对 Amazon WAF Classic 身份和访问进行故障排除 - Amazon WAF、Amazon Firewall Manager、Amazon Shield Advanced 和 Amazon Shield 网络安全分析器
我无权在 Amazon WAF Classic 中执行操作我无权执行 iam:PassRole我希望允许我的 Amazon Web Services 账户 以外的人访问我的 Amazon WAF Classic资源
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

介绍 Amazon WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

对 Amazon WAF Classic 身份和访问进行故障排除

警告

Amazon WAF Classic 正经历计划中的生命周期结束过程。有关您所在区域特定的里程碑和日期,请参阅您的 Amazon Health 控制面板。

注意

这是 Amazon WAF Classic 文档。仅当 2019 年 11 月之前在 Amazon WAF 中创建了 Amazon WAF 资源(例如规则和 web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的 web ACL,请参阅 将 Amazon WAF Classic 资源迁移到 Amazon WAF

有关 Amazon WAF 的最新版本,请参阅 Amazon WAF

使用以下信息可帮助您诊断和修复在使用 Amazon WAF Classic 和 IAM 时可能遇到的常见问题。

我无权在 Amazon WAF Classic 中执行操作

如果您收到错误提示,指明您无权执行某个操作,则必须更新策略以允许执行该操作。

mateojackson IAM 用户尝试使用控制台查看有关虚构 my-example-widget 资源的详细信息,但不拥有虚构 waf:GetWidget 权限时,会发生以下示例错误。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: waf:GetWidget on resource: my-example-widget

在此情况下,必须更新 mateojackson 用户的策略,以允许使用 waf:GetWidget 操作访问 my-example-widget 资源。

如果您需要帮助,请联系 Amazon 管理员。您的管理员是提供登录凭证的人。

我无权执行 iam:PassRole

如果您收到错误信息,表明您无权执行 iam:PassRole 操作,则必须更新策略以允许您将角色传递给 Amazon WAF Classic。

有些 Amazon Web Services 服务 允许将现有角色传递到该服务,而不是创建新服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。

当名为 marymajor 的 IAM 用户尝试使用控制台在 Amazon WAF Classic 中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

在这种情况下,必须更新 Mary 的策略以允许她执行 iam:PassRole 操作。

如果您需要帮助,请联系 Amazon 管理员。您的管理员是提供登录凭证的人。

我希望允许我的 Amazon Web Services 账户 以外的人访问我的 Amazon WAF Classic资源

您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表(ACL)的服务,您可以使用这些策略向人员授予对您的资源的访问权。

要了解更多信息,请参阅以下内容: