Verwenden von serviceverknüpften Rollen für AWS WAF

In diesem Abschnitt wird erklärt, wie Sie dienstbezogene Rollen zum Geben verwenden AWS WAF Zugriff auf Ressourcen in Ihrem AWS Konto.

AWS WAF Verwendungszwecke AWS Identity and Access Management (IAM) Dienstbezogene Rollen. Eine dienstbezogene Rolle ist ein einzigartiger Rollentyp, der IAM direkt verknüpft ist mit AWS WAF. Servicebezogene Rollen sind vordefiniert von AWS WAF und enthalten alle Berechtigungen, die der Dienst benötigt, um andere aufzurufen AWS Dienste in Ihrem Namen.

Eine dienstbezogene Rolle macht das Einrichten AWS WAF einfacher, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS WAF definiert die Berechtigungen seiner dienstbezogenen Rollen und, sofern nicht anders definiert, nur AWS WAF kann seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Das schützt deine AWS WAF Ressourcen, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen können.

Informationen zu anderen Diensten, die dienstbezogene Rollen unterstützen, finden Sie unter AWS Dienste, die mit Diensten funktionieren, IAM und suchen nach Diensten, für die in der Spalte Serviceverknüpfte Rolle der Wert Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Berechtigungen von serviceverknüpften Rollen für AWS WAF

AWS WAF verwendet die serviceverknüpfte RolleAWSServiceRoleForWAFV2Logging, um Protokolle in Amazon Data Firehose zu schreiben. Diese Rolle wird nur verwendet, wenn Sie die Anmeldung aktivieren AWS WAF. Hinweise zur Protokollierung finden Sie unterProtokollierung AWS WAF ACLWeb-Traffic.

Diese dienstbezogene Rolle ist dem angehängt AWS verwaltete RichtlinieWAFV2LoggingServiceRolePolicy. Für weitere Informationen über die verwaltete Richtlinie siehe AWS verwaltete Richtlinie: WAFV2LoggingServiceRolePolicy.

Die serviceverknüpfte Rolle AWSServiceRoleForWAFV2Logging vertraut dem Service wafv2.amazonaws.com, sodass dieser die Rolle annehmen kann.

Die Berechtigungsrichtlinien der Rolle ermöglichen AWS WAF um die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:

• Amazon Data Firehose-Aktionen: PutRecord und PutRecordBatch auf Firehose-Datenstream-Ressourcen mit einem Namen, der mit beginnt. aws-waf-logs- Beispiel, aws-waf-logs-us-east-2-analytics.

• AWS Organizations Aktion: DescribeOrganization zu den Ressourcen von Organizations, Organisationen.

Die vollständige dienstbezogene Rolle finden Sie in der IAM Konsole: AWSServiceRoleForWAFV2Logging.

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Berechtigungen für dienstverknüpfte Rollen im IAMBenutzerhandbuch.

Erstellen einer serviceverknüpften Rolle für AWS WAF

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie aktivieren AWS WAF Einloggen auf AWS Management Console, oder Sie stellen eine PutLoggingConfiguration Anfrage in der AWS WAF CLIoder der AWS WAF API, AWS WAF erstellt die serviceverknüpfte Rolle für Sie.

Sie müssen über die iam:CreateServiceLinkedRole-Berechtigung verfügen, um die Protokollierung zu aktivieren.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie aktivieren AWS WAF Protokollierung, AWS WAF erstellt die serviceverknüpfte Rolle erneut für Sie.

Bearbeiten einer serviceverknüpften Rolle für AWS WAF

AWS WAF erlaubt es Ihnen nicht, die AWSServiceRoleForWAFV2Logging dienstverknüpfte Rolle zu bearbeiten. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können die Beschreibung der Rolle jedoch mithilfe IAM von bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer dienstbezogenen Rolle im IAMBenutzerhandbuch.

Löschen einer serviceverknüpften Rolle für AWS WAF

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Anmerkung

Wenn das Symbol AWS WAF Der Dienst verwendet die Rolle, wenn Sie versuchen, die Ressourcen zu löschen. In diesem Fall schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

Um zu löschen AWS WAF Ressourcen, die verwendet werden von AWSServiceRoleForWAFV2Logging

1. Auf dem AWS WAF Entfernen Sie die Protokollierung von allen Websites auf der KonsoleACL. Weitere Informationen finden Sie unter Protokollierung AWS WAF ACLWeb-Traffic.

2. Senden Sie mithilfe von API oder CLI eine DeleteLoggingConfiguration Anfrage für jedes WebACL, für das die Protokollierung aktiviert ist. Weitere Informationen finden Sie unter AWS WAF APIReferenz.

Um die mit dem Service verknüpfte Rolle manuell zu löschen, verwenden Sie IAM

Verwenden Sie die IAM Konsole, den oder IAMCLI, IAM API um die AWSServiceRoleForWAFV2Logging dienstverknüpfte Rolle zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.

Unterstützte Regionen für AWS WAF Serviceverknüpfte Rollen

AWS WAF unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter AWS WAF Endpunkte und Kontingente.