Uso de roles vinculados a servicios de AWS WAF
Esta sección explica cómo utilizar roles vinculados a servicios para dar a AWS WAF acceso a los recursos de su cuenta de AWS.
AWS WAF utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a AWS WAF. Los roles vinculados a servicios están predefinidos por AWS WAF e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Con un rol vinculado a servicios, resulta más sencillo configurar AWS WAF, porque no es preciso agregar los permisos necesarios manualmente. AWS WAF define los permisos de los roles vinculados con su propio servicio y, a menos que esté definido de otra manera, solo AWS WAF puede asumir sus roles. Los permisos definidos incluyen la política de confianza y la política de permisos. Dicha política de permisos no se puede asociar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a un servicio después de eliminar los recursos relacionados del rol. De esta forma, se protegen los recursos de AWS WAF, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Sí en la columna Rol vinculado a un servicio. Seleccione una opción Sí con un enlace para ver la documentación relativa al rol vinculado al servicio en cuestión.
Permisos de roles vinculados a servicios de AWS WAF
AWS WAF utiliza el rol AWSServiceRoleForWAFV2Logging vinculado a servicios para escribir registros en Amazon Data Firehose. Este rol solo se utiliza si habilita la escritura de registros en AWS WAF. Para obtener más información acerca del registro, consulte Registro AWS WAF del tráfico en la ACL web.
Este rol vinculado a servicios se adjunta a la política administrada de AWS, WAFV2LoggingServiceRolePolicy. Para obtener más información sobre la política administrada, consulte Política administrada de AWS: WAFV2LoggingServiceRolePolicy.
El rol vinculado a servicios AWSServiceRoleForWAFV2Logging confía en el servicio wafv2.amazonaws.com para asumir el rol.
Las políticas de permisos del rol permiten que AWS WAF realice las siguientes acciones en los recursos especificados:
-
Acciones de Amazon Data Firehose:
PutRecordyPutRecordBatchen los recursos del flujo de datos de Firehose con un nombre que comience poraws-waf-logs-. Por ejemplo,aws-waf-logs-us-east-2-analytics. -
Acción AWS Organizations:
DescribeOrganizationsobre los recursos de las organizaciones de Organizations.
Consulte el rol vinculado a servicios completo en la consola de IAM: AWSServiceRoleForWAFV2Logging
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Creación de un rol vinculado a un servicio de AWS WAF
No necesita crear manualmente un rol vinculado a servicios. Al habilitar los registros de AWS WAF en la AWS Management Console o realizar una solicitud de PutLoggingConfiguration en la CLI de AWS WAF o la API de AWS WAF, AWS WAF crea el rol vinculado al servicio de forma automática.
Debe tener el permiso iam:CreateServiceLinkedRole para habilitar el registro.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al habilitar los registros de AWS WAF, AWS WAF se encarga de volver crear automáticamente el rol vinculado al servicio.
Modificación de un rol vinculado a servicios de AWS WAF
AWS WAF no le permite modificar el rol vinculado al servicio AWSServiceRoleForWAFV2Logging. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a un servicio en la Guía del usuario de IAM..
Eliminación de un rol vinculado a un servicio de AWS WAF
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se monitorice ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
nota
Si el servicio AWS WAF está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
Para eliminar los recursos de AWS WAF que se utilizan en AWSServiceRoleForWAFV2Logging
-
En la consola de AWS WAF, quite el registro de todas las ACL web. Para obtener más información, consulte Registro AWS WAF del tráfico en la ACL web.
-
Mediante la API o la CLI, envíe una solicitud
DeleteLoggingConfigurationpara cada ACL web que tenga habilitado el registro. Para obtener más información, consulte Referencia de la API de AWS WAF.
Eliminación manual del rol vinculado a servicios mediante IAM
Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado a servicios AWSServiceRoleForWAFV2Logging. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.
Regiones admitidas para los roles vinculados a un servicio de AWS WAF
AWS WAF admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte Puntos de conexión y cuotas de AWS WAF.
