Verwenden von serviceverknüpften Rollen für Classic AWS WAF - AWS WAFAWS Firewall Manager, und AWS Shield Advanced
Berechtigungen für dienstverknüpfte Rollen für Classic AWS WAFEine dienstverknüpfte Rolle für Classic erstellen AWS WAFBearbeitung einer serviceverknüpften Rolle für Classic AWS WAFLöschen einer dienstverknüpften Rolle für Classic AWS WAFUnterstützte Regionen für AWS WAF klassische dienstverknüpfte Rollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für Classic AWS WAF

Warnung

AWS WAF Der klassische Support endet am 30. September 2025.

Anmerkung

Dies ist die AWS WAF Classic-Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unterMigrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF.

Die neueste Version von finden AWS WAF Sie unterAWS WAF.

AWS WAF Classic verwendet AWS Identity and Access Management (IAM) dienstbezogene Rollen. Eine dienstbezogene Rolle ist ein einzigartiger IAM Rollentyp, der direkt mit Classic verknüpft ist. AWS WAF Dienstbezogene Rollen sind von AWS WAF Classic vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine dienstverknüpfte Rolle erleichtert die Einrichtung von AWS WAF Classic, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS WAF Classic definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, kann nur AWS WAF Classic diese Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dadurch werden Ihre AWS WAF Classic-Ressourcen geschützt, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen können.

Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter AWS Dienste, die mit Diensten funktionieren, IAM und suchen Sie in der Spalte „Dienstverknüpfte Rolle“ nach den Diensten, für die „Ja“ steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Berechtigungen für dienstverknüpfte Rollen für Classic AWS WAF

AWS WAF Classic verwendet die folgenden dienstbezogenen Rollen:

  • AWSServiceRoleForWAFLogging

  • AWSServiceRoleForWAFRegionalLogging

AWS WAF Classic verwendet diese serviceverknüpften Rollen, um Protokolle in Amazon Data Firehose zu schreiben. Diese Rollen werden nur verwendet, wenn Sie die Anmeldung aktivieren. AWS WAF Weitere Informationen finden Sie unter Protokollierung von ACL Web-Traffic-Informationen.

Die Rollen AWSServiceRoleForWAFLogging und die mit dem AWSServiceRoleForWAFRegionalLogging Dienst verknüpften Rollen vertrauen darauf, dass die folgenden Dienste (jeweils) die Rolle übernehmen:

  • waf.amazonaws.com

    waf-regional.amazonaws.com

Die Berechtigungsrichtlinien der Rollen ermöglichen es AWS WAF Classic, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:

  • Aktion: firehose:PutRecord und firehose:PutRecordBatch auf Amazon Data Firehose Datenstream-Ressourcen mit einem Namen, der mit "aws-waf-logs-“ beginnt. Beispiel, aws-waf-logs-us-east-2-analytics.

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Berechtigungen für dienstverknüpfte Rollen im IAMBenutzerhandbuch.

Eine dienstverknüpfte Rolle für Classic erstellen AWS WAF

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie die AWS WAF AWS Management Console klassische Anmeldung am aktivieren oder eine PutLoggingConfiguration Anfrage im AWS WAF Classic CLI oder Classic stellenAPI, erstellt AWS WAF AWS WAF Classic die serviceverknüpfte Rolle für Sie.

Sie müssen über die iam:CreateServiceLinkedRole-Berechtigung verfügen, um die Protokollierung zu aktivieren.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie die AWS WAF klassische Protokollierung aktivieren, erstellt AWS WAF Classic die serviceverknüpfte Rolle erneut für Sie.

Bearbeitung einer serviceverknüpften Rolle für Classic AWS WAF

AWS WAF In Classic können Sie die Rollen AWSServiceRoleForWAFLogging und die AWSServiceRoleForWAFRegionalLogging dienstbezogenen Rollen nicht bearbeiten. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können die Beschreibung der Rolle jedoch mithilfe IAM von bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer dienstbezogenen Rolle im IAMBenutzerhandbuch.

Löschen einer dienstverknüpften Rolle für Classic AWS WAF

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Anmerkung

Wenn der AWS WAF Classic-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

Um AWS WAF Classic-Ressourcen zu löschen, die von AWSServiceRoleForWAFLogging und verwendet werden AWSServiceRoleForWAFRegionalLogging

  1. Entfernen Sie auf der AWS WAF Classic-Konsole die Protokollierung aus allen WebsitesACL. Weitere Informationen finden Sie unter Protokollierung von ACL Web-Traffic-Informationen.

  2. Senden Sie mit dem API oder CLI eine DeleteLoggingConfiguration Anfrage für jedes WebACL, für das die Protokollierung aktiviert ist. Weitere Informationen finden Sie unter AWS WAF Classic API Reference.

Um die mit dem Service verknüpfte Rolle manuell zu löschen, verwenden Sie IAM

Verwenden Sie die IAM Konsole, die oder IAMCLI, IAM API um die Rollen AWSServiceRoleForWAFLogging und die mit dem AWSServiceRoleForWAFRegionalLogging Dienst verknüpften Rollen zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstverknüpften Rolle.

Unterstützte Regionen für AWS WAF klassische dienstverknüpfte Rollen

AWS WAF Classic unterstützt im Folgenden die Verwendung von serviceverknüpften Rollen. AWS-Regionen

Name der Region Region-ID Support in AWS WAF Classic
USA Ost (Nord-Virginia) us-east-1 Ja
USA Ost (Ohio) us-east-2 Ja
USA West (Nordkalifornien) us-west-1 Ja
USA West (Oregon) us-west-2 Ja
Asien-Pazifik (Mumbai) ap-south-1 Ja
Asien-Pazifik (Osaka) ap-northeast-3 Ja
Asien-Pazifik (Seoul) ap-northeast-2 Ja
Asien-Pazifik (Singapore) ap-southeast-1 Ja
Asien-Pazifik (Sydney) ap-southeast-2 Ja
Asien-Pazifik (Tokyo) ap-northeast-1 Ja
Kanada (Zentral) ca-central-1 Ja
Europa (Frankfurt) eu-central-1 Ja
Europa (Ireland) eu-west-1 Ja
Europa (London) eu-west-2 Ja
Europa (Paris) eu-west-3 Ja
Südamerika (São Paulo) sa-east-1 Ja