AWS WAF の新しいコンソールエクスペリエンスのご紹介
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。
Amazon Data Firehose 配信ストリームへの保護パック (ウェブ ACL) トラフィックログ送信
このセクションは、保護パック (ウェブ ACL) トラフィックログの Amazon Data Firehose 配信ストリームへの送信に関する情報を提供します。
注記
AWS WAF の使用料金に加えて、ログ記録の料金が請求されます。詳細については、「保護パック (ウェブ ACL) トラフィックのログ記録の料金に関する情報」を参照してください。
ログを Amazon Data Firehose に送信するには、保護パック (ウェブ ACL) から Firehose で設定した Amazon Data Firehose 配信ストリームにログを送信します。ログ記録を有効にすると、AWS WAF は Firehose の HTTPS エンドポイントを介してストレージ先にログを送信します。
1 つの AWS WAF ログは、1 つの Firehose レコードに相当します。通常、1 秒あたり 10,000 件のリクエストを受信していて、完全なログを有効にする場合、Firehose には 1 秒あたり 10,000 件のレコード設定を行う必要があります。Firehose を正しく設定しないと、AWS WAF はすべてのログを記録しません。詳細については、「Amazon Kinesis Data Firehose quotas」を参照してください。
Amazon Data Firehose 配信ストリームを作成し、保存されているログを確認する方法については、「What Is Amazon Data Firehose?」を参照してください。
配信ストリームの作成の詳細については、「Creating an Amazon Data Firehose delivery stream」を参照してください。
保護パック (ウェブ ACL) の Amazon Data Firehose 配信ストリームを設定する
保護パック (ウェブ ACL) の Amazon Data Firehose 配信ストリームを次のように設定します。
-
保護パック (ウェブ ACL) の管理に使用するアカウントと同じアカウントを使用して作成します。
-
保護パック (ウェブ ACL) と同じリージョンに作成します。Amazon CloudFront のログをキャプチャしている場合は、米国東部 (バージニア北部) リージョン
us-east-1に Firehose を作成します。 -
データ Firehose にプレフィックス
aws-waf-logs-で始まる名前を付けます。例えば、aws-waf-logs-us-east-2-analytics。 -
Direct PUT 用に設定し、アプリケーションが配信ストリームに直接アクセスできるようにします。「Amazon Data Firehose コンソール
」で、配信ストリームの [ソース] の設定に [Direct PUT または他のソース] を選択します。API を通じて、配信ストリームのプロパティ DeliveryStreamTypeをDirectPutに設定します。注記
Kinesis streamをソースとして使用しないでください。
Amazon Data Firehose にログを発行するために必須のアクセス権限
Kinesis Data Firehose の設定に必要な許可を理解するには、「Controlling Access with Amazon Kinesis Data Firehose」(Amazon Kinesis Data Firehose によるアクセスの制御) を参照してください。
Amazon Data Firehose 配信ストリームを使用して保護パック (ウェブ ACL) のログ記録を正常に有効化するには、次のアクセス権限が付与されている必要があります。
-
iam:CreateServiceLinkedRole -
firehose:ListDeliveryStreams -
wafv2:PutLoggingConfiguration
サービスにリンクされたロールおよび iam:CreateServiceLinkedRole 許可の詳細については、「AWS WAF のサービスにリンクされたロールの使用」を参照してください。
