Actions, ressources et clés de condition pour AWS WAF Regional - Référence de l'autorisation de service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Actions, ressources et clés de condition pour AWS WAF Regional

AWS WAF Regional (préfixe de service : waf-regional) fournit les ressources, actions et clés de contexte de condition spécifiques au service suivantes en vue de leur utilisation dans les politiques d'autorisation IAM.

Références :

Actions définies par AWS WAF Regional

Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une stratégie, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.

La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.

La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.

Note

Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.

Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.

Actions Description Niveau d'accès Types de ressources (*obligatoire) Clés de condition Actions dépendantes
AssociateWebACL Accorde l'autorisation d'associer une liste ACL web à une ressource Écriture

loadbalancer/app/*

webacl*

CreateByteMatchSet Accorde l'autorisation de créer un élément ByteMatchSet Écriture

bytematchset*

CreateGeoMatchSet Accorde l'autorisation de créer un élément GeoMatchSet Écriture

geomatchset*

CreateIPSet Accorde l'autorisation de créer un IPSet Écriture

ipset*

CreateRateBasedRule Accorde l'autorisation de créer un élément RateBasedRule Écriture

ratebasedrule*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRegexMatchSet Accorde l'autorisation de créer un élément RegexMatchSet Écriture

regexmatchset*

CreateRegexPatternSet Accorde l'autorisation de créer un élément RegexPatternSet Écriture

regexpatternset*

CreateRule Accorde l'autorisation de créer un élément Rule Écriture

rule*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRuleGroup Accorde l'autorisation de créer un élément RuleGroup Écriture

rulegroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSizeConstraintSet Accorde l'autorisation de créer un élément SizeConstraintSet Écriture

sizeconstraintset*

CreateSqlInjectionMatchSet Accorde l'autorisation de créer un élément SqlInjectionMatchSet Écriture

sqlinjectionmatchset*

CreateWebACL Accorde l'autorisation de créer un élément WebACL Gestion des autorisations

webacl*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWebACLMigrationStack Accorde l'autorisation de créer un modèle d'ACL Web CloudFormation dans un compartiment S3 dans le but de migrer l'ACL Web d'AWS WAF Classic vers AWS WAF v2 Écriture

webacl*

s3:PutObject

CreateXssMatchSet Accorde l'autorisation de créer un élément XssMatchSet Écriture

xssmatchset*

DeleteByteMatchSet Accorde l'autorisation de supprimer un élément ByteMatchSet Écriture

bytematchset*

DeleteGeoMatchSet Accorde l'autorisation de supprimer un élément GeoMatchSet Écriture

geomatchset*

DeleteIPSet Accorde l'autorisation de supprimer un IPSet Écriture

ipset*

DeleteLoggingConfiguration Accorde l'autorisation de supprimer une configuration LoggingConfiguration d'une liste ACL web Écriture

webacl*

DeletePermissionPolicy Accorde l'autorisation de supprimer une politique IAM d'un groupe de règles Gestion des autorisations

rulegroup*

DeleteRateBasedRule Accorde l'autorisation de supprimer un élément RateBasedRule Écriture

ratebasedrule*

DeleteRegexMatchSet Accorde l'autorisation de supprimer un élément RegexMatchSet Écriture

regexmatchset*

DeleteRegexPatternSet Accorde l'autorisation de supprimer un élément RegexPatternSet Écriture

regexpatternset*

DeleteRule Accorde l'autorisation de supprimer un élément Rule Écriture

rule*

DeleteRuleGroup Accorde l'autorisation de supprimer un élément RuleGroup Écriture

rulegroup*

DeleteSizeConstraintSet Accorde l'autorisation de supprimer un élément SizeConstraintSet Écriture

sizeconstraintset*

DeleteSqlInjectionMatchSet Accorde l'autorisation de supprimer un élément SqlInjectionMatchSet Écriture

sqlinjectionmatchset*

DeleteWebACL Accorde l'autorisation de supprimer un élément WebACL Gestion des autorisations

webacl*

DeleteXssMatchSet Accorde l'autorisation de supprimer un élément XssMatchSet Écriture

xssmatchset*

DisassociateWebACL Accorde l'autorisation de supprimer une association entre une liste ACL web et une ressource Écriture

loadbalancer/app/*

GetByteMatchSet Accorde l'autorisation de récupérer un ByteMatchSet Lecture

bytematchset*

GetChangeToken Accorde l'autorisation de récupérer un jeton de modification à utiliser dans les demandes de création, de mise à jour et de suppression Lecture
GetChangeTokenStatus Accorde l'autorisation de récupérer l'état d'un jeton de modification Lecture
GetGeoMatchSet Accorde l'autorisation de récupérer un élément GeoMatchSet Lecture

geomatchset*

GetIPSet Accorde l'autorisation de récupérer un IPSet Lecture

ipset*

GetLoggingConfiguration Accorde l'autorisation de récupérer une configuration LoggingConfiguration Lecture

webacl*

GetPermissionPolicy Accorde l'autorisation de récupérer une politique IAM attachée à un élément RuleGroup Lecture

rulegroup*

GetRateBasedRule Accorde l'autorisation de récupérer un élément RateBasedRule Lecture

ratebasedrule*

GetRateBasedRuleManagedKeys Accorde l'autorisation de récupérer le tableau d'adresses IP actuellement bloquées par un élément RateBasedRule Lecture

ratebasedrule*

GetRegexMatchSet Accorde l'autorisation de récupérer un élément RegexMatchSet Lecture

regexmatchset*

GetRegexPatternSet Accorde l'autorisation de récupérer un élément RegexPatternSet Lecture

regexpatternset*

GetRule Accorde l'autorisation de récupérer un élément Rule Lecture

rule*

GetRuleGroup Accorde l'autorisation de récupérer un élément RuleGroup Lecture

rulegroup*

GetSampledRequests Accorde l'autorisation de récupérer des informations détaillées pour un ensemble de demandes web Lecture

webacl

GetSizeConstraintSet Accorde l'autorisation de récupérer un élément SizeConstraintSet Lecture

sizeconstraintset*

GetSqlInjectionMatchSet Accorde l'autorisation de récupérer un élément SqlInjectionMatchSet Lecture

sqlinjectionmatchset*

GetWebACL Accorde l'autorisation de récupérer un élément WebACL Lecture

webacl*

GetWebACLForResource Accorde l'autorisation de récupérer un élément WebACL associé à une ressource spécifiée Lecture

loadbalancer/app/*

GetXssMatchSet Accorde l'autorisation de récupérer un élément XssMatchSet Lecture

xssmatchset*

ListActivatedRulesInRuleGroup Accorde l'autorisation de récupérer un tableau d'objets ActivatedRule Liste
ListByteMatchSets Accorde l'autorisation de récupérer un tableau d'objets ByteMatchSetSummary Liste
ListGeoMatchSets Accorde l'autorisation de récupérer un tableau d'objets GeoMatchSetSummary Liste
ListIPSets Accorde l'autorisation de récupérer un tableau d'objets IPSetSummary Liste
ListLoggingConfigurations Accorde l'autorisation de récupérer un tableau d'objets LoggingConfiguration Liste
ListRateBasedRules Accorde l'autorisation de récupérer un tableau d'objets RuleSummary Liste
ListRegexMatchSets Accorde l'autorisation de récupérer un tableau d'objets RegexMatchSetSummary Liste
ListRegexPatternSets Accorde l'autorisation de récupérer un tableau d'objets RegexPatternSetSummary Liste
ListResourcesForWebACL Accorde l'autorisation de récupérer un tableau de ressources associées à un élément WebACL spécifié Liste

webacl*

ListRuleGroups Accorde l'autorisation de récupérer un tableau d'objets RuleGroup Liste
ListRules Accorde l'autorisation de récupérer un tableau d'objets RuleSummary Liste
ListSizeConstraintSets Accorde l'autorisation de récupérer un tableau d'objets SizeConstraintSetSummary Liste
ListSqlInjectionMatchSets Accorde l'autorisation de récupérer un tableau d'objets SqlInjectionMatchSet Liste
ListSubscribedRuleGroups Accorde l'autorisation de récupérer un tableau d'objets RuleGroup auxquels vous êtes abonné Liste
ListTagsForResource Accorde l'autorisation de répertorier les balises d'une ressource Lecture

ratebasedrule

rule

rulegroup

webacl

ListWebACLs Accorde l'autorisation de récupérer un tableau d'objets WebACLSummary Liste
ListXssMatchSets Accorde l'autorisation de récupérer un tableau d'objets XssMatchSet Liste
PutLoggingConfiguration Accorde l'autorisation d'associer une configuration LoggingConfiguration à une liste ACL web Écriture

webacl*

iam:CreateServiceLinkedRole

PutPermissionPolicy Accorde l'autorisation d'attacher une politique IAM à un groupe de règles spécifié afin de prendre en charge le partage de groupes de règles entre les comptes Gestion des autorisations

rulegroup*

TagResource Accorde l'autorisation d'ajouter une balise à une ressource Balisage

ratebasedrule

rule

rulegroup

webacl

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Accorde l'autorisation de supprimer une balise d'une ressource Balisage

ratebasedrule

rule

rulegroup

webacl

aws:TagKeys

UpdateByteMatchSet Accorde l'autorisation d'insérer ou de supprimer des objets ByteMatchTuple dans un élément ByteMatchSet Écriture

bytematchset*

UpdateGeoMatchSet Accorde l'autorisation d'insérer ou de supprimer des objets GeoMatchConstraint dans un élément GeoMatchSet Écriture

geomatchset*

UpdateIPSet Accorde l'autorisation d'insérer ou de supprimer des objets IPSetDescriptor dans un élément IPSet Écriture

ipset*

UpdateRateBasedRule Accorde l'autorisation d'insérer ou de supprimer des objets Predicate dans une règle basée sur le taux et de mettre à jour le RateLimit dans la règle Écriture

ratebasedrule*

UpdateRegexMatchSet Accorde l'autorisation d'insérer ou de supprimer des objets RegexMatchTuple dans un élément RegexMatchSet Écriture

regexmatchset*

UpdateRegexPatternSet Accorde l'autorisation d'insérer ou de supprimer des objets RegexPatternStrings dans un élément RegexPatternSet Écriture

regexpatternset*

UpdateRule Accorde l'autorisation d'insérer ou de supprimer des objets Predicate dans un élément Rule Écriture

rule*

UpdateRuleGroup Accorde l'autorisation d'insérer ou de supprimer des objets ActivatedRule dans un élément RuleGroup Écriture

rulegroup*

UpdateSizeConstraintSet Accorde l'autorisation d'insérer ou de supprimer des objets SizeConstraint dans un élément SizeConstraintSet Écriture

sizeconstraintset*

UpdateSqlInjectionMatchSet Accorde l'autorisation d'insérer ou de supprimer des objets SqlInjectionMatchTuple dans un SqlInjectionMatchSet Écriture

sqlinjectionmatchset*

UpdateWebACL Accorde l'autorisation d'insérer ou de supprimer des objets ActivatedRule dans un élément WebACL Gestion des autorisations

webacl*

UpdateXssMatchSet Accorde l'autorisation d'insérer ou de supprimer des objets XssMatchTuple dans un élément XssMatchSet Écriture

xssmatchset*

Types de ressources définis par AWS WAF Regional

Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.

Types de ressources ARN Clés de condition
bytematchset arn:${Partition}:waf-regional:${Region}:${Account}:bytematchset/${Id}
ipset arn:${Partition}:waf-regional:${Region}:${Account}:ipset/${Id}
loadbalancer/app/ arn:${Partition}:elasticloadbalancing:${Region}:${Account}:loadbalancer/app/${LoadBalancerName}/${LoadBalancerId}
ratebasedrule arn:${Partition}:waf-regional:${Region}:${Account}:ratebasedrule/${Id}

aws:ResourceTag/${TagKey}

rule arn:${Partition}:waf-regional:${Region}:${Account}:rule/${Id}

aws:ResourceTag/${TagKey}

sizeconstraintset arn:${Partition}:waf-regional:${Region}:${Account}:sizeconstraintset/${Id}
sqlinjectionmatchset arn:${Partition}:waf-regional:${Region}:${Account}:sqlinjectionset/${Id}
webacl arn:${Partition}:waf-regional:${Region}:${Account}:webacl/${Id}

aws:ResourceTag/${TagKey}

xssmatchset arn:${Partition}:waf-regional:${Region}:${Account}:xssmatchset/${Id}
regexmatchset arn:${Partition}:waf-regional:${Region}:${Account}:regexmatch/${Id}
regexpatternset arn:${Partition}:waf-regional:${Region}:${Account}:regexpatternset/${Id}
geomatchset arn:${Partition}:waf-regional:${Region}:${Account}:geomatchset/${Id}
rulegroup arn:${Partition}:waf-regional:${Region}:${Account}:rulegroup/${Id}

aws:ResourceTag/${TagKey}

Clés de condition pour AWS WAF Regional

AWS WAF Regional définit les clés de condition suivantes que vous pouvez utiliser dans l'élément Condition d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.

Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.

Clés de condition Description Type
aws:RequestTag/${TagKey} Filtre les actions en fonction de l'ensemble des valeurs autorisées pour chacune des balises. Chaîne
aws:ResourceTag/${TagKey} Filtre les actions en fonction de la valeur de balise associé à la ressource. Chaîne
aws:TagKeys Filtre les actions en fonction de la présence de balises obligatoires dans la demande. ArrayOfString