AWS Network Firewall kebijakan - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced
Mengkonfigurasi logging untuk kebijakan Network Firewall

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Network Firewall kebijakan

Anda dapat menggunakan kebijakan AWS Firewall Manager Network Firewall untuk mengelola AWS Network Firewall firewall untuk VPC Amazon Virtual Private Cloud di seluruh organisasi. AWS Organizations Anda dapat menerapkan firewall yang dikontrol secara terpusat ke seluruh organisasi Anda atau ke subset tertentu dari akun dan VPC Anda.

Network Firewall menyediakan perlindungan pemfilteran lalu lintas jaringan untuk subnet publik di VPC Anda. Firewall Manager membuat dan mengelola firewall berdasarkan jenis manajemen firewall yang ditentukan oleh kebijakan Anda. Firewall Manager menyediakan model manajemen firewall berikut:

  • Didistribusikan - Untuk setiap akun dan VPC yang berada dalam cakupan kebijakan, Firewall Manager membuat firewall Network Firewall dan menyebarkan titik akhir firewall ke subnet VPC, untuk memfilter lalu lintas jaringan.

  • Terpusat - Firewall Manager membuat firewall Network Firewall tunggal dalam satu VPC Amazon.

  • Impor firewall yang ada - Firewall Manager mengimpor firewall yang ada untuk pengelolaan dalam satu kebijakan Firewall Manager. Anda dapat menerapkan aturan tambahan ke firewall impor yang dikelola oleh kebijakan Anda untuk memastikan bahwa firewall Anda memenuhi standar keamanan Anda.

catatan

Kebijakan Firewall Manager Network Firewall adalah kebijakan Firewall Manager yang Anda gunakan untuk mengelola perlindungan Firewall Jaringan untuk VPC Anda di seluruh organisasi Anda.

Perlindungan Network Firewall ditentukan dalam sumber daya dalam layanan Network Firewall yang disebut kebijakan firewall.

Untuk informasi tentang menggunakan Network Firewall, lihat Panduan AWS Network Firewall Pengembang.

Bagian berikut mencakup persyaratan untuk menggunakan kebijakan Firewall Manager Network Firewall dan menjelaskan cara kerja kebijakan. Untuk prosedur pembuatan kebijakan, lihatMembuat AWS Firewall Manager kebijakan untuk AWS Network Firewall.

Anda harus mengaktifkan berbagi sumber daya

Kebijakan Firewall Jaringan membagikan grup aturan Firewall Jaringan di seluruh akun di organisasi Anda. Agar ini berfungsi, Anda harus mengaktifkan berbagi sumber daya AWS Organizations. Untuk informasi tentang cara mengaktifkan berbagi sumber daya, lihatBerbagi sumber daya untuk kebijakan Network Firewall dan DNS Firewall.

Anda harus memiliki grup aturan Network Firewall yang ditentukan

Ketika Anda menentukan kebijakan Network Firewall baru, Anda menentukan kebijakan firewall sama seperti yang Anda lakukan ketika Anda menggunakan AWS Network Firewall secara langsung. Anda menentukan grup aturan stateless untuk ditambahkan, tindakan stateless default, dan grup aturan stateful. Grup aturan Anda harus sudah ada di akun administrator Manajer Firewall agar Anda dapat memasukkannya ke dalam kebijakan. Untuk informasi tentang membuat grup aturan Firewall Jaringan, lihat grup AWS Network Firewall aturan.

Bagaimana Firewall Manager membuat titik akhir firewall

Jenis manajemen Firewall dalam kebijakan Anda menentukan cara Firewall Manager membuat firewall. Kebijakan Anda dapat membuat firewall terdistribusi, firewall terpusat, atau Anda dapat mengimpor firewall yang ada:

  • Didistribusikan - Dengan model penerapan terdistribusi, Firewall Manager membuat titik akhir untuk setiap VPC yang berada dalam cakupan kebijakan. Anda dapat menyesuaikan lokasi titik akhir dengan menentukan Availability Zones untuk membuat endpoint firewall, atau Firewall Manager dapat secara otomatis membuat endpoint di Availability Zones dengan subnet publik. Jika Anda memilih Availability Zones secara manual, Anda memiliki opsi untuk membatasi kumpulan CIDR yang diizinkan per Availability Zone. Jika Anda memutuskan untuk membiarkan Firewall Manager secara otomatis membuat endpoint, Anda juga harus menentukan apakah layanan akan membuat endpoint tunggal atau beberapa endpoint firewall dalam VPC Anda.

    • Untuk beberapa titik akhir firewall, Firewall Manager menyebarkan titik akhir firewall di setiap Availability Zone di mana Anda memiliki subnet dengan gateway internet atau rute endpoint firewall yang dibuat oleh Manajer Firewall di tabel rute. Ini adalah opsi default untuk kebijakan Network Firewall.

    • Untuk titik akhir firewall tunggal, Firewall Manager menyebarkan titik akhir firewall di satu Availability Zone di subnet mana pun yang memiliki rute gateway internet. Dengan opsi ini, lalu lintas di zona lain perlu melintasi batas zona agar dapat disaring oleh firewall.

      catatan

      Untuk kedua opsi ini, harus ada subnet yang terkait dengan tabel rute yang memiliki rute IPv4/PrefixList di dalamnya. Firewall Manager tidak memeriksa sumber daya lainnya.

  • Terpusat - Dengan model penyebaran terpusat, Firewall Manager membuat satu atau lebih titik akhir firewall dalam VPC inspeksi. VPC inspeksi adalah VPC pusat tempat Firewall Manager meluncurkan endpoint Anda. Saat Anda menggunakan model penerapan terpusat, Anda juga menentukan Availability Zone untuk membuat endpoint firewall. Anda tidak dapat mengubah VPC inspeksi setelah membuat kebijakan. Untuk menggunakan VPC inspeksi yang berbeda, Anda harus membuat kebijakan baru.

  • Impor firewall yang ada - Saat Anda mengimpor firewall yang ada, Anda memilih firewall yang akan dikelola dalam kebijakan Anda dengan menambahkan satu atau beberapa kumpulan sumber daya ke kebijakan Anda. Kumpulan sumber daya adalah kumpulan sumber daya, dalam hal ini firewall yang ada di Network Firewall, yang dikelola oleh akun di organisasi Anda. Sebelum menggunakan kumpulan sumber daya dalam kebijakan, Anda harus terlebih dahulu membuat kumpulan sumber daya. Untuk informasi tentang kumpulan sumber daya Firewall Manager, lihatBekerja dengan kumpulan sumber daya di Firewall Manager.

    Ingatlah pertimbangan berikut saat bekerja dengan firewall yang diimpor:

    • Jika firewall yang diimpor menjadi tidak sesuai, Firewall Manager akan mencoba menyelesaikan pelanggaran secara otomatis, kecuali dalam keadaan berikut:

      • Jika ada ketidakcocokan antara tindakan default stateful atau stateless kebijakan Firewall Manager Firewall Firewall.

      • Jika grup aturan dalam kebijakan firewall firewall yang diimpor memiliki prioritas yang sama dengan grup aturan dalam kebijakan Firewall Manager.

      • Jika firewall yang diimpor menggunakan kebijakan firewall yang terkait dengan firewall, itu bukan bagian dari kumpulan sumber daya kebijakan. Hal ini dapat terjadi karena firewall dapat memiliki tepat satu kebijakan firewall, tetapi kebijakan firewall tunggal dapat dikaitkan dengan beberapa firewall.

      • Jika grup aturan yang sudah ada sebelumnya milik kebijakan firewall firewall yang diimpor yang juga ditentukan dalam kebijakan Firewall Manager diberikan prioritas yang berbeda.

    • Jika Anda mengaktifkan pembersihan sumber daya dalam kebijakan, Firewall Manager menghapus grup aturan yang telah ada dalam kebijakan impor FMS dari firewall dalam lingkup kumpulan sumber daya.

    • Firewall yang dikelola oleh Firewall Manager mengimpor jenis manajemen firewall yang ada hanya dapat dikelola oleh satu kebijakan pada satu waktu. Jika kumpulan sumber daya yang sama ditambahkan ke beberapa kebijakan firewall jaringan impor, firewall dalam kumpulan sumber daya akan dikelola oleh kebijakan pertama yang ditambahkan kumpulan sumber daya dan akan diabaikan oleh kebijakan kedua.

    • Firewall Manager saat ini tidak melakukan streaming konfigurasi kebijakan pengecualian. Untuk informasi tentang kebijakan pengecualian aliran, lihat Kebijakan pengecualian Streaming di Panduan AWS Network Firewall Pengembang.

Jika Anda mengubah daftar Availability Zone untuk kebijakan yang menggunakan manajemen firewall terdistribusi atau terpusat, Firewall Manager akan mencoba membersihkan titik akhir apa pun yang dibuat di masa lalu, tetapi saat ini tidak dalam cakupan kebijakan. Firewall Manager akan menghapus titik akhir hanya jika tidak ada rute tabel rute yang mereferensikan titik akhir di luar cakupan. Jika Firewall Manager menemukan bahwa ia tidak dapat menghapus titik akhir ini, itu akan menandai subnet firewall sebagai tidak sesuai dan akan terus mencoba untuk menghapus titik akhir hingga saat aman untuk dihapus.

Bagaimana Firewall Manager mengelola subnet firewall Anda

Subnet firewall adalah subnet VPC yang dibuat oleh Firewall Manager untuk titik akhir firewall yang menyaring lalu lintas jaringan Anda. Setiap titik akhir firewall harus digunakan dalam subnet VPC khusus. Firewall Manager membuat setidaknya satu subnet firewall di setiap VPC yang berada dalam cakupan kebijakan.

Untuk kebijakan yang menggunakan model penyebaran terdistribusi dengan konfigurasi titik akhir otomatis, Firewall Manager hanya membuat subnet firewall di Availability Zones yang memiliki subnet dengan rute gateway internet, atau subnet dengan rute ke titik akhir firewall yang dibuat oleh Firewall Manager untuk kebijakan mereka. Untuk informasi selengkapnya, lihat VPC dan subnet di Panduan Pengguna Amazon VPC.

Untuk kebijakan yang menggunakan model terdistribusi atau terpusat tempat Anda menentukan Availability Zones Firewall Manager mana yang membuat titik akhir firewall, Firewall Manager membuat titik akhir di Availability Zone tertentu terlepas dari apakah ada sumber daya lain di Availability Zone.

Saat pertama kali menentukan kebijakan Network Firewall, Anda menentukan cara Firewall Manager mengelola subnet firewall di masing-masing VPC yang berada dalam cakupan. Anda tidak dapat mengubah pilihan ini nanti.

Untuk kebijakan yang menggunakan model penerapan terdistribusi dengan konfigurasi titik akhir otomatis, Anda dapat memilih di antara opsi berikut:

  • Menyebarkan subnet firewall untuk setiap Availability Zone yang memiliki subnet publik. Ini adalah perilaku default. Ini memberikan ketersediaan tinggi perlindungan penyaringan lalu lintas Anda.

  • Menyebarkan subnet firewall tunggal dalam satu Availability Zone. Dengan pilihan ini, Firewall Manager mengidentifikasi zona di VPC yang memiliki subnet publik paling banyak dan membuat subnet firewall di sana. Titik akhir firewall tunggal menyaring semua lalu lintas jaringan untuk VPC. Ini dapat mengurangi biaya firewall, tetapi tidak terlalu tersedia dan memerlukan lalu lintas dari zona lain untuk melintasi batas zona agar dapat disaring.

Untuk kebijakan yang menggunakan model penerapan terdistribusi dengan konfigurasi titik akhir kustom atau model penerapan terpusat, Firewall Manager membuat subnet di Availability Zone tertentu yang berada dalam cakupan kebijakan.

Anda dapat menyediakan blok VPC CIDR untuk Firewall Manager untuk digunakan untuk subnet firewall atau Anda dapat meninggalkan pilihan alamat endpoint firewall hingga Firewall Manager untuk menentukan.

  • Jika Anda tidak menyediakan blok CIDR, Firewall Manager menanyakan VPC Anda untuk alamat IP yang tersedia untuk digunakan.

  • Jika Anda memberikan daftar blok CIDR, Firewall Manager mencari subnet baru hanya di blok CIDR yang Anda berikan. Anda harus menggunakan blok /28 CIDR. Untuk setiap subnet firewall yang dibuat oleh Firewall Manager, ia berjalan di daftar blok CIDR Anda dan menggunakan yang pertama yang ditemukan yang berlaku untuk Availability Zone dan VPC dan memiliki alamat yang tersedia. Jika Firewall Manager tidak dapat menemukan ruang terbuka di VPC (dengan atau tanpa batasan), layanan tidak akan membuat firewall di VPC.

Jika Firewall Manager tidak dapat membuat subnet firewall yang diperlukan di Availability Zone, itu menandai subnet sebagai tidak sesuai dengan kebijakan. Sementara zona dalam keadaan ini, lalu lintas untuk zona harus melintasi batas zona untuk disaring oleh titik akhir di zona lain. Ini mirip dengan skenario subnet firewall tunggal.

Bagaimana Firewall Manager mengelola sumber daya Network Firewall Anda

Saat Anda menentukan kebijakan di Firewall Manager, Anda memberikan perilaku pemfilteran lalu lintas jaringan dari kebijakan AWS Network Firewall firewall standar. Anda menambahkan grup aturan Network Firewall stateless dan stateful dan menentukan tindakan default untuk paket yang tidak cocok dengan aturan stateless. Untuk informasi tentang cara bekerja dengan kebijakan firewall AWS Network Firewall, lihat kebijakan AWS Network Firewall firewall.

Untuk kebijakan terdistribusi dan terpusat, saat Anda menyimpan kebijakan Network Firewall, Firewall Manager membuat kebijakan firewall dan firewall di setiap VPC yang berada dalam cakupan kebijakan. Firewall Manager menamai sumber daya Network Firewall ini dengan menggabungkan nilai-nilai berikut:

  • String tetap, baik FMManagedNetworkFirewall atauFMManagedNetworkFirewallPolicy, tergantung pada jenis sumber daya.

  • Nama kebijakan Firewall Manager. Ini adalah nama yang Anda tetapkan saat membuat kebijakan.

  • ID kebijakan Manajer Firewall. Ini adalah ID AWS sumber daya untuk kebijakan Firewall Manager.

  • ID VPC Amazon. Ini adalah ID AWS sumber daya untuk VPC tempat Firewall Manager membuat kebijakan firewall dan firewall.

Berikut ini menunjukkan contoh nama untuk firewall yang dikelola oleh Firewall Manager:

FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

Berikut ini menunjukkan contoh nama kebijakan firewall:

FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

Setelah Anda membuat kebijakan, akun anggota di VPC tidak dapat mengganti pengaturan kebijakan firewall atau grup aturan Anda, tetapi akun tersebut dapat menambahkan grup aturan ke kebijakan firewall yang telah dibuat oleh Manajer Firewall.

Cara Firewall Manager mengelola dan memantau tabel rute VPC untuk kebijakan Anda

catatan

Manajemen tabel rute saat ini tidak didukung untuk kebijakan yang menggunakan model penerapan terpusat.

Ketika Firewall Manager membuat endpoint firewall Anda, itu juga membuat tabel rute VPC untuk mereka. Namun, Firewall Manager tidak mengelola tabel rute VPC Anda. Anda harus mengonfigurasi tabel rute VPC Anda untuk mengarahkan lalu lintas jaringan ke titik akhir firewall yang dibuat oleh Firewall Manager. Menggunakan penyempurnaan perutean masuk Amazon VPC, ubah tabel perutean Anda untuk merutekan lalu lintas melalui titik akhir firewall baru. Perubahan Anda harus menyisipkan titik akhir firewall di antara subnet yang ingin Anda lindungi dan lokasi luar. Perutean yang tepat yang perlu Anda lakukan tergantung pada arsitektur Anda dan komponennya.

Saat ini, Firewall Manager memungkinkan pemantauan rute tabel rute VPC Anda untuk setiap lalu lintas yang ditujukan ke gateway internet, yang melewati firewall. Firewall Manager tidak mendukung gateway target lain seperti gateway NAT.

Untuk informasi tentang mengelola tabel rute untuk VPC Anda, lihat Mengelola tabel rute untuk VPC Anda di Panduan Pengguna Amazon Virtual Private Cloud. Untuk informasi tentang mengelola tabel rute untuk Network Firewall, lihat Konfigurasi tabel rute untuk AWS Network Firewall Panduan AWS Network Firewall Pengembang.

Saat Anda mengaktifkan pemantauan kebijakan, Firewall Manager terus memantau konfigurasi rute VPC dan memberi tahu Anda tentang lalu lintas yang melewati pemeriksaan firewall untuk VPC tersebut. Jika subnet memiliki rute endpoint firewall, Firewall Manager mencari rute berikut:

  • Rute untuk mengirim lalu lintas ke titik akhir Network Firewall.

  • Rute untuk meneruskan lalu lintas dari titik akhir Network Firewall ke gateway internet.

  • Rute masuk dari gateway internet ke titik akhir Network Firewall.

  • Rute dari subnet firewall.

Jika subnet memiliki rute Network Firewall tetapi ada routing asimetris di Network Firewall dan tabel rute gateway internet Anda, Firewall Manager melaporkan subnet sebagai tidak sesuai. Firewall Manager juga mendeteksi rute ke gateway internet di tabel rute firewall yang dibuat oleh Firewall Manager, serta tabel rute untuk subnet Anda, dan melaporkannya sebagai tidak sesuai. Rute tambahan dalam tabel rute subnet Network Firewall dan tabel rute gateway internet Anda juga dilaporkan sebagai tidak sesuai. Bergantung pada jenis pelanggaran, Firewall Manager menyarankan tindakan remediasi untuk membawa konfigurasi rute ke kepatuhan. Firewall Manager tidak menawarkan saran dalam semua kasus. Misalnya, jika subnet pelanggan Anda memiliki titik akhir firewall yang dibuat di luar Firewall Manager, Firewall Manager tidak menyarankan tindakan remediasi.

Secara default, Firewall Manager akan menandai setiap lalu lintas yang melintasi batas Availability Zone untuk inspeksi sebagai tidak sesuai. Namun, jika Anda memilih untuk secara otomatis membuat satu titik akhir di VPC Anda, Firewall Manager tidak akan menandai lalu lintas yang melintasi batas Availability Zone sebagai tidak sesuai.

Untuk kebijakan yang menggunakan model penerapan terdistribusi dengan konfigurasi titik akhir kustom, Anda dapat memilih apakah lalu lintas yang melintasi batas Availability Zone dari Availability Zone tanpa titik akhir firewall ditandai sebagai sesuai atau tidak sesuai.

catatan

  • Firewall Manager tidak menyarankan tindakan remediasi untuk rute non-IPv4, seperti IPv6 dan rute daftar awalan.

  • Panggilan yang dilakukan menggunakan panggilan DisassociateRouteTable API dapat memakan waktu hingga 12 jam untuk mendeteksi.

  • Firewall Manager membuat tabel rute Network Firewall untuk subnet yang berisi titik akhir firewall. Firewall Manager mengasumsikan bahwa tabel rute ini hanya berisi gateway internet yang valid dan rute default VPC. Setiap rute tambahan atau tidak valid dalam tabel rute ini dianggap tidak sesuai.

Ketika Anda mengonfigurasi kebijakan Firewall Manager, jika Anda memilih mode Monitor, Firewall Manager memberikan rincian pelanggaran dan remediasi sumber daya tentang sumber daya Anda. Anda dapat menggunakan tindakan remediasi yang disarankan ini untuk memperbaiki masalah rute di tabel rute Anda. Jika Anda memilih mode Off, Firewall Manager tidak memantau konten tabel rute untuk Anda. Dengan opsi ini, Anda mengelola sendiri tabel rute VPC Anda. Untuk informasi selengkapnya tentang pelanggaran sumber daya ini, lihatMelihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan.

Awas

Jika Anda memilih Monitor di bawah konfigurasi AWS Network Firewall rute saat membuat kebijakan, Anda tidak dapat menonaktifkannya untuk kebijakan tersebut. Namun, jika Anda memilih Off, Anda dapat mengaktifkannya nanti.

Mengonfigurasi pencatatan untuk kebijakan AWS Network Firewall

Anda dapat mengaktifkan pencatatan terpusat untuk kebijakan Network Firewall Anda untuk mendapatkan informasi terperinci tentang lalu lintas dalam organisasi Anda. Anda dapat memilih pencatatan aliran untuk menangkap arus lalu lintas jaringan, atau pencatatan peringatan untuk melaporkan lalu lintas yang cocok dengan aturan dengan tindakan aturan yang disetel ke DROP atauALERT. Untuk informasi selengkapnya tentang AWS Network Firewall pencatatan, lihat Mencatat lalu lintas jaringan dari AWS Network Firewall Panduan AWS Network Firewall Pengembang.

Anda mengirim log dari firewall Network Firewall kebijakan Anda ke bucket Amazon S3. Setelah Anda mengaktifkan logging, AWS Network Firewall kirimkan log untuk setiap Network Firewall yang dikonfigurasi dengan memperbarui pengaturan firewall untuk mengirimkan log ke bucket Amazon S3 pilihan Anda dengan awalan cadangan, AWS Firewall Manager . <policy-name>-<policy-id>

catatan

Awalan ini digunakan oleh Firewall Manager untuk menentukan apakah konfigurasi logging ditambahkan oleh Firewall Manager, atau apakah itu ditambahkan oleh pemilik akun. Jika pemilik akun mencoba menggunakan awalan cadangan untuk pencatatan kustom mereka sendiri, itu akan ditimpa oleh konfigurasi logging dalam kebijakan Firewall Manager.

Untuk informasi selengkapnya tentang cara membuat bucket Amazon S3 dan meninjau log yang disimpan, lihat Apa itu Amazon S3? di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Untuk mengaktifkan pencatatan, Anda harus memenuhi persyaratan berikut:

  • Amazon S3 yang Anda tentukan dalam kebijakan Firewall Manager harus ada.

  • Anda harus memiliki izin berikut:

    • logs:CreateLogDelivery

    • s3:GetBucketPolicy

    • s3:PutBucketPolicy

  • Jika bucket Amazon S3 yang merupakan tujuan pencatatan Anda menggunakan enkripsi sisi server dengan kunci yang disimpan AWS Key Management Service, Anda harus menambahkan kebijakan berikut ke AWS KMS kunci yang dikelola pelanggan agar Firewall Manager masuk ke grup log Log Anda: CloudWatch 

    
{
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:Encrypt*",
        "kms:Decrypt*",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:Describe*"
    ],
    "Resource": "*"
}

Perhatikan bahwa hanya bucket di akun administrator Firewall Manager yang dapat digunakan untuk logging AWS Network Firewall pusat.

Saat Anda mengaktifkan logging terpusat pada kebijakan Network Firewall, Firewall Manager mengambil tindakan ini di akun Anda:

  • Firewall Manager memperbarui izin pada bucket S3 yang dipilih untuk memungkinkan pengiriman log.

  • Firewall Manager membuat direktori di bucket S3 untuk setiap akun anggota dalam lingkup kebijakan. Log untuk setiap akun dapat ditemukan di<bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>.

Untuk mengaktifkan logging untuk kebijakan Network Firewall

  1. Buat bucket Amazon S3 menggunakan akun administrator Firewall Manager Anda. Untuk informasi selengkapnya, lihat Membuat bucket di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

  2. Masuk ke akun administrator AWS Management Console menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2. Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

    catatan

    Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

  3. Di panel navigasi, pilih Kebijakan Keamanan.

  4. Pilih kebijakan Network Firewall yang ingin Anda aktifkan untuk login. Untuk informasi selengkapnya tentang AWS Network Firewall pencatatan, lihat Mencatat lalu lintas jaringan dari AWS Network Firewall Panduan AWS Network Firewall Pengembang.

  5. Pada tab Detail kebijakan, di bagian Aturan kebijakan, pilih Edit.

  6. Untuk mengaktifkan dan menggabungkan log, pilih satu atau beberapa opsi di bawah konfigurasi Logging:

    • Aktifkan dan agregat log aliran

    • Aktifkan dan agregat log peringatan

  7. Pilih bucket Amazon S3 tempat Anda ingin log Anda dikirimkan. Anda harus memilih bucket untuk setiap jenis log yang Anda aktifkan. Anda dapat menggunakan bucket yang sama untuk kedua jenis log.

  8. (Opsional) Jika Anda ingin pencatatan yang dibuat akun anggota khusus diganti dengan konfigurasi logging kebijakan, pilih Ganti konfigurasi logging yang ada.

  9. Pilih Selanjutnya.

  10. Tinjau pengaturan Anda, lalu pilih Simpan untuk menyimpan perubahan pada kebijakan.

Untuk menonaktifkan logging untuk kebijakan Network Firewall

  1. Masuk ke akun administrator AWS Management Console menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2. Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

    catatan

    Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

  2. Di panel navigasi, pilih Kebijakan Keamanan.

  3. Pilih kebijakan Network Firewall yang ingin Anda nonaktifkan logging.

  4. Pada tab Detail kebijakan, di bagian Aturan kebijakan, pilih Edit.

  5. Di bawah Status konfigurasi Logging, batalkan pilihan Aktifkan dan agregat log aliran serta Aktifkan dan agregat log peringatan jika dipilih.

  6. Pilih Selanjutnya.

  7. Tinjau pengaturan Anda, lalu pilih Simpan untuk menyimpan perubahan pada kebijakan.