将服务相关角色用于 Amazon WAF - Amazon WAF、Amazon Firewall Manager、Amazon Shield Advanced 和 Amazon Shield 网络安全分析器
的服务相关角色权限Amazon WAF为 创建服务相关角色Amazon WAF为 编辑服务相关角色Amazon WAF删除 Amazon WAF的服务相关角色Amazon WAF 服务相关角色的受支持区域
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

介绍 Amazon WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

将服务相关角色用于 Amazon WAF

本节介绍了如何使用服务相关角色为 Amazon WAF 提供针对您的 Amazon 账户中的资源的访问权限。

Amazon WAF 使用 Amazon Identity and Access Management(IAM)服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 Amazon WAF 直接相关。服务相关角色由 Amazon WAF 预定义,并包含该服务代表您调用其他 Amazon 服务所需的一切权限。

服务相关角色使 Amazon WAF 的设置更轻松,因为您不必手动添加必要的权限。Amazon WAF 定义其服务相关角色的权限,除非另行定义,否则仅 Amazon WAF 可以担任其角色。定义的权限包括信任策略和权限策略。这些权限策略不能附加到任何其他 IAM 实体。

只有在先删除角色的相关资源后,才能删除服务相关角色。这将保护您的 Amazon WAF 资源,因为您不会无意中删除对资源的访问权限。

有关支持服务相关角色的其他服务的信息,请参阅使用 IAM 的 Amazon 服务并查找服务相关角色列中显示为的服务。请选择与查看该服务的服务相关角色文档的链接。

的服务相关角色权限Amazon WAF

Amazon WAF 使用服务相关角色 AWSServiceRoleForWAFV2Logging 将日志写到 Amazon Data Firehose。仅当您在 Amazon WAF 中启用日志记录时,才会使用此角色。有关日志记录的信息,请参阅Amazon WAF 保护包(web ACL)流量日志记录

此服务相关角色附加到 Amazon 托管策略 WAFV2LoggingServiceRolePolicy。有关托管策略的更多信息,请参阅Amazon 托管策略:WAFV2LoggingServiceRolePolicy

AWSServiceRoleForWAFV2Logging 服务相关角色信任 wafv2.amazonaws.com 服务来代入角色。

角色的权限策略允许 Amazon WAF 对指定资源完成以下操作:

  • Amazon Data Firehose 操作:Firehose 数据流资源上名称以 aws-waf-logs- 开头的 PutRecordPutRecordBatch。例如 aws-waf-logs-us-east-2-analytics

  • Amazon Organizations操作:对 Organizations 中的组织资源进行 DescribeOrganization

在 IAM 控制台中查看完整的服务相关角色:AWSServiceRoleForWAFV2Logging

您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限

为 创建服务相关角色Amazon WAF

您无需手动创建服务相关角色。如果您在 Amazon WAF中启用 Amazon Web Services 管理控制台 日志记录,或者在 PutLoggingConfiguration CLI 或 Amazon WAF API 中发出 Amazon WAF 请求,Amazon WAF 会为您创建服务相关角色。

您必须具有 iam:CreateServiceLinkedRole 权限以启用日志记录。

如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您启用 Amazon WAF 日志记录时,Amazon WAF 再次为您创建服务相关角色。

为 编辑服务相关角色Amazon WAF

Amazon WAF 不允许您编辑 AWSServiceRoleForWAFV2Logging 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

删除 Amazon WAF的服务相关角色

如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。

注意

如果在您试图删除资源时 Amazon WAF 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。

删除 Amazon WAF 所用的 AWSServiceRoleForWAFV2Logging 资源

  1. 在 Amazon WAF 控制台中,删除所有 web ACL 的日志记录。有关更多信息,请参阅 Amazon WAF 保护包(web ACL)流量日志记录

  2. 使用 API 或 CLI,为已启用日志记录的每个 web ACL 提交 DeleteLoggingConfiguration 请求。有关更多信息,请参阅 Amazon WAF API 参考

使用 IAM 手动删除服务相关角色

使用 IAM 控制台、IAM CLI 或 IAM API 删除 AWSServiceRoleForWAFV2Logging 服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色

Amazon WAF 服务相关角色的受支持区域

Amazon WAF 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 Amazon WAF 终端节点和限额