Amazon 的托管策略 Amazon WAF - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
AWSWAFReadOnlyAccessAWSWAFFull访问权限AWSWAFConsoleReadOnlyAccessAWSWAFConsoleFullAccessWAFV2LoggingServiceRolePolicy策略更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 的托管策略 Amazon WAF

本节介绍了如何使用 Amazon 托管策略用于 Amazon WAF。

Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管式策略可用于针对很多常见使用案例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, Amazon 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新在 Amazon 托管式策略中定义的权限,则更新会影响该策略附加到的所有主体身份(用户、组和角色)。 Amazon 最有可能会在 Amazon 托管式策略启动或新 Amazon Web Services 服务 的 API 操作可用时。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管策略

Amazon 托管策略: AWSWAFReadOnlyAccess

该策略授予只读权限,允许用户访问集成服务的 Amazon WAF 资源和资源,例如 Amazon、Amazon API Gateway CloudFront、Amazon API Gateway、Amazon Cognito Amazon AppSync Amazon App Runner Amazon Amplify、和 Amazon Verified Access。您可以将 策略附加得到 IAM 身份。 Amazon WAF 还会将该策略附加到一个服务角色, Amazon WAF 以使其能够代表您执行操作。

有关此策略的详细信息,请参阅 IAM 控制台AWSWAFReadOnlyAccess中的。

Amazon 托管策略: AWSWAFFull访问权限

该策略授予完全访问权限,允许用户访问集成服务的 Amazon WAF 资源和资源,例如 Amazon、Amazon API Gateway CloudFront、Amazon API Gateway、 Amazon AppSync、Amazon Cognito Amazon App Runner Amazon Amplify、和 Amazon Verified Access。您可以将 策略附加得到 IAM 身份。 Amazon WAF 还会将该策略附加到一个服务角色, Amazon WAF 以使其能够代表您执行操作。

有关此策略的详细信息,请参阅 IAM 控制台中的AWSWAFFull访问权限

Amazon 托管策略: AWSWAFConsoleReadOnlyAccess

该策略向 Amazon WAF 控制台授予只读权限,其中包括用于 Amazon WAF 集成服务的资源,例如亚马逊、Amazon API Gateway CloudFront、Application Load Balancer Amazon AppSync、Amazon Cognito 和 Amazon 已验证访问权限。 Amazon App Runner Amazon Amplify您可以将 策略附加得到 IAM 身份。

有关此策略的详细信息,请参阅 IAM 控制台AWSWAFConsoleReadOnlyAccess中的。

Amazon 托管策略: AWSWAFConsoleFullAccess

该政策授予对 Amazon WAF 控制台的完全访问权限,其中包括用于 Amazon WAF 集成服务的资源,例如亚马逊、Amazon API Gateway CloudFront、Application Load Balancer Amazon AppSync、Amazon Cognito 和 Amazon 已验证访问权限。 Amazon App Runner Amazon Amplify您可以将 策略附加得到 IAM 身份。 Amazon WAF 还会将该策略附加到一个服务角色, Amazon WAF 以使其能够代表您执行操作。

有关此策略的详细信息,请参阅 IAM 控制台AWSWAFConsoleFullAccess中的。

Amazon 托管策略: WAFV2LoggingServiceRolePolicy

该策略允许 Amazon WAF 将日志写入 Amazon Data Firehose。仅当您在中启用日志记录时,才会使用此策略 Amazon WAF。此策略附加到 AWSServiceRoleForWAFV2Logging 服务相关角色。有关服务相关角色的更多信息,请参阅 将服务相关角色用于 Amazon WAF

有关此策略的详细信息,请参阅 IAM 控制台WAFV2LoggingServiceRolePolicy中的。

Amazon WAFAmazon 托管策略的更新

查看有关的 Amazon 托管策略更新的详细信息( Amazon WAF 从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 Amazon WAF 文档历史记录页面上的 RSS 源,网址为文档历史记录

策略 更改的说明 日期

AWSWAFFullAccess

此策略 Amazon WAF 允许代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。

IAM 控制台中的详细信息:AWSWAFFull访问权限

添加了所需的权限 AssociateWeb DisassociateWeb ACL、ACL、 GetWebACLFor资源和 ListResourcesForWeb ACL Amazon Amplify。

 2025-05-05

AWSWAFReadOnlyAccess

此策略 Amazon WAF 允许代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。

有关此策略的详细信息,请参阅 IAM 控制台AWSWAFReadOnlyAccess中的。

添加了所需的权限 GetWebACLFor资源和 ListResourcesForWeb ACL Amazon Amplify。

 2025-05-05

AWSWAFConsoleReadOnlyAccess

此策略允许 Amazon WAF 代表您在和集成服务中管理 Amazon 控制台 Amazon 资源 Amazon WAF 和其他资源。

IAM 控制台中的详细信息:AWSWAFConsoleReadOnlyAccess.

添加了以下权限:

Amplify

  • amplify:GetWebACLForResource— 授予权限以检索与 Amplify 资源关联的 Amazon WAF 网络 ACL

  • amplify:ListApps— 授予检索你的 Amplify 应用程序的权限 Amazon Web Services 账户

  • amplify:ListResourcesForWebACL— 授予权限以检索与网络 ACL 关联的 Amplify 应用程序 Amazon WAF

CloudFront

  • cloudfront:GetDistributionConfig— 授予权限以获取有关 CloudFront 分配的配置信息

  • cloudfront:GetDistributionTenant— 授予权限以获取有关 CloudFront 分配租户信息

  • cloudfront:ListDistributionTenants— 授予列出与您关联的 CloudFront 分发租户的权限 Amazon Web Services 账户

  • cloudfront:ListDistributionTenantsByCustomization— 授予列出与您的关联的筛选 CloudFront 分发租户的权限 Amazon Web Services 账户

 2025-05-05

AWSWAFConsoleFullAccess

此策略允许 Amazon WAF 代表您在和集成服务中管理 Amazon 控制台 Amazon 资源 Amazon WAF 和其他资源。

IAM 控制台中的详细信息:AWSWAFConsoleFullAccess.

添加了以下权限:

Amplify

  • amplify:AssociateWebACL— 授予将 Amazon WAF 网页 ACL 关联到 Amplify 资源的权限

  • amplify:DisassociateWebACL— 授予解除 Amazon WAF 网页 ACL 与 Amplify 资源的关联的权限

  • amplify:GetWebACLForResource— 授予权限以检索与 Amplify 资源关联的 Amazon WAF 网络 ACL

  • amplify:ListApps— 授予检索你的 Amplify 应用程序的权限 Amazon Web Services 账户

  • amplify:ListResourcesForWebACL— 授予权限以检索与网络 ACL 关联的 Amplify 应用程序 Amazon WAF

CloudFront

  • cloudfront:AssociateDistributionTenantWebACL— 授予将 Amazon WAF Web ACL 与 CloudFront 分发租户关联的权限

  • cloudfront:AssociateDistributionWebACL— 授予将 Amazon WAF Web ACL 与 CloudFront 分配关联的权限

  • cloudfront:DisassociateDistributionTenantWebACL— 授予解除 Amazon WAF Web ACL 与 CloudFront 分发租户关联的权限

  • cloudfront:DisassociateDistributionWebACL— 授予解除 Amazon WAF Web ACL 与分配关联的 CloudFront 权限

  • cloudfront:GetDistributionConfig— 授予权限以获取有关 CloudFront 分配的配置信息

  • cloudfront:GetDistributionTenant— 授予权限以获取有关 CloudFront 分配租户信息

  • cloudfront:ListDistributionTenants— 授予列出与您关联的 CloudFront 分发租户的权限 Amazon Web Services 账户

  • cloudfront:ListDistributionTenantsByCustomization— 授予列出与您的关联的筛选 CloudFront 分发租户的权限 Amazon Web Services 账户

 2025-05-05

WAFV2LoggingServiceRolePolicy

该策略允许 Amazon WAF 将日志写入 Amazon Data Firehose。只有在启用日志记录时才会使用。

IAM 控制台中的详细信息:WAFV2LoggingServiceRolePolicy.

向附加此策略的服务相关角色的权限设置添加了语句 IDs (SID)。

 2024-06

AWSServiceRoleForWAFV2Logging

该服务相关角色提供了允许 Amazon WAF 将日志写入 Amazon Data Firehose 的权限策略。

IAM 控制台中的详细信息:AWSServiceRoleForWAFV2日志记录

为权限设置添加了语句 IDs (SID)。

 2024-06

Amazon WAF 增加了变更跟踪

Amazon WAF 开始跟踪托管策略WAFV2LoggingServiceRolePolicy和服务相关角色AWSServiceRoleForWAFV2Logging的更改。

 2024-06

AWSWAFFullAccess

此策略 Amazon WAF 允许代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。

IAM 控制台中的详细信息:AWSWAFFull访问权限

扩展了权限,可将 V Amazon erified Access 实例添加到您可以保护的资源类型中 Amazon WAF。

 2023 年 6 月 17 日

AWSWAFReadOnlyAccess

此策略 Amazon WAF 允许代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。

IAM 控制台中的详细信息:AWSWAFReadOnlyAccess.

扩展了权限,可将 V Amazon erified Access 实例添加到您可以保护的资源类型中 Amazon WAF。

 2023 年 6 月 17 日

AWSWAFConsoleFullAccess

此策略允许 Amazon WAF 代表您在和集成服务中管理 Amazon 控制台 Amazon 资源 Amazon WAF 和其他资源。

IAM 控制台中的详细信息:AWSWAFConsoleFullAccess.

扩展了权限,可将 V Amazon erified Access 实例添加到您可以保护的资源类型中 Amazon WAF。

 2023 年 6 月 17 日

AWSWAFConsoleReadOnlyAccess

此策略允许 Amazon WAF 代表您在和集成服务中管理 Amazon 控制台 Amazon 资源 Amazon WAF 和其他资源。

IAM 控制台中的详细信息:AWSWAFConsoleReadOnlyAccess.

扩展了权限,可将 V Amazon erified Access 实例添加到您可以保护的资源类型中 Amazon WAF。

 2023 年 6 月 17 日

AWSWAFFullAccess

此策略 Amazon WAF 允许代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。

IAM 控制台中的详细信息:AWSWAFFull访问权限

扩展了权限以更正 Amazon App Runner 服务的访问设置。

 2023 年 6 月 6 日 6 月 6 日

AWSWAFReadOnlyAccess

此策略 Amazon WAF 允许代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。

IAM 控制台中的详细信息:AWSWAFReadOnlyAccess.

扩展了权限以更正 Amazon App Runner 服务的访问设置。

 2023 年 6 月 6 日 6 月 6 日

AWSWAFConsoleFullAccess

此策略允许 Amazon WAF 代表您在和集成服务中管理 Amazon 控制台 Amazon 资源 Amazon WAF 和其他资源。

IAM 控制台中的详细信息:AWSWAFConsoleFullAccess.

扩展了权限以更正 Amazon App Runner 服务的访问设置。

 2023 年 6 月 6 日 6 月 6 日

AWSWAFConsoleReadOnlyAccess

此策略允许 Amazon WAF 代表您在和集成服务中管理 Amazon 控制台 Amazon 资源 Amazon WAF 和其他资源。

IAM 控制台中的详细信息:AWSWAFConsoleReadOnlyAccess.

扩展了权限以更正 Amazon App Runner 服务的访问设置。

 2023 年 6 月 6 日 6 月 6 日

AWSWAFFullAccess

此策略 Amazon WAF 允许代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。

IAM 控制台中的详细信息:AWSWAFFull访问权限

扩展了权限,可将 Amazon App Runner 服务添加到可使用保护的资源类型中 Amazon WAF。

 2023 年 3 月 30 日 30

AWSWAFReadOnlyAccess

此策略 Amazon WAF 允许代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。

IAM 控制台中的详细信息:AWSWAFReadOnlyAccess.

扩展了权限,以便将 Amazon App Runner 服务添加到可使用保护的资源类型中 Amazon WAF。

 2023 年 3 月 30 日 30

AWSWAFConsoleFullAccess

此策略允许 Amazon WAF 代表您在和集成服务中管理 Amazon 控制台 Amazon 资源 Amazon WAF 和其他资源。

IAM 控制台中的详细信息:AWSWAFConsoleFullAccess.

扩展了权限,以便将 Amazon App Runner 服务添加到可使用保护的资源类型中 Amazon WAF。

 2023 年 3 月 30 日 30

AWSWAFConsoleReadOnlyAccess

此策略允许 Amazon WAF 代表您在和集成服务中管理 Amazon 控制台 Amazon 资源 Amazon WAF 和其他资源。

IAM 控制台中的详细信息:AWSWAFConsoleReadOnlyAccess.

扩展了权限,以便将 Amazon App Runner 服务添加到可使用保护的资源类型中 Amazon WAF。

 2023 年 3 月 30 日 30

AWSWAFFullAccess

此策略 Amazon WAF 允许代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。

IAM 控制台中的详细信息:AWSWAFFull访问权限

扩展了权限,以便将 Amazon Cognito 用户群体添加到可使用保护的资源类型中。 Amazon WAF

 2022-08-25

AWSWAFReadOnlyAccess

此策略 Amazon WAF 允许代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。

IAM 控制台中的详细信息:AWSWAFReadOnlyAccess.

扩展了权限,以便将 Amazon Cognito 用户群体添加到可使用保护的资源类型中。 Amazon WAF

 2022-08-25

AWSWAFConsoleFullAccess

此策略允许 Amazon WAF 代表您在和集成服务中管理 Amazon 控制台 Amazon 资源 Amazon WAF 和其他资源。

IAM 控制台中的详细信息:AWSWAFConsoleFullAccess.

扩展了权限,以便将 Amazon Cognito 用户群体添加到可使用保护的资源类型中。 Amazon WAF

 2022-08-25

AWSWAFConsoleReadOnlyAccess

此策略允许 Amazon WAF 代表您在和集成服务中管理 Amazon 控制台 Amazon 资源 Amazon WAF 和其他资源。

IAM 控制台中的详细信息:AWSWAFConsoleReadOnlyAccess.

扩展了权限,以便将 Amazon Cognito 用户群体添加到可使用保护的资源类型中。 Amazon WAF

 2022-08-25

AWSWAFFullAccess

此策略 Amazon WAF 允许代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。

IAM 控制台中的详细信息:AWSWAFFull访问权限

更正了 Amazon Simple Storage Service (Amazon S3) 和 Amazon Logs 的日志传输权限设置。 CloudWatch 此更改解决了日志配置期间出现的拒绝访问错误。有关记录 Web ACL 流量的信息,请参阅 记录 Amazon WAF Web ACL 流量

 2022-01-11

AWSWAFConsoleFullAccess

此策略允许 Amazon WAF 代表您在和集成服务中管理 Amazon 控制台 Amazon 资源 Amazon WAF 和其他资源。

IAM 控制台中的详细信息:AWSWAFConsoleFullAccess.

更正了 Amazon Simple Storage Service (Amazon S3) 和 Amazon Logs 的日志传输权限设置。 CloudWatch 此更改解决了日志配置期间发生的访问错误。有关记录 Web ACL 流量的信息,请参阅 记录 Amazon WAF Web ACL 流量

 2022-01-11

AWSWAFFullAccess

此策略 Amazon WAF 允许代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。

IAM 控制台中的详细信息:AWSWAFFull访问权限

为扩展的日志记录选项添加了新权限。

此更改允许 Amazon WAF 访问其他日志记录目标:Amazon Simple Storage Service (Amazon S3) 和 Amaz CloudWatch on Logs。有关记录 Web ACL 流量的信息,请参阅 记录 Amazon WAF Web ACL 流量

 2021 年 11 月 15 日

AWSWAFConsoleFullAccess

此策略允许 Amazon WAF 代表您在和集成服务中管理 Amazon 控制台 Amazon 资源 Amazon WAF 和其他资源。

IAM 控制台中的详细信息:AWSWAFConsoleFullAccess.

为扩展的日志记录选项添加了新权限。

此更改允许 Amazon WAF 访问其他日志记录目标:Amazon Simple Storage Service (Amazon S3) 和 Amaz CloudWatch on Logs。有关记录 Web ACL 流量的信息,请参阅 记录 Amazon WAF Web ACL 流量

 2021 年 11 月 15 日

Amazon WAF 开启了跟踪更改

Amazon WAF 为其 Amazon 托管式策略开启了跟踪更改。

 2021-3-01