AWS WAF kebijakan - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced
Kelompok aturan dalam AWS WAF kebijakanMengonfigurasi pencatatan untuk kebijakan AWS WAF

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS WAF kebijakan

Dalam AWS WAF kebijakan Firewall Manager, Anda menentukan grup AWS WAF aturan yang ingin Anda gunakan di seluruh sumber daya Anda. Saat menerapkan kebijakan, Firewall Manager membuat web ACLs di akun dalam cakupan kebijakan tergantung pada cara Anda mengonfigurasi pengelolaan web ACLs dalam kebijakan Anda. Di web yang ACLs dibuat oleh kebijakan, manajer akun individu dapat menambahkan aturan dan grup aturan, selain grup aturan yang Anda tetapkan melalui Firewall Manager.

Bagaimana Firewall Manager mengelola web ACLs

Firewall Manager membuat web ACLs berdasarkan cara Anda mengonfigurasi ACLs setelan Kelola web yang tidak terkait dalam kebijakan Anda, atau optimizeUnassociatedWebACL setelan dalam tipe SecurityServicePolicyDatadata diAPI.

Jika Anda mengaktifkan pengelolaan web yang tidak terkaitACLs, Firewall Manager membuat web ACLs di akun dalam cakupan kebijakan hanya jika web ACLs akan digunakan oleh setidaknya satu sumber daya. Jika sewaktu-waktu akun masuk ke cakupan kebijakan, Firewall Manager secara otomatis membuat web ACL di akun jika setidaknya satu sumber daya akan menggunakan webACL. Saat Anda mengaktifkan pengelolaan web yang tidak terkaitACLs, Firewall Manager melakukan pembersihan satu kali web ACLs yang tidak terkait di akun Anda. Selama pembersihan, Firewall Manager melewatkan web apa pun ACLs yang telah Anda modifikasi setelah pembuatannya, misalnya, jika Anda menambahkan grup aturan ke web ACL atau memodifikasi pengaturannya. Proses pembersihan bisa memakan waktu beberapa jam. Jika sumber daya meninggalkan cakupan kebijakan setelah Firewall Manager membuat webACL, Firewall Manager memisahkan sumber daya dari webACL, tetapi tidak akan membersihkan web yang tidak terkait. ACL Firewall Manager hanya membersihkan web yang tidak terkait ACLs saat Anda pertama kali mengaktifkan pengelolaan web yang tidak terkait ACLs dalam suatu kebijakan.

Jika Anda tidak mengaktifkan opsi ini, Firewall Manager tidak mengelola web yang tidak terkaitACLs, dan Firewall Manager secara otomatis membuat web ACL di setiap akun yang berada dalam cakupan kebijakan.

Pengambilan sampel dan metrik CloudWatch

AWS Firewall Manager memungkinkan pengambilan sampel dan CloudWatch metrik Amazon untuk web ACLs dan grup aturan yang dibuatnya untuk kebijakan. AWS WAF

Struktur ACL penamaan web

Ketika Firewall Manager membuat web ACL untuk kebijakan, itu menamai web ACLFMManagedWebACLV2-policy name-timestamp. Stempel waktu dalam UTC milidetik. Misalnya, FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

catatan

Jika sumber daya yang dikonfigurasi dengan DDoSmitigasi lapisan aplikasi otomatis lanjutan masuk ke dalam cakupan AWS WAF kebijakan, Firewall Manager tidak akan dapat mengaitkan web yang ACL dibuat oleh AWS WAF kebijakan ke sumber daya.

Kelompok aturan dalam AWS WAF kebijakan

Web ACLs yang dikelola oleh AWS WAF kebijakan Firewall Manager berisi tiga set aturan. Set ini memberikan tingkat prioritas yang lebih tinggi untuk aturan dan kelompok aturan di web: ACL

  • Grup aturan pertama, yang ditentukan oleh Anda dalam AWS WAF kebijakan Firewall Manager. AWS WAF mengevaluasi kelompok aturan ini terlebih dahulu.

  • Aturan dan kelompok aturan yang ditentukan oleh manajer akun di webACLs. AWS WAF mengevaluasi aturan atau kelompok aturan yang dikelola akun berikutnya.

  • Grup aturan terakhir, yang ditentukan oleh Anda dalam AWS WAF kebijakan Firewall Manager. AWS WAF mengevaluasi kelompok aturan ini terakhir.

Dalam masing-masing set aturan ini, AWS WAF mengevaluasi aturan dan kelompok aturan seperti biasa, sesuai dengan pengaturan prioritas mereka dalam set.

Dalam kumpulan grup aturan pertama dan terakhir kebijakan, Anda hanya dapat menambahkan grup aturan. Anda dapat menggunakan grup aturan AWS terkelola, yang Aturan Terkelola dan AWS Marketplace penjual membuat dan memelihara untuk Anda. Anda juga dapat mengelola dan menggunakan grup aturan Anda sendiri. Untuk informasi selengkapnya tentang semua opsi ini, lihatPenggunaan AWS WAF kelompok aturan.

Jika Anda ingin menggunakan grup aturan Anda sendiri, Anda membuatnya sebelum membuat AWS WAF kebijakan Firewall Manager. Untuk panduan, lihat Mengelola grup aturan Anda sendiri. Untuk menggunakan aturan kustom individual, Anda harus menentukan grup aturan Anda sendiri, menentukan aturan Anda di dalamnya, dan kemudian menggunakan grup aturan dalam kebijakan Anda.

Grup AWS WAF aturan pertama dan terakhir yang Anda kelola melalui Firewall Manager memiliki nama yang dimulai dengan PREFMManaged- atauPOSTFMManaged-, masing-masing, diikuti dengan nama kebijakan Firewall Manager, dan stempel waktu pembuatan grup aturan, dalam UTC milidetik. Misalnya, PREFMManaged-MyWAFPolicyName-1621880555123.

Untuk informasi tentang cara AWS WAF mengevaluasi permintaan web, lihatMenggunakan web ACLs dengan aturan dan kelompok aturan di AWS WAF.

Untuk prosedur membuat AWS WAF kebijakan Firewall Manager, lihatMembuat AWS Firewall Manager kebijakan untuk AWS WAF.

Firewall Manager memungkinkan pengambilan sampel dan CloudWatch metrik Amazon untuk grup aturan yang Anda tetapkan untuk kebijakan tersebut. AWS WAF

Pemilik akun individu memiliki kontrol penuh atas metrik dan konfigurasi pengambilan sampel untuk setiap aturan atau grup aturan yang mereka tambahkan ke web terkelola kebijakan. ACLs

Mengonfigurasi pencatatan untuk kebijakan AWS WAF

Anda dapat mengaktifkan pencatatan terpusat untuk AWS WAF kebijakan Anda untuk mendapatkan informasi terperinci tentang lalu lintas yang dianalisis oleh web Anda ACL dalam organisasi Anda. Informasi dalam log mencakup waktu AWS WAF menerima permintaan dari AWS sumber daya Anda, informasi terperinci tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan dari semua akun dalam lingkup. Anda dapat mengirim log ke aliran data Amazon Data Firehose atau bucket Amazon Simple Storage Service (S3). Untuk informasi tentang AWS WAF pencatatan, lihat Pencatatan log AWS WAF ACLlalu lintas web di Panduan AWS WAF Pengembang.

catatan

AWS Firewall Manager mendukung opsi ini untuk AWS WAFV2, bukan untuk AWS WAF Klasik.

Tujuan pencatatan

Bagian ini menjelaskan tujuan pencatatan yang dapat Anda pilih untuk mengirim log AWS WAF kebijakan Anda. Setiap bagian menyediakan panduan untuk mengonfigurasi pencatatan log untuk jenis tujuan dan informasi tentang semua perilaku yang spesifik untuk jenis destinasi. Setelah mengonfigurasi tujuan pencatatan, Anda dapat memberikan spesifikasinya ke AWS WAF kebijakan Firewall Manager Anda untuk mulai masuk ke sana.

Firewall Manager tidak memiliki visibilitas ke kegagalan log setelah membuat konfigurasi logging. Anda bertanggung jawab untuk memverifikasi bahwa pengiriman log berfungsi seperti yang Anda inginkan.

catatan

Firewall Manager tidak mengubah konfigurasi logging yang ada di akun anggota organisasi Anda.

Aliran data Amazon Data Firehose

Topik ini memberikan informasi untuk mengirim log ACL lalu lintas web Anda ke aliran data Amazon Data Firehose.

Saat mengaktifkan pencatatan Amazon Data Firehose, Firewall Manager mengirimkan log dari web kebijakan Anda ACLs ke Amazon Data Firehose tempat Anda mengonfigurasi tujuan penyimpanan. Setelah Anda mengaktifkan logging, AWS WAF mengirimkan log untuk setiap web yang dikonfigurasiACL, melalui HTTPS titik akhir Kinesis Data Firehose ke tujuan penyimpanan yang dikonfigurasi. Sebelum Anda menggunakannya, uji aliran pengiriman Anda untuk memastikan bahwa itu memiliki throughput yang cukup untuk mengakomodasi log organisasi Anda. Untuk informasi selengkapnya tentang cara membuat Amazon Kinesis Data Firehose dan meninjau log yang disimpan, lihat Apa itu Amazon Data Firehose?

Anda harus memiliki izin berikut agar berhasil mengaktifkan logging dengan Kinesis:

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

Saat Anda mengonfigurasi tujuan pencatatan Amazon Data Firehose pada AWS WAF kebijakan, Firewall Manager membuat web ACL untuk kebijakan tersebut di akun administrator Manajer Firewall sebagai berikut:

  • Firewall Manager membuat web ACL di akun administrator Firewall Manager terlepas dari apakah akun tersebut berada dalam lingkup kebijakan.

  • Web ACL telah mengaktifkan logging, dengan nama logFMManagedWebACLV2-Loggingpolicy name-timestamp, di mana stempel waktu adalah UTC waktu log diaktifkan untuk webACL, dalam milidetik. Misalnya, FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180. Web tidak ACL memiliki kelompok aturan dan tidak ada sumber daya terkait.

  • Anda dikenakan biaya untuk web ACL sesuai dengan AWS WAF pedoman harga. Untuk informasi selengkapnya, silakan lihat Harga AWS WAF.

  • Firewall Manager menghapus web ACL saat Anda menghapus kebijakan.

Untuk informasi tentang peran terkait layanan dan iam:CreateServiceLinkedRole izin, lihat. Menggunakan peran terkait layanan untuk AWS WAF

Untuk informasi selengkapnya tentang membuat aliran pengiriman, lihat Membuat Aliran Pengiriman Firehose Data Amazon.

Bucket Amazon Simple Storage Service

Topik ini memberikan informasi untuk mengirim log ACL lalu lintas web Anda ke bucket Amazon S3.

Bucket yang Anda pilih sebagai tujuan pencatatan harus dimiliki oleh akun administrator Firewall Manager. Untuk informasi tentang persyaratan pembuatan bucket Amazon S3 untuk persyaratan pencatatan dan penamaan bucket, lihat Amazon Simple Storage Service di Panduan AWS WAF Pengembang.

Konsistensi akhirnya

Saat Anda membuat perubahan pada AWS WAF kebijakan yang dikonfigurasi dengan tujuan pencatatan Amazon S3, Firewall Manager memperbarui kebijakan bucket untuk menambahkan izin yang diperlukan untuk pencatatan. Saat melakukannya, Firewall Manager mengikuti model last-writer-wins semantik dan konsistensi data yang diikuti Amazon Simple Storage Service. Jika Anda secara bersamaan membuat beberapa pembaruan kebijakan ke tujuan Amazon S3 di konsol Firewall Manager atau melalui PutPolicyAPI, beberapa izin mungkin tidak disimpan. Untuk informasi selengkapnya tentang model konsistensi data Amazon S3, lihat model konsistensi data Amazon S3 di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Izin untuk mempublikasikan log ke bucket Amazon S3

Mengonfigurasi pencatatan ACL lalu lintas web untuk bucket Amazon S3 dalam kebijakan memerlukan AWS WAF setelan izin berikut. Firewall Manager secara otomatis melampirkan izin ini ke bucket Amazon S3 saat mengonfigurasi Amazon S3 sebagai tujuan pencatatan untuk memberikan izin layanan untuk memublikasikan log ke bucket. Jika Anda ingin mengelola akses berbutir halus ke sumber daya logging dan Firewall Manager, Anda dapat mengatur sendiri izin ini. Untuk informasi tentang mengelola izin, lihat Manajemen akses untuk AWS sumber daya di Panduan IAM Pengguna. Untuk informasi tentang kebijakan yang AWS WAF dikelola, lihatAWS kebijakan terkelola untuk AWS WAF. 

{
    "Version": "2012-10-17",
    "Id": "AWSLogDeliveryForFirewallManager",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheckFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-amzn-s3-demo-bucket"
        },
        {
            "Sid": "AWSLogDeliveryWriteFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket/policy-id/AWSLogs/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

Untuk mencegah masalah deputi lintas layanan yang membingungkan, Anda dapat menambahkan kunci konteks kondisi aws:SourceAccountglobal aws:SourceArndan global ke kebijakan bucket Anda. Untuk menambahkan kunci ini, Anda dapat mengubah kebijakan yang dibuat oleh Manajer Firewall untuk Anda saat mengonfigurasi tujuan pencatatan, atau jika Anda menginginkan kontrol berbutir halus, Anda dapat membuat kebijakan sendiri. Jika Anda menambahkan kondisi ini ke kebijakan tujuan pencatatan, Firewall Manager tidak akan memvalidasi atau memantau perlindungan deputi yang membingungkan. Untuk informasi umum tentang masalah wakil yang bingung, lihat Masalah wakil yang bingung dalam IAMUser Guide.

Saat Anda menambahkan sourceArn properti sourceAccount add, itu akan meningkatkan ukuran kebijakan bucket. Jika Anda menambahkan daftar panjang sourceArn properti sourceAccount add, berhati-hatilah agar tidak melebihi kuota ukuran kebijakan bucket Amazon S3.

Contoh berikut menunjukkan cara mencegah masalah deputi yang membingungkan dengan menggunakan kunci konteks kondisi aws:SourceAccount global aws:SourceArn dan global dalam kebijakan bucket Anda. Ganti member-account-id dengan akun IDs anggota di organisasi Anda.

{
   "Version":"2012-10-17",
   "Id":"AWSLogDeliveryForFirewallManager",
   "Statement":[
      {
         "Sid":"AWSLogDeliveryAclCheckFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:GetBucketAcl",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":[
                  "member-account-id",
                  "member-account-id"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
                  "arn:aws:logs:*:member-account-id:*",
                  "arn:aws:logs:*:member-account-id:*"
               ]
            }
         }
      },
      {
         "Sid":"AWSLogDeliveryWriteFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket/policy-id/AWSLogs/*",
         "Condition":{
            "StringEquals":{
               "s3:x-amz-acl":"bucket-owner-full-control",
               "aws:SourceAccount":[
                    "member-account-id",
                  "member-account-id"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
                  "arn:aws:logs:*:member-account-id-1:*",
                  "arn:aws:logs:*:member-account-id-2:*"
               ]
            }
         }
      }
   ]
}
Enkripsi sisi server untuk bucket Amazon S3

Anda dapat mengaktifkan enkripsi sisi server Amazon S3 atau menggunakan kunci yang dikelola AWS Key Management Service pelanggan di bucket S3 Anda. Jika Anda memilih untuk menggunakan enkripsi Amazon S3 default di bucket Amazon S3 AWS WAF untuk log, Anda tidak perlu mengambil tindakan khusus apa pun. Namun, jika Anda memilih untuk menggunakan kunci enkripsi yang disediakan pelanggan untuk mengenkripsi data Amazon S3 Anda saat istirahat, Anda harus menambahkan pernyataan izin berikut ke kebijakan kunci Anda: AWS Key Management Service 

{
            "Sid": "Allow Logs Delivery to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
}

Untuk informasi tentang penggunaan kunci enkripsi yang disediakan pelanggan dengan Amazon S3, lihat Menggunakan enkripsi sisi server dengan kunci yang disediakan pelanggan SSE (-C) di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Mengaktifkan pencatatan log

Prosedur berikut menjelaskan cara mengaktifkan logging untuk AWS WAF kebijakan di konsol Firewall Manager.

Untuk mengaktifkan pencatatan untuk AWS WAF kebijakan

  1. Sebelum Anda dapat mengaktifkan logging, Anda harus mengonfigurasi sumber daya tujuan pencatatan Anda sebagai berikut:

    • Amazon Kinesis Data Streams - Buat Amazon Data Firehose menggunakan akun administrator Firewall Manager Anda. Gunakan nama yang dimulai dengan awalanaws-waf-logs-. Misalnya, aws-waf-logs-firewall-manager-central. Buat firehose data dengan PUT sumber dan di Wilayah yang Anda operasikan. Jika Anda menangkap log untuk Amazon CloudFront, buat firehose di US East (Virginia N.). Sebelum Anda menggunakannya, uji aliran pengiriman Anda untuk memastikan bahwa itu memiliki throughput yang cukup untuk mengakomodasi log organisasi Anda. Untuk informasi selengkapnya, lihat Membuat aliran pengiriman Amazon Data Firehose.

    • Bucket Layanan Penyimpanan Sederhana Amazon - Buat bucket Amazon S3 sesuai dengan pedoman dalam topik Layanan Penyimpanan Sederhana Amazon di Panduan AWS WAF Pengembang. Anda juga harus mengonfigurasi bucket Amazon S3 Anda dengan izin yang tercantum di. Izin untuk mempublikasikan log ke bucket Amazon S3

  2. Masuk ke akun administrator AWS Management Console menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2. Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

    catatan

    Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

  3. Di panel navigasi, pilih Kebijakan Keamanan.

  4. Pilih AWS WAF kebijakan yang ingin Anda aktifkan pencatatan. Untuk informasi lebih lanjut tentang AWS WAF catatan, lihat Pencatatan log AWS WAF ACLlalu lintas web.

  5. Pada tab Detail kebijakan, di bagian Aturan kebijakan, pilih Edit.

  6. Untuk konfigurasi Logging, pilih Aktifkan logging untuk mengaktifkan logging. Logging memberikan informasi rinci tentang lalu lintas yang dianalisis oleh web AndaACL. Pilih tujuan Logging, lalu pilih tujuan logging yang Anda konfigurasikan. Anda harus memilih tujuan logging yang namanya dimulai denganaws-waf-logs-. Untuk informasi tentang mengonfigurasi tujuan AWS WAF pencatatan, lihatMengonfigurasi pencatatan untuk kebijakan AWS WAF.

  7. (Opsional) Jika Anda tidak ingin bidang tertentu dan nilainya disertakan dalam log, edit bidang tersebut. Pilih bidang yang akan disunting, lalu pilih Tambah. Ulangi seperlunya untuk menyunting bidang tambahan. Bidang yang disunting muncul seperti REDACTED di log. Misalnya, jika Anda menyunting URIbidang, URIbidang di log akan menjadiREDACTED.

  8. (Opsional) Jika Anda tidak ingin mengirim semua permintaan ke log, tambahkan kriteria dan perilaku pemfilteran Anda. Di bawah Filter log, untuk setiap filter yang ingin Anda terapkan, pilih Tambahkan filter, lalu pilih kriteria pemfilteran Anda dan tentukan apakah Anda ingin menyimpan atau menghapus permintaan yang sesuai dengan kriteria. Ketika Anda selesai menambahkan filter, jika diperlukan, ubah perilaku logging Default. Untuk informasi lebih lanjut, lihat Menemukan ACL catatan web Anda dalam Panduan Pengembang AWS WAF .

  9. Pilih Berikutnya.

  10. Tinjau pengaturan Anda, lalu pilih Simpan untuk menyimpan perubahan pada kebijakan.

Menonaktifkan log

Prosedur berikut menjelaskan cara menonaktifkan logging untuk AWS WAF kebijakan di konsol Firewall Manager.

Untuk menonaktifkan pencatatan untuk AWS WAF kebijakan

  1. Masuk ke akun administrator AWS Management Console menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2. Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

    catatan

    Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

  2. Di panel navigasi, pilih Kebijakan Keamanan.

  3. Pilih AWS WAF kebijakan yang ingin Anda nonaktifkan pencatatan.

  4. Pada tab Detail kebijakan, di bagian Aturan kebijakan, pilih Edit.

  5. Untuk status konfigurasi Logging, pilih Dinonaktifkan.

  6. Pilih Berikutnya.

  7. Tinjau pengaturan Anda, lalu pilih Simpan untuk menyimpan perubahan pada kebijakan.