本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS WAF 的動作、資源及條件索引鍵
AWS WAF (服務字首:waf) 提供可用於 IAM 許可政策的下列服務特定資源、動作和條件內容金鑰。
參考資料:
-
了解如何設定此服務。
-
檢視API此服務可用的操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
AWS WAF 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。當您在政策中使用 動作時,通常會允許或拒絕存取具有相同名稱API的操作或CLI命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,您可以在具有該動作ARN的陳述式中指定該類型的 。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您在 IAM 政策中限制使用 Resource元素存取資源,您必須為每個必要的資源類型包含 ARN或 模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| CreateByteMatchSet | 准許建立 ByteMatchSet | 寫入 | |||
| CreateGeoMatchSet | 准許建立 GeoMatchSet | 寫入 | |||
| CreateIPSet | 准許建立 IPSet | 寫入 | |||
| CreateRateBasedRule | 准許建立 RateBasedRule 以限制來自單一 IP 地址的請求數量 | 寫入 | |||
| CreateRegexMatchSet | 准許建立 RegexMatchSet | 寫入 | |||
| CreateRegexPatternSet | 准許建立 RegexPatternSet | 寫入 | |||
| CreateRule | 准許建立規則,以篩選 Web 請求 | 寫入 | |||
| CreateRuleGroup | 准許建立 RuleGroup,這是您可以在 Web 中使用的預先定義規則集合ACL | 寫入 | |||
| CreateSizeConstraintSet | 准許建立 SizeConstraintSet | 寫入 | |||
| CreateSqlInjectionMatchSet | 准許建立 SqlInjectionMatchSet | 寫入 | |||
| CreateWebACL | 准許建立 WebACL,其中包含篩選 Web 請求的規則 | 許可管理 | |||
| CreateWebACLMigrationStack | 准許在 S3 儲存貯體中建立 CloudFormation Web ACL 範本,以便將 Web ACL 從 AWS WAF Classic 遷移至 AWS WAF v2 | 寫入 |
s3:PutObject |
||
| CreateXssMatchSet | 准許建立 XssMatchSet,您可以使用它來偵測包含跨網站指令碼攻擊的請求 | 寫入 | |||
| DeleteByteMatchSet | 准許刪除 ByteMatchSet | 寫入 | |||
| DeleteGeoMatchSet | 准許刪除 GeoMatchSet | 寫入 | |||
| DeleteIPSet | 准許刪除 IPSet | 寫入 | |||
| DeleteLoggingConfiguration | 准許 LoggingConfiguration 從 Web 刪除 ACL | 寫入 | |||
| DeletePermissionPolicy | 准許從規則群組刪除IAM政策 | 許可管理 | |||
| DeleteRateBasedRule | 准許刪除 RateBasedRule | 寫入 | |||
| DeleteRegexMatchSet | 准許刪除 RegexMatchSet | 寫入 | |||
| DeleteRegexPatternSet | 准許刪除 RegexPatternSet | 寫入 | |||
| DeleteRule | 准許刪除規則 | 寫入 | |||
| DeleteRuleGroup | 准許刪除 RuleGroup | 寫入 | |||
| DeleteSizeConstraintSet | 准許刪除 SizeConstraintSet | 寫入 | |||
| DeleteSqlInjectionMatchSet | 准許刪除 SqlInjectionMatchSet | 寫入 | |||
| DeleteWebACL | 准許刪除 WebACL | 許可管理 | |||
| DeleteXssMatchSet | 准許刪除 XssMatchSet | 寫入 | |||
| GetByteMatchSet | 准許擷取 ByteMatchSet | 讀取 | |||
| GetChangeToken | 准許擷取變更字符,以用於建立、更新和刪除請求 | 讀取 | |||
| GetChangeTokenStatus | 准許擷取變更字符的狀態 | 讀取 | |||
| GetGeoMatchSet | 准許擷取 GeoMatchSet | 讀取 | |||
| GetIPSet | 准許擷取 IPSet | 讀取 | |||
| GetLoggingConfiguration | 准許擷取 Web LoggingConfiguration 的 ACL | 讀取 | |||
| GetPermissionPolicy | 准許擷取規則群組IAM的政策 | 讀取 | |||
| GetRateBasedRule | 准許擷取 RateBasedRule | 讀取 | |||
| GetRateBasedRuleManagedKeys | 准許擷取目前被 封鎖的 IP 地址陣列 RateBasedRule | 讀取 | |||
| GetRegexMatchSet | 准許擷取 RegexMatchSet | 讀取 | |||
| GetRegexPatternSet | 准許擷取 RegexPatternSet | 讀取 | |||
| GetRule | 准許擷取規則 | 讀取 | |||
| GetRuleGroup | 准許擷取 RuleGroup | 讀取 | |||
| GetSampledRequests | 准許擷取關於 Web 請求範例集的詳細資訊 | 讀取 | |||
| GetSizeConstraintSet | 准許擷取 SizeConstraintSet | 讀取 | |||
| GetSqlInjectionMatchSet | 准許擷取 SqlInjectionMatchSet | 讀取 | |||
| GetWebACL | 准許擷取 WebACL | 讀取 | |||
| GetXssMatchSet | 准許擷取 XssMatchSet | 讀取 | |||
| ListActivatedRulesInRuleGroup | 准許擷取 ActivatedRule 物件陣列 | 清單 | |||
| ListByteMatchSets | 准許擷取 ByteMatchSetSummary 物件陣列 | 清單 | |||
| ListGeoMatchSets | 准許擷取 GeoMatchSetSummary 物件陣列 | 清單 | |||
| ListIPSets | 准許擷取IPSetSummary物件陣列 | 清單 | |||
| ListLoggingConfigurations | 准許擷取 LoggingConfiguration 物件陣列 | 清單 | |||
| ListRateBasedRules | 准許擷取 RuleSummary 物件陣列 | 清單 | |||
| ListRegexMatchSets | 准許擷取 RegexMatchSetSummary 物件陣列 | 清單 | |||
| ListRegexPatternSets | 准許擷取 RegexPatternSetSummary 物件陣列 | 清單 | |||
| ListRuleGroups | 准許擷取 RuleGroup 物件陣列 | 清單 | |||
| ListRules | 准許擷取 RuleSummary 物件陣列 | 清單 | |||
| ListSizeConstraintSets | 准許擷取 SizeConstraintSetSummary 物件陣列 | 清單 | |||
| ListSqlInjectionMatchSets | 准許擷取 SqlInjectionMatchSet 物件陣列 | 清單 | |||
| ListSubscribedRuleGroups | 准許擷取您訂閱的 RuleGroup 物件陣列 | 清單 | |||
| ListTagsForResource | 准許擷取資源標籤 | 讀取 | |||
| ListWebACLs | 准許擷取 W ebACLSummary 物件陣列 | 清單 | |||
| ListXssMatchSets | 准許擷取 XssMatchSet 物件陣列 | 清單 | |||
| PutLoggingConfiguration | 准許將 LoggingConfiguration 與指定的 Web 建立關聯 ACL | 寫入 |
iam:CreateServiceLinkedRole |
||
| PutPermissionPolicy | 准許將IAM政策連接至規則群組,以在帳戶之間共用規則群組 | 許可管理 | |||
| TagResource | 准許將標籤新增至資源 | 標記 | |||
| UntagResource | 准許從資源移除標籤 | 標記 | |||
| UpdateByteMatchSet | 准許在 中插入或刪除 ByteMatchTuple 物件 ByteMatchSet | 寫入 | |||
| UpdateGeoMatchSet | 准許在 中插入或刪除 GeoMatchConstraint 物件 GeoMatchSet | 寫入 | |||
| UpdateIPSet | 准許在 中插入或刪除IPSetDescriptor物件 IPSet | 寫入 | |||
| UpdateRateBasedRule | 准許修改以速率為基礎的規則 | 寫入 | |||
| UpdateRegexMatchSet | 准許在 中插入或刪除 RegexMatchTuple 物件 RegexMatchSet | 寫入 | |||
| UpdateRegexPatternSet | 准許在 RegexPatternStrings 中插入或刪除 RegexPatternSet | 寫入 | |||
| UpdateRule | 准許修改規則 | 寫入 | |||
| UpdateRuleGroup | 准許在 中插入或刪除 ActivatedRule 物件 RuleGroup | 寫入 | |||
| UpdateSizeConstraintSet | 准許在 中插入或刪除 SizeConstraint 物件 SizeConstraintSet | 寫入 | |||
| UpdateSqlInjectionMatchSet | 准許在 中插入或刪除 SqlInjectionMatchTuple 物件 SqlInjectionMatchSet | 寫入 | |||
| UpdateWebACL | 准許在 Web 中插入或刪除 ActivatedRule 物件ACL | 許可管理 | |||
| UpdateXssMatchSet | 准許在 中插入或刪除 XssMatchTuple 物件 XssMatchSet | 寫入 |
AWS WAF 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| bytematchset |
arn:${Partition}:waf::${Account}:bytematchset/${Id}
|
|
| ipset |
arn:${Partition}:waf::${Account}:ipset/${Id}
|
|
| ratebasedrule |
arn:${Partition}:waf::${Account}:ratebasedrule/${Id}
|
|
| rule |
arn:${Partition}:waf::${Account}:rule/${Id}
|
|
| sizeconstraintset |
arn:${Partition}:waf::${Account}:sizeconstraintset/${Id}
|
|
| sqlinjectionmatchset |
arn:${Partition}:waf::${Account}:sqlinjectionset/${Id}
|
|
| webacl |
arn:${Partition}:waf::${Account}:webacl/${Id}
|
|
| xssmatchset |
arn:${Partition}:waf::${Account}:xssmatchset/${Id}
|
|
| regexmatchset |
arn:${Partition}:waf::${Account}:regexmatch/${Id}
|
|
| regexpatternset |
arn:${Partition}:waf::${Account}:regexpatternset/${Id}
|
|
| geomatchset |
arn:${Partition}:waf::${Account}:geomatchset/${Id}
|
|
| rulegroup |
arn:${Partition}:waf::${Account}:rulegroup/${Id}
|
AWS WAF 的條件索引鍵
AWS WAF 定義下列條件金鑰,可用於 IAM 政策的 Condition 元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有服務都可使用的全域條件鍵,請參閱可用全域條件鍵。
| 條件索引鍵 | 描述 | 類型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 根據每個標籤的允許值集來篩選動作 | 字串 |
| aws:ResourceTag/${TagKey} | 根據與資源相關聯的標籤值來篩選動作 | 字串 |
| aws:TagKeys | 根據請求中是否存在強制標籤來篩選動作 | ArrayOfString |
