Envio de registros de tráfego do pacote de proteção (web ACL) para um stream de entrega do Amazon Data Firehose - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, e diretor AWS Shield de segurança de rede
Diretrizes de configuraçãoPermissões de log do

Apresentando uma nova experiência de console para AWS WAF

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Consulte mais detalhes em Trabalhando com a experiência atualizada do console.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Envio de registros de tráfego do pacote de proteção (web ACL) para um stream de entrega do Amazon Data Firehose

Esta seção fornece informações para enviar seus registros de tráfego do pacote de proteção (web ACL) para um stream de distribuição do Amazon Data Firehose.

nota

Você é cobrado pelo login, além das cobranças pelo uso do AWS WAF. Para mais informações, consulte Preços das informações de tráfego do Logging Protection Pack (web ACL).

Para enviar registros para o Amazon Data Firehose, você envia registros do seu pacote de proteção (web ACL) para um stream de distribuição do Amazon Data Firehose que você configura no Firehose. Depois de ativar o registro, AWS WAF entrega os registros ao seu destino de armazenamento por meio do endpoint HTTPS do Firehose.

Um AWS WAF registro é equivalente a um registro do Firehose. Se você normalmente receber 10 000 solicitações por segundo e habilitar logs completos, deverá ter uma configuração de 10 000 registros por segundo no Firehose. Se você não configurar o Firehose corretamente, não AWS WAF gravará todos os registros. Para obter mais informações, consulte Cotas do Amazon Kinesis Data Firehose.

Para obter informações sobre como criar um fluxo de entrega do Amazon Data Firehose e revisar seus logs armazenados, consulte O que é o Amazon Data Firehose?

Para obter mais informações sobre criar seu fluxo de entrega, consulte Criar um fluxo de entrega do Amazon Data Firehose.

Configurando um stream de entrega do Amazon Data Firehose para seu pacote de proteção (web ACL)

Configure um stream de entrega do Amazon Data Firehose para seu pacote de proteção (web ACL) da seguinte forma.

  • Crie-o usando a mesma conta que você usa para gerenciar o pacote de proteção (Web ACL).

  • Crie-o na mesma região do pacote de proteção (Web ACL). Se você estiver capturando registros para a Amazon CloudFront, crie a mangueira de incêndio na região Leste dos EUA (Norte da Virgínia),. us-east-1

  • Dê ao data firehose um nome que comece com o prefixo aws-waf-logs-. Por exemplo, .aws-waf-logs-us-east-2-analytics

  • Configure-o para colocação direta, o que permite que os aplicativos acessem diretamente o fluxo de entrega. No console do Amazon Data Firehose, para a configuração Fonte do fluxo de entrega, escolha Direct PUT ou outras fontes. Por meio da API, defina a propriedade do fluxo de entrega DeliveryStreamType como DirectPut.

    nota

    Não use um Kinesis stream como fonte.

Permissões necessárias para publicar logs no fluxo de entrega do Amazon Data Firehose

Para entender as permissões necessárias para a configuração do Kinesis Data Firehose, consulte Controlar o acesso com o Amazon Kinesis Data Firehose.

Você deve ter as seguintes permissões para habilitar com sucesso o registro do pacote de proteção (web ACL) com um stream de entrega do Amazon Data Firehose.

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

Para obter mais informações sobre funções vinculadas ao serviço e a permissão do iam:CreateServiceLinkedRole, consulte Usando funções vinculadas a serviços para AWS WAF.