fonctionne comme prévu.

Note

Firewall Manager ne modifie aucune configuration de journalisation existante dans les comptes membres de votre organisation.

Flux de données Amazon Data Firehose

Cette rubrique fournit des informations sur l'envoi de vos journaux de trafic ACL Web vers un flux de données Amazon Data Firehose.

Lorsque vous activez la journalisation d'Amazon Data Firehose, Firewall Manager envoie les journaux depuis les ACL Web de votre politique vers un Amazon Data Firehose où vous avez configuré une destination de stockage. Une fois la journalisation activée, AWS WAF envoie les journaux pour chaque ACL Web configurée, via le point de terminaison HTTPS de Kinesis Data Firehose, à la destination de stockage configurée. Avant de l'utiliser, testez votre flux de diffusion pour vous assurer qu'il dispose d'un débit suffisant pour accueillir les journaux de votre organisation. Pour plus d'informations sur la façon de créer un Amazon Kinesis Data Firehose et de consulter les journaux enregistrés, consultez What Is Amazon Data Firehose ?

Vous devez disposer des autorisations suivantes pour activer correctement la journalisation avec un Kinesis :

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

Lorsque vous configurez une destination de journalisation Amazon Data Firehose sur une AWS WAF politique, Firewall Manager crée une ACL Web pour la politique dans le compte administrateur de Firewall Manager comme suit :

  • Firewall Manager crée l'ACL Web dans le compte administrateur de Firewall Manager, que le compte soit ou non concerné par la politique.

  • La journalisation est activée sur l'ACL Web, avec un nom de journalFMManagedWebACLV2-Loggingpolicy name-timestamp, l'horodatage étant l'heure UTC à laquelle le journal a été activé pour l'ACL Web, en millisecondes. Par exemple, FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180. L'ACL Web ne possède aucun groupe de règles ni aucune ressource associée.

  • L'ACL Web vous est facturée conformément aux directives AWS WAF tarifaires. Pour plus d’informations, consultez Tarification d’AWS WAF.

  • Firewall Manager supprime l'ACL Web lorsque vous supprimez la politique.

Pour plus d'informations sur les rôles liés aux services et les iam:CreateServiceLinkedRole autorisations, consultez. Utilisation de rôles liés à un service pour AWS WAF

Pour plus d'informations sur la création de votre flux de diffusion, consultez Création d'un flux de diffusion Amazon Data Firehose.

Compartiments Amazon Simple Storage Service

Cette rubrique fournit des informations sur l'envoi de vos journaux de trafic ACL Web vers un compartiment Amazon S3.

Le bucket que vous choisissez comme destination de journalisation doit appartenir à un compte administrateur de Firewall Manager. Pour plus d'informations sur les exigences relatives à la création de votre compartiment Amazon S3 pour la journalisation et les exigences en matière de dénomination des compartiments, consultez Amazon Simple Storage Service dans le guide du AWS WAF développeur.

Cohérence à terme

Lorsque vous modifiez AWS WAF les politiques configurées avec une destination de journalisation Amazon S3, Firewall Manager met à jour la politique de compartiment pour ajouter les autorisations nécessaires à la journalisation. Ce faisant, Firewall Manager suit les modèles de last-writer-wins sémantique et de cohérence des données utilisés par Amazon Simple Storage Service. Si vous effectuez plusieurs mises à jour de politique simultanément sur une destination Amazon S3 dans la console Firewall Manager ou via l'PutPolicyAPI, certaines autorisations risquent de ne pas être enregistrées. Pour plus d'informations sur le modèle de cohérence des données Amazon S3, consultez le modèle de cohérence des données Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Autorisations pour publier des journaux dans un compartiment Amazon S3

La configuration de la journalisation du trafic ACL Web pour un compartiment Amazon S3 dans une AWS WAF politique nécessite les paramètres d'autorisation suivants. Firewall Manager attache automatiquement ces autorisations à votre compartiment Amazon S3 lorsque vous configurez Amazon S3 comme destination de journalisation afin d'autoriser le service à publier des journaux dans le compartiment. Si vous souhaitez gérer un accès plus précis à vos ressources de journalisation et de Firewall Manager, vous pouvez définir ces autorisations vous-même. Pour plus d'informations sur la gestion des autorisations, consultez la section Gestion de l'accès aux AWS ressources dans le Guide de l'utilisateur IAM. Pour plus d'informations sur les politiques AWS WAF gérées, consultezAWS politiques gérées pour AWS WAF. 

{
    "Version": "2012-10-17",
    "Id": "AWSLogDeliveryForFirewallManager",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheckFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-DOC-EXAMPLE-BUCKET"
        },
        {
            "Sid": "AWSLogDeliveryWriteFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-DOC-EXAMPLE-BUCKET/policy-id/AWSLogs/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

Pour éviter le problème de confusion entre les services adjoints, vous pouvez ajouter les clés de contexte aws:SourceArnet de condition aws:SourceAccountglobale à la politique de votre compartiment. Pour ajouter ces clés, vous pouvez soit modifier la politique créée par Firewall Manager lorsque vous configurez la destination de journalisation, soit créer votre propre stratégie si vous souhaitez un contrôle plus précis. Si vous ajoutez ces conditions à votre politique de destination de journalisation, Firewall Manager ne validera ni ne surveillera les protections secondaires confuses. Pour des informations générales sur le problème des députés confus, voir Le problème des députés confus dans le guide de l'utilisateur IAM.

Lorsque vous sourceAccount ajoutez les sourceArn propriétés d'ajout, cela augmente la taille de la politique du compartiment. Si vous sourceAccount ajoutez une longue liste de sourceArn propriétés d'ajout, veillez à ne pas dépasser le quota de taille des compartiments fixé par la politique Amazon S3.

L'exemple suivant montre comment éviter le problème de confusion des adjoints en utilisant les clés de contexte aws:SourceArn et de condition aws:SourceAccount globale dans la politique de votre compartiment. Remplacez member-account-idpar les identifiants de compte des membres de votre organisation.

{
   "Version":"2012-10-17",
   "Id":"AWSLogDeliveryForFirewallManager",
   "Statement":[
      {
         "Sid":"AWSLogDeliveryAclCheckFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:GetBucketAcl",
         "Resource":"arn:aws:s3:::aws-waf-logs-DOC-EXAMPLE-BUCKET",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":[
                  "member-account-id",
                  "member-account-id"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
                  "arn:aws:logs:*:member-account-id:*",
                  "arn:aws:logs:*:member-account-id:*"
               ]
            }
         }
      },
      {
         "Sid":"AWSLogDeliveryWriteFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::aws-waf-logs-DOC-EXAMPLE-BUCKET/policy-id/AWSLogs/*",
         "Condition":{
            "StringEquals":{
               "s3:x-amz-acl":"bucket-owner-full-control",
               "aws:SourceAccount":[
                    "member-account-id",
                  "member-account-id"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
                  "arn:aws:logs:*:member-account-id-1:*",
                  "arn:aws:logs:*:member-account-id-2:*"
               ]
            }
         }
      }
   ]
}
Chiffrement côté serveur pour les compartiments Amazon S3

Vous pouvez activer le chiffrement côté serveur Amazon S3 ou utiliser une clé gérée par AWS Key Management Service le client sur votre compartiment S3. Si vous choisissez d'utiliser le chiffrement Amazon S3 par défaut sur votre compartiment Amazon S3 pour AWS WAF les journaux, vous n'avez aucune action particulière à effectuer. Toutefois, si vous choisissez d'utiliser une clé de chiffrement fournie par le client pour chiffrer vos données Amazon S3 au repos, vous devez ajouter la déclaration d'autorisation suivante à votre AWS Key Management Service politique en matière de clés :

{
            "Sid": "Allow Logs Delivery to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
}

Pour plus d'informations sur l'utilisation des clés de chiffrement fournies par le client avec Amazon S3, consultez la section Utilisation du chiffrement côté serveur avec des clés fournies par le client (SSE-C) dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Activation de la journalisation

La procédure suivante décrit comment activer la journalisation d'une AWS WAF politique dans la console Firewall Manager.

Pour activer la journalisation pour une AWS WAF politique

  1. Avant de pouvoir activer la journalisation, vous devez configurer vos ressources de destination de journalisation comme suit :

    • Amazon Kinesis Data Streams : créez un Amazon Data Firehose à l'aide de votre compte administrateur Firewall Manager. Utilisez un nom commençant par le préfixeaws-waf-logs-. Par exemple, aws-waf-logs-firewall-manager-central. Créez le pare-feu de données avec une PUT source et dans la région dans laquelle vous opérez. Si vous capturez des journaux pour Amazon CloudFront, créez le firehose dans l'est des États-Unis (Virginie du Nord). Avant de l'utiliser, testez votre flux de diffusion pour vous assurer qu'il dispose d'un débit suffisant pour accueillir les journaux de votre organisation. Pour plus d'informations, consultez Création d'un flux de diffusion Amazon Data Firehose.

    • Compartiments Amazon Simple Storage Service : créez un compartiment Amazon S3 conformément aux instructions de la rubrique Amazon Simple Storage Service du guide du AWS WAF développeur. Vous devez également configurer votre compartiment Amazon S3 avec les autorisations répertoriées dansAutorisations pour publier des journaux dans un compartiment Amazon S3 .

  2. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  3. Dans le volet de navigation, sélectionnez Security Policies.

  4. Choisissez la AWS WAF politique pour laquelle vous souhaitez activer la journalisation. Pour plus d'informations sur la journalisation AWS WAF , consultez Journalisation AWS WAF du trafic ACL Web.

  5. Dans l'onglet Détails de la politique, dans la section Règles de politique, choisissez Modifier.

  6. Pour la configuration de la journalisation, choisissez Activer la journalisation pour activer la journalisation. La journalisation fournit des informations détaillées sur le trafic analysé par votre ACL Web. Choisissez la destination de journalisation, puis choisissez la destination de journalisation que vous avez configurée. Vous devez choisir une destination de journalisation dont le nom commence paraws-waf-logs-. Pour plus d'informations sur la configuration d'une destination de AWS WAF journalisation, consultezConfiguration de la journalisation pour une AWS WAF politique.

  7. (Facultatif) Si vous ne souhaitez pas que certains champs et leurs valeurs soient inclus dans les journaux, censurez ces champs. Choisissez le champ à censurer, puis choisissez Ajouter. Répétez si nécessaire pour censurer des champs supplémentaires. Les champs censurés apparaîtront en tant que REDACTED dans les journaux. Par exemple, si vous supprimez le champ URI, le champ URI des journaux seraREDACTED.

  8. (Facultatif) Si vous ne souhaitez pas envoyer toutes les demandes aux journaux, ajoutez vos critères de filtrage et votre comportement. Sous Filtrer les journaux, pour chaque filtre que vous souhaitez appliquer, choisissez Ajouter un filtre, puis choisissez vos critères de filtrage et indiquez si vous souhaitez conserver ou supprimer les demandes correspondant à ces critères. Lorsque vous avez fini d'ajouter des filtres, modifiez si nécessaire le comportement de journalisation par défaut. Pour plus d’informations, consultez Configuration de la journalisation des ACL Web dans le Guide du développeur AWS WAF .

  9. Choisissez Suivant.

  10. Vérifiez vos paramètres, puis choisissez Enregistrer pour enregistrer les modifications apportées à la politique.

Désactivation de la journalisation

La procédure suivante décrit comment désactiver la journalisation pour une AWS WAF politique dans la console Firewall Manager.

Pour désactiver la journalisation pour une AWS WAF politique

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sélectionnez Security Policies.

  3. Choisissez la AWS WAF politique pour laquelle vous souhaitez désactiver la journalisation.

  4. Dans l'onglet Détails de la politique, dans la section Règles de politique, choisissez Modifier.

  5. Pour l'état de la configuration de la journalisation, choisissez Disabled.

  6. Choisissez Suivant.

  7. Vérifiez vos paramètres, puis choisissez Enregistrer pour enregistrer les modifications apportées à la politique.