Gambaran umum pengelolaan izin akses untuk sumber daya AWS WAF Anda - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gambaran umum pengelolaan izin akses untuk sumber daya AWS WAF Anda

Setiap sumber daya AWS dimiliki oleh Akun AWS, dan izin untuk membuat atau mengakses sumber daya diatur oleh kebijakan izin. Administrator akun dapat melampirkan kebijakan izin pada identitas IAM (yaitu pengguna, grup, dan peran). Layanan lain juga mensupport melampirkan kebijakan izin untuk sumber daya.

catatan

Seorang administrator akun (atau pengguna administrator) adalah pengguna dengan hak istimewa administrator. Untuk informasi lebih lanjut, lihat Praktik Terbaik IAM di Panduan Pengguna IAM.

Ketika memberikan izin, Anda memutuskan orang yang mendapatkan izin, sumber daya yang mereka dapatkan izinnya, dan operasi khusus yang ingin Anda izinkan di sumber daya tersebut.

Topik

Sumber daya dan operasi AWS WAF

MasukAWS WAF, sumber dayanyaACL web,grup aturan,Set IP, danset pola regex. Untuk mengizinkan atau menolak akses ke subsetAWS WAFsumber daya, termasuk ARN sumber daya diresourceelemen kebijakan Anda. ARN untukAWS WAFsumber daya memiliki format berikut:

arn:aws:wafv2:region:account:scope/resource/resource/ID

Tabel berikut menjelaskan format untuk setiap sumber daya.

Nama diAWS WAFKonsol Nama diAWS WAFSDK/CLI Format ARN
ACL Web WebACL

arn:aws:wafv2:region:account:scope/webacl/name/ID

Grup aturan RuleGroup

arn:aws:wafv2:region:account:scope/rulegroup/name/ID

Set IP IPSet arn:aws:wafv2:region:account:scope/ipset/name/ID
Set pola Regex RegexPatternSet

arn:aws:wafv2:region:account:scope/regexpatternset/name/ID

Untuk menentukanAWS WAFsumber daya ARN, ganti variabel dalam format ARN dengan nilai yang valid sebagai berikut:

  • daerah: YangWilayah AWSAnda menggunakan. Untuk Amazon CloudFront, atur ini keus-east-1. Untuk sumber daya regional, atur ini ke Wilayah yang Anda minati.

  • akun: ID dariAkun AWS.

  • lingkup: Ruang lingkup sumber daya, yang dapat berupaglobal, untuk digunakan dengan Amazon CloudFront distribusi, atauregional, untuk digunakan dengan REST API Amazon API Gateway, Application Load Balancer,AWS AppSyncGraphQL API, atau kolam pengguna Amazon Cognito.

  • nama: Nama yang Anda berikanAWS WAFsumber daya, atau wildcard (*) untuk menunjukkan semua sumber daya dari jenis yang ditentukan yang terkait dengan yang ditentukanAkun AWS. Jika Anda menggunakan wildcard untuk nama, Anda juga harus menggunakannya untuk ID.

  • ID: ID dariAWS WAFsumber daya, atau wildcard (*) untuk menunjukkan semua sumber daya dari jenis yang ditentukan yang terkait dengan yang ditentukanAkun AWS. Jika Anda menggunakan wildcard untuk ID, Anda juga harus menggunakannya untuk nama tersebut.

Misalnya, ARN berikut menentukan semua ACL web dengan cakupan regional untuk akun111122223333di Wilayahus-east-1:

arn:aws:wafv2:us-east-1:111122223333:regional/webacl/*/*

Untuk informasi selengkapnya, lihatSumber dayadi dalamPanduan Pengguna IAM.

AWS WAF menyediakan sekumpulan operasi untuk bekerja dengan sumber daya AWS WAF. Untuk daftar operasi yang tersedia, lihat Tindakan.

Memahami kepemilikan sumber daya

SEBUAHowner sumber dayaadalahAkun AWSyang menciptakan sumber daya. Yaitu, pemilik sumber daya adalah Akun AWS dari entitas utama (yaitu, akun akar, pengguna IAM, atau IAM role) yang mengautentikasi permintaan yang membuat sumber daya. Contoh berikut menggambarkan cara kerjanya:

  • Jika Anda menggunakan kredensi akun root AndaAkun AWSuntuk membuatAWS WAFsumber daya, AndaAkun AWSadalah pemilik sumber daya.

  • Jika Anda membuat pengguna IAM diAkun AWSdan memberikan izin untuk membuatAWS WAFsumber daya untuk pengguna itu, pengguna dapat membuatAWS WAFsumber daya. Namun, AndaAWSakun, yang dimiliki pengguna, memilikiAWS WAFsumber daya.

  • Jika Anda membuat peran IAM diAkun AWSdengan izin untuk membuatAWS WAFsumber daya, siapa pun yang dapat mengambil peran tersebut dapat membuatAWS WAFsumber daya. KlasterAWSakun, yang mana peran tersebut dimiliki, memilikiAWS WAFsumber daya.

Mengelola akses ke sumber daya

Kebijakan izin menggambarkan subjek yang memiliki akses dan objek yang diakses. Bagian berikut menjelaskan pilihan yang tersedia untuk membuat kebijakan izin.

catatan

Bagian ini membahas menggunakan IAM dalam konteksAWS WAF. Bagian ini tidak memberikan informasi detail tentang layanan IAM. Untuk dokumentasi IAM lengkap, lihat Apa yang Dimaksud dengan IAM? dalam Panduan Pengguna IAM. Untuk informasi tentang sintaksis dan penjelasan kebijakan IAM, lihatAWS Identity and Access ManagementReferensi kebijakandi dalamPanduan Pengguna IAM.

Kebijakan yang terlampir pada identitas IAM dikenal sebagaiberbasis identitaskebijakan, dan kebijakan yang terlampir pada sumber daya dikenal sebagaiberbasis sumber dayakebijakan-kebijakan.AWS WAFhanya mendukung kebijakan berbasis identitas.

Topik

Kebijakan berbasis identitas (Kebijakan IAM)

Anda dapat melampirkan kebijakan ke identitas IAM. Misalnya, Anda dapat melakukan hal berikut:

  • Lampirkan kebijakan izin ke pengguna atau grup di akun Anda— Administrator akun dapat menggunakan kebijakan izin yang terkait dengan pengguna tertentu untuk memberikan izin bagi pengguna tersebut untuk membuatAWS WAFsumber daya.

  • Lampirkan kebijakan izin untuk peran (memberikan izin lintas akun) – Anda dapat melampirkan kebijakan izin berbasis identitas ke IAM role untuk memberikan izin lintas akun. Misalnya, administrator di Akun A dapat membuat peran untuk memberikan izin lintas akun ke Akun AWS yang lain (misalnya, Akun B) atau layanan AWS sebagai berikut:

    1. Administrator akun A membuat IAM role dan melampirkan kebijakan izin ke peran yang memberikan izin pada sumber daya di akun A.

    2. Administrator akun A melampirkan kebijakan kepercayaan peran yang mengidentifikasi Akun B sebagai principal yang dapat mengambil peran tersebut.

    3. Administrator Akun B kemudian dapat mendelegasikan izin untuk mengasumsikan peran kepada pengguna mana pun dalam akun B. Dengan melakukannya, pengguna dalam akun B dapat membuat atau mengakses sumber daya di akun A. Prinsip dalam kebijakan kepercayaan juga dapat menjadiAWSservice principal jika Anda ingin memberikanAWSizin layanan untuk mengambil peran.

    Untuk informasi selengkapnya tentang menggunakan IAM untuk mendelegasikan izin, lihat Manajemen Akses dalam Panduan Pengguna IAM.

Contoh berikut merupakan kebijakan yang memberikan izin untukwafv2:ListWebACLstindakan pada semua sumber daya. Dalam implementasi saat ini,AWS WAFtidak mendukung identifikasi sumber daya tertentu menggunakan ARN sumber daya (juga disebut sebagai izin tingkat sumber daya) untuk beberapa tindakan API, sehingga Anda harus menentukan karakter karakter pengganti (*):

{ "Version": "2019-07-29", "Statement": [ { "Sid": "ListWebACLs", "Effect": "Allow", "Action": [ "wafv2:ListWebACLs" ], "Resource": "*" } ] }

Untuk informasi selengkapnya tentang menggunakan kebijakan berbasis identitas dengan AWS WAF, lihat Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk AWS WAF. Untuk informasi lebih lanjut tentang pengguna, grup, peran, dan izin, lihat Identitas (Pengguna, Grup, dan Peran) dalam Panduan Pengguna IAM.

Kebijakan berbasis sumber daya

Layanan lain, seperti Amazon S3, juga mendukung kebijakan izin berbasis sumber daya. Misalnya, Anda dapat melampirkan kebijakan ke bucket S3 untuk mengelola izin akses ke bucket tersebut. AWS WAF tidak mendukung kebijakan berbasis sumber daya.

Menentukan elemen kebijakan: Tindakan, Efek, sumber daya, dan utama

Untuk masing-masingnyaAWS WAFsumber daya (lihatSumber daya dan operasi AWS WAF), layanan menentukan serangkaian operasi API (lihatAWS WAFIzin API: Tindakan, sumber daya, dan referensi kondisi). Untuk memberikan izin bagi operasi API ini, AWS WAF menentukan serangkaian tindakan yang dapat Anda tentukan dalam kebijakan. Perhatikan bahwa melakukan operasi API bisa memerlukan izin untuk lebih dari satu tindakan. Saat memberikan izin untuk tindakan tertentu, Anda juga mengidentifikasi sumber daya tempat tindakan diizinkan atau ditolak.

Berikut ini adalah elemen-elemen kebijakan paling dasar:

  • Sumber daya – Dalam kebijakan, Anda menggunakan Amazon Resource Name (ARN) untuk mengidentifikasi sumber daya yang diberlakukan oleh kebijakan tersebut. Untuk informasi selengkapnya, lihat Sumber daya dan operasi AWS WAF.

  • Tindakan – Anda menggunakan kata kunci tindakan untuk mengidentifikasi operasi sumber daya yang ingin Anda izinkan atau tolak. Misalnya, izin wafv2:CreateRuleGroup memungkinkan pengguna untuk melakukan operasi AWS WAF CreateRuleGroup.

  • Pengaruh – Anda menentukan pengaruh saat pengguna meminta tindakan tertentu. Hal ini bisa berupa mengizinkan atau menolak. Jika Anda tidak secara eksplisit memberikan akses ke sumber daya, akses akan ditolak secara implisit. Anda juga dapat secara eksplisit menolak akses ke sumber daya, yang mungkin Anda lakukan untuk memastikan bahwa pengguna tidak dapat mengaksesnya, meskipun kebijakan yang berbeda memberikan akses.

  • Prinsipal— Dalam kebijakan berbasis identitas (kebijakan IAM), pengguna yang kebijakannya terlampir adalah prinsipal implisit.AWS WAFtidak mendukung kebijakan berbasis sumber daya.

Untuk mepelajari selengkapnya tentang sintaksis dan penjelasan kebijakan IAM, lihatAWS Identity and Access ManagementReferensi kebijakandi dalamPanduan Pengguna IAM.

Untuk tabel yang menunjukkan semuaAWS WAFTindakan API dan sumber daya yang diterapkan, lihatAWS WAFIzin API: Tindakan, sumber daya, dan referensi kondisi.

Menentukan syarat dalam kebijakan

Ketika Anda memberikan izin, Anda dapat menggunakan bahasa kebijakan IAM untuk menentukan syarat kapan kebijakan akan berlaku. Misalnya, Anda mungkin ingin kebijakan diterapkan hanya setelah tanggal tertentu. Untuk informasi selengkapnya tentang menentukan syarat dalam bahasa kebijakan, lihat Syarat dalam Panduan Pengguna IAM.

Untuk menyatakan syarat, Anda menggunakan kunci kondisi yang telah ditentukan sebelumnya. Tidak ada kunci syarat khusus untuk AWS WAF. Namun, ada yang umumAWSkunci syarat yang dapat Anda gunakan sebagaimana mestinya. Untuk daftar lengkap kunci AWS, lihat Kunci yang Tersedia untuk Ketentuan dalam Panduan Pengguna IAM.