Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo AWS WAF funciona con IAM
Antes de utilizar IAM para gestionar el acceso AWS WAF, infórmese sobre las funciones de IAM disponibles para su uso. AWS WAF
Funciones de IAM que puede utilizar con AWS WAF | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Característica de IAM | AWS WAF soporte | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sí |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sí |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sí |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sí |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sí |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
No |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Parcial |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sí |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sí |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sí |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Sí |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Para obtener una visión general de cómo AWS WAF funcionan otros AWS servicios con la mayoría de las funciones de IAM, consulte AWS los servicios que funcionan con IAM en la Guía del usuario de IAM.
Políticas basadas en la identidad para AWS WAF
|
Compatibilidad con las políticas basadas en identidades |
Sí |
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en identidad, consulte Creación de políticas de IAM en la Guía del usuario de IAM.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. No es posible especificar la entidad principal en una política basada en identidad porque se aplica al usuario o rol al que está adjunto. Para más información sobre los elementos que puede utilizar en una política de JSON, consulte Referencia de los elementos de las políticas de JSON de IAM en la Guía del usuario de IAM.
Para ver ejemplos de políticas AWS WAF basadas en la identidad, consulte. Ejemplos de políticas basadas en identidades de AWS WAF
Políticas basadas en recursos incluidas AWS WAF
|
Compatibilidad con las políticas basadas en recursos |
Sí |
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Ejemplos de políticas basadas en recursos son las políticas de confianza de roles de IAM y las políticas de bucket de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe especificar una entidad principal en una política en función de recursos. Los principales pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Añadir a una política en función de recursos una entidad principal entre cuentas es solo una parte del establecimiento de una relación de confianza. Cuando el principal y el recurso son diferentes Cuentas de AWS, el administrador de IAM de la cuenta de confianza también debe conceder a la entidad principal (usuario o rol) permiso para acceder al recurso. Para conceder el permiso, adjunte la entidad a una política basada en identidad. Sin embargo, si la política en función de recursos concede el acceso a una entidad principal de la misma cuenta, no es necesaria una política basada en identidad adicional. Para más información, consulte Cómo los roles de IAM difieren de las políticas basadas en recursos en la Guía del usuario de IAM.
AWS WAF utiliza políticas basadas en recursos para permitir el uso compartido de grupos de reglas entre cuentas. Para compartir un grupo de reglas de su propiedad con otra AWS cuenta, debe proporcionar la configuración de políticas basada en recursos a la llamada a la AWS WAF API PutPermissionPolicy o a una llamada de CLI o SDK equivalente. Para obtener información adicional, incluidos ejemplos y enlaces a la documentación de los demás idiomas disponibles, consulta la referencia de PutPermissionPolicyla AWS WAF API. Esta funcionalidad no está disponible a través de otros medios, como la consola o. AWS CloudFormation
Acciones políticas para AWS WAF
|
Admite acciones de política |
Sí |
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.
El elemento Action de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Las acciones políticas suelen tener el mismo nombre que la operación de AWS API asociada. Hay algunas excepciones, como acciones de solo permiso que no tienen una operación de API coincidente. También hay algunas operaciones que requieren varias acciones en una política. Estas acciones adicionales se denominan acciones dependientes.
Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de AWS WAF acciones y permisos para cada una de ellas, consulta las acciones definidas por la AWS WAF versión 2 en la Referencia de autorización de servicios.
Las acciones políticas AWS WAF utilizan el siguiente prefijo antes de la acción:
wafv2
Para especificar varias acciones en una única instrucción, sepárelas con comas.
"Action": [ "wafv2:action1", "wafv2:action2" ]
Puede utilizar caracteres comodín (*) para especificar varias acciones . Por ejemplo, para especificar todas las acciones AWS WAF que comiencen porList, incluya la siguiente acción:
"Action": "wafv2:List*"
Para ver ejemplos de políticas AWS WAF basadas en la identidad, consulte. Ejemplos de políticas basadas en identidades de AWS WAF
Acciones que requieren configuraciones de permisos adicionales
Algunas acciones requieren permisos que no se pueden describir completamente en las acciones definidas por la AWS WAF versión 2 de la Referencia de autorización de servicios. En esta sección, se proporciona información adicional sobre los permisos.
Temas
Permisos para AssociateWebACL
En esta sección, se enumeran los permisos necesarios para asociar una ACL web a un recurso mediante la acción AssociateWebACL de AWS WAF .
Para CloudFront las distribuciones de Amazon, usa la acción en lugar de esta CloudFront acciónUpdateDistribution. Para obtener más información, consulta UpdateDistributionla referencia de la CloudFront API de Amazon.
API de REST de Amazon API Gateway
Requiere permiso para llamar a API Gateway SetWebACL en el tipo de recurso de API REST y para llamar AWS WAF AssociateWebACL a una ACL web.
{ "Sid": "AssociateWebACL1", "Effect": "Allow", "Action": [ "wafv2:AssociateWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "AssociateWebACL2", "Effect": "Allow", "Action": [ "apigateway:SetWebACL" ], "Resource": [ "arn:aws:apigateway:*::/restapis/*/stages/*" ] }
Equilibrador de carga de aplicación
Requiere permiso para realizar una elasticloadbalancing:SetWebACL acción en el tipo de recurso Application Load Balancer y para llamar a una AWS WAF
AssociateWebACL ACL web.
{ "Sid": "AssociateWebACL1", "Effect": "Allow", "Action": [ "wafv2:AssociateWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "AssociateWebACL2", "Effect": "Allow", "Action": [ "elasticloadbalancing:SetWebACL" ], "Resource": [ "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*" ] }
AWS AppSync API GraphQL
Requiere permiso para invocar AWS AppSync SetWebACL el tipo de recurso de la API GraphQL y para llamar a una AWS WAF AssociateWebACL ACL web.
{ "Sid": "AssociateWebACL1", "Effect": "Allow", "Action": [ "wafv2:AssociateWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "AssociateWebACL2", "Effect": "Allow", "Action": [ "appsync:SetWebACL" ], "Resource": [ "arn:aws:appsync:*:account-id:apis/*" ] }
Grupo de usuarios de Amazon Cognito
Requiere permiso para llamar a la AssociateWebACL acción de Amazon Cognito en el tipo de recurso del grupo de usuarios y para llamar a una AWS WAF AssociateWebACL ACL web.
{ "Sid": "AssociateWebACL1", "Effect": "Allow", "Action": [ "wafv2:AssociateWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "AssociateWebACL2", "Effect": "Allow", "Action": [ "cognito-idp:AssociateWebACL" ], "Resource": [ "arn:aws:cognito-idp:*:account-id:userpool/*" ] }
AWS App Runner servicio
Requiere permiso para llamar a la AssociateWebACL acción de App Runner en el tipo de recurso de servicio de App Runner y para llamar AWS WAF AssociateWebACL a una ACL web.
{ "Sid": "AssociateWebACL1", "Effect": "Allow", "Action": [ "wafv2:AssociateWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "AssociateWebACL2", "Effect": "Allow", "Action": [ "apprunner:AssociateWebAcl" ], "Resource": [ "arn:aws:apprunner:*:account-id:service/*/*" ] }
AWS Instancia de acceso verificado
Requiere permiso para ejecutar la ec2:AssociateVerifiedAccessInstanceWebAcl acción en el tipo de recurso de la instancia de acceso verificado y para llamar AWS WAF AssociateWebACL a una ACL web.
{ "Sid": "AssociateWebACL1", "Effect": "Allow", "Action": [ "wafv2:AssociateWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "AssociateWebACL2", "Effect": "Allow", "Action": [ "ec2:AssociateVerifiedAccessInstanceWebAcl" ], "Resource": [ "arn:aws:ec2:*:account-id:verified-access-instance/*" ] }
Permisos para DisassociateWebACL
En esta sección se enumeran los permisos necesarios para desasociar una ACL web de un recurso mediante la AWS WAF acciónDisassociateWebACL.
Para CloudFront las distribuciones de Amazon, en lugar de esta acción, usa la CloudFront acción UpdateDistribution con un ID de ACL web vacío. Para obtener más información, consulta UpdateDistributionla referencia de la CloudFront API de Amazon.
API de REST de Amazon API Gateway
Requiere permiso para llamar a API Gateway SetWebACL en el tipo de recurso de API de REST. No requiere permiso para llamar AWS WAF DisassociateWebACL.
{ "Sid": "DisassociateWebACL", "Effect": "Allow", "Action": [ "apigateway:SetWebACL" ], "Resource": [ "arn:aws:apigateway:*::/restapis/*/stages/*" ] }
Equilibrador de carga de aplicación
Requiere permiso para llamar a la acción elasticloadbalancing:SetWebACL en el tipo de recurso equilibrador de carga de aplicación. No requiere permiso para llamar AWS WAF DisassociateWebACL.
{ "Sid": "DisassociateWebACL", "Effect": "Allow", "Action": [ "elasticloadbalancing:SetWebACL" ], "Resource": [ "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*" ] }
AWS AppSync API GraphQL
Requiere permiso para llamar al tipo AWS AppSync SetWebACL de recurso de la API GraphQL. No requiere permiso para llamar AWS WAF DisassociateWebACL.
{ "Sid": "DisassociateWebACL", "Effect": "Allow", "Action": [ "appsync:SetWebACL" ], "Resource": [ "arn:aws:appsync:*:account-id:apis/*" ] }
Grupo de usuarios de Amazon Cognito
Requiere permiso para ejecutar la DisassociateWebACL acción de Amazon Cognito en el tipo de recurso del grupo de usuarios y para realizar la llamada. AWS WAF DisassociateWebACL
{ "Sid": "DisassociateWebACL1", "Effect": "Allow", "Action": "wafv2:DisassociateWebACL", "Resource": "*" }, { "Sid": "DisassociateWebACL2", "Effect": "Allow", "Action": [ "cognito-idp:DisassociateWebACL" ], "Resource": [ "arn:aws:cognito-idp:*:account-id:userpool/*" ] }
AWS App Runner servicio
Requiere permiso para ejecutar la DisassociateWebACL acción de App Runner en el tipo de recurso de servicio de App Runner y realizar la llamada AWS WAF DisassociateWebACL.
{ "Sid": "DisassociateWebACL1", "Effect": "Allow", "Action": "wafv2:DisassociateWebACL", "Resource": "*" }, { "Sid": "DisassociateWebACL2", "Effect": "Allow", "Action": [ "apprunner:DisassociateWebAcl" ], "Resource": [ "arn:aws:apprunner:*:account-id:service/*/*" ] }
AWS Instancia de acceso verificado
Requiere permiso para ejecutar la ec2:DisassociateVerifiedAccessInstanceWebAcl acción en el tipo de recurso de la instancia de Verified Access y realizar la llamada AWS WAF DisassociateWebACL.
{ "Sid": "DisassociateWebACL1", "Effect": "Allow", "Action": "wafv2:DisassociateWebACL", "Resource": "*" }, { "Sid": "DisassociateWebACL2", "Effect": "Allow", "Action": [ "ec2:DisassociateVerifiedAccessInstanceWebAcl" ], "Resource": [ "arn:aws:ec2:*:account-id:verified-access-instance/*" ] }
Permisos para GetWebACLForResource
En esta sección se enumeran los permisos necesarios para obtener la ACL web para un recurso protegido mediante la AWS WAF acción de GetWebACLForResource.
Para CloudFront las distribuciones de Amazon, usa la acción en lugar de esta CloudFront acciónGetDistributionConfig. Para obtener más información, consulta GetDistributionConfigla referencia de la CloudFront API de Amazon.
nota
GetWebACLForResource requiere el permiso para llamar a GetWebACL. En este contexto, GetWebACL solo se AWS WAF usa para verificar que su cuenta tiene el permiso que necesita para acceder a la ACL web que GetWebACLForResource devuelve. Cuando llamesGetWebACLForResource, es posible que aparezca un error que indique que tu cuenta no está autorizada a operar con wafv2:GetWebACL el recurso. AWS WAF no añade este tipo de error al historial de AWS CloudTrail eventos.
API REST, Application Load Balancer y AWS AppSync GraphQL de Amazon API Gateway
Se requiere permiso para realizar llamadas AWS WAF GetWebACLForResource y GetWebACL para una ACL web.
{ "Sid": "GetWebACLForResource", "Effect": "Allow", "Action": [ "wafv2:GetWebACLForResource", "wafv2:GetWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }
Grupo de usuarios de Amazon Cognito
Requiere permiso para llamar a la GetWebACLForResource acción de Amazon Cognito en el tipo de recurso del grupo de usuarios y para llamar AWS WAF GetWebACLForResource a y. GetWebACL
{ "Sid": "GetWebACLForResource1", "Effect": "Allow", "Action": [ "wafv2:GetWebACLForResource", "wafv2:GetWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "GetWebACLForResource2", "Effect": "Allow", "Action": [ "cognito-idp:GetWebACLForResource" ], "Resource": [ "arn:aws:cognito-idp:*:account-id:userpool/*" ] }
AWS App Runner servicio
Requiere permiso para llamar a la DescribeWebAclForService acción de App Runner en el tipo de recurso de servicio de App Runner y para llamar a AWS WAF
GetWebACLForResource yGetWebACL.
{ "Sid": "GetWebACLForResource1", "Effect": "Allow", "Action": [ "wafv2:GetWebACLForResource", "wafv2:GetWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "GetWebACLForResource2", "Effect": "Allow", "Action": [ "apprunner:DescribeWebAclForService" ], "Resource": [ "arn:aws:apprunner:*:account-id:service/*/*" ] }
AWS Instancia de acceso verificado
Requiere permiso para ejecutar la ec2:GetVerifiedAccessInstanceWebAcl acción en el tipo de recurso de la instancia de acceso verificado y para llamar a AWS WAF GetWebACLForResource yGetWebACL.
{ "Sid": "GetWebACLForResource1", "Effect": "Allow", "Action": [ "wafv2:GetWebACLForResource", "wafv2:GetWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "GetWebACLForResource2", "Effect": "Allow", "Action": [ "ec2:GetVerifiedAccessInstanceWebAcl" ], "Resource": [ "arn:aws:ec2:*:account-id:verified-access-instance/*" ] }
Permisos para ListResourcesForWebACL
En esta sección, se enumeran los permisos necesarios para recuperar la lista de recursos protegidos para una ACL web mediante la acción ListResourcesForWebACL de AWS WAF .
Para CloudFront las distribuciones de Amazon, usa la acción en lugar de esta CloudFront acciónListDistributionsByWebACLId. Para obtener más información, consulta ListDistributionsByWebaclID en la referencia de CloudFront API de Amazon.
API REST, Application Load Balancer y AWS AppSync GraphQL de Amazon API Gateway
Se requiere permiso AWS WAF ListResourcesForWebACL para solicitar una ACL web.
{ "Sid": "ListResourcesForWebACL", "Effect": "Allow", "Action": [ "wafv2:ListResourcesForWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }
Grupo de usuarios de Amazon Cognito
Requiere permiso para llamar a la acción ListResourcesForWebACL de Amazon Cognito en el tipo de recurso de grupo de usuarios y para llamar a ListResourcesForWebACL de AWS WAF
.
{ "Sid": "ListResourcesForWebACL1", "Effect": "Allow", "Action": [ "wafv2:ListResourcesForWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "ListResourcesForWebACL2", "Effect": "Allow", "Action": [ "cognito-idp:ListResourcesForWebACL" ], "Resource": [ "arn:aws:cognito-idp:*:account-id:userpool/*" ] }
AWS App Runner servicio
Requiere permiso para ejecutar la ListAssociatedServicesForWebAcl acción de App Runner en el tipo de recurso de servicio de App Runner y realizar la llamada AWS WAF ListResourcesForWebACL.
{ "Sid": "ListResourcesForWebACL1", "Effect": "Allow", "Action": [ "wafv2:ListResourcesForWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "ListResourcesForWebACL2", "Effect": "Allow", "Action": [ "apprunner:ListAssociatedServicesForWebAcl" ], "Resource": [ "arn:aws:apprunner:*:account-id:service/*/*" ] }
AWS Instancia de acceso verificado
Requiere permiso para llamar a la acción ec2:DescribeVerifiedAccessInstanceWebAclAssociations en el tipo de recurso de instancia de acceso verificado y llamar a ListResourcesForWebACL de AWS WAF
.
{ "Sid": "ListResourcesForWebACL1", "Effect": "Allow", "Action": [ "wafv2:ListResourcesForWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "ListResourcesForWebACL2", "Effect": "Allow", "Action": [ "ec2:DescribeVerifiedAccessInstanceWebAclAssociations" ], "Resource": [ "arn:aws:ec2:*:account-id:verified-access-instance/*" ] }
Recursos de políticas para AWS WAF
|
Admite recursos de políticas |
Sí |
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.
El elemento Resource de la política JSON especifica el objeto u objetos a los que se aplica la acción. Las instrucciones deben contener un elemento Resource o NotResource. Como práctica recomendada, especifique un recurso utilizando el Nombre de recurso de Amazon (ARN). Puede hacerlo para acciones que admitan un tipo de recurso específico, conocido como permisos de nivel de recurso.
Para las acciones que no admiten permisos de nivel de recurso, como las operaciones de descripción, utilice un carácter comodín (*) para indicar que la instrucción se aplica a todos los recursos.
"Resource": "*"
Para ver la lista de tipos de AWS WAF recursos y sus ARN, consulte los recursos definidos por la AWS WAF versión 2 en la Referencia de autorización de servicios. Para saber con qué acciones puede especificar el ARN de cada recurso, consulte Acciones definidas por AWS WAF V2. Para permitir o denegar el acceso a un subconjunto de AWS WAF recursos, incluya el ARN del recurso en el elemento de resource la política.
Los ARN de los AWS WAF wafv2 recursos tienen el siguiente formato:
arn:partition:wafv2:region:account-id:scope/resource-type/resource-name/resource-id
Para obtener información general acerca de las especificaciones de ARN, consulte Nombres de recursos de Amazon (ARN) en la Referencia general de Amazon Web Services.
A continuación, se enumeran los requisitos específicos de los ARN de los recursos de wafv2:
-
región: En el caso de AWS WAF los recursos que utilizas para proteger CloudFront las distribuciones de Amazon, establécela en.us-east-1De lo contrario, establézcalo en la región que esté utilizando con sus recursos regionales protegidos. -
alcance: defina el ámbitoglobalpara usarlo con una CloudFront distribución de Amazon oregionalpara usarlo con cualquiera de los recursos regionales AWS WAF compatibles. Los recursos regionales son una API REST de Amazon API Gateway, un Application Load Balancer, una API AWS AppSync GraphQL, un grupo de usuarios de Amazon Cognito, un AWS App Runner servicio y una instancia de Verified Access. AWS -
Tipo de recurso: especifique uno de los siguientes valores:webacl,rulegroup,ipset,regexpatternsetomanagedruleset. -
Nombre-recurso: especifique el nombre que asignó al recurso de AWS WAF o especifique un comodín (*) para indicar todos los recursos que cumplen las demás especificaciones del ARN. Debe especificar el nombre y el identificador del recurso, o especificar un comodín para ambos. -
resource-id: especifique el ID del recurso de AWS WAF o especifique un comodín (*) para indicar todos los recursos que cumplen las demás especificaciones del ARN. Debe especificar el nombre y el identificador del recurso, o especificar un comodín para ambos.
Por ejemplo, el siguiente ARN especifica todas las ACL web con ámbito regional para la cuenta 111122223333 en la región us-west-1:
arn:aws:wafv2:us-west-1:111122223333:regional/webacl/*/*
El siguiente ARN especifica el grupo de reglas denominado MyIPManagementRuleGroup con un alcance global para la cuenta 111122223333 en la región us-east-1:
arn:aws:wafv2:us-east-1:111122223333:global/rulegroup/MyIPManagementRuleGroup/1111aaaa-bbbb-cccc-dddd-example-id
Para ver ejemplos de políticas basadas en la AWS WAF identidad, consulte. Ejemplos de políticas basadas en identidades de AWS WAF
Claves de condición de la política para AWS WAF
|
Admite claves de condición de políticas específicas del servicio |
Sí |
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.
El elemento Condition (o bloque de Condition) permite especificar condiciones en las que entra en vigor una instrucción. El elemento Condition es opcional. Puede crear expresiones condicionales que utilicen operadores de condición, tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud.
Si especifica varios elementos de Condition en una instrucción o varias claves en un único elemento de Condition, AWS las evalúa mediante una operación lógica AND. Si especifica varios valores para una única clave de condición, AWS evalúa la condición mediante una OR operación lógica. Se deben cumplir todas las condiciones antes de que se concedan los permisos de la instrucción.
También puede utilizar variables de marcador de posición al especificar condiciones. Por ejemplo, puede conceder un permiso de usuario de IAM para acceder a un recurso solo si está etiquetado con su nombre de usuario de IAM. Para más información, consulte Elementos de la política de IAM: variables y etiquetas en la Guía del usuario de IAM.
AWS admite claves de condición globales y claves de condición específicas del servicio. Para ver todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Guía del usuario de IAM.
Además, AWS WAF admite las siguientes claves de condición que puede utilizar para proporcionar un filtrado detallado a sus políticas de IAM:
-
wafv2: LogDestinationResource
Esta clave de condición toma una especificación de Amazon Resource Name (ARN) para el destino del registro. Este es el ARN que proporciona para el destino del registro cuando utiliza la llamada a la API REST.
PutLoggingConfigurationPuede especificar un ARN de forma explícita y puede especificar el filtrado del ARN. El siguiente ejemplo especifica el filtrado de los ARN de bucket de Amazon S3 que tienen una ubicación y un prefijo específicos.
"Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-suffix/custom-prefix/*" } } -
wafv2: LogScope
Esta clave de condición define el origen de la configuración de registro en una cadena. Actualmente, siempre tiene el valor predeterminado de
Customer, lo que indica que el destino del registro es de su propiedad y está gestionado por usted.
Para ver una lista de claves de AWS WAF condición, consulte las claves de condición de la AWS WAF versión 2 en la Referencia de autorización del servicio. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte Acciones definidas por la AWS WAF V2.
Para ver ejemplos de políticas AWS WAF basadas en la identidad, consulte. Ejemplos de políticas basadas en identidades de AWS WAF
ACL en AWS WAF
|
Admite las ACL |
No |
Las listas de control de acceso (ACL) controlan qué entidades principales (miembros de cuentas, usuarios o roles) tienen permisos para acceder a un recurso. Las ACL son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
ABAC con AWS WAF
|
Admite ABAC (etiquetas en las políticas) |
Parcial |
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos. En AWS, estos atributos se denominan etiquetas. Puede adjuntar etiquetas a las entidades de IAM (usuarios o roles) y a muchos AWS recursos. El etiquetado de entidades y recursos es el primer paso de ABAC. A continuación, designa las políticas de ABAC para permitir operaciones cuando la etiqueta de la entidad principal coincida con la etiqueta del recurso al que se intenta acceder.
ABAC es útil en entornos que crecen con rapidez y ayuda en situaciones en las que la administración de las políticas resulta engorrosa.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política utilizando las claves de condición aws:ResourceTag/, key-nameaws:RequestTag/ o key-nameaws:TagKeys.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es Sí para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es Parcial.
Para obtener más información sobre ABAC, consulte ¿Qué es ABAC? en la Guía del usuario de IAM. Para ver un tutorial con los pasos para configurar ABAC, consulte Uso del control de acceso basado en atributos (ABAC) en la Guía del usuario de IAM.
Utilizar credenciales temporales con AWS WAF
|
Compatible con el uso de credenciales temporales |
Sí |
Algunas Servicios de AWS no funcionan cuando inicias sesión con credenciales temporales. Para obtener información adicional, incluida la información sobre cuáles Servicios de AWS funcionan con credenciales temporales, consulta Cómo Servicios de AWS funcionan con IAM en la Guía del usuario de IAM.
Utiliza credenciales temporales si inicia sesión en ellas AWS Management Console mediante cualquier método excepto un nombre de usuario y una contraseña. Por ejemplo, cuando accedes AWS mediante el enlace de inicio de sesión único (SSO) de tu empresa, ese proceso crea automáticamente credenciales temporales. También crea credenciales temporales de forma automática cuando inicia sesión en la consola como usuario y luego cambia de rol. Para más información sobre el cambio de roles, consulte Cambio a un rol (consola) en la Guía del usuario de IAM.
Puedes crear credenciales temporales manualmente mediante la AWS CLI API o. AWS A continuación, puede utilizar esas credenciales temporales para acceder AWS. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para más información, consulte Credenciales de seguridad temporales en IAM.
Reenvíe las sesiones de acceso para el servicio AWS WAF
|
Admite Forward access sessions (FAS) |
Sí |
Cuando utilizas un usuario o un rol de IAM para realizar acciones en AWSél, se te considera director. Cuando utiliza algunos servicios, es posible que realice una acción que desencadene otra acción en un servicio diferente. FAS utiliza los permisos del principal que llama y los que solicita Servicio de AWS para realizar solicitudes a los servicios descendentes. Servicio de AWS Las solicitudes de FAS solo se realizan cuando un servicio recibe una solicitud que requiere interacciones con otros Servicios de AWS recursos para completarse. En este caso, debe tener permisos para realizar ambas acciones. Para obtener información detallada sobre las políticas a la hora de realizar solicitudes de FAS, consulte Forward access sessions.
Roles de servicio para AWS WAF
|
Compatible con roles de servicio |
Sí |
Un rol de servicio es un rol de IAM que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte Creación de un rol para delegar permisos a un Servicio de AWS en la Guía del usuario de IAM.
aviso
Cambiar los permisos de un rol de servicio puede interrumpir AWS WAF la funcionalidad. Edite las funciones de servicio solo cuando se AWS WAF proporcionen instrucciones para hacerlo.
Funciones vinculadas al servicio para AWS WAF
|
Compatible con roles vinculados al servicio |
Sí |
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para obtener más información sobre la creación o la administración de funciones AWS WAF vinculadas al servicio, consulte. Uso de roles vinculados a servicios para AWS WAF
