本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS-AddWAFRegionalRuleToWebAcl
Description
AWS-AddWAFRegionalRuleToWebAcl Runbook 會將現有的 AWS WAF 區域規則、規則群組或速率型規則新增至 AWS WAF Classic 區域 Web 存取控制清單 (ACL)。此 Runbook 不會更新由 管理ACL的現有 AWS WAF Classic 區域 Web AWS Firewall Manager。
文件類型
自動化
擁有者
Amazon
平台
Linux、macOS, Windows
參數
-
AutomationAssumeRole
類型:字串
說明:(選用) 允許 Systems Manager Automation 代表您執行動作ARN的 () 角色的 AWS Identity and Access Management Amazon Resource Name (IAM)。如果未指定角色,Systems Manager Automation 會使用啟動此 Runbook 的使用者許可。
-
WebACLId
類型:字串
描述:(必要) ACL 您要更新的 Web ID。
-
ActivatedRulePriority
類型:整數
描述:(必要) 新規則的優先順序。規則優先順序決定 Web 中規則ACL的評估順序。具有較低值的規則具有比具有較高值的規則更高的優先順序。值必須是唯一的整數。如果您將多個規則新增至區域 WebACL,則值不必是連續的。
-
ActivatedRuleRuleId
類型:字串
描述:(必要) 您要新增至 Web 的一般規則、速率型規則或群組的 IDACL。
-
ActivatedRuleAction
類型:字串
有效值: ALLOW | BLOCK | COUNT
描述:(選用) 指定 Web 請求符合規則條件時所 AWS WAF 採取的動作。
-
ActivatedRuleType
類型:字串
有效值: REGULAR | RATE_BASED | GROUP
預設: REGULAR
描述:(選用) 您要新增至 Web 的規則類型ACL。雖然此欄位是選用的,但請注意,如果您嘗試在不設定類型ACL的情況下將
RATE_BASED規則新增至 Web,則請求會失敗,因為請求預設為REGULAR規則。
必要的IAM許可
AutomationAssumeRole 參數需要下列動作才能成功使用 Runbook。
-
ssm:StartAutomationExecution -
ssm:GetAutomationExecution -
waf-regional:GetChangeToken -
waf-regional:GetWebACL -
waf-regional:UpdateWebACL
文件步驟
-
DetermineWebACLNotInFMSAndRulePriority (aws:executeScript) - 驗證 AWS WAF Web ACL 是否在 Firewall Manager 安全政策中,並驗證優先順序 ID 不會與現有的 衝突ACL。
-
AddRuleOrRuleGroupToWebACL (aws:executeScript) - 將指定的規則新增至 AWS WAF Web ACL。
-
VerifyRuleOrRuleGroupAddedToWebAcl (aws:executeScript) - 驗證指定的 AWS WAF 規則是否已新增至目標 Web ACL。
輸出
-
DetermineWebACLNotInFMSAndRulePriority.PrereqResponse:從
DetermineWebACLNotInFMSAndRulePriority步驟輸出。 -
VerifyRuleOrRuleGroupAddedToWebAcl.VerifyRuleOrRuleGroupAddedToWebACLResponse:從
AddRuleOrRuleGroupToWebACL步驟輸出。 -
VerifyRuleOrRuleGroupAddedToWebAcl.ListActivatedRulesOrRuleGroupsInWebACLResponse:
VerifyRuleOrRuleGroupAddedToWebAcl步驟的輸出。
