Amazon WAF V2 的操作、资源和条件键 - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon WAF V2 的操作、资源和条件键

Amazon WAF V2(服务前缀:wafv2)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

Amazon WAF V2 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 Amazon 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AssociateWebACL 授予权限以将 WebACL 与资源关联。 写入

webacl*

apigateway

appsync

loadbalancer/app/

CheckCapacity 授予权限以计算指定范围和规则集的 Web ACL 容量单位 (WCU) 要求。 Read
CreateIPSet 授予创建 IPSet 的权限 写入

ipset*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRegexPatternSet 授予创建 RegexPatternSet 的权限 写入

regexpatternset*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRuleGroup 授予创建 RuleGroup 的权限 写入

rulegroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWebACL 授予创建 WebACL 的权限 权限管理

webacl*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteFirewallManagerRuleGroups 授予从指定的 WebACL 中删除指定的 FirewallManagedRulesGroups(如果不再由 Firewall Manager 管理)的权限。 写入

webacl*

DeleteIPSet 授予删除 IPSet 的权限 写入

ipset*

DeleteLoggingConfiguration 授予权限以从指定的 WebACL 中删除 LoggingConfiguration。 写入

webacl*

DeletePermissionPolicy 授予删除指定 RuleGroup 上的 PermissionPolicy 的权限。 权限管理

rulegroup*

DeleteRegexPatternSet 授予创建 RegexPatternSet 的权限 写入

regexpatternset*

DeleteRuleGroup 授予删除 RuleGroup 的权限 写入

rulegroup*

DeleteWebACL 授予删除 WebACL 的权限 权限管理

webacl*

DescribeManagedRuleGroup 授予权限以查看托管规则组的高级信息。 List
DisassociateFirewallManager [仅权限] 授予权限以取消 Firewall Manager 与 WebACL 的关联 写入

webacl*

DisassociateWebACL 授予权限以取消 WebACL 与应用程序资源的关联。 写入

apigateway

appsync

loadbalancer/app/

GetIPSet 授予检索存档详细信息的权限 Read

ipset*

aws:ResourceTag/${TagKey}

GetLoggingConfiguration 授予检索 WebACL 的 LoggingConfiguration 的权限 Read

webacl*

aws:ResourceTag/${TagKey}

GetPermissionPolicy 授予检索 RuleGroup 的 PermissionPolicy 的权限 Read

rulegroup*

GetRateBasedStatementManagedKeys 授予权限以查看基于速率的规则当前阻止的键。 Read

webacl*

aws:ResourceTag/${TagKey}

GetRegexPatternSet 授予检索连接详细信息的权限 Read

regexpatternset*

aws:ResourceTag/${TagKey}

GetRuleGroup 授予检索连接详细信息的权限 Read

rulegroup*

aws:ResourceTag/${TagKey}

GetSampledRequests 授予检索有关 Web 请求采样的详细信息的权限 Read

webacl*

GetWebACL 授予检索 WebACL 详细信息的权限 Read

webacl*

aws:ResourceTag/${TagKey}

GetWebACLForResource 授予检索与资源关联的 WebACL 的权限 Read

apigateway

appsync

loadbalancer/app/

ListAvailableManagedRuleGroups 授予权限以查看可供您使用的托管规则组数组。 List
ListIPSets 授予权限以查看您管理的 IP 集的 IPSetSummary 对象数组。 List
ListLoggingConfigurations 授予权限以查看 LoggingConfiguration 对象数组。 List
ListRegexPatternSets 授予权限以查看您管理的正则表达式模式集的 RegexPatternSetSummary 对象数组。 List
ListResourcesForWebACL 授予权限以查看与指定 Web ACL 关联的资源的 Amazon 资源名称 (ARN) 数组。 List

webacl*

ListRuleGroups 授予权限以查看您管理的规则组的 RulegRoupSummary 对象数组。 List
ListTagsForResource 授予权限以列出资源的标签 Read

ipset

regexpatternset

rulegroup

webacl

aws:ResourceTag/${TagKey}

ListWebACLs 授予权限以查看您管理的 Web ACL 的 WebACLSummary 对象数组。 List
PutFirewallManagerRuleGroups [仅权限] 授予权限以在指定 WebACL 中创建 FirewallManagedRulesGroups。 写入

webacl*

PutLoggingConfiguration 授予启用 LoggingConfiguration、开始记录 Web ACL 的权限 写入

webacl*

iam:CreateServiceLinkedRole

PutPermissionPolicy 授予将 IAM 策略附加到资源,以用于在账户之间共享规则组的权限 权限管理

rulegroup*

TagResource 授予将标签与Amazon资源关联的权限 标记

ipset

regexpatternset

rulegroup

webacl

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

UntagResource 授予权限以取消标签与Amazon资源的关联 标记

ipset

regexpatternset

rulegroup

webacl

aws:TagKeys

UpdateIPSet 授予权限以更新输入 写入

ipset*

aws:ResourceTag/${TagKey}

UpdateRegexPatternSet 授予权限以创建 RegexPatternSet。 写入

regexpatternset*

aws:ResourceTag/${TagKey}

UpdateRuleGroup 授予权限以更新会议室 写入

rulegroup*

aws:ResourceTag/${TagKey}

UpdateWebACL 授予权限以更新站点 权限管理

webacl*

aws:ResourceTag/${TagKey}

Amazon WAF V2 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

资源类型 ARN 条件键
webacl arn:${Partition}:wafv2:${Region}:${Account}:${Scope}/webacl/${Name}/${Id}

aws:ResourceTag/${TagKey}

ipset arn:${Partition}:wafv2:${Region}:${Account}:${Scope}/ipset/${Name}/${Id}

aws:ResourceTag/${TagKey}

rulegroup arn:${Partition}:wafv2:${Region}:${Account}:${Scope}/rulegroup/${Name}/${Id}

aws:ResourceTag/${TagKey}

regexpatternset arn:${Partition}:wafv2:${Region}:${Account}:${Scope}/regexpatternset/${Name}/${Id}

aws:ResourceTag/${TagKey}

loadbalancer/app/ arn:${Partition}:elasticloadbalancing:${Region}:${Account}:loadbalancer/app/${LoadBalancerName}/${LoadBalancerId}
apigateway arn:${Partition}:apigateway:${Region}::/restapis/${ApiId}/stages/${StageName}
appsync arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}

Amazon WAF V2 的条件键

Amazon WAF V2 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 根据每个标签的允许值集筛选操作 字符串
aws:ResourceTag/${TagKey} 根据与资源关联的标签值筛选操作 字符串
aws:TagKeys 根据在请求中是否具有必需标签以筛选操作 字符串