翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS WAF Classic のサービスにリンクされたロールの使用

AWS WAF Classic は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、AWS WAF Classic に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、AWS WAF Classic によって事前定義されており、お客様の代わりにサービスから他の AWS のサービスを呼び出す必要のある許可がすべて含まれています。

サービスにリンクされたロールを使用することで、必要な許可を手動で追加する必要がなくなるため、AWS WAF Classic の設定が簡単になります。AWS WAFClassic は、サービスにリンクされたロールの許可を定義します。特に定義されている場合を除き、AWS WAF Classic のみがそのロールを引き受けることができます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールを削除するには、まずそのロールの関連リソースを削除します。これにより、リソースへの意図しないアクセスによる許可の削除が防止され、AWS WAF Classic リソースは保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」を参照して、[Service-Linked Role] (サービスにリンクされたロール)列で [Yes] (はい) のあるサービスを探してください。そのサービスに関するサービスにリンクされたロールのドキュメントを表示するには、リンクが設定されている [Yes] (はい) を選択します。

AWS WAF Classic 向けのサービスにリンクされたロール許可

AWS WAF Classic では、次のサービスにリンクされたロールを使用します。

AWS WAF Classic では、これらのサービスにリンクされたロールを使用して、Amazon Data Firehose にログを書き込みます。これらのロールは、AWS WAF でログインを有効にしている場合にのみ使用されます。詳細については、「ウェブ ACL トラフィック情報のログ記録」を参照してください。

AWSServiceRoleForWAFLogging および AWSServiceRoleForWAFRegionalLogging のサービスにリンクされたロールは、ロールを引き受ける上でそれぞれに対応する次のサービスを信頼します。

ロールの許可ポリシーは、指定したリソースに対して次のアクションを実行することを AWS WAF Classic に許可します。

サービスにリンクされたロールの作成、編集、削除をIAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの許可」を参照してください。

AWS WAF Classic 向けのサービスにリンクされたロールの作成

サービスにリンクされたロールを手動で作成する必要はありません。AWS Management Console で AWS WAF Classic ログ作成を有効にする、または AWS WAF Classic CLI または AWS WAF Classic API で PutLoggingConfiguration リクエストを作成する場合、AWS WAF Classic は自動的にサービスにリンクされたロールを作成します。

ログ記録を有効化するためには、iam:CreateServiceLinkedRole 許可が必要です。

このサービスにリンクされたロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。AWS WAF Classic ログ作成を有効にすると、AWS WAF Classic により、サービスにリンクされたロールが再度作成されます。

AWS WAF Classic 向けのサービスにリンクされたロールの編集

AWS WAF Classic では、AWSServiceRoleForWAFLogging および AWSServiceRoleForWAFRegionalLogging のサービスにリンクされたロールの編集をユーザーに許可しません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

AWS WAF Classic 向けのサービスにリンクされたロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。

IAM を使用して、サービスにリンクされたロールを手動で削除するには

AWSServiceRoleForWAFLogging および AWSServiceRoleForWAFRegionalLogging サービスにリンクされたロールを削除するには、IAM コンソール、IAM CLI、または IAM API を使用します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

AWS WAF Classic サービスにリンクされたロールをサポートするリージョン

AWS WAF Classic は、次の AWS リージョン で、サービスにリンクされたロールの使用をサポートしています。