AWS WAF에 대한 새로운 콘솔 환경 소개
이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 업데이트된 콘솔 환경 작업 섹션을 참조하십시오.
Amazon Data Firehose 전송 스트림으로 보호 팩(웹 ACL) 트래픽 로그 전송
이 섹션에서는 Amazon Data Firehos 전송 스트림에 보호 팩(웹 ACL) 트래픽 로그를 전송하는 방법에 대한 정보를 제공합니다.
참고
AWS WAF 사용 요금 외에 로그인 요금이 부과됩니다. 자세한 내용은 보호 팩(웹 ACL) 트래픽 정보 로깅 요금 섹션을 참조하세요.
AmazonData Firehose로 로그를 보내려면 보호 팩(웹 ACL)의 로그를 Firehose에 구성된 Amazon Data Firehose 전송 스트림으로 로그를 보냅니다. 로깅을 활성화한 후 AWS WAF는 Firehose의 HTTPS 엔드포인트를 통해 스토리지 대상에 로그를 전송합니다.
AWS WAF 로그 하나는 Firehose 레코드 하나와 같습니다. 일반적으로 초당 10,000개의 요청을 받는데 전체 로그를 활성화하는 경우, Firehose에는 초당 10,000개의 레코드가 설정되어 있어야 합니다. Firehose를 올바르게 구성하지 않으면, AWS WAF가 모든 로그를 기록하지는 않습니다. 자세한 내용은 Amazon Kinesis Data Firehose 할당량을 참조하세요.
Amazon Data Firehose 전송 스트림을 생성하고 저장된 로그를 검토하는 방법에 대한 자세한 내용은 Amazon Data Firehose란 무엇인가요? 섹션을 참조하세요.
전송 스트림 생성에 관한 자세한 내용은 Amazon Data Firehose 전송 스트림 생성을 참조하세요.
보호 팩(웹 ACL)에 대한 Amazon Data Firehose 전송 스트림 구성
다음과 같이 보호 팩(웹 ACL)에 대한 Amazon Data Firehose 전송 스트림을 구성합니다.
-
보호 팩(웹 ACL)을 관리하는 데 사용하는 것과 동일한 계정을 사용하여 생성합니다.
-
보호 팩(웹 ACL)과 동일한 리전에서 생성합니다. Amazon CloudFront에 대한 로그를 캡처하고 있는 경우, 미국 동부(버지니아 북부) 리전
us-east-1에서 Firehose를 생성합니다. -
Data Firehose에
aws-waf-logs-접두사로 시작하는 이름을 지정합니다. 예를 들어aws-waf-logs-us-east-2-analytics입니다. -
직접 입력으로 구성하여 애플리케이션이 전송 스트림에 직접 액세스할 수 있도록 합니다. Amazon Data Firehose 콘솔
에서 전송 스트림 소스 설정으로 Direct PUT 또는 기타 소스를 선택합니다. API를 통해 전송 스트림 속성 DeliveryStreamType을DirectPut로 설정합니다.참고
Kinesis stream을 소스로 사용하지 마십시오.
Amazon Data Firehose 전송 스트림에 로그를 게시하는 데 필요한 권한
Kinesis Data Firehose 구성에 필요한 권한을 이해하려면 Amazon Kinesis Data Firehose를 사용한 액세스 제어를 참조하세요.
Amazon Data Firehose 전송 스트림으로 보호 팩(웹 ACL) 로깅을 성공적으로 활성화하려면 다음 권한이 있어야 합니다.
-
iam:CreateServiceLinkedRole -
firehose:ListDeliveryStreams -
wafv2:PutLoggingConfiguration
서비스 연결 역할 및 iam:CreateServiceLinkedRole 권한에 대한 자세한 내용은 AWS WAF에 서비스 연결 역할 사용 섹션을 참조하세요.
