Ziele protokollieren - AWS WAFAWS Firewall Manager, und AWS Shield Advanced
Amazon Data Firehose-DatenströmeAmazon-S3-Buckets

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ziele protokollieren

In diesem Abschnitt werden die Protokollierungsziele beschrieben, an die Sie Ihre AWS WAF Richtlinienprotokolle senden können. Jeder Abschnitt enthält Anleitungen zum Konfigurieren der Protokollierung für den Zieltyp und Informationen zu jedem Verhalten, das für den jeweiligen Zieltyp spezifisch ist. Nachdem Sie Ihr Protokollierungsziel konfiguriert haben, können Sie dessen Spezifikationen für Ihre Firewall Manager AWS WAF Manager-Richtlinie angeben, um mit der Protokollierung zu beginnen.

Sie können die zentrale Protokollierung für Ihre AWS WAF Richtlinien aktivieren, um detaillierte Informationen über den Datenverkehr zu erhalten, der von Ihrem Web ACL innerhalb Ihres Unternehmens analysiert wird. Zu den Informationen in den Protokollen gehören der Zeitpunkt, zu dem die Anfrage von Ihrer AWS Ressource AWS WAF eingegangen ist, detaillierte Informationen zu der Anfrage und die Aktion für die Regel, der jede Anfrage von allen Konten im Geltungsbereich entsprach. Sie können Ihre Protokolle an einen Amazon Data Firehose-Datenstream oder einen Amazon Simple Storage Service (S3) -Bucket senden. Informationen zur AWS WAF Protokollierung finden Sie Protokollierung AWS WAF ACLWeb-Traffic im AWS WAF Entwicklerhandbuch.

Anmerkung

AWS Firewall Manager unterstützt diese Option für AWS WAFV2, nicht für AWS WAF Classic.

Firewall Manager hat nach der Erstellung der Protokollierungskonfiguration keinen Einblick in Protokollfehler. Es liegt in Ihrer Verantwortung, sicherzustellen, dass die Protokollzustellung wie gewünscht funktioniert.

Anmerkung

Firewall Manager ändert keine vorhandenen Protokollierungskonfigurationen in den Mitgliedskonten Ihrer Organisation.

Amazon Data Firehose-Datenströme

Dieses Thema enthält Informationen zum Senden Ihrer ACL Web-Traffic-Logs an einen Amazon Data Firehose-Datenstream.

Wenn Sie die Amazon Data Firehose-Protokollierung aktivieren, sendet Firewall Manager Protokolle aus der Website Ihrer Richtlinie ACLs an eine Amazon Data Firehose, für die Sie ein Speicherziel konfiguriert haben. Nachdem Sie die Protokollierung aktiviert haben AWS WAF , werden Protokolle für jedes konfigurierte Web ACL über den HTTPS Endpunkt von Kinesis Data Firehose an das konfigurierte Speicherziel gesendet. Bevor Sie ihn verwenden, testen Sie Ihren Lieferstream, um sicherzustellen, dass er über einen ausreichenden Durchsatz für die Logs Ihrer Organisation verfügt. Weitere Informationen zum Erstellen einer Amazon Kinesis Data Firehose und zum Überprüfen der gespeicherten Protokolle finden Sie unter Was ist Amazon Data Firehose?

Sie benötigen die folgenden Berechtigungen, um die Protokollierung mit einer Kinesis erfolgreich zu aktivieren:

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

Wenn Sie ein Amazon Data Firehose-Protokollierungsziel für eine AWS WAF Richtlinie konfigurieren, erstellt Firewall Manager wie folgt ein Web ACL für die Richtlinie im Firewall Manager Manager-Administratorkonto:

  • Firewall Manager erstellt das Web ACL im Firewall Manager Manager-Administratorkonto, unabhängig davon, ob das Konto in den Geltungsbereich der Richtlinie fällt.

  • Im Web ACL ist die Protokollierung mit einem Protokollnamen aktiviertFMManagedWebACLV2-Loggingpolicy name-timestamp, wobei der Zeitstempel die UTC Zeit in Millisekunden angibt, zu der das Protokoll für das Web ACL aktiviert wurde. Beispiel, FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180. Das Web ACL hat keine Regelgruppen und keine zugehörigen Ressourcen.

  • Die Nutzung der Website wird Ihnen ACL gemäß den AWS WAF Preisrichtlinien in Rechnung gestellt. Weitere Informationen finden Sie unter AWS WAF -Preisgestaltung.

  • Firewall Manager löscht das WebACL, wenn Sie die Richtlinie löschen.

Weitere Informationen zu serviceverknüpften Rollen und zur iam:CreateServiceLinkedRole-Berechtigung finden Sie unter Verwenden von serviceverknüpften Rollen für AWS WAF.

Weitere Informationen zur Erstellung Ihres Lieferdatenstroms finden Sie unter Erstellen eines Amazon Data Firehose-Lieferdatenstroms.

Amazon-Simple-Storage-Service-Buckets

Dieses Thema enthält Informationen zum Senden Ihrer ACL Web-Traffic-Logs an einen Amazon S3 S3-Bucket.

Der Bucket, den Sie als Logging-Ziel wählen, muss einem Firewall Manager Manager-Administratorkonto gehören. Informationen zu den Anforderungen für die Erstellung Ihres Amazon S3 S3-Buckets für die Protokollierung und zu den Anforderungen zur Bucket-Benennung finden Sie unter Amazon Simple Storage Service im AWS WAF Entwicklerhandbuch.

Letztendliche Datenkonsistenz

Wenn Sie AWS WAF Richtlinien ändern, die mit einem Amazon S3 S3-Protokollierungsziel konfiguriert sind, aktualisiert Firewall Manager die Bucket-Richtlinie, um die für die Protokollierung erforderlichen Berechtigungen hinzuzufügen. Dabei folgt Firewall Manager den last-writer-wins Semantik- und Datenkonsistenzmodellen, denen Amazon Simple Storage Service folgt. Wenn Sie in der Firewall Manager Manager-Konsole oder über die gleichzeitig mehrere Richtlinienaktualisierungen für ein Amazon S3 S3-Ziel vornehmen PutPolicyAPI, werden einige Berechtigungen möglicherweise nicht gespeichert. Weitere Informationen zum Amazon S3 S3-Datenkonsistenzmodell finden Sie unter Amazon S3 S3-Datenkonsistenzmodell im Amazon Simple Storage Service-Benutzerhandbuch.

Berechtigungen zum Veröffentlichen von Protokollen in einem Amazon S3 S3-Bucket

Die Konfiguration der ACL Web-Traffic-Protokollierung für einen Amazon S3 S3-Bucket in einer AWS WAF Richtlinie erfordert die folgenden Berechtigungseinstellungen. Firewall Manager fügt diese Berechtigungen automatisch Ihrem Amazon S3-Bucket zu, wenn Sie Amazon S3 als Ihr Protokollierungsziel konfigurieren, um dem Service die Erlaubnis zu erteilen, Protokolle im Bucket zu veröffentlichen. Wenn Sie den Zugriff auf Ihre Protokollierungs- und Firewall Manager Manager-Ressourcen detaillierter verwalten möchten, können Sie diese Berechtigungen selbst festlegen. Informationen zur Verwaltung von Berechtigungen finden Sie unter Zugriffsverwaltung für AWS Ressourcen im IAM Benutzerhandbuch. Informationen zu den AWS WAF verwalteten Richtlinien finden Sie unterAWS verwaltete Richtlinien für AWS WAF. 

{
    "Version": "2012-10-17",
    "Id": "AWSLogDeliveryForFirewallManager",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheckFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-amzn-s3-demo-bucket"
        },
        {
            "Sid": "AWSLogDeliveryWriteFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket/policy-id/AWSLogs/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

Um das Problem der dienstübergreifenden Verwirrung des Deputy zu vermeiden, können Sie der Richtlinie Ihres Buckets die Kontextschlüssel aws:SourceArnund die aws:SourceAccountglobale Bedingung hinzufügen. Um diese Schlüssel hinzuzufügen, können Sie entweder die Richtlinie ändern, die Firewall Manager für Sie erstellt, wenn Sie das Protokollierungsziel konfigurieren, oder, wenn Sie eine detaillierte Kontrolle wünschen, können Sie Ihre eigene Richtlinie erstellen. Wenn Sie diese Bedingungen zu Ihrer Zielrichtlinie für die Protokollierung hinzufügen, überprüft oder überwacht Firewall Manager die Schutzmaßnahmen für verwirrte Stellvertreter nicht. Allgemeine Informationen zum Problem mit dem verwirrten Stellvertreter finden Sie unter Das Problem mit dem verwirrten Stellvertreter im IAMBenutzerhandbuch.

Wenn Sie die sourceAccount hinzugefügten sourceArn Eigenschaften hinzufügen, wird die Größe der Bucket-Richtlinie erhöht. Wenn Sie eine lange Liste von sourceArn Hinzufügeeigenschaften sourceAccount hinzufügen, achten Sie darauf, das Größenkontingent der Amazon S3 S3-Bucket-Richtlinie nicht zu überschreiten.

Das folgende Beispiel zeigt, wie Sie das Problem mit dem verwirrten Stellvertreter verhindern können, indem Sie die Kontextschlüssel aws:SourceArn und die aws:SourceAccount globale Bedingung in der Richtlinie Ihres Buckets verwenden. Ersetzen member-account-id mit dem Konto IDs der Mitglieder in Ihrer Organisation.

{
   "Version":"2012-10-17",
   "Id":"AWSLogDeliveryForFirewallManager",
   "Statement":[
      {
         "Sid":"AWSLogDeliveryAclCheckFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:GetBucketAcl",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":[
                  "member-account-id",
                  "member-account-id"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
                  "arn:aws:logs:*:member-account-id:*",
                  "arn:aws:logs:*:member-account-id:*"
               ]
            }
         }
      },
      {
         "Sid":"AWSLogDeliveryWriteFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket/policy-id/AWSLogs/*",
         "Condition":{
            "StringEquals":{
               "s3:x-amz-acl":"bucket-owner-full-control",
               "aws:SourceAccount":[
                    "member-account-id",
                  "member-account-id"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
                  "arn:aws:logs:*:member-account-id-1:*",
                  "arn:aws:logs:*:member-account-id-2:*"
               ]
            }
         }
      }
   ]
}

Serverseitige Verschlüsselung für Amazon S3 S3-Buckets

Sie können die serverseitige Amazon S3 S3-Verschlüsselung aktivieren oder einen vom AWS Key Management Service Kunden verwalteten Schlüssel für Ihren S3-Bucket verwenden. Wenn Sie sich dafür entscheiden, die standardmäßige Amazon S3 S3-Verschlüsselung in Ihrem Amazon S3 S3-Bucket für AWS WAF Protokolle zu verwenden, müssen Sie keine besonderen Maßnahmen ergreifen. Wenn Sie sich jedoch dafür entscheiden, einen vom Kunden bereitgestellten Verschlüsselungsschlüssel zu verwenden, um Ihre Amazon S3 S3-Daten im Ruhezustand zu verschlüsseln, müssen Sie Ihrer AWS Key Management Service Schlüsselrichtlinie die folgende Berechtigungserklärung hinzufügen:

{
            "Sid": "Allow Logs Delivery to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
}

Informationen zur Verwendung von vom Kunden bereitgestellten Verschlüsselungsschlüsseln mit Amazon S3 finden Sie unter Verwenden der serverseitigen Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) im Amazon Simple Storage Service-Benutzerhandbuch.