Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour AWS WAF
AWS WAF (préfixe de service : waf) fournit les ressources, actions et clés de contexte de condition spécifiques au service suivantes à utiliser dans les politiques d'autorisation IAM.
Références :
-
Découvrez comment configurer ce service.
-
Affichez la liste des opérations d'API disponibles pour ce service.
-
Découvrez comment protéger ce service et ses ressources avec les stratégies d'autorisation IAM.
Rubriques
Actions définies par AWS WAF
Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une stratégie, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| CreateByteMatchSet | Accorde l'autorisation de créer un élément ByteMatchSet | Écriture | |||
| CreateGeoMatchSet | Accorde l'autorisation de créer un élément GeoMatchSet | Écriture | |||
| CreateIPSet | Accorde l'autorisation de créer un IPSet | Écriture | |||
| CreateRateBasedRule | Accorde l'autorisation de créer un élément RateBasedRule pour limiter le volume de demandes à partir d'une seule adresse IP | Écriture | |||
| CreateRegexMatchSet | Accorde l'autorisation de créer un élément RegexMatchSet | Écriture | |||
| CreateRegexPatternSet | Accorde l'autorisation de créer un élément RegexPatternSet | Écriture | |||
| CreateRule | Accorde l'autorisation de créer une règle pour filtrer les demandes web | Écriture | |||
| CreateRuleGroup | Accorde l'autorisation de créer un élément RuleGroup, qui est un ensemble de règles prédéfinies que vous pouvez utiliser dans un élément WebACL | Écriture | |||
| CreateSizeConstraintSet | Accorde l'autorisation de créer un élément SizeConstraintSet | Écriture | |||
| CreateSqlInjectionMatchSet | Accorde l'autorisation de créer un élément SqlInjectionMatchSet | Écriture | |||
| CreateWebACL | Accorde l'autorisation de créer un élément WebACL qui contient des règles de filtrage des requêtes web | Gestion des autorisations | |||
| CreateWebACLMigrationStack | Accorde l'autorisation de créer un modèle d'ACL Web CloudFormation dans un compartiment S3 dans le but de migrer l'ACL Web d'AWS WAF Classic vers AWS WAF v2 | Écriture |
s3:PutObject |
||
| CreateXssMatchSet | Accorde l'autorisation de créer un élément XssMatchSet, que vous utilisez pour détecter les requêtes contenant des attaques de scripting inter-sites | Écriture | |||
| DeleteByteMatchSet | Accorde l'autorisation de supprimer un élément ByteMatchSet | Écriture | |||
| DeleteGeoMatchSet | Accorde l'autorisation de supprimer un élément GeoMatchSet | Écriture | |||
| DeleteIPSet | Accorde l'autorisation de supprimer un IPSet | Écriture | |||
| DeleteLoggingConfiguration | Accorde l'autorisation de supprimer l'élément LoggingConfiguration d'une liste ACL web | Écriture | |||
| DeletePermissionPolicy | Accorde l'autorisation de supprimer une politique IAM d'un groupe de règles | Gestion des autorisations | |||
| DeleteRateBasedRule | Accorde l'autorisation de supprimer un élément RateBasedRule | Écriture | |||
| DeleteRegexMatchSet | Accorde l'autorisation de supprimer un élément RegexMatchSet | Écriture | |||
| DeleteRegexPatternSet | Accorde l'autorisation de supprimer un élément RegexPatternSet | Écriture | |||
| DeleteRule | Accorde l'autorisation de supprimer un élément Rule | Écriture | |||
| DeleteRuleGroup | Accorde l'autorisation de supprimer un élément RuleGroup | Écriture | |||
| DeleteSizeConstraintSet | Accorde l'autorisation de supprimer un élément SizeConstraintSet | Écriture | |||
| DeleteSqlInjectionMatchSet | Accorde l'autorisation de supprimer un élément SqlInjectionMatchSet | Écriture | |||
| DeleteWebACL | Accorde l'autorisation de supprimer un élément WebACL | Gestion des autorisations | |||
| DeleteXssMatchSet | Accorde l'autorisation de supprimer un élément XssMatchSet | Écriture | |||
| GetByteMatchSet | Accorde l'autorisation de récupérer un ByteMatchSet | Lecture | |||
| GetChangeToken | Accorde l'autorisation de récupérer un jeton de modification à utiliser dans les demandes de création, de mise à jour et de suppression | Lecture | |||
| GetChangeTokenStatus | Accorde l'autorisation de récupérer l'état d'un jeton de modification | Lecture | |||
| GetGeoMatchSet | Accorde l'autorisation de récupérer un élément GeoMatchSet | Lecture | |||
| GetIPSet | Accorde l'autorisation de récupérer un IPSet | Lecture | |||
| GetLoggingConfiguration | Accorde l'autorisation de récupérer une configuration LoggingConfiguration pour une liste ACL web | Lecture | |||
| GetPermissionPolicy | Accorde l'autorisation de récupérer une politique IAM pour un groupe de règles | Lecture | |||
| GetRateBasedRule | Accorde l'autorisation de récupérer un élément RateBasedRule | Lecture | |||
| GetRateBasedRuleManagedKeys | Accorde l'autorisation de récupérer le tableau d'adresses IP actuellement bloquées par un élément RateBasedRule | Lecture | |||
| GetRegexMatchSet | Accorde l'autorisation de récupérer un élément RegexMatchSet | Lecture | |||
| GetRegexPatternSet | Accorde l'autorisation de récupérer un élément RegexPatternSet | Lecture | |||
| GetRule | Accorde l'autorisation de récupérer un élément Rule | Lecture | |||
| GetRuleGroup | Accorde l'autorisation de récupérer un élément RuleGroup | Lecture | |||
| GetSampledRequests | Accorde l'autorisation de récupérer des informations détaillées sur un jeu d'échantillons de requêtes web | Lecture | |||
| GetSizeConstraintSet | Accorde l'autorisation de récupérer un élément SizeConstraintSet | Lecture | |||
| GetSqlInjectionMatchSet | Accorde l'autorisation de récupérer un élément SqlInjectionMatchSet | Lecture | |||
| GetWebACL | Accorde l'autorisation de récupérer un élément WebACL | Lecture | |||
| GetXssMatchSet | Accorde l'autorisation de récupérer un élément XssMatchSet | Lecture | |||
| ListActivatedRulesInRuleGroup | Accorde l'autorisation de récupérer un tableau d'objets ActivatedRule | Liste | |||
| ListByteMatchSets | Accorde l'autorisation de récupérer un tableau d'objets ByteMatchSetSummary | Liste | |||
| ListGeoMatchSets | Accorde l'autorisation de récupérer un tableau d'objets GeoMatchSetSummary | Liste | |||
| ListIPSets | Accorde l'autorisation de récupérer un tableau d'objets IPSetSummary | Liste | |||
| ListLoggingConfigurations | Accorde l'autorisation de récupérer un tableau d'objets LoggingConfiguration | Liste | |||
| ListRateBasedRules | Accorde l'autorisation de récupérer un tableau d'objets RuleSummary | Liste | |||
| ListRegexMatchSets | Accorde l'autorisation de récupérer un tableau d'objets RegexMatchSetSummary | Liste | |||
| ListRegexPatternSets | Accorde l'autorisation de récupérer un tableau d'objets RegexPatternSetSummary | Liste | |||
| ListRuleGroups | Accorde l'autorisation de récupérer un tableau d'objets RuleGroup | Liste | |||
| ListRules | Accorde l'autorisation de récupérer un tableau d'objets RuleSummary | Liste | |||
| ListSizeConstraintSets | Accorde l'autorisation de récupérer un tableau d'objets SizeConstraintSetSummary | Liste | |||
| ListSqlInjectionMatchSets | Accorde l'autorisation de récupérer un tableau d'objets SqlInjectionMatchSet | Liste | |||
| ListSubscribedRuleGroups | Accorde l'autorisation de récupérer un tableau d'objets RuleGroup auxquels vous êtes abonné | Liste | |||
| ListTagsForResource | Accorde l'autorisation de récupérer les balises d'une ressource | Lecture | |||
| ListWebACLs | Accorde l'autorisation de récupérer un tableau d'objets WebACLSummary | Liste | |||
| ListXssMatchSets | Accorde l'autorisation de récupérer un tableau d'objets XssMatchSet | Liste | |||
| PutLoggingConfiguration | Accorde l'autorisation d'associer une configuration LoggingConfiguration à une liste ACL web spécifiée | Écriture |
iam:CreateServiceLinkedRole |
||
| PutPermissionPolicy | Accorde l'autorisation d'attacher une politique IAM à un groupe de règles, de partager le groupe de règles entre des comptes | Gestion des autorisations | |||
| TagResource | Accorde l'autorisation d'ajouter une balise à une ressource | Balisage | |||
| UntagResource | Accorde l'autorisation de supprimer une balise d'une ressource | Balisage | |||
| UpdateByteMatchSet | Accorde l'autorisation d'insérer ou de supprimer des objets ByteMatchTuple dans un élément ByteMatchSet | Écriture | |||
| UpdateGeoMatchSet | Accorde l'autorisation d'insérer ou de supprimer des objets GeoMatchConstraint dans un élément GeoMatchSet | Écriture | |||
| UpdateIPSet | Accorde l'autorisation d'insérer ou de supprimer des objets IPSetDescriptor dans un élément IPSet | Écriture | |||
| UpdateRateBasedRule | Accorde l'autorisation de modifier une règle basée sur les tarifs | Écriture | |||
| UpdateRegexMatchSet | Accorde l'autorisation d'insérer ou de supprimer des objets RegexMatchTuple dans un élément RegexMatchSet | Écriture | |||
| UpdateRegexPatternSet | Accorde l'autorisation d'insérer ou de supprimer des objets RegexPatternStrings dans un élément RegexPatternSet | Écriture | |||
| UpdateRule | Accorde l'autorisation de modifier un élément Rule | Écriture | |||
| UpdateRuleGroup | Accorde l'autorisation d'insérer ou de supprimer des objets ActivatedRule dans un élément RuleGroup | Écriture | |||
| UpdateSizeConstraintSet | Accorde l'autorisation d'insérer ou de supprimer des objets SizeConstraint dans un élément SizeConstraintSet | Écriture | |||
| UpdateSqlInjectionMatchSet | Accorde l'autorisation d'insérer ou de supprimer des objets SqlInjectionMatchTuple dans un SqlInjectionMatchSet | Écriture | |||
| UpdateWebACL | Accorde l'autorisation d'insérer ou de supprimer des objets ActivatedRule dans un élément WebACL | Gestion des autorisations | |||
| UpdateXssMatchSet | Accorde l'autorisation d'insérer ou de supprimer des objets XssMatchTuple dans un élément XssMatchSet | Écriture |
Types de ressources définis par AWS WAF
Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| bytematchset |
arn:${Partition}:waf::${Account}:bytematchset/${Id}
|
|
| ipset |
arn:${Partition}:waf::${Account}:ipset/${Id}
|
|
| ratebasedrule |
arn:${Partition}:waf::${Account}:ratebasedrule/${Id}
|
|
| rule |
arn:${Partition}:waf::${Account}:rule/${Id}
|
|
| sizeconstraintset |
arn:${Partition}:waf::${Account}:sizeconstraintset/${Id}
|
|
| sqlinjectionmatchset |
arn:${Partition}:waf::${Account}:sqlinjectionset/${Id}
|
|
| webacl |
arn:${Partition}:waf::${Account}:webacl/${Id}
|
|
| xssmatchset |
arn:${Partition}:waf::${Account}:xssmatchset/${Id}
|
|
| regexmatchset |
arn:${Partition}:waf::${Account}:regexmatch/${Id}
|
|
| regexpatternset |
arn:${Partition}:waf::${Account}:regexpatternset/${Id}
|
|
| geomatchset |
arn:${Partition}:waf::${Account}:geomatchset/${Id}
|
|
| rulegroup |
arn:${Partition}:waf::${Account}:rulegroup/${Id}
|
Clés de condition pour AWS WAF
AWS WAF définit les clés de condition suivantes que vous pouvez utiliser dans l'élément Condition d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre les actions en fonction de l'ensemble des valeurs autorisées pour chacune des balises. | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre les actions en fonction de la valeur de balise associée à la ressource. | Chaîne |
| aws:TagKeys | Filtre les actions en fonction de la présence de balises obligatoires dans la demande. | ArrayOfString |
