Envío de registros de ACL tráfico web a una transmisión de entrega de Amazon Data Firehose - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Directrices de configuraciónPermisos para el registro de

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Envío de registros de ACL tráfico web a una transmisión de entrega de Amazon Data Firehose

En esta sección se proporciona información para enviar tus registros de ACL tráfico web a una transmisión de entrega de Amazon Data Firehose.

nota

Se le cobrará por iniciar sesión además de los cargos por su uso AWS WAF Para obtener información, consulte Precios para registrar la información ACL de tráfico web..

Para enviar registros a Amazon Data Firehose, debe enviar los registros desde su web ACL a una transmisión de entrega de Amazon Data Firehose que configure en Firehose. Después de activar el registro, AWS WAF entrega los registros a su destino de almacenamiento a través del HTTPS punto final de Firehose.

Uno AWS WAF el registro equivale a un registro de Firehose. Si normalmente recibes 10 000 solicitudes por segundo y habilitas los registros completos, deberías tener una configuración de 10 000 registros por segundo en Firehose. Si no configuras Firehose correctamente, AWS WAF no registrará todos los registros. Para obtener más información, consulte Cuotas de Amazon Kinesis Data Firehose.

Para obtener información sobre cómo crear una transmisión de entrega de Amazon Data Firehose y revisar los registros almacenados, consulta ¿Qué es Amazon Data Firehose?

Para obtener información sobre cómo crear tu flujo de entrega, consulta Cómo crear un flujo de entrega de Amazon Data Firehose.

Configuración de una transmisión de entrega de Amazon Data Firehose para su web ACL

Configure una transmisión de entrega de Amazon Data Firehose para su web de la ACL siguiente manera.

  • Créelo con la misma cuenta que usa para administrar la webACL.

  • Créala en la misma región que la webACL. Si está capturando troncos para Amazon CloudFront, cree la manguera de incendios en la región EE.UU. Este (Norte de Virginia),us-east-1.

  • Asigne a Data Firehose un nombre que comience con el prefijo aws-waf-logs-. Por ejemplo, aws-waf-logs-us-east-2-analytics.

  • Configúrela para la colocación directa, lo que permite a las aplicaciones acceder directamente al flujo de envío. En la consola Amazon Data Firehose, para la configuración de origen de la transmisión de entrega, elija Direct PUT u otras fuentes. A través deAPI, defina la propiedad del flujo de entrega DeliveryStreamType enDirectPut.

    nota

    No utilice Kinesis stream como origen.

Permisos necesarios para publicar registros en una transmisión de entrega de Amazon Data Firehose

Para conocer los permisos necesarios para la configuración de Kinesis Data Firehose, consulte Controlling Access with Amazon Kinesis Data Firehose.

Debe tener los siguientes permisos para habilitar correctamente el ACL registro web con una transmisión de entrega de Amazon Data Firehose.

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

Para obtener información acerca de los roles vinculados a servicios y el permiso iam:CreateServiceLinkedRole, consulte Uso de roles vinculados a servicios para AWS WAF.