Verwenden von serviceverknüpften Rollen für Classic AWS WAF - AWS WAFAWS Firewall Manager, und AWS Shield Advanced
Dienstbezogene Rollenberechtigungen für Classic AWS WAFEine serviceverknüpfte Rolle für Classic erstellen AWS WAFBearbeitung einer serviceverknüpften Rolle für Classic AWS WAFLöschen einer dienstverknüpften Rolle für Classic AWS WAFUnterstützte Regionen für serviceverknüpfte Classic-Rollen AWS WAF

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für Classic AWS WAF

Anmerkung

Dies ist die AWS WAF Classic-Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Web-ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zum Migrieren Ihrer Ressourcen finden Sie unter Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF.

Die neueste Version von AWS WAF finden Sie unter. AWS WAF

AWS WAF Classic verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, die direkt mit Classic verknüpft ist. AWS WAF Servicebezogene Rollen sind von AWS WAF Classic vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine dienstverknüpfte Rolle erleichtert die Einrichtung von AWS WAF Classic, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS WAF Classic definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, kann nur AWS WAF Classic diese Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann an keine andere IAM-Entität angefügt werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dadurch werden Ihre AWS WAF Classic-Ressourcen geschützt, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen können.

Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter AWS -Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Dienstbezogene Rollenberechtigungen für Classic AWS WAF

AWS WAF Classic verwendet die folgenden dienstbezogenen Rollen:

  • AWSServiceRoleForWAFLogging

  • AWSServiceRoleForWAFRegionalLogging

AWS WAF Classic verwendet diese serviceverknüpften Rollen, um Protokolle in Amazon Data Firehose zu schreiben. Diese Rollen werden nur verwendet, wenn Sie die Anmeldung aktivieren. AWS WAF Weitere Informationen finden Sie unter Protokollieren von Web-ACL-Traffic-Informationen.

Die Rollen AWSServiceRoleForWAFLogging und die mit dem AWSServiceRoleForWAFRegionalLogging Dienst verknüpften Rollen vertrauen darauf, dass die folgenden Dienste (jeweils) die Rolle übernehmen:

  • waf.amazonaws.com

    waf-regional.amazonaws.com

Die Berechtigungsrichtlinien der Rollen ermöglichen es AWS WAF Classic, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:

  • Aktion: firehose:PutRecord und firehose:PutRecordBatch auf Amazon Data Firehose Datenstream-Ressourcen mit einem Namen, der mit "aws-waf-logs-“ beginnt. z. B. aws-waf-logs-us-east-2-analytics.

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter serviceverknüpfte Rollenberechtigungen im IAM-Benutzerhandbuch.

Eine serviceverknüpfte Rolle für Classic erstellen AWS WAF

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie die AWS WAF Classic-Protokollierung auf der AWS Management Console aktivieren oder eine PutLoggingConfiguration Anfrage in der AWS WAF Classic CLI oder der AWS WAF Classic API stellen, erstellt AWS WAF Classic die serviceverknüpfte Rolle für Sie.

Sie müssen über die iam:CreateServiceLinkedRole-Berechtigung verfügen, um die Protokollierung zu aktivieren.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie die AWS WAF klassische Protokollierung aktivieren, erstellt AWS WAF Classic die serviceverknüpfte Rolle erneut für Sie.

Bearbeitung einer serviceverknüpften Rolle für Classic AWS WAF

AWS WAF In Classic können Sie die Rollen AWSServiceRoleForWAFLogging und die AWSServiceRoleForWAFRegionalLogging dienstbezogenen Rollen nicht bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer dienstverknüpften Rolle für Classic AWS WAF

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Anmerkung

Wenn der AWS WAF Classic-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

Um AWS WAF Classic-Ressourcen zu löschen, die von AWSServiceRoleForWAFLogging und verwendet werden AWSServiceRoleForWAFRegionalLogging

  1. Entfernen Sie auf der AWS WAF Classic-Konsole die Protokollierung aus jeder Web-ACL. Weitere Informationen finden Sie unter Protokollieren von Web-ACL-Traffic-Informationen.

  2. Senden Sie über die API oder CLI eine DeleteLoggingConfiguration-Anforderung für jede Web-ACL, für die die Protokollierung aktiviert ist. Weitere Informationen finden Sie unter AWS WAF Classic API Reference.

So löschen Sie die serviceverknüpfte Rolle mit IAM

Verwenden Sie die IAM-Konsole, die IAM-CLI oder die IAM-API, um die Rollen AWSServiceRoleForWAFLogging und AWSServiceRoleForWAFRegionalLogging die dienstverknüpften Rollen zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Leitfaden.

Unterstützte Regionen für serviceverknüpfte Classic-Rollen AWS WAF

AWS WAF Classic unterstützt im Folgenden die Verwendung von serviceverknüpften Rollen. AWS-Regionen

Name der Region Region-ID Support in AWS WAF Classic
USA Ost (Nord-Virginia) us-east-1 Ja
USA Ost (Ohio) us-east-2 Ja
USA West (Nordkalifornien) us-west-1 Ja
USA West (Oregon) us-west-2 Ja
Asien-Pazifik (Mumbai) ap-south-1 Ja
Asien-Pazifik (Osaka) ap-northeast-3 Ja
Asien-Pazifik (Seoul) ap-northeast-2 Ja
Asien-Pazifik (Singapore) ap-southeast-1 Ja
Asien-Pazifik (Sydney) ap-southeast-2 Ja
Asien-Pazifik (Tokyo) ap-northeast-1 Ja
Kanada (Zentral) ca-central-1 Ja
Europa (Frankfurt) eu-central-1 Ja
Europa (Ireland) eu-west-1 Ja
Europa (London) eu-west-2 Ja
Europa (Paris) eu-west-3 Ja
Südamerika (São Paulo) sa-east-1 Ja