Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Destinazioni di registrazione
Questa sezione descrive le destinazioni di registrazione che è possibile scegliere per inviare i registri delle AWS WAF politiche. Ogni sezione fornisce indicazioni per configurare la registrazione per il tipo di destinazione e informazioni su qualsiasi comportamento specifico del tipo di destinazione. Dopo aver configurato la destinazione di registrazione, puoi fornire le relative specifiche alla AWS WAF politica di Firewall Manager per iniziare a registrarla.
Puoi abilitare la registrazione centralizzata per AWS WAF le tue politiche per ottenere informazioni dettagliate sul traffico analizzato dal Web ACL all'interno dell'organizzazione. Le informazioni contenute nei log includono l'ora in cui è AWS WAF stata ricevuta la richiesta dalla AWS risorsa, informazioni dettagliate sulla richiesta e l'azione applicata alla regola secondo cui ogni richiesta corrisponde per tutti gli account interessati. Puoi inviare i log a un flusso di dati Amazon Data Firehose o a un bucket Amazon Simple Storage Service (S3). Per informazioni sulla AWS WAF registrazione, consulta Registrazione AWS WAF ACLtraffico web la Guida per gli sviluppatori.AWS WAF
Nota
AWS Firewall Manager supporta questa opzione per AWS WAFV2, non per AWS WAF Classic.
Firewall Manager non ha visibilità sugli errori di registro dopo la creazione della configurazione di registrazione. È tua responsabilità verificare che la consegna dei log funzioni come previsto.
Nota
Firewall Manager non modifica alcuna configurazione di registrazione esistente negli account dei membri dell'organizzazione.
Flussi di dati Amazon Data Firehose
Questo argomento fornisce informazioni per inviare i log ACL del traffico Web a un flusso di dati Amazon Data Firehose.
Quando abiliti la registrazione di Amazon Data Firehose, Firewall Manager invia i log dal Web della tua policy a ACLs un Amazon Data Firehose in cui hai configurato una destinazione di archiviazione. Dopo aver abilitato la registrazione, AWS WAF invia i log per ogni Web configuratoACL, attraverso l'HTTPSendpoint di Kinesis Data Firehose fino alla destinazione di archiviazione configurata. Prima di utilizzarlo, verifica il flusso di distribuzione per assicurarti che abbia un throughput sufficiente per contenere i log della tua organizzazione. Per ulteriori informazioni su come creare un Amazon Kinesis Data Firehose e rivedere i log memorizzati, consulta What Is Amazon Data Firehose?
È necessario disporre delle seguenti autorizzazioni per abilitare correttamente la registrazione con Kinesis:
iam:CreateServiceLinkedRole
firehose:ListDeliveryStreams
wafv2:PutLoggingConfiguration
Quando configuri una destinazione di registrazione di Amazon Data Firehose in base a una AWS WAF policy, Firewall Manager crea un sito web ACL per la policy nell'account amministratore di Firewall Manager come segue:
Firewall Manager crea il Web ACL nell'account amministratore di Firewall Manager indipendentemente dal fatto che l'account rientri nell'ambito della politica.
La registrazione sul Web ACL è abilitata, con un nome di registro
FMManagedWebACLV2-Logging
, in cui il timestamp indica l'UTCora in cui il registro è stato abilitato per il WebACL, in millisecondi. Ad esempiopolicy name
-timestamp
FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180
. Il Web non ACL ha gruppi di regole né risorse associate.I costi per il Web vengono addebitati ACL in base alle linee guida AWS WAF sui prezzi. Per ulteriori informazioni, consultare AWS WAF Prezzi
. Firewall Manager elimina il Web ACL quando si elimina la policy.
Per informazioni sui ruoli collegati ai servizi e sull'iam:CreateServiceLinkedRole
autorizzazione, vedere. Utilizzo di ruoli collegati ai servizi per AWS WAF
Per ulteriori informazioni sulla creazione di un flusso di distribuzione, consulta Creating an Amazon Data Firehose Delivery Stream.
Bucket Amazon Simple Storage Service
Questo argomento fornisce informazioni per inviare i log ACL del traffico Web a un bucket Amazon S3.
Il bucket scelto come destinazione di registrazione deve appartenere a un account amministratore di Firewall Manager. Per informazioni sui requisiti per la creazione del bucket Amazon S3 per la registrazione e i requisiti di denominazione dei bucket, consulta Amazon Simple Storage Service nella Developer Guide.AWS WAF
Consistenza finale
Quando apporti modifiche alle AWS WAF politiche configurate con una destinazione di registrazione Amazon S3, Firewall Manager aggiorna la policy del bucket per aggiungere le autorizzazioni necessarie per la registrazione. A tale scopo, Firewall Manager segue i modelli di last-writer-wins semantica e coerenza dei dati seguiti da Amazon Simple Storage Service. Se effettui contemporaneamente più aggiornamenti delle policy a una destinazione Amazon S3 nella console Firewall Manager o tramite PutPolicyAPI, alcune autorizzazioni potrebbero non essere salvate. Per ulteriori informazioni sul modello di coerenza dei dati di Amazon S3, consulta il modello di coerenza dei dati di Amazon S3 nella Guida per l'utente di Amazon Simple Storage Service.
Autorizzazioni per pubblicare i log in un bucket Amazon S3
La configurazione della registrazione ACL del traffico Web per un bucket Amazon S3 in AWS WAF una policy richiede le seguenti impostazioni di autorizzazione. Firewall Manager assegna automaticamente queste autorizzazioni al tuo bucket Amazon S3 quando configuri Amazon S3 come destinazione di registrazione per concedere al servizio l'autorizzazione a pubblicare i log nel bucket. Se desideri gestire un accesso più dettagliato alle tue risorse di registrazione e Firewall Manager, puoi impostare tu stesso queste autorizzazioni. Per informazioni sulla gestione delle autorizzazioni, consulta Gestione degli accessi alle risorse nella Guida per AWS l'utente. IAM Per informazioni sulle politiche AWS WAF gestite, vedereAWS politiche gestite per AWS WAF.
{ "Version": "2012-10-17", "Id": "AWSLogDeliveryForFirewallManager", "Statement": [ { "Sid": "AWSLogDeliveryAclCheckFMS", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:GetBucketAcl", "Resource": "arn:aws:s3:::aws-waf-
amzn-s3-demo-bucket
" }, { "Sid": "AWSLogDeliveryWriteFMS", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket
/policy-id
/AWSLogs/*", "Condition": { "StringEquals": { "s3:x-amz-acl": "bucket-owner-full-control" } } } ] }
Per evitare il problema della confusione tra diversi servizi, puoi aggiungere le chiavi relative al aws:SourceArn
contesto della condizione aws:SourceAccount
globale alla policy del tuo bucket. Per aggiungere queste chiavi, puoi modificare la policy che Firewall Manager crea automaticamente quando configuri la destinazione di registrazione oppure, se desideri un controllo granulare, puoi creare una policy personalizzata. Se aggiungi queste condizioni alla tua politica di destinazione della registrazione, Firewall Manager non convaliderà né monitorerà le confuse protezioni sostitutive. Per informazioni generali sul problema del vice confuso, vedi Il problema del vice confuso nella Guida IAM per l'utente.
Quando sourceAccount
aggiungi le sourceArn
proprietà di aggiunta, aumenterà la dimensione della policy del bucket. Se stai aggiungendo un lungo elenco di sourceArn
proprietà di sourceAccount
aggiunta, fai attenzione a non superare la quota di dimensione della policy del bucket Amazon S3.
L'esempio seguente mostra come prevenire il confuso problema vice utilizzando le chiavi di contesto aws:SourceArn
e aws:SourceAccount
global condition nella policy del bucket. Replace (Sostituisci) member-account-id
con l'account IDs dei membri della vostra organizzazione.
{ "Version":"2012-10-17", "Id":"AWSLogDeliveryForFirewallManager", "Statement":[ { "Sid":"AWSLogDeliveryAclCheckFMS", "Effect":"Allow", "Principal":{ "Service":"delivery.logs.amazonaws.com" }, "Action":"s3:GetBucketAcl", "Resource":"arn:aws:s3:::aws-waf-logs-
amzn-s3-demo-bucket
", "Condition":{ "StringEquals":{ "aws:SourceAccount":[ "member-account-id
", "member-account-id
" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:*:member-account-id
:*", "arn:aws:logs:*:member-account-id
:*" ] } } }, { "Sid":"AWSLogDeliveryWriteFMS", "Effect":"Allow", "Principal":{ "Service":"delivery.logs.amazonaws.com" }, "Action":"s3:PutObject", "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-bucket
/policy-id
/AWSLogs/*", "Condition":{ "StringEquals":{ "s3:x-amz-acl":"bucket-owner-full-control", "aws:SourceAccount":[ "member-account-id
", "member-account-id
" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:*:member-account-id-1
:*", "arn:aws:logs:*:member-account-id-2
:*" ] } } } ] }
Crittografia lato server per bucket Amazon S3
Puoi abilitare la crittografia lato server di Amazon S3 o utilizzare una chiave gestita AWS Key Management Service dal cliente sul tuo bucket S3. Se scegli di utilizzare la crittografia Amazon S3 predefinita sul tuo bucket Amazon S3 AWS WAF per i log, non devi intraprendere alcuna azione speciale. Tuttavia, se scegli di utilizzare una chiave di crittografia fornita dal cliente per crittografare i dati inattivi di Amazon S3, devi aggiungere la seguente dichiarazione di autorizzazione alla tua politica di chiave: AWS Key Management Service
{ "Sid": "Allow Logs Delivery to use the key", "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource": "*" }
Per informazioni sull'utilizzo delle chiavi di crittografia fornite dal cliente con Amazon S3, consulta Uso della crittografia lato server con chiavi fornite dal cliente (SSE-C) nella Guida per l'utente di Amazon Simple Storage Service.