Menggunakan Kebijakan Berbasis Identitas (Kebijakan IAM) untukAWS WAFKlasik - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan Kebijakan Berbasis Identitas (Kebijakan IAM) untukAWS WAFKlasik

catatan

Ini adalahAWS WAFKlasikdokumentasi Anda sebaiknya hanya menggunakan versi ini jika Anda membuatAWS WAFsumber daya, seperti aturan dan ACL web, diAWS WAFsebelum November 2019, dan Anda belum memigrasinya ke versi terbaru. Untuk memigrasi sumber daya Anda, lihatMigrasiAWS WAFSumber daya KlasikAWS WAF.

Untuk versi terbaruAWS WAF, LihatAWS WAF.

Bagian ini memberikan contoh kebijakan berbasis identitas yang menunjukkan bagaimana administrator akun dapat melampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, dan peran) dan dengan demikian memberikan izin untuk melakukan operasi padaAWS WAFSumber daya Klasik.

penting

Kami menyarankan Anda untuk terlebih dahulu meninjau topik pendahuluan yang menjelaskan konsep dasar dan pilihan yang tersedia untuk mengelola akses keAWS WAFSumber daya Klasik. Untuk informasi selengkapnya, lihat Gambaran umum pengelolaan izin akses untukAWS WAFSumber daya Klasik.

Untuk tabel yang menunjukkan semuaAWS WAFTindakan API klasik dan sumber daya yang diterapkan, lihatAWS WAFIzin API Klasik Klasik: Tindakan, sumber daya, dan referensi kondisi.

Topik

Izin yang diperlukan untuk menggunakanAWS WAFKonsol Klasik

YangAWS WAFKonsol klasik menyediakan lingkungan terpadu bagi Anda untuk membuat dan mengelolaAWS WAFSumber daya Klasik. Konsol menyediakan banyak fitur dan alur kerja yang sering memerlukan izin untuk membuatAWS WAFSumber daya klasik selain izin khusus API yang didokumentasikan dalamAWS WAFIzin API Klasik Klasik: Tindakan, sumber daya, dan referensi kondisi. Untuk informasi lebih lanjut tentang izin konsol tambahan ini, lihatContoh kebijakan yang dikelola pelanggan.

AWSkebijakan yang terkelola (ditentukan sebelumnya) untukAWS WAFKlasik

AWS menangani banyak kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh AWS. Kebijakan terkelola memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda tidak perlu menyelidiki izin apa yang diperlukan. Untuk informasi selengkapnya, lihat Kebijakan Terkelola AWS dalam Panduan Pengguna IAM.

BerikutAWSkebijakan terkelola, yang dapat Anda lampirkan ke pengguna di akun Anda, khusus untukAWS WAFKlasik

  • AWSWAFReadOnlyAccess— Memberikan akses hanya-baca untukAWS WAFSumber daya Klasik.

  • AWSWAFFullAccess— Memberikan akses penuh keAWS WAFSumber daya Klasik.

  • AWSWAFConsoleReadOnlyAccess— Memberikan akses baca saja keAWS WAFKonsol klasik, yang mencakup sumber daya untukAWS WAFdan layanan terintegrasi, seperti Amazon CloudFront, Amazon API Gateway, Application Load Balancer, dan Amazon CloudWatch.

  • AWSWAFConsoleFullAccess— Memberikan akses penuh keAWS WAFKonsol klasik, yang mencakup sumber daya untukAWS WAFdan layanan terintegrasi, seperti Amazon CloudFront, Amazon API Gateway, Application Load Balancer, dan Amazon CloudWatch.

catatan

Anda dapat meninjau kebijakan izin ini dengan masuk ke konsol IAM dan mencari kebijakan tertentu di sana.

Anda juga dapat membuat kebijakan IAM khusus untuk mengizinkan izinAWS WAFOperasi dan sumber daya API klasik. Anda dapat melampirkan kebijakan kustom ini ke pengguna atau grup IAM yang memerlukan izin tersebut atau ke peran eksekusi kustom (IAM role) yang Anda buat untukAWS WAFSumber daya Klasik.

Contoh kebijakan yang dikelola pelanggan

Contoh dalam bagian ini menyediakan sekelompok contoh kebijakan yang dapat Anda lampirkan ke pengguna. Jika Anda baru membuat kebijakan, kami menyarankan Anda untuk membuat pengguna IAM terlebih dahulu di akun Anda dan melampirkan kebijakan ke pengguna, dalam urutan yang dijelaskan di langkah-langkah di bagian ini.

Anda dapat menggunakan konsol untuk memverifikasi efek setiap kebijakan saat Anda melampirkan kebijakan kepada pengguna. Awalnya, pengguna tidak memiliki izin, dan pengguna tidak dapat melakukan apa pun di konsol. Ketika Anda melampirkan kebijakan ke pengguna, Anda dapat memverifikasi pengguna dapat melakukan berbagai operasi pada konsol.

Kami menyarankan Anda menggunakan dua jendela browser: satu untuk membuat pengguna dan memberikan izin, dan yang lainnya untuk masuk keAWS Management Consolemenggunakan kredensial pengguna dan memverifikasi izin saat Anda memberikannya kepada pengguna.

Untuk contoh yang menunjukkan cara membuat IAM role yang dapat Anda gunakan sebagai peran eksekusi untuk AndaAWS WAFSumber daya klasik, lihatMembuat Peran IAMdi dalamPanduan Pengguna IAM.

Contoh topik

Mmebuat pengguna IAM

Pertama, Anda harus membuat pengguna IAM, tambahkan pengguna ke grup IAM dengan izin administratif, lalu berikan izin administratif ke pengguna IAM yang Anda buat. Anda kemudian dapat mengaksesAWSmenggunakan URL khusus dan kredensi pengguna.

Untuk melihat instruksi, buka Membuat Grup Pengguna dan Administrator IAM Pertama Anda di Panduan Pengguna IAM.

Contoh 1: Memberikan akses hanya-baca penggunaAWS WAF Classic, CloudFront, dan CloudWatch

Kebijakan berikut memberi pengguna akses hanya-bacaAWS WAFSumber daya klasik, ke Amazon CloudFront distribusi web, dan ke Amazon CloudWatch metrik. Ini berguna bagi pengguna yang membutuhkan izin untuk melihat pengaturan diAWS WAFKondisi klasik, aturan, dan ACL web untuk melihat distribusi mana yang terkait dengan ACL web, dan untuk memantau metrik dan sampel permintaan di CloudWatch. Pengguna ini tidak dapat membuat, memperbarui, atau menghapusAWS WAFSumber daya Klasik.

{ "Version":"2012-10-17", "Statement": [ { "Action": [ "waf:Get*", "waf:List*", "cloudfront:GetDistribution", "cloudfront:GetDistributionConfig", "cloudfront:ListDistributions", "cloudfront:ListDistributionsByWebACLId", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Effect": "Allow", "Resource": "*" } ] }

Contoh 2: Memberikan akses penuh keAWS WAF Classic, CloudFront, dan CloudWatch

Kebijakan berikut memungkinkan pengguna melakukan apa punAWS WAFOperasi klasik, lakukan operasi apa pun CloudFront distribusi web, dan memantau metrik dan contoh permintaan di CloudWatch. Ini berguna bagi pengguna yangAWS WAFAdministrator Klasik.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "waf:*", "cloudfront:CreateDistribution", "cloudfront:GetDistribution", "cloudfront:GetDistributionConfig", "cloudfront:UpdateDistribution", "cloudfront:ListDistributions", "cloudfront:ListDistributionsByWebACLId", "cloudfront:DeleteDistribution", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Effect": "Allow", "Resource": "*" } ] }

Kami sangat menyarankan Anda untuk mengonfigurasi autentikasi Multi-Factor Authentication (MFA) untuk pengguna yang memiliki izin administratif. Untuk informasi selengkapnya, lihatMenggunakan Perangkat Multi-Factor Authentication (MFA) denganAWSdi dalamPanduan Pengguna IAM.

Contoh 3: Memberikan akses ke tertentuAkun AWS

Kebijakan ini memberikan izin berikut ke akun 444455556666:

  • Akses penuh ke semuaAWS WAFOperasi dan sumber daya klasik.

  • Baca dan perbarui akses ke semua CloudFront distribusi, yang memungkinkan Anda untuk mengaitkan ACL web dan CloudFront distribusi.

  • Akses baca ke semua CloudWatch metrik dan statistik metrik, sehingga Anda dapat melihat CloudWatchdata dan contoh permintaan diAWS WAFKonsol Klasik.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "waf:*" ], "Resource": [ "arn:aws:waf::444455556666:*" ] }, { "Effect": "Allow", "Action": [ "cloudfront:GetDistribution", "cloudfront:GetDistributionConfig", "cloudfront:ListDistributions", "cloudfront:ListDistributionsByWebACLId", "cloudfront:UpdateDistribution", "cloudwatch:ListMetrics", "cloudwatch:GetMetricStatistics" ], "Resource": [ "*" ] } ] }

Contoh 4: Memberikan akses ke Web ACL tertentu

Kebijakan ini memberikan izin berikut kepadawebaclID 112233d7c-86b2-458b-af83-51c51example di akun 444455556666:

  • Akses penuh keAWS WAFKlasikGet,Update, danDeleteOperasi dan sumber daya

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "waf:*" ], "Resource": [ "arn:aws:waf::444455556666:webacl/112233d7c-86b2-458b-af83-51c51example" ] } ] }