AWS Network Firewall ポリシーのログ記録の設定 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Network Firewall ポリシーのログ記録の設定

このセクションでは、Network Firewall ポリシーの集中ログ記録を有効にして、組織内のトラフィックに関する詳細情報を取得する方法について説明します。フローログ記録を選択してネットワークトラフィックフローをキャプチャするか、アラートログ記録を選択して DROP または ALERT に設定されたルールアクションを持つルールに一致するトラフィックをレポートできます。 AWS Network Firewall ログ記録の詳細については、「AWS Network Firewall デベロッパーガイド」の「AWS Network Firewallからのネットワークトラフィックのログ記録」を参照してください。

ポリシーの Network Firewall ファイアウォールから Amazon S3 バケットにログを送信します。ログ記録を有効にすると、 はファイアウォール設定を更新して、設定された各 Network Firewall のログを AWS Network Firewall 配信し、予約された AWS Firewall Manager プレフィックス を使用して選択した Amazon S3 バケットにログを配信します<policy-name>-<policy-id>

注記

このプレフィックスは、Firewall Manager によってログ記録設定が追加されたのか、またはアカウント所有者によって追加されたのかを判断するために、Firewall Manager によって使用されます。アカウント所有者が独自のカスタムログ記録に予約済みプレフィックスを使用しようとすると、Firewall Manager ポリシーのログ記録設定によって上書きされます。

Amazon S3 バケットを作成し、保存されているログを確認する方法の詳細については、「Amazon Simple Storage Service ユーザーガイド」の「Amazon S3 とは」を参照してください。

ログ記録を有効にするには、次の要件を満たす必要があります。

  • Firewall Manager ポリシーで指定する Amazon S3 が存在している必要があります。

  • アクセス許可を持っている必要があります。

    • logs:CreateLogDelivery

    • s3:GetBucketPolicy

    • s3:PutBucketPolicy

  • ログ記録先である Amazon S3 バケットが に保存されているキーでサーバー側の暗号化を使用している場合は AWS Key Management Service、Firewall Manager が CloudWatch ログロググループにログ記録できるようにするには、次のポリシーを AWS KMS カスタマーマネージドキーに追加する必要があります。

    { "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }

AWS Network Firewall 一元ログ記録に使用できるのは、Firewall Manager 管理者アカウントのバケットのみであることに注意してください。

Network Firewall ポリシーで集中ログ記録を有効にすると、Firewall Manager はアカウントに対して次のアクションを実行します。

  • Firewall Manager は、選択した S3 バケットの許可を更新して、ログ配信を許可します。

  • Firewall Manager は、ポリシーの範囲内にある各メンバーアカウントのために、S3 バケットにディレクトリを作成します。各アカウントのログは <bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id> にあります。

Network Firewall ポリシーのログ記録を有効にするには
  1. Firewall Manager 管理者アカウントを使用して Amazon S3 バケットを作成します。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「バケットの作成」を参照してください。

  2. Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  3. ナビゲーションペインで、[Security Policies] (セキュリティポリシー) を選択します。

  4. ログ記録を有効にする Network Firewall ポリシーを選択します。 AWS Network Firewall ログ記録の詳細については、「 デベロッパーガイド」の「 からのネットワークトラフィックのログ記録 AWS Network Firewall」を参照してください。 AWS Network Firewall

  5. [Policy details] (ポリシーの詳細) タブの [Policy rules] (ポリシールール) セクションで、[Edit] (編集) を選択します。

  6. ログを有効にして集約するには、[Logging configuration] (ログ記録の設定) で 1 つ以上のオプションを選択します。

    • フローログを有効化および集約する

    • アラートログを有効化および集約する

  7. ログの配信先とする Amazon S3 バケットを選択します。有効にするログタイプごとにバケットを選択する必要があります。両方のログタイプに同じバケットを使用できます。

  8. (オプション) カスタムメンバーアカウントで作成されたログ記録をポリシーのログ記録設定に置き換える場合は、[Override existing logging configuration] (既存のログ設定を上書き) を選択します。

  9. [Next] (次へ) を選択します。

  10. 設定を確認し、[Save] (保存) を選択してポリシーに対する変更を保存します。

Network Firewall ポリシーのログ記録を無効にするには
  1. Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security Policies] (セキュリティポリシー) を選択します。

  3. ログ記録を無効にする Network Firewall ポリシーを選択します。

  4. [Policy details] (ポリシーの詳細) タブの [Policy rules] (ポリシールール) セクションで、[Edit] (編集) を選択します。

  5. [Logging configuration status] (ログ記録設定のステータス) で、[Enable and aggregate flow logs] (フローログを有効にして集約) および [Enable and aggregate alert logs] (アラートログを有効にして集約) の選択を解除します (選択されている場合)。

  6. [Next] (次へ) を選択します。

  7. 設定を確認し、[Save] (保存) を選択してポリシーに対する変更を保存します。