AWS Network Firewall ポリシーのログ記録の設定 - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

AWS Network Firewall ポリシーのログ記録の設定

このセクションでは、Network Firewall ポリシーの集中ログ記録を有効にして、組織内のトラフィックに関する詳細情報を取得する方法について説明します。フローログ記録を選択してネットワークトラフィックフローをキャプチャするか、アラートログ記録を選択して DROP または ALERT に設定されたルールアクションを持つルールに一致するトラフィックをレポートできます。AWS Network Firewall ログ記録の詳細については、「AWS Network Firewall デベロッパーガイド」の「AWS Network Firewall からのネットワークトラフィックのログ記録」を参照してください。

ポリシーの Network Firewall ファイアウォールから Amazon S3 バケットにログを送信します。ログ記録を有効にすると、AWS Network Firewall は、ファイアウォール設定を更新して、予約済みの AWS Firewall Manager プレフィックス <policy-name>-<policy-id> が付いている選択済みの Amazon S3 バケットにログを配信することにより、設定された各 Network Firewall のログを配信します。

注記

このプレフィックスは、Firewall Manager によってログ記録設定が追加されたのか、またはアカウント所有者によって追加されたのかを判断するために、Firewall Manager によって使用されます。アカウント所有者が独自のカスタムログ記録に予約済みプレフィックスを使用しようとすると、Firewall Manager ポリシーのログ記録設定によって上書きされます。

Amazon S3 バケットを作成し、保存されているログを確認する方法の詳細については、「Amazon Simple Storage Service ユーザーガイド」の「Amazon S3 とは」を参照してください。

ログ記録を有効にするには、次の要件を満たす必要があります。

  • Firewall Manager ポリシーで指定する Amazon S3 が存在している必要があります。

  • アクセス許可を持っている必要があります。

    • logs:CreateLogDelivery

    • s3:GetBucketPolicy

    • s3:PutBucketPolicy

  • ログ記録の送信先である Amazon S3 バケットが、AWS Key Management Service に保存されているキーを使用したサーバー側の暗号化を使用している場合、次のポリシーを AWS KMS カスタマーマネージドキーに追加して、Firewall Manager が CloudWatch Logs ロググループにログ記録できるようにする必要があります。

    
{
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:Encrypt*",
        "kms:Decrypt*",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:Describe*"
    ],
    "Resource": "*"
}

AWS Network Firewall 一元ログ記録に使用できるのは、Firewall Manager 管理者アカウントのバケットのみであることに注意してください。

Network Firewall ポリシーで集中ログ記録を有効にすると、Firewall Manager はアカウントに対して次のアクションを実行します。

  • Firewall Manager は、選択した S3 バケットの許可を更新して、ログ配信を許可します。

  • Firewall Manager は、ポリシーの範囲内にある各メンバーアカウントのために、S3 バケットにディレクトリを作成します。各アカウントのログは <bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id> にあります。

Network Firewall ポリシーのログ記録を有効にするには

  1. Firewall Manager 管理者アカウントを使用して Amazon S3 バケットを作成します。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「バケットの作成」を参照してください。

  2. Firewall Manager 管理者アカウントを使用して AWS Management Console にサインインし、https://console.aws.amazon.com/wafv2/fmsv2 で Firewall Manager コンソールを開きます。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager の前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager の前提条件」を参照してください。

  3. ナビゲーションペインで、[Security Policies] (セキュリティポリシー) を選択します。

  4. ログ記録を有効にする Network Firewall ポリシーを選択します。AWS Network Firewall ログ記録の詳細については、「AWS Network Firewall デベロッパーガイド」の「AWS Network Firewall からのネットワークトラフィックのログ記録」を参照してください。

  5. [Policy details] (ポリシーの詳細) タブの [Policy rules] (ポリシールール) セクションで、[Edit] (編集) を選択します。

  6. ログを有効にして集約するには、[Logging configuration] (ログ記録の設定) で 1 つ以上のオプションを選択します。

    • フローログを有効化および集約する

    • アラートログを有効化および集約する

  7. ログの配信先とする Amazon S3 バケットを選択します。有効にするログタイプごとにバケットを選択する必要があります。両方のログタイプに同じバケットを使用できます。

  8. (オプション) カスタムメンバーアカウントで作成されたログ記録をポリシーのログ記録設定に置き換える場合は、[Override existing logging configuration] (既存のログ設定を上書き) を選択します。

  9. [Next] (次へ) を選択します。

  10. 設定を確認し、[Save] (保存) を選択してポリシーに対する変更を保存します。

Network Firewall ポリシーのログ記録を無効にするには

  1. Firewall Manager 管理者アカウントを使用して AWS Management Console にサインインし、https://console.aws.amazon.com/wafv2/fmsv2 で Firewall Manager コンソールを開きます。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager の前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager の前提条件」を参照してください。

  2. ナビゲーションペインで、[Security Policies] (セキュリティポリシー) を選択します。

  3. ログ記録を無効にする Network Firewall ポリシーを選択します。

  4. [Policy details] (ポリシーの詳細) タブの [Policy rules] (ポリシールール) セクションで、[Edit] (編集) を選択します。

  5. [Logging configuration status] (ログ記録設定のステータス) で、[Enable and aggregate flow logs] (フローログを有効にして集約) および [Enable and aggregate alert logs] (アラートログを有効にして集約) の選択を解除します (選択されている場合)。

  6. [Next] (次へ) を選択します。

  7. 設定を確認し、[Save] (保存) を選択してポリシーに対する変更を保存します。