Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di ruoli collegati ai servizi per AWS WAF
Questa sezione spiega come utilizzare i ruoli collegati ai servizi per fornire AWS WAF accesso alle risorse del tuo AWS conto.
AWS WAF utilizza AWS Identity and Access Management (IAM) ruoli collegati ai servizi. Un ruolo collegato al servizio è un tipo di IAM ruolo unico collegato direttamente a AWS WAF. I ruoli collegati ai servizi sono predefiniti da AWS WAF e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.
Un ruolo collegato al servizio consente la configurazione AWS WAF più semplice perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS WAF definisce le autorizzazioni dei relativi ruoli collegati ai servizi e, se non diversamente definito, solo AWS WAF può assumere i propri ruoli. Le autorizzazioni definite includono policy di attendibilità e di autorizzazioni. Tale politica di autorizzazioni non può essere associata a nessun'altra IAM entità.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. Questo protegge il tuo AWS WAF risorse perché non è possibile rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, vedi AWS Servizi compatibili IAM e cerca i servizi con Sì nella colonna Service-Linked Role. Scegli Sì in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
Autorizzazioni del ruolo collegato ai servizi per AWS WAF
AWS WAF utilizza il ruolo collegato al servizio AWSServiceRoleForWAFV2Logging per scrivere log su Amazon Data Firehose. Questo ruolo viene utilizzato solo se abiliti l'accesso AWS WAF. Per informazioni sulla registrazione, vedereRegistrazione AWS WAF ACLtraffico web.
Questo ruolo collegato al servizio è associato a AWS politica gestita. WAFV2LoggingServiceRolePolicy Per ulteriori informazioni sulla policy gestita, consulta AWS politica gestita: WAFV2LoggingServiceRolePolicy.
Ai fini dell'assunzione del ruolo AWSServiceRoleForWAFV2Logging, il ruolo collegato ai servizi wafv2.amazonaws.com.rproxy.goskope.comconsidera attendibile il servizio.
Le politiche di autorizzazione del ruolo lo consentono AWS WAF di completare le seguenti azioni sulle risorse specificate:
-
Azioni di Amazon Data Firehose:
PutRecorde sulle risorse del flusso di datiPutRecordBatchFirehose con un nome che inizia con.aws-waf-logs-Ad esempioaws-waf-logs-us-east-2-analytics. -
AWS Organizations azione:
DescribeOrganizationsulle risorse delle organizzazioni di Organizations.
Visualizza il ruolo completo collegato ai servizi nella IAM console:. AWSServiceRoleForWAFV2Logging
È necessario configurare le autorizzazioni per consentire a un'IAMentità (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. Per ulteriori informazioni, consulta la sezione Autorizzazioni relative ai ruoli collegati ai servizi nella Guida per l'utente. IAM
Creazione di un ruolo collegato ai servizi per AWS WAF
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando abiliti AWS WAF accedendo al AWS Management Console, oppure si effettua una PutLoggingConfiguration richiesta nel AWS WAF CLIo il AWS WAF API, AWS WAF crea per te il ruolo collegato al servizio.
È necessario disporre dell'autorizzazione iam:CreateServiceLinkedRole per attivare la registrazione.
Se elimini questo ruolo collegato ai servizi, puoi ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando abiliti AWS WAF registrazione, AWS WAF crea nuovamente il ruolo collegato al servizio per te.
Modifica di un ruolo collegato ai servizi per AWS WAF
AWS WAF non consente di modificare il ruolo collegato al AWSServiceRoleForWAFV2Logging servizio. Dopo aver creato un ruolo collegato al servizio, non puoi modificarne il nome, perché potrebbero farvi riferimento diverse entità. Tuttavia, puoi modificare la descrizione del ruolo utilizzando. IAM Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'IAMutente.
Eliminazione di un ruolo collegato ai servizi per AWS WAF
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
Nota
Se il file AWS WAF il servizio utilizza il ruolo quando si tenta di eliminare le risorse, quindi l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.
Per eliminare AWS WAF risorse utilizzate da AWSServiceRoleForWAFV2Logging
-
Sul AWS WAF console, rimuovi la registrazione da ogni webACL. Per ulteriori informazioni, consulta Registrazione AWS WAF ACLtraffico web.
-
Utilizzando API oCLI, invia una
DeleteLoggingConfigurationrichiesta per ogni Web con ACL la registrazione abilitata. Per ulteriori informazioni, consulta AWS WAF APIRiferimento.
Per eliminare manualmente il ruolo collegato al servizio utilizzando IAM
Usa la IAM console IAMCLI, o il IAM API per eliminare il ruolo collegato al AWSServiceRoleForWAFV2Logging servizio. Per ulteriori informazioni, vedere Eliminazione di un ruolo collegato al servizio nella Guida per l'utente. IAM
Regioni supportate per AWS WAF ruoli collegati al servizio
AWS WAF supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta AWS WAF endpoint e quote.
