将服务相关角色用于Amazon WAFClassic - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将服务相关角色用于Amazon WAFClassic

注意

这是Amazon WAFClassic文档中)。仅当 2019 年 11 月之前在 Amazon WAF 中创建了 Amazon WAF 资源(例如规则和 Web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的资源,请参阅迁移您的Amazon WAF经典资源Amazon WAF

对于最新版本的Amazon WAF,请参阅Amazon WAF.

Amazon WAF经典用用性Amazon Identity and Access Management(IC)服务相关角色. 服务相关角色是一种独特类型的 IAM 角色,它与Amazon WAFClassic。服务相关角色由预先定义Amazon WAFClassic,并包含该服务调用其他Amazon代表您提供服务。

服务相关角色可让您设置Amazon WAFClassic 更轻松,因为您不必手动添加必要的权限。Amazon WAFClassic 定义其服务相关角色的权限,除非另外定义,否则只有Amazon WAFClication 可以采用其角色。定义的权限包括信任策略和权限策略。这些权限策略不能附加到任何其他 IAM 实体。

只有在先删除角色的相关资源后,才能删除服务相关角色。这可以保护Amazon WAF经典资源,因为您不会无意中删除访问这些资源的权限。

有关支持服务相关角色的其它服务的信息,请参阅使用 IAM 的 Amazon 服务并查找 Service-Linked Role(服务相关角色)列中显示为 Yes(是)的服务。请选择 Yes 与查看该服务的服务相关角色文档的链接。

的服务相关角色权限Amazon WAFClassic

Amazon WAFClassic 使用下列服务相关角色:

  • AWSServiceRoleForWAFLogging

  • AWSServiceRoleForWAFRegionalLogging

Amazon WAFClassic 使用这些服务相关角色将日志写入 Amazon Kinesis Data Firehose。仅当您在 Amazon WAF 中启用日志记录时,才会使用这些角色。有关更多信息,请参阅 记录 Web ACL 流量信息

这些区域有:AWSServiceRoleForWAFLoggingAWSServiceRoleForWAFRegionalLogging服务相关角色(分别)信任以下服务以代入该角色:

  • waf.amazonaws.com

    waf-regional.amazonaws.com

角色的权限策略允许Amazon WAFClassic 用于对指定资源完成以下操作:

  • 操作:firehose:PutRecordfirehose:PutRecordBatch在 Amazon Kinesis Data 上 Firehose 名称以” 开头的数据流资源aws-waf-logs-。” 例如,aws-waf-logs-us-east-2-analytics

必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限

为 创建服务相关角色Amazon WAFClassic

无需手动创建服务相关角色。当你启用Amazon WAF经典登录Amazon Web Services Management Console,或者您做出一个PutLoggingConfiguration请求Amazon WAF经典 CLI 或Amazon WAF经性 API,Amazon WAFClassic 将为您创建服务相关角色。

您必须具有 iam:CreateServiceLinkedRole 权限以启用日志记录。

如果删除此服务相关角色,然后需要再次创建,可以使用相同流程在账户中重新创建此角色。当你启用Amazon WAF经典性,Amazon WAFClassic 将再次为您创建服务相关角色。

为 编辑服务相关角色Amazon WAFClassic

Amazon WAF经典不允许您编辑AWSServiceRoleForWAFLoggingAWSServiceRoleForWAFRegionalLogging服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参见《IAM 用户指南》中的编辑服务相关角色

删除 的服务相关角色Amazon WAFClassic

如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。

注意

如果Amazon WAF在您尝试删除资源时 Classic 服务正在使用该角色,删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。

要删除Amazon WAF使用的经典资源AWSServiceRoleForWAFLoggingAWSServiceRoleForWAFRegionalLogging

  1. 在存储库的Amazon WAF经典控制台,删除所有 Web ACL 的日志记录。有关更多信息,请参阅 记录 Web ACL 流量信息

  2. 使用 API 或 CLI,为已启用日志记录的每个 Web ACL 提交 DeleteLoggingConfiguration 请求。有关更多信息,请参阅 。Amazon WAF经典API.

使用 IAM 手动删除服务相关角色

使用 IAM 控制台、IAM CLI 或 IAM IAM API 删除AWSServiceRoleForWAFLoggingAWSServiceRoleForWAFRegionalLogging服务相关角色。有关更多信息,请参见 IAM 用户指南中的删除服务相关角色

的支持区域Amazon WAF经典角色

Amazon WAFClassic 支持在以下内容中使用服务相关角色Amazon Web Services 区域.

区域名称 区域标识 在 中支持Amazon WAFClassic
美国东部(弗吉尼亚州北部) us-east-1
美国东部(俄亥俄州) us-east-2
美国西部(北加利福尼亚) us-west-1
美国西部(俄勒冈州) us-west-2
亚太地区(孟买) ap-south-1
亚太地区(大阪) ap-northeast-3
亚太地区(首尔) ap-northeast-2
亚太地区(新加坡) ap-southeast-1
亚太地区(悉尼) ap-southeast-2
亚太地区(东京) ap-northeast-1
加拿大(中部) ca-central-1
欧洲(法兰克福) eu-central-1
欧洲(爱尔兰) eu-west-1
欧洲(伦敦) eu-west-2
欧洲(巴黎) eu-west-3
南美洲(圣保罗) sa-east-1
中国(北京) cn-north-1