Kebijakan AWS Network Firewall - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced
Mengkonfigurasi pencatatan untuk kebijakan Firewall Jaringan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan AWS Network Firewall

Anda dapat menggunakanAWS Firewall ManagerFirewall Jaringankebijakanuntuk mengelolaAWS Network Firewall firewalluntuk Amazon Virtual Private Cloud AndaVPCdi seluruh AndaorganisasidiAWS Organizations. Anda dapat menerapkan firewall yang dikendalikan secara terpusat ke seluruh organisasi Anda atau ke bagian tertentu dari akun dan VPC Anda.

Network Firewall menyediakan perlindungan penyaringan lalu lintas jaringan untuk subnet publik di VPC Anda. Firewall Manager membuat dan mengelola firewall Anda berdasarkanjenis manajemen firewalldidefinisikan oleh kebijakan Anda. Firewall Manager menyediakan model manajemen firewall berikut:

  • Didistribusikan- Untuk setiap akun dan VPC yang berada dalam lingkup kebijakan, Firewall Manager membuat firewall Network Firewall dan menyebarkan endpoint firewall ke subnet VPC, untuk memfilter lalu lintas jaringan.

  • Terpusat- Firewall Manager membuat firewall Firewall Jaringan tunggal dalam satu Amazon VPC.

  • Impor firewall yang ada- Firewall Manager mengimpor firewall yang ada untuk manajemen dalam kebijakan Manajer Firewall tunggal. Anda dapat menerapkan aturan tambahan ke firewall impor yang dikelola oleh kebijakan Anda untuk memastikan bahwa firewall Anda memenuhi standar keamanan Anda.

catatan

Kebijakan Firewall Manager Network Firewall adalah kebijakan Firewall Manager yang Anda gunakan untuk mengelola perlindungan Firewall Jaringan untuk VPC Anda di seluruh organisasi Anda.

Perlindungan Firewall Jaringan ditentukan dalam sumber daya dalam layanan Firewall Jaringan yang disebut kebijakan firewall.

Untuk informasi tentang cara menggunakan Network Firewall, lihatAWS Network FirewallPanduan Pengembang.

Bagian berikut mencakup persyaratan untuk menggunakan kebijakan Firewall Firewall Network Manager dan menjelaskan cara kerja kebijakan. Untuk prosedur pembuatan kebijakan, lihatMenciptakanAWS Firewall Managerkebijakan untukAWS Network Firewall.

Anda harus mengaktifkan berbagi sumber daya

Kebijakan Firewall Jaringan berbagi grup aturan Firewall Jaringan di seluruh akun di organisasi Anda. Agar ini berfungsi, Anda harus mengaktifkan berbagi sumber dayaAWS Organizations. Untuk informasi tentang cara mengaktifkan berbagi sumber daya, lihatBerbagi sumber daya untuk kebijakan Firewall Jaringan dan Firewall DNS.

Anda harus menetapkan grup aturan Firewall Jaringan

Ketika Anda menentukan kebijakan Firewall Jaringan baru, Anda menentukan kebijakan firewall sama seperti yang Anda lakukan saat Anda menggunakanAWS Network Firewalllangsung. Anda menentukan grup aturan stateless untuk ditambahkan, tindakan stateless default, dan grup aturan stateful. Grup aturan Anda harus sudah ada di akun administrator Firewall Manager agar Anda dapat memasukkannya ke dalam kebijakan. Untuk informasi tentang membuat grup aturan Firewall Jaringan, lihatAWS Network Firewallkelompok aturan.

Bagaimana Firewall Manager membuat endpoint firewall

YangJenis manajemen firewalldalam kebijakan Anda menentukan bagaimana Firewall Manager membuat firewall. Kebijakan Anda dapat membuatmendistribusikanfirewall, sebuahtersentralisasifirewall, atau Anda bisaimpor firewall yang ada:

  • Didistribusikan- Dengan model penyebaran terdistribusi, Firewall Manager membuat titik akhir untuk setiap VPC yang berada dalam cakupan kebijakan. Anda dapat menyesuaikan lokasi titik akhir dengan menentukan Availability Zone untuk membuat endpoint firewall, atau Firewall Manager dapat secara otomatis membuat titik akhir di Availability Zone dengan subnet publik. Jika Anda memilih Availability Zone secara manual, Anda memiliki opsi untuk membatasi kumpulan CIDR yang diizinkan per Availability Zone. Jika Anda memutuskan untuk membiarkan Firewall Manager secara otomatis membuat titik akhir, Anda juga harus menentukan apakah layanan akan membuat satu titik akhir atau beberapa titik akhir firewall dalam VPC Anda.

    • Untuk beberapa endpoint firewall, Firewall Manager menerapkan endpoint firewall di setiap Availability Zone tempat Anda memiliki subnet dengan gateway internet atau rute endpoint firewall yang dibuat oleh Manajer Firewall di tabel rute. Ini adalah opsi default untuk kebijakan Firewall Jaringan.

    • Untuk endpoint firewall tunggal, Firewall Manager menyebarkan endpoint firewall di Availability Zone tunggal di subnet apa pun yang memiliki rute gateway internet. Dengan opsi ini, lalu lintas di zona lain perlu melintasi batas zona untuk disaring oleh firewall.

      catatan

      Untuk kedua opsi ini, harus ada subnet yang terkait dengan tabel rute yang memiliki rute IPv4/prefixList di dalamnya. Manajer Firewall tidak memeriksa sumber daya lainnya.

  • Terpusat- Dengan model penyebaran terpusat, Firewall Manager menciptakan satu atau lebih endpoint firewall dalaminspeksi VPC. VPC inspeksi adalah VPC pusat tempat Manajer Firewall meluncurkan titik akhir Anda. Saat Anda menggunakan model penyebaran terpusat, Anda juga menentukan Availability Zone mana yang akan membuat titik akhir firewall. Anda tidak dapat mengubah pemeriksaan VPC setelah Anda membuat kebijakan Anda. Untuk menggunakan pemeriksaan VPC yang berbeda, Anda harus membuat kebijakan baru.

  • Impor firewall yang ada- Saat Anda mengimpor firewall yang ada, Anda memilih firewall untuk dikelola dalam kebijakan Anda dengan menambahkan satu atau lebihset sumber dayauntuk kebijakan Anda. Kumpulan sumber daya adalah kumpulan sumber daya, dalam hal ini firewall yang ada di Network Firewall, yang dikelola oleh akun di organisasi Anda. Sebelum menggunakan kumpulan sumber daya dalam kebijakan, Anda harus terlebih dahulu membuat kumpulan sumber daya. Untuk informasi tentang kumpulan sumber daya Firewall Manager, lihatBekerja dengan set sumber daya di Firewall Manager.

    Ingatlah pertimbangan berikut saat bekerja dengan firewall yang diimpor:

    • Jika firewall yang diimpor menjadi tidak patuh, Manajer Firewall akan mencoba menyelesaikan pelanggaran secara otomatis, kecuali dalam keadaan berikut:

      • Jika ada ketidakcocokan antara tindakan default stateful atau stateless stateless kebijakan Firewall Firewall Manager dan Network Firewall.

      • Jika grup aturan dalam kebijakan firewall firewall yang diimpor memiliki prioritas yang sama dengan grup aturan dalam kebijakan Manajer Firewall.

      • Jika firewall yang diimpor menggunakan kebijakan firewall yang terkait dengan firewall yang bukan bagian dari kumpulan sumber daya kebijakan. Hal ini dapat terjadi karena firewall dapat memiliki tepat satu kebijakan firewall, tetapi kebijakan firewall tunggal dapat dikaitkan dengan beberapa firewall.

      • Jika grup aturan yang sudah ada sebelumnya milik kebijakan firewall firewall yang diimpor yang juga ditentukan dalam kebijakan Manajer Firewall diberi prioritas yang berbeda.

    • Jika Anda mengaktifkan pembersihan sumber daya dalam kebijakan, Manajer Firewall menghapus grup aturan yang telah ada dalam kebijakan impor FMS dari firewall dalam lingkup kumpulan sumber daya.

    • Firewall dikelola oleh yang dikelola oleh Firewall Manager mengimpor jenis manajemen firewall yang ada hanya dapat dikelola oleh satu kebijakan pada satu waktu. Jika kumpulan sumber daya yang sama ditambahkan ke beberapa kebijakan firewall jaringan impor, firewall dalam kumpulan sumber daya akan dikelola oleh kebijakan pertama kumpulan sumber daya ditambahkan dan akan diabaikan oleh kebijakan kedua.

    • Manajer Firewall saat ini tidak melakukan streaming konfigurasi kebijakan pengecualian. Untuk informasi tentang kebijakan pengecualian stream, lihatKebijakan pengecualian alirandi dalamAWS Network FirewallPanduan Pengembang.

Jika Anda mengubah daftar Availability Zone untuk kebijakan menggunakan pengelolaan firewall terdistribusi atau terpusat, Manajer Firewall akan mencoba membersihkan titik akhir yang dibuat sebelumnya, namun saat ini tidak dalam cakupan kebijakan. Firewall Manager akan menghapus endpoint hanya jika tidak ada rute tabel rute yang referensi keluar dari lingkup endpoint. Jika Firewall Manager menemukan bahwa ia tidak dapat menghapus endpoint ini, itu akan menandai subnet firewall sebagai non-compliant dan akan terus mencoba untuk menghapus endpoint sampai waktu yang aman untuk dihapus.

Bagaimana Firewall Manager mengelola subnet firewall

Subnet firewall adalah subnet VPC yang dibuat oleh Firewall Manager untuk endpoint firewall yang menyaring lalu lintas jaringan Anda. Setiap endpoint firewall harus diterapkan dalam subnet VPC khusus. Firewall Manager membuat setidaknya satu subnet firewall di setiap VPC yang berada dalam lingkup kebijakan.

Untuk kebijakan yang menggunakan model penyebaran terdistribusi dengan konfigurasi titik akhir otomatis, Firewall Manager hanya membuat subnet firewall di Availability Zones yang memiliki subnet dengan rute gateway internet, atau subnet dengan rute ke endpoint firewall yang dibuat oleh Firewall Manager untuk kebijakannya. Untuk informasi lebih lanjut, lihat VPC dan subnet di Panduan Pengguna Amazon VPC.

Untuk kebijakan yang menggunakan model terdistribusi atau terpusat tempat Anda menentukan Availability Zones Firewall Manager yang membuat titik akhir firewall, Manajer Firewall membuat titik akhir di Availability Zone tertentu terlepas dari apakah ada sumber daya lain di Availability Zone.

Ketika Anda pertama kali menentukan kebijakan Firewall Jaringan, Anda menentukan bagaimana Firewall Manager mengelola subnet firewall di setiap VPC yang berada dalam lingkup. Anda tidak dapat mengubah pilihan ini nanti.

Untuk kebijakan yang menggunakan model penyebaran terdistribusi dengan konfigurasi titik akhir otomatis, Anda dapat memilih di antara opsi berikut:

  • Menyebarkan subnet firewall untuk setiap Availability Zone yang memiliki subnet publik. Ini adalah perilaku default. Ini memberikan ketersediaan tinggi perlindungan pemfilteran lalu lintas Anda.

  • Menyebarkan subnet firewall tunggal dalam satu Availability Zone. Dengan pilihan ini, Firewall Manager mengidentifikasi zona di VPC yang memiliki subnet paling publik dan menciptakan subnet firewall di sana. Titik akhir firewall tunggal menyaring semua lalu lintas jaringan untuk VPC. Ini dapat mengurangi biaya firewall, tetapi tidak terlalu tersedia dan memerlukan lalu lintas dari zona lain untuk melintasi batas zona agar dapat disaring.

Untuk kebijakan yang menggunakan model penyebaran terdistribusi dengan konfigurasi titik akhir kustom atau model penyebaran terpusat, Manajer Firewall membuat subnet di Availability Zone yang ditentukan yang berada dalam cakupan kebijakan.

Anda dapat menyediakan blok CIDR VPC untuk Firewall Manager untuk digunakan untuk subnet firewall atau Anda dapat meninggalkan pilihan alamat endpoint firewall hingga Firewall Manager untuk menentukan.

  • Jika Anda tidak menyediakan blok CIDR, Firewall Manager menanyakan VPC Anda untuk alamat IP yang tersedia untuk digunakan.

  • Jika Anda memberikan daftar blok CIDR, Firewall Manager mencari subnet baru hanya di blok CIDR yang Anda berikan. Anda harus menggunakan/28 blok CIDR. Untuk setiap subnet firewall yang dibuat oleh Firewall Manager, ia menjalankan daftar blok CIDR Anda dan menggunakan yang pertama yang ditemukan yang berlaku untuk Availability Zone dan VPC dan memiliki alamat yang tersedia. Jika Firewall Manager tidak dapat menemukan ruang terbuka di VPC (dengan atau tanpa batasan), layanan tidak akan membuat firewall di VPC.

Jika Firewall Manager tidak dapat membuat subnet firewall yang diperlukan di Availability Zone, ia menandai subnet sebagai tidak sesuai dengan kebijakan. Sementara zona dalam keadaan ini, lalu lintas untuk zona harus melintasi batas zona untuk disaring oleh titik akhir di zona lain. Ini mirip dengan skenario subnet firewall tunggal.

Bagaimana Firewall Manager mengelola sumber daya Firewall Jaringan

Ketika Anda menentukan kebijakan di Firewall Manager, Anda memberikan perilaku pemfilteran lalu lintas jaringan standarAWS Network Firewallkebijakan firewall. Anda menambahkan grup aturan Firewall Jaringan stateless dan stateful dan menetapkan tindakan default untuk paket yang tidak cocok dengan aturan stateless. Untuk informasi tentang bekerja dengan kebijakan firewall diAWS Network Firewall, lihatAWS Network Firewallkebijakan firewall.

Untuk kebijakan terdistribusi dan terpusat, saat Anda menyimpan kebijakan Firewall Jaringan, Manajer Firewall membuat kebijakan firewall dan firewall di setiap VPC yang berada dalam cakupan kebijakan. Firewall Manager menamai sumber daya Firewall Jaringan ini dengan menggabungkan nilai berikut:

  • Sebuah string tetap, baikFMManagedNetworkFirewallatauFMManagedNetworkFirewallPolicy, tergantung pada jenis sumber daya.

  • Nama kebijakan Manajer Firewall. Ini adalah nama yang Anda tetapkan saat membuat kebijakan.

  • ID kebijakan Manajer Firewall. Ini adalahAWSID sumber daya untuk kebijakan Manajer Firewall.

  • ID VPC Amazon. Ini adalahAWSID sumber daya untuk VPC tempat Firewall Manager membuat kebijakan firewall dan firewall.

Berikut ini menunjukkan contoh nama untuk firewall yang dikelola oleh Firewall Manager:

FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

Berikut ini menunjukkan contoh nama kebijakan firewall:

FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

Setelah Anda membuat kebijakan, akun anggota di VPC tidak dapat mengganti pengaturan kebijakan firewall atau grup aturan Anda, tetapi mereka dapat menambahkan grup aturan ke kebijakan firewall yang telah dibuat oleh Firewall Manager.

Bagaimana Firewall Manager mengelola dan memantau tabel rute VPC untuk kebijakan Anda

catatan

Manajemen tabel rute saat ini tidak didukung untuk kebijakan yang menggunakan model penyebaran terpusat.

Ketika Firewall Manager membuat endpoint firewall Anda, itu juga membuat tabel rute VPC untuk mereka. Namun, Firewall Manager tidak mengelola tabel rute VPC Anda. Anda harus mengkonfigurasi tabel rute VPC Anda untuk mengarahkan lalu lintas jaringan ke endpoint firewall yang dibuat oleh Firewall Manager. Dengan menggunakan peningkatan perutean ingress Amazon VPC, ubah tabel perutean Anda untuk merutekan lalu lintas melalui titik akhir firewall baru. Perubahan Anda harus memasukkan endpoint firewall antara subnet yang ingin Anda lindungi dan di luar lokasi. Perutean yang tepat yang perlu Anda lakukan tergantung pada arsitektur dan komponennya.

Saat ini, Firewall Manager memungkinkan pemantauan rute tabel rute VPC Anda untuk lalu lintas yang ditujukan ke gateway internet, yaitu melewati firewall. Firewall Manager tidak mendukung gateway target lain seperti gateway NAT.

Untuk informasi tentang mengelola tabel rute untuk VPC Anda, lihatMengelola tabel rute untuk VPC Andadi dalamPanduan Pengguna Cloud Pribadi Virtual Amazon. Untuk informasi tentang mengelola tabel rute Anda untuk Network Firewall, lihatKonfigurasi tabel rute untukAWS Network Firewalldi dalamAWS Network FirewallPanduan Pengembang.

Ketika Anda mengaktifkan pemantauan untuk kebijakan, Firewall Manager terus memantau konfigurasi rute VPC dan memberi tahu Anda tentang lalu lintas yang melewati pemeriksaan firewall untuk VPC tersebut. Jika subnet memiliki rute endpoint firewall, Firewall Manager mencari rute berikut:

  • Rute untuk mengirim lalu lintas ke endpoint Network Firewall.

  • Rute untuk meneruskan lalu lintas dari titik akhir Network Firewall ke gateway internet.

  • Rute masuk dari gateway internet ke endpoint Network Firewall.

  • Rute dari subnet firewall.

Jika subnet memiliki rute Network Firewall tetapi ada routing asimetris di Network Firewall dan tabel rute gateway internet Anda, Firewall Manager melaporkan subnet sebagai non-compliant. Firewall Manager juga mendeteksi rute ke gateway internet di tabel rute firewall yang dibuat oleh Firewall Manager, serta tabel rute untuk subnet Anda, dan melaporkannya sebagai non-compliant. Rute tambahan di tabel rute subnet Network Firewall dan tabel rute gateway internet Anda juga dilaporkan sebagai non-compliant. Tergantung pada jenis pelanggaran, Firewall Manager menyarankan tindakan perbaikan untuk membawa konfigurasi rute ke dalam kepatuhan. Manajer Firewall tidak menawarkan saran dalam semua kasus. Misalnya, jika subnet pelanggan Anda memiliki titik akhir firewall yang dibuat di luar Firewall Manager, Manajer Firewall tidak menyarankan tindakan perbaikan.

Secara default, Manajer Firewall akan menandai setiap lalu lintas yang melintasi batas Availability Zone untuk diperiksa sebagai non-compliant. Namun, jika Anda memilih untuk secara otomatis membuat satu titik akhir di VPC Anda, Manajer Firewall tidak akan menandai lalu lintas yang melintasi batas Availability Zone sebagai non-compliant.

Untuk kebijakan yang menggunakan model penyebaran terdistribusi dengan konfigurasi titik akhir kustom, Anda dapat memilih apakah lalu lintas yang melintasi batas Availability Zone dari Availability Zone tanpa titik akhir firewall ditandai sebagai sesuai atau tidak sesuai.

catatan

  • Firewall Manager tidak menyarankan tindakan remediasi untuk rute non-IPv4, seperti IPv6 dan rute daftar awalan.

  • Panggilan yang dilakukan menggunakanDisassociateRouteTablePanggilan API dapat memakan waktu hingga 12 jam untuk mendeteksi.

  • Firewall Manager membuat tabel rute Network Firewall untuk subnet yang berisi endpoint firewall. Firewall Manager mengasumsikan bahwa tabel rute ini hanya berisi gateway internet yang valid dan rute default VPC. Setiap rute tambahan atau tidak valid dalam tabel rute ini dianggap tidak patuh.

Saat Anda mengonfigurasi kebijakan Manajer Firewall, jika Anda memilihMemantauMode, Firewall Manager menyediakan pelanggaran sumber daya dan rincian remediasi tentang sumber daya Anda. Anda dapat menggunakan tindakan remediasi yang disarankan ini untuk memperbaiki masalah rute di tabel rute Anda. Jika Anda memilihOffMode, Firewall Manager tidak memantau konten tabel rute Anda untuk Anda. Dengan opsi ini, Anda mengelola tabel rute VPC Anda sendiri. Untuk informasi selengkapnya tentang pelanggaran sumber daya ini, lihatMelihat informasi kepatuhan untuk suatuAWS Firewall Manager kebijakan.

Awas

Jika Anda memilihMemantaudi bawah AWS Network Firewallkonfigurasi rutesaat membuat kebijakan, Anda tidak dapat mematikannya untuk kebijakan tersebut. Namun, jika Anda memilihOff, Anda dapat mengaktifkannya nanti.

Mengkonfigurasi logging untukAWS Network Firewallkebijakan

Anda dapat mengaktifkan pencatatan terpusat untuk kebijakan Firewall Jaringan Anda untuk mendapatkan informasi terperinci tentang lalu lintas dalam organisasi Anda. Anda dapat memilih pencatatan alur untuk menangkap arus lalu lintas jaringan, atau pencatatan peringatan untuk melaporkan lalu lintas yang cocok dengan aturan dengan tindakan aturan yang ditetapkan keDROPatauALERT. Untuk informasi lebih lanjut tentangAWS Network Firewalllogging, lihatLogging lalu lintas jaringan dariAWS Network Firewalldi dalamAWS Network FirewallPanduan Pengembang.

Anda mengirim log dari firewall Network Firewall kebijakan Anda ke bucket Amazon S3. Setelah Anda mengaktifkan logging,AWS Network Firewallmengirimkan log untuk setiap Firewall Jaringan yang dikonfigurasi dengan memperbarui pengaturan firewall untuk mengirimkan log ke bucket Amazon S3 pilihan Anda dengan yang dicadangkanAWS Firewall Managerawalan,<policy-name>-<policy-id>.

catatan

Awalan ini digunakan oleh Firewall Manager untuk menentukan apakah konfigurasi logging ditambahkan oleh Firewall Manager, atau apakah itu ditambahkan oleh pemilik akun. Jika pemilik akun mencoba menggunakan awalan cadangan untuk pencatatan kustom mereka sendiri, itu akan ditimpa oleh konfigurasi pencatatan dalam kebijakan Manajer Firewall.

Untuk informasi selengkapnya tentang cara membuat bucket Amazon S3 dan meninjau log yang disimpan, lihatApa itu Amazon S3?di dalamPanduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Untuk mengaktifkan logging, Anda harus memenuhi persyaratan berikut:

  • Amazon S3 yang Anda tentukan dalam kebijakan Firewall Manager harus ada.

  • Anda harus memiliki izin berikut:

    • logs:CreateLogDelivery

    • s3:GetBucketPolicy

    • s3:PutBucketPolicy

  • Jika bucket Amazon S3 yang merupakan tujuan logging Anda menggunakan enkripsi sisi server dengan kunci yang disimpanAWS Key Management Service, Anda harus menambahkan kebijakan berikut keAWS KMSkunci yang dikelola pelanggan untuk memungkinkan Firewall Manager untuk masuk keCloudWatchLog log kelompok:

    
{
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:Encrypt*",
        "kms:Decrypt*",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:Describe*"
    ],
    "Resource": "*"
}

Perhatikan bahwa hanya bucket di akun administrator Firewall Manager yang dapat digunakanAWS Network Firewallpenebangan pusat.

Saat Anda mengaktifkan pencatatan terpusat pada kebijakan Firewall Jaringan, Manajer Firewall mengambil tindakan ini di akun Anda:

  • Firewall Manager memperbarui izin pada bucket S3 yang dipilih untuk memungkinkan pengiriman log.

  • Firewall Manager membuat direktori di bucket S3 untuk setiap akun anggota dalam lingkup kebijakan. Log untuk setiap akun dapat ditemukan di<bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>.

Untuk mengaktifkan pencatatan untuk kebijakan Firewall Jaringan

  1. Buat bucket Amazon S3 menggunakan akun administrator Firewall Manager Anda. Untuk informasi lebih lanjut, lihatMembuat emberdi dalamPanduan Pengguna Layanan Penyimpanan Sederhana Amazon.

  2. Masuk keAWS Management Consolemenggunakan akun administrator Firewall Manager, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2.

    catatan

    Untuk informasi tentang cara menyiapkan akun administrator Firewall Manager, lihatPrasyarat AWS Firewall Manager.

  3. Di panel navigasi, pilihKebijakan Keamanan.

  4. Pilih kebijakan Firewall Jaringan yang ingin Anda aktifkan pendataan. Untuk informasi lebih lanjut tentangAWS Network Firewalllogging, lihatLogging lalu lintas jaringan dariAWS Network Firewalldi dalamAWS Network FirewallPanduan Pengembang.

  5. PadaRincian kebijakantab, diAturan kebijakanbagian, pilihMengedit.

  6. Untuk mengaktifkan dan agregat log, pilih satu atau lebih opsi di bawahKonfigurasi logging:

    • Aktifkan dan agregat log aliran

    • Aktifkan dan agregat log peringatan

  7. Pilih bucket Amazon S3 tempat Anda ingin log Anda dikirimkan. Anda harus memilih bucket untuk setiap jenis log yang Anda aktifkan. Anda dapat menggunakan bucket yang sama untuk kedua jenis log.

  8. (Opsional) Jika Anda ingin pencatatan yang dibuat akun anggota kustom diganti dengan konfigurasi pencatatan kebijakan, pilihGanti konfigurasi logging yang ada.

  9. Pilih Selanjutnya.

  10. Tinjau pengaturan Anda, lalu pilihSimpanuntuk menyimpan perubahan Anda pada kebijakan.

Cara menonaktifkan pencatatan untuk kebijakan Firewall Jaringan

  1. Masuk keAWS Management Consolemenggunakan akun administrator Firewall Manager, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2.

    catatan

    Untuk informasi tentang cara menyiapkan akun administrator Firewall Manager, lihatPrasyarat AWS Firewall Manager.

  2. Di panel navigasi, pilihKebijakan Keamanan.

  3. Pilih kebijakan Firewall Jaringan yang ingin Anda nonaktifkan pendataan.

  4. PadaRincian kebijakantab, diAturan kebijakanbagian, pilihMengedit.

  5. Di bawahStatus konfigurasi logging, batalkan pilihanAktifkan dan agregat log alirandanAktifkan dan agregat log peringatanjika mereka dipilih.

  6. Pilih Selanjutnya.

  7. Tinjau pengaturan Anda, lalu pilihSimpanuntuk menyimpan perubahan Anda pada kebijakan.