Tindakan, sumber daya, dan kunci kondisi untuk AWS WAF V2 - Referensi Otorisasi Layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tindakan, sumber daya, dan kunci kondisi untuk AWS WAF V2

AWSWAF V2 (awalan layanan:wafv2) menyediakan sumber daya, tindakan, dan kunci konteks kondisi spesifik layanan berikut ini untuk digunakan dalam kebijakan izin IAM.

Referensi:

Tindakan yang ditentukan oleh AWS WAF V2

Anda dapat menyebutkan tindakan berikut dalam elemen Action pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan sebuah tindakan dalam sebuah kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API atau perintah CLI dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.

Kolom Jenis sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin di tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, maka Anda harus menyebutkan semua sumber daya (“*”) yang diterapkan kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom mencantumkan jenis sumber daya, maka Anda dapat menyebutkan ARN dengan jenis tersebut dalam sebuah pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam kebijakan IAM, Anda harus menyertakan ARN atau pola untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya bersifat opsional (tidak diindikasikan wajib), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.

Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.

catatan

Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.

Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tindakan.

Tindakan Deskripsi Tingkat akses Jenis sumber daya (*wajib) Kunci kondisi Tindakan bergantung
AssociateWebACL Memberikan izin untuk mengaitkan WebACL dengan sumber daya Tulis

webacl*

apigateway:SetWebACL

apprunner:AssociateWebAcl

appsync:SetWebACL

cognito-idp:AssociateWebACL

ec2:AssociateVerifiedAccessInstanceWebAcl

elasticloadbalancing:SetWebAcl

apigateway

apprunner

appsync

loadbalancer/app/

userpool

verified-access-instance

CheckCapacity Memberikan izin untuk menghitung persyaratan unit kapasitas ACL web (WCU) untuk ruang lingkup tertentu dan seperangkat aturan Baca
CreateAPIKey Memberikan izin untuk membuat kunci API untuk digunakan dalam integrasi CAPTCHA API dalam aplikasi klien Anda JavaScript Tulis
CreateIPSet Berikan izin untuk membuat IPSet Tulis

ipset*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRegexPatternSet Berikan izin untuk membuat RegexPatternSet Tulis

regexpatternset*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRuleGroup Berikan izin untuk membuat RuleGroup Tulis

rulegroup*

ipset

regexpatternset

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWebACL Berikan izin untuk membuat WebACL Tulis

webacl*

ipset

managedruleset

regexpatternset

rulegroup

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteFirewallManagerRuleGroups Memberikan izin untuk menghapus FirewallManagedRulesGroups dari WebACL jika tidak dikelola oleh Firewall Manager lagi Tulis

webacl*

DeleteIPSet Berikan izin untuk menghapus IPSet Tulis

ipset*

DeleteLoggingConfiguration Berikan izin untuk menghapus LoggingConfiguration dari WebACL Tulis

webacl*

DeletePermissionPolicy Memberikan izin untuk menghapus PermissionPolicy pada RuleGroup Manajemen izin

rulegroup*

DeleteRegexPatternSet Berikan izin untuk menghapus RegexPatternSet Tulis

regexpatternset*

DeleteRuleGroup Berikan izin untuk menghapus RuleGroup Tulis

rulegroup*

DeleteWebACL Berikan izin untuk menghapus WebACL Tulis

webacl*

DescribeAllManagedProducts Memberikan izin untuk mengambil informasi produk untuk grup aturan terkelola Baca
DescribeManagedProductsByVendor Memberikan izin untuk mengambil informasi produk untuk grup aturan terkelola oleh vendor tertentu Baca
DescribeManagedRuleGroup Berikan izin untuk mengambil informasi tingkat tinggi untuk grup aturan yang dikelola Baca
DisassociateFirewallManager[hanya izin] Memberikan izin untuk memisahkan Firewall Manager dari WebACL Tulis

webacl*

DisassociateWebACL Memberikan izin untuk memisahkan WebACL dari sumber daya aplikasi Tulis

apigateway

apigateway:SetWebACL

apprunner:DisassociateWebAcl

appsync:SetWebACL

cognito-idp:DisassociateWebACL

ec2:DisassociateVerifiedAccessInstanceWebAcl

elasticloadbalancing:SetWebAcl

apprunner

appsync

loadbalancer/app/

userpool

verified-access-instance

GenerateMobileSdkReleaseUrl Memberikan izin untuk membuat URL unduhan yang telah ditetapkan sebelumnya untuk rilis SDK seluler yang ditentukan Baca
GetDecryptedAPIKey Memberikan izin untuk mengembalikan kunci API Anda dalam bentuk yang didekripsi. Gunakan ini untuk memeriksa domain token yang telah Anda tetapkan untuk kunci Baca
GetIPSet Berikan izin untuk mengambil detail tentang IPSet Baca

ipset*

aws:ResourceTag/${TagKey}

GetLoggingConfiguration Berikan izin untuk mengambil LoggingConfiguration WebACL Baca

webacl*

aws:ResourceTag/${TagKey}

GetManagedRuleSet Berikan izin untuk mengambil detail tentang ManagedRuleSet Baca

managedruleset*

GetMobileSdkRelease Memberikan izin untuk mengambil informasi untuk rilis SDK seluler yang ditentukan, termasuk catatan rilis dan tag Baca
GetPermissionPolicy Memberikan izin untuk mengambil untuk PermissionPolicy RuleGroup Baca

rulegroup*

GetRateBasedStatementManagedKeys Memberikan izin untuk mengambil kunci yang saat ini diblokir oleh aturan berbasis tarif Baca

webacl*

aws:ResourceTag/${TagKey}

GetRegexPatternSet Berikan izin untuk mengambil detail tentang RegexPatternSet Baca

regexpatternset*

aws:ResourceTag/${TagKey}

GetRuleGroup Berikan izin untuk mengambil detail tentang RuleGroup Baca

rulegroup*

aws:ResourceTag/${TagKey}

GetSampledRequests Berikan izin untuk mengambil informasi rinci tentang pengambilan sampel permintaan web Baca

webacl*

GetWebACL Berikan izin untuk mengambil detail tentang WebACL Baca

webacl*

aws:ResourceTag/${TagKey}

GetWebACLForResource Berikan izin untuk mengambil WebACL yang terkait dengan sumber daya Baca

webacl*

apprunner:DescribeWebAclForService

cognito-idp:GetWebACLForResource

ec2:GetVerifiedAccessInstanceWebAcl

wafv2:GetWebACL

apigateway

apprunner

appsync

loadbalancer/app/

userpool

verified-access-instance

ListAPIKeys Memberikan izin untuk mengambil daftar kunci API yang telah Anda tetapkan untuk cakupan yang ditentukan Daftar
ListAvailableManagedRuleGroupVersions Memberikan izin untuk mengambil larik versi grup aturan terkelola yang tersedia untuk Anda gunakan Daftar
ListAvailableManagedRuleGroups Memberikan izin untuk mengambil larik grup aturan terkelola yang tersedia untuk Anda gunakan Daftar
ListIPSets Memberikan izin untuk mengambil array SetSummary objek IP untuk set IP yang Anda kelola Daftar
ListLoggingConfigurations Memberikan izin untuk mengambil array objek Anda LoggingConfiguration Daftar
ListManagedRuleSets Memberikan izin untuk mengambil array objek Anda ManagedRuleSet Daftar
ListMobileSdkReleases Memberikan izin untuk mengambil daftar rilis yang tersedia untuk SDK seluler dan platform perangkat yang ditentukan Daftar
ListRegexPatternSets Memberikan izin untuk mengambil array RegexPatternSetSummary objek untuk set pola regex yang Anda kelola Daftar
ListResourcesForWebACL Memberikan izin untuk mengambil larik Nama Sumber Daya Amazon (ARN) untuk sumber daya yang terkait dengan ACL web Daftar

webacl*

apprunner:ListAssociatedServicesForWebAcl

cognito-idp:ListResourcesForWebACL

ec2:DescribeVerifiedAccessInstanceWebAclAssociations

apprunner

userpool

verified-access-instance

ListRuleGroups Memberikan izin untuk mengambil array RuleGroupSummary objek untuk grup aturan yang Anda kelola Daftar
ListTagsForResource Berikan izin untuk mencantumkan tanda untuk sumber daya Baca

ipset

regexpatternset

rulegroup

webacl

aws:ResourceTag/${TagKey}

ListWebACLs Memberikan izin untuk mengambil array objek WebaclSummary untuk ACL web yang Anda kelola Daftar
PutFirewallManagerRuleGroups[hanya izin] Berikan izin untuk membuat FirewallManagedRulesGroups di WebACL Tulis

webacl*

PutLoggingConfiguration Memberikan izin untuk mengaktifkan LoggingConfiguration, untuk memulai logging untuk ACL web Tulis

webacl*

iam:CreateServiceLinkedRole

PutManagedRuleSetVersions Memberikan izin untuk mengaktifkan membuat baru atau memperbarui versi ManagedRuleSet Tulis

managedruleset*

rulegroup*

PutPermissionPolicy Memberikan izin untuk melampirkan kebijakan IAM ke sumber daya, yang digunakan untuk berbagi grup aturan antar akun Manajemen izin

rulegroup*

TagResource Memberikan izin untuk mengaitkan tag dengan sumber daya AWS Penandaan

ipset

regexpatternset

rulegroup

webacl

aws:TagKeys

aws:RequestTag/${TagKey}

aws:ResourceTag/${TagKey}

UntagResource Memberikan izin untuk memisahkan tag dari sumber daya AWS Penandaan

ipset

regexpatternset

rulegroup

webacl

aws:TagKeys

UpdateIPSet Berikan izin untuk memperbarui IPSet Tulis

ipset*

aws:ResourceTag/${TagKey}

UpdateManagedRuleSetVersionExpiryDate Berikan izin untuk memperbarui tanggal kedaluwarsa versi di ManagedRuleSet Tulis

managedruleset*

UpdateRegexPatternSet Berikan izin untuk memperbarui RegexPatternSet Tulis

regexpatternset*

aws:ResourceTag/${TagKey}

UpdateRuleGroup Berikan izin untuk memperbarui RuleGroup Tulis

rulegroup*

ipset

regexpatternset

aws:ResourceTag/${TagKey}

UpdateWebACL Berikan izin untuk memperbarui WebACL Tulis

webacl*

ipset

managedruleset

regexpatternset

rulegroup

aws:ResourceTag/${TagKey}

Jenis sumber daya yang ditentukan oleh AWS WAF V2

Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam elemen Resource pernyataan kebijakan izin IAM. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Kunci-kunci ini ditampilkan di kolom terakhir tabel Jenis sumber daya. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.

Jenis sumber daya ARN Kunci syarat
webacl arn:${Partition}:wafv2:${Region}:${Account}:${Scope}/webacl/${Name}/${Id}

aws:ResourceTag/${TagKey}

ipset arn:${Partition}:wafv2:${Region}:${Account}:${Scope}/ipset/${Name}/${Id}

aws:ResourceTag/${TagKey}

managedruleset arn:${Partition}:wafv2:${Region}:${Account}:${Scope}/managedruleset/${Name}/${Id}
rulegroup arn:${Partition}:wafv2:${Region}:${Account}:${Scope}/rulegroup/${Name}/${Id}

aws:ResourceTag/${TagKey}

regexpatternset arn:${Partition}:wafv2:${Region}:${Account}:${Scope}/regexpatternset/${Name}/${Id}

aws:ResourceTag/${TagKey}

loadbalancer/app/ arn:${Partition}:elasticloadbalancing:${Region}:${Account}:loadbalancer/app/${LoadBalancerName}/${LoadBalancerId}
apigateway arn:${Partition}:apigateway:${Region}::/restapis/${ApiId}/stages/${StageName}
appsync arn:${Partition}:appsync:${Region}:${Account}:apis/${GraphQLAPIId}
userpool arn:${Partition}:cognito-idp:${Region}:${Account}:userpool/${UserPoolId}
apprunner arn:${Partition}:apprunner:${Region}:${Account}:service/${ServiceName}/${ServiceId}
verified-access-instance arn:${Partition}:ec2:${Region}:${Account}:verified-access-instance/${VerifiedAccessInstanceId}

Kunci kondisi untuk AWS WAF V2

AWSWAF V2 mendefinisikan kunci kondisi berikut ini yang dapat digunakan dalam Condition elemen kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut dimana pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.

Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.

Kunci kondisi Deskripsi Tipe
aws:RequestTag/${TagKey} Saring akses dengan set yang diizinkan nilai untuk masing-masing tanda String
aws:ResourceTag/${TagKey} Saring akses dengan nilai tanda yang terkait dengan sumber daya String
aws:TagKeys Saring akses dengan adanya tanda wajib dalam permintaan ArrayOfString