**Présentation d'une nouvelle expérience de console pour AWS WAF**
Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section [Utilisation de la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AWS WAF destinations de journalisation
Cette section décrit les options de journalisation que vous pouvez choisir pour vos AWS WAF journaux. Chaque section fournit des conseils pour configurer la journalisation, y compris des informations sur tout comportement spécifique au type de destination. Après avoir configuré la destination de journalisation, vous pouvez fournir ses spécifications à la configuration de journalisation de votre pack de protection (ACL Web) pour commencer à vous y connecter.
**Topics**
+ [CloudWatch Journaux](logging-cw-logs.md)
+ [Amazon S3](logging-s3.md)
+ [Firehose](logging-kinesis.md)
# Envoi des journaux de trafic du pack de protection (ACL Web) à un groupe de CloudWatch journaux Amazon Logs
Cette rubrique fournit des informations sur l'envoi des journaux de trafic de votre pack de protection (ACL Web) à un groupe de CloudWatch journaux de journaux.
**Note**
La connexion vous est facturée en plus des frais d'utilisation AWS WAF. Pour plus d'informations, consultez [Tarification des informations relatives au trafic du pack de protection de journalisation (ACL Web)](logging-pricing.md).
Pour envoyer des journaux à Amazon CloudWatch Logs, vous devez créer un groupe de CloudWatch journaux de journaux. Lorsque vous activez la connexion AWS WAF, vous fournissez l'ARN du groupe de journaux. Une fois que vous avez activé la journalisation pour votre pack de protection (ACL Web), AWS WAF les journaux sont transmis au groupe de CloudWatch journaux Logs dans les flux de journaux.
Lorsque vous utilisez CloudWatch Logs, vous pouvez explorer les journaux de votre pack de protection (ACL Web) dans la AWS WAF console. Sur la page de votre pack de protection (ACL Web), sélectionnez l'onglet **Logging Insights**. Cette option s'ajoute aux informations de journalisation fournies aux CloudWatch journaux via la CloudWatch console.
Configurez le groupe de journaux pour les journaux du pack de AWS WAF protection (ACL Web) dans la même région que le pack de protection (ACL Web) et en utilisant le même compte que celui que vous utilisez pour gérer le pack de protection (ACL Web). Pour plus d'informations sur la configuration d'un groupe de CloudWatch journaux, consultez la section [Utilisation des groupes de journaux et des flux de journaux](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html).
## Quotas pour CloudWatch les groupes de journaux
CloudWatch Les journaux ont un quota de débit maximal par défaut, partagé entre tous les groupes de journaux d'une région, que vous pouvez demander à augmenter. Si vos exigences de journalisation sont trop élevées par rapport au paramètre de débit actuel, des mesures de limitation s'afficheront `PutLogEvents` pour votre compte. Pour consulter la limite dans la console Service Quotas et demander une augmentation, consultez le [ PutLogEvents quota de CloudWatch logs](https://console.aws.amazon.com/servicequotas/home/services/logs/quotas/L-7E1FAE88).
## Désignation des groupes de journaux
Les noms de vos groupes de journaux doivent commencer par `aws-waf-logs-` et peuvent se terminer par le suffixe de votre choix, `aws-waf-logs-testLogGroup2` par exemple.
Le format ARN obtenu est le suivant :
```
arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix
```
Les flux de journaux ont le format de dénomination suivant :
```
Region_web-acl-name_log-stream-number
```
Voici un exemple de flux de journal pour le pack de protection (ACL Web) `TestWebACL` dans Region`us-east-1`.
```
us-east-1_TestWebACL_0
```
## Autorisations requises pour publier des journaux dans CloudWatch Logs
La configuration de la journalisation du trafic du pack de protection (ACL Web) pour un groupe de CloudWatch journaux de journaux nécessite les paramètres d'autorisation décrits dans cette section. Les autorisations sont définies pour vous lorsque vous utilisez l'une des politiques gérées d'accès AWS WAF complet, `AWSWAFConsoleFullAccess` ou`AWSWAFFullAccess`. Si vous souhaitez gérer un accès plus précis à votre journalisation et à vos AWS WAF ressources, vous pouvez définir vous-même les autorisations. Pour plus d'informations sur la gestion des autorisations, consultez la section [Gestion de l'accès aux AWS ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) dans le *Guide de l'utilisateur IAM*. Pour plus d'informations sur les politiques AWS WAF gérées, consultez[AWS politiques gérées pour AWS WAF](security-iam-awsmanpol.md).
Ces autorisations vous permettent de modifier la configuration de journalisation du pack de protection (ACL Web), de configurer la livraison des CloudWatch journaux et de récupérer des informations sur votre groupe de journaux. Ces autorisations doivent être associées à l'utilisateur que vous utilisez pour gérer AWS WAF.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"wafv2:PutLoggingConfiguration",
"wafv2:DeleteLoggingConfiguration"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Sid": "LoggingConfigurationAPI"
},
{
"Sid": "WebACLLoggingCWL",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:PutResourcePolicy",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
Lorsque des actions sont autorisées sur toutes les AWS ressources, cela est indiqué dans la politique avec un `"Resource"` paramètre de`"*"`. Cela signifie que les actions sont autorisées sur toutes les AWS ressources prises *en charge par chaque action*. Par exemple, l'action n'`wafv2:PutLoggingConfiguration`est prise en charge que pour la `wafv2` journalisation des ressources de configuration.
# Envoi des journaux de trafic du pack de protection (ACL Web) vers un bucket Amazon Simple Storage Service
Cette rubrique fournit des informations sur l'envoi des journaux de trafic de votre pack de protection (ACL Web) vers un compartiment Amazon S3.
**Note**
La connexion vous est facturée en plus des frais d'utilisation AWS WAF. Pour plus d'informations, consultez [Tarification des informations relatives au trafic du pack de protection de journalisation (ACL Web)](logging-pricing.md).
Pour envoyer les journaux de trafic de votre pack de protection (ACL Web) à Amazon S3, vous configurez un compartiment Amazon S3 à partir du même compte que celui que vous utilisez pour gérer le pack de protection (ACL Web), et vous nommez le compartiment en commençant par`aws-waf-logs-`. Lorsque vous activez la connexion AWS WAF, vous indiquez le nom du compartiment. Pour plus d'informations sur la création d'un bucket de journalisation, consultez [Create a Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
Vous pouvez accéder à vos journaux Amazon S3 et les analyser à l'aide du service de requêtes interactif Amazon Athena. Athena facilite l'analyse des données directement dans Amazon S3 à l'aide du SQL standard. En effectuant quelques actions AWS Management Console, vous pouvez pointer Athena vers les données stockées dans Amazon S3 et commencer rapidement à utiliser le SQL standard pour exécuter des requêtes ad hoc et obtenir des résultats. Pour plus d'informations, consultez la section [Interrogation des AWS WAF journaux](https://docs.aws.amazon.com/athena/latest/ug/waf-logs.html) dans le guide de l'*utilisateur d'Amazon Athena*. Pour des exemples de requêtes Amazon Athena supplémentaires, consultez [waf-log-sample-athenaaws-samples/](https://github.com/aws-samples/waf-log-sample-athena-queries) -queries sur le site Web. GitHub
**Note**
AWS WAF prend en charge le chiffrement avec des compartiments Amazon S3 pour le type de clé Amazon S3 (SSE-S3) et pour AWS Key Management Service (SSE-KMS). AWS KMS keys AWS WAF ne prend pas en charge le chiffrement des AWS Key Management Service clés gérées par AWS.
Les fichiers journaux de votre pack de protection (ACL Web) sont publiés dans le compartiment Amazon S3 toutes les 5 minutes. Chaque fichier journal contient des enregistrements du trafic enregistré au cours des 5 minutes précédentes.
La taille maximale d'un fichier journal est de 75 Mo. Si le fichier journal atteint la taille limite de fichier dans un délai de 5 minutes, le journal arrête d'y ajouter des enregistrements, le publie dans le compartiment Amazon S3, puis crée un nouveau fichier journal.
Les fichiers journaux sont compressés. Si vous ouvrez les fichiers à l'aide de la console Amazon S3, Amazon S3 décompresse les enregistrements du journal et les affiche. Si vous téléchargez les fichiers journaux, vous devez les décompresser pour afficher les enregistrements.
Un seul fichier journal contient des entrées entrelacées avec plusieurs enregistrements. Pour consulter tous les fichiers journaux d'un pack de protection (ACL Web), recherchez les entrées agrégées par nom du pack de protection (ACL Web), région et ID de compte.
## Exigences en matière de dénomination et syntaxe
Les noms des compartiments pour la AWS WAF journalisation doivent commencer par `aws-waf-logs-` et peuvent se terminer par le suffixe de votre choix. Par exemple, `aws-waf-logs-LOGGING-BUCKET-SUFFIX`.
**Emplacement du godet**
Les emplacements des compartiments utilisent la syntaxe suivante :
```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/
```
**ARN de compartiment**
Le format du bucket Amazon Resource Name (ARN) est le suivant :
```
arn:aws:s3:::aws-waf-logs-LOGGING-BUCKET-SUFFIX
```
**Emplacements des compartiments avec préfixes**
Si vous utilisez des préfixes dans le nom de vos clés d'objet pour organiser les données que vous stockez dans vos compartiments, vous pouvez fournir vos préfixes dans les noms de vos compartiments de journalisation.
**Note**
Cette option n'est pas disponible via la console. Utilisez AWS WAF APIs la CLI ou AWS CloudFormation.
Pour plus d'informations sur l'utilisation des préfixes dans Amazon S3, consultez la section [Organisation des objets à l'aide de préfixes](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) dans le guide de l'*utilisateur d'Amazon Simple Storage Service*.
Les emplacements des compartiments dotés de préfixes utilisent la syntaxe suivante :
```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/KEY-NAME-PREFIX/
```
**Dossiers de compartiments et noms de fichiers**
À l'intérieur de vos compartiments, et après les préfixes que vous fournissez, vos AWS WAF journaux sont écrits dans une structure de dossiers déterminée par votre identifiant de compte, la région, le nom du pack de protection (ACL Web), ainsi que la date et l'heure.
```
AWSLogs/account-id/WAFLogs/Region/web-acl-name/YYYY/MM/dd/HH/mm
```
À l'intérieur des dossiers, les noms des fichiers journaux suivent un format similaire :
```
account-id_waflogs_Region_web-acl-name_timestamp_hash.log.gz
```
Les spécifications temporelles utilisées dans la structure des dossiers et dans le nom du fichier journal sont conformes à la spécification du format d'horodatage. `YYYYMMddTHHmmZ`
Voici un exemple de fichier journal dans un compartiment Amazon S3 pour un compartiment nommé`aws-waf-logs-LOGGING-BUCKET-SUFFIX`. L' Compte AWS est`11111111111`. Le pack de protection (ACL Web) est `TEST-WEBACL` et la région est`us-east-1`.
```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/AWSLogs/11111111111/WAFLogs/us-east-1/TEST-WEBACL/2021/10/28/19/50/11111111111_waflogs_us-east-1_TEST-WEBACL_20211028T1950Z_e0ca43b5.log.gz
```
**Note**
Les noms de vos compartiments pour la AWS WAF journalisation doivent commencer par `aws-waf-logs-` et peuvent se terminer par le suffixe de votre choix.
## Autorisations requises pour publier des journaux sur Amazon S3
La configuration de la journalisation du trafic du pack de protection (ACL Web) pour un compartiment Amazon S3 nécessite les paramètres d'autorisation suivants. Ces autorisations sont définies pour vous lorsque vous utilisez l'une des politiques gérées d'accès AWS WAF complet, `AWSWAFConsoleFullAccess` ou`AWSWAFFullAccess`. Si vous souhaitez gérer davantage l'accès à votre journal et à vos AWS WAF ressources, vous pouvez définir ces autorisations vous-même. Pour plus d'informations sur la gestion des autorisations, consultez la section [Gestion de l'accès aux AWS ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) dans le *Guide de l'utilisateur IAM*. Pour plus d'informations sur les politiques AWS WAF gérées, consultez[AWS politiques gérées pour AWS WAF](security-iam-awsmanpol.md).
Les autorisations suivantes vous permettent de modifier la configuration de journalisation du pack de protection (ACL Web) et de configurer la livraison des journaux vers votre compartiment Amazon S3. Ces autorisations doivent être associées à l'utilisateur que vous utilisez pour gérer AWS WAF.
**Note**
Lorsque vous définissez les autorisations répertoriées ci-dessous, vous pouvez voir des erreurs dans vos AWS CloudTrail journaux indiquant que l'accès a été refusé, mais que les autorisations sont correctes pour la AWS WAF journalisation.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action":[
"wafv2:PutLoggingConfiguration",
"wafv2:DeleteLoggingConfiguration"
],
"Resource":[
"*"
],
"Effect":"Allow",
"Sid":"LoggingConfigurationAPI"
},
{
"Sid":"WebACLLogDelivery",
"Action":[
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery"
],
"Resource": "*",
"Effect":"Allow"
},
{
"Sid":"WebACLLoggingS3",
"Action":[
"s3:PutBucketPolicy",
"s3:GetBucketPolicy"
],
"Resource": [
"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix"
],
"Effect":"Allow"
}
]
}
```
------
Lorsque des actions sont autorisées sur toutes les AWS ressources, cela est indiqué dans la politique avec un `"Resource"` paramètre de`"*"`. Cela signifie que les actions sont autorisées sur toutes les AWS ressources prises *en charge par chaque action*. Par exemple, l'action n'`wafv2:PutLoggingConfiguration`est prise en charge que pour la `wafv2` journalisation des ressources de configuration.
Par défaut, les compartiments Amazon S3 et les objets qu'ils contiennent sont privés. Seul le propriétaire du compartiment peut accéder au compartiment et aux objets qui y sont stockés. Le propriétaire du bucket peut toutefois accorder l'accès à d'autres ressources et utilisateurs en rédigeant une politique d'accès.
Si l'utilisateur qui crée le journal est propriétaire du compartiment, le service attache automatiquement la politique suivante au compartiment pour autoriser le journal à y publier des journaux :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/AWSLogs/123456789012/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": ["123456789012"]
},
"ArnLike": {
"aws:SourceArn": ["arn:aws:logs:us-east-2:123456789012:*"]
}
}
},
{
"Sid": "AWSLogDeliveryAclCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ["123456789012"]
},
"ArnLike": {
"aws:SourceArn": ["arn:aws:logs:us-east-2:123456789012:*"]
}
}
}
]
}
```
------
**Note**
Les noms de vos compartiments pour la AWS WAF journalisation doivent commencer par `aws-waf-logs-` et peuvent se terminer par le suffixe de votre choix.
Si l'utilisateur qui crée le journal n'est pas propriétaire du compartiment ou ne dispose pas des `PutBucketPolicy` autorisations `GetBucketPolicy` et pour le compartiment, la création du journal échoue. Dans ce cas, le propriétaire du compartiment doit ajouter manuellement la politique précédente au compartiment et spécifier l' Compte AWS ID du créateur du journal. Pour de plus amples informations, veuillez consulter [Comment ajouter une politique de compartiment S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) dans le *Guide de l'utilisateur Amazon Simple Storage Service*. Si le bucket reçoit les journaux de plusieurs comptes, ajoutez une entrée d'`Resource`élément à la déclaration de `AWSLogDeliveryWrite` politique pour chaque compte.
Par exemple, la politique de compartiment suivante permet Compte AWS `111122223333` de publier des journaux dans un compartiment nommé `aws-waf-logs-LOGGING-BUCKET-SUFFIX` :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "AWSLogDeliveryWrite20150319",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/AWSLogs/111122223333/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": ["111122223333"]
},
"ArnLike": {
"aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"]
}
}
},
{
"Sid": "AWSLogDeliveryAclCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLike": {
"aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"]
}
}
}
]
}
```
------
**Note**
Dans certains cas, des erreurs `AccessDenied` peuvent apparaître dans AWS CloudTrail si l'autorisation `s3:ListBucket` n'a pas été accordée à `delivery.logs.amazonaws.com`. Pour éviter ces erreurs dans vos CloudTrail journaux, vous devez accorder l'`s3:ListBucket`autorisation `delivery.logs.amazonaws.com` et inclure les `Condition` paramètres indiqués dans l'`s3:GetBucketAcl `autorisation définie dans la politique de compartiment précédente. Pour simplifier les choses, au lieu d'en créer un nouveau`Statement`, vous pouvez directement le mettre `AWSLogDeliveryAclCheck` à jour`“Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]`.
## Autorisations d'utilisation AWS Key Management Service avec une clé KMS
Si votre destination de journalisation utilise le chiffrement côté serveur avec des clés stockées dans AWS Key Management Service (SSE-KMS) et que vous utilisez une clé gérée par le client (clé KMS), vous devez AWS WAF autoriser l'utilisation de votre clé KMS. Pour ce faire, vous ajoutez une politique clé à la clé KMS pour la destination que vous avez choisie. Cela permet à la AWS WAF journalisation d'écrire vos fichiers journaux vers votre destination.
Ajoutez la politique de clé suivante à votre clé KMS AWS WAF pour autoriser la connexion à votre compartiment Amazon S3.
```
{
"Sid": "Allow AWS WAF to use the key",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": "kms:GenerateDataKey*",
"Resource": "*"
}
```
## Autorisations requises pour accéder aux fichiers journaux Amazon S3
Amazon S3 utilise des listes de contrôle d'accès (ACLs) pour gérer l'accès aux fichiers journaux créés par un AWS WAF journal. Par défaut, le propriétaire du compartiment dispose d'autorisations `FULL_CONTROL` sur chaque fichier journal. Si le propriétaire de la diffusion des journaux n'est pas le propriétaire du compartiment, il ne dispose d'aucune autorisation. Le compte de diffusion des journaux possède les autorisations `READ` et `WRITE`. Pour de plus amples informations, veuillez consulter [Présentation des listes de contrôle d'accès (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) dans le *Guide du développeur Amazon Simple Storage Service*.
# Envoi des journaux de trafic du pack de protection (ACL Web) à un flux de diffusion Amazon Data Firehose
Cette section fournit des informations sur l'envoi des journaux de trafic de votre pack de protection (ACL Web) vers un flux de diffusion Amazon Data Firehose.
**Note**
La connexion vous est facturée en plus des frais d'utilisation AWS WAF. Pour plus d'informations, consultez [Tarification des informations relatives au trafic du pack de protection de journalisation (ACL Web)](logging-pricing.md).
Pour envoyer des journaux à Amazon Data Firehose, vous devez envoyer des journaux depuis votre pack de protection (ACL Web) vers un flux de diffusion Amazon Data Firehose que vous configurez dans Firehose. Après avoir activé la journalisation, AWS WAF envoie les journaux à votre destination de stockage via le point de terminaison HTTPS de Firehose.
Un AWS WAF journal équivaut à un enregistrement Firehose. Si vous recevez généralement 10 000 requêtes par seconde et que vous activez les journaux complets, vous devriez avoir un paramètre de 10 000 enregistrements par seconde dans Firehose. Si vous ne configurez pas correctement Firehose, tous les journaux ne AWS WAF seront pas enregistrés. Pour plus d'informations, consultez la section [Quotas Amazon Kinesis Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/limits.html).
Pour plus d'informations sur la façon de créer un flux de diffusion Amazon Data Firehose et de consulter vos journaux enregistrés, consultez [Qu'est-ce qu'Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) ?
Pour en savoir plus sur la création des flux de diffusion, consultez [Création d’un flux de diffusion Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).
## Configuration d'un flux de diffusion Amazon Data Firehose pour votre pack de protection (ACL Web)
Configurez un flux de diffusion Amazon Data Firehose pour votre pack de protection (ACL Web) comme suit.
+ Créez-le en utilisant le même compte que celui que vous utilisez pour gérer le pack de protection (ACL Web).
+ Créez-le dans la même région que le pack de protection (ACL Web). Si vous capturez des journaux pour Amazon CloudFront, créez le firehose dans la région USA Est (Virginie du Nord),`us-east-1`.
+ Donnez au data firehose un nom commençant par le préfixe`aws-waf-logs-`. Par exemple, `aws-waf-logs-us-east-2-analytics`.
+ Configurez-le pour le téléchargement direct, ce qui permet aux applications d'accéder directement au flux de diffusion. Dans la [console Amazon Data Firehose](https://console.aws.amazon.com/firehose), pour le paramètre **Source** du flux de diffusion, choisissez **Direct PUT ou autres** sources. Par le biais de l'API, définissez la propriété du flux `DeliveryStreamType` de diffusion sur`DirectPut`.
**Note**
N'utilisez pas a `Kinesis stream` comme source.
## Autorisations requises pour publier des journaux dans un flux de diffusion Amazon Data Firehose
Pour comprendre les autorisations requises pour votre configuration Kinesis Data Firehose[, consultez la section Contrôle des accès avec Amazon Kinesis Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/controlling-access.html).
Vous devez disposer des autorisations suivantes pour activer correctement la journalisation du pack de protection (ACL Web) avec un flux de diffusion Amazon Data Firehose.
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`
Pour plus d'informations sur les rôles liés aux services et les `iam:CreateServiceLinkedRole` autorisations, consultez. [Utilisation de rôles liés à un service pour AWS WAF](using-service-linked-roles.md)