Menggunakan peran terkait layanan untuk AWS WAF - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced
Izin peran terkait layanan untuk AWS WAFMembuat peran yang terhubung dengan layanan untuk AWS WAFMengedit peran terkait layanan untuk AWS WAFMenghapus peran terkait layanan untuk AWS WAFWilayah yang didukung untuk peran yang terhubung dengan layanan AWS WAF

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan peran terkait layanan untuk AWS WAF

AWS WAF menggunakan AWS Identity and Access Management peran terkait layanan (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke. AWS WAF Peran terkait layanan telah ditentukan sebelumnya oleh AWS WAF dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.

Peran terkait layanan membuat pengaturan AWS WAF lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS WAF mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya AWS WAF dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin. Kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran terkait layanan hanya setelah terlebih dahulu menghapus sumber daya terkait peran tersebut. Ini melindungi AWS WAF sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat Layanan AWS yang bisa digunakan dengan IAM dan carilah layanan yang memiliki opsi Ya di kolom Peran Terkait Layanan. Pilih Ya bersama tautan untuk melihat dokumentasi peran tertaut layanan untuk layanan tersebut.

Izin peran terkait layanan untuk AWS WAF

AWS WAF menggunakan peran terkait layanan AWSServiceRoleForWAFV2Logging untuk menulis log ke Amazon Data Firehose. Peran ini hanya digunakan jika Anda mengaktifkan login AWS WAF. Untuk informasi tentang pencatatan, lihatPencatatan AWS WAF lalu lintas ACL web.

Peran terkait layanan ini dilampirkan pada kebijakan AWS terkelola. WAFV2LoggingServiceRolePolicy Untuk informasi selengkapnya tentang kebijakan terkelola, lihat AWS kebijakan terkelola: WAFV2 LoggingServiceRolePolicy.

Peran terkait layanan AWSServiceRoleForWAFV2Logging memercayai layanan wafv2.amazonaws.com untuk menjalankan peran.

Kebijakan izin peran memungkinkan AWS WAF untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:

  • Tindakan Amazon Data Firehose: PutRecord dan pada sumber daya aliran data PutRecordBatch Firehose dengan nama yang dimulai dengan. aws-waf-logs- Misalnya, aws-waf-logs-us-east-2-analytics.

  • AWS Organizations tindakan: DescribeOrganization pada sumber daya organisasi Organisasi.

Lihat peran lengkap terkait layanan di konsol IAM:. AWSServiceRoleForWAFV2Logging

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, silakan lihat Izin Peran Tertaut Layanan di Panduan Pengguna IAM.

Membuat peran yang terhubung dengan layanan untuk AWS WAF

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda mengaktifkan AWS WAF login AWS Management Console, atau Anda membuat PutLoggingConfiguration permintaan di AWS WAF CLI atau AWS WAF API, AWS WAF membuat peran terkait layanan untuk Anda.

Anda harus memiliki iam:CreateServiceLinkedRole izin untuk mengaktifkan logging.

Jika Anda menghapus peran tertaut layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda mengaktifkan AWS WAF pencatatan, AWS WAF buat peran terkait layanan untuk Anda lagi.

Mengedit peran terkait layanan untuk AWS WAF

AWS WAF tidak memungkinkan Anda untuk mengedit peran AWSServiceRoleForWAFV2Logging terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat Mengedit Peran Tertaut Layanan dalam Panduan Pengguna IAM.

Menghapus peran terkait layanan untuk AWS WAF

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran tertaut layanan, kami menyarankan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.

catatan

Jika AWS WAF layanan menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

Untuk menghapus AWS WAF sumber daya yang digunakan oleh AWSServiceRoleForWAFV2Logging

  1. Di AWS WAF konsol, hapus logging dari setiap ACL web. Untuk informasi selengkapnya, lihat Pencatatan AWS WAF lalu lintas ACL web.

  2. Menggunakan API atau CLI, kirimkan DeleteLoggingConfiguration permintaan untuk setiap ACL web yang telah mengaktifkan logging. Untuk informasi lebih lanjut, lihat Referensi API AWS WAF.

Untuk menghapus peran tertaut layanan secara manual menggunakan IAM

Gunakan konsol IAM, CLI IAM, atau API CLI untuk menghapus peran tertaut layanan AWSServiceRoleForWAFV2Logging. Untuk informasi selengkapnya, lihat Menghapus Peran Terkait Layanan di Panduan Pengguna IAM.

Wilayah yang didukung untuk peran yang terhubung dengan layanan AWS WAF

AWS WAF mendukung penggunaan peran terkait layanan di semua wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat AWS WAF kuota dan titik akhir.