在 Classic 中使用服务相关角色 Amazon WAF - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon WAF Classic 的服务相关角色权限为 Amazon WAF Classic 创建服务相关角色编辑 Amazon WAF Classic 的服务相关角色删除客户端 Amazon WAF Classic 的服务相关角色Amazon WAF Classic 服务相关角色的受支持区域
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Classic 中使用服务相关角色 Amazon WAF

警告

Amazon WAF 经典支持将于 2025 年 9 月 30 日结束。

注意

这是 Amazon WAF Classic 文档。只有在 2019 年 11 月 Amazon WAF 之前创建了诸如规则和 Web ACLs 之类的 Amazon WAF 资源,并且尚未将其迁移到最新版本时,才应使用此版本。要迁移您的网站 ACLs,请参阅将您的 Amazon WAF 经典资源迁移到 Amazon WAF

有关的最新版本 Amazon WAF,请参阅Amazon WAF

Amazon WAF 经典用户 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的 IAM 角色类型,直接关联到 Cl Amazon WAF assic。服务相关角色由 Amazon WAF Classic 预定义,包括该服务代表您调用其他 Amazon 服务所需的所有权限。

服务相关角色可以更轻松地设置 Amazon WAF Classic,因为您不必手动添加必要的权限。 Amazon WAF Classic 定义了其服务相关角色的权限,除非另有定义,否则只有 Amazon WAF Classic 可以担任其角色。定义的权限包括信任策略和权限策略。这些权限策略不能附加到任何其他 IAM 实体。

只有在先删除角色的相关资源后,才能删除服务相关角色。这样可以保护您的 Amazon WAF 经典资源,因为您不能无意中删除访问这些资源的权限。

有关支持服务相关角色的其他服务的信息,请参阅使用 IAM 的Amazon 服务并查找服务相关角色列中显示为的服务。选择和链接,查看该服务的服务相关角色文档。

Amazon WAF Classic 的服务相关角色权限

Amazon WAF Classic 使用以下服务相关角色:

  • AWSServiceRoleForWAFLogging

  • AWSServiceRoleForWAFRegionalLogging

Amazon WAF Classic 使用这些与服务相关的角色将日志写入 Amazon Data Firehose。只有在启用登录功能后才会使用这些角色 Amazon WAF。有关更多信息,请参阅 记录 Web ACL 流量信息

AWSServiceRoleForWAFLoggingAWSServiceRoleForWAFRegionalLogging 服务相关角色(分别)信任以下服务以代入该角色:

  • waf.amazonaws.com

    waf-regional.amazonaws.com

角色的权限策略允许 Amazon WAF Classic 对指定资源完成以下操作:

  • 操作:firehose:PutRecordfirehose:PutRecordBatch在 Amazon Data 上,Firehose 的数据流资源名称以 “aws-waf-logs-” 开头。例如,aws-waf-logs-us-east-2-analytics

您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限

为 Amazon WAF Classic 创建服务相关角色

您无需手动创建服务相关角色。当您在上启用 Classi Amazon WAF c 登录 Amazon Web Services Management Console,或者在 Amazon WAF 经典 CLI 或经 Amazon WAF 典 API 中PutLoggingConfiguration发出请求时,Cl Amazon WAF assic 会为您创建服务相关角色。

您必须具有 iam:CreateServiceLinkedRole 权限以启用日志记录。

如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。启用 Amazon WAF Classic 日志记录后, Amazon WAF Classic 会再次为您创建服务相关角色。

编辑 Amazon WAF Classic 的服务相关角色

Amazon WAF Classic 不允许您编辑AWSServiceRoleForWAFLoggingAWSServiceRoleForWAFRegionalLogging服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

删除客户端 Amazon WAF Classic 的服务相关角色

如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。

注意

如果您尝试删除资源时,C Amazon WAF lassic 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。

删除AWSServiceRoleForWAFLogging和使用的 Amazon WAF 经典资源 AWSServiceRoleForWAFRegionalLogging

  1. 在 Amazon WAF 经典版控制台上,从每个 Web ACL 中删除日志记录。有关更多信息,请参阅 记录 Web ACL 流量信息

  2. 使用 API 或 CLI,为已启用日志记录的每个 Web ACL 提交 DeleteLoggingConfiguration 请求。有关更多信息,请参阅 Amazon WAF Classic API 参考

使用 IAM 手动删除服务相关角色

使用 IAM 控制台、IAM CLI 或 IAM API 删除 AWSServiceRoleForWAFLoggingAWSServiceRoleForWAFRegionalLogging 服务相关角色。有关更多信息,请参见《IAM 用户指南》中的删除服务相关角色

Amazon WAF Classic 服务相关角色的受支持区域

Amazon WAF Classic 支持在以下内容 Amazon Web Services 区域中使用服务相关角色。

区域名称 区域标识 Amazon WAF 经典版 Support
美国东部(弗吉尼亚州北部) us-east-1
美国东部(俄亥俄州) us-east-2
美国西部(加利福尼亚北部) us-west-1
美国西部(俄勒冈州) us-west-2
亚太地区(孟买) ap-south-1
亚太地区(大阪) ap-northeast-3
亚太地区(首尔) ap-northeast-2
亚太地区(新加坡) ap-southeast-1
亚太地区(悉尼) ap-southeast-2
亚太地区(东京) ap-northeast-1
加拿大(中部) ca-central-1
欧洲地区(法兰克福) eu-central-1
欧洲地区(爱尔兰) eu-west-1
欧洲地区(伦敦) eu-west-2
欧洲地区(巴黎) eu-west-3
南美洲(圣保罗) sa-east-1
中国(北京) cn-north-1