Claves de condición, recursos y acciones de AWS WAF Regional - AWS Identity and Access Management

Claves de condición, recursos y acciones de AWS WAF Regional

AWS WAF Regional (prefijo de servicio: waf-regional) proporciona las claves de contexto de condición, acciones y recursos específicas de servicios siguientes para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS WAF Regional

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AssociateWebACL Asocia una WebACL con un recurso. Escritura

loadbalancer/app/*

webacl*

CreateByteMatchSet Crea un ByteMatchSet. Escritura

bytematchset*

CreateGeoMatchSet Crea un GeoMatchSet, que se usa para especificar qué solicitudes web desea permitir o bloquear en función del país del que proceden las solicitudes. Escritura

geomatchset*

CreateIPSet Crea un IPSet, que se usa para especificar qué solicitudes web desea permitir o bloquear en función de las direcciones IP de las que proceden las solicitudes. Escritura

ipset*

CreateRateBasedRule Crea un RateBasedRule, que contiene un RateLimit que especifica el número máximo de solicitudes que AWS WAF permite desde una dirección IP especificada durante un periodo de cinco minutos. Escritura

ratebasedrule*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRegexMatchSet Crea un RegexMatchSet, que se usa para especificar qué solicitudes web desea permitir o bloquear en función de los patrones de regex que especifique en un RegexPatternSet. Escritura

regexmatchset*

CreateRegexPatternSet Crea un RegexPatternSet, que se utiliza para especificar el patrón de expresión regular (regex) que desea que busque AWS WAF. Escritura

regexpatternset*

CreateRule Crea una regla, que contiene los objetos IPSet, objetos ByteMatchSet y otros predicados que identifican las solicitudes que desea bloquear. Escritura

rule*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRuleGroup Crea un RuleGroup. Un grupo de reglas es un conjunto de reglas predefinidas que agrega a un WebACL. Escritura

rulegroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSizeConstraintSet Crea un SizeConstraintSet, que se utiliza para identificar la parte de una solicitud web cuya longitud desea comprobar. Escritura

sizeconstraintset*

CreateSqlInjectionMatchSet Crea un SqlInjectionMatchSet, que utiliza para permitir, bloquear o contar las solicitudes que contienen fragmentos de código SQL en una parte especificada de las solicitudes web. Escritura

sqlinjectionmatchset*

CreateWebACL Crea un WebACL, que contiene las reglas que identifican las solicitudes web de CloudFront que desea permitir, bloquear o contar. Administración de permisos

webacl*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWebACLMigrationStack Cree y almacene una plantilla de CloudFormation que cree un WAF v2 WebACL equivalente a partir del WAF Classic WebACL incluido en el bucket de S3. Escritura

webacl*

s3:PutObject

CreateXssMatchSet Crea un XssMatchSet, que utiliza para permitir, bloquear o contar las solicitudes que contienen ataques de scripting entre sitios en la parte especificada de las solicitudes web. Escritura

xssmatchset*

DeleteByteMatchSet Elimina un ByteMatchSet permanentemente. Escritura

bytematchset*

DeleteGeoMatchSet Elimina un GeoMatchSet permanentemente. Escritura

geomatchset*

DeleteIPSet Elimina un IPSet permanentemente. Escritura

ipset*

DeleteLoggingConfiguration Elimina de forma permanente LoggingConfiguration de la ACL web especificada. Escritura

webacl*

DeletePermissionPolicy Elimina permanentemente una política de IAM del RuleGroup especificado. Administración de permisos

rulegroup*

DeleteRateBasedRule Elimina una RateBasedRule permanentemente. Escritura

ratebasedrule*

DeleteRegexMatchSet Elimina un RegexMatchSet permanentemente. Escritura

regexmatchset*

DeleteRegexPatternSet Elimina un RegexPatternSet permanentemente. Escritura

regexpatternset*

DeleteRule Elimina una regla permanentemente. Escritura

rule*

DeleteRuleGroup Elimina un RuleGroup permanentemente. Escritura

rulegroup*

DeleteSizeConstraintSet Elimina un SizeConstraintSet permanentemente. Escritura

sizeconstraintset*

DeleteSqlInjectionMatchSet Elimina un SqlInjectionMatchSet permanentemente. Escritura

sqlinjectionmatchset*

DeleteWebACL Elimina un WebACL permanentemente. Administración de permisos

webacl*

DeleteXssMatchSet Elimina un XssMatchSet permanentemente. Escritura

xssmatchset*

DisassociateWebACL Quita una WebACL del recurso especificado. Escritura

loadbalancer/app/*

GetByteMatchSet Devuelve el ByteMatchSet especificado por ByteMatchSetId. Lectura

bytematchset*

GetChangeToken Cuando desee crear, actualizar o eliminar objetos de AWS WAF, obtenga un token de cambio e incluya el token de cambio en la solicitud de crear, actualizar o eliminar. Lectura
GetChangeTokenStatus Devuelve el estado de un ChangeToken que obtuvo llamando a GetChangeToken. Lectura
GetGeoMatchSet Devuelve el GeoMatchSet especificado por GeoMatchSetId. Lectura

geomatchset*

GetIPSet Devuelve el IPSet que está especificado por IPSetId. Lectura

ipset*

GetLoggingConfiguration Devuelve LoggingConfiguration de la ACL web especificada. Lectura

webacl*

GetPermissionPolicy Devuelve la política de IAM asociada al RuleGroup. Lectura

rulegroup*

GetRateBasedRule Devuelve el RateBasedRule que está especificado por el RuleId que ha incluido en la solicitud de GetRateBasedRule. Lectura

ratebasedrule*

GetRateBasedRuleManagedKeys Devuelve una matriz de direcciones IP que está bloqueando actualmente el RateBasedRule que especifica el RuleId. Lectura

ratebasedrule*

GetRegexMatchSet Devuelve el RegexMatchSet especificado por RegexMatchSetId. Lectura

regexmatchset*

GetRegexPatternSet Devuelve el RegexPatternSet especificado por RegexPatternSetId. Lectura

regexpatternset*

GetRule Devuelve la regla que está especificada por el RuleId que ha incluido en la solicitud de GetRule. Lectura

rule*

GetRuleGroup Devuelve el RuleGroup que está especificado por el RuleGroupId que ha incluido en la solicitud de GetRuleGroup. Lectura

rulegroup*

GetSampledRequests Obtiene información detallada sobre un número determinado de solicitudes (una muestra) que AWS WAF selecciona de forma aleatoria de entre las primeras 5 000 solicitudes que su recurso de AWS haya recibido durante un intervalo de tiempo que elija. Lectura

rule

webacl

GetSizeConstraintSet Devuelve el SizeConstraintSet especificado por SizeConstraintSetId. Lectura

sizeconstraintset*

GetSqlInjectionMatchSet Devuelve el SqlInjectionMatchSet especificado por SqlInjectionMatchSetId. Lectura

sqlinjectionmatchset*

GetWebACL Devuelve el WebACL que está especificado por WebACLId. Lectura

webacl*

GetWebACLForResource Devuelve la WebACL para el recurso especificado. Lectura

loadbalancer/app/*

GetXssMatchSet Devuelve el XssMatchSet que está especificado por XssMatchSetId. Lectura

xssmatchset*

ListActivatedRulesInRuleGroup Devuelve una matriz de objetos ActivatedRule. List
ListByteMatchSets Devuelve una matriz de objetos ByteMatchSetSummary. List
ListGeoMatchSets Devuelve una matriz de objetos GeoMatchSetSummary. List
ListIPSets Devuelve una matriz de objetos IPSetSummary en la respuesta. List
ListLoggingConfigurations Devuelve una matriz de objetos LoggingConfiguration. List
ListRateBasedRules Devuelve una matriz de objetos RuleSummary. List
ListRegexMatchSets Devuelve una matriz de objetos RegexMatchSetSummary. List
ListRegexPatternSets Devuelve una matriz de objetos RegexPatternSetSummary. List
ListResourcesForWebACL Devuelve una matriz de recursos asociados a la WebACL especificada. List

webacl*

ListRuleGroups Devuelve una matriz de objetos RuleGroup. List
ListRules Devuelve una matriz de objetos RuleSummary. List
ListSizeConstraintSets Devuelve una matriz de objetos SizeConstraintSetSummary. List
ListSqlInjectionMatchSets Devuelve una matriz de objetos SqlInjectionMatchSet. List
ListSubscribedRuleGroups Devuelve una matriz de objetos RuleGroup a los que está suscrito. List
ListTagsForResource Muestra las etiquetas de un recurso determinado. Lectura

ratebasedrule

rule

rulegroup

webacl

ListWebACLs Devuelve una matriz de objetos WebACLSummary en la respuesta. List
ListXssMatchSets Devuelve una matriz de objetos XssMatchSet. List
PutLoggingConfiguration Asocia LoggingConfiguration con una ACL web especificada. Escritura

webacl*

iam:CreateServiceLinkedRole

PutPermissionPolicy Adjunta una política de IAM al recurso especificado. El único uso admitido para esta acción es compartir un RuleGroup entre cuentas. Administración de permisos

rulegroup*

TagResource Añade una etiqueta a un recurso determinado. Etiquetado

ratebasedrule

rule

rulegroup

webacl

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Elimina una etiqueta de un recurso determinado. Etiquetado

ratebasedrule

rule

rulegroup

webacl

aws:TagKeys

UpdateByteMatchSet Inserta o elimina objetos ByteMatchTuple (filtros) en un ByteMatchSet. Escritura

bytematchset*

UpdateGeoMatchSet Inserta o elimina objetos GeoMatchConstraint en un GeoMatchSet. Escritura

geomatchset*

UpdateIPSet Inserta o elimina objetos IPSetDescriptor en un IPSet. Escritura

ipset*

UpdateRateBasedRule Inserta o elimina objetos de predicado en una regla y actualiza el RateLimit en la regla. Escritura

ratebasedrule*

UpdateRegexMatchSet Inserta o elimina objetos RegexMatchTuple (filtros) en un RegexMatchSet. Escritura

regexmatchset*

UpdateRegexPatternSet Inserta o elimina RegexPatternStrings en un RegexPatternSet. Escritura

regexpatternset*

UpdateRule Inserta o elimina objetos de predicado en una regla. Escritura

rule*

UpdateRuleGroup Inserta o elimina objetos de ActivatedRule en un RuleGroup. Escritura

rulegroup*

UpdateSizeConstraintSet Inserta o elimina objetos SizeConstraint (filtros) en un SizeConstraintSet. Escritura

sizeconstraintset*

UpdateSqlInjectionMatchSet Inserta o elimina objetos SqlInjectionMatchTuple (filtros) en un SqlInjectionMatchSet. Escritura

sqlinjectionmatchset*

UpdateWebACL Inserta o elimina objetos de ActivatedRule en un WebACL. Administración de permisos

webacl*

UpdateXssMatchSet Inserta o elimina objetos XssMatchTuple (filtros) en un XssMatchSet. Escritura

xssmatchset*

Tipos de recurso definidos por AWS WAF Regional

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Actions identifica los tipos de recurso que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso ARN Claves de condición
bytematchset arn:${Partition}:waf-regional:${Region}:${Account}:bytematchset/${Id}
ipset arn:${Partition}:waf-regional:${Region}:${Account}:ipset/${Id}
loadbalancer/app/ arn:${Partition}:elasticloadbalancing:${Region}:${Account}:loadbalancer/app/${LoadBalancerName}/${LoadBalancerId}
ratebasedrule arn:${Partition}:waf-regional:${Region}:${Account}:ratebasedrule/${Id}

aws:ResourceTag/${TagKey}

rule arn:${Partition}:waf-regional:${Region}:${Account}:rule/${Id}

aws:ResourceTag/${TagKey}

sizeconstraintset arn:${Partition}:waf-regional:${Region}:${Account}:sizeconstraintset/${Id}
sqlinjectionmatchset arn:${Partition}:waf-regional:${Region}:${Account}:sqlinjectionset/${Id}
webacl arn:${Partition}:waf-regional:${Region}:${Account}:webacl/${Id}

aws:ResourceTag/${TagKey}

xssmatchset arn:${Partition}:waf-regional:${Region}:${Account}:xssmatchset/${Id}
regexmatchset arn:${Partition}:waf-regional:${Region}:${Account}:regexmatch/${Id}
regexpatternset arn:${Partition}:waf-regional:${Region}:${Account}:regexpatternset/${Id}
geomatchset arn:${Partition}:waf-regional:${Region}:${Account}:geomatchset/${Id}
rulegroup arn:${Partition}:waf-regional:${Region}:${Account}:rulegroup/${Id}

aws:ResourceTag/${TagKey}

Claves de condición de AWS WAF Regional

AWS WAF Regional define las siguientes claves de condiciones que se puede utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles en la Referencia de políticas de IAM.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra acciones en función del conjunto de valores permitidos para cada una de las etiquetas. Cadena
aws:ResourceTag/${TagKey} Filtra acciones en función del valor-etiqueta asociado con el recurso. Cadena
aws:TagKeys Filtra acciones en función de la presencia de etiquetas obligatorias en la solicitud. Cadena