AWSWAFReadOnlyAccess AWSWAFFullAccess AWSWAFConsoleReadOnlyAccess AWSWAFConsoleFullAccess WAFV2LoggingServiceRolePolicy 策略更新

适用于 Amazon WAF 的 Amazon 托管式策略

本节介绍了如何使用 Amazon 托管策略用于 Amazon WAF。

Amazon 托管式策略是由 Amazon 创建和管理的独立策略。Amazon 托管式策略旨在为许多常见使用场景提供权限，以便您可以开始为用户、组和角色分配权限。

请记住，Amazon 托管策略可能不会为您的特定使用场景授予最低权限，因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新在 Amazon 托管策略中定义的权限，则更新会影响该策略所附加到的所有主体身份（用户、组和角色）。当新的 Amazon Web Services 服务启动或新的 API 操作可用于现有服务时，Amazon 最有可能更新 Amazon 托管策略。

有关更多信息，请参阅《IAM 用户指南》中的 Amazon 托管式策略。

Amazon 托管策略：AWSWAFReadOnlyAccess

该策略授予只读权限，允许用户访问集成服务的 Amazon WAF 资源和资源，例如 Amazon CloudFront、Amazon API Gateway、应用程序负载均衡器、Amazon AppSync、Amazon Cognito、Amazon App Runner、Amazon Amplify、Amazon CloudWatch 和 Amazon 已验证访问权限。您可以将此策略附加到您的 IAM 身份。Amazon WAF 还将此策略附加到服务角色，该角色允许 Amazon WAF 代表您执行操作。

有关此策略的详细信息，请参阅 IAM 控制台中的 AWSWAFReadOnlyAccess。

Amazon 托管策略：AWSWAFFullAccess

该策略授予完全访问权限，允许用户访问集成服务的 Amazon WAF 资源和资源，例如 Amazon CloudFront、Amazon API Gateway、应用程序负载均衡器、Amazon AppSync、Amazon Cognito、Amazon App Runner、Amazon Amplify、Amazon CloudWatch 和 Amazon 已验证访问权限。您可以将此策略附加到您的 IAM 身份。Amazon WAF 还将此策略附加到服务角色，该角色允许 Amazon WAF 代表您执行操作。

有关此策略的详细信息，请参阅 IAM 控制台中的 AWSWAFFullAccess。

Amazon 托管策略：AWSWAFConsoleReadOnlyAccess

该策略授予 Amazon WAF 控制台只读权限，包括 Amazon WAF 和集成服务的资源，例如 Amazon CloudFront、Amazon API Gateway、应用程序负载均衡器、Amazon AppSync、Amazon Cognito、Amazon App Runner、Amazon Amplify、Amazon CloudWatch 和 Amazon 已验证访问权限。您可以将此策略附加得到 IAM 身份。

有关此策略的详细信息，请参阅 IAM 控制台中的 AWSWAFConsoleReadOnlyAccess。

Amazon 托管策略：AWSWAFConsoleFullAccess

该策略授予 Amazon WAF 控制台完全访问权限，包括 Amazon WAF 和集成服务的资源，例如 Amazon CloudFront、Amazon API Gateway、应用程序负载均衡器、Amazon AppSync、Amazon Cognito、Amazon App Runner、Amazon Amplify、Amazon CloudWatch 和 Amazon 已验证访问权限。您可以将此策略附加到您的 IAM 身份。Amazon WAF 还将此策略附加到服务角色，该角色允许 Amazon WAF 代表您执行操作。

有关此策略的详细信息，请参阅 IAM 控制台中的 AWSWAFConsoleFullAccess。

Amazon 托管策略：WAFV2LoggingServiceRolePolicy

该策略允许 Amazon WAF 将日志写入 Amazon Data Firehose。仅当您在 Amazon WAF 中启用日志记录时，才会使用此策略。此策略附加到 AWSServiceRoleForWAFV2Logging 服务相关角色。有关服务相关角色的更多信息，请参阅将服务相关角色用于 Amazon WAF。

有关此策略的详细信息，请参阅 IAM 控制台中的 WAFV2LoggingServiceRolePolicy。

Amazon WAF 更新了 Amazon 托管策略

查看有关 Amazon WAF 的 Amazon 托管策略更新的详细信息（从该服务开始跟踪这些更改开始）。有关此页面更改的提示，请订阅 Amazon WAF 文档历史记录页面上的 RSS 源，网址是文档历史记录。

策略	更改的说明	日期
`AWSWAFConsoleReadOnlyAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 控制台资源和其他 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFConsoleReadOnlyAccess。	更新了以下权限： `apigateway:GET`：更新了资源范围，将可检索资源限制为仅限于 Amazon API Gateway 资源添加了以下权限： Amazon AppSync `appsync:ListApis`：授予权限以在 Amazon 账户中检索 Amazon AppSync API Amazon CloudWatch `logs:StartQuery`：授予权限以开始查询一个或多个 Amazon CloudWatch Logs Insights 日志组 `logs:DescribeQueryDefinitions`：授予权限以获取 Amazon CloudWatch Logs Insights 查询定义列表并将其保存在 Amazon 账户或源 Amazon 账户中 `logs:GetQueryResults`：授予权限以从指定的 Amazon CloudWatch Logs Insights 查询中获取结果 Amazon Data Firehose `firehose:ListDeliveryStreams`：授予权限以检索 Amazon 账户中的 Firehose 流 Amazon 价目表 `pricing:GetPriceListFileUrl`：授予权限以获取用于从 Amazon 价目表中检索价目表文件的 URL `pricing:ListPriceLists`：授予权限以从 Amazon 价目表中检索价目表参考的列表 Amazon Web Services Marketplace `aws-marketplace:ViewSubscriptions`：授予权限以查看与 Amazon 账户相关联的 Amazon Web Services Marketplace 软件订阅	2025-11-03
`AWSWAFConsoleFullAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 控制台资源和其他 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFConsoleFullAccess。	更新了以下权限： `apigateway:GET`：更新了资源范围，将可检索资源限制为仅限于 Amazon API Gateway 资源添加了以下权限： Amazon AppSync `appsync:ListApis`：授予权限以在 Amazon 账户中检索 Amazon AppSync API Amazon CloudWatch `logs:StartQuery`：授予权限以开始查询一个或多个 Amazon CloudWatch Logs Insights 日志组 `logs:DescribeQueryDefinitions`：授予权限以获取 Amazon CloudWatch Logs Insights 查询定义列表并将其保存在 Amazon 账户或源 Amazon 账户中 `logs:GetQueryResults`：授予权限以从指定的 Amazon CloudWatch Logs Insights 查询中获取结果 Amazon Data Firehose `firehose:ListDeliveryStreams`：授予权限以检索 Amazon 账户中的 Firehose 流 Amazon 价目表 `pricing:GetPriceListFileUrl`：授予权限以获取用于从 Amazon 价目表中检索价目表文件的 URL `pricing:ListPriceLists`：授予权限以从 Amazon 价目表中检索价目表参考的列表 Amazon Web Services Marketplace `aws-marketplace:ViewSubscriptions`：授予权限以查看与 Amazon 账户相关联的 Amazon Web Services Marketplace 软件订阅	2025-11-03
`AWSWAFFullAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFFullAccess。	添加了 Amazon Amplify 所需的 AssociateWebACL、DisassociateWebACL、GetWebACLForResource 和 ListResourcesForWebACL 权限。	2025-05-05
`AWSWAFReadOnlyAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。有关此策略的详细信息，请参阅 IAM 控制台中的 AWSWAFReadOnlyAccess。	添加了 Amazon Amplify 所需的 GetWebACLForResource 和 ListResourcesForWebACL 的权限。	2025-05-05
`AWSWAFConsoleReadOnlyAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 控制台资源和其他 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFConsoleReadOnlyAccess。	添加了以下权限： Amplify `amplify:GetWebACLForResource`：授予权限以检索与 Amplify 资源相关联的 Amazon WAF 保护包（web ACL） `amplify:ListApps`：授予权限以检索 Amazon Web Services 账户中的 Amplify 应用程序 `amplify:ListResourcesForWebACL`：授予权限以检索与 Amazon WAF 保护包（web ACL）相关联的 Amplify 应用程序 CloudFront `cloudfront:GetDistributionConfig`：授予权限以获取有关 CloudFront 分配的配置信息 `cloudfront:GetDistributionTenant`：授予权限以获取有关 CloudFront 分配租户的信息 `cloudfront:ListDistributionTenants`：授予权限以列出与 Amazon Web Services 账户相关联的 CloudFront 分配租户 `cloudfront:ListDistributionTenantsByCustomization`：授予权限以列出与 Amazon Web Services 账户相关联的经过筛选的 CloudFront 分配租户	2025-05-05
`AWSWAFConsoleFullAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 控制台资源和其他 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFConsoleFullAccess。	添加了以下权限： Amplify `amplify:AssociateWebACL`：授予权限以将 Amazon WAF 保护包（web ACL）关联到 Amplify 资源 `amplify:DisassociateWebACL`：授予权限以取消 Amazon WAF 保护包（web ACL）与 Amplify 资源的关联 `amplify:GetWebACLForResource`：授予权限以检索与 Amplify 资源相关联的 Amazon WAF 保护包（web ACL） `amplify:ListApps`：授予权限以检索 Amazon Web Services 账户中的 Amplify 应用程序 `amplify:ListResourcesForWebACL`：授予权限以检索与 Amazon WAF 保护包（web ACL）相关联的 Amplify 应用程序 CloudFront `cloudfront:AssociateDistributionTenantWebACL`：授予权限以将 Amazon WAF 保护包（web ACL）与 CloudFront 分配租户关联 `cloudfront:AssociateDistributionWebACL`：授予权限以将 Amazon WAF 保护包（web ACL）与 CloudFront 分配关联 `cloudfront:DisassociateDistributionTenantWebACL`：授予权限以取消 Amazon WAF 保护包（web ACL）与 CloudFront 分配租户的关联 `cloudfront:DisassociateDistributionWebACL`：授予权限以取消 Amazon WAF 保护包（web ACL）与 CloudFront 分配的关联 `cloudfront:GetDistributionConfig`：授予权限以获取有关 CloudFront 分配的配置信息 `cloudfront:GetDistributionTenant`：授予权限以获取有关 CloudFront 分配租户的信息 `cloudfront:ListDistributionTenants`：授予权限以列出与 Amazon Web Services 账户相关联的 CloudFront 分配租户 `cloudfront:ListDistributionTenantsByCustomization`：授予权限以列出与 Amazon Web Services 账户相关联的经过筛选的 CloudFront 分配租户	2025-05-05
`WAFV2LoggingServiceRolePolicy` 该策略允许 Amazon WAF 将日志写入 Amazon Data Firehose。只有在启用日志记录时才会使用。 IAM 控制台中的详细信息：WAFV2LoggingServiceRolePolicy。	向附加此策略的服务相关角色的权限设置添加了语句 ID (SID)。	2024-06-03
`AWSServiceRoleForWAFV2Logging` 该服务相关角色提供了允许 Amazon WAF 将日志写入 Amazon Data Firehose 的权限策略。 IAM 控制台中的详细信息：AWSServiceRoleForWAFV2Logging。	为权限设置添加了语句 ID（SID）。	2024-06-03
Amazon WAF 增加了变更跟踪	Amazon WAF 开始跟踪对托管策略 `WAFV2LoggingServiceRolePolicy` 和服务相关角色 `AWSServiceRoleForWAFV2Logging` 的更改。	2024-06-03
`AWSWAFFullAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFFullAccess。	扩展了权限，可将 Amazon Verified Access 实例添加到您可以 Amazon WAF 保护的资源类型中。	2023-06-17
`AWSWAFReadOnlyAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFReadOnlyAccess。	扩展了权限，可将 Amazon Verified Access 实例添加到您可以 Amazon WAF 保护的资源类型中。	2023-06-17
`AWSWAFConsoleFullAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 控制台资源和其他 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFConsoleFullAccess。	扩展了权限，可将 Amazon Verified Access 实例添加到您可以 Amazon WAF 保护的资源类型中。	2023-06-17
`AWSWAFConsoleReadOnlyAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 控制台资源和其他 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFConsoleReadOnlyAccess。	扩展了权限，可将 Amazon Verified Access 实例添加到您可以 Amazon WAF 保护的资源类型中。	2023-06-17
`AWSWAFFullAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFFullAccess。	扩展了权限以更正 Amazon App Runner 服务的访问设置。	2023-06-06
`AWSWAFReadOnlyAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFReadOnlyAccess。	扩展了权限以更正 Amazon App Runner 服务的访问设置。	2023-06-06
`AWSWAFConsoleFullAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 控制台资源和其他 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFConsoleFullAccess。	扩展了权限以更正 Amazon App Runner 服务的访问设置。	2023-06-06
`AWSWAFConsoleReadOnlyAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 控制台资源和其他 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFConsoleReadOnlyAccess。	扩展了权限以更正 Amazon App Runner 服务的访问设置。	2023-06-06
`AWSWAFFullAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFFullAccess。	扩展了权限，以便将 Amazon App Runner 服务添加到可使用 Amazon WAF 保护的资源类型中。	2023-03-30
`AWSWAFReadOnlyAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFReadOnlyAccess。	扩展了权限，以便将 Amazon App Runner 服务添加到可使用 Amazon WAF 保护的资源类型中。	2023-03-30
`AWSWAFConsoleFullAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 控制台资源和其他 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFConsoleFullAccess。	扩展了权限，以便将 Amazon App Runner 服务添加到可使用 Amazon WAF 保护的资源类型中。	2023-03-30
`AWSWAFConsoleReadOnlyAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 控制台资源和其他 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFConsoleReadOnlyAccess。	扩展了权限，以便将 Amazon App Runner 服务添加到可使用 Amazon WAF 保护的资源类型中。	2023-03-30
`AWSWAFFullAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFFullAccess。	扩展了权限，以便将 Amazon Cognito 用户群体添加到可使用 Amazon WAF 保护的资源类型中。	2022-08-25
`AWSWAFReadOnlyAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFReadOnlyAccess。	扩展了权限，以便将 Amazon Cognito 用户群体添加到可使用 Amazon WAF 保护的资源类型中。	2022-08-25
`AWSWAFConsoleFullAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 控制台资源和其他 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFConsoleFullAccess。	扩展了权限，以便将 Amazon Cognito 用户群体添加到可使用 Amazon WAF 保护的资源类型中。	2022-08-25
`AWSWAFConsoleReadOnlyAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 控制台资源和其他 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFConsoleReadOnlyAccess。	扩展了权限，以便将 Amazon Cognito 用户群体添加到可使用 Amazon WAF 保护的资源类型中。	2022-08-25
`AWSWAFFullAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFFullAccess。	更正了 Amazon Simple Storage Service (Amazon S3) 和 Amazon CloudWatch Logs 的日志传输权限设置。此更改解决了日志配置期间出现的拒绝访问错误。有关记录保护包（web ACL）流量的信息，请参阅 Amazon WAF 保护包（web ACL）流量日志记录。	2022-01-11
`AWSWAFConsoleFullAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 控制台资源和其他 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFConsoleFullAccess。	更正了 Amazon Simple Storage Service (Amazon S3) 和 Amazon CloudWatch Logs 的日志传输权限设置。此更改解决了日志配置期间发生的访问错误。有关记录保护包（web ACL）流量的信息，请参阅 Amazon WAF 保护包（web ACL）流量日志记录。	2022-01-11
`AWSWAFFullAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFFullAccess。	为扩展的日志记录选项添加了新权限。此更改允许 Amazon WAF 访问其他日志记录目标：Amazon Simple Storage Service（Amazon S3）和 Amazon CloudWatch Logs。有关记录保护包（web ACL）流量的信息，请参阅 Amazon WAF 保护包（web ACL）流量日志记录。	2021-11-15
`AWSWAFConsoleFullAccess` 此策略允许 Amazon WAF 代表您在 Amazon WAF 和集成服务中管理 Amazon 控制台资源和其他 Amazon 资源。 IAM 控制台中的详细信息：AWSWAFConsoleFullAccess。	为扩展的日志记录选项添加了新权限。此更改允许 Amazon WAF 访问其他日志记录目标：Amazon Simple Storage Service（Amazon S3）和 Amazon CloudWatch Logs。有关记录保护包（web ACL）流量的信息，请参阅 Amazon WAF 保护包（web ACL）流量日志记录。	2021-11-15
Amazon WAF 开启了跟踪更改	Amazon WAF 为其 Amazon 托管策略开启了跟踪更改。	2021-3-01

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

基于身份的策略示例

故障排除

适用于 Amazon WAF 的 Amazon 托管式策略

Amazon 托管策略：AWSWAFReadOnlyAccess

Amazon 托管策略：AWSWAFFullAccess

Amazon 托管策略：AWSWAFConsoleReadOnlyAccess

Amazon 托管策略：AWSWAFConsoleFullAccess

Amazon 托管策略：WAFV2LoggingServiceRolePolicy

Amazon WAF 更新了 Amazon 托管策略

Amazon AppSync

Amazon CloudWatch

Amazon Data Firehose

Amazon 价目表

Amazon Web Services Marketplace