Acciones, recursos y claves de condición para AWS WAF - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para AWS WAF

AWS WAF (prefijo de servicio: waf) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS WAF

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
CreateByteMatchSet Concede permiso para crear un ByteMatchSet Write

bytematchset*

CreateGeoMatchSet Concede permiso para crear un GeoMatchSet Write

geomatchset*

CreateIPSet Concede permiso para crear un IPSet Write

ipset*

CreateRateBasedRule Concede permiso para crear una RateBasedRule para limitar el volumen de solicitudes desde una única dirección IP Write

ratebasedrule*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRegexMatchSet Concede permiso para crear un RegexMatchSet Write

regexmatchset*

CreateRegexPatternSet Concede permiso para crear un RegexPatternSet Write

regexpatternset*

CreateRule Concede permiso para crear una regla para filtrar solicitudes web Write

rule*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRuleGroup Concede permiso para crear un RuleGroup, que es una recopilación de reglas predefinidas que puede utilizar en una WebACL Write

rulegroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSizeConstraintSet Concede permiso para crear un SizeConstraintSet Write

sizeconstraintset*

CreateSqlInjectionMatchSet Concede permiso para crear un SqlInjectionMatchSet Write

sqlinjectionmatchset*

CreateWebACL Concede permiso para crear una WebACL, que contiene reglas para filtrar solicitudes web Permissions management

webacl*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWebACLMigrationStack Concede permiso para crear una plantilla de ACL web de CloudFormation en un bucket de S3 con el fin de migrar la ACL web de AWS WAF Classic a AWS WAF v2 Write

webacl*

s3:PutObject

CreateXssMatchSet Concede permiso para crear un XssMatchSet, que se utiliza para detectar solicitudes que contienen ataques de scripting entre sitios Write

xssmatchset*

DeleteByteMatchSet Concede permiso para eliminar un ByteMatchSet Write

bytematchset*

DeleteGeoMatchSet Concede permiso para eliminar un GeoMatchSet Write

geomatchset*

DeleteIPSet Concede permiso para eliminar un IPSet Write

ipset*

DeleteLoggingConfiguration Concede permiso para eliminar la LoggingConfiguration de una ACL web Write

webacl*

DeletePermissionPolicy Concede permiso para eliminar una política de IAM de un grupo de reglas Permissions management

rulegroup*

DeleteRateBasedRule Concede permiso para eliminar una RateBasedRule Write

ratebasedrule*

DeleteRegexMatchSet Concede permiso para eliminar un RegexMatchSet Write

regexmatchset*

DeleteRegexPatternSet Concede permiso para eliminar un RegexPatternSet Write

regexpatternset*

DeleteRule Concede permiso para eliminar una regla Write

rule*

DeleteRuleGroup Concede permiso para eliminar una RuleGroup Write

rulegroup*

DeleteSizeConstraintSet Concede permiso para eliminar un SizeConstraintSet Write

sizeconstraintset*

DeleteSqlInjectionMatchSet Concede permiso para eliminar un SqlInjectionMatchSet Write

sqlinjectionmatchset*

DeleteWebACL Concede permiso para eliminar una WebACL Permissions management

webacl*

DeleteXssMatchSet Concede permiso para eliminar un XssMatchSet Write

xssmatchset*

GetByteMatchSet Concede permiso para recuperar un ByteMatchSet Read

bytematchset*

GetChangeToken Concede permiso para recuperar un token de cambio para utilizarlo en las solicitudes de creación, actualización y eliminación Read
GetChangeTokenStatus Concede permiso para recuperar el estado de un token de cambio Read
GetGeoMatchSet Concede permiso para recuperar un GeoMatchSet Read

geomatchset*

GetIPSet Concede permiso para recuperar un IPSet Read

ipset*

GetLoggingConfiguration Concede permiso para recuperar una configuración de LoggingConfiguration para una ACL web Read

webacl*

GetPermissionPolicy Concede permiso para recuperar una política de IAM para un grupo de reglas Read

rulegroup*

GetRateBasedRule Concede permiso para recuperar una RateBasedRule Read

ratebasedrule*

GetRateBasedRuleManagedKeys Concede permiso para recuperar la matriz de direcciones IP que están siendo bloqueadas por una RateBasedRule Read

ratebasedrule*

GetRegexMatchSet Concede permiso para recuperar un RegexMatchSet Read

regexmatchset*

GetRegexPatternSet Concede permiso para recuperar un RegexPatternSet Read

regexpatternset*

GetRule Concede permiso para recuperar una regla Read

rule*

GetRuleGroup Concede permisos para recuperar un RuleGroup Read

rulegroup*

GetSampledRequests Concede permiso para recuperar información detallada sobre un conjunto de ejemplo de solicitudes web Read

rule

webacl

GetSizeConstraintSet Concede permiso para recuperar un SizeConstraintSet Read

sizeconstraintset*

GetSqlInjectionMatchSet Concede permiso para recuperar un SqlInjectionMatchSet Read

sqlinjectionmatchset*

GetWebACL Concede permisos para recuperar una WebACL Read

webacl*

GetXssMatchSet Concede permiso para recuperar un XssMatchSet Read

xssmatchset*

ListActivatedRulesInRuleGroup Concede permiso para recuperar una matriz de objetos ActivatedRule List
ListByteMatchSets Concede permiso para recuperar una matriz de objetos ByteMatchSetSummary List
ListGeoMatchSets Concede permiso para recuperar una matriz de objetos GeoMatchSetSummary List
ListIPSets Concede permiso para recuperar una matriz de objetos IPSetSummary List
ListLoggingConfigurations Concede permiso para recuperar una matriz de objetos LoggingConfiguration List
ListRateBasedRules Concede permiso para recuperar una matriz de objetos RuleSummary List
ListRegexMatchSets Concede permiso para recuperar una matriz de objetos RegexMatchSetSummary List
ListRegexPatternSets Concede permiso para recuperar una matriz de objetos RegexPatternSetSummary List
ListRuleGroups Concede permiso para recuperar una matriz de objetos RuleGroup List
ListRules Concede permiso para recuperar una matriz de objetos RuleSummary List
ListSizeConstraintSets Concede permiso para recuperar una matriz de objetos SizeConstraintSetSummary List
ListSqlInjectionMatchSets Concede permiso para recuperar una matriz de objetos SqlInjectionMatchSet List
ListSubscribedRuleGroups Concede permiso para recuperar una matriz de objetos RuleGroup a los que está suscrito List
ListTagsForResource Concede permiso para recuperar las etiquetas de un recurso. Read

ratebasedrule

rule

rulegroup

webacl

ListWebACLs Concede permiso para recuperar una matriz de objetos WebACLSummary List
ListXssMatchSets Concede permiso para recuperar una matriz de objetos XssMatchSet List
PutLoggingConfiguration Concede permiso para asociar una LoggingConfiguration a una ACL web especificada Write

webacl*

iam:CreateServiceLinkedRole

PutPermissionPolicy Concede permiso para adjuntar una política de IAM a un grupo de reglas, a fin de compartir el grupo de reglas entre cuentas Permissions management

rulegroup*

TagResource Concede permiso para agregar una etiqueta a un recurso Etiquetado

ratebasedrule

rule

rulegroup

webacl

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Concede permiso para eliminar una etiqueta de un recurso Etiquetado

ratebasedrule

rule

rulegroup

webacl

aws:TagKeys

UpdateByteMatchSet Concede permiso para insertar o eliminar objetos ByteMatchTuple en un ByteMatchSet Write

bytematchset*

UpdateGeoMatchSet Concede permiso para insertar o eliminar objetos GeoMatchConstraint en un GeoMatchSet Write

geomatchset*

UpdateIPSet Concede permiso para insertar o eliminar objetos IPSetDescriptor en un IPSet Write

ipset*

UpdateRateBasedRule Concede permiso para modificar una regla basada en tasas Write

ratebasedrule*

UpdateRegexMatchSet Concede permiso para insertar o eliminar objetos RegexMatchTuple en un RegexMatchSet Write

regexmatchset*

UpdateRegexPatternSet Concede permiso para insertar o eliminar RegexPatternStrings en un RegexPatternSet Write

regexpatternset*

UpdateRule Concede permiso para modificar una regla Write

rule*

UpdateRuleGroup Concede permiso para insertar o eliminar objetos ActivatedRule en un grupo RuleGroup Write

rulegroup*

UpdateSizeConstraintSet Concede permiso para insertar o eliminar objetos SizeConstraint en un SizeConstraintSet Write

sizeconstraintset*

UpdateSqlInjectionMatchSet Concede permiso para insertar o eliminar objetos SqlInjectionMatchTuple en un SqlInjectionMatchSet Write

sqlinjectionmatchset*

UpdateWebACL Concede permiso para insertar o eliminar objetos ActivatedRule en una WebACL Permissions management

webacl*

UpdateXssMatchSet Concede permiso para insertar o eliminar objetos XssMatchTuple en un XssMatchSet Write

xssmatchset*

Tipos de recursos definidos por AWS WAF

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
bytematchset arn:${Partition}:waf::${Account}:bytematchset/${Id}
ipset arn:${Partition}:waf::${Account}:ipset/${Id}
ratebasedrule arn:${Partition}:waf::${Account}:ratebasedrule/${Id}

aws:ResourceTag/${TagKey}

rule arn:${Partition}:waf::${Account}:rule/${Id}

aws:ResourceTag/${TagKey}

sizeconstraintset arn:${Partition}:waf::${Account}:sizeconstraintset/${Id}
sqlinjectionmatchset arn:${Partition}:waf::${Account}:sqlinjectionset/${Id}
webacl arn:${Partition}:waf::${Account}:webacl/${Id}

aws:ResourceTag/${TagKey}

xssmatchset arn:${Partition}:waf::${Account}:xssmatchset/${Id}
regexmatchset arn:${Partition}:waf::${Account}:regexmatch/${Id}
regexpatternset arn:${Partition}:waf::${Account}:regexpatternset/${Id}
geomatchset arn:${Partition}:waf::${Account}:geomatchset/${Id}
rulegroup arn:${Partition}:waf::${Account}:rulegroup/${Id}

aws:ResourceTag/${TagKey}

Claves de condición para AWS WAF

AWS WAF define las siguientes claves de condición que pueden utilizarse en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra acciones en función del conjunto de valores permitidos para cada una de las etiquetas. Cadena
aws:ResourceTag/${TagKey} Filtra acciones en función del valor-etiqueta asociado al recurso Cadena
aws:TagKeys Filtra acciones en función de la presencia de etiquetas obligatorias en la solicitud. ArrayOfString