亚马逊 Data Firehose 传送流 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
配置准则针对 日志记录的权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊 Data Firehose 传送流

本节提供有关将您的网页 ACL 流量日志发送到 Amazon Data Firehose 传输流的信息。

注意

除了 Amazon WAF使用费用外,您还需要支付登录费用。有关信息,请参阅 记录 Web ACL 流量信息的定价

要将日志发送到亚马逊数据 Firehose,您需要将网页 ACL 中的日志发送到您在 Firehose 中配置的亚马逊数据 Firehose 传输流。启用日志记录后,通过 Firehose 的 HTTPS 端点将日志 Amazon WAF 传送到您的存储目标。

一个 Amazon WAF 日志等同于一个 Firehose 记录。如果您通常每秒收到 10,000 个请求并启用完整日志,则应在 Firehose 中设置每秒 10,000 条记录。如果您未正确配置 Firehose,则 Amazon WAF 不会记录所有日志。有关更多信息,请参阅亚马逊 Kinesis Data Firehose 配额

有关如何创建亚马逊数据 Firehose 传输流和查看您存储的日志的信息,请参阅什么是亚马逊数据 Fire hose?

有关创建传输流的信息,请参阅创建 Amazon Data Firehose 传送流。

为您的网页 ACL 配置 Amazon Data Firehose 传输流

按如下方式为您的网络 ACL 配置 Amazon Data Firehose 传输流。

  • 使用与管理 Web ACL 相同的账户来创建它。

  • 将其创建在与 Web ACL 相同的区域中。如果您要为 Amazon 捕获日志 CloudFront,请在美国东部(弗吉尼亚北部)地区创建 firehose。us-east-1

  • 为数据消防队指定一个以前缀 aws-waf-logs- 开头的名称。例如,aws-waf-logs-us-east-2-analytics

  • 将其配置为直接放置,这样应用程序就可以直接访问传送流。在 Amazon Data Firehose 控制台中,对于传送流来源设置,选择直接 PUT 或其他来源。通过 API,将传送流属性 DeliveryStreamType 设置 为 DirectPut

    注意

    请勿使用 Kinesis stream 作为来源。

向 Amazon Data Firehose 传输流发布日志所需的权限

要了解 Kinesis Data Firehose 配置所需的权限,请参阅 使用 Amazon Kinesis Data Firehose 控制访问

您必须具有以下权限才能成功启用 Amazon Data Firehose 传输流的网页 ACL 日志记录。

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

有关服务相关角色以及 iam:CreateServiceLinkedRole 权限的信息,请参阅将服务相关角色用于 Amazon WAF