Stream de entrega do Amazon Data Firehose - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced
Diretrizes de configuraçãoPermissões de log do

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Stream de entrega do Amazon Data Firehose

Esta seção fornece informações para enviar seus registros de tráfego de ACL da web para um stream de entrega do Amazon Data Firehose.

nota

Você é cobrado pelo login, além das cobranças pelo uso do AWS WAF. Para mais informações, consulte Preços para registrar informações de tráfego de web ACL.

Para enviar registros para o Amazon Data Firehose, você envia registros da sua ACL da web para um stream de entrega do Amazon Data Firehose que você configura no Firehose. Depois de ativar o registro, AWS WAF entrega os registros ao seu destino de armazenamento por meio do endpoint HTTPS do Firehose.

Um AWS WAF registro é equivalente a um registro do Firehose. Se você normalmente recebe 10.000 solicitações por segundo e ativa registros completos, deve ter uma configuração de 10.000 registros por segundo no Firehose. Se você não configurar o Firehose corretamente, não AWS WAF gravará todos os registros. Para obter mais informações, consulte as cotas do Amazon Kinesis Data Firehose.

Para obter informações sobre como criar um stream de entrega do Amazon Data Firehose e revisar seus registros armazenados, consulte O que é o Amazon Data Firehose?

Para obter informações sobre como criar seu stream de entrega, consulte Criação de um stream de entrega do Amazon Data Firehose.

Configurando um stream de entrega do Amazon Data Firehose para sua ACL web

Configure um stream de entrega do Amazon Data Firehose para sua ACL web da seguinte forma.

  • Crie-o usando a mesma conta que você usa para gerenciar a web ACL.

  • Crie-o na mesma região da web ACL. Se você estiver capturando registros para a Amazon CloudFront, crie a mangueira de incêndio na região Leste dos EUA (Norte da Virgínia),. us-east-1

  • Dê ao data firehose um nome que comece com o prefixo aws-waf-logs-. Por exemplo, aws-waf-logs-us-east-2-analytics.

  • Configure-o para colocação direta, o que permite que os aplicativos acessem diretamente o fluxo de entrega. No console do Amazon Data Firehose, para a configuração Fonte do stream de entrega, escolha Direct PUT ou outras fontes. Por meio da API, defina a propriedade do fluxo de entrega DeliveryStreamType como DirectPut.

    nota

    Não use um Kinesis stream como fonte.

Permissões necessárias para publicar registros em um stream de entrega do Amazon Data Firehose

Para entender as permissões necessárias para a configuração do Kinesis Data Firehose, consulte Controlar o acesso com o Amazon Kinesis Data Firehose.

Você deve ter as seguintes permissões para habilitar com sucesso o registro de ACL na web com um stream de entrega do Amazon Data Firehose.

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

Para obter mais informações sobre funções vinculadas ao serviço e a permissão do iam:CreateServiceLinkedRole, consulte Usando funções vinculadas a serviços para AWS WAF.