Uso de roles vinculados a servicios para Classic AWS WAF - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Permisos de roles vinculados a servicios de AWS WAF ClassicCreación de un rol vinculado a servicios para AWS WAF ClassicModificación de un rol vinculado a un servicio en instancias de AWS WAF ClassicEliminación de roles vinculados a servicios en AWS WAF ClassicRegiones admitidas para los roles vinculados a un servicio de AWS WAF Classic

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios para Classic AWS WAF

nota

Esta es la documentación de AWS WAF Classic. Solo debes usar esta versión si creaste AWS WAF recursos, como reglas y ACL web, AWS WAF antes de noviembre de 2019 y aún no los has migrado a la versión más reciente. Para migrar los recursos, consulte Migración de sus recursos AWS WAF clásicos a AWS WAF.

Para obtener la versión más reciente de AWS WAF, consulteAWS WAF.

AWS WAF Classic utiliza funciones AWS Identity and Access Management vinculadas al servicio (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Classic. AWS WAF AWS WAF Classic predefine los roles vinculados al servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre.

Un rol vinculado a un servicio facilita la configuración de AWS WAF Classic, ya que no es necesario añadir manualmente los permisos necesarios. AWS WAF Classic define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS WAF Classic puede asumir sus funciones. Los permisos definidos incluyen la política de confianza y la política de permisos. Dicha política de permisos no se puede asociar a ninguna otra entidad de IAM.

Solo puede eliminar un rol vinculado a un servicio después de eliminar los recursos relacionados del rol. Esto protege sus recursos AWS WAF clásicos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran en la columna Rol vinculado a un servicio. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de roles vinculados a servicios de AWS WAF Classic

AWS WAF Classic usa las siguientes funciones vinculadas a un servicio:

  • AWSServiceRoleForWAFLogging

  • AWSServiceRoleForWAFRegionalLogging

AWS WAF Classic usa estas funciones vinculadas a servicios para escribir registros en Amazon Data Firehose. Estas funciones solo se utilizan si habilita el inicio de sesión. AWS WAF Para obtener más información, consulte Registro de información del tráfico de la ACL web.

Los roles vinculados al servicio AWSServiceRoleForWAFLogging y AWSServiceRoleForWAFRegionalLogging confían en los siguientes servicios (respectivamente) para asumir el rol:

  • waf.amazonaws.com

    waf-regional.amazonaws.com

Las políticas de permisos de las funciones permiten a AWS WAF Classic realizar las siguientes acciones en los recursos especificados:

  • Acción: firehose:PutRecord y firehose:PutRecordBatch en Amazon Data Firehose, los recursos de transmisión de datos con un nombre que comience por «aws-waf-logs-». Por ejemplo, aws-waf-logs-us-east-2-analytics.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a servicios para AWS WAF Classic

No necesita crear manualmente un rol vinculado a servicios. Cuando habilita el AWS Management Console inicio de sesión AWS WAF clásico en la CLI AWS WAF clásica o la API AWS WAF clásica, AWS WAF Classic crea el rol vinculado al servicio automáticamente. PutLoggingConfiguration

Debe tener el permiso iam:CreateServiceLinkedRole para habilitar el registro.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al habilitar el registro AWS WAF clásico, AWS WAF Classic vuelve a crear el rol vinculado al servicio para usted.

Modificación de un rol vinculado a un servicio en instancias de AWS WAF Classic

AWS WAF La versión clásica no permite editar las funciones vinculadas a un servicio ni las funciones vinculadas al AWSServiceRoleForWAFLogging AWSServiceRoleForWAFRegionalLogging servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol utilizando IAM. Para más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM..

Eliminación de roles vinculados a servicios en AWS WAF Classic

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se monitorice ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el servicio AWS WAF clásico utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar los recursos AWS WAF clásicos utilizados por AWSServiceRoleForWAFLogging y AWSServiceRoleForWAFRegionalLogging

  1. En la consola AWS WAF clásica, elimine el registro de todas las ACL web. Para obtener más información, consulte Registro de información del tráfico de la ACL web.

  2. Mediante la API o la CLI, envíe una solicitud DeleteLoggingConfiguration para cada ACL web que tenga habilitado el registro. Para obtener más información, consulte la Referencia de la API de AWS WAF Classic.

Cómo eliminar manualmente el rol vinculado a servicios mediante IAM

Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar los roles vinculados a servicios AWSServiceRoleForWAFLogging y AWSServiceRoleForWAFRegionalLogging. Para más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados a un servicio de AWS WAF Classic

AWS WAF La versión clásica admite el uso de funciones vinculadas a servicios en los siguientes casos. Regiones de AWS

Nombre de la región Identidad de la región Support en AWS WAF versión clásica
EE. UU. Este (Norte de Virginia) us-east-1
EE. UU. Este (Ohio) us-east-2
EE. UU Oeste (Norte de California) us-west-1
Oeste de EE. UU. (Oregón) us-west-2
Asia-Pacífico (Bombay) ap-south-1
Asia-Pacífico (Osaka) ap-northeast-3
Asia-Pacífico (Seúl) ap-northeast-2
Asia-Pacífico (Singapur) ap-southeast-1
Asia-Pacífico (Sídney) ap-southeast-2
Asia-Pacífico (Tokio) ap-northeast-1
Canadá (centro) ca-central-1
Europa (Fráncfort) eu-central-1
Europa (Irlanda) eu-west-1
Europa (Londres) eu-west-2
Europa (París) eu-west-3
América del Sur (São Paulo) sa-east-1