Mengonfigurasi pencatatan untuk kebijakan AWS Network Firewall - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengonfigurasi pencatatan untuk kebijakan AWS Network Firewall

Bagian ini menjelaskan bagaimana Anda dapat mengaktifkan pencatatan terpusat untuk kebijakan Firewall Jaringan Anda untuk mendapatkan informasi terperinci tentang lalu lintas dalam organisasi Anda. Anda dapat memilih pencatatan aliran untuk menangkap arus lalu lintas jaringan, atau pencatatan peringatan untuk melaporkan lalu lintas yang cocok dengan aturan dengan tindakan aturan yang disetel ke DROP atauALERT. Untuk informasi selengkapnya tentang AWS Network Firewall pencatatan, lihat Mencatat lalu lintas jaringan dari AWS Network Firewall Panduan AWS Network Firewall Pengembang.

Anda mengirim log dari firewall Network Firewall kebijakan Anda ke bucket Amazon S3. Setelah Anda mengaktifkan logging, AWS Network Firewall kirimkan log untuk setiap Network Firewall yang dikonfigurasi dengan memperbarui pengaturan firewall untuk mengirimkan log ke bucket Amazon S3 pilihan Anda dengan awalan cadangan, AWS Firewall Manager . <policy-name>-<policy-id>

catatan

Awalan ini digunakan oleh Firewall Manager untuk menentukan apakah konfigurasi logging ditambahkan oleh Firewall Manager, atau apakah itu ditambahkan oleh pemilik akun. Jika pemilik akun mencoba menggunakan awalan cadangan untuk pencatatan kustom mereka sendiri, itu akan ditimpa oleh konfigurasi logging dalam kebijakan Firewall Manager.

Untuk informasi selengkapnya tentang cara membuat bucket Amazon S3 dan meninjau log yang disimpan, lihat Apa itu Amazon S3? di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Untuk mengaktifkan pencatatan, Anda harus memenuhi persyaratan berikut:

  • Amazon S3 yang Anda tentukan dalam kebijakan Firewall Manager Anda harus ada.

  • Anda harus memiliki izin berikut:

    • logs:CreateLogDelivery

    • s3:GetBucketPolicy

    • s3:PutBucketPolicy

  • Jika bucket Amazon S3 yang merupakan tujuan pencatatan Anda menggunakan enkripsi sisi server dengan kunci yang disimpan AWS Key Management Service, Anda harus menambahkan kebijakan berikut ke AWS KMS kunci yang dikelola pelanggan agar Firewall Manager masuk ke grup log Log Anda: CloudWatch 

    
{
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:Encrypt*",
        "kms:Decrypt*",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:Describe*"
    ],
    "Resource": "*"
}

Perhatikan bahwa hanya bucket di akun administrator Firewall Manager yang dapat digunakan untuk logging AWS Network Firewall pusat.

Saat Anda mengaktifkan logging terpusat pada kebijakan Network Firewall, Firewall Manager mengambil tindakan ini di akun Anda:

  • Firewall Manager memperbarui izin pada bucket S3 yang dipilih untuk memungkinkan pengiriman log.

  • Firewall Manager membuat direktori di bucket S3 untuk setiap akun anggota dalam lingkup kebijakan. Log untuk setiap akun dapat ditemukan di<bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>.

Untuk mengaktifkan logging untuk kebijakan Network Firewall

  1. Buat bucket Amazon S3 menggunakan akun administrator Firewall Manager Anda. Untuk informasi selengkapnya, lihat Membuat bucket di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

  2. Masuk ke akun administrator AWS Management Console menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2. Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

    catatan

    Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

  3. Di panel navigasi, pilih Kebijakan Keamanan.

  4. Pilih kebijakan Network Firewall yang ingin Anda aktifkan untuk login. Untuk informasi selengkapnya tentang AWS Network Firewall pencatatan, lihat Mencatat lalu lintas jaringan dari AWS Network Firewall Panduan AWS Network Firewall Pengembang.

  5. Pada tab Detail kebijakan, di bagian Aturan kebijakan, pilih Edit.

  6. Untuk mengaktifkan dan menggabungkan log, pilih satu atau beberapa opsi di bawah konfigurasi Logging:

    • Aktifkan dan agregat log aliran

    • Aktifkan dan agregat log peringatan

  7. Pilih bucket Amazon S3 tempat Anda ingin log Anda dikirimkan. Anda harus memilih bucket untuk setiap jenis log yang Anda aktifkan. Anda dapat menggunakan bucket yang sama untuk kedua jenis log.

  8. (Opsional) Jika Anda ingin pencatatan yang dibuat akun anggota khusus diganti dengan konfigurasi logging kebijakan, pilih Ganti konfigurasi logging yang ada.

  9. Pilih Berikutnya.

  10. Tinjau setelan Anda, lalu pilih Simpan untuk menyimpan perubahan pada kebijakan.

Untuk menonaktifkan logging untuk kebijakan Network Firewall

  1. Masuk ke akun administrator AWS Management Console menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2. Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

    catatan

    Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

  2. Di panel navigasi, pilih Kebijakan Keamanan.

  3. Pilih kebijakan Network Firewall yang ingin Anda nonaktifkan logging.

  4. Pada tab Detail kebijakan, di bagian Aturan kebijakan, pilih Edit.

  5. Di bawah Status konfigurasi Logging, batalkan pilihan Aktifkan dan agregat log aliran serta Aktifkan dan agregat log peringatan jika dipilih.

  6. Pilih Berikutnya.

  7. Tinjau setelan Anda, lalu pilih Simpan untuk menyimpan perubahan pada kebijakan.