AWS WAF V2 的動作、資源和條件索引鍵 - 服務授權參考
動作資源類型條件索引鍵

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS WAF V2 的動作、資源和條件索引鍵

AWS WAF V2 (服務字首:wafv2) 提供下列服務特定的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。

參考資料:

AWS WAF V2 定義的動作

您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。當您在政策中使用 動作時,通常會允許或拒絕存取具有相同名稱API的操作或CLI命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。

「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,您可以在具有該動作ARN的陳述式中指定該類型的 。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您在 IAM 政策中限制使用 Resource元素存取資源,您必須為每個必要的資源類型包含 ARN或 模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。

「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。

注意

資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。

如需下表各欄的詳細資訊,請參閱動作資料表

動作 描述 存取層級 資源類型 (*必填項目) 條件索引鍵 相依動作
AssociateWebACL 准許將 WebACL 與資源建立關聯 寫入

webacl*

apigateway:SetWebACL

apprunner:AssociateWebAcl

appsync:SetWebACL

cognito-idp:AssociateWebACL

ec2:AssociateVerifiedAccessInstanceWebAcl

elasticloadbalancing:SetWebAcl

apigateway

apprunner

appsync

loadbalancer/app/

userpool

verified-access-instance

CheckCapacity 准許計算指定範圍和一組規則的 Web ACL容量單位 (WCU) 需求 讀取
CreateAPIKey 准許建立API金鑰,以用於 JavaScript 整合CAPTCHAAPI用戶端應用程式中的 寫入
CreateIPSet 准許建立 IPSet 寫入

ipset*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRegexPatternSet 准許建立 RegexPatternSet 寫入

regexpatternset*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRuleGroup 准許建立 RuleGroup 寫入

rulegroup*

ipset

regexpatternset

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWebACL 准許建立 WebACL 寫入

webacl*

ipset

managedruleset

regexpatternset

rulegroup

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAPIKey 准許刪除API金鑰 寫入
DeleteFirewallManagerRuleGroups 如果不再由 Firewall Manager 管理,則准許 FirewallManagedRulesGroups 從 WebACL 刪除 寫入

webacl*

DeleteIPSet 准許刪除 IPSet 寫入

ipset*

DeleteLoggingConfiguration 准許 LoggingConfiguration 從 Web 刪除ACL 寫入

webacl*

wafv2:LogScope

DeletePermissionPolicy 准許刪除 PermissionPolicy 上的 RuleGroup 許可管理

rulegroup*

DeleteRegexPatternSet 准許刪除 RegexPatternSet 寫入

regexpatternset*

DeleteRuleGroup 准許刪除 RuleGroup 寫入

rulegroup*

DeleteWebACL 准許刪除 WebACL 寫入

webacl*

DescribeAllManagedProducts 准許擷取受管規則群組的產品資訊 讀取
DescribeManagedProductsByVendor 准許按照指定廠商擷取受管規則群組的產品資訊 讀取
DescribeManagedRuleGroup 准許擷取受管規則群組的高階資訊 讀取
DisassociateFirewallManager [僅限許可] 准許取消 Firewall Manager 與 Web 的關聯ACL 寫入

webacl*

DisassociateWebACL 准許取消 WebACL 與應用程式資源的關聯 寫入

apigateway

apigateway:SetWebACL

apprunner:DisassociateWebAcl

appsync:SetWebACL

cognito-idp:DisassociateWebACL

ec2:DisassociateVerifiedAccessInstanceWebAcl

elasticloadbalancing:SetWebAcl

apprunner

appsync

loadbalancer/app/

userpool

verified-access-instance

GenerateMobileSdkReleaseUrl 准許為URL指定的行動版本產生預先簽章的下載 SDK 讀取
GetDecryptedAPIKey 准許以解密形式傳回您的API金鑰。使用此選項來檢查您為金鑰定義的權杖網域 讀取
GetIPSet 准許擷取 的詳細資訊 IPSet 讀取

ipset*

aws:ResourceTag/${TagKey}

GetLoggingConfiguration 准許擷取 LoggingConfiguration WebACL 讀取

webacl*

aws:ResourceTag/${TagKey}

wafv2:LogScope

GetManagedRuleSet 准許擷取有關 的詳細資訊 ManagedRuleSet 讀取

managedruleset*

GetMobileSdkRelease 准許擷取指定行動SDK版本的資訊,包括版本備註和標籤 讀取
GetPermissionPolicy 准許擷取 PermissionPolicy 的 RuleGroup 讀取

rulegroup*

GetRateBasedStatementManagedKeys 准許擷取以速率為基礎的規則目前封鎖的金鑰 讀取

webacl*

aws:ResourceTag/${TagKey}

GetRegexPatternSet 准許擷取有關 的詳細資訊 RegexPatternSet 讀取

regexpatternset*

aws:ResourceTag/${TagKey}

GetRuleGroup 准許擷取有關 的詳細資訊 RuleGroup 讀取

rulegroup*

aws:ResourceTag/${TagKey}

GetSampledRequests 准許擷取關於 Web 請求抽樣的詳細資訊 讀取

webacl*

GetWebACL 准許擷取 Web 的詳細資訊ACL 讀取

webacl*

aws:ResourceTag/${TagKey}

GetWebACLForResource 准許擷取與資源相關聯的 WebACL 讀取

webacl*

apprunner:DescribeWebAclForService

cognito-idp:GetWebACLForResource

ec2:GetVerifiedAccessInstanceWebAcl

wafv2:GetWebACL

apigateway

apprunner

appsync

loadbalancer/app/

userpool

verified-access-instance

ListAPIKeys 准許擷取您為指定範圍定義的API金鑰清單 清單
ListAvailableManagedRuleGroupVersions 准許擷取可供您使用的受管規則群組版本陣列 清單
ListAvailableManagedRuleGroups 准許擷取可供您使用的受管規則群組陣列 清單
ListIPSets 准許擷取您管理之 IP 集的IPSetSummary物件陣列 清單
ListLoggingConfigurations 准許擷取 LoggingConfiguration 物件陣列 清單

wafv2:LogScope

ListManagedRuleSets 准許擷取 ManagedRuleSet 物件陣列 清單
ListMobileSdkReleases 准許擷取行動SDK和指定裝置平台的可用版本清單 清單
ListRegexPatternSets 准許擷取您管理之 regex 模式集的 RegexPatternSetSummary 物件陣列 清單
ListResourcesForWebACL 准許擷取與 Web 相關聯資源的 Amazon Resource Names (ARNs) 陣列 ACL 清單

webacl*

apprunner:ListAssociatedServicesForWebAcl

cognito-idp:ListResourcesForWebACL

ec2:DescribeVerifiedAccessInstanceWebAclAssociations

apprunner

userpool

verified-access-instance

ListRuleGroups 准許擷取您所管理規則群組的 RuleGroupSummary 物件陣列 清單
ListTagsForResource 准許列出資源的標籤 讀取

ipset

regexpatternset

rulegroup

webacl

aws:ResourceTag/${TagKey}

ListWebACLs 准許擷取ACLs您管理之 Web 的 W ebACLSummary 物件陣列 清單
PutFirewallManagerRuleGroups [僅限許可] 准許在 Web FirewallManagedRulesGroups 中建立ACL 寫入

webacl*

PutLoggingConfiguration 准許啟用 LoggingConfiguration,以開始記錄 Web ACL 寫入

webacl*

iam:CreateServiceLinkedRole

wafv2:LogScope

wafv2:LogDestinationResource

PutManagedRuleSetVersions 准許啟用建立新的 或更新現有版本的 ManagedRuleSet 寫入

managedruleset*

rulegroup*

PutPermissionPolicy 准許將IAM政策連接至 資源,用於在帳戶之間共用規則群組 許可管理

rulegroup*

TagResource 准許將標籤與 AWS 資源建立關聯 標記

ipset

regexpatternset

rulegroup

webacl

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

UntagResource 准許取消標籤與 AWS 資源的關聯 標記

ipset

regexpatternset

rulegroup

webacl

aws:TagKeys

UpdateIPSet 准許更新 IPSet 寫入

ipset*

aws:ResourceTag/${TagKey}

UpdateManagedRuleSetVersionExpiryDate 准許更新 中版本的過期日期 ManagedRuleSet 寫入

managedruleset*

UpdateRegexPatternSet 准許更新 RegexPatternSet 寫入

regexpatternset*

aws:ResourceTag/${TagKey}

UpdateRuleGroup 准許更新 RuleGroup 寫入

rulegroup*

ipset

regexpatternset

aws:ResourceTag/${TagKey}

UpdateWebACL 准許更新 WebACL 寫入

webacl*

ipset

managedruleset

regexpatternset

rulegroup

aws:ResourceTag/${TagKey}

AWS WAF V2 定義的資源類型

此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表

資源類型 ARN 條件索引鍵
webacl arn:${Partition}:wafv2:${Region}:${Account}:${Scope}/webacl/${Name}/${Id}

aws:ResourceTag/${TagKey}

ipset arn:${Partition}:wafv2:${Region}:${Account}:${Scope}/ipset/${Name}/${Id}

aws:ResourceTag/${TagKey}

managedruleset arn:${Partition}:wafv2:${Region}:${Account}:${Scope}/managedruleset/${Name}/${Id}
rulegroup arn:${Partition}:wafv2:${Region}:${Account}:${Scope}/rulegroup/${Name}/${Id}

aws:ResourceTag/${TagKey}

regexpatternset arn:${Partition}:wafv2:${Region}:${Account}:${Scope}/regexpatternset/${Name}/${Id}

aws:ResourceTag/${TagKey}

loadbalancer/app/ arn:${Partition}:elasticloadbalancing:${Region}:${Account}:loadbalancer/app/${LoadBalancerName}/${LoadBalancerId}
apigateway arn:${Partition}:apigateway:${Region}::/restapis/${ApiId}/stages/${StageName}
appsync arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}
userpool arn:${Partition}:cognito-idp:${Region}:${Account}:userpool/${UserPoolId}
apprunner arn:${Partition}:apprunner:${Region}:${Account}:service/${ServiceName}/${ServiceId}
verified-access-instance arn:${Partition}:ec2:${Region}:${Account}:verified-access-instance/${VerifiedAccessInstanceId}

AWS WAF V2 的條件索引鍵

AWS WAF V2 定義下列條件索引鍵,可用於 IAM政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表

若要檢視所有服務都可使用的全域條件鍵,請參閱可用全域條件鍵

條件索引鍵 描述 類型
aws:RequestTag/${TagKey} 依每個標籤的允許值集來篩選存取 字串
aws:ResourceTag/${TagKey} 依與資源相關聯的標籤值篩選存取權 字串
aws:TagKeys 依請求中是否存在強制性標籤來篩選存取 ArrayOfString
wafv2:LogDestinationResource 依 ARN的日誌目的地篩選存取權 PutLoggingConfiguration API ARN
wafv2:LogScope 依記錄組態的日誌範圍篩選存取權 API 字串