翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
のサービスにリンクされたロールの使用 AWS WAF
このセクションでは、サービスにリンクされたロールを使用して を提供する方法について説明します。 AWS WAF のリソースへのアクセス AWS アカウント。
AWS WAF uses AWS Identity and Access Management (IAM) サービスにリンクされたロール 。サービスにリンクされたロールは、 に直接リンクされた一意のタイプのIAMロールです。 AWS WAF。 サービスにリンクされたロールは、 によって事前定義されています。 AWS WAF および には、サービスが他の を呼び出すために必要なすべてのアクセス許可が含まれます。 AWS ユーザーに代わって のサービス。
サービスにリンクされたロールが をセットアップする AWS WAF 必要なアクセス許可を手動で追加する必要がないため、簡単です。 AWS WAF は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、 のみを定義します。 AWS WAF は、そのロールを引き受けることができます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。このアクセス許可ポリシーを他のIAMエンティティにアタッチすることはできません。
サービスにリンクされたロールを削除するには、まずそのロールの関連リソースを削除します。これにより、 が保護されます。 AWS WAF リソースへのアクセス許可を誤って削除できないため、 リソース。
サービスにリンクされたロールをサポートする他のサービスについては、「」を参照してください。 AWS と連携するサービスIAMで、サービスにリンクされたロール列に「はい」があるサービスを探します。 サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。
のサービスにリンクされたロールのアクセス許可 AWS WAF
AWS WAF は、サービスにリンクされたロールAWSServiceRoleForWAFV2Logging
を使用して Amazon Data Firehose にログを書き込みます。このロールは、ログインを有効にした場合にのみ使用されます。 AWS WAF。 ログ記録の詳細については、「」を参照してくださいログ記録 AWS WAF ウェブACLトラフィック。
このサービスにリンクされたロールは、 にアタッチされます。 AWS マネージドポリシー WAFV2LoggingServiceRolePolicy
。管理ポリシーの詳細については、「AWS マネージドポリシー: WAFV2LoggingServiceRolePolicy」を参照してください。
AWSServiceRoleForWAFV2Logging
サービスにリンクされたロールは、ロール wafv2.amazonaws.com
を引き受けるためにサービスを信頼します。
ロールのアクセス許可ポリシーでは、 AWS WAF は、指定されたリソースに対して以下のアクションを実行します。
-
Amazon Data Firehose アクション: Firehose データストリームリソース
PutRecordBatch
のPutRecord
および は、 で始まる名前ですaws-waf-logs-
。例えば、aws-waf-logs-us-east-2-analytics
と指定します。 -
AWS Organizations アクション: Organizations 組織のリソース
DescribeOrganization
。
IAM コンソールでサービスにリンクされたロール全体を参照してください。 AWSServiceRoleForWAFV2Logging
IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするには、アクセス許可を設定する必要があります。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。
のサービスにリンクされたロールの作成 AWS WAF
サービスリンクロールを手動で作成する必要はありません。を有効にする場合 AWS WAF でのログ記録 AWS Management Console、または でPutLoggingConfiguration
リクエストを行う AWS WAF CLI または AWS WAF API, AWS WAF は、サービスにリンクされたロールを作成します。
ログ記録を有効化するためには、iam:CreateServiceLinkedRole
許可が必要です。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。を有効にする場合 AWS WAF ログ記録、 AWS WAF は、サービスにリンクされたロールを再度作成します。
のサービスにリンクされたロールの編集 AWS WAF
AWS WAF では、AWSServiceRoleForWAFV2Logging
サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を編集することはできますIAM。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。
のサービスにリンクされたロールの削除 AWS WAF
サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
注記
そのファイルに AWS WAF リソースを削除しようとすると、 サービスでロールが使用され、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。
削除するには AWS WAF で使用される リソース AWSServiceRoleForWAFV2Logging
-
で AWS WAF コンソールで、すべてのウェブ からログ記録を削除しますACL。詳細については、「ログ記録 AWS WAF ウェブACLトラフィック」を参照してください。
-
API または を使用してCLI、ログ記録が有効になっていACLるウェブごとに
DeleteLoggingConfiguration
リクエストを送信します。詳細については、「」を参照してくださいAWS WAF API リファレンス 。
を使用してサービスにリンクされたロールを手動で削除するには IAM
IAM コンソール、、または IAM を使用してCLI、AWSServiceRoleForWAFV2Logging
サービスにリンクされたロールIAMAPIを削除します。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。
でサポートされているリージョン AWS WAF サービスリンクロール
AWS WAF は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、「」を参照してくださいAWS WAF エンドポイントとクォータ。