Amazon Data Firehose 配信ストリームへのウェブ ACL トラフィックログ送信 - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced
設定のガイドライン ログ記録のアクセス許可

Amazon Data Firehose 配信ストリームへのウェブ ACL トラフィックログ送信

このセクションは、ウェブ ACL トラフィックログの Amazon Data Firehose 配信ストリームへの送信に関する情報を提供します。

注記

AWS WAF の使用料金に加えて、ログ記録の料金が請求されます。詳細については、ウェブ ACL トラフィックのログ記録の料金に関する情報 を参照してください。

ログを Amazon Data Firehose に送信するには、ウェブ ACL から Firehose で設定した Amazon Data Firehose 配信ストリームにログを送信します。ログ記録を有効にすると、AWS WAF は Firehose の HTTPS エンドポイントを介してストレージ先にログを送信します。

1 つの AWS WAF ログは、1 つの Firehose レコードに相当します。通常、1 秒あたり 10,000 件のリクエストを受信していて、完全なログを有効にする場合、Firehose には 1 秒あたり 10,000 件のレコード設定を行う必要があります。Firehose を正しく設定しないと、AWS WAF はすべてのログを記録しません。詳細については、「Amazon Kinesis Data Firehose quotas」を参照してください。

Amazon Data Firehose 配信ストリームを作成し、保存されているログを確認する方法については、「What Is Amazon Data Firehose?」を参照してください。

配信ストリームの作成の詳細については、「Creating an Amazon Data Firehose delivery stream」を参照してください。

ウェブ ACL の Amazon Data Firehose 配信ストリームを設定する

ウェブ ACL の Amazon Data Firehose 配信ストリームを次のように設定します。

  • ウェブ ACL の管理に使用するアカウントと同じアカウントを使用して作成します。

  • ウェブ ACL と同じリージョンに作成します。Amazon CloudFront のログをキャプチャしている場合は、米国東部 (バージニア北部) リージョン us-east-1 に Firehose を作成します。

  • データ Firehose にプレフィックス aws-waf-logs- で始まる名前を付けます。例えば、aws-waf-logs-us-east-2-analytics と指定します。

  • Direct PUT 用に設定し、アプリケーションが配信ストリームに直接アクセスできるようにします。「Amazon Data Firehose コンソール」で、配信ストリームの [ソース] の設定に [Direct PUT または他のソース] を選択します。API を通じて、配信ストリームのプロパティ DeliveryStreamTypeDirectPut に設定します。

    注記

    Kinesis stream をソースとして使用しないでください。

Amazon Data Firehose にログを発行するために必須のアクセス権限

Kinesis Data Firehose の設定に必要な許可を理解するには、「Controlling Access with Amazon Kinesis Data Firehose」(Amazon Kinesis Data Firehose によるアクセスの制御) を参照してください。

Amazon Data Firehose 配信ストリームを使用してウェブ ACL のログ記録を正常に有効化するには、次のアクセス権限が付与されている必要があります。

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

サービスにリンクされたロールおよび iam:CreateServiceLinkedRole 許可の詳細については、「AWS WAF のサービスにリンクされたロールの使用」を参照してください。