Envío de registros de tráfico del paquete de protección (ACL web) a un flujo de entrega de Amazon Data Firehose - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield
Directrices de configuraciónPermisos para el registro de

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Envío de registros de tráfico del paquete de protección (ACL web) a un flujo de entrega de Amazon Data Firehose

Esta sección proporciona información para enviar los registros de tráfico del paquete de protección (ACL web) a un flujo de entrega de Amazon Data Firehose.

nota

Se le cobrará por el registro además de los cargos por su uso de AWS WAF. Para obtener más información, consulte Precios para registrar la información de tráfico del paquete de protección (ACL web).

Para enviar registros a Amazon Data Firehose, debe enviar los registros desde su paquete de protección (ACL web) a un flujo de entrega de Amazon Data Firehose que configura en Firehose. Después de habilitar el registro, AWS WAF envía los registros a su destino de almacenamiento a través del punto de conexión HTTPS de Firehose.

Un registro de AWS WAF equivale a un registro de Firehose. Si suele recibir 10 000 solicitudes por segundo y habilita registros completos, debería tener una configuración de 10 000 registros por segundo en Firehose. Si no configura Firehose correctamente, AWS WAF no recopilará todos los registros. Para obtener más información, consulte Amazon Kinesis Data Firehose quotas.

Para obtener información acerca de cómo crear un flujo de entrega de Amazon Data Firehose y revisar los registros almacenados, consulte ¿Qué es Amazon Data Firehose?

Para obtener más información sobre cómo crear su flujo de entrega, consulte Creating an Amazon Data Firehose delivery stream.

Configuración de un flujo de entrega de Amazon Data Firehose para su paquete de protección (ACL web)

Configure un flujo de entrega de Amazon Data Firehose para su paquete de protección (ACL web) de la siguiente forma.

  • Créelo con la misma cuenta que usa para administrar el paquete de protección (ACL web).

  • Créelo en la misma región que el paquete de protección (ACL web). Si está capturando registros para Amazon CloudFront, cree la firehose de seguridad en la región Este de EE. UU. (Norte de Virginia), us-east-1.

  • Asigne a Data Firehose un nombre que comience con el prefijo aws-waf-logs-. Por ejemplo, aws-waf-logs-us-east-2-analytics.

  • Configúrela para la colocación directa, lo que permite a las aplicaciones acceder directamente al flujo de envío. En la consola de Amazon Data Firehose, para la configuración del Origen del flujo de entrega, elija PUT directo y otros orígenes. A través de la API, defina la propiedad DeliveryStreamType de flujo de envío en DirectPut.

    nota

    No utilice Kinesis stream como origen.

Permisos necesarios para publicar registros en un flujo de entrega de Amazon Data Firehose

Para conocer los permisos necesarios para la configuración de Kinesis Data Firehose, consulte Controlling Access with Amazon Kinesis Data Firehose.

Debe tener los siguientes permisos para habilitar correctamente el registro del paquete de protección (ACL web) con un flujo de entrega de Amazon Data Firehose.

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

Para obtener información acerca de los roles vinculados a servicios y el permiso iam:CreateServiceLinkedRole, consulte Cómo utilizar roles vinculados a servicios de AWS WAF.