Amazon Data Firehose 配信ストリーム

このセクションでは、ウェブ ACL トラフィックログを Amazon Data Firehose 配信ストリームに送信するための情報を提供します。

注記

AWS WAFの使用料金に加えて、ログ記録の料金が請求されます。詳細については、「ウェブ ACL トラフィックのログ記録の料金に関する情報」を参照してください。

Amazon Data Firehose にログを送信するには、ウェブ ACL から Firehose で設定した Amazon Data Firehose 配信ストリームにログを送信します。ログ記録を有効にすると、 は Firehose の HTTPS エンドポイントを介してストレージ宛先にログを AWS WAF 配信します。

1 つの AWS WAF ログは、1 つの Firehose レコードに相当します。通常、1 秒あたり 10,000 件のリクエストを受信し、フルログを有効にする場合は、Firehose で 1 秒あたり 10,000 件のレコードを設定する必要があります。Firehose を正しく設定しないと、すべてのログを記録 AWS WAF しません。詳細については、Amazon Kinesis Data Firehose クォータ」を参照してください。

Amazon Data Firehose 配信ストリームを作成し、保存されたログを確認する方法については、「Amazon Data Firehose とは」を参照してください。

配信ストリームの作成については、「Amazon Data Firehose 配信ストリームの作成」を参照してください。

ウェブ ACL の Amazon Data Firehose 配信ストリームの設定

ウェブ ACL の Amazon Data Firehose 配信ストリームを次のように設定します。

• ウェブ ACL の管理に使用するアカウントと同じアカウントを使用して作成します。

• ウェブ ACL と同じリージョンに作成します。Amazon のログをキャプチャする場合は CloudFront、米国東部 (バージニア北部) リージョン に Firehose を作成します。 us-east-1

• データ Firehose にプレフィックス aws-waf-logs- で始まる名前を付けます。例えば、aws-waf-logs-us-east-2-analytics です。

• Direct PUT 用に設定し、アプリケーションが配信ストリームに直接アクセスできるようにします。Amazon Data Firehose コンソールで、配信ストリームのソース設定で、直接 PUT またはその他のソース を選択します。API を通じて、配信ストリームのプロパティ DeliveryStreamType を DirectPut に設定します。

  注記

  Kinesis stream をソースとして使用しないでください。

Amazon Data Firehose 配信ストリームにログを発行するために必要なアクセス許可

Kinesis Data Firehose の設定に必要な許可を理解するには、「Controlling Access with Amazon Kinesis Data Firehose」(Amazon Kinesis Data Firehose によるアクセスの制御) を参照してください。

Amazon Data Firehose 配信ストリームでウェブ ACL ログ記録を正常に有効にするには、次のアクセス許可が必要です。

• iam:CreateServiceLinkedRole

• firehose:ListDeliveryStreams

• wafv2:PutLoggingConfiguration

サービスにリンクされたロールおよび iam:CreateServiceLinkedRole 許可の詳細については、「のサービスにリンクされたロールの使用 AWS WAF」を参照してください。