ログ記録の送信先 - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
Amazon Data Firehose データストリームAmazon S3 バケット

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ログ記録の送信先

このセクションでは、 AWS WAF ポリシーログの送信先として選択できるログ記録先について説明します。各セクションでは、送信先の種類のログを設定するためのガイダンスと、送信先の種類に固有の動作に関する情報を提供します。ログ記録先を設定したら、Firewall Manager AWS WAF ポリシーにその仕様を指定して、ログ記録を開始できます。

Firewall Manager では、ログ記録設定を作成した後でログの失敗を可視化することはできません。ログ配信が意図したとおりに機能していることを確認するのはユーザーの責任になります。

Firewall Manager は、組織のメンバーアカウントの既存のログ記録設定を変更しません。

Amazon Data Firehose データストリーム

このトピックでは、ウェブ ACL トラフィックログの Amazon Data Firehose データストリームへの送信に関する情報を提供します。

Amazon Data Firehose のログ記録を有効化していると、Firewall Manager は、ストレージを出力先に設定した Amazon Data Firehose に対し、ポリシーのウェブ ACL からログを送信します。ログ記録を有効にすると、 は Kinesis Data Firehose の HTTPS エンドポイントを介して、設定された各ウェブ ACL のログを、設定されたストレージ宛先に AWS WAF 配信します。それを使用する前に、配信ストリームをテストして、組織のログに対応するのに十分なスループットがあることを確認します。Amazon Kinesis Data Firehose を作成し、保存されているログを確認する方法の詳細については、「What Is Amazon Data Firehose?」を参照してください。

Kinesis によるログ記録を正常に有効化するには、以下の許可が付与されている必要があります。

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

AWS WAF ポリシーで Amazon Data Firehose ログ記録先を設定すると、Firewall Manager は Firewall Manager 管理者アカウントにポリシーのウェブ ACL を次のように作成します。

  • Firewall Manager は、アカウントがポリシーの範囲内にあるかどうかにかかわらず、Firewall Manager 管理者アカウントにウェブ ACL を作成します。

  • ウェブ ACL でログ記録が有効になり、FMManagedWebACLV2-Loggingpolicy name-timestamp というログ名が付けられます。タイムスタンプは、ウェブ ACL 用にログが有効になった UTC 時間 (ミリ秒) です。例えば、FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180。ウェブ ACL には、ルールグループおよび関連するリソースはありません。

  • ウェブ ACL には、 AWS WAF 料金ガイドラインに従って課金されます。詳細については、「AWS WAF 料金」を参照してください。

  • ポリシーを削除すると、Firewall Manager はウェブ ACL を削除します。

サービスにリンクされたロールおよび iam:CreateServiceLinkedRole 許可の詳細については、「のサービスにリンクされたロールの使用 AWS WAF」を参照してください。

配信ストリームの作成の詳細については、「Creating an Amazon Data Firehose Delivery Stream」を参照してください。

Amazon Simple Storage Service バケット

このトピックは、ウェブ ACL トラフィックログの Amazon S3 バケットへの送信に関する情報を提供します。

ログ記録の出力先として選択するバケットは、Firewall Manager の管理者アカウントが所有している必要があります。ログ記録用に Amazon S3 バケットを作成する際の要件、およびバケット命名における要件の情報については、「AWS WAF デベロッパーガイド」の「Amazon Simple Storage Service」を参照してください。

結果整合性

Amazon S3 ログ記録先で設定された AWS WAF ポリシーを変更すると、Firewall Manager はバケットポリシーを更新して、ログ記録に必要なアクセス許可を追加します。その際、Firewall Manager は、Amazon Simple Storage Service が採用している、最後の書き込みを優先するセマンティクスとデータ整合性モデルに従います。Firewall Manager コンソールまたは PutPolicy API を使用して、Amazon S3 内の送信先に対して同時に複数のポリシーを更新すると、一部のアクセス許可が保存されない場合があります。Amazon S3 におけるデータ整合性モデルの詳細については、「Amazon Simple Storage Service ユーザーガイド」の「 Amazon S3 のデータ整合性モデル」を参照してください。

Amazon S3 に対しログを発行するためのアクセス許可

AWS WAF ポリシーで Amazon S3 バケットのウェブ ACL トラフィックログ記録を設定するには、次のアクセス許可設定が必要です。Amazon S3 をログ記録の出力先として設定すると、Firewall Manager は、サービスがバケットに対しログを公開することを許可するために、これらのアクセス許可を Amazon S3 バケットに自動的にアタッチします。ログ記録と Firewall Manager リソースへのよりきめ細かいアクセスを管理したい場合は、自分でこれらの許可を設定できます。アクセス許可の管理については、「IAM ユーザーガイド」の「AWS リソースのアクセス管理」を参照してください。 AWS WAF 管理ポリシーの詳細については、「」を参照してくださいAWS の マネージドポリシー AWS WAF

JSON
{
    "Version": "2012-10-17",
    "Id": "AWSLogDeliveryForFirewallManager",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheckFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix"
        },
        {
            "Sid": "AWSLogDeliveryWriteFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

サービス間での混乱した代理問題を防ぐためには、aws:SourceArn および aws:SourceAccount グローバル条件コンテキストキーを、バケットのポリシーに追加できます。これらのキーを追加する場合は、ログの出力先を設定する際に Firewall Manager により作成されたポリシーを変更します。あるいは、よりきめ細かな制御が必要な場合には、独自のポリシーを作成することができます。これらの条件をログ記録出力先のポリシーに追加した場合、Firewall Manager は、混乱した代理に関する保護の検証またはモニタリングを行いません。混乱した代理問題の詳細については、「IAM ユーザーガイド」の「混乱する代理問題」を参照してください。

sourceAccount および sourceArn のプロパティを追加すると、バケットポリシーのサイズが増加します。sourceAccount および sourceArn プロパティから成る長いリストを追加する場合は、Amazon S3 のバケットポリシーのサイズが上限を超えないように注意してください。

次の例で、 ロールポリシーで aws:SourceArn および aws:SourceAccount のグローバル条件コンテキストを使用して、混乱した代理問題を防止する方法を示します。member-account-id を、組織内のメンバーのアカウント ID に置き換えます。

JSON
{
   "Version":"2012-10-17",
   "Id":"AWSLogDeliveryForFirewallManager",
   "Statement":[
      {
         "Sid":"AWSLogDeliveryAclCheckFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:GetBucketAcl",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":[
               "111122223333",
               "444455556666"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
               "arn:aws:logs:*:111122223333:*",
               "arn:aws:logs:*:444455556666:*"
               ]
            }
         }
      },
      {
         "Sid":"AWSLogDeliveryWriteFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
         "Condition":{
            "StringEquals":{
               "s3:x-amz-acl":"bucket-owner-full-control",
               "aws:SourceAccount":[
               "111122223333",
               "444455556666"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
               "arn:aws:logs:*:111122223333:*",
               "arn:aws:logs:*:444455556666:*"
               ]
            }
         }
      }
   ]
}

Amazon S3 バケットのサーバー側の暗号化

Amazon S3 サーバー側の暗号化を有効にするか、S3 バケットで AWS Key Management Service カスタマーマネージドキーを使用できます。 AWS WAF ログに Amazon S3 バケットでデフォルトの Amazon S3 暗号化を使用する場合は、特別なアクションを実行する必要はありません。ただし、お客様が用意した暗号化キーを使用して保管中の Amazon S3 データを暗号化する場合は、次のアクセス許可ステートメントを AWS Key Management Service キーポリシーに追加する必要があります。

{
            "Sid": "Allow Logs Delivery to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
}

Amazon S3 でお客様が提供する暗号化キーの使用の詳細については、「Amazon Simple Storage Service ユーザーガイド」の「お客様が指定したキーによるサーバー側の暗号化 (SSE−C) の使用」を参照してください。