Amazon WAFClassic API 权限:操作、资源和条件参考 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon WAFClassic API 权限:操作、资源和条件参考

注意

这是Amazon WAFClassic文档中)。仅当 2019 年 11 月之前在 Amazon WAF 中创建了 Amazon WAF 资源(例如规则和 Web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的资源,请参阅迁移您的Amazon WAFClassic 资源Amazon WAF

对于最新版本的Amazon WAF,请参阅Amazon WAF.

当您设置访问控制并编写您可挂载到 IAM 身份的权限策略(基于身份的策略),则可以使用下表作为参考。该表列出了每个Amazon WAF传统 API 操作、您可授予执行该操作的权限的对应操作以及Amazon资源,您可以授予权限。您可以在策略的 Action 字段中指定这些操作,并在策略的 Resource 字段中指定资源值。

您可以使用Amazon的条件键Amazon WAF表达条件的经典策略。对于完整列表Amazon密钥,请参阅对于条件的可用键中的IAM 用户指南.

注意

要指定操作,请在 API 操作名称之前使用 waf: 前缀 (例如,waf:CreateIPSet)。

使用滚动条查看表的其余部分。

Amazon WAF经典 API 和必需的操作权限
Amazon WAFClassic API 操作 所需权限(API 操作) 资源

AssociateWebACL

waf:AssociateWebACL

elasticloadbalancing:SetWebACL

apigateway:SetWebACL

AssociateWebACL:

arn:aws:waf-regional:region:account-id:bytematchset/entity-ID

SetWebACL:

arn:aws:elasticloadbalancing:region:account-id:loadbalancer/entity-ID

arn:aws:apigateway:region::/restapis/api-ID/stages/stage-name

CreateByteMatchSet

waf:CreateByteMatchSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:bytematchset/entity-ID

区域(对于 Application Load Balancer):

arn:aws:waf-regional:region:account-id:bytematchset/entity-ID

CreateIPSet

waf:CreateIPSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:ipset/entity-ID

区域(对于 Application Load Balancer):

arn:aws:waf-regional:region:account-id:ipset/entity-ID

CreateRule

waf:CreateRule

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:rule/entity-ID

区域(对于 Application Load Balancer):

arn:aws:waf-regional:region:account-id:rule/entity-ID

CreateRateBasedRule

waf:CreateRateBasedRule

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:rule/entity-ID

区域(对于 Application Load Balancer):

arn:aws:waf-regional:region:account-id:rule/entity-ID

CreateRegexMatchSet

waf:CreateRegexMatchSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:regexmatch/entity-ID

区域(对于 Application Load Balancer):

arn:aws:waf-regional:region:account-id:regexmatch/entity-ID

CreateRegexPatternSet

waf:CreateRegexPatternSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:regexpatternset/entity-ID

区域(对于 Application Load Balancer):

arn:aws:waf-regional:region:account-id:regexpatternset/entity-ID
CreateSizeConstraintSet waf:CreateSizeConstraintSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:sizeconstraintset/entity-ID

区域(对于 Application Load Balancer):

arn:aws:waf-regional:region:account-id:sizeconstraintset/entity-ID
CreateSqlInjectionMatchSet waf:CreateSqlInjectionMatchSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:sqlinjectionmatchset/entity-ID

区域(对于 Application Load Balancer):

arn:aws:waf-regional:region:account-id:sqlinjectionmatchset/entity-ID
CreateWebACL waf:CreateWebACL

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:webacl/entity-ID

区域(对于 Application Load Balancer):

arn:aws:waf-regional:region:account-id:webacl/entity-ID
CreateXssMatchSet waf:CreateXssMatchSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:xssmatchset/entity-ID

区域(对于 Application Load Balancer):

arn:aws:waf-regional:region:account-id:xssmatchset/entity-ID
DeleteByteMatchSet waf:DeleteByteMatchSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:bytematchset/entity-ID

区域(对于 Application Load Balancer):

arn:aws:waf-regional:region:account-id:bytematchset/entity-ID
DeleteIPSet waf:DeleteIPSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:ipset/entity-ID

区域(对于 Application Load Balancer):

arn:aws:waf-regional:region:account-id:ipset/entity-ID
DeleteRule waf:DeleteRule

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:rule/entity-ID

区域(对于 Application Load Balancer):

arn:aws:waf-regional:region:account-id:rule/entity-ID
DeleteRateBasedRule waf:DeleteRateBasedRule

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:rule/entity-ID

区域(对于 Application Load Balancer):

arn:aws:waf-regional:region:account-id:rule/entity-ID
DeleteRegexMatchSet waf:DeleteRegexMatchSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:regexmatch/entity-ID

区域(对于 Application Load Balancer):

arn:aws:waf-regional:region:account-id:regexmatch/entity-ID
DeleteRegexPatternSet waf:DeleteRegexPatternSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:regexpatternset/entity-ID

区域(对于 Application Load Balancer):

arn:aws:waf-regional:region:account-id:regexpatternset/entity-ID
DeleteSizeConstraintSet waf:DeleteSizeConstraintSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:sizeconstraintset/entity-ID

区域(对于 Application Load Balancer):

arn:aws:waf-regional:region:account-id:sizeconstraintset/entity-ID
DeleteSqlInjectionMatchSet waf:DeleteSqlInjectionMatchSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:sqlinjectionmatchset/entity-ID

区域(对于 Application Load Balancer):

arn:aws:waf-regional:region:account-id:sqlinjectionmatchset/entity-ID
DeleteWebACL waf:DeleteWebACL

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:webacl/entity-ID

区域(对于 Application Load Balancer):

arn:aws:waf-regional:region:account-id:webacl/entity-ID
DeleteXssMatchSet waf:DeleteXssMatchSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:xssmatchset/entity-ID

区域(对于 Application Load Balancer):

arn:aws:waf-regional:region:account-id:xssmatchset/entity-ID

DisassociateWebACL

waf:DisassociateWebACL

elasticloadbalancing:SetWebACL

apigateway:SetWebACL

DisassociateWebACL:

arn:aws:waf-regional:region:account-id:bytematchset/entity-ID

SetWebACL:

arn:aws:elasticloadbalancing:region:account-id:loadbalancer/entity-ID

arn:aws:apigateway:region::/restapis/api-ID/stages/stage-name

GetByteMatchSet waf:GetByteMatchSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:bytematchset/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:bytematchset/entity-ID
GetChangeToken waf:GetChangeToken

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:changetoken/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:changetoken/entity-ID
GetChangeTokenStatus waf:GetChangeTokenStatus

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:changetoken/token-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:changetoken/token-ID
GetIPSet waf:GetIPSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:ipset/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:ipset/entity-ID
GetRule waf:GetRule

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:rule/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:rule/entity-ID
GetRateBasedRule waf:GetRateBasedRule

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:rule/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:rule/entity-ID
GetRateBasedRuleManagedKeys waf:GetRateBasedRuleManagedKeys

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:rule/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:rule/entity-ID
GetRegexMatchSet waf:GetRegexMatchSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:regexmatch/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:regexmatch/entity-ID
GetRegexPatternSet waf:GetRegexPatternSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:regexpatternset/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:regexpatternset/entity-ID
GetSampledRequests waf:GetSampledRequests 资源取决于 API 调用中指定的参数。您必须有权访问与针对示例的请求对应的规则或 Web ACL。例如:

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:rule/example1 或者 arn:aws:waf::account-id:webacl/example2

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:rule/example1 或者 arn:aws:waf-regional:region:account-id:webacl/example2
GetSizeConstraintSet waf:GetSizeConstraintSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:sizeconstraintset/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:sizeconstraintset/entity-ID
GetSqlInjectionMatchSet waf:GetSqlInjectionMatchSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:sqlinjectionmatchset/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:sqlinjectionmatchset/entity-ID
GetWebACL waf:GetWebACL

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:webacl/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:webacl/entity-ID
GetXssMatchSet waf:GetXssMatchSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:xssmatchset/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:xssmatchset/entity-ID
ListByteMatchSets waf:ListByteMatchSets

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:bytematchsets/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:bytematchsets/entity-ID
ListIPSets waf:ListIPSets

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:ipsets/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:ipsets/entity-ID
ListRules waf:ListRules

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:rules/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:rules/entity-ID
ListRateBasedRules waf:ListRateBasedRules

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:rules/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:rules/entity-ID
ListRegexMatchSets waf:ListRegexMatchSets

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:regexmatch/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:regexmatch/entity-ID
ListRegexPatternSets waf:ListRegexPatternSets

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:regexpatternset/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:regexpatternset/entity-ID
ListSizeConstraintSets waf:ListSizeConstraintSets

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:sizeconstaintsets/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:sizeconstaintsets/entity-ID
ListSqlInjectionMatchSets waf:ListSqlInjectionMatchSets

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:sqlinjectionmatchsets/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:sqlinjectionmatchsets/entity-ID
ListWebACLs waf:ListWebACLs

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:webacls/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:webacls/entity-ID
ListXssMatchSets waf:ListXssMatchSets

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:xssmatchsets/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:xssmatchsets/entity-ID
UpdateByteMatchSet waf:UpdateByteMatchSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:bytematchset/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:bytematchset/entity-ID
UpdateIPSet waf:UpdateIPSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:ipset/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:ipset/entity-ID

UpdateRule

waf:UpdateRule

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:rule/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:rule/entity-ID

UpdateRateBasedRule

waf:UpdateRateBasedRule

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:rule/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:rule/entity-ID

UpdateRegexMatchSet

waf:UpdateRegexMatchSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:regexmatch/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:regexmatch/entity-ID

UpdateRegexPatternSet

waf:UpdateRegexPatternSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:regexpatternset/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:regexpatternset/entity-ID

UpdateSizeConstraintSet

waf:UpdateSizeConstraintSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:sizeconstraintset/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:sizeconstraintset/entity-ID

UpdateSqlInjectionMatchSet

waf:UpdateSqlInjectionMatchSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:sqlinjectionmatchset/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:sqlinjectionmatchset/entity-ID

UpdateWebACL

waf:UpdateWebACL

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:webacl/entity-ID

arn:aws:waf::account-id:rule/rule-id-to-add-to-webacl

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:webacl/entity-ID

arn:aws:waf-regional:region:account-id:rule/rule-id-to-add-to-webacl

UpdateXssMatchSet

waf:UpdateXssMatchSet

全球(针对 Amazon CloudFront):

arn:aws:waf::account-id:xssmatchset/entity-ID

区域 (Application Load Balancer)

arn:aws:waf-regional:region:account-id:xssmatchset/entity-ID