Amazon Data Firehose 配信ストリームへの保護パックまたはウェブ ACL トラフィックログの送信 - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Data Firehose 配信ストリームへの保護パックまたはウェブ ACL トラフィックログの送信

このセクションでは、保護パックまたはウェブ ACL トラフィックログを Amazon Data Firehose 配信ストリームに送信するための情報を提供します。

注記

AWS WAFの使用料金に加えて、ログ記録の料金が請求されます。詳細については、「保護パックまたはウェブ ACL トラフィック情報のログ記録の料金」を参照してください。

Amazon Data Firehose にログを送信するには、保護パックまたはウェブ ACL から、Firehose で設定した Amazon Data Firehose 配信ストリームにログを送信します。ログ記録を有効にすると、 は Firehose の HTTPS エンドポイントを介してストレージ宛先にログを AWS WAF 配信します。

1 つの AWS WAF ログは、1 つの Firehose レコードに相当します。通常、1 秒あたり 10,000 件のリクエストを受信していて、完全なログを有効にする場合、Firehose には 1 秒あたり 10,000 件のレコード設定を行う必要があります。Firehose を正しく設定しない場合、すべてのログは記録 AWS WAF されません。詳細については、「Amazon Kinesis Data Firehose quotas」を参照してください。

Amazon Data Firehose 配信ストリームを作成し、保存されているログを確認する方法については、「What Is Amazon Data Firehose?」を参照してください。

配信ストリームの作成の詳細については、「Creating an Amazon Data Firehose delivery stream」を参照してください。

保護パックまたはウェブ ACL 用の Amazon Data Firehose 配信ストリームの設定

次のように、保護パックまたはウェブ ACL の Amazon Data Firehose 配信ストリームを設定します。

  • 保護パックまたはウェブ ACL の管理に使用するのと同じアカウントを使用して作成します。

  • 保護パックまたはウェブ ACL と同じリージョンに作成します。Amazon CloudFront のログをキャプチャしている場合は、米国東部 (バージニア北部) リージョン us-east-1 に Firehose を作成します。

  • データ Firehose にプレフィックス aws-waf-logs- で始まる名前を付けます。例えば、aws-waf-logs-us-east-2-analytics

  • Direct PUT 用に設定し、アプリケーションが配信ストリームに直接アクセスできるようにします。「Amazon Data Firehose コンソール」で、配信ストリームの [ソース] の設定に [Direct PUT または他のソース] を選択します。API を通じて、配信ストリームのプロパティ DeliveryStreamTypeDirectPut に設定します。

    注記

    Kinesis stream をソースとして使用しないでください。

Amazon Data Firehose にログを発行するために必須のアクセス権限

Kinesis Data Firehose の設定に必要な許可を理解するには、「Controlling Access with Amazon Kinesis Data Firehose」(Amazon Kinesis Data Firehose によるアクセスの制御) を参照してください。

Amazon Data Firehose 配信ストリームで保護パックまたはウェブ ACL ログ記録を正常に有効にするには、次のアクセス許可が必要です。

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

サービスにリンクされたロールおよび iam:CreateServiceLinkedRole 許可の詳細については、「のサービスにリンクされたロールの使用 AWS WAF」を参照してください。