Acciones, recursos y claves de condición para AWS WAF Regional - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para AWS WAF Regional

AWS WAF Regional (prefijo de servicio: waf-regional) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS WAF Regional

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AssociateWebACL Concede permiso para asociar una ACL web a un recurso Write

loadbalancer/app/*

webacl*

CreateByteMatchSet Concede permiso para crear un ByteMatchSet Write

bytematchset*

CreateGeoMatchSet Concede permiso para crear un GeoMatchSet Write

geomatchset*

CreateIPSet Concede permiso para crear un IPSet Write

ipset*

CreateRateBasedRule Concede permiso para crear una RateBasedRule Write

ratebasedrule*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRegexMatchSet Concede permiso para crear un RegexMatchSet Write

regexmatchset*

CreateRegexPatternSet Concede permiso para crear un RegexPatternSet Write

regexpatternset*

CreateRule Concede permiso para crear una regla Write

rule*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRuleGroup Concede permiso para crear un RuleGroup Write

rulegroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSizeConstraintSet Concede permiso para crear un SizeConstraintSet Write

sizeconstraintset*

CreateSqlInjectionMatchSet Concede permiso para crear un SqlInjectionMatchSet Write

sqlinjectionmatchset*

CreateWebACL Concede permiso para crear una WebACL Permissions management

webacl*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWebACLMigrationStack Concede permiso para crear una plantilla de ACL web de CloudFormation en un bucket de S3 con el fin de migrar la ACL web de AWS WAF Classic a AWS WAF v2 Write

webacl*

s3:PutObject

CreateXssMatchSet Concede permiso para crear un XssMatchSet Write

xssmatchset*

DeleteByteMatchSet Concede permiso para eliminar un ByteMatchSet Write

bytematchset*

DeleteGeoMatchSet Concede permiso para eliminar un GeoMatchSet Write

geomatchset*

DeleteIPSet Concede permiso para eliminar un IPSet Write

ipset*

DeleteLoggingConfiguration Concede permiso para eliminar una LoggingConfiguration de una ACL web Write

webacl*

DeletePermissionPolicy Concede permiso para eliminar una política de IAM de un grupo de reglas Permissions management

rulegroup*

DeleteRateBasedRule Concede permiso para eliminar una RateBasedRule Write

ratebasedrule*

DeleteRegexMatchSet Concede permiso para eliminar un RegexMatchSet Write

regexmatchset*

DeleteRegexPatternSet Concede permiso para eliminar un RegexPatternSet Write

regexpatternset*

DeleteRule Concede permiso para eliminar una regla Write

rule*

DeleteRuleGroup Concede permiso para eliminar una RuleGroup Write

rulegroup*

DeleteSizeConstraintSet Concede permiso para eliminar un SizeConstraintSet Write

sizeconstraintset*

DeleteSqlInjectionMatchSet Concede permiso para eliminar un SqlInjectionMatchSet Write

sqlinjectionmatchset*

DeleteWebACL Concede permiso para eliminar una WebACL Permissions management

webacl*

DeleteXssMatchSet Concede permiso para eliminar un XssMatchSet Write

xssmatchset*

DisassociateWebACL Concede permiso para eliminar una asociación entre una ACL web y un recurso Write

loadbalancer/app/*

GetByteMatchSet Concede permiso para recuperar un ByteMatchSet Read

bytematchset*

GetChangeToken Concede permiso para recuperar un token de cambio para utilizarlo en las solicitudes de creación, actualización y eliminación Read
GetChangeTokenStatus Concede permiso para recuperar el estado de un token de cambio Read
GetGeoMatchSet Concede permiso para recuperar un GeoMatchSet Read

geomatchset*

GetIPSet Concede permiso para recuperar un IPSet Read

ipset*

GetLoggingConfiguration Concede permiso para recuperar una LoggingConfiguration Read

webacl*

GetPermissionPolicy Concede permiso para recuperar una política de IAM adjunta a un RuleGroup Read

rulegroup*

GetRateBasedRule Concede permiso para recuperar una RateBasedRule Read

ratebasedrule*

GetRateBasedRuleManagedKeys Concede permiso para recuperar la matriz de direcciones IP que están siendo bloqueadas por una RateBasedRule Read

ratebasedrule*

GetRegexMatchSet Concede permiso para recuperar un RegexMatchSet Read

regexmatchset*

GetRegexPatternSet Concede permiso para recuperar un RegexPatternSet Read

regexpatternset*

GetRule Concede permiso para recuperar una regla Read

rule*

GetRuleGroup Concede permisos para recuperar un RuleGroup Read

rulegroup*

GetSampledRequests Concede permiso para recuperar información detallada de un conjunto de ejemplo de solicitudes web Read

rule

webacl

GetSizeConstraintSet Concede permiso para recuperar un SizeConstraintSet Read

sizeconstraintset*

GetSqlInjectionMatchSet Concede permiso para recuperar un SqlInjectionMatchSet Read

sqlinjectionmatchset*

GetWebACL Concede permisos para recuperar una WebACL Read

webacl*

GetWebACLForResource Concede permiso para recuperar una WebACL asociada a un recurso especificado Read

loadbalancer/app/*

GetXssMatchSet Concede permiso para recuperar un XssMatchSet Read

xssmatchset*

ListActivatedRulesInRuleGroup Concede permiso para recuperar una matriz de objetos ActivatedRule List
ListByteMatchSets Concede permiso para recuperar una matriz de objetos ByteMatchSetSummary List
ListGeoMatchSets Concede permiso para recuperar una matriz de objetos GeoMatchSetSummary List
ListIPSets Concede permiso para recuperar una matriz de objetos IPSetSummary List
ListLoggingConfigurations Concede permiso para recuperar una matriz de objetos LoggingConfiguration List
ListRateBasedRules Concede permiso para recuperar una matriz de objetos RuleSummary List
ListRegexMatchSets Concede permiso para recuperar una matriz de objetos RegexMatchSetSummary List
ListRegexPatternSets Concede permiso para recuperar una matriz de objetos RegexPatternSetSummary List
ListResourcesForWebACL Concede permiso para recuperar una matriz de recursos asociados a una WebACL especificada List

webacl*

ListRuleGroups Concede permiso para recuperar una matriz de objetos RuleGroup List
ListRules Concede permiso para recuperar una matriz de objetos RuleSummary List
ListSizeConstraintSets Concede permiso para recuperar una matriz de objetos SizeConstraintSetSummary List
ListSqlInjectionMatchSets Concede permiso para recuperar una matriz de objetos SqlInjectionMatchSet List
ListSubscribedRuleGroups Concede permiso para recuperar una matriz de objetos RuleGroup a los que está suscrito List
ListTagsForResource Concede permiso para enumerar las etiquetas de un recurso Read

ratebasedrule

rule

rulegroup

webacl

ListWebACLs Concede permiso para recuperar una matriz de objetos WebACLSummary List
ListXssMatchSets Concede permiso para recuperar una matriz de objetos XssMatchSet List
PutLoggingConfiguration Concede permiso para asociar una LoggingConfiguration a una ACL web Write

webacl*

iam:CreateServiceLinkedRole

PutPermissionPolicy Concede permiso para adjuntar una política de IAM a un grupo de reglas especificado, a fin de admitir el uso compartido de grupos de reglas entre cuentas Permissions management

rulegroup*

TagResource Concede permiso para agregar una etiqueta a un recurso Etiquetado

ratebasedrule

rule

rulegroup

webacl

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Concede permiso para eliminar una etiqueta de un recurso Etiquetado

ratebasedrule

rule

rulegroup

webacl

aws:TagKeys

UpdateByteMatchSet Concede permiso para insertar o eliminar objetos ByteMatchTuple en un ByteMatchSet Write

bytematchset*

UpdateGeoMatchSet Concede permiso para insertar o eliminar objetos GeoMatchConstraint en un GeoMatchSet Write

geomatchset*

UpdateIPSet Concede permiso para insertar o eliminar objetos IPSetDescriptor en un IPSet Write

ipset*

UpdateRateBasedRule Concede permiso para insertar o eliminar objetos de predicado en una regla basada en tasas y actualizar el RateLimit en la regla Write

ratebasedrule*

UpdateRegexMatchSet Concede permiso para insertar o eliminar objetos RegexMatchTuple en un RegexMatchSet Write

regexmatchset*

UpdateRegexPatternSet Concede permiso para insertar o eliminar RegexPatternStrings en un RegexPatternSet Write

regexpatternset*

UpdateRule Concede permiso para insertar o eliminar objetos de predicado en una regla Write

rule*

UpdateRuleGroup Concede permiso para insertar o eliminar objetos ActivatedRule en un grupo RuleGroup Write

rulegroup*

UpdateSizeConstraintSet Concede permiso para insertar o eliminar objetos SizeConstraint en un SizeConstraintSet Write

sizeconstraintset*

UpdateSqlInjectionMatchSet Concede permiso para insertar o eliminar objetos SqlInjectionMatchTuple en un SqlInjectionMatchSet Write

sqlinjectionmatchset*

UpdateWebACL Concede permiso para insertar o eliminar objetos ActivatedRule en una WebACL Permissions management

webacl*

UpdateXssMatchSet Concede permiso para insertar o eliminar objetos XssMatchTuple en un XssMatchSet Write

xssmatchset*

Tipos de recursos definidos por AWS WAF Regional

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
bytematchset arn:${Partition}:waf-regional:${Region}:${Account}:bytematchset/${Id}
ipset arn:${Partition}:waf-regional:${Region}:${Account}:ipset/${Id}
loadbalancer/app/ arn:${Partition}:elasticloadbalancing:${Region}:${Account}:loadbalancer/app/${LoadBalancerName}/${LoadBalancerId}
ratebasedrule arn:${Partition}:waf-regional:${Region}:${Account}:ratebasedrule/${Id}

aws:ResourceTag/${TagKey}

rule arn:${Partition}:waf-regional:${Region}:${Account}:rule/${Id}

aws:ResourceTag/${TagKey}

sizeconstraintset arn:${Partition}:waf-regional:${Region}:${Account}:sizeconstraintset/${Id}
sqlinjectionmatchset arn:${Partition}:waf-regional:${Region}:${Account}:sqlinjectionset/${Id}
webacl arn:${Partition}:waf-regional:${Region}:${Account}:webacl/${Id}

aws:ResourceTag/${TagKey}

xssmatchset arn:${Partition}:waf-regional:${Region}:${Account}:xssmatchset/${Id}
regexmatchset arn:${Partition}:waf-regional:${Region}:${Account}:regexmatch/${Id}
regexpatternset arn:${Partition}:waf-regional:${Region}:${Account}:regexpatternset/${Id}
geomatchset arn:${Partition}:waf-regional:${Region}:${Account}:geomatchset/${Id}
rulegroup arn:${Partition}:waf-regional:${Region}:${Account}:rulegroup/${Id}

aws:ResourceTag/${TagKey}

Claves de condición para AWS WAF Regional

AWS WAF Regional define las siguientes claves de condición que pueden utilizarse en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra acciones en función del conjunto de valores permitidos para cada una de las etiquetas. Cadena
aws:ResourceTag/${TagKey} Filtra acciones en función del valor-etiqueta asociado con el recurso. Cadena
aws:TagKeys Filtra acciones en función de la presencia de etiquetas obligatorias en la solicitud. ArrayOfString