**Ti presentiamo una nuova esperienza di console per AWS WAF**
Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS WAF destinazioni di registrazione
Questa sezione descrive le opzioni di registrazione tra cui scegliere per i log. AWS WAF Ogni sezione fornisce indicazioni per la configurazione della registrazione, incluse informazioni su qualsiasi comportamento specifico del tipo di destinazione. Dopo aver configurato la destinazione di registrazione, è possibile fornire le relative specifiche alla configurazione di registrazione del Protection Pack (Web ACL) per iniziare la registrazione.
**Topics**
+ [CloudWatch Registri](logging-cw-logs.md)
+ [Simple Storage Service (Amazon S3)](logging-s3.md)
+ [Firehose](logging-kinesis.md)
# Invio dei log di traffico del Protection Pack (Web ACL) a un gruppo di log di Amazon CloudWatch Logs
Questo argomento fornisce informazioni per inviare i registri del traffico del Protection Pack (web ACL) a un gruppo di log di Logs. CloudWatch
**Nota**
Oltre ai costi di utilizzo, ti verranno addebitati i costi per la registrazione. AWS WAF Per informazioni, consulta [Prezzi per la registrazione delle informazioni sul traffico del pacchetto di protezione (Web ACL)](logging-pricing.md).
Per inviare i log ad Amazon CloudWatch Logs, devi creare un gruppo di CloudWatch log Logs. Quando si abilita l'accesso AWS WAF, si fornisce l'ARN del gruppo di log. Dopo aver abilitato la registrazione per il pacchetto di protezione (Web ACL), AWS WAF invia i log al gruppo Logs log nei flussi di CloudWatch log.
Quando usi CloudWatch Logs, puoi esplorare i log del tuo protection pack (Web ACL) nella console. AWS WAF **Nella pagina del Protection Pack (Web ACL), seleziona la scheda Logging insights.** Questa opzione si aggiunge alle informazioni sulla registrazione fornite per i CloudWatch registri tramite la console. CloudWatch
Configura il gruppo di log per i registri del AWS WAF Protection Pack (Web ACL) nella stessa regione del Protection Pack (Web ACL) e utilizza lo stesso account utilizzato per gestire il Protection Pack (Web ACL). Per informazioni sulla configurazione di un gruppo di log CloudWatch Logs, consulta [Working with](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) Log Groups and Log Streams.
## Quote per i gruppi di log Logs CloudWatch
CloudWatch Logs ha una quota massima predefinita per la velocità effettiva, condivisa tra tutti i gruppi di log all'interno di una regione, che è possibile richiedere di aumentare. Se i tuoi requisiti di registrazione sono troppo elevati per l'attuale impostazione del throughput, vedrai le metriche di limitazione relative al tuo account. `PutLogEvents` Per visualizzare il limite nella console Service Quotas e richiedere un aumento, consulta la quota [CloudWatch PutLogEvents Logs](https://console.aws.amazon.com/servicequotas/home/services/logs/quotas/L-7E1FAE88).
## Denominazione dei gruppi di log
I nomi dei gruppi di log devono iniziare con `aws-waf-logs-` e possono terminare con qualsiasi suffisso desiderato, ad esempio. `aws-waf-logs-testLogGroup2`
Il formato ARN risultante è il seguente:
```
arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix
```
I flussi di log hanno il seguente formato di denominazione:
```
Region_web-acl-name_log-stream-number
```
Di seguito viene illustrato un esempio di flusso di log per Protection Pack (Web ACL) `TestWebACL` in Region. `us-east-1`
```
us-east-1_TestWebACL_0
```
## Autorizzazioni necessarie per pubblicare i log in Logs CloudWatch
La configurazione della registrazione del traffico con il Protection Pack (Web ACL) per un gruppo di log CloudWatch Logs richiede le impostazioni delle autorizzazioni descritte in questa sezione. Le autorizzazioni vengono impostate automaticamente quando si utilizza una delle politiche di accesso gestito AWS WAF completo, oppure. `AWSWAFConsoleFullAccess` `AWSWAFFullAccess` Se desideri gestire un accesso più dettagliato alla registrazione e alle AWS WAF risorse, puoi impostare tu stesso le autorizzazioni. *Per informazioni sulla gestione delle autorizzazioni, consulta Gestione degli [accessi alle AWS risorse nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) l'utente IAM.* Per informazioni sulle politiche AWS WAF gestite, consulta[AWS politiche gestite per AWS WAF](security-iam-awsmanpol.md).
Queste autorizzazioni consentono di modificare la configurazione di registrazione del Protection Pack (Web ACL), di configurare la consegna dei log per CloudWatch Logs e di recuperare informazioni sul gruppo di log. Queste autorizzazioni devono essere associate all'utente che utilizzi per la gestione. AWS WAF
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"wafv2:PutLoggingConfiguration",
"wafv2:DeleteLoggingConfiguration"
],
"Resource": [
"*"
],
"Effect": "Allow",
"Sid": "LoggingConfigurationAPI"
},
{
"Sid": "WebACLLoggingCWL",
"Action": [
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery",
"logs:PutResourcePolicy",
"logs:DescribeResourcePolicies",
"logs:DescribeLogGroups"
],
"Resource": [
"*"
],
"Effect": "Allow"
}
]
}
```
------
Quando sono consentite azioni su tutte AWS le risorse, ciò è indicato nella politica con un'`"Resource"`impostazione di`"*"`. Ciò significa che le azioni sono consentite su tutte le AWS risorse *supportate da ciascuna azione*. Ad esempio, l'azione `wafv2:PutLoggingConfiguration` è supportata solo per la `wafv2` registrazione delle risorse di configurazione.
# Invio dei log di traffico del Protection Pack (Web ACL) a un bucket Amazon Simple Storage Service
Questo argomento fornisce informazioni per inviare i log del traffico del Protection Pack (Web ACL) a un bucket Amazon S3.
**Nota**
Oltre ai costi di utilizzo, ti verranno addebitati i costi per la registrazione. AWS WAF Per informazioni, consulta [Prezzi per la registrazione delle informazioni sul traffico del pacchetto di protezione (Web ACL)](logging-pricing.md).
Per inviare i log del traffico del pacchetto di protezione (Web ACL) ad Amazon S3, è necessario configurare un bucket Amazon S3 dallo stesso account utilizzato per gestire il pacchetto di protezione (Web ACL) e assegnare un nome al bucket a partire da. `aws-waf-logs-` Quando abiliti l'accesso, fornisci il nome del bucket. AWS WAF Per informazioni sulla creazione di un bucket di registrazione, consulta [Create a Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html) nella *Amazon Simple Storage Service* User Guide.
Puoi accedere e analizzare i log di Amazon S3 utilizzando il servizio di query interattivo Amazon Athena. Athena semplifica l'analisi dei dati direttamente in Amazon S3 utilizzando SQL standard. Con poche azioni Console di gestione AWS, puoi indirizzare Athena ai dati archiviati in Amazon S3 e iniziare rapidamente a utilizzare SQL standard per eseguire query ad hoc e ottenere risultati. Per ulteriori informazioni, consulta la sezione [Interrogazione dei AWS WAF log nella guida](https://docs.aws.amazon.com/athena/latest/ug/waf-logs.html) per l'utente di *Amazon Athena*. Per ulteriori esempi di query Amazon Athena, consulta [waf-log-sample-athenaaws-samples/](https://github.com/aws-samples/waf-log-sample-athena-queries) -queries sul sito Web. GitHub
**Nota**
AWS WAF supporta la crittografia con bucket Amazon S3 per il tipo di chiave Amazon S3 key (SSE-S3) e per (SSE-KMS). AWS Key Management Service AWS KMS keys AWS WAF non supporta la crittografia per le chiavi gestite da. AWS Key Management Service AWS
I file di log del pacchetto di protezione (Web ACL) vengono pubblicati nel bucket Amazon S3 a intervalli di 5 minuti. Ogni file di registro contiene i record di registro per il traffico registrato nei 5 minuti precedenti.
Le dimensioni file massime per un file di log sono di 75 MB. Se il file di registro raggiunge il limite di dimensione del file entro un periodo di 5 minuti, interrompe l'aggiunta di record, lo pubblica nel bucket Amazon S3 e quindi crea un nuovo file di registro.
I file di log sono compressi. Se apri i file utilizzando la console Amazon S3, Amazon S3 decomprime i record di log e li visualizza. Se scarichi i file di registro, devi decomprimerli per visualizzare i record.
Un singolo file di registro contiene voci interlacciate con più record. Per visualizzare tutti i file di registro di un pacchetto di protezione (Web ACL), cerca le voci aggregate in base al nome del pacchetto di protezione (Web ACL), alla regione e all'ID dell'account.
## Requisiti di denominazione e sintassi
I nomi dei bucket per la AWS WAF registrazione devono iniziare con `aws-waf-logs-` e possono terminare con qualsiasi suffisso desiderato. Ad esempio, `aws-waf-logs-LOGGING-BUCKET-SUFFIX`.
**Ubicazione del bucket**
Le posizioni dei bucket utilizzano la seguente sintassi:
```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/
```
**Bucket ARN**
Il formato del bucket Amazon Resource Name (ARN) è il seguente:
```
arn:aws:s3:::aws-waf-logs-LOGGING-BUCKET-SUFFIX
```
**Posizioni dei bucket con prefissi**
Se utilizzi prefissi nel nome delle chiavi oggetto per organizzare i dati archiviati nei bucket, puoi fornire i prefissi nei nomi dei bucket di registrazione.
**Nota**
Questa opzione non è disponibile tramite la console. Usa AWS WAF APIs, CLI o. AWS CloudFormation
Per informazioni sull'uso dei prefissi in Amazon S3, [consulta Organizing objects using](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) prefixes nella *Amazon Simple Storage Service User Guide*.
Le posizioni dei bucket con prefissi utilizzano la seguente sintassi:
```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/KEY-NAME-PREFIX/
```
**Cartelle e nomi di file dei bucket**
All'interno dei bucket e seguendo i prefissi che fornisci, AWS WAF i log sono scritti in una struttura di cartelle determinata dall'ID dell'account, dalla regione, dal nome del protection pack (Web ACL) e dalla data e dall'ora.
```
AWSLogs/account-id/WAFLogs/Region/web-acl-name/YYYY/MM/dd/HH/mm
```
All'interno delle cartelle, i nomi dei file di registro seguono un formato simile:
```
account-id_waflogs_Region_web-acl-name_timestamp_hash.log.gz
```
Le specifiche temporali utilizzate nella struttura delle cartelle e nel nome del file di registro rispettano le specifiche del formato del timestamp. `YYYYMMddTHHmmZ`
Di seguito viene illustrato un esempio di file di log in un bucket Amazon S3 per un bucket denominato. `aws-waf-logs-LOGGING-BUCKET-SUFFIX` Lo è. Account AWS `11111111111` Il pacchetto di protezione (Web ACL) è `TEST-WEBACL` e la regione è`us-east-1`.
```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/AWSLogs/11111111111/WAFLogs/us-east-1/TEST-WEBACL/2021/10/28/19/50/11111111111_waflogs_us-east-1_TEST-WEBACL_20211028T1950Z_e0ca43b5.log.gz
```
**Nota**
I nomi dei bucket per la AWS WAF registrazione devono iniziare con `aws-waf-logs-` e possono terminare con qualsiasi suffisso desiderato.
## Autorizzazioni necessarie per pubblicare i log su Amazon S3
La configurazione della registrazione del traffico del pacchetto di protezione (Web ACL) per un bucket Amazon S3 richiede le seguenti impostazioni di autorizzazione. Queste autorizzazioni vengono impostate automaticamente quando utilizzi una delle politiche di gestione dell'accesso completo, oppure. AWS WAF `AWSWAFConsoleFullAccess` `AWSWAFFullAccess` Se desideri gestire ulteriormente l'accesso ai tuoi log e alle tue AWS WAF risorse, puoi impostare tu stesso queste autorizzazioni. Per informazioni sulla gestione delle autorizzazioni, consulta [Gestione degli accessi per AWS le risorse nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) l'utente *IAM*. Per informazioni sulle politiche AWS WAF gestite, consulta[AWS politiche gestite per AWS WAF](security-iam-awsmanpol.md).
Le seguenti autorizzazioni consentono di modificare la configurazione di registrazione del Protection Pack (Web ACL) e di configurare la consegna dei log al bucket Amazon S3. Queste autorizzazioni devono essere associate all'utente che utilizzi per la gestione. AWS WAF
**Nota**
Quando imposti le autorizzazioni elencate di seguito, potresti visualizzare errori nei AWS CloudTrail registri che indicano un accesso negato, ma le autorizzazioni sono corrette per la registrazione. AWS WAF
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Action":[
"wafv2:PutLoggingConfiguration",
"wafv2:DeleteLoggingConfiguration"
],
"Resource":[
"*"
],
"Effect":"Allow",
"Sid":"LoggingConfigurationAPI"
},
{
"Sid":"WebACLLogDelivery",
"Action":[
"logs:CreateLogDelivery",
"logs:DeleteLogDelivery"
],
"Resource": "*",
"Effect":"Allow"
},
{
"Sid":"WebACLLoggingS3",
"Action":[
"s3:PutBucketPolicy",
"s3:GetBucketPolicy"
],
"Resource": [
"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix"
],
"Effect":"Allow"
}
]
}
```
------
Quando sono consentite azioni su tutte le AWS risorse, ciò è indicato nella politica con un'impostazione di. `"Resource"` `"*"` Ciò significa che le azioni sono consentite su tutte le AWS risorse *supportate da ciascuna azione*. Ad esempio, l'azione `wafv2:PutLoggingConfiguration` è supportata solo per la `wafv2` registrazione delle risorse di configurazione.
Per impostazione predefinita, i bucket Amazon S3 e gli oggetti in essi contenuti sono privati. Solo il proprietario del bucket può accedere al bucket e agli oggetti in esso archiviati. Il proprietario del bucket, tuttavia, può concedere l'accesso ad altre risorse e utenti scrivendo una politica di accesso.
Se l'utente che crea il log è proprietario del bucket, il servizio allega automaticamente la seguente policy al bucket per concedere al log l'autorizzazione a pubblicare i log su di esso:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/AWSLogs/123456789012/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": ["123456789012"]
},
"ArnLike": {
"aws:SourceArn": ["arn:aws:logs:us-east-2:123456789012:*"]
}
}
},
{
"Sid": "AWSLogDeliveryAclCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ["123456789012"]
},
"ArnLike": {
"aws:SourceArn": ["arn:aws:logs:us-east-2:123456789012:*"]
}
}
}
]
}
```
------
**Nota**
I nomi dei bucket per la AWS WAF registrazione devono iniziare con `aws-waf-logs-` e possono terminare con qualsiasi suffisso desiderato.
Se l'utente che crea il log non è proprietario del bucket o non dispone delle autorizzazioni `GetBucketPolicy` e dei `PutBucketPolicy` permessi per il bucket, la creazione del log ha esito negativo. In questo caso, il proprietario del bucket deve aggiungere manualmente la politica precedente al bucket e specificare l'ID del creatore del log. Account AWS Per ulteriori informazioni, consulta [Come aggiungere una policy per un bucket S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) nella *Guida per l'utente di Amazon Simple Storage Service*. Se il bucket riceve log da più account, aggiungi un `Resource` elemento all'`AWSLogDeliveryWrite`informativa relativa a ciascun account.
Ad esempio, la seguente politica sui bucket consente di Account AWS `111122223333` pubblicare i log in un bucket denominato: `aws-waf-logs-LOGGING-BUCKET-SUFFIX`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "AWSLogDeliveryWrite20150319",
"Statement": [
{
"Sid": "AWSLogDeliveryWrite",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/AWSLogs/111122223333/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"aws:SourceAccount": ["111122223333"]
},
"ArnLike": {
"aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"]
}
}
},
{
"Sid": "AWSLogDeliveryAclCheck",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
"Condition": {
"StringEquals": {
"aws:SourceAccount": ["111122223333"]
},
"ArnLike": {
"aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"]
}
}
}
]
}
```
------
**Nota**
In alcuni casi, potresti riscontrare errori`AccessDenied` in AWS CloudTrail se l'autorizzazione `s3:ListBucket` non è stata concessa a `delivery.logs.amazonaws.com`. Per evitare questi errori nei CloudTrail log, è necessario concedere l'`s3:ListBucket`autorizzazione `delivery.logs.amazonaws.com` e includere i `Condition` parametri mostrati con l'`s3:GetBucketAcl `autorizzazione impostata nella precedente policy del bucket. Per semplificare questa operazione, invece di crearne uno nuovo`Statement`, puoi aggiornare direttamente il file to be. `AWSLogDeliveryAclCheck` `“Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]`
## Autorizzazioni per l'utilizzo AWS Key Management Service con una chiave KMS
Se la destinazione di registrazione utilizza la crittografia lato server con chiavi archiviate in AWS Key Management Service (SSE-KMS) e utilizzi una chiave gestita dal cliente (chiave KMS), devi autorizzare l'uso della tua chiave KMS. AWS WAF A tale scopo, aggiungi una politica chiave alla chiave KMS per la destinazione scelta. Ciò consente la AWS WAF registrazione per scrivere i file di registro nella destinazione.
Aggiungi la seguente policy chiave alla tua chiave KMS per consentire l'accesso AWS WAF al tuo bucket Amazon S3.
```
{
"Sid": "Allow AWS WAF to use the key",
"Effect": "Allow",
"Principal": {
"Service": [
"delivery.logs.amazonaws.com"
]
},
"Action": "kms:GenerateDataKey*",
"Resource": "*"
}
```
## Autorizzazioni necessarie per accedere ai file di registro di Amazon S3
Amazon S3 utilizza le liste di controllo degli accessi (ACLs) per gestire l'accesso ai file di registro creati da un AWS WAF registro. Per impostazione predefinita, il proprietario del bucket dispone di autorizzazioni `FULL_CONTROL` su ogni file di log. Il proprietario della distribuzione dei log, se diverso dal proprietario del bucket, non dispone di autorizzazioni. L’account di distribuzione dei log dispone delle autorizzazioni `READ` e `WRITE`. Per ulteriori informazioni, consulta [Panoramica della lista di controllo accessi](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
# Invio dei log di traffico del Protection Pack (Web ACL) a un flusso di distribuzione di Amazon Data Firehose
Questa sezione fornisce informazioni per inviare i log del traffico del Protection Pack (Web ACL) a un flusso di distribuzione di Amazon Data Firehose.
**Nota**
Oltre ai costi di utilizzo, ti verranno addebitati i costi per la registrazione. AWS WAF Per informazioni, consulta [Prezzi per la registrazione delle informazioni sul traffico del pacchetto di protezione (Web ACL)](logging-pricing.md).
Per inviare i log ad Amazon Data Firehose, devi inviare i log dal tuo pacchetto di protezione (Web ACL) a un flusso di distribuzione Amazon Data Firehose configurato in Firehose. Dopo aver abilitato la registrazione, AWS WAF invia i log alla destinazione di archiviazione tramite l'endpoint HTTPS di Firehose.
Un AWS WAF registro equivale a un record Firehose. Se in genere ricevi 10.000 richieste al secondo e abiliti i log completi, dovresti avere un'impostazione di 10.000 record al secondo in Firehose. Se non configuri Firehose correttamente, AWS WAF non registrerà tutti i log. Per ulteriori informazioni, consulta le quote di [Amazon Kinesis Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/limits.html).
Per informazioni su come creare un flusso di distribuzione di Amazon Data Firehose e rivedere i log memorizzati, consulta What [is Amazon Data](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) Firehose?
Per informazioni sulla creazione del flusso di consegna, consulta [Creazione di un flusso di consegna di Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).
## Configurazione di un flusso di distribuzione Amazon Data Firehose per il tuo pacchetto di protezione (Web ACL)
Configura un flusso di distribuzione Amazon Data Firehose per il tuo pacchetto di protezione (Web ACL) come segue.
+ Crealo utilizzando lo stesso account che usi per gestire il pacchetto di protezione (web ACL).
+ Crealo nella stessa regione del pacchetto di protezione (web ACL). Se stai acquisendo log per Amazon CloudFront, crea il firehose nella regione Stati Uniti orientali (Virginia settentrionale),. `us-east-1`
+ Assegna al data firehose un nome che inizi con il prefisso. `aws-waf-logs-` Ad esempio, `aws-waf-logs-us-east-2-analytics`.
+ Configuralo per l'immissione diretta, che consente alle applicazioni di accedere direttamente al flusso di distribuzione. Nella [console Amazon Data Firehose](https://console.aws.amazon.com/firehose), per l'impostazione della **sorgente** del flusso di distribuzione, scegli **Direct PUT o altre** fonti. Tramite l'API, imposta la proprietà del flusso di consegna `DeliveryStreamType` su`DirectPut`.
**Nota**
Non utilizzare a `Kinesis stream` come fonte.
## Autorizzazioni necessarie per pubblicare i log in un flusso di distribuzione di Amazon Data Firehose
Per comprendere le autorizzazioni richieste per la configurazione di Kinesis Data Firehose, [consulta Controlling Access with Amazon Kinesis Data](https://docs.aws.amazon.com/firehose/latest/dev/controlling-access.html) Firehose.
È necessario disporre delle seguenti autorizzazioni per abilitare correttamente la registrazione del Protection Pack (Web ACL) con un flusso di distribuzione Amazon Data Firehose.
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`
Per informazioni sui ruoli collegati ai servizi e sull'autorizzazione, consulta. `iam:CreateServiceLinkedRole` [Utilizzo di ruoli collegati ai servizi per AWS WAF](using-service-linked-roles.md)