AWS WAF politiques - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Groupes de règles dans AWS WAF les politiquesConfiguration de la journalisation pour une AWS WAF politique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS WAF politiques

Dans une AWS WAF politique Firewall Manager, vous spécifiez les groupes de AWS WAF règles que vous souhaitez utiliser dans l'ensemble de vos ressources. Lorsque vous appliquez la politique, Firewall Manager crée le Web ACLs dans les comptes relevant du champ d'application de la politique en fonction de la manière dont vous configurez la gestion du Web ACLs dans votre stratégie. Sur le Web ACLs créé par la politique, les responsables de comptes individuels peuvent ajouter des règles et des groupes de règles, en plus des groupes de règles que vous avez définis via Firewall Manager.

Comment Firewall Manager gère le Web ACLs

Firewall Manager crée le Web ACLs en fonction de la façon dont vous configurez le ACLs paramètre Gérer le Web non associé dans votre politique ou le optimizeUnassociatedWebACL paramètre du type de SecurityServicePolicyDatadonnées dans leAPI.

Si vous activez la gestion du Web non associéACLs, Firewall Manager crée un site Web ACLs dans les comptes relevant du champ d'application de la politique uniquement si le Web ACLs est destiné à être utilisé par au moins une ressource. À tout moment, si un compte entre dans le champ d'application de la politique, Firewall Manager crée automatiquement un site Web ACL dans le compte si au moins une ressource utilise le WebACL. Lorsque vous activez la gestion du Web non associéACLs, Firewall Manager effectue un nettoyage unique du Web non associé ACLs dans votre compte. Pendant le nettoyage, Firewall Manager ignore tous les sites Web ACLs que vous avez modifiés après leur création, par exemple si vous avez ajouté un groupe de règles au Web ACL ou modifié ses paramètres. Le processus de nettoyage peut prendre plusieurs heures. Si une ressource quitte le champ d'application de la politique une fois que Firewall Manager a créé un site WebACL, Firewall Manager dissocie la ressource du WebACL, mais ne nettoie pas le site Web non associé. ACL Firewall Manager nettoie le Web non associé uniquement ACLs lorsque vous activez pour la première fois la gestion du Web non associé ACLs dans une politique.

Si vous n'activez pas cette option, Firewall Manager ne gère pas les sites Web ACLs non associés et Firewall Manager crée automatiquement un site Web ACL dans chaque compte relevant du champ d'application de la politique.

Échantillonnage et CloudWatch mesures

AWS Firewall Manager active l'échantillonnage et CloudWatch les métriques Amazon pour le Web ACLs et les groupes de règles qu'il crée pour une AWS WAF politique.

Structure ACL de dénomination Web

Lorsque Firewall Manager crée un site Web ACL pour la politique, il donne un nom au Web ACLFMManagedWebACLV2-policy name-timestamp. L'horodatage est exprimé en millisecondes. UTC Par exemple, FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

Note

Si une ressource configurée avec une DDoSatténuation automatique avancée de la couche d'application entre dans le champ d'application d'une AWS WAF stratégie, Firewall Manager ne sera pas en mesure d'associer le site Web ACL créé par la AWS WAF politique à la ressource.

Groupes de règles dans AWS WAF les politiques

Le Web géré par ACLs les AWS WAF politiques de Firewall Manager contient trois ensembles de règles. Ces ensembles fournissent un niveau de priorité plus élevé pour les règles et les groupes de règles sur le Web ACL :

  • Premiers groupes de règles, définis par vos soins dans la AWS WAF politique de Firewall Manager. AWS WAF évalue d'abord ces groupes de règles.

  • Règles et groupes de règles définis par les responsables de comptes sur le WebACLs. AWS WAF évalue ensuite les règles ou les groupes de règles gérés par le compte.

  • Derniers groupes de règles, définis par vos soins dans la AWS WAF politique de Firewall Manager. AWS WAF évalue ces groupes de règles en dernier.

Dans chacun de ces ensembles de règles, AWS WAF évalue les règles et les groupes de règles comme d'habitude, en fonction de leurs paramètres de priorité au sein de l'ensemble.

Dans les premier et dernier ensembles de groupes de règles de la stratégie, vous ne pouvez ajouter que des groupes de règles. Vous pouvez utiliser des groupes de règles gérés, que les règles AWS gérées et AWS Marketplace les vendeurs créent et gèrent pour vous. Vous pouvez également gérer et utiliser vos propres groupes de règles. Pour de plus amples informations sur l'ensemble de ces options, veuillez consulter AWS WAF groupes de règles.

Si vous souhaitez utiliser vos propres groupes de règles, vous devez les créer avant de créer votre AWS WAF politique Firewall Manager. Pour de plus amples informations, consultez Gestion de vos propres groupes de règles. Pour utiliser une règle personnalisée individuelle, vous devez définir votre propre groupe de règles, définir votre règle à l'intérieur de celui-ci, puis utiliser le groupe de règles dans votre stratégie.

Les premier et dernier groupes de AWS WAF règles que vous gérez via Firewall Manager ont des noms qui commencent respectivement par PREFMManaged- ou POSTFMManaged- sont suivis du nom de la politique de Firewall Manager et de l'horodatage de création du groupe de règles, en UTC millisecondes. Par exemple, PREFMManaged-MyWAFPolicyName-1621880555123.

Pour plus d'informations sur le mode AWS WAF d'évaluation des requêtes Web, consultezÉvaluation des règles ACL Web et des groupes de règles.

Pour la procédure de création d'une AWS WAF politique Firewall Manager, consultezCréation d'une AWS Firewall Manager politique pour AWS WAF.

Firewall Manager active l'échantillonnage et CloudWatch les métriques Amazon pour les groupes de règles que vous définissez pour la AWS WAF politique.

Les propriétaires de comptes individuels ont un contrôle total sur les mesures et la configuration d'échantillonnage pour toute règle ou groupe de règles qu'ils ajoutent au site Web géré par la politiqueACLs.

Configuration de la journalisation pour une AWS WAF politique

Vous pouvez activer la journalisation centralisée pour vos AWS WAF politiques afin d'obtenir des informations détaillées sur le trafic analysé par votre site Web ACL au sein de votre organisation. Les informations contenues dans les journaux incluent l'heure à laquelle la demande AWS WAF a été reçue de la part de votre AWS ressource, des informations détaillées sur la demande et l'action correspondant à la règle selon laquelle chaque demande correspond à partir de tous les comptes concernés. Vous pouvez envoyer vos journaux vers un flux de données Amazon Data Firehose ou un bucket Amazon Simple Storage Service (S3). Pour plus d'informations sur la AWS WAF journalisation, consultez Journalisation AWS WAF du trafic ACL Web le guide du AWS WAF développeur.

Note

AWS Firewall Manager prend en charge cette option pour AWS WAFV2, pas pour AWS WAF Classic.

Destinations de journalisation

Cette section décrit les destinations de journalisation que vous pouvez choisir pour envoyer vos journaux AWS WAF de politiques. Chaque section fournit des conseils pour la configuration de la journalisation pour le type de destination et des informations sur tout comportement spécifique au type de destination. Après avoir configuré votre destination de journalisation, vous pouvez fournir ses spécifications à votre AWS WAF politique Firewall Manager pour commencer à vous y connecter.

Firewall Manager n'a aucune visibilité sur les échecs de journalisation une fois la configuration de journalisation créée. Il est de votre responsabilité de vérifier que la livraison du journal fonctionne comme prévu.

Note

Firewall Manager ne modifie aucune configuration de journalisation existante dans les comptes membres de votre organisation.

Flux de données Amazon Data Firehose

Cette rubrique fournit des informations sur l'envoi de vos journaux de ACL trafic Web vers un flux de données Amazon Data Firehose.

Lorsque vous activez la journalisation d'Amazon Data Firehose, Firewall Manager envoie les journaux depuis le site Web de votre politique ACLs vers un Amazon Data Firehose où vous avez configuré une destination de stockage. Après avoir activé la journalisation, AWS WAF envoie les journaux pour chaque site Web configuréACL, via le HTTPS point de terminaison de Kinesis Data Firehose, à la destination de stockage configurée. Avant de l'utiliser, testez votre flux de diffusion pour vous assurer qu'il dispose d'un débit suffisant pour accueillir les journaux de votre organisation. Pour plus d'informations sur la façon de créer un Amazon Kinesis Data Firehose et de consulter les journaux enregistrés, consultez What Is Amazon Data Firehose ?

Vous devez disposer des autorisations suivantes pour activer correctement la journalisation avec un Kinesis :

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

Lorsque vous configurez une destination de journalisation Amazon Data Firehose sur une AWS WAF politique, Firewall Manager crée un site Web ACL pour la politique dans le compte administrateur de Firewall Manager comme suit :

  • Firewall Manager crée le Web ACL dans le compte administrateur de Firewall Manager, que le compte soit ou non concerné par la politique.

  • La journalisation ACL est activée sur le Web, avec un nom de journalFMManagedWebACLV2-Loggingpolicy name-timestamp, l'horodatage étant l'UTCheure à laquelle le journal a été activé pour le WebACL, en millisecondes. Par exemple, FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180. Le Web ne ACL possède aucun groupe de règles ni aucune ressource associée.

  • L'utilisation du Web vous est facturée ACL conformément aux directives AWS WAF tarifaires. Pour plus d'informations, consultez AWS WAF Pricing (Tarification CTlong).

  • Firewall Manager supprime le Web ACL lorsque vous supprimez la politique.

Pour plus d'informations sur les rôles liés aux services et les iam:CreateServiceLinkedRole autorisations, consultez. Utilisation de rôles liés à un service pour AWS WAF

Pour plus d'informations sur la création de votre flux de diffusion, consultez Création d'un flux de diffusion Amazon Data Firehose.

Compartiments Amazon Simple Storage Service

Cette rubrique fournit des informations sur l'envoi de vos journaux de ACL trafic Web vers un compartiment Amazon S3.

Le bucket que vous choisissez comme destination de journalisation doit appartenir à un compte administrateur de Firewall Manager. Pour plus d'informations sur les exigences relatives à la création de votre compartiment Amazon S3 pour la journalisation et les exigences en matière de dénomination des compartiments, consultez Amazon Simple Storage Service dans le guide du AWS WAF développeur.

Cohérence à terme

Lorsque vous modifiez AWS WAF les politiques configurées avec une destination de journalisation Amazon S3, Firewall Manager met à jour la politique de compartiment pour ajouter les autorisations nécessaires à la journalisation. Ce faisant, Firewall Manager suit les modèles de last-writer-wins sémantique et de cohérence des données utilisés par Amazon Simple Storage Service. Si vous effectuez plusieurs mises à jour de politique simultanément sur une destination Amazon S3 dans la console Firewall Manager ou via le PutPolicyAPI, certaines autorisations risquent de ne pas être enregistrées. Pour plus d'informations sur le modèle de cohérence des données Amazon S3, consultez le modèle de cohérence des données Amazon S3 dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Autorisations pour publier des journaux dans un compartiment Amazon S3

La configuration de ACL la journalisation du trafic Web pour un compartiment Amazon S3 dans une AWS WAF politique nécessite les paramètres d'autorisation suivants. Firewall Manager attache automatiquement ces autorisations à votre compartiment Amazon S3 lorsque vous configurez Amazon S3 comme destination de journalisation afin d'autoriser le service à publier des journaux dans le compartiment. Si vous souhaitez gérer un accès plus précis à vos ressources de journalisation et de Firewall Manager, vous pouvez définir ces autorisations vous-même. Pour plus d'informations sur la gestion des autorisations, consultez la section Gestion de l'accès aux AWS ressources dans le Guide de IAM l'utilisateur. Pour plus d'informations sur les politiques AWS WAF gérées, consultezAWS politiques gérées pour AWS WAF. 

{
    "Version": "2012-10-17",
    "Id": "AWSLogDeliveryForFirewallManager",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheckFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-amzn-s3-demo-bucket"
        },
        {
            "Sid": "AWSLogDeliveryWriteFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket/policy-id/AWSLogs/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}

Pour éviter le problème de confusion entre les services adjoints, vous pouvez ajouter les clés de contexte aws:SourceArnet de condition aws:SourceAccountglobale à la politique de votre compartiment. Pour ajouter ces clés, vous pouvez soit modifier la politique créée par Firewall Manager lorsque vous configurez la destination de journalisation, soit créer votre propre stratégie si vous souhaitez un contrôle plus précis. Si vous ajoutez ces conditions à votre politique de destination de journalisation, Firewall Manager ne validera ni ne surveillera les protections secondaires confuses. Pour des informations générales sur le problème des députés confus, voir Le problème des députés confus dans le guide de IAM l'utilisateur.

Lorsque vous sourceAccount ajoutez les sourceArn propriétés d'ajout, cela augmente la taille de la politique du compartiment. Si vous sourceAccount ajoutez une longue liste de sourceArn propriétés d'ajout, veillez à ne pas dépasser le quota de taille des compartiments fixé par la politique Amazon S3.

L'exemple suivant montre comment éviter le problème de confusion des adjoints en utilisant les clés de contexte aws:SourceArn et de condition aws:SourceAccount globale dans la politique de votre compartiment. Remplacez member-account-id avec le compte IDs des membres de votre organisation.

{
   "Version":"2012-10-17",
   "Id":"AWSLogDeliveryForFirewallManager",
   "Statement":[
      {
         "Sid":"AWSLogDeliveryAclCheckFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:GetBucketAcl",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":[
                  "member-account-id",
                  "member-account-id"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
                  "arn:aws:logs:*:member-account-id:*",
                  "arn:aws:logs:*:member-account-id:*"
               ]
            }
         }
      },
      {
         "Sid":"AWSLogDeliveryWriteFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket/policy-id/AWSLogs/*",
         "Condition":{
            "StringEquals":{
               "s3:x-amz-acl":"bucket-owner-full-control",
               "aws:SourceAccount":[
                    "member-account-id",
                  "member-account-id"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
                  "arn:aws:logs:*:member-account-id-1:*",
                  "arn:aws:logs:*:member-account-id-2:*"
               ]
            }
         }
      }
   ]
}
Chiffrement côté serveur pour les compartiments Amazon S3

Vous pouvez activer le chiffrement côté serveur Amazon S3 ou utiliser une clé gérée par AWS Key Management Service le client sur votre compartiment S3. Si vous choisissez d'utiliser le chiffrement Amazon S3 par défaut sur votre compartiment Amazon S3 pour AWS WAF les journaux, vous n'avez aucune action particulière à effectuer. Toutefois, si vous choisissez d'utiliser une clé de chiffrement fournie par le client pour chiffrer vos données Amazon S3 au repos, vous devez ajouter la déclaration d'autorisation suivante à votre AWS Key Management Service politique en matière de clés :

{
            "Sid": "Allow Logs Delivery to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
}

Pour plus d'informations sur l'utilisation des clés de chiffrement fournies par le client avec Amazon S3, consultez la section Utilisation du chiffrement côté serveur avec les clés fournies par le client (-CSSE) dans le guide de l'utilisateur d'Amazon Simple Storage Service.

Activation de la journalisation

La procédure suivante décrit comment activer la journalisation d'une AWS WAF politique dans la console Firewall Manager.

Pour activer la journalisation pour une AWS WAF politique

  1. Avant de pouvoir activer la journalisation, vous devez configurer vos ressources de destination de journalisation comme suit :

    • Amazon Kinesis Data Streams : créez un Amazon Data Firehose à l'aide de votre compte administrateur Firewall Manager. Utilisez un nom commençant par le préfixeaws-waf-logs-. Par exemple, aws-waf-logs-firewall-manager-central. Créez le pare-feu de données avec une PUT source et dans la région dans laquelle vous opérez. Si vous capturez des journaux pour Amazon CloudFront, créez le firehose dans l'est des États-Unis (Virginie du Nord). Avant de l'utiliser, testez votre flux de diffusion pour vous assurer qu'il dispose d'un débit suffisant pour accueillir les journaux de votre organisation. Pour plus d'informations, consultez Création d'un flux de diffusion Amazon Data Firehose.

    • Compartiments Amazon Simple Storage Service : créez un compartiment Amazon S3 conformément aux instructions de la rubrique Amazon Simple Storage Service du guide du AWS WAF développeur. Vous devez également configurer votre compartiment Amazon S3 avec les autorisations répertoriées dansAutorisations pour publier des journaux dans un compartiment Amazon S3 .

  2. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  3. Dans le volet de navigation, sélectionnez Security Policies.

  4. Choisissez la AWS WAF politique pour laquelle vous souhaitez activer la journalisation. Pour plus d'informations sur la journalisation AWS WAF , consultez Journalisation AWS WAF du trafic ACL Web.

  5. Dans l'onglet Détails de la politique, dans la section Règles de politique, choisissez Modifier.

  6. Pour la configuration de la journalisation, choisissez Activer la journalisation pour activer la journalisation. La journalisation fournit des informations détaillées sur le trafic analysé par votre site WebACL. Choisissez la destination de journalisation, puis choisissez la destination de journalisation que vous avez configurée. Vous devez choisir une destination de journalisation dont le nom commence paraws-waf-logs-. Pour plus d'informations sur la configuration d'une destination de AWS WAF journalisation, consultezConfiguration de la journalisation pour une AWS WAF politique.

  7. (Facultatif) Si vous ne souhaitez pas que certains champs et leurs valeurs soient inclus dans les journaux, censurez ces champs. Choisissez le champ à censurer, puis choisissez Ajouter. Répétez si nécessaire pour censurer des champs supplémentaires. Les champs censurés apparaîtront en tant que REDACTED dans les journaux. Par exemple, si vous rédigez le URIchamp, le URIchamp des journaux le seraREDACTED.

  8. (Facultatif) Si vous ne souhaitez pas envoyer toutes les demandes aux journaux, ajoutez vos critères de filtrage et votre comportement. Sous Filtrer les journaux, pour chaque filtre que vous souhaitez appliquer, choisissez Ajouter un filtre, puis choisissez vos critères de filtrage et indiquez si vous souhaitez conserver ou supprimer les demandes correspondant à ces critères. Lorsque vous avez fini d'ajouter des filtres, modifiez si nécessaire le comportement de journalisation par défaut. Pour plus d’informations, consultez Configuration de la journalisation des ACL Web dans le Guide du développeur AWS WAF .

  9. Choisissez Suivant.

  10. Vérifiez vos paramètres, puis choisissez Enregistrer pour enregistrer les modifications apportées à la politique.

Désactivation de la journalisation

La procédure suivante décrit comment désactiver la journalisation pour une AWS WAF politique dans la console Firewall Manager.

Pour désactiver la journalisation pour une AWS WAF politique

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sélectionnez Security Policies.

  3. Choisissez la AWS WAF politique pour laquelle vous souhaitez désactiver la journalisation.

  4. Dans l'onglet Détails de la politique, dans la section Règles de politique, choisissez Modifier.

  5. Pour l'état de la configuration de la journalisation, choisissez Disabled.

  6. Choisissez Suivant.

  7. Vérifiez vos paramètres, puis choisissez Enregistrer pour enregistrer les modifications apportées à la politique.