**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Sicherheit bei der Nutzung des AWS WAF Dienstes
<a name="security"></a>

In diesem Abschnitt wird erklärt, wie das Modell der gemeinsamen Verantwortung gilt für AWS WAF.

Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.

**Anmerkung**  
Dieser Abschnitt enthält AWS Standard-Sicherheitsrichtlinien für die Nutzung des AWS WAF Dienstes und seiner AWS Ressourcen, wie AWS WAF Schutzpakete (Web ACLs) und Regelgruppen.   
Informationen zum Schutz Ihrer AWS Ressourcen mithilfe von Cookies AWS WAF finden Sie im Rest des AWS WAF Handbuchs. 

Sicherheit ist eine gemeinsame Verantwortung zwischen Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, auf der AWS Dienste in der ausgeführt AWS Cloud werden. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Die Wirksamkeit unserer Sicherheitsfunktionen wird regelmäßig von externen Prüfern im Rahmen des [AWS -Compliance-Programms getestet und überprüft](https://aws.amazon.com/compliance/programs/). Weitere Informationen zu den Compliance-Programmen, die für gelten AWS WAF, finden Sie unter [AWS Services in Umfang nach Compliance-Programmen](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. In Ihre Verantwortung fallen außerdem weitere Faktoren, wie z. B. die Vertraulichkeit der Daten, die Anforderungen Ihrer Organisation sowie geltende Gesetze und Vorschriften. 

Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Nutzung anwenden können AWS WAF. In den folgenden Themen erfahren Sie, wie Sie die Konfiguration vornehmen AWS WAF , um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS Dienste nutzen können, die Sie bei der Überwachung und Sicherung Ihrer AWS WAF Ressourcen unterstützen. 

**Topics**
+ [Schutz Ihrer Daten in AWS WAF](data-protection.md)
+ [Verwenden von IAM mit AWS WAF](security-iam.md)
+ [Einloggen und Überwachen AWS WAF](waf-incident-response.md)
+ [Überprüfung der Einhaltung von AWS WAF](waf-compliance.md)
+ [Stärkung der Widerstandsfähigkeit in AWS WAF](disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in AWS WAF](infrastructure-security.md)

# Schutz Ihrer Daten in AWS WAF
<a name="data-protection"></a>

Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) und geteilter Verantwortung gilt für den Datenschutz in AWS WAF. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.

Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit der Konsole, der AWS WAF API oder auf andere AWS-Services Weise arbeiten oder diese verwenden. AWS CLI AWS SDKs Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.

AWS WAF Entitäten — wie Schutzpakete (Web ACLs), Regelgruppen und IP-Sets — werden im Ruhezustand verschlüsselt, außer in bestimmten Regionen, in denen Verschlüsselung nicht verfügbar ist, darunter China (Peking) und China (Ningxia). Eindeutige Verschlüsselungsschlüssel werden für jede Region verwendet. 

## Ressourcen werden gelöscht AWS WAF
<a name="deleting-resources"></a>

Sie können die Ressourcen löschen, die Sie in AWS WAF erstellen. In den folgenden Abschnitten finden Sie Anleitungen für die verschiedenen Ressourcentypen.
+ [Löschen eines Schutzpakets (Web-ACL)](web-acl-deleting.md)
+ [Löschen einer Regelgruppe](waf-rule-group-deleting.md)
+ [Löschen eines IP-Sets](waf-ip-set-managing.md#waf-ip-set-deleting)
+ [Löschen eines Regex-Mustersatzes](waf-regex-pattern-set-managing.md#waf-regex-pattern-set-deleting)

# Verwenden von IAM mit AWS WAF
<a name="security-iam"></a>

In diesem Abschnitt wird erklärt, wie Sie IAM mit verwenden. AWS WAF



AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Ressourcen zu verwenden. AWS WAF IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.

**Topics**
+ [Zielgruppe](#security_iam_audience)
+ [Authentifizierung mit Identitäten](#security_iam_authentication)
+ [Verwalten des Zugriffs mit Richtlinien](#security_iam_access-manage)
+ [Wie AWS WAF funktioniert mit IAM](security_iam_service-with-iam.md)
+ [Beispiele für identitätsbasierte Richtlinien für AWS WAF](security_iam_id-based-policy-examples.md)
+ [AWS verwaltete Richtlinien für AWS WAF](security-iam-awsmanpol.md)
+ [Problembehandlung bei AWS WAF Identität und Zugriff](security_iam_troubleshoot.md)
+ [Verwenden von serviceverknüpften Rollen für AWS WAF](using-service-linked-roles.md)

## Zielgruppe
<a name="security_iam_audience"></a>

Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Problembehandlung bei AWS WAF Identität und Zugriff](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [Wie AWS WAF funktioniert mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien für AWS WAF](security_iam_id-based-policy-examples.md)).

## Authentifizierung mit Identitäten
<a name="security_iam_authentication"></a>

Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos

Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.

 AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.

### AWS-Konto Root-Benutzer
<a name="security_iam_authentication-rootuser"></a>

 Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*. 

### Verbundidentität
<a name="security_iam_authentication-federated"></a>

Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.

Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.

Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

### IAM-Benutzer und -Gruppen
<a name="security_iam_authentication-iamuser"></a>

Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.

Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.

### IAM-Rollen
<a name="security_iam_authentication-iamrole"></a>

Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.

IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.

## Verwalten des Zugriffs mit Richtlinien
<a name="security_iam_access-manage"></a>

Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.

Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.

Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.

### Identitätsbasierte Richtlinien
<a name="security_iam_access-manage-id-based-policies"></a>

Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.

Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.

### Ressourcenbasierte Richtlinien
<a name="security_iam_access-manage-resource-based-policies"></a>

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).

Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.

### Weitere Richtlinientypen
<a name="security_iam_access-manage-other-policies"></a>

AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.

### Mehrere Richtlinientypen
<a name="security_iam_access-manage-multiple-policies"></a>

Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.

# Wie AWS WAF funktioniert mit IAM
<a name="security_iam_service-with-iam"></a>

In diesem Abschnitt wird erklärt, wie Sie die Funktionen von IAM mit verwenden. AWS WAF

Bevor Sie IAM verwenden, um den Zugriff auf zu verwalten AWS WAF, sollten Sie sich darüber informieren, mit welchen IAM-Funktionen Sie arbeiten können. AWS WAF






**IAM-Funktionen, die Sie mit verwenden können AWS WAF**  

| IAM-Feature | AWS WAF Unterstützung | 
| --- | --- | 
|  [Identitätsbasierte Richtlinien](#security_iam_service-with-iam-id-based-policies)  |   Ja  | 
|  [Ressourcenbasierte Richtlinien](#security_iam_service-with-iam-resource-based-policies)  |   Ja  | 
|  [Richtlinienaktionen](#security_iam_service-with-iam-id-based-policies-actions)  |   Ja  | 
|  [Richtlinienressourcen](#security_iam_service-with-iam-id-based-policies-resources)  |   Ja  | 
|  [Richtlinienbedingungsschlüssel (servicespezifisch)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Ja  | 
|  [ACLs](#security_iam_service-with-iam-acls)  |   Nein   | 
|  [ABAC (Tags in Richtlinien)](#security_iam_service-with-iam-tags)  |   Teilweise  | 
|  [Temporäre Anmeldeinformationen](#security_iam_service-with-iam-roles-tempcreds)  |   Ja  | 
|  [Forward Access Sessions (FAS)](#security_iam_service-with-iam-principal-permissions)  |   Ja  | 
|  [Servicerollen](#security_iam_service-with-iam-roles-service)  |   Ja  | 
|  [Service-verknüpfte Rollen](#security_iam_service-with-iam-roles-service-linked)  |   Ja  | 

Einen allgemeinen Überblick darüber, wie AWS WAF und andere AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).

## Identitätsbasierte Richtlinien für AWS WAF
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Unterstützt Richtlinien auf Identitätsbasis:** Ja

Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.

Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.

Beispiele für AWS WAF identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS WAF](security_iam_id-based-policy-examples.md)

## Ressourcenbasierte Richtlinien finden Sie in AWS WAF
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Unterstützt ressourcenbasierte Richtlinien:** Ja

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services

Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.

AWS WAF verwendet ressourcenbasierte Richtlinien, um die gemeinsame Nutzung von Regelgruppen zwischen Konten zu unterstützen. Sie teilen eine Regelgruppe, die Sie besitzen, mit einem anderen AWS Konto, indem Sie die ressourcenbasierten Richtlinieneinstellungen für den AWS WAF API-Aufruf `PutPermissionPolicy` oder einen entsprechenden CLI- oder SDK-Aufruf bereitstellen. Weitere Informationen, einschließlich Beispielen und Links zur Dokumentation für die anderen verfügbaren Sprachen, finden Sie [PutPermissionPolicy](https://docs.aws.amazon.com/waf/latest/APIReference/API_PutPermissionPolicy.html)in der AWS WAF API-Referenz. Diese Funktionalität ist nicht auf andere Weise verfügbar, z. B. über die Konsole oder CloudFormation. 

## Politische Maßnahmen für AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Unterstützt Richtlinienaktionen:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.



Eine Liste der AWS WAF Aktionen und Berechtigungen für die einzelnen Aktionen finden Sie unter [Von AWS WAF V2 definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) in der *Serviceautorisierungsreferenz*.

Bei Richtlinienaktionen wird vor der Aktion das folgende Präfix AWS WAF verwendet:

```
wafv2
```

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:

```
"Action": [
      "wafv2:action1",
      "wafv2:action2"
         ]
```



Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Um beispielsweise alle Aktionen anzugeben, die mit beginnen AWS WAF `List`, schließen Sie die folgende Aktion ein:

```
"Action": "wafv2:List*"
```

Beispiele für AWS WAF identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS WAF](security_iam_id-based-policy-examples.md)

### Aktionen, für die zusätzliche Berechtigungseinstellungen erforderlich sind
<a name="security_iam_action-additions"></a>

Für einige Aktionen sind Berechtigungen erforderlich, die im Abschnitt [Von AWS WAF V2 definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) in der *Service Authorization Reference* nicht vollständig beschrieben werden können. Dieser Abschnitt enthält zusätzliche Informationen zu Berechtigungen.

**Topics**
+ [Berechtigungen für `AssociateWebACL`](#security_iam_action-AssociateWebACL)
+ [Berechtigungen für `DisassociateWebACL`](#security_iam_action-DisassociateWebACL)
+ [Berechtigungen für `GetWebACLForResource`](#security_iam_action-GetWebACLForResource)
+ [Berechtigungen für `ListResourcesForWebACL`](#security_iam_action-ListResourcesForWebACL)

#### Berechtigungen für `AssociateWebACL`
<a name="security_iam_action-AssociateWebACL"></a>

In diesem Abschnitt sind die Berechtigungen aufgeführt, die erforderlich sind, um einer Ressource mithilfe der AWS WAF Aktion ein Protection Pack (Web-ACL) zuzuordnen`AssociateWebACL`. 

Verwenden Sie für CloudFront Amazon-Verteilungen anstelle dieser Aktion die CloudFront Aktion`UpdateDistribution`. Weitere Informationen finden Sie [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)in der *Amazon CloudFront API-Referenz*. 

**Amazon API Gateway API-Gateway-REST-API**  
Erfordert die Erlaubnis, API Gateway für `SetWebACL` den REST-API-Ressourcentyp AWS WAF `AssociateWebACL` aufzurufen und ein Protection Pack (Web-ACL) aufzurufen. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apigateway:SetWebACL"
    ],
    "Resource": [
        "arn:aws:apigateway:*::/restapis/*/stages/*"
    ]
}
```

**Application Load Balancer**  
Erfordert die Berechtigung, `elasticloadbalancing:SetWebACL` Aktionen für den Application Load Balancer Balancer-Ressourcentyp AWS WAF `AssociateWebACL` aufzurufen und ein Schutzpaket (Web-ACL) aufzurufen. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "elasticloadbalancing:SetWebACL"
    ],
    "Resource": [
        "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*"
    ]
}
```

**AWS AppSync GraphQL-API**  
Erfordert die Erlaubnis, AWS AppSync `SetWebACL` den GraphQL-API-Ressourcentyp und ein Protection Pack (Web-ACL) aufzurufen AWS WAF `AssociateWebACL`. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "appsync:SetWebACL"
    ],
    "Resource": [
        "arn:aws:appsync:*:account-id:apis/*"
    ]
}
```

**Amazon-Cognito-Benutzerpool**  
Erfordert die Erlaubnis, die Amazon Cognito `AssociateWebACL` Cognito-Aktion für den Ressourcentyp des Benutzerpools AWS WAF `AssociateWebACL` aufzurufen und ein Schutzpaket (Web-ACL) aufzurufen. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner Dienst**  
Erfordert die Erlaubnis, die App `AssociateWebACL` Runner-Aktion für den App Runner-Dienstressourcentyp aufzurufen und eine Web-ACL AWS WAF `AssociateWebACL` aufzurufen. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:AssociateWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Verifizierte Access-Instanz**  
Erfordert die Erlaubnis, die `ec2:AssociateVerifiedAccessInstanceWebAcl` Aktion für den Ressourcentyp „Verified Access“ aufzurufen und eine Web-ACL AWS WAF `AssociateWebACL` aufzurufen. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:AssociateVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Berechtigungen für `DisassociateWebACL`
<a name="security_iam_action-DisassociateWebACL"></a>

In diesem Abschnitt sind die Berechtigungen aufgeführt, die erforderlich sind, um mithilfe der AWS WAF Aktion `DisassociateWebACL` die Zuordnung eines Protection Packs (Web-ACL) zu einer Ressource zu trennen. 

Verwenden Sie für CloudFront Amazon-Distributionen anstelle dieser Aktion die CloudFront Aktion `UpdateDistribution` mit einer leeren Protection Pack (Web ACL) -ID. Weitere Informationen finden Sie [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)in der *Amazon CloudFront API-Referenz*. 

**Amazon API Gateway API-Gateway-REST-API**  
Erfordert die Erlaubnis, API Gateway für `SetWebACL` den REST-API-Ressourcentyp aufzurufen. Erfordert keine Anruferlaubnis AWS WAF `DisassociateWebACL`.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "apigateway:SetWebACL"
    ],
    "Resource": [
        "arn:aws:apigateway:*::/restapis/*/stages/*"
    ]
}
```

**Application Load Balancer**  
Erfordert die Erlaubnis, die `elasticloadbalancing:SetWebACL` Aktion für den Application Load Balancer Balancer-Ressourcentyp aufzurufen. Erfordert keine AWS WAF `DisassociateWebACL` Anruferlaubnis.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "elasticloadbalancing:SetWebACL"
    ],
    "Resource": [
        "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*"
    ]
}
```

**AWS AppSync GraphQL-API**  
Erfordert die Erlaubnis, AWS AppSync `SetWebACL` den GraphQL-API-Ressourcentyp aufzurufen. Erfordert keine Erlaubnis zum Aufrufen. AWS WAF `DisassociateWebACL`

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "appsync:SetWebACL"
    ],
    "Resource": [
        "arn:aws:appsync:*:account-id:apis/*"
    ]
}
```

**Amazon-Cognito-Benutzerpool**  
Erfordert die Erlaubnis, die Amazon Cognito `DisassociateWebACL` Cognito-Aktion für den Ressourcentyp des Benutzerpools aufzurufen und aufzurufen AWS WAF `DisassociateWebACL`. 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:DisassociateWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner Dienst**  
Erfordert die Erlaubnis, die App `DisassociateWebACL` Runner-Aktion für den App Runner-Dienstressourcentyp aufzurufen und aufzurufen AWS WAF `DisassociateWebACL`. 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:DisassociateWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Verifizierte Access-Instanz**  
Erfordert die Erlaubnis, die `ec2:DisassociateVerifiedAccessInstanceWebAcl` Aktion für den Ressourcentyp „Verified Access“ aufzurufen und aufzurufen AWS WAF `DisassociateWebACL`. 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:DisassociateVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Berechtigungen für `GetWebACLForResource`
<a name="security_iam_action-GetWebACLForResource"></a>

In diesem Abschnitt sind die Berechtigungen aufgeführt, die erforderlich sind, um mithilfe der AWS WAF Aktion das Schutzpaket (Web-ACL) für eine geschützte Ressource abzurufen`GetWebACLForResource`. 

Verwenden Sie für CloudFront Amazon-Verteilungen anstelle dieser Aktion die CloudFront Aktion`GetDistributionConfig`. Weitere Informationen finden Sie [GetDistributionConfig](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_GetDistributionConfig.html)in der *Amazon CloudFront API-Referenz*. 

**Anmerkung**  
`GetWebACLForResource`benötigt die Erlaubnis zum Aufrufen`GetWebACL`. Wird in diesem Zusammenhang `GetWebACL` nur AWS WAF verwendet, um zu überprüfen, ob Ihr Konto über die erforderlichen Berechtigungen für den Zugriff auf das `GetWebACLForResource` zurückgesendete Schutzpaket (Web-ACL) verfügt. Wenn Sie anrufen`GetWebACLForResource`, wird möglicherweise eine Fehlermeldung angezeigt, die darauf hinweist, dass Ihr Konto nicht autorisiert ist, `wafv2:GetWebACL` auf der Ressource zu arbeiten. AWS WAF fügt diese Art von Fehler nicht zum AWS CloudTrail Ereignisverlauf hinzu. 

**Amazon API Gateway, REST-API, Application Load Balancer und AWS AppSync GraphQL-API**  
Erfordert die Erlaubnis zum Aufrufen AWS WAF `GetWebACLForResource` und `GetWebACL` Abrufen eines Schutzpakets (Web-ACL). 

```
{
    "Sid": "GetWebACLForResource",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
}
```

**Amazon-Cognito-Benutzerpool**  
Erfordert die Erlaubnis, die Amazon Cognito `GetWebACLForResource` Cognito-Aktion für den Ressourcentyp des Benutzerpools aufzurufen und und aufzurufen AWS WAF `GetWebACLForResource`. `GetWebACL` 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [ 
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:GetWebACLForResource"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner Dienst**  
Erfordert die Erlaubnis, die App `DescribeWebAclForService` Runner-Aktion für den App Runner-Dienstressourcentyp aufzurufen und AWS WAF `GetWebACLForResource` und aufzurufen`GetWebACL`. 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "apprunner:DescribeWebAclForService"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Verifizierte Access-Instanz**  
Erfordert die Erlaubnis, die `ec2:GetVerifiedAccessInstanceWebAcl` Aktion für den Ressourcentyp „Verified Access“ aufzurufen und AWS WAF `GetWebACLForResource` und aufzurufen`GetWebACL`. 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "ec2:GetVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Berechtigungen für `ListResourcesForWebACL`
<a name="security_iam_action-ListResourcesForWebACL"></a>

In diesem Abschnitt sind die Berechtigungen aufgeführt, die erforderlich sind, um die Liste der geschützten Ressourcen für ein Protection Pack (Web-ACL) mithilfe der AWS WAF Aktion abzurufen`ListResourcesForWebACL`. 

Verwenden Sie für CloudFront Amazon-Verteilungen anstelle dieser Aktion die CloudFront Aktion`ListDistributionsByWebACLId`. Weitere Informationen finden Sie [ListDistributionsByWebACLId](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListDistributionsByWebACLId.html)in der *Amazon CloudFront API-Referenz*. 

**Amazon API Gateway, REST-API, Application Load Balancer und AWS AppSync GraphQL-API**  
Erfordern Sie die Erlaubnis, eine AWS WAF `ListResourcesForWebACL` Web-ACL aufzurufen. 

```
{
    "Sid": "ListResourcesForWebACL",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
}
```

**Amazon-Cognito-Benutzerpool**  
Erfordert die Erlaubnis, die Amazon Cognito `ListResourcesForWebACL` Cognito-Aktion für den Ressourcentyp des Benutzerpools aufzurufen und aufzurufen AWS WAF `ListResourcesForWebACL`. 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner Dienst**  
Erfordert die Erlaubnis, die App `ListAssociatedServicesForWebAcl` Runner-Aktion für den App Runner-Dienstressourcentyp aufzurufen und aufzurufen AWS WAF `ListResourcesForWebACL`. 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:ListAssociatedServicesForWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Verifizierte Access-Instanz**  
Erfordert die Erlaubnis, die `ec2:DescribeVerifiedAccessInstanceWebAclAssociations` Aktion für den Ressourcentyp „Verified Access“ aufzurufen und aufzurufen AWS WAF `ListResourcesForWebACL`. 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:DescribeVerifiedAccessInstanceWebAclAssociations"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

## Politische Ressourcen für AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Unterstützt Richtlinienressourcen:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

```
"Resource": "*"
```

Eine Liste der AWS WAF Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Von AWS WAF V2 definierte Ressourcen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen zu den Aktionen, mit denen Sie den ARN jeder Ressource angeben können, finden Sie unter [Von AWS WAF V2 definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions). Um den Zugriff auf eine Teilmenge von AWS WAF Ressourcen zu erlauben oder zu verweigern, nehmen Sie den ARN der Ressource in das `resource` Element Ihrer Richtlinie auf.

Die ARNs AWS WAF `wafv2` Ressourcen haben das folgende Format:

```
arn:partition:wafv2:region:account-id:scope/resource-type/resource-name/resource-id
```

Allgemeine Informationen zu ARN-Spezifikationen finden Sie unter [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) in der Allgemeine Amazon Web Services-Referenz. 

Im Folgenden sind die Anforderungen aufgeführt, die für die ARNs einzelnen `wafv2` Ressourcen spezifisch sind: 
+ *region*: Für AWS WAF Ressourcen, die Sie zum Schutz von CloudFront Amazon-Distributionen verwenden, setzen Sie diesen Wert auf`us-east-1`. Andernfalls legen Sie hier die Region fest, die Sie mit Ihren geschützten regionalen Ressourcen verwenden. 
+ *scope*: Legen Sie den Geltungsbereich auf `global` für die Verwendung mit einer CloudFront Amazon-Distribution oder `regional` für die Verwendung mit einer der regionalen Ressourcen fest, die dies AWS WAF unterstützen. Bei den regionalen Ressourcen handelt es sich um eine Amazon API Gateway Gateway-REST-API, einen Application Load Balancer, eine AWS AppSync GraphQL-API, einen Amazon Cognito Cognito-Benutzerpool, einen AWS App Runner Service und eine AWS Verified Access-Instance. 
+ *resource-type*: Geben Sie einen der folgenden Werte an:`webacl`,, `rulegroup``ipset`, `regexpatternset` oder. `managedruleset`
+ *resource-name*: Geben Sie den Namen an, den Sie der AWS WAF Ressource gegeben haben, oder geben Sie einen Platzhalter (`*`) an, um alle Ressourcen anzugeben, die die anderen Spezifikationen im ARN erfüllen. Sie müssen entweder den Ressourcennamen und die Ressourcen-ID oder einen Platzhalter für beide angeben. 
+ *resource-id*: Geben Sie die ID der AWS WAF Ressource an, oder geben Sie einen Platzhalter (`*`) an, um alle Ressourcen anzugeben, die die anderen Spezifikationen im ARN erfüllen. Sie müssen entweder den Ressourcennamen und die Ressourcen-ID oder für beide einen Platzhalter angeben.

Der folgende ARN spezifiziert beispielsweise alle Schutzpakete (Web ACLs) mit regionalem Geltungsbereich für das Konto `111122223333` in Region`us-west-1`:

```
arn:aws:wafv2:us-west-1:111122223333:regional/webacl/*/*
```

Der folgende ARN gibt die Regelgruppe `MyIPManagementRuleGroup` mit dem globalen Geltungsbereich für das Konto `111122223333` in Region an`us-east-1`:

```
arn:aws:wafv2:us-east-1:111122223333:global/rulegroup/MyIPManagementRuleGroup/1111aaaa-bbbb-cccc-dddd-example-id
```

Beispiele für AWS WAF identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS WAF](security_iam_id-based-policy-examples.md)

## Bedingungsschlüssel für Richtlinien für AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.

 AWS WAF Unterstützt außerdem die folgenden Bedingungsschlüssel, mit denen Sie Ihre IAM-Richtlinien detailliert filtern können:
+ **wafv2: LogDestinationResource**

  Dieser Bedingungsschlüssel verwendet eine Amazon Resource Name (ARN) -Spezifikation für das Protokollierungsziel. Dies ist der ARN, den Sie für das Protokollierungsziel angeben, wenn Sie den REST-API-Aufruf verwenden`PutLoggingConfiguration`. 

  Sie können explizit einen ARN angeben und Sie können die Filterung für den ARN angeben. Das folgende Beispiel spezifiziert die Filterung nach Amazon S3 S3-Buckets ARNs , die einen bestimmten Standort und ein bestimmtes Präfix haben. 

  ```
  "Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-suffix/custom-prefix/*" } }
  ```
+ **wafv2: LogScope**

  Dieser Bedingungsschlüssel definiert die Quelle der Protokollierungskonfiguration in einer Zeichenfolge. Derzeit ist dies immer auf den Standardwert von gesetzt`Customer`, was darauf hinweist, dass das Protokollierungsziel Ihnen gehört und von Ihnen verwaltet wird. 

Eine Liste der AWS WAF Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-policy-keys) in der *Service Authorization Reference*. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Von AWS WAF V2 definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions).

Beispiele für AWS WAF identitätsbasierte Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS WAF](security_iam_id-based-policy-examples.md)

## ACLs in AWS WAF
<a name="security_iam_service-with-iam-acls"></a>

**Unterstützt ACLs:** Nein 

Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.

## ABAC mit AWS WAF
<a name="security_iam_service-with-iam-tags"></a>

**Unterstützt ABAC (Tags in Richtlinien):** Teilweise

Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.

Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.

Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.

*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.

## Verwenden temporärer Anmeldeinformationen mit AWS WAF
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Unterstützt temporäre Anmeldeinformationen:** Ja

Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.

## Zugriffssitzungen für den Service weiterleiten AWS WAF
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Unterstützt Forward Access Sessions (FAS):** Ja

 Forward-Access-Sitzungen (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, in Kombination mit der Anforderung, Anfragen AWS-Service an nachgelagerte Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Servicerollen für AWS WAF
<a name="security_iam_service-with-iam-roles-service"></a>

**Unterstützt Servicerollen:** Ja

 Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*. 

**Warnung**  
Das Ändern der Berechtigungen für eine Servicerolle kann zu AWS WAF Funktionseinschränkungen führen. Bearbeiten Sie Servicerollen nur, AWS WAF wenn Sie dazu eine Anleitung erhalten.

## Dienstbezogene Rollen für AWS WAF
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Unterstützt serviceverknüpfte Rollen:** Ja

 Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten. 

Einzelheiten zum Erstellen oder Verwalten von AWS WAF dienstbezogenen Rollen finden Sie unter. [Verwenden von serviceverknüpften Rollen für AWS WAF](using-service-linked-roles.md)

# Beispiele für identitätsbasierte Richtlinien für AWS WAF
<a name="security_iam_id-based-policy-examples"></a>

Dieser Abschnitt enthält Beispiele für identitätsbasierte Richtlinien für. AWS WAF

Benutzer und Rollen haben standardmäßig nicht die Berechtigung, AWS WAF -Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.

Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.

Einzelheiten zu Aktionen und Ressourcentypen, die von definiert wurden AWS WAF, einschließlich des Formats von ARNs für jeden der Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html) in der *Service Authorization Reference*.

**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Verwenden der Konsole AWS WAF](#security_iam_id-based-policy-examples-console)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Gewähren Sie schreibgeschützten Zugriff auf, und AWS WAF CloudFront CloudWatch](#security_iam_id-based-policy-examples-read-only1)
+ [Gewähren Sie vollen Zugriff auf AWS WAF CloudFront, und CloudWatch](#security_iam_id-based-policy-examples-full-access1)
+ [Gewähren Sie Zugriff auf ein einzelnes AWS-Konto](#security_iam_id-based-policy-examples-access-to-account)
+ [Gewähren Sie Zugriff auf ein einzelnes Schutzpaket (Web-ACL)](#security_iam_id-based-policy-examples-access-to-web-acl)
+ [Erteilen Sie CLI-Zugriff auf ein Schutzpaket (Web-ACL) und eine Regelgruppe](#security_iam_id-based-policy-examples-cli-access-to-web-acl)

## Best Practices für Richtlinien
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Identitätsbasierte Richtlinien legen fest, ob jemand AWS WAF Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.

Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.

## Verwenden der Konsole AWS WAF
<a name="security_iam_id-based-policy-examples-console"></a>

Um auf die AWS WAF Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den AWS WAF Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.

Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.

Um sicherzustellen, dass Benutzer und Rollen die AWS WAF Konsole verwenden können, fügen Sie den Entitäten außerdem mindestens die AWS WAF `AWSWAFConsoleReadOnlyAccess` AWS verwaltete Richtlinie hinzu. Informationen zu dieser verwalteten Richtlinie finden Sie unter[AWS verwaltete Richtlinie: AWSWAFConsole ReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSWAFConsoleReadOnlyAccess). Weitere Informationen zum Anhängen einer verwalteten Richtlinie an einen Benutzer finden Sie unter [Hinzufügen von Berechtigungen für einen Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.

## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API oder. AWS CLI AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Gewähren Sie schreibgeschützten Zugriff auf, und AWS WAF CloudFront CloudWatch
<a name="security_iam_id-based-policy-examples-read-only1"></a>

Die folgende Richtlinie gewährt Benutzern nur Lesezugriff auf AWS WAF Ressourcen, CloudFront Amazon-Webverteilungen und Amazon-Metriken. CloudWatch Es ist nützlich für Benutzer, die die Erlaubnis benötigen, die Einstellungen in AWS WAF Bedingungen, Regeln und Schutzpaketen (Web ACLs) einzusehen, um zu sehen, welche Distribution mit einem Schutzpaket (Web-ACL) verknüpft ist, und um Metriken und eine Stichprobe von Anfragen in zu überwachen. CloudWatch Diese Benutzer können AWS WAF -Ressourcen nicht erstellen, aktualisieren oder löschen.

```
 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "wafv2:Get*",
                "wafv2:List*",
                "cloudfront:GetDistribution",
                "cloudfront:GetDistributionConfig",
                "cloudfront:ListDistributions",
                "cloudfront:ListDistributionsByWebACLId",
                "cloudfront:ListDistributionTenantsByCustomization",
                "cloudfront:ListDistributionTenants",
                "cloudfront:GetDistributionTenant",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricStatistics",
                "ec2:DescribeRegions",
                "pricingplanmanager:GetSubscription",
                "pricingplanmanager:ListSubscriptions",
                "route53:ListHostedZones",
                "route53:GetHostedZone"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

## Gewähren Sie vollen Zugriff auf AWS WAF CloudFront, und CloudWatch
<a name="security_iam_id-based-policy-examples-full-access1"></a>

Mit der folgenden Richtlinie können Benutzer jeden beliebigen AWS WAF Vorgang und jeden beliebigen Vorgang auf CloudFront Webverteilungen ausführen sowie Messwerte und eine Stichprobe von Anfragen in CloudWatch überwachen. Sie ist nützlich für Benutzer, die AWS WAF Administratoren sind.

```
 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "wafv2:*",
                "cloudfront:CreateDistribution",
                "cloudfront:ListDistributions",
                "cloudfront:ListDistributionsByWebACLId",
                "cloudfront:UpdateDistribution",
                "cloudfront:GetDistributionConfig",
                "cloudfront:GetDistribution",
                "cloudfront:DisassociateDistributionTenantWebACL",
                "cloudfront:DisassociateDistributionWebACL",
                "cloudfront:AssociateDistributionTenantWebACL",
                "cloudfront:AssociateDistributionWebACL",
                "cloudfront:ListDistributionTenantsByCustomization",
                "cloudfront:ListDistributionTenants",
                "cloudfront:DeleteDistribution",
                "cloudfront:GetDistributionTenant",
                "cloudfront:DeleteDistributionTenant",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricStatistics",
                "ec2:DescribeRegions",
                "pricingplanmanager:GetSubscription",
                "pricingplanmanager:ListSubscriptions",
                "pricingplanmanager:UpdateSubscription",
                "pricingplanmanager:CancelSubscription",
                "pricingplanmanager:CancelSubscriptionChange",
                "pricingplanmanager:AssociateResourcesToSubscription",
                "pricingplanmanager:DisassociateResourcesFromSubscription",
                "route53:ListHostedZones",
                "route53:GetHostedZone"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

Es wird dringend empfohlen, dass Sie die Multi-Factor Authentication (MFA, Multifaktor-Authentifizierung) für Benutzer mit Administrator-Berechtigungen konfigurieren. Weitere Informationen finden Sie unter [Using Multi-Factor Authentication (MFA) -Geräte mit AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingMFA.html) im *IAM-Benutzerhandbuch*. 

## Gewähren Sie Zugriff auf ein einzelnes AWS-Konto
<a name="security_iam_id-based-policy-examples-access-to-account"></a>

Diese Richtlinie erteilt die folgenden Berechtigungen für das Konto 444455556666:
+ Voller Zugriff auf alle AWS WAF Abläufe und Ressourcen.
+ Lese- und Aktualisierungszugriff auf alle CloudFront Distributionen, sodass Sie Schutzpakete (Web ACLs) und CloudFront Distributionen zuordnen können.
+ Lesezugriff auf alle CloudWatch Metriken und Metrikstatistiken, sodass Sie CloudWatch Daten und eine Stichprobe von Anfragen in der AWS WAF Konsole einsehen können. 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "wafv2:*"
         ],
         "Resource": [
            "arn:aws:wafv2:us-east-1:444455556666:*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "cloudfront:GetDistribution",
            "cloudfront:GetDistributionConfig",
            "cloudfront:ListDistributions",
            "cloudfront:ListDistributionsByWebACLId",
            "cloudfront:UpdateDistribution",
            "cloudwatch:ListMetrics",
            "cloudwatch:GetMetricStatistics",
            "ec2:DescribeRegions"
         ],
         "Resource": [
            "*"
         ]
      }
   ]
}
```

------

## Gewähren Sie Zugriff auf ein einzelnes Schutzpaket (Web-ACL)
<a name="security_iam_id-based-policy-examples-access-to-web-acl"></a>

Mit der folgenden Richtlinie können Benutzer jeden beliebigen AWS WAF Vorgang über die Konsole mit einem bestimmten Schutzpaket (Web-ACL) im Konto ausführen`444455556666`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wafv2:*"
            ],
            "Resource": [
                "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example"
            ]
        },
        {
            "Sid": "consoleAccess",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs",
                "ec2:DescribeRegions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

## Erteilen Sie CLI-Zugriff auf ein Schutzpaket (Web-ACL) und eine Regelgruppe
<a name="security_iam_id-based-policy-examples-cli-access-to-web-acl"></a>

Mit der folgenden Richtlinie können Benutzer alle AWS WAF Vorgänge über die CLI für ein bestimmtes Schutzpaket (Web-ACL) und eine bestimmte Regelgruppe im Konto ausführen`444455556666`.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "wafv2:*"
         ],
         "Resource": [
        "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example",
        "arn:aws:wafv2:us-east-1:444455556666:regional/rulegroup/test123rulegroup/555555555-6666-1234-abcd-00d11example"
         ]
      }
   ]
}
```

------

Mit der folgenden Richtlinie können Benutzer jeden beliebigen AWS WAF Vorgang über die Konsole mit einem bestimmten Schutzpaket (Web-ACL) im Konto ausführen`444455556666`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wafv2:*"
            ],
            "Resource": [
                "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example"
            ]
        },
        {
            "Sid": "consoleAccess",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs",
                "ec2:DescribeRegions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

# AWS verwaltete Richtlinien für AWS WAF
<a name="security-iam-awsmanpol"></a>

In diesem Abschnitt wird erklärt, wie AWS verwaltete Richtlinien für verwendet AWS WAF werden.

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.

## AWS verwaltete Richtlinie: AWSWAFRead OnlyAccess
<a name="security-iam-awsmanpol-AWSWAFReadOnlyAccess"></a>

Diese Richtlinie gewährt nur Leseberechtigungen, mit denen Benutzer auf AWS WAF Ressourcen und Ressourcen für integrierte Dienste wie Amazon, Amazon API Gateway CloudFront, Application Load Balancer, Amazon Cognito, AWS AppSync,, Amazon und AWS App Runner Verified Access zugreifen können. AWS Amplify CloudWatch AWS Sie können diese Richtlinie an Ihre IAM-Identitäten anhängen. AWS WAF ordnet diese Richtlinie auch einer Servicerolle zu, mit der Sie Aktionen AWS WAF in Ihrem Namen ausführen können.

Einzelheiten zu dieser Richtlinie finden Sie unter [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)In der IAM-Konsole.

## AWS verwaltete Richtlinie: Zugriff AWSWAFFull
<a name="security-iam-awsmanpol-AWSWAFFullAccess"></a>

Diese Richtlinie gewährt vollen Zugriff auf AWS WAF Ressourcen und Ressourcen für integrierte Dienste wie Amazon, Amazon API Gateway CloudFront, Application Load Balancer, AWS AppSync Amazon Cognito,, AWS App Runner AWS Amplify CloudWatch, Amazon und AWS Verified Access. Sie können diese Richtlinie an Ihre IAM-Identitäten anhängen. AWS WAF ordnet diese Richtlinie auch einer Servicerolle zu, mit der Sie Aktionen AWS WAF in Ihrem Namen ausführen können.

Einzelheiten zu dieser Richtlinie finden Sie unter [AWSWAFFullZugriff](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary) in der IAM-Konsole.

## AWS verwaltete Richtlinie: AWSWAFConsole ReadOnlyAccess
<a name="security-iam-awsmanpol-AWSWAFConsoleReadOnlyAccess"></a>

Diese Richtlinie gewährt der AWS WAF Konsole, die Ressourcen für AWS WAF und für integrierte Dienste wie Amazon, Amazon API Gateway, Application Load Balancer CloudFront, Amazon Cognito,, Amazon und AWS AppSync Verified Access umfasst AWS App Runner AWS Amplify, nur Leseberechtigungen. CloudWatch AWS Sie können diese Richtlinie an Ihre IAM-Identitäten anhängen.

Einzelheiten zu dieser Richtlinie finden Sie unter [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary)In der IAM-Konsole.

## AWS verwaltete Richtlinie: AWSWAFConsole FullAccess
<a name="security-iam-awsmanpol-AWSWAFConsoleFullAccess"></a>

Diese Richtlinie gewährt vollen Zugriff auf die AWS WAF Konsole, die Ressourcen für AWS WAF und für integrierte Dienste wie Amazon, Amazon API Gateway CloudFront, Application Load Balancer, Amazon Cognito AWS AppSync,, AWS App Runner AWS Amplify CloudWatch, Amazon und AWS Verified Access umfasst. Sie können diese Richtlinie an Ihre IAM-Identitäten anhängen. AWS WAF ordnet diese Richtlinie auch einer Servicerolle zu, mit der Sie Aktionen AWS WAF in Ihrem Namen ausführen können.

Einzelheiten zu dieser Richtlinie finden Sie unter [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary)In der IAM-Konsole.

## AWS verwaltete Richtlinie: WAFV2 LoggingServiceRolePolicy
<a name="security-iam-awsmanpol-WAFV2LoggingServiceRolePolicy"></a>

Diese Richtlinie ermöglicht AWS WAF das Schreiben von Protokollen in Amazon Data Firehose. Diese Richtlinie wird nur verwendet, wenn Sie die Anmeldung aktivieren. AWS WAF Diese Richtlinie ist mit der `AWSServiceRoleForWAFV2Logging` dienstverknüpften Rolle verbunden. Weitere Informationen zur serviceverknüpften Rolle finden Sie unter [Verwenden von serviceverknüpften Rollen für AWS WAF](using-service-linked-roles.md). 

Einzelheiten zu dieser Richtlinie finden Sie unter [WAFV2LoggingServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/WAFV2LoggingServiceRolePolicy$serviceLevelSummary)In der IAM-Konsole.

## AWS WAF Aktualisierungen der AWS verwalteten Richtlinien
<a name="security-iam-awsmanpol-updates"></a>



Hier finden Sie Informationen zu Aktualisierungen der AWS verwalteten Richtlinien AWS WAF seit Beginn der Nachverfolgung dieser Änderungen durch diesen Dienst. Wenn Sie automatische Benachrichtigungen über Änderungen an dieser Seite erhalten möchten, abonnieren Sie den RSS-Feed auf der Seite mit dem AWS WAF Dokumentenverlauf unter[Dokumentverlauf](doc-history.md).




| Richtlinie | Beschreibung der Änderung | Date | 
| --- | --- | --- | 
|  `AWSWAFConsoleFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Die folgenden Berechtigungen für CloudFront Preispläne wurden hinzugefügt. Weitere Einzelheiten finden Sie unter [Verwendung AWS WAF mit CloudFront Pauschalpreisen](cloudfront-features.md#waf-cf-pricing-plans) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-11-18  | 
|  `AWSWAFConsoleReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Die folgenden Berechtigungen für CloudFront Preispläne wurden hinzugefügt. Weitere Einzelheiten finden Sie unter [Verwendung AWS WAF mit CloudFront Pauschalpreisen](cloudfront-features.md#waf-cf-pricing-plans) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-11-18 | 
|  `AWSWAFConsoleReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Die folgenden Berechtigungen wurden aktualisiert:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) Die folgenden Berechtigungen wurden hinzugefügt:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-11-03 | 
|  `AWSWAFConsoleFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Die folgenden Berechtigungen wurden aktualisiert:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) Die folgenden Berechtigungen wurden hinzugefügt:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-11-03 | 
| `AWSWAFFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Einzelheiten in der IAM-Konsole: [AWSWAFFullZugriff](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Die Berechtigungen AssociateWeb ACL, ACL, GetWeb ACLFor Resource und DisassociateWeb ListResourcesForWeb ACL, für AWS Amplify die erforderlich sind, wurden hinzugefügt.  | 2025-05-05 | 
| `AWSWAFReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Einzelheiten zu dieser Richtlinie finden Sie unter [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)In der IAM-Konsole. |  Die erforderlichen Berechtigungen GetWeb ACLFor Resource und ListResourcesForWeb ACL wurden hinzugefügt. AWS Amplify  | 2025-05-05 | 
|  `AWSWAFConsoleReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Die folgenden Berechtigungen wurden hinzugefügt:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-05-05 | 
|  `AWSWAFConsoleFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Die folgenden Berechtigungen wurden hinzugefügt:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-05-05 | 
| `WAFV2LoggingServiceRolePolicy` Diese Richtlinie ermöglicht AWS WAF das Schreiben von Protokollen in Amazon Data Firehose. Sie wird nur verwendet, wenn Sie die Protokollierung aktivieren.  Details in der IAM-Konsole: [WAFV2LoggingServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/WAFV2LoggingServiceRolePolicy$serviceLevelSummary). |  Statement IDs (Sids) wurde zu den Berechtigungseinstellungen in der dienstbezogenen Rolle hinzugefügt, mit der diese Richtlinie verknüpft ist.   | 2024-06-03 | 
| `AWSServiceRoleForWAFV2Logging` Diese dienstbezogene Rolle stellt Berechtigungsrichtlinien bereit, die das Schreiben von Protokollen in Amazon Data Firehose ermöglichen AWS WAF .  [Einzelheiten in der IAM-Konsole: Protokollierung. AWSService RoleFor WAFV2](https://console.aws.amazon.com/iam/home#/roles/details/AWSServiceRoleForWAFV2Logging) |  Statement IDs (Sids) wurde zu den Berechtigungseinstellungen hinzugefügt.   | 2024-06-03 | 
|  AWS WAF Ergänzungen zur Änderungsnachverfolgung  |  AWS WAF hat mit der Nachverfolgung von Änderungen für die verwaltete Richtlinie `WAFV2LoggingServiceRolePolicy` und die dienstbezogene Rolle `AWSServiceRoleForWAFV2Logging` begonnen.   | 2024-06-03 | 
| `AWSWAFFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Einzelheiten in der IAM-Konsole: [AWSWAFFullZugriff](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Erweiterte Berechtigungen zum Hinzufügen von Instanzen mit AWS verifiziertem Zugriff zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 2023-06-17 | 
| `AWSWAFReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zum Hinzufügen von Instanzen mit AWS verifiziertem Zugriff zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 2023-06-17 | 
|  `AWSWAFConsoleFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zum Hinzufügen von Instanzen mit AWS verifiziertem Zugriff zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 2023-06-17 | 
|  `AWSWAFConsoleReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zum Hinzufügen von Instanzen mit AWS verifiziertem Zugriff zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 2023-06-17 | 
| `AWSWAFFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Einzelheiten in der IAM-Konsole: [AWSWAFFullZugriff](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Erweiterte Berechtigungen zur Korrektur der Zugriffseinstellungen für AWS App Runner Dienste.  | 2023-06-06 | 
| `AWSWAFReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in und in AWS WAF integrierten Diensten. Details in der IAM-Konsole: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zur Korrektur der Zugriffseinstellungen für AWS App Runner Dienste.  | 2023-06-06 | 
|  `AWSWAFConsoleFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in und in AWS WAF integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zur Korrektur der Zugriffseinstellungen für AWS App Runner Dienste.  | 2023-06-06 | 
|  `AWSWAFConsoleReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in und in AWS WAF integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zur Korrektur der Zugriffseinstellungen für AWS App Runner Dienste.  | 2023-06-06 | 
| `AWSWAFFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in und in AWS WAF integrierten Diensten. Einzelheiten in der IAM-Konsole: [AWSWAFFullZugriff](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Erweiterte Berechtigungen zum Hinzufügen von AWS App Runner Diensten zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 2023-03-30 | 
| `AWSWAFReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zum Hinzufügen von AWS App Runner Diensten zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 2023-03-30 | 
|  `AWSWAFConsoleFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zum Hinzufügen von AWS App Runner Diensten zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 2023-03-30 | 
|  `AWSWAFConsoleReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zum Hinzufügen von AWS App Runner Diensten zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 2023-03-30 | 
| `AWSWAFFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Einzelheiten in der IAM-Konsole: [AWSWAFFullZugriff](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Erweiterte Berechtigungen zum Hinzufügen von Amazon Cognito Cognito-Benutzerpools zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 25.08.2022 | 
| `AWSWAFReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zum Hinzufügen von Amazon Cognito Cognito-Benutzerpools zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 25.08.2022 | 
|  `AWSWAFConsoleFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zum Hinzufügen von Amazon Cognito Cognito-Benutzerpools zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 25.08.2022 | 
|  `AWSWAFConsoleReadOnlyAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Erweiterte Berechtigungen zum Hinzufügen von Amazon Cognito Cognito-Benutzerpools zu den Ressourcentypen, mit AWS WAF denen Sie sich schützen können.  | 25.08.2022 | 
| `AWSWAFFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Einzelheiten in der IAM-Konsole: [AWSWAFFullZugriff](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary).  |  Die Berechtigungseinstellungen für die Protokollzustellung für Amazon Simple Storage Service (Amazon S3) und Amazon CloudWatch Logs wurden korrigiert. Diese Änderung behebt Zugriffsverweigerungsfehler, die während der Protokollierungskonfiguration auftraten. Informationen zur Protokollierung Ihres Protection Pack-Datenverkehrs (Web-ACL) finden Sie unter[Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).  | 11.01.2022 | 
|  `AWSWAFConsoleFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Die Berechtigungseinstellungen für die Protokollzustellung für Amazon Simple Storage Service (Amazon S3) und Amazon CloudWatch Logs wurden korrigiert. Diese Änderung behebt Zugriffsfehler, die während der Protokollierungskonfiguration aufgetreten sind. Informationen zur Protokollierung Ihres Protection Pack-Datenverkehrs (Web-ACL) finden Sie unter[Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).  | 11.01.2022 | 
|  `AWSWAFFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Einzelheiten in der IAM-Konsole: [AWSWAFFullZugriff](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary).  |  Neue Berechtigungen für erweiterte Protokollierungsoptionen wurden hinzugefügt. Diese Änderung ermöglicht den AWS WAF Zugriff auf die zusätzlichen Protokollierungsziele Amazon Simple Storage Service (Amazon S3) und Amazon CloudWatch Logs. Informationen zur Protokollierung Ihres Protection Pack-Datenverkehrs (Web-ACL) finden Sie unter[Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).  | 2021-11-15 | 
|  `AWSWAFConsoleFullAccess` Diese Richtlinie ermöglicht AWS WAF die Verwaltung von AWS Konsolenressourcen und anderen AWS Ressourcen in Ihrem Namen in AWS WAF und in integrierten Diensten. Details in der IAM-Konsole: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Neue Berechtigungen für erweiterte Protokollierungsoptionen wurden hinzugefügt. Diese Änderung ermöglicht den AWS WAF Zugriff auf die zusätzlichen Protokollierungsziele Amazon Simple Storage Service (Amazon S3) und Amazon CloudWatch Logs. Informationen zur Protokollierung Ihres Protection Pack-Datenverkehrs (Web-ACL) finden Sie unter[Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).  | 2021-11-15 | 
|  AWS WAF hat begonnen, Änderungen zu verfolgen  |  AWS WAF hat begonnen, Änderungen für die AWS verwalteten Richtlinien zu verfolgen.  | 2021-3-01 | 

# Problembehandlung bei AWS WAF Identität und Zugriff
<a name="security_iam_troubleshoot"></a>

Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit AWS WAF und IAM auftreten können.

**Topics**
+ [Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS WAF](#security_iam_troubleshoot-no-permissions)
+ [Ich bin nicht berechtigt, iam auszuführen: PassRole](#security_iam_troubleshoot-passrole)
+ [Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine AWS WAF Ressourcen ermöglichen](#security_iam_troubleshoot-cross-account-access)

## Ich bin nicht berechtigt, eine Aktion durchzuführen in AWS WAF
<a name="security_iam_troubleshoot-no-permissions"></a>

Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.

Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `wafv2:GetWidget`-Berechtigungen verfügt.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: wafv2:GetWidget on resource: my-example-widget
```

In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `wafv2:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.

Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.

## Ich bin nicht berechtigt, iam auszuführen: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Wenn Sie die Fehlermeldung erhalten, dass Sie nicht zum Durchführen der `iam:PassRole`-Aktion autorisiert sind, müssen Ihre Richtlinien aktualisiert werden, um eine Rolle an AWS WAFübergeben zu können.

Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.

Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in AWS WAF auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.

Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.

## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine AWS WAF Ressourcen ermöglichen
<a name="security_iam_troubleshoot-cross-account-access"></a>

Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.

Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob diese Funktionen AWS WAF unterstützt werden, finden Sie unter. [Wie AWS WAF funktioniert mit IAM](security_iam_service-with-iam.md)
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.

# Verwenden von serviceverknüpften Rollen für AWS WAF
<a name="using-service-linked-roles"></a>

In diesem Abschnitt wird erklärt, wie Sie dienstbezogene Rollen verwenden, um AWS WAF Zugriff auf Ressourcen in Ihrem AWS Konto zu gewähren.

AWS WAF verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS WAF Mit Diensten verknüpfte Rollen sind vordefiniert AWS WAF und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen. 

Eine dienstbezogene Rolle AWS WAF erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS WAF definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS WAF kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann an keine andere IAM-Entität angefügt werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dadurch werden Ihre AWS WAF Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.

Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

## Mit dem Dienst verknüpfte Rollenberechtigungen für AWS WAF
<a name="slr-permissions"></a>

AWS WAF verwendet die serviceverknüpfte Rolle`AWSServiceRoleForWAFV2Logging`, um Protokolle in Amazon Data Firehose zu schreiben. Diese Rolle wird nur verwendet, wenn Sie die Anmeldung aktivieren. AWS WAF Weitere Informationen zur Protokollierung finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).

Diese dienstbezogene Rolle ist der AWS verwalteten Richtlinie `WAFV2LoggingServiceRolePolicy` zugeordnet. Für weitere Informationen über die verwaltete Richtlinie siehe [AWS verwaltete Richtlinie: WAFV2 LoggingServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-WAFV2LoggingServiceRolePolicy).

Die serviceverknüpfte Rolle `AWSServiceRoleForWAFV2Logging` vertraut dem Service `wafv2.amazonaws.com`, sodass dieser die Rolle annehmen kann. 

Die Berechtigungsrichtlinien der Rolle ermöglichen es AWS WAF , die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ Amazon Data Firehose-Aktionen: `PutRecord` und `PutRecordBatch` auf Firehose-Datenstream-Ressourcen mit einem Namen, der mit beginnt. `aws-waf-logs-` Beispiel, `aws-waf-logs-us-east-2-analytics`.
+ AWS Organizations Aktion: `DescribeOrganization` zu den Ressourcen von Organizations, Organisationen. 

[Die vollständige dienstbezogene Rolle finden Sie in der IAM-Konsole: AWSService RoleFor WAFV2 Protokollierung.](https://console.aws.amazon.com/iam/home#/roles/details/AWSServiceRoleForWAFV2Logging)

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.

## Eine serviceverknüpfte Rolle erstellen für AWS WAF
<a name="create-slr"></a>

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie die AWS WAF AWS-Managementkonsole Anmeldung am aktivieren oder eine `PutLoggingConfiguration` Anfrage in der AWS WAF CLI oder der AWS WAF API stellen, AWS WAF wird die serviceverknüpfte Rolle für Sie erstellt. 

Sie müssen über die `iam:CreateServiceLinkedRole`-Berechtigung verfügen, um die Protokollierung zu aktivieren.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie die AWS WAF Protokollierung aktivieren, AWS WAF wird die dienstbezogene Rolle erneut für Sie erstellt. 

## Bearbeitung einer serviceverknüpften Rolle für AWS WAF
<a name="edit-slr"></a>

AWS WAF erlaubt es Ihnen nicht, die `AWSServiceRoleForWAFV2Logging` dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.

## Löschen einer serviceverknüpften Rolle für AWS WAF
<a name="delete-slr"></a>

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

**Anmerkung**  
Wenn der AWS WAF Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

**Um AWS WAF Ressourcen zu löschen, die verwendet werden von `AWSServiceRoleForWAFV2Logging`**

1. Entfernen Sie auf der AWS WAF Konsole die Protokollierung aus jeder Web-ACL. Weitere Informationen finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).

1. Senden Sie über die API oder CLI eine `DeleteLoggingConfiguration`-Anforderung für jede Web-ACL, für die die Protokollierung aktiviert ist. Weitere Informationen finden Sie unter [AWS WAF -API-Referenz](https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html).

**So löschen Sie die serviceverknüpfte Rolle mit IAM**

Sie können die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden, um die `AWSServiceRoleForWAFV2Logging`-serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.

## Unterstützte Regionen für AWS WAF serviceverknüpfte Rollen
<a name="slr-regions"></a>

AWS WAF unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [AWS WAF -Endpunkte und -Kontingente](https://docs.aws.amazon.com/general/latest/gr/waf.html).

# Einloggen und Überwachen AWS WAF
<a name="waf-incident-response"></a>

In diesem Abschnitt wird erläutert, wie Sie AWS Tools zur Überwachung und Reaktion auf Ereignisse in verwenden AWS WAF.

Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit AWS WAF und Leistung Ihrer AWS Lösungen. Sie sollten Überwachungsdaten aus allen Teilen Ihrer AWS Lösung sammeln, damit Sie einen etwaigen Ausfall an mehreren Stellen leichter debuggen können. AWS bietet mehrere Tools zur Überwachung Ihrer AWS WAF Ressourcen und zur Reaktion auf potenzielle Ereignisse:

** CloudWatch Amazon-Alarme**  
Mithilfe von CloudWatch Alarmen beobachten Sie eine einzelne Metrik über einen von Ihnen festgelegten Zeitraum. Wenn die Metrik einen bestimmten Schwellenwert überschreitet, CloudWatch sendet eine Benachrichtigung an ein Amazon SNS SNS-Thema oder eine AWS Auto Scaling Richtlinie. Weitere Informationen finden Sie unter [Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md).

**AWS CloudTrail protokolliert**  
CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS Dienst in ausgeführt wurden AWS WAF. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, an die die Anfrage gestellt wurde AWS WAF, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Informationen ermitteln. Weitere Informationen finden Sie unter [Protokollierung von AWS CloudTrail-API-Aufrufen mit](logging-using-cloudtrail.md). 

**AWS WAF Protokollierung des Datenverkehrs durch das Protection Pack (Web-ACL)**  
AWS WAF bietet die Protokollierung des Datenverkehrs, den Ihre Protection Packs (Web ACLs) analysieren. Die Protokolle enthalten Informationen wie den Zeitpunkt, zu dem die Anfrage von Ihrer geschützten AWS Ressource AWS WAF empfangen wurde, detaillierte Informationen zu der Anfrage und die Aktionseinstellung für die Regel, der die Anfrage entsprach. Weitere Informationen finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md). 

# Überprüfung der Einhaltung von AWS WAF
<a name="waf-compliance"></a>

In diesem Abschnitt wird Ihre Verantwortung für die Einhaltung der Vorschriften bei der Verwendung von erläutert AWS WAF.

Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .

Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).

Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).

# Stärkung der Widerstandsfähigkeit in AWS WAF
<a name="disaster-recovery-resiliency"></a>

In diesem Abschnitt wird erklärt, wie die AWS Architektur Datenredundanz für unterstützt. AWS WAF

Die AWS globale Infrastruktur basiert auf AWS-Regionen Availability Zones. AWS-Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Availability Zones ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser hoch verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren. 

Weitere Informationen zu Availability Zones AWS-Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.

# Infrastruktursicherheit in AWS WAF
<a name="infrastructure-security"></a>

In diesem Abschnitt wird erklärt, wie der AWS WAF Dienstverkehr isoliert wird.

Als verwalteter Dienst AWS WAF ist er durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.

Sie verwenden AWS veröffentlichte API-Aufrufe für den Zugriff AWS WAF über das Netzwerk. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.