将服务相关角色用于 AWS WAF - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将服务相关角色用于 AWS WAF

本节介绍如何使用服务相关角色来提供 AWS WAF 访问您中的资源 AWS account。

AWS WAF uses AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与之直接关联的独特IAM角色类型 AWS WAF。 服务相关角色由以下人员预定义 AWS WAF 并包括该服务调用其他服务所需的所有权限 AWS 代表您提供服务。

与服务相关的角色可以进行设置 AWS WAF 更简单,因为您不必手动添加必要的权限。 AWS WAF 定义其服务相关角色的权限,除非另有定义,否则只有 AWS WAF 可以扮演自己的角色。定义的权限包括信任策略和权限策略。该权限策略不能附加到任何其他IAM实体。

只有在先删除角色的相关资源后,才能删除服务相关角色。这样可以保护你的 AWS WAF 资源,因为您不能无意中移除对资源的访问权限。

有关支持服务相关角色的其他服务的信息,请参阅 AWS 与之配合使用的服务,IAM并在 “服务相关角色” 列中查找带有 “” 的服务。选择和链接,查看该服务的服务相关角色文档。

的服务相关角色权限 AWS WAF

AWS WAF 使用服务相关角色AWSServiceRoleForWAFV2Logging向 Amazon Data Firehose 写入日志。只有在启用登录功能后才会使用此角色 AWS WAF。 有关日志记录的信息,请参见日志记录 AWS WAF 网络ACL流量

此服务相关角色附加到 AWS 托管策略WAFV2LoggingServiceRolePolicy。有关托管策略的更多信息,请参阅AWS 托管策略:WAFV2LoggingServiceRolePolicy

AWSServiceRoleForWAFV2Logging 服务相关角色信任 wafv2.amazonaws.com 服务来代入角色。

该角色的权限策略允许 AWS WAF 在指定资源上完成以下操作:

  • Amazon Data Firehos PutRecordBatch e 操作:PutRecord以及名称以开头的 Firehose 数据流资源。aws-waf-logs-例如,aws-waf-logs-us-east-2-analytics

  • AWS Organizations 行动:DescribeOrganization在 Organizations 组织资源上。

在IAM控制台中查看完整的服务相关角色:AWSServiceRoleForWAFV2Logging.

必须配置权限以允许实IAM体(例如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM用户指南》中的服务相关角色权限

为 创建服务相关角色 AWS WAF

您无需手动创建服务相关角色。当你启用时 AWS WAF 正在登录 AWS Management Console,或者你在中PutLoggingConfiguration提出请求 AWS WAF CLI或者 AWS WAF API, AWS WAF 为您创建服务相关角色。

您必须具有 iam:CreateServiceLinkedRole 权限以启用日志记录。

如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当你启用时 AWS WAF 记录, AWS WAF 再次为您创建服务相关角色。

为 编辑服务相关角色 AWS WAF

AWS WAF 不允许您编辑AWSServiceRoleForWAFV2Logging服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是,您可以使用编辑角色的描述IAM。有关更多信息,请参阅IAM用户指南中的编辑服务相关角色

删除 的服务相关角色 AWS WAF

如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。

注意

如果 AWS WAF 当您尝试删除资源时,服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。

删除 AWS WAF 使用的资源 AWSServiceRoleForWAFV2Logging
  1. 在 AWS WAF 控制台,从每个 Web 中删除日志记录ACL。有关更多信息,请参阅 日志记录 AWS WAF 网络ACL流量

  2. 使用API或CLI,为每个启用了日志记录ACL的网站提交DeleteLoggingConfiguration请求。有关更多信息,请参阅 AWS WAF API参考

使用手动删除服务相关角色 IAM

使用IAM控制台IAMCLI、或删除AWSServiceRoleForWAFV2Logging服务相关角色。IAM API有关更多信息,请参阅IAM用户指南中的删除服务相关角色

支持的区域 AWS WAF 服务相关角色

AWS WAF 支持在提供服务的所有地区使用服务相关角色。有关更多信息,请参阅 AWS WAF 端点和配额