のアイデンティティベースのポリシーの例 AWS WAF - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
ポリシーのベストプラクティスコンソールを使用する場合自分の権限の表示をユーザーに許可するへの読み取り専用アクセス権の付与 AWS WAF、 CloudFront、および CloudWatchへのフルアクセスを付与する AWS WAF、 CloudFront、および CloudWatch単一の へのアクセスを許可する AWS アカウント単一のウェブへのアクセスを許可する ACLウェブACLおよびルールグループCLIへのアクセスを許可する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のアイデンティティベースのポリシーの例 AWS WAF

このセクションでは、 のアイデンティティベースのポリシーの例を示します。 AWS WAF.

デフォルトでは、ユーザーとロールには作成または変更するアクセス許可がありません AWS WAF リソースの使用料金を見積もることができます。また、 を使用してタスクを実行することはできません。 AWS Management Console, AWS Command Line Interface (AWS CLI)、または AWS API。必要なリソースに対してアクションを実行するアクセス許可をユーザーに付与するために、IAM管理者はIAMポリシーを作成できます。その後、管理者はIAMポリシーをロールに追加し、ユーザーはロールを引き受けることができます。

これらのポリシードキュメント例を使用してIAMアイデンティティベースのJSONポリシーを作成する方法については、「 ユーザーガイド」のIAM「ポリシーの作成IAM」を参照してください。

で定義されるアクションとリソースタイプの詳細については、「」を参照してください。 AWS WAF各リソースタイプの の形式を含む については、ARNs「 のアクション、リソース、および条件キー」を参照してください。 AWS WAF 「サービス認証リファレンス」のV2」。

ポリシーのベストプラクティス

ID ベースのポリシーは、誰かが作成、アクセス、または削除できるどうかを決定します。 AWS WAF アカウントの リソース。これらのアクションでは、 のコストが発生する可能性があります。 AWS アカウント。 アイデンティティベースのポリシーを作成または編集するときは、以下のガイドラインと推奨事項に従ってください。

  • の使用を開始する AWS 管理ポリシーと最小特権のアクセス許可への移行 – ユーザーとワークロードへのアクセス許可の付与を開始するには、 を使用します。 AWS 多くの一般的なユースケースにアクセス許可を付与する マネージドポリシー。これらは で利用できます。 AWS アカウント。 を定義してアクセス許可をさらに減らすことをお勧めします。 AWS ユースケースに固有の カスタマー管理ポリシー。詳細については、「」を参照してくださいAWS マネージドポリシーまたは AWS ユーザーガイドの ジョブ機能の IAM マネージドポリシー。

  • 最小特権のアクセス許可を適用する – IAMポリシーでアクセス許可を設定する場合は、タスクの実行に必要なアクセス許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用してアクセス許可を適用する方法の詳細については、「 ユーザーガイド」の「 のポリシーとアクセス許可IAMIAM」を参照してください。

  • IAM ポリシーの条件を使用してアクセスをさらに制限する – ポリシーに条件を追加して、アクションとリソースへのアクセスを制限できます。例えば、ポリシー条件を記述して、すべてのリクエストを を使用して送信する必要があることを指定できますSSL。特定の を通じてサービスアクションが使用されている場合、条件を使用してサービスアクションへのアクセスを許可することもできます。 AWS のサービスまたは AWS CloudFormation。 詳細については、「 ユーザーガイド」のIAMJSON「ポリシー要素: 条件IAM」を参照してください。

  • IAM Access Analyzer を使用してIAMポリシーを検証し、安全で機能的なアクセス許可を確保する – IAM Access Analyzer は、ポリシーがポリシー言語 (JSON) とIAMベストプラクティスに準拠するように、新規および既存のIAMポリシーを検証します。IAM Access Analyzer には、安全で機能的なポリシーの作成に役立つ 100 を超えるポリシーチェックと実用的な推奨事項が用意されています。詳細については、「 ユーザーガイド」のIAM「Access Analyzer ポリシーの検証IAM」を参照してください。

  • 多要素認証を要求する (MFA) – でIAMユーザーまたはルートユーザーを必要とするシナリオがある場合 AWS アカウントのセキュリティを強化するMFAには、 をオンにします。API オペレーションが呼び出されるMFAタイミングを要求するには、ポリシーにMFA条件を追加します。詳細については、「 IAMユーザーガイド」のMFA「 で保護されたAPIアクセスの設定」を参照してください。

のベストプラクティスの詳細についてはIAM、「 ユーザーガイド」の「 のセキュリティのベストプラクティスIAMIAM」を参照してください。

以下を使用 AWS WAF コンソール

にアクセスするには AWS WAF コンソールには、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、 の詳細を一覧表示および表示できます。 AWS WAF の リソース AWS アカウント。 最小限必要なアクセス許可よりも制限されたアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。

のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。 AWS CLI または AWS API。代わりに、実行しようとしているAPIオペレーションに一致するアクションのみへのアクセスを許可します。

ユーザーとロールが を使用できるようにするには AWS WAF コンソール、少なくとも AWS WAF AWSWAFConsoleReadOnlyAccess AWS エンティティへの マネージドポリシー。このマネージドポリシーの情報については、「AWS マネージドポリシー: AWSWAFConsoleReadOnlyAccess」を参照してください。管理ポリシーをユーザーにアタッチする方法の詳細については、「 ユーザーガイド」の「ユーザーへのアクセス許可の追加IAM」を参照してください。

自分の権限の表示をユーザーに許可する

この例では、IAMユーザーがユーザー ID にアタッチされているインラインポリシーと管理ポリシーを表示できるようにするポリシーを作成する方法を示します。このポリシーには、コンソールで、または を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。 AWS CLI または AWS API.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}

への読み取り専用アクセス権の付与 AWS WAF、 CloudFront、および CloudWatch

次のポリシーは、 への読み取り専用アクセスをユーザーに許可します。 AWS WAF リソース、Amazon CloudFront ウェブディストリビューション、および Amazon CloudWatch メトリクス。これは、 で設定を表示するアクセス許可を必要とするユーザーに役立ちます。 AWS WAF 条件、ルール、およびウェブ ACLs は、どのディストリビューションがウェブ に関連付けられているかを確認しACL、 でメトリクスとリクエストのサンプルを監視します CloudWatch。これらのユーザーは作成、更新、または削除できません AWS WAF リソースの使用料金を見積もることができます。

{
   "Version":"2012-10-17",
   "Statement": [
      {
         "Action": [
            "wafv2:Get*",
            "wafv2:List*",
            "cloudfront:GetDistribution",
            "cloudfront:GetDistributionConfig",
            "cloudfront:ListDistributions",
            "cloudfront:ListDistributionsByWebACLId",
            "cloudwatch:ListMetrics",
            "cloudwatch:GetMetricStatistics",
            "ec2:DescribeRegions"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]
}

へのフルアクセスを付与する AWS WAF、 CloudFront、および CloudWatch

次のポリシーでは、ユーザーは任意の を実行できます。 AWS WAF オペレーション、 CloudFront ウェブディストリビューションで任意のオペレーションを実行し、 でメトリクスとリクエストのサンプルを監視します CloudWatch。これは、 であるユーザーにとって便利です。 AWS WAF 管理者。

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "wafv2:*",
            "cloudfront:CreateDistribution",
            "cloudfront:GetDistribution",
            "cloudfront:GetDistributionConfig",
            "cloudfront:UpdateDistribution",
            "cloudfront:ListDistributions",
            "cloudfront:ListDistributionsByWebACLId",
            "cloudfront:DeleteDistribution",
            "cloudwatch:ListMetrics",
            "cloudwatch:GetMetricStatistics",
            "ec2:DescribeRegions"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]
}

管理者権限を持つユーザーには、多要素認証 (MFA) を設定することを強くお勧めします。詳細については、「 での多要素認証 (MFA) デバイスの使用」を参照してください。 AWS「」(IAM ユーザーガイド) を参照してください。

単一の へのアクセスを許可する AWS アカウント

このポリシーは、アカウント 444455556666 に次の許可を付与します。

  • すべての へのフルアクセス AWS WAF オペレーションとリソース。

  • すべての CloudFront ディストリビューションへの読み取りおよび更新アクセス。これにより、ウェブACLsと CloudFront ディストリビューションを関連付けることができます。

  • すべての CloudWatch メトリクスとメトリクス統計への読み取りアクセスにより、 で CloudWatch データとリクエストのサンプルを表示できます。 AWS WAF console。

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "wafv2:*"
         ],
         "Resource": [
            "arn:aws:wafv2:us-east-1:444455556666:*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "cloudfront:GetDistribution",
            "cloudfront:GetDistributionConfig",
            "cloudfront:ListDistributions",
            "cloudfront:ListDistributionsByWebACLId",
            "cloudfront:UpdateDistribution",
            "cloudwatch:ListMetrics",
            "cloudwatch:GetMetricStatistics",
            "ec2:DescribeRegions"
         ],
         "Resource": [
            "*"
         ]
      }
   ]
}

単一のウェブへのアクセスを許可する ACL

次のポリシーでは、ユーザーは任意の を実行できます。 AWS WAF は、アカウント 内の特定のウェブACLで コンソールを介して操作します444455556666

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wafv2:*"
            ],
            "Resource": [
                "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example",
            ]
        },
        {
            "Sid": "consoleAccess",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs",
                "ec2:DescribeRegions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

ウェブACLおよびルールグループCLIへのアクセスを許可する

次のポリシーでは、ユーザーは任意の を実行できます。 AWS WAF は、アカウント CLI 内の特定のウェブACLおよび特定のルールグループで を介して操作します444455556666

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "wafv2:*"
         ],
         "Resource": [
        "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example",
        "arn:aws:wafv2:us-east-1:444455556666:regional/rulegroup/test123rulegroup/555555555-6666-1234-abcd-00d11example"
         ]
      }
   ]
}

次のポリシーでは、ユーザーは任意の を実行できます。 AWS WAF は、アカウント 内の特定のウェブACLで コンソールを介して操作します444455556666

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wafv2:*"
            ],
            "Resource": [
                "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example",
            ]
        },
        {
            "Sid": "consoleAccess",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs",
                "ec2:DescribeRegions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}