Menggunakan peran terkait layanan untuk AWS WAF - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan peran terkait layanan untuk AWS WAF

Bagian ini menjelaskan cara menggunakan peran terkait layanan untuk memberikan AWS WAF akses ke sumber daya di AWS akun.

AWS WAF menggunakan AWS Identity and Access Management (IAM) peran terkait layanan. Peran terkait layanan adalah jenis peran unik yang ditautkan langsung ke IAM AWS WAF. Peran terkait layanan telah ditentukan sebelumnya oleh AWS WAF dan sertakan semua izin yang diperlukan layanan untuk memanggil lainnya AWS layanan atas nama Anda.

Peran terkait layanan membuat pengaturan AWS WAF lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS WAF mendefinisikan izin peran terkait layanannya, dan kecuali ditentukan lain, hanya AWS WAF dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin. Kebijakan izin tersebut tidak dapat dilampirkan ke IAM entitas lain.

Anda dapat menghapus peran terkait layanan hanya setelah terlebih dahulu menghapus sumber daya terkait peran tersebut. Ini melindungi Anda AWS WAF sumber daya karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat AWS Layanan yang Bekerja dengan IAM dan mencari layanan yang memiliki Ya di kolom Peran Tertaut Layanan. Pilih Ya bersama tautan untuk melihat dokumentasi peran tertaut layanan untuk layanan tersebut.

Izin peran terkait layanan untuk AWS WAF

AWS WAF menggunakan peran terkait layanan AWSServiceRoleForWAFV2Logging untuk menulis log ke Amazon Data Firehose. Peran ini hanya digunakan jika Anda mengaktifkan login AWS WAF. Untuk informasi tentang pencatatan, lihatPencatatan log AWS WAF ACLlalu lintas web.

Peran terkait layanan ini melekat pada AWS kebijakan terkelolaWAFV2LoggingServiceRolePolicy. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat AWS kebijakan terkelola: WAFV2LoggingServiceRolePolicy.

Peran terkait layanan AWSServiceRoleForWAFV2Logging memercayai layanan wafv2.amazonaws.com untuk menjalankan peran.

Kebijakan izin peran mengizinkan AWS WAF untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:

  • Tindakan Amazon Data Firehose: PutRecord dan pada sumber daya aliran data PutRecordBatch Firehose dengan nama yang dimulai dengan. aws-waf-logs- Misalnya, aws-waf-logs-us-east-2-analytics.

  • AWS Organizations tindakan: DescribeOrganization pada sumber daya organisasi Organisasi.

Lihat peran lengkap terkait layanan di IAM konsol:. AWSServiceRoleForWAFV2Logging

Anda harus mengonfigurasi izin untuk mengizinkan IAM entitas (seperti pengguna, grup, atau peran) membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat Izin Peran Tertaut Layanan di Panduan Pengguna. IAM

Membuat peran terkait layanan untuk AWS WAF

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda mengaktifkan AWS WAF masuk ke AWS Management Console, atau Anda membuat PutLoggingConfiguration permintaan di AWS WAF CLIatau AWS WAF API, AWS WAF menciptakan peran terkait layanan untuk Anda.

Anda harus memiliki iam:CreateServiceLinkedRole izin untuk mengaktifkan logging.

Jika Anda menghapus peran tertaut layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda mengaktifkan AWS WAF penebangan, AWS WAF menciptakan peran terkait layanan untuk Anda lagi.

Menyunting peran terkait layanan untuk AWS WAF

AWS WAF tidak memungkinkan Anda untuk mengedit peran AWSServiceRoleForWAFV2Logging terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit deskripsi peran menggunakanIAM. Untuk informasi selengkapnya, lihat Mengedit Peran Tertaut Layanan di IAMPanduan Pengguna.

Menghapus peran terkait layanan untuk AWS WAF

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami merekomendasikan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.

catatan

Jika AWS WAF layanan menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

Untuk menghapus AWS WAF sumber daya yang digunakan oleh AWSServiceRoleForWAFV2Logging
  1. Pada AWS WAF konsol, hapus logging dari setiap webACL. Untuk informasi selengkapnya, lihat Pencatatan log AWS WAF ACLlalu lintas web.

  2. Menggunakan API orCLI, kirimkan DeleteLoggingConfiguration permintaan untuk setiap web ACL yang telah mengaktifkan logging. Untuk informasi selengkapnya, silakan lihat AWS WAF APIReferensi.

Untuk menghapus peran terkait layanan secara manual menggunakan IAM

Gunakan IAM konsol, IAMCLI, atau IAM API untuk menghapus peran AWSServiceRoleForWAFV2Logging terkait layanan. Untuk informasi selengkapnya, lihat Menghapus Peran Tertaut Layanan di Panduan Pengguna. IAM

Wilayah yang Didukung untuk AWS WAF peran terkait layanan

AWS WAF mendukung penggunaan peran terkait layanan di semua wilayah tempat layanan tersedia. Untuk informasi selengkapnya, silakan lihat AWS WAF titik akhir dan kuota.