**引入全新的主机体验 Amazon WAF**
现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 将服务相关角色用于 Amazon WAF
本节介绍如何使用服务相关角色授予对 Amazon 账户中资源的 Amazon WAF 访问权限。
Amazon WAF 使用 Amazon Identity and Access Management (IAM) [服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 Amazon WAF服务相关角色由服务预定义 Amazon WAF ,包括该服务代表您调用其他 Amazon 服务所需的所有权限。
服务相关角色使设置变得 Amazon WAF 更加容易,因为您不必手动添加必要的权限。 Amazon WAF 定义其服务相关角色的权限,除非另有定义,否则 Amazon WAF 只能担任其角色。定义的权限包括信任策略和权限策略。这些权限策略不能附加到任何其他 IAM 实体。
只有在先删除角色的相关资源后,才能删除服务相关角色。这样可以保护您的 Amazon WAF 资源,因为您不会无意中删除访问资源的权限。
有关支持服务相关角色的其他服务的信息,请参阅[使用 IAM 的Amazon 服务](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并查找**服务相关角色**列中显示为**是**的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## 的服务相关角色权限 Amazon WAF
Amazon WAF 使用服务相关角色`AWSServiceRoleForWAFV2Logging`向 Amazon Data Firehose 写入日志。只有在启用登录功能后才会使用此角色 Amazon WAF。有关日志记录的信息,请参阅[记录 Amazon WAF 保护包 (Web ACL) 流量](logging.md)。
此服务相关角色附加到 Amazon 托管策略`WAFV2LoggingServiceRolePolicy`。有关托管策略的更多信息,请参阅 [Amazon 托管策略: WAFV2LoggingServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-WAFV2LoggingServiceRolePolicy)。
`AWSServiceRoleForWAFV2Logging` 服务关联角色信任 `wafv2.amazonaws.com` 服务来代入角色。
该角色的权限策略 Amazon WAF 允许对指定资源完成以下操作:
+ Amazon Data Firehose 操作:Firehose 数据流资源上名称以 `aws-waf-logs-` 开头的 `PutRecord` 和 `PutRecordBatch`。例如 `aws-waf-logs-us-east-2-analytics`。
+ Amazon Organizations 行动:`DescribeOrganization`在 Organizations 组织资源上。
在 IAM 控制台中查看完整的服务相关角色:[AWSServiceRoleForWAFV2日志记录](https://console.amazonaws.cn/iam/home#/roles/details/AWSServiceRoleForWAFV2Logging)。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅《IAM 用户指南》**中的[服务关联角色权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 为创建服务相关角色 Amazon WAF
您无需手动创建服务关联角色。当您启用 Amazon WAF 登录功能 Amazon Web Services 管理控制台,或者在 CLI 或 Amazon WAF AP Amazon WAF I 中`PutLoggingConfiguration`发出请求时, Amazon WAF 会为您创建服务相关角色。
您必须具有 `iam:CreateServiceLinkedRole` 权限以启用日志记录。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。启用 Amazon WAF 日志记录后, Amazon WAF 会再次为您创建服务相关角色。
## 编辑的服务相关角色 Amazon WAF
Amazon WAF 不允许您编辑`AWSServiceRoleForWAFV2Logging`服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除的服务相关角色 Amazon WAF
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。
**注意**
如果您尝试删除资源时 Amazon WAF 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除使用的 Amazon WAF 资源 `AWSServiceRoleForWAFV2Logging`**
1. 在 Amazon WAF 控制台上,从每个 Web ACL 中删除日志记录。有关更多信息,请参阅 [记录 Amazon WAF 保护包 (Web ACL) 流量](logging.md)。
1. 使用 API 或 CLI,为已启用日志记录的每个 web ACL 提交 `DeleteLoggingConfiguration` 请求。有关更多信息,请参阅 [Amazon WAF API 参考](https://docs.amazonaws.cn/waf/latest/APIReference/Welcome.html)。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台、IAM CLI 或 IAM API 删除 `AWSServiceRoleForWAFV2Logging` 服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Amazon WAF 服务相关角色支持的区域
Amazon WAF 支持在提供服务的所有地区使用服务相关角色。有关更多信息,请参阅 [Amazon WAF 终端节点和限额](https://docs.amazonaws.cn/general/latest/gr/waf.html)。