为 Amazon Firewall Manager 使用基于身份的策略(IAM policy) - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon Firewall Manager 使用基于身份的策略(IAM policy)

此部分提供了基于身份的策略的示例,这些示例展示了账户管理员如何将权限策略附加到 IAM 身份(即用户、组和角色),从而授予对 Amazon Firewall Manager 资源执行操作的权限。

重要

我们建议您首先阅读以下介绍性主题,这些主题讲解了管理 Amazon Firewall Manager 资源访问的基本概念和选项。有关更多信息,请参阅 管理 Amazon Firewall Manager 资源的访问权限的概述

有关显示所有 Amazon Firewall Manager API 操作及其适用的资源的表,请参阅 Firewall Manager 需要权限才能进行 API 操作

主题

使用 Amazon Firewall Manager 控制台所需的权限

Amazon Firewall Manager控制台为您创建和管理 Firewall Manager 资源提供了一个集成环境。该控制台提供了许多功能和工作流程,除了中记录的特定于 API 的权限外,这些功能和工作流程通常还需要权限才能创建 Firewall Manager 资源Firewall Manager 需要权限才能进行 API 操作。有关这些附加控制台权限的更多信息,请参阅客户托管式策略示例

授予对Amazon Firewall Manager资源的完全访问权限

如果您在使用托管策略创建或管理 Firewall Manager 策略时遇到困难,请遵循此指南AWSFMAdminFullAccess。有关使用托管策略的信息Amazon Firewall Manager,请参阅

此政策不包含在中设置亚马逊简单通知服务通知的权限Amazon Firewall Manager。有关如何设置亚马逊简单通知服务访问权限的信息,请参阅设置亚马逊简单通知服务的访问权限

使用以下政策向您的账户授予完全管理权限:

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "fms:*", "waf:*", "waf-regional:*", "elasticloadbalancing:SetWebACL", "firehose:ListDeliveryStreams", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListRoots", "organizations:ListChildren", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "shield:GetSubscriptionState", "route53resolver:ListFirewallRuleGroups", "route53resolver:GetFirewallRuleGroup", "wafv2:ListRuleGroups", "wafv2:ListAvailableManagedRuleGroups", "wafv2:CheckCapacity", "wafv2:PutLoggingConfiguration", "wafv2:ListAvailableManagedRuleGroupVersions", "network-firewall:DescribeRuleGroup", "network-firewall:DescribeRuleGroupMetadata", "network-firewall:ListRuleGroups", "ec2:DescribeAvailabilityZones", "ec2:DescribeRegions" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "s3:PutBucketPolicy", "s3:GetBucketPolicy" ], "Resource":[ "arn:aws:s3:::aws-waf-logs-*" ] }, { "Effect":"Allow", "Action":"iam:CreateServiceLinkedRole", "Resource":"*", "Condition":{ "StringEquals":{ "iam:AWSServiceName":[ "fms.amazonaws.com" ] } } }, { "Effect":"Allow", "Action":[ "organizations:EnableAWSServiceAccess", "organizations:ListDelegatedAdministrators", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource":"*", "Condition":{ "StringEquals":{ "organizations:ServicePrincipal":[ "fms.amazonaws.com" ] } } } ] }

权限详情

此策略包含以下权限。 :

  • fms:*:

    可让您处理Amazon Firewall Manager资源。

  • waf:*, waf-regional:*:

    可让您处理Amazon WAF策略。

  • waf:*, waf-regional:*:

    可让您处理Amazon WAF策略。

  • elasticloadbalancing:SetWebACL:

    可让您将 Web 访问控制列表 (ACL) 关联到弹性负载均衡器。

  • firehose:ListDeliveryStreams:

    允许您查看Amazon WAF日志。

  • organizations:DescribeAccount, organizations:DescribeOrganization, organizations:ListRoots, organizations:ListChildren, organizations:ListAccounts, organizations:ListAccountsForParent, organizations:ListOrganizationalUnitsForParent:

    可让您与OrganizationsAmazon 合作。

  • shield:GetSubscriptionState:

    允许您查看Amazon Shield策略的订阅状态。

  • route53resolver:ListFirewallRuleGroups, route53resolver:GetFirewallRuleGroup:

    允许您在适用于 VPC 的 Route 53 私有 DNS 策略中使用 VPC 规则组的 Route 53 私有 DNS。

  • wafv2:ListRuleGroups, wafv2:ListAvailableManagedRuleGroups, wafv2:CheckCapacity, wafv2:PutLoggingConfiguration, wafv2:ListAvailableManagedRuleGroupVersions:

    可让您处理Amazon WAFV2策略。

  • network-firewall:DescribeRuleGroup, network-firewall:DescribeRuleGroupMetadata, network-firewall:ListRuleGroups:

    可让您处理Amazon Network Firewall策略。

  • ec2:DescribeAvailabilityZones:

    允许您查看Amazon Network Firewall策略的可用区。

  • ec2:DescribeRegions:

    允许您在Amazon Firewall Manager控制台中查看策略的区域。

客户托管式策略示例

此部分中的示例提供了一组可附加到用户的示例策略。如果您是首次创建策略,建议您先在账户中创建 IAM 用户,并按本节操作步骤所述顺序将策略附加到该用户。

在将每个策略附加到用户时,可使用控制台验证该策略的效果。最初,用户没有权限并且无法在控制台中执行任何操作。在将策略附加到用户时,可以验证用户是否能在控制台中执行各种操作。

建议您使用两个浏览器窗口:一个浏览器窗口用于创建用户和授予权限,另一个浏览器窗口用于使用用户凭证登录 Amazon Web Services Management Console,并在向用户授予权限时验证这些权限。

有关演示如何创建可用作 Firewall Manager 资源执行角色的 IAM 角色的示例,请参阅 IAM 用户指南中的创建 IAM 角色

示例主题

创建 IAM 用户

首先,您需要创建一个 IAM 用户,将该用户添加到具有管理权限的 IAM 组,然后向您创建的 IAM 用户授予管理权限。随后,您可以使用专用 URL 和该用户的凭证访问 Amazon。

有关说明,请参阅《IAM 用户指南》中的创建您的第一个 IAM 用户和管理员组

示例:授予管理员用户对 FiFirewall Manager 安全组的只读访问权限

以下策略授予管理员对 FiFirewall Manager 安全组和策略的只读访问权限。这些用户无法创建、更新或删除 FiFirewall Manager 资源。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "fms:Get*", "fms:List*", "ec2:DescribeSecurityGroups" ], "Effect": "Allow", "Resource": "*" } ] }