As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando funções vinculadas a serviços para AWS WAF
Esta seção explica como usar funções vinculadas a serviços para fornecer AWS WAF acesso aos recursos em seu AWS conta.
AWS WAF uses AWS Identity and Access Management (IAM) funções vinculadas ao serviço. Uma função vinculada a serviços é um tipo exclusivo de IAM função vinculada diretamente a AWS WAF. As funções vinculadas ao serviço são predefinidas por AWS WAF e inclua todas as permissões que o serviço exige para ligar para outros AWS serviços em seu nome.
Uma função vinculada ao serviço faz a configuração AWS WAF mais fácil porque você não precisa adicionar manualmente as permissões necessárias. AWS WAF define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente AWS WAF pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões. Essa política de permissões não pode ser anexada a nenhuma outra IAM entidade.
É possível excluir uma função vinculada ao serviço somente depois de excluir os recursos relacionados da função. Isso protege seu AWS WAF recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte AWS Serviços que funcionam com IAM e procure os serviços que têm Sim na coluna Função vinculada ao serviço. Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.
Permissões de função vinculada ao serviço para AWS WAF
AWS WAF usa a função vinculada ao serviço AWSServiceRoleForWAFV2Logging para gravar registros no Amazon Data Firehose. Essa função é usada somente se você habilitar o login. AWS WAF. Para obter informações sobre registro em log, consulteRegistro em log AWS WAF ACLtráfego na web.
Essa função vinculada ao serviço está vinculada ao AWS política gerenciadaWAFV2LoggingServiceRolePolicy. Para obter mais informações sobre a política gerenciada, consulte AWS política gerenciada: WAFV2LoggingServiceRolePolicy.
A função vinculada ao serviço AWSServiceRoleForWAFV2Logging confia no serviço wafv2.amazonaws.com para presumir a função.
As políticas de permissões da função permitem AWS WAF para concluir as seguintes ações nos recursos especificados:
-
Ações do Amazon Data Firehose:
PutRecorde noPutRecordBatchFirehose, recursos de streaming de dados com um nome que começa com.aws-waf-logs-Por exemplo,aws-waf-logs-us-east-2-analytics. -
AWS Organizations ação:
DescribeOrganizationsobre os recursos das organizações da Organizations.
Veja a função completa vinculada ao serviço no IAM console:. AWSServiceRoleForWAFV2Logging
Você deve configurar permissões para permitir que uma IAM entidade (como usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Permissões de funções vinculadas ao serviço no Guia do IAMusuário.
Criar uma função vinculada ao serviço para AWS WAF
Não é necessário criar manualmente uma função vinculada ao serviço. Quando você ativa AWS WAF fazendo login no AWS Management Console, ou você faz uma PutLoggingConfiguration solicitação no AWS WAF CLIou o AWS WAF API, AWS WAF cria a função vinculada ao serviço para você.
Você deve ter a permissão iam:CreateServiceLinkedRole para habilitar o registro em log.
Se excluir essa função vinculada a serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você ativa AWS WAF extração de madeira, AWS WAF cria a função vinculada ao serviço para você novamente.
Editar uma função vinculada ao serviço para AWS WAF
AWS WAF não permite que você edite a função AWSServiceRoleForWAFV2Logging vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você pode editar a descrição da função usandoIAM. Para obter mais informações, consulte Editando uma função vinculada ao serviço no Guia do IAMusuário.
Excluir uma função vinculada ao serviço para o AWS WAF
Se você não precisar mais usar um atributo ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de excluí-la manualmente.
nota
Se o AWS WAF O serviço está usando a função quando você tenta excluir os recursos, então a exclusão pode falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Para excluir AWS WAF recursos usados pelo AWSServiceRoleForWAFV2Logging
-
No AWS WAF console, remova o registro de todas as páginas da webACL. Para obter mais informações, consulte Registro em log AWS WAF ACLtráfego na web.
-
Usando o API ouCLI, envie uma
DeleteLoggingConfigurationsolicitação para cada web ACL que tenha o registro ativado. Para ter mais informações, consulte AWS WAF APIReferência.
Para excluir manualmente a função vinculada ao serviço usando IAM
Use o IAM console IAMCLI, o ou o IAM API para excluir a função AWSServiceRoleForWAFV2Logging vinculada ao serviço. Para obter mais informações, consulte Excluindo uma função vinculada ao serviço no Guia do IAM usuário.
Regiões suportadas para AWS WAF funções vinculadas ao serviço
AWS WAF suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para ter mais informações, consulte AWS WAF endpoints e cotas.
