**の新しいコンソールエクスペリエンスの紹介 AWS WAF**
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS WAF サービスの使用におけるセキュリティ
このセクションでは、 責任共有モデルがどのように適用されるかについて説明します AWS WAF。
でのクラウドセキュリティが最優先事項 AWS です。お客様は AWS 、セキュリティを最も重視する組織の要件を満たすように構築されたデータセンターとネットワークアーキテクチャを活用できます。
**注記**
このセクションでは、 AWS WAF 保護パック (ウェブ ACLs) やルールグループなど、 AWS WAF サービスとその AWS リソースの使用に関する標準的な AWS セキュリティガイダンスを提供します。
を使用して AWS リソースを保護する方法については AWS WAF、この AWS WAF ガイドの残りの部分を参照してください。
セキュリティは、 AWS お客様とお客様の間の責任共有です。[責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)では、これをクラウドのセキュリティおよびクラウド内のセキュリティとして説明しています。
+ **クラウドのセキュリティ** – AWS は、 で AWS サービスを実行するインフラストラクチャを保護する責任を担います AWS クラウド。 は、お客様が安全に使用できるサービス AWS も提供します。セキュリティの有効性は、[AWS コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)の一環として、サードパーティーの審査機関によって定期的にテストおよび検証されています。が適用されるコンプライアンスプログラムの詳細については AWS WAF、[AWS 「コンプライアンスプログラムによる対象範囲内のサービス](https://aws.amazon.com/compliance/services-in-scope/)」を参照してください。
+ **クラウドのセキュリティ** – お客様の責任は、使用する AWS サービスによって決まります。また、お客様は、お客様のデータの機密性、組織の要件、および適用可能な法律および規制などの他の要因についても責任を担います。
このドキュメントは、 を使用する際の責任共有モデルの適用方法を理解するのに役立ちます AWS WAF。以下のトピックでは、セキュリティとコンプライアンスの目的を達成する AWS WAF ように を設定する方法を示します。また、 AWS WAF リソースのモニタリングや保護に役立つ他の AWS サービスの使用方法についても説明します。
**Topics**
+ [でのデータの保護 AWS WAF](data-protection.md)
+ [での IAM の使用 AWS WAF](security-iam.md)
+ [でのログ記録とモニタリング AWS WAF](waf-incident-response.md)
+ [でのコンプライアンスの検証 AWS WAF](waf-compliance.md)
+ [でのレジリエンスの構築 AWS WAF](disaster-recovery-resiliency.md)
+ [のインフラストラクチャセキュリティ AWS WAF](infrastructure-security.md)
# でのデータの保護 AWS WAF
責任 AWS [共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)、 でのデータ保護に適用されます AWS WAF。このモデルで説明されているように、 AWS はすべての を実行するグローバルインフラストラクチャを保護する責任があります AWS クラウド。ユーザーは、このインフラストラクチャでホストされるコンテンツに対する管理を維持する責任があります。また、使用する「 AWS のサービス 」のセキュリティ設定と管理タスクもユーザーの責任となります。データプライバシーの詳細については、[データプライバシーに関するよくある質問](https://aws.amazon.com/compliance/data-privacy-faq/)を参照してください。欧州でのデータ保護の詳細については、*AWS セキュリティブログ*に投稿された「[AWS 責任共有モデルおよび GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)」のブログ記事を参照してください。
データ保護の目的で、認証情報を保護し AWS アカウント 、 AWS IAM アイデンティティセンター または AWS Identity and Access Management (IAM) を使用して個々のユーザーを設定することをお勧めします。この方法により、それぞれのジョブを遂行するために必要な権限のみが各ユーザーに付与されます。また、次の方法でデータを保護することもお勧めします:
+ 各アカウントで多要素認証 (MFA) を使用します。
+ SSL/TLS を使用して AWS リソースと通信します。TLS 1.2 は必須ですが、TLS 1.3 を推奨します。
+ で API とユーザーアクティビティのログ記録を設定します AWS CloudTrail。CloudTrail 証跡を使用して AWS アクティビティをキャプチャする方法については、「 *AWS CloudTrail ユーザーガイド*」の[CloudTrail 証跡の使用](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)」を参照してください。
+ AWS 暗号化ソリューションと、 内のすべてのデフォルトのセキュリティコントロールを使用します AWS のサービス。
+ Amazon Macie などの高度な管理されたセキュリティサービスを使用します。これらは、Amazon S3 に保存されている機密データの検出と保護を支援します。
+ コマンドラインインターフェイスまたは API AWS を介して にアクセスするときに FIPS 140-3 検証済み暗号化モジュールが必要な場合は、FIPS エンドポイントを使用します。利用可能な FIPS エンドポイントの詳細については、「[連邦情報処理規格 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)」を参照してください。
お客様の E メールアドレスなどの極秘または機密情報を、タグ、または **[名前]** フィールドなどの自由形式のテキストフィールドに含めないことを強くお勧めします。これは、コンソール AWS WAF 、API、または SDK を使用して AWS CLIまたは他の AWS のサービス を操作する場合も同様です。 AWS SDKs タグ、または名前に使用される自由記述のテキストフィールドに入力したデータは、請求または診断ログに使用される場合があります。外部サーバーに URL を提供する場合、そのサーバーへのリクエストを検証できるように、認証情報を URL に含めないことを強くお勧めします。
AWS WAF 保護パック (ウェブ ACLs)、ルールグループ、IP セットなどの エンティティは、中国 (北京) や中国 (寧夏) など、暗号化が利用できない特定のリージョンを除き、保管時に暗号化されます。リージョンごとに一意の暗号化キーが使用されます。
## AWS WAF リソースの削除
AWS WAFで作成したリソースは削除できます。次のセクションの各リソースタイプのガイダンスを参照してください。
+ [保護パック (ウェブ ACL) の削除](web-acl-deleting.md)
+ [ルールグループの削除](waf-rule-group-deleting.md)
+ [IP セットの削除](waf-ip-set-managing.md#waf-ip-set-deleting)
+ [正規表現パターンセットの削除](waf-regex-pattern-set-managing.md#waf-regex-pattern-set-deleting)
# での IAM の使用 AWS WAF
このセクションでは、 で IAM を使用する方法について説明します AWS WAF。
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を*認証* (サインイン) し、誰に AWS WAF リソースの使用*を許可する* (アクセス許可を付与する) かを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。
**Topics**
+ [オーディエンス](#security_iam_audience)
+ [アイデンティティを使用した認証](#security_iam_authentication)
+ [ポリシーを使用したアクセスの管理](#security_iam_access-manage)
+ [が IAM と AWS WAF 連携する方法](security_iam_service-with-iam.md)
+ [のアイデンティティベースのポリシーの例 AWS WAF](security_iam_id-based-policy-examples.md)
+ [AWS の 管理ポリシー AWS WAF](security-iam-awsmanpol.md)
+ [AWS WAF ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)
+ [のサービスにリンクされたロールの使用 AWS WAF](using-service-linked-roles.md)
## オーディエンス
AWS Identity and Access Management (IAM) の使用方法は、ロールによって異なります。
+ **サービスユーザー** - 機能にアクセスできない場合は、管理者にアクセス許可をリクエストします (「[AWS WAF ID とアクセスのトラブルシューティング](security_iam_troubleshoot.md)」を参照)。
+ **サービス管理者** - ユーザーアクセスを決定し、アクセス許可リクエストを送信します (「[が IAM と AWS WAF 連携する方法](security_iam_service-with-iam.md)」を参照)
+ **IAM 管理者** - アクセスを管理するためのポリシーを作成します (「[のアイデンティティベースのポリシーの例 AWS WAF](security_iam_id-based-policy-examples.md)」を参照)
## アイデンティティを使用した認証
認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
### AWS アカウント ルートユーザー
を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *ルートユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### フェデレーテッドアイデンティティ
ベストプラクティスとして、人間のユーザーが一時的な認証情報 AWS のサービス を使用して にアクセスするには、ID プロバイダーとのフェデレーションを使用する必要があります。
*フェデレーティッド ID* は、エンタープライズディレクトリ、ウェブ ID プロバイダー、または ID ソースからの認証情報 AWS のサービス を使用して Directory Service にアクセスするユーザーです。フェデレーテッドアイデンティティは、一時的な認証情報を提供するロールを引き受けます。
アクセスを一元管理する場合は、 AWS IAM アイデンティティセンターをお勧めします。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[IAM アイデンティティセンターとは](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスすることを人間 AWS のユーザーに要求する](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。[ユーザーから IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、アイデンティティまたはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。
### その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の最大数を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
# が IAM と AWS WAF 連携する方法
このセクションでは、 で IAM の機能を使用する方法について説明します AWS WAF。
IAM を使用して へのアクセスを管理する前に AWS WAF、使用できる IAM 機能を確認してください AWS WAF。
**で使用できる IAM 機能 AWS WAF**
| IAM 機能 | AWS WAF サポート |
| --- | --- |
| [アイデンティティベースのポリシー](#security_iam_service-with-iam-id-based-policies) | あり |
| [リソースベースのポリシー](#security_iam_service-with-iam-resource-based-policies) | はい |
| [ポリシーアクション](#security_iam_service-with-iam-id-based-policies-actions) | あり |
| [ポリシーリソース](#security_iam_service-with-iam-id-based-policies-resources) | はい |
| [ポリシー条件キー (サービス固有)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | はい |
| [ACL](#security_iam_service-with-iam-acls) | なし |
| [ABAC (ポリシー内のタグ)](#security_iam_service-with-iam-tags) | 部分的 |
| [一時認証情報](#security_iam_service-with-iam-roles-tempcreds) | あり |
| [転送アクセスセッション (FAS)](#security_iam_service-with-iam-principal-permissions) | あり |
| [サービスロール](#security_iam_service-with-iam-roles-service) | あり |
| [サービスリンクロール](#security_iam_service-with-iam-roles-service-linked) | はい |
AWS WAF およびその他の AWS のサービスがほとんどの IAM 機能とどのように連携するかの概要については、「IAM *ユーザーガイド*」の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## のアイデンティティベースのポリシー AWS WAF
**アイデンティティベースのポリシーのサポート:** あり
アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
AWS WAF アイデンティティベースのポリシーの例を表示するには、「」を参照してください[のアイデンティティベースのポリシーの例 AWS WAF](security_iam_id-based-policy-examples.md)。
## 内のリソースベースのポリシー AWS WAF
**リソースベースのポリシーのサポート:** あり
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM *ロールの信頼ポリシー*や Amazon S3 *バケットポリシー*があげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーで、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または を含めることができます AWS のサービス。
クロスアカウントアクセスを有効にするには、全体のアカウント、または別のアカウントの IAM エンティティを、リソースベースのポリシーのプリンシパルとして指定します。詳細については、IAM ユーザーガイド**の[IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)を参照してください。
AWS WAF はリソースベースのポリシーを使用して、アカウント間のルールグループの共有をサポートします。リソースベースのポリシー設定を AWS WAF API コールまたは同等の CLI `PutPermissionPolicy`または SDK コールに提供することで、所有するルールグループを別の AWS アカウントと共有します。その他の利用可能な言語の例やドキュメントへのリンクなどの詳細については、 AWS WAF API リファレンスの[PutPermissionPolicy](https://docs.aws.amazon.com/waf/latest/APIReference/API_PutPermissionPolicy.html)」を参照してください。この機能は、コンソールや CloudFormationなどの他の方法では使用できません。
## のポリシーアクション AWS WAF
**ポリシーアクションのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
それぞれの AWS WAF アクションとアクセス許可のリストを確認するには、*「サービス認可リファレンス*」の[AWS WAF V2 で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions)」を参照してください。
のポリシーアクションは、アクションの前に次のプレフィックス AWS WAF を使用します。
```
wafv2
```
単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。
```
"Action": [
"wafv2:action1",
"wafv2:action2"
]
```
ワイルドカード (\$1) を使用すると、複数のアクションを指定することができます。たとえば、 で始 AWS WAF まる のすべてのアクションを指定するには`List`、次のアクションを含めます。
```
"Action": "wafv2:List*"
```
AWS WAF アイデンティティベースのポリシーの例を表示するには、「」を参照してください[のアイデンティティベースのポリシーの例 AWS WAF](security_iam_id-based-policy-examples.md)。
### 追加のアクセス許可設定が必要なアクション
一部のアクションには、*「サービス認可リファレンス*」の[AWS WAF V2 で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions)」で完全に説明できないアクセス許可が必要です。このセクションは、追加のアクセス許可に関する情報を説明します。
**Topics**
+ [`AssociateWebACL` のアクセス権限](#security_iam_action-AssociateWebACL)
+ [`DisassociateWebACL` のアクセス権限](#security_iam_action-DisassociateWebACL)
+ [`GetWebACLForResource` のアクセス権限](#security_iam_action-GetWebACLForResource)
+ [`ListResourcesForWebACL` のアクセス権限](#security_iam_action-ListResourcesForWebACL)
#### `AssociateWebACL` のアクセス権限
このセクションでは、 AWS WAF アクション`AssociateWebACL` を使用してウェブ ACL をリソースに関連付けるために必要なアクセス許可の一覧を示します。
Amazon CloudFront ディストリビューションでは、このアクションの代わりに CloudFront アクション `UpdateDistribution` を使用してください。詳細については、「*Amazon CloudFront API リファレンス*」の「[UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)」を参照してください。
**Amazon API Gateway REST API**
REST API リソースタイプ`SetWebACL`で API Gateway を呼び出し、保護パック (ウェブ ACL) で を呼び AWS WAF `AssociateWebACL`出すアクセス許可が必要です。
```
{
"Sid": "AssociateWebACL1",
"Effect": "Allow",
"Action": [
"wafv2:AssociateWebACL"
],
"Resource": [
"arn:aws:wafv2:region:account-id:regional/webacl/*/*"
]
},
{
"Sid": "AssociateWebACL2",
"Effect": "Allow",
"Action": [
"apigateway:SetWebACL"
],
"Resource": [
"arn:aws:apigateway:*::/restapis/*/stages/*"
]
}
```
**Application Load Balancer**
Application Load Balancer リソースタイプで `elasticloadbalancing:SetWebACL`アクションを呼び出し、保護パック (ウェブ ACL) `AssociateWebACL`で を呼び AWS WAF 出すアクセス許可が必要です。
```
{
"Sid": "AssociateWebACL1",
"Effect": "Allow",
"Action": [
"wafv2:AssociateWebACL"
],
"Resource": [
"arn:aws:wafv2:region:account-id:regional/webacl/*/*"
]
},
{
"Sid": "AssociateWebACL2",
"Effect": "Allow",
"Action": [
"elasticloadbalancing:SetWebACL"
],
"Resource": [
"arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*"
]
}
```
**AWS AppSync GraphQL API**
GraphQL API リソースタイプで を呼び出し AWS AppSync `SetWebACL`、保護パック (ウェブ ACL) で を呼び AWS WAF `AssociateWebACL`出すアクセス許可が必要です。
```
{
"Sid": "AssociateWebACL1",
"Effect": "Allow",
"Action": [
"wafv2:AssociateWebACL"
],
"Resource": [
"arn:aws:wafv2:region:account-id:regional/webacl/*/*"
]
},
{
"Sid": "AssociateWebACL2",
"Effect": "Allow",
"Action": [
"appsync:SetWebACL"
],
"Resource": [
"arn:aws:appsync:*:account-id:apis/*"
]
}
```
**Amazon Cognito ユーザープール**
ユーザープールリソースタイプで Amazon Cognito `AssociateWebACL`アクションを呼び出し、保護パック (ウェブ ACL) で を呼び AWS WAF `AssociateWebACL`出すアクセス許可が必要です。
```
{
"Sid": "AssociateWebACL1",
"Effect": "Allow",
"Action": [
"wafv2:AssociateWebACL"
],
"Resource": [
"arn:aws:wafv2:region:account-id:regional/webacl/*/*"
]
},
{
"Sid": "AssociateWebACL2",
"Effect": "Allow",
"Action": [
"cognito-idp:AssociateWebACL"
],
"Resource": [
"arn:aws:cognito-idp:*:account-id:userpool/*"
]
}
```
**AWS App Runner サービス**
App Runner サービスリソースタイプで App Runner `AssociateWebACL`アクションを呼び出し、ウェブ ACL で を呼び AWS WAF `AssociateWebACL`出すアクセス許可が必要です。
```
{
"Sid": "AssociateWebACL1",
"Effect": "Allow",
"Action": [
"wafv2:AssociateWebACL"
],
"Resource": [
"arn:aws:wafv2:region:account-id:regional/webacl/*/*"
]
},
{
"Sid": "AssociateWebACL2",
"Effect": "Allow",
"Action": [
"apprunner:AssociateWebAcl"
],
"Resource": [
"arn:aws:apprunner:*:account-id:service/*/*"
]
}
```
**AWS Verified Access インスタンス**
Verified Access インスタンスリソースタイプで `ec2:AssociateVerifiedAccessInstanceWebAcl`アクションを呼び出し、ウェブ ACL で を呼び AWS WAF `AssociateWebACL`出すアクセス許可が必要です。
```
{
"Sid": "AssociateWebACL1",
"Effect": "Allow",
"Action": [
"wafv2:AssociateWebACL"
],
"Resource": [
"arn:aws:wafv2:region:account-id:regional/webacl/*/*"
]
},
{
"Sid": "AssociateWebACL2",
"Effect": "Allow",
"Action": [
"ec2:AssociateVerifiedAccessInstanceWebAcl"
],
"Resource": [
"arn:aws:ec2:*:account-id:verified-access-instance/*"
]
}
```
#### `DisassociateWebACL` のアクセス権限
このセクションでは、 AWS WAF アクション `DisassociateWebACL` を使用して保護パック (ウェブ ACL) とリソースの関連付けを解除するために必要なアクセス許可を一覧表示します。
Amazon CloudFront ディストリビューションでは、このアクションの代わりに、空の保護パック (ウェブ ACL) ID を持つ CloudFront アクション `UpdateDistribution` を使用してください。詳細については、「*Amazon CloudFront API リファレンス*」の「[UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)」を参照してください。
**Amazon API Gateway REST API**
REST API リソースタイプで API ゲートウェイ `SetWebACL` を呼び出すアクセス許可が必要です。を呼び出すアクセス許可は必要ありません AWS WAF `DisassociateWebACL`。
```
{
"Sid": "DisassociateWebACL",
"Effect": "Allow",
"Action": [
"apigateway:SetWebACL"
],
"Resource": [
"arn:aws:apigateway:*::/restapis/*/stages/*"
]
}
```
**Application Load Balancer**
Application Load Balancer リソースタイプで `elasticloadbalancing:SetWebACL` アクションを呼び出すアクセス許可が必要です。を呼び出すアクセス許可は必要ありません AWS WAF `DisassociateWebACL`。
```
{
"Sid": "DisassociateWebACL",
"Effect": "Allow",
"Action": [
"elasticloadbalancing:SetWebACL"
],
"Resource": [
"arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*"
]
}
```
**AWS AppSync GraphQL API**
GraphQL API リソースタイプで を呼び出す AWS AppSync `SetWebACL`アクセス許可が必要です。を呼び出すアクセス許可は必要ありません AWS WAF `DisassociateWebACL`。
```
{
"Sid": "DisassociateWebACL",
"Effect": "Allow",
"Action": [
"appsync:SetWebACL"
],
"Resource": [
"arn:aws:appsync:*:account-id:apis/*"
]
}
```
**Amazon Cognito ユーザープール**
ユーザープールリソースタイプで Amazon Cognito `DisassociateWebACL`アクションを呼び出し、 を呼び出すアクセス許可が必要です AWS WAF `DisassociateWebACL`。
```
{
"Sid": "DisassociateWebACL1",
"Effect": "Allow",
"Action": "wafv2:DisassociateWebACL",
"Resource": "*"
},
{
"Sid": "DisassociateWebACL2",
"Effect": "Allow",
"Action": [
"cognito-idp:DisassociateWebACL"
],
"Resource": [
"arn:aws:cognito-idp:*:account-id:userpool/*"
]
}
```
**AWS App Runner サービス**
App Runner サービスリソースタイプで App Runner `DisassociateWebACL`アクションを呼び出し、 を呼び出すアクセス許可が必要です AWS WAF `DisassociateWebACL`。
```
{
"Sid": "DisassociateWebACL1",
"Effect": "Allow",
"Action": "wafv2:DisassociateWebACL",
"Resource": "*"
},
{
"Sid": "DisassociateWebACL2",
"Effect": "Allow",
"Action": [
"apprunner:DisassociateWebAcl"
],
"Resource": [
"arn:aws:apprunner:*:account-id:service/*/*"
]
}
```
**AWS Verified Access インスタンス**
Verified Access インスタンスリソースタイプで `ec2:DisassociateVerifiedAccessInstanceWebAcl`アクションを呼び出し、 を呼び出すアクセス許可が必要です AWS WAF `DisassociateWebACL`。
```
{
"Sid": "DisassociateWebACL1",
"Effect": "Allow",
"Action": "wafv2:DisassociateWebACL",
"Resource": "*"
},
{
"Sid": "DisassociateWebACL2",
"Effect": "Allow",
"Action": [
"ec2:DisassociateVerifiedAccessInstanceWebAcl"
],
"Resource": [
"arn:aws:ec2:*:account-id:verified-access-instance/*"
]
}
```
#### `GetWebACLForResource` のアクセス権限
このセクションでは、 AWS WAF アクション `GetWebACLForResource` を使用して保護対象リソースの保護パック (ウェブ ACL) を取得するために必要なアクセス許可の一覧を示します。
Amazon CloudFront ディストリビューションでは、このアクションの代わりに CloudFront アクション `GetDistributionConfig` を使用してください。詳細については、「*Amazon CloudFront API リファレンス*」の「[GetDistributionConfig](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_GetDistributionConfig.html)」を参照してください。
**注記**
`GetWebACLForResource` によって `GetWebACL` を呼び出すにはアクセス許可が必要です。このコンテキストでは、 は、 が`GetWebACLForResource`返す保護パック (ウェブ ACL) にアクセスするために必要なアクセス許可がアカウントにあることを検証するために`GetWebACL`のみ AWS WAF 使用します。を呼び出すと`GetWebACLForResource`、アカウントが resource `wafv2:GetWebACL`に対して実行する権限がないことを示すエラーが表示されることがあります。このタイプのエラーは AWS CloudTrail イベント履歴に追加 AWS WAF されません。
**Amazon API Gateway REST API、Application Load Balancer、 AWS AppSync GraphQL API**
保護パック (ウェブ ACL) `GetWebACL` の と を呼び AWS WAF `GetWebACLForResource`出すアクセス許可が必要です。
```
{
"Sid": "GetWebACLForResource",
"Effect": "Allow",
"Action": [
"wafv2:GetWebACLForResource",
"wafv2:GetWebACL"
],
"Resource": [
"arn:aws:wafv2:region:account-id:regional/webacl/*/*"
]
}
```
**Amazon Cognito ユーザープール**
ユーザープールリソースタイプで Amazon Cognito `GetWebACLForResource`アクションを呼び出し、 と を呼び AWS WAF `GetWebACLForResource`出すアクセス許可が必要です`GetWebACL`。
```
{
"Sid": "GetWebACLForResource1",
"Effect": "Allow",
"Action": [
"wafv2:GetWebACLForResource",
"wafv2:GetWebACL"
],
"Resource": [
"arn:aws:wafv2:region:account-id:regional/webacl/*/*"
]
},
{
"Sid": "GetWebACLForResource2",
"Effect": "Allow",
"Action": [
"cognito-idp:GetWebACLForResource"
],
"Resource": [
"arn:aws:cognito-idp:*:account-id:userpool/*"
]
}
```
**AWS App Runner サービス**
App Runner サービスリソースタイプで App Runner `DescribeWebAclForService`アクションを呼び出し、 `GetWebACLForResource` と を呼び AWS WAF 出すアクセス許可が必要です`GetWebACL`。
```
{
"Sid": "GetWebACLForResource1",
"Effect": "Allow",
"Action": [
"wafv2:GetWebACLForResource",
"wafv2:GetWebACL"
],
"Resource": [
"arn:aws:wafv2:region:account-id:regional/webacl/*/*"
]
},
{
"Sid": "GetWebACLForResource2",
"Effect": "Allow",
"Action": [
"apprunner:DescribeWebAclForService"
],
"Resource": [
"arn:aws:apprunner:*:account-id:service/*/*"
]
}
```
**AWS Verified Access インスタンス**
Verified Access インスタンスリソースタイプで `ec2:GetVerifiedAccessInstanceWebAcl`アクションを呼び出し、 と を呼び AWS WAF `GetWebACLForResource`出すアクセス許可が必要です`GetWebACL`。
```
{
"Sid": "GetWebACLForResource1",
"Effect": "Allow",
"Action": [
"wafv2:GetWebACLForResource",
"wafv2:GetWebACL"
],
"Resource": [
"arn:aws:wafv2:region:account-id:regional/webacl/*/*"
]
},
{
"Sid": "GetWebACLForResource2",
"Effect": "Allow",
"Action": [
"ec2:GetVerifiedAccessInstanceWebAcl"
],
"Resource": [
"arn:aws:ec2:*:account-id:verified-access-instance/*"
]
}
```
#### `ListResourcesForWebACL` のアクセス権限
このセクションには、 AWS WAF アクション `ListResourcesForWebACL` を使用して保護パック (ウェブ ACL) の保護対象リソースのリストを取得するために必要なアクセス許可の一覧が記載されています。
Amazon CloudFront ディストリビューションでは、このアクションの代わりに CloudFront アクション `ListDistributionsByWebACLId` を使用してください。詳細については、「*Amazon CloudFront API リファレンス*」の「[ListDistributionsByWebACLId](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListDistributionsByWebACLId.html)」を参照してください。
**Amazon API Gateway REST API、Application Load Balancer、 AWS AppSync GraphQL API**
ウェブ ACL の を呼び AWS WAF `ListResourcesForWebACL`出すアクセス許可が必要です。
```
{
"Sid": "ListResourcesForWebACL",
"Effect": "Allow",
"Action": [
"wafv2:ListResourcesForWebACL"
],
"Resource": [
"arn:aws:wafv2:region:account-id:regional/webacl/*/*"
]
}
```
**Amazon Cognito ユーザープール**
ユーザープールリソースタイプで Amazon Cognito `ListResourcesForWebACL` アクションを呼び出し、 AWS WAF `ListResourcesForWebACL` を呼び出すためのアクセス許可が必要です。
```
{
"Sid": "ListResourcesForWebACL1",
"Effect": "Allow",
"Action": [
"wafv2:ListResourcesForWebACL"
],
"Resource": [
"arn:aws:wafv2:region:account-id:regional/webacl/*/*"
]
},
{
"Sid": "ListResourcesForWebACL2",
"Effect": "Allow",
"Action": [
"cognito-idp:ListResourcesForWebACL"
],
"Resource": [
"arn:aws:cognito-idp:*:account-id:userpool/*"
]
}
```
**AWS App Runner サービス**
App Runner サービスリソースタイプで App Runner `ListAssociatedServicesForWebAcl`アクションを呼び出し、 を呼び出すアクセス許可が必要です AWS WAF `ListResourcesForWebACL`。
```
{
"Sid": "ListResourcesForWebACL1",
"Effect": "Allow",
"Action": [
"wafv2:ListResourcesForWebACL"
],
"Resource": [
"arn:aws:wafv2:region:account-id:regional/webacl/*/*"
]
},
{
"Sid": "ListResourcesForWebACL2",
"Effect": "Allow",
"Action": [
"apprunner:ListAssociatedServicesForWebAcl"
],
"Resource": [
"arn:aws:apprunner:*:account-id:service/*/*"
]
}
```
**AWS Verified Access インスタンス**
検証済みアクセス インスタンスのリソース タイプで `ec2:DescribeVerifiedAccessInstanceWebAclAssociations` アクションを呼び出すには、 AWS WAF `ListResourcesForWebACL` を呼び出すためのアクセス許可が必要です。
```
{
"Sid": "ListResourcesForWebACL1",
"Effect": "Allow",
"Action": [
"wafv2:ListResourcesForWebACL"
],
"Resource": [
"arn:aws:wafv2:region:account-id:regional/webacl/*/*"
]
},
{
"Sid": "ListResourcesForWebACL2",
"Effect": "Allow",
"Action": [
"ec2:DescribeVerifiedAccessInstanceWebAclAssociations"
],
"Resource": [
"arn:aws:ec2:*:account-id:verified-access-instance/*"
]
}
```
## のポリシーリソース AWS WAF
**ポリシーリソースのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
AWS WAF リソースタイプとその ARNs[AWS WAF V2 で定義されるリソース](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-resources-for-iam-policies)」を参照してください。 **各リソースの ARN を指定できるアクションについては、[AWS WAF V2 で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions)」を参照してください。 AWS WAF リソースのサブセットへのアクセスを許可または拒否するには、ポリシーの `resource`要素にリソースの ARN を含めます。
リソースの AWS WAF `wafv2` ARNs の形式は次のとおりです。
```
arn:partition:wafv2:region:account-id:scope/resource-type/resource-name/resource-id
```
ARN の仕様に関する一般情報については、「 Amazon Web Services 全般のリファレンス」の「[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)」を参照してください。
`wafv2` リソースの ARN に固有の要件は以下の通りです。
+ *region*: Amazon CloudFront ディストリビューションの保護に使用する AWS WAF リソースの場合は、これを に設定します`us-east-1`。それ以外の場合は、保護されたリージョンリソースで使用している領域を設定します。
+ *スコープ*: Amazon CloudFront ディストリビューション`global`で使用するか、 が AWS WAF サポートするリージョンリソース`regional`で使用するスコープを に設定します。リージョンリソースは、Amazon API Gateway REST API、Application Load Balancer、 AWS AppSync GraphQL API、Amazon Cognito ユーザープール、 AWS App Runner サービス、 AWS Verified Access インスタンスです。
+ *リソースタイプ*: 次の値のいずれかを指定します。`webacl`、`rulegroup`、`ipset`、`regexpatternset`、`managedruleset`。
+ *resource-name*: AWS WAF リソースに付けた名前を指定、あるいは ARN の他の仕様を満たすすべてのリソースを示すワイルドカード (`*`) を指定します。リソース名とリソース ID のどちらかを指定するか、両方にワイルドカードを指定する必要があります。
+ *resource-id*: AWS WAF リソースの ID を指定、あるいは ARN の他の仕様を満たすすべてのリソースを示すワイルドカード (`*`) を指定します。リソース名とリソース ID のどちらかを指定するか、両方にワイルドカードを指定する必要があります。
例えば、次の ARN は、リージョン `us-west-1` におけるアカウント `111122223333` のリージョンレベルの範囲のすべての保護パック (ウェブ ACL) を指定します。
```
arn:aws:wafv2:us-west-1:111122223333:regional/webacl/*/*
```
次の ARN は、リージョン `us-east-1` のアカウント `111122223333` に対して、グローバルスコープを持つ `MyIPManagementRuleGroup` というルールグループを指定します。
```
arn:aws:wafv2:us-east-1:111122223333:global/rulegroup/MyIPManagementRuleGroup/1111aaaa-bbbb-cccc-dddd-example-id
```
AWS WAF アイデンティティベースのポリシーの例を表示するには、「」を参照してください[のアイデンティティベースのポリシーの例 AWS WAF](security_iam_id-based-policy-examples.md)。
## のポリシー条件キー AWS WAF
**サービス固有のポリシー条件キーのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*IAM ユーザーガイド*の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
さらに、 は、IAM ポリシーにきめ細かなフィルタリングを提供するために使用できる以下の条件キー AWS WAF をサポートしています。
+ **wafv2:LogDestinationResource**
この条件キーは、ログ記録の送信先の Amazon リソースネーム (ARN) 仕様を取得します。これは、REST API コール `PutLoggingConfiguration` を使用する際に、ログ送信先として指定する ARN です。
ARN を明示的に指定し、ARN のフィルタリングを指定できます。次の例では、特定の位置とプレフィックスを持つ Amazon S3 バケット ARN のフィルタリングを指定します。
```
"Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-suffix/custom-prefix/*" } }
```
+ **wafv2:LogScope**
この条件キーは、文字列内のログ記録設定のソースを定義します。現在、これは常に のデフォルトに設定されています。これは `Customer`、ログ記録の送信先がユーザーによって所有および管理されていることを示します。
AWS WAF 条件キーのリストを確認するには、*「サービス認可リファレンス*[」の AWS WAF V2 の条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-policy-keys)」を参照してください。条件キーを使用できるアクションとリソースについては、[AWS WAF V2 で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions)」を参照してください。
AWS WAF アイデンティティベースのポリシーの例を表示するには、「」を参照してください[のアイデンティティベースのポリシーの例 AWS WAF](security_iam_id-based-policy-examples.md)。
## ACLs AWS WAF
**ACL のサポート:** なし
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
## を使用した ABAC AWS WAF
**ABAC (ポリシー内のタグ) のサポート:** 一部
属性ベースのアクセスコントロール (ABAC) は、タグと呼ばれる属性に基づいてアクセス許可を定義する認可戦略です。IAM エンティティと AWS リソースにタグをアタッチし、プリンシパルのタグがリソースのタグと一致するときにオペレーションを許可するように ABAC ポリシーを設計できます。
タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。
サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値は**あり**です。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「**部分的**」になります。
ABAC の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可でアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「*IAM ユーザーガイド*」の「[属性ベースのアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。
## での一時的な認証情報の使用 AWS WAF
**一時的な認証情報のサポート:** あり
一時的な認証情報は AWS 、リソースへの短期的なアクセスを提供し、フェデレーションまたはスイッチロールの使用時に自動的に作成されます。長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成 AWS することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## サービスの転送アクセスセッション AWS WAF
**転送アクセスセッション (FAS) のサポート:** あり
転送アクセスセッション (FAS) は、 を呼び出すプリンシパルのアクセス許可と AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストをリクエストする を使用します。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。
## のサービスロール AWS WAF
**サービスロールのサポート:** あり
サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、IAM ユーザーガイド**の [AWS のサービスに許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を参照してください。
**警告**
サービスロールのアクセス許可を変更すると、 AWS WAF 機能が破損する可能性があります。 AWS WAF が指示する場合にのみ、サービスロールを編集します。
## のサービスにリンクされたロール AWS WAF
**サービスリンクロールのサポート:** あり
サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスリンクロールのアクセス許可を表示できますが、編集することはできません。
AWS WAF サービスにリンクされたロールの作成または管理の詳細については、「」を参照してください[のサービスにリンクされたロールの使用 AWS WAF](using-service-linked-roles.md)。
# のアイデンティティベースのポリシーの例 AWS WAF
このセクションでは、アイデンティティベースのポリシーの例を示します AWS WAF。
デフォルトでは、 ユーザーおよびロールには、 AWS WAF リソースを作成または変更する権限はありません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。
これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
各リソースタイプの ARN の形式など AWS WAF、 で定義されるアクションとリソースタイプの詳細については、*「サービス認可リファレンス*」の[AWS WAF V2 のアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html)」を参照してください。 ARNs
**Topics**
+ [ポリシーに関するベストプラクティス](#security_iam_service-with-iam-policy-best-practices)
+ [AWS WAF コンソールの使用](#security_iam_id-based-policy-examples-console)
+ [自分の権限の表示をユーザーに許可する](#security_iam_id-based-policy-examples-view-own-permissions)
+ [、CloudFront AWS WAF、および CloudWatch への読み取り専用アクセスを付与する](#security_iam_id-based-policy-examples-read-only1)
+ [、CloudFront AWS WAF、および CloudWatch へのフルアクセスを付与する](#security_iam_id-based-policy-examples-full-access1)
+ [単一の へのアクセスを許可する AWS アカウント](#security_iam_id-based-policy-examples-access-to-account)
+ [単一の保護パック (ウェブ ACL) へのアクセスを付与する](#security_iam_id-based-policy-examples-access-to-web-acl)
+ [保護パック (ウェブ ACL) およびルールグループに対して、CLI アクセス権を付与](#security_iam_id-based-policy-examples-cli-access-to-web-acl)
## ポリシーに関するベストプラクティス
ID ベースのポリシーは、アカウント内の AWS WAF リソースを作成、アクセス、または削除できるかどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、セキュリティを強化するために MFA を有効にします。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## AWS WAF コンソールの使用
AWS WAF コンソールにアクセスするには、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、 の AWS WAF リソースの詳細を一覧表示および表示できます AWS アカウント。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
ユーザーとロールが AWS WAF コンソールを使用できるようにするには、少なくとも AWS WAF `AWSWAFConsoleReadOnlyAccess` AWS 管理ポリシーをエンティティにアタッチします。このマネージドポリシーの情報については、「[AWS マネージドポリシー: AWSWAFConsoleReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSWAFConsoleReadOnlyAccess)」を参照してください。マネージドポリシーをユーザーにアタッチする方法の詳細については、「*IAM ユーザーガイド*」の「[Adding permissions to a user](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」(ユーザーに許可の追加) を参照してください。
## 自分の権限の表示をユーザーに許可する
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 、CloudFront AWS WAF、および CloudWatch への読み取り専用アクセスを付与する
次のポリシーは、 AWS WAF リソース、Amazon CloudFront ウェブディストリビューション、および Amazon CloudWatch メトリクスへの読み取り専用アクセスをユーザーに付与します。これは、 AWS WAF 条件、ルール、保護パック (ウェブ ACLs) で設定を表示し、保護パック (ウェブ ACL) に関連付けられているディストリビューションを確認し、CloudWatch でメトリクスとリクエストのサンプルを監視するアクセス許可が必要なユーザーに役立ちます。これらのユーザーは、 AWS WAF リソースを作成、更新、または削除することはできません。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"wafv2:Get*",
"wafv2:List*",
"cloudfront:GetDistribution",
"cloudfront:GetDistributionConfig",
"cloudfront:ListDistributions",
"cloudfront:ListDistributionsByWebACLId",
"cloudfront:ListDistributionTenantsByCustomization",
"cloudfront:ListDistributionTenants",
"cloudfront:GetDistributionTenant",
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics",
"ec2:DescribeRegions",
"pricingplanmanager:GetSubscription",
"pricingplanmanager:ListSubscriptions",
"route53:ListHostedZones",
"route53:GetHostedZone"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
## 、CloudFront AWS WAF、および CloudWatch へのフルアクセスを付与する
次のポリシーでは、ユーザーは任意の AWS WAF オペレーションを実行し、CloudFront ウェブディストリビューションに対して任意のオペレーションを実行し、CloudWatch でメトリクスとリクエストのサンプルを監視できます。これは、 AWS WAF 管理者であるユーザーにとって便利です。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"wafv2:*",
"cloudfront:CreateDistribution",
"cloudfront:ListDistributions",
"cloudfront:ListDistributionsByWebACLId",
"cloudfront:UpdateDistribution",
"cloudfront:GetDistributionConfig",
"cloudfront:GetDistribution",
"cloudfront:DisassociateDistributionTenantWebACL",
"cloudfront:DisassociateDistributionWebACL",
"cloudfront:AssociateDistributionTenantWebACL",
"cloudfront:AssociateDistributionWebACL",
"cloudfront:ListDistributionTenantsByCustomization",
"cloudfront:ListDistributionTenants",
"cloudfront:DeleteDistribution",
"cloudfront:GetDistributionTenant",
"cloudfront:DeleteDistributionTenant",
"cloudwatch:GetMetricData",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics",
"ec2:DescribeRegions",
"pricingplanmanager:GetSubscription",
"pricingplanmanager:ListSubscriptions",
"pricingplanmanager:UpdateSubscription",
"pricingplanmanager:CancelSubscription",
"pricingplanmanager:CancelSubscriptionChange",
"pricingplanmanager:AssociateResourcesToSubscription",
"pricingplanmanager:DisassociateResourcesFromSubscription",
"route53:ListHostedZones",
"route53:GetHostedZone"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
管理者許可を持つユーザーに対しては多要素認証 (MFA) を設定することを強くお勧めします。詳細については、「*IAM ユーザーガイド*」の「[AWSでの多要素認証 (MFA) デバイスの使用](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingMFA.html)」を参照してください。
## 単一の へのアクセスを許可する AWS アカウント
このポリシーは、アカウント 444455556666 に次の許可を付与します。
+ すべての AWS WAF オペレーションとリソースへのフルアクセス。
+ 保護パック (ウェブ ACL) と CloudFront ディストリビューションを関連付けるための、すべての CloudFront ディストリビューションへの読み取りおよび更新アクセス。
+ すべての CloudWatch メトリクスとメトリクス統計への読み取りアクセスにより、 AWS WAF コンソールで CloudWatch データおよびリクエストのサンプルを表示できます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wafv2:*"
],
"Resource": [
"arn:aws:wafv2:us-east-1:444455556666:*"
]
},
{
"Effect": "Allow",
"Action": [
"cloudfront:GetDistribution",
"cloudfront:GetDistributionConfig",
"cloudfront:ListDistributions",
"cloudfront:ListDistributionsByWebACLId",
"cloudfront:UpdateDistribution",
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics",
"ec2:DescribeRegions"
],
"Resource": [
"*"
]
}
]
}
```
------
## 単一の保護パック (ウェブ ACL) へのアクセスを付与する
次のポリシーでは、ユーザーは、アカウント 内の特定の保護パック (ウェブ ACL) で コンソールを介して任意の AWS WAF オペレーションを実行できます`444455556666`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wafv2:*"
],
"Resource": [
"arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example"
]
},
{
"Sid": "consoleAccess",
"Effect": "Allow",
"Action": [
"wafv2:ListWebACLs",
"ec2:DescribeRegions"
],
"Resource": [
"*"
]
}
]
}
```
------
## 保護パック (ウェブ ACL) およびルールグループに対して、CLI アクセス権を付与
次のポリシーでは、ユーザーは、アカウント 内の特定の保護パック (ウェブ ACL) と特定のルールグループに対して CLI を介して任意の AWS WAF オペレーションを実行できます`444455556666`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wafv2:*"
],
"Resource": [
"arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example",
"arn:aws:wafv2:us-east-1:444455556666:regional/rulegroup/test123rulegroup/555555555-6666-1234-abcd-00d11example"
]
}
]
}
```
------
次のポリシーでは、ユーザーは、アカウント 内の特定の保護パック (ウェブ ACL) で コンソールを介して任意の AWS WAF オペレーションを実行できます`444455556666`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"wafv2:*"
],
"Resource": [
"arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example"
]
},
{
"Sid": "consoleAccess",
"Effect": "Allow",
"Action": [
"wafv2:ListWebACLs",
"ec2:DescribeRegions"
],
"Resource": [
"*"
]
}
]
}
```
------
# AWS の 管理ポリシー AWS WAF
このセクションでは、 の AWS 管理ポリシーを使用する方法について説明します AWS WAF。
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
## AWS マネージドポリシー: AWSWAFReadOnlyAccess
このポリシーは、Amazon CloudFront、Amazon API Gateway、Application Load Balancer、 AWS AppSync Amazon Cognito、、Amazon AWS App Runner AWS Amplify Amazon CloudWatch、 AWS Verified Access などの統合サービスの AWS WAF リソースとリソースへのアクセスをユーザーに許可する読み取り専用アクセス許可を付与します。このポリシーを IAM ID にアタッチできます。 は、ユーザーに代わって がアクションを実行できるようにするサービスロール AWS WAF にもこのポリシー AWS WAF をアタッチします。
このポリシーの詳細については、IAM コンソールで「[AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)」を参照してください。
## AWS マネージドポリシー: AWSWAFFullAccess
このポリシーは、Amazon CloudFront、Amazon API Gateway、Application Load Balancer、、 AWS AppSync Amazon Cognito、 AWS App Runner、 AWS Amplify Amazon CloudWatch、 AWS Verified Access などの統合サービスの AWS WAF リソースとリソースへのフルアクセスを許可します。このポリシーを IAM ID にアタッチできます。 は、ユーザーに代わって がアクションを実行できるようにするサービスロール AWS WAF にもこのポリシー AWS WAF をアタッチします。
このポリシーの詳細については、IAM コンソールで「[AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary)」を参照してください。
## AWS マネージドポリシー: AWSWAFConsoleReadOnlyAccess
このポリシーは、 AWS WAF コンソールに読み取り専用アクセス許可を付与します。これには、Amazon CloudFront、Amazon API Gateway、Application Load Balancer、 AWS AppSync Amazon Cognito、 AWS App Runner AWS Amplify、Amazon CloudWatch、 AWS Verified Access などの AWS WAF 統合サービスの および リソースが含まれます。このポリシーは IAM アイデンティティにアタッチできます。
このポリシーの詳細については、IAM コンソールで「[AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary)」を参照してください。
## AWS マネージドポリシー: AWSWAFConsoleFullAccess
このポリシーは、コンソールへのフルアクセスを許可します。 AWS WAF コンソールには、Amazon CloudFront、Amazon API Gateway、Application Load Balancer、 AWS AppSync Amazon Cognito、 AWS App Runner AWS Amplify、Amazon CloudWatch、 AWS Verified Access などの AWS WAF 統合サービスのリソースとリソースが含まれます。このポリシーを IAM ID にアタッチできます。 は、ユーザーに代わって がアクションを実行できるようにするサービスロール AWS WAF にもこのポリシー AWS WAF をアタッチします。
このポリシーの詳細については、IAM コンソールで「[AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary)」を参照してください。
## AWS マネージドポリシー: WAFV2LoggingServiceRolePolicy
このポリシーにより、 AWS WAF は Amazon Data Firehose にログを書き込むことができます。このポリシーは、ログインを有効にした場合にのみ使用されます AWS WAF。このポリシーは、`AWSServiceRoleForWAFV2Logging` サービスにリンクされたロールにアタッチされます。サービスにリンクされたロールの詳細については、「[のサービスにリンクされたロールの使用 AWS WAF](using-service-linked-roles.md)」を参照してください。
このポリシーの詳細については、IAM コンソールで「[WAFV2LoggingServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/WAFV2LoggingServiceRolePolicy$serviceLevelSummary)」を参照してください。
## AWS WAF AWS 管理ポリシーの更新
このサービスがこれらの変更の追跡を開始 AWS WAF してからの の AWS 管理ポリシーの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、 の AWS WAF ドキュメント履歴ページの RSS フィードにサブスクライブしてください[ドキュメント履歴](doc-history.md)。
| ポリシー | 変更点の説明 | 日付 |
| --- | --- | --- |
| `AWSWAFConsoleFullAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS コンソールリソースやその他の AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary)。 | CloudFront 料金プランに次のアクセス許可を追加しました。詳細については、「」を参照してください。 [CloudFront 定額料金プラン AWS WAF での の使用](cloudfront-features.md#waf-cf-pricing-plans) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/security-iam-awsmanpol.html) | 2025-11-18 |
| `AWSWAFConsoleReadOnlyAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS コンソールリソースやその他の AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary)。 | CloudFront 料金プランに次のアクセス許可を追加しました。詳細については、「」を参照してください。 [CloudFront 定額料金プラン AWS WAF での の使用](cloudfront-features.md#waf-cf-pricing-plans) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/security-iam-awsmanpol.html) | 2025-11-18 |
| `AWSWAFConsoleReadOnlyAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS コンソールリソースやその他の AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary)。 | 以下のアクセス許可が更新されました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/security-iam-awsmanpol.html) 以下の権限を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/security-iam-awsmanpol.html) | 2025-11-03 |
| `AWSWAFConsoleFullAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS コンソールリソースやその他の AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary)。 | 以下のアクセス許可が更新されました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/security-iam-awsmanpol.html) 以下の権限を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/security-iam-awsmanpol.html) | 2025-11-03 |
| `AWSWAFFullAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary)。 | に必要なアクセス許可 AssociateWebACL、DisassociateWebACL、GetWebACLForResource、および ListResourcesForWebACL を追加しました AWS Amplify。 | 2025-05-05 |
| `AWSWAFReadOnlyAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。 このポリシーの詳細については、IAM コンソールで「[AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)」を参照してください。 | に必要な GetWebACLForResource および ListResourcesForWebACL のアクセス許可を追加しました AWS Amplify。 | 2025-05-05 |
| `AWSWAFConsoleReadOnlyAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS コンソールリソースやその他の AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary)。 | 以下の権限を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/security-iam-awsmanpol.html) | 2025-05-05 |
| `AWSWAFConsoleFullAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS コンソールリソースやその他の AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary)。 | 以下の権限を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/security-iam-awsmanpol.html) | 2025-05-05 |
| `WAFV2LoggingServiceRolePolicy` このポリシーにより、 AWS WAF は Amazon Data Firehose にログを書き込むことができます。これは、ログ記録を有効にする場合にのみ使用されます。 IAM コンソールの詳細: [WAFV2LoggingServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/WAFV2LoggingServiceRolePolicy$serviceLevelSummary)。 | このポリシーがアタッチされているサービスにリンクされたロールのアクセス権限設定にステートメント ID (Sid) を追加しました。 | 2024-06-03 |
| `AWSServiceRoleForWAFV2Logging` このサービスにリンクされたロールは、 が Amazon Data Firehose AWS WAF にログを書き込むことを許可するアクセス許可ポリシーを提供します。 IAM コンソールの詳細: [AWSServiceRoleForWAFV2Logging](https://console.aws.amazon.com/iam/home#/roles/details/AWSServiceRoleForWAFV2Logging)。 | アクセス権限設定にステートメント ID (Sid) を追加しました。 | 2024-06-03 |
| AWS WAF 変更追跡への の追加 | AWS WAF は、 管理ポリシー`WAFV2LoggingServiceRolePolicy`とサービスにリンクされたロール の変更の追跡を開始しました`AWSServiceRoleForWAFV2Logging`。 | 2024-06-03 |
| `AWSWAFFullAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary)。 | 保護できるリソースタイプに AWS Verified Access インスタンスを追加するアクセス許可を拡張しました AWS WAF。 | 2023-06-17 |
| `AWSWAFReadOnlyAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。 IAM コンソールの詳細: 「[AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)」 | 保護できるリソースタイプに AWS Verified Access インスタンスを追加するアクセス許可を拡張しました AWS WAF。 | 2023-06-17 |
| `AWSWAFConsoleFullAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS コンソールリソースやその他の AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary)。 | 保護できるリソースタイプに AWS Verified Access インスタンスを追加するアクセス許可を拡張しました AWS WAF。 | 2023-06-17 |
| `AWSWAFConsoleReadOnlyAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS コンソールリソースやその他の AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary)。 | 保護できるリソースタイプに AWS Verified Access インスタンスを追加するアクセス許可を拡張しました AWS WAF。 | 2023-06-17 |
| `AWSWAFFullAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary)。 | AWS App Runner サービスのアクセス設定を修正するためのアクセス許可を拡張しました。 | 2023-06-06 |
| `AWSWAFReadOnlyAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。 IAM コンソールの詳細: 「[AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)」 | AWS App Runner サービスのアクセス設定を修正するためのアクセス許可を拡張しました。 | 2023-06-06 |
| `AWSWAFConsoleFullAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS コンソールリソースやその他の AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary)。 | AWS App Runner サービスのアクセス設定を修正するためのアクセス許可を拡張しました。 | 2023-06-06 |
| `AWSWAFConsoleReadOnlyAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS コンソールリソースやその他の AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary)。 | AWS App Runner サービスのアクセス設定を修正するためのアクセス許可を拡張しました。 | 2023-06-06 |
| `AWSWAFFullAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary)。 | 保護できるリソースタイプに AWS App Runner サービスを追加するためのアクセス許可を拡張しました AWS WAF。 | 2023-03-30 |
| `AWSWAFReadOnlyAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。 IAM コンソールの詳細: 「[AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)」 | 保護できるリソースタイプに AWS App Runner サービスを追加するためのアクセス許可を拡張しました AWS WAF。 | 2023-03-30 |
| `AWSWAFConsoleFullAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS コンソールリソースやその他の AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary)。 | 保護できるリソースタイプに AWS App Runner サービスを追加するためのアクセス許可を拡張しました AWS WAF。 | 2023-03-30 |
| `AWSWAFConsoleReadOnlyAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS コンソールリソースやその他の AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary)。 | 保護できるリソースタイプに AWS App Runner サービスを追加するためのアクセス許可を拡張しました AWS WAF。 | 2023-03-30 |
| `AWSWAFFullAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary)。 | 保護できるリソースタイプに Amazon Cognito ユーザープールを追加するアクセス許可を拡張しました AWS WAF。 | 2022-08-25 |
| `AWSWAFReadOnlyAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。 IAM コンソールの詳細: 「[AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)」 | 保護できるリソースタイプに Amazon Cognito ユーザープールを追加するアクセス許可を拡張しました AWS WAF。 | 2022-08-25 |
| `AWSWAFConsoleFullAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS コンソールリソースやその他の AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary)。 | 保護できるリソースタイプに Amazon Cognito ユーザープールを追加するアクセス許可を拡張しました AWS WAF。 | 2022-08-25 |
| `AWSWAFConsoleReadOnlyAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS コンソールリソースやその他の AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary)。 | 保護できるリソースタイプに Amazon Cognito ユーザープールを追加するアクセス許可を拡張しました AWS WAF。 | 2022-08-25 |
| `AWSWAFFullAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary)。 | Amazon Simple Storage Service (Amazon S3) と Amazon CloudWatch Logs のログ配信の許可設定を修正しました。この変更により、ログ記録設定中に発生していたアクセス拒否エラーが解決されます。保護パック (ウェブ ACL) トラフィックのログ記録の詳細については、「[ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック](logging.md)」を参照してください。 | 2022-01-11 |
| `AWSWAFConsoleFullAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS コンソールリソースやその他の AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary)。 | Amazon Simple Storage Service (Amazon S3) と Amazon CloudWatch Logs のログ配信の許可設定を修正しました。この変更により、ログ記録設定中に発生していたアクセスエラーが解決されます。保護パック (ウェブ ACL) トラフィックのログ記録の詳細については、「[ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック](logging.md)」を参照してください。 | 2022-01-11 |
| `AWSWAFFullAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary)。 | 拡張ログ記録オプション用の新しい許可を追加しました。 この変更により、追加のログ記録先 Amazon Simple Storage Service (Amazon S3) と Amazon CloudWatch Logs AWS WAF にアクセスできます。保護パック (ウェブ ACL) トラフィックのログ記録の詳細については、「[ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック](logging.md)」を参照してください。 | 2021-11-15 |
| `AWSWAFConsoleFullAccess` このポリシーにより AWS WAF 、 は AWS WAF および統合サービスでユーザーに代わって AWS コンソールリソースやその他の AWS リソースを管理できます。 IAM コンソールの詳細: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary)。 | 拡張ログ記録オプション用の新しい許可を追加しました。 この変更により、追加のログ記録先 Amazon Simple Storage Service (Amazon S3) と Amazon CloudWatch Logs AWS WAF にアクセスできます。保護パック (ウェブ ACL) トラフィックのログ記録の詳細については、「[ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック](logging.md)」を参照してください。 | 2021-11-15 |
| AWS WAF が変更の追跡を開始しました | AWS WAF は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021-3-01 |
# AWS WAF ID とアクセスのトラブルシューティング
以下の情報は、 および IAM の使用時に発生する可能性がある一般的な問題の診断 AWS WAF と修正に役立ちます。
**Topics**
+ [でアクションを実行する権限がありません AWS WAF](#security_iam_troubleshoot-no-permissions)
+ [iam:PassRole を実行する権限がありません](#security_iam_troubleshoot-passrole)
+ [自分の 以外のユーザーに自分の AWS WAF リソース AWS アカウント へのアクセスを許可したい](#security_iam_troubleshoot-cross-account-access)
## でアクションを実行する権限がありません AWS WAF
アクションを実行する権限がないというエラーが表示された場合は、そのアクションを実行できるようにポリシーを更新する必要があります。
次のエラー例は、`mateojackson` IAM ユーザーがコンソールを使用して、ある `my-example-widget` リソースに関する詳細情報を表示しようとしたことを想定して、その際に必要な `wafv2:GetWidget` アクセス許可を持っていない場合に発生するものです。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: wafv2:GetWidget on resource: my-example-widget
```
この場合、`wafv2:GetWidget` アクションを使用して `my-example-widget` リソースへのアクセスを許可するように、`mateojackson` ユーザーのポリシーを更新する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン認証情報を提供した担当者が管理者です。
## iam:PassRole を実行する権限がありません
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して AWS WAFにロールを渡すことができるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、既存のロールをそのサービスに渡すことができます。そのためには、サービスにロールを渡す権限が必要です。
以下の例のエラーは、`marymajor` という IAM ユーザーがコンソールを使用して AWS WAFでアクションを実行しようとする場合に発生します。ただし、このアクションをサービスが実行するには、サービスロールから付与された権限が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## 自分の 以外のユーザーに自分の AWS WAF リソース AWS アカウント へのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ がこれらの機能 AWS WAF をサポートしているかどうかを確認するには、「」を参照してください[が IAM と AWS WAF 連携する方法](security_iam_service-with-iam.md)。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、IAM *ユーザーガイド*の[「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド* の [外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) を参照してください。
+ クロスアカウントアクセスにおけるロールとリソースベースのポリシーの使用方法の違いについては、「*IAM ユーザーガイド*」の「[IAM でのクロスアカウントのリソースへのアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)」を参照してください。
# のサービスにリンクされたロールの使用 AWS WAF
このセクションでは、サービスにリンクされたロールを使用して、アカウント AWS 内のリソース AWS WAF へのアクセスを許可する方法について説明します。
AWS WAF は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、直接リンクされた一意のタイプの IAM ロールです AWS WAF。サービスにリンクされたロールは によって事前定義 AWS WAF されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AWS WAF が簡単になります。 は、サービスにリンクされたロールのアクセス許可 AWS WAF を定義し、特に定義されている場合を除き、 のみがそのロールを引き受け AWS WAF ることができます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスにリンクされたロールを削除するには、まずそのロールの関連リソースを削除します。これにより、 AWS WAF リソースへのアクセス許可が誤って削除されないため、リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、**サービスにリンクされたロール**列が**はい**になっているサービスを見つけてください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[**はい**] リンクを選択してください。
## のサービスにリンクされたロールのアクセス許可 AWS WAF
AWS WAF は、サービスにリンクされたロール`AWSServiceRoleForWAFV2Logging`を使用して Amazon Data Firehose にログを書き込みます。このロールは、ログインを有効にした場合にのみ使用されます AWS WAF。ログ作成の詳細については、「[ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック](logging.md)」を参照してください。
このサービスにリンクされたロールは、 AWS マネージドポリシー にアタッチされます`WAFV2LoggingServiceRolePolicy`。管理ポリシーの詳細については、「[AWS マネージドポリシー: WAFV2LoggingServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-WAFV2LoggingServiceRolePolicy)」を参照してください。
`AWSServiceRoleForWAFV2Logging` サービスにリンクされたロールは、ロール `wafv2.amazonaws.com` を引き受けるためにサービスを信頼します。
ロールのアクセス許可ポリシーにより AWS WAF 、 は指定されたリソースに対して次のアクションを実行できます。
+ Amazon Data Firehose のアクション: `aws-waf-logs-` で始まる名前を持つ `PutRecord` および `PutRecordBatch` は Firehose データストリームリソースに対するアクション。例えば、`aws-waf-logs-us-east-2-analytics`。
+ AWS Organizations アクション: Organizations 組織のリソース`DescribeOrganization`。
IAM コンソールのサービスにリンクされたロール全体を参照してください: [AWSServiceRoleForWAFV2Logging](https://console.aws.amazon.com/iam/home#/roles/details/AWSServiceRoleForWAFV2Logging)。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## のサービスにリンクされたロールの作成 AWS WAF
サービスリンクロールを手動で作成する必要はありません。で AWS WAF ログ記録を有効にするか AWS マネジメントコンソール、 AWS WAF CLI または AWS WAF API で`PutLoggingConfiguration`リクエストを行うと、 によってサービスにリンクされたロールが自動的に AWS WAF 作成されます。
ログ記録を有効化するためには、`iam:CreateServiceLinkedRole` 許可が必要です。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。 AWS WAF ログ記録を有効にすると、 によってサービスにリンクされたロールが再度 AWS WAF 作成されます。
## のサービスにリンクされたロールの編集 AWS WAF
AWS WAF では、`AWSServiceRoleForWAFV2Logging`サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## のサービスにリンクされたロールの削除 AWS WAF
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
**注記**
リソースを削除しようとしたときに AWS WAF サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。
**で使用される AWS WAF リソースを削除するには `AWSServiceRoleForWAFV2Logging`**
1. AWS WAF コンソールで、すべてのウェブ ACL からログ記録を削除します。詳細については、「[ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック](logging.md)」を参照してください。
1. API または CLI を使用して、ログ記録が有効化されている各ウェブ ACL に `DeleteLoggingConfiguration` リクエストを送信します。詳細については、「[AWS WAF API リファレンス](https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html)」を参照してください。
**IAM を使用して、サービスにリンクされたロールを手動で削除するには**
`AWSServiceRoleForWAFV2Logging` サービスにリンクされたロールを削除するには、IAM コンソール、IAM CLI、または IAM API を使用します。詳細については、*IAM ユーザーガイド*の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## AWS WAF サービスにリンクされたロールでサポートされているリージョン
AWS WAF は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、「[AWS WAF エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/waf.html)」を参照してください。
# でのログ記録とモニタリング AWS WAF
このセクションでは、 でイベントをモニタリングおよび応答するための AWS ツールを使用する方法について説明します AWS WAF。
モニタリングは、 および AWS WAF AWS ソリューションの信頼性、可用性、パフォーマンスを維持する上で重要な部分です。マルチポイント障害が発生した場合は、その障害をより簡単にデバッグできるように、 AWS ソリューションのすべての部分からモニタリングデータを収集する必要があります。 には、 AWS WAF リソースをモニタリングし、潜在的なイベントに対応するための複数のツール AWS が用意されています。
**Amazon CloudWatch アラーム**
Amazon CloudWatch アラームを使用して、指定した期間にわたって 1 つのメトリクスを確認します。メトリクスが指定されたしきい値を超えると、CloudWatch は Amazon SNS トピックまたは AWS Auto Scaling ポリシーに通知を送信します。詳細については、「[Amazon CloudWatch によるモニタリング](monitoring-cloudwatch.md)」を参照してください。
**AWS CloudTrail ログ**
CloudTrail は、ユーザー、ロール、または AWS のサービスによって実行されたアクションの記録を提供します AWS WAF。CloudTrail によって収集された情報を使用して、リクエストの実行元の IP アドレス AWS WAF、リクエストの実行者、リクエストの実行日時などの詳細を確認できます。詳細については、「[での AWS CloudTrail API コールのログ記録](logging-using-cloudtrail.md)」を参照してください。
**AWS WAF 保護パック (ウェブ ACL) トラフィックのログ記録**
AWS WAF は、保護パック (ウェブ ACLs) が分析するトラフィックのログ記録を提供します。ログには、保護された AWS リソースからリクエスト AWS WAF を受信した時間、リクエストに関する詳細情報、リクエストが一致したルールのアクション設定などの情報が含まれます。詳細については、「[ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック](logging.md)」を参照してください。
# でのコンプライアンスの検証 AWS WAF
このセクションでは、 を使用する際のコンプライアンス責任について説明します AWS WAF。
AWS のサービス が特定のコンプライアンスプログラムの範囲内にあるかどうかを確認するには、[AWS のサービス 「コンプライアンスプログラムによる対象範囲内](https://aws.amazon.com/compliance/services-in-scope/)」の「コンプライアンス」を参照して、関心のあるコンプライアンスプログラムを選択します。一般的な情報については、[AWS 「コンプライアンスプログラム](https://aws.amazon.com/compliance/programs/)」を参照してください。
を使用して、サードパーティーの監査レポートをダウンロードできます AWS Artifact。詳細については、[「Downloading Reports in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)」を参照してください。
を使用する際のお客様のコンプライアンス責任 AWS のサービス は、お客様のデータの機密性、貴社のコンプライアンス目的、適用される法律および規制によって決まります。を使用する際のコンプライアンス責任の詳細については AWS のサービス、[AWS 「 セキュリティドキュメント](https://docs.aws.amazon.com/security/)」を参照してください。
# でのレジリエンスの構築 AWS WAF
このセクションでは、 AWS アーキテクチャが のデータ冗長性をサポートする方法について説明します AWS WAF。
AWS グローバルインフラストラクチャは、 AWS リージョン およびアベイラビリティーゾーンを中心に構築されています。 は、低レイテンシー、高スループット、高度に冗長なネットワークで接続された、物理的に分離および分離された複数のアベイラビリティーゾーン AWS リージョン を提供します。アベイラビリティーゾーンでは、アベイラビリティーゾーン間で中断せずに、自動的にフェイルオーバーするアプリケーションとデータベースを設計および運用することができます。アベイラビリティーゾーンは、従来の単一または複数のデータセンターインフラストラクチャよりも可用性、耐障害性、およびスケーラビリティが優れています。
AWS リージョン およびアベイラビリティーゾーンの詳細については、[AWS 「 グローバルインフラストラクチャ](https://aws.amazon.com/about-aws/global-infrastructure/)」を参照してください。
# のインフラストラクチャセキュリティ AWS WAF
このセクションでは、 がサービストラフィックを AWS WAF 分離する方法について説明します。
マネージドサービスである AWS WAF は、 AWS グローバルネットワークセキュリティで保護されています。 AWS セキュリティサービスと がインフラストラクチャ AWS を保護する方法については、[AWS 「 クラウドセキュリティ](https://aws.amazon.com/security/)」を参照してください。インフラストラクチャセキュリティのベストプラクティスを使用して環境を AWS 設計するには、*「Security Pillar AWS Well‐Architected Framework*」の[「Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)」を参照してください。
AWS が公開した API コールを使用して、ネットワーク AWS WAF 経由で にアクセスします。クライアントは以下をサポートする必要があります。
+ Transport Layer Security (TLS)。TLS 1.2 が必須で、TLS 1.3 をお勧めします。
+ DHE (楕円ディフィー・ヘルマン鍵共有) や ECDHE (楕円曲線ディフィー・ヘルマン鍵共有) などの完全前方秘匿性 (PFS) による暗号スイート。これらのモードは、Java 7 以降など、最近のほとんどのシステムでサポートされています。