将服务相关角色用于 AWS WAF

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

本节介绍如何使用服务相关角色授予对 AWS 账户中资源的 AWS WAF 访问权限。

AWS WAF 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 AWS WAF服务相关角色由服务预定义 AWS WAF ，包括该服务代表您调用其他 AWS 服务所需的所有权限。

服务相关角色使设置变得 AWS WAF 更加容易，因为您不必手动添加必要的权限。 AWS WAF 定义其服务相关角色的权限，除非另有定义，否则 AWS WAF 只能担任其角色。定义的权限包括信任策略和权限策略。这些权限策略不能附加到任何其他 IAM 实体。

只有在先删除角色的相关资源后，才能删除服务相关角色。这样可以保护您的 AWS WAF 资源，因为您不会无意中删除访问资源的权限。

有关支持服务相关角色的其他服务的信息，请参阅使用 IAM 的AWS 服务并查找服务相关角色列中显示为是的服务。选择是和链接，查看该服务的服务相关角色文档。

的服务相关角色权限 AWS WAF

AWS WAF 使用服务相关角色AWSServiceRoleForWAFV2Logging向 Amazon Data Firehose 写入日志。只有在启用登录功能后才会使用此角色 AWS WAF。有关日志记录的信息，请参阅记录 AWS WAF Web ACL 流量。

此服务相关角色已附加到 AWS 托管策略WAFV2LoggingServiceRolePolicy。有关托管策略的更多信息，请参阅AWS 托管策略： WAFV2LoggingServiceRolePolicy。

AWSServiceRoleForWAFV2Logging 服务相关角色信任 wafv2.amazonaws.com 服务来代入角色。

该角色的权限策略 AWS WAF 允许对指定资源完成以下操作：

在 IAM 控制台中查看完整的服务相关角色：AWSServiceRoleForWAFV2日志记录。

您必须配置权限，允许 IAM 实体（如用户、组或角色）创建、编辑或删除服务相关角色。有关更多信息，请参阅《IAM 用户指南》中的服务相关角色权限。

为 AWS WAF创建服务相关角色

您无需手动创建服务相关角色。当您启用 AWS WAF 登录功能 AWS Management Console，或者在 CLI 或 AWS WAF AP AWS WAF I 中PutLoggingConfiguration发出请求时， AWS WAF 会为您创建服务相关角色。

您必须具有 iam:CreateServiceLinkedRole 权限以启用日志记录。

如果您删除该服务相关角色，然后需要再次创建，您可以使用相同流程在账户中重新创建此角色。启用 AWS WAF 日志记录后， AWS WAF 会再次为您创建服务相关角色。

为 AWS WAF编辑服务相关角色

AWS WAF 不允许您编辑AWSServiceRoleForWAFV2Logging服务相关角色。在创建服务相关角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。不过，您可以使用 IAM 编辑角色的说明。有关更多信息，请参阅《IAM 用户指南》中的编辑服务相关角色。

删除 AWS WAF的服务相关角色

如果不再需要使用某个需要服务相关角色的功能或服务，我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是，必须先清除服务相关角色的资源，然后才能手动删除它。

使用 IAM 手动删除服务相关角色

使用 IAM 控制台、IAM CLI 或 IAM API 删除 AWSServiceRoleForWAFV2Logging 服务相关角色。有关更多信息，请参阅《IAM 用户指南》中的删除服务相关角色。

AWS WAF 服务相关角色的受支持区域

AWS WAF 支持在提供服务的所有地区使用服务相关角色。有关更多信息，请参阅 AWS WAF 终端节点和限额。