Menggunakan peran terkait layanan untuk AWS WAF - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan peran terkait layanan untuk AWS WAF

AWS WAF menggunakan AWS Identity and Access Management peran yang terkait dengan layanan (IAM) . Peran yang terkait dengan layanan adalah tipe IAM role unik yang terkait langsung ke layanan. Peran yang terhubung dengan layanan ditentukan sebelumnya oleh AWS WAF dan mencakup semua izin yang diperlukan layanan untuk menghubungi layanan AWS lainnya atas nama Anda.

Peran yang terhubung dengan layanan memudahkan pengaturan AWS WAF karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS WAF menentukan izin peran yang terhubung dengan layanan, dan kecuali ditentukan sebaliknya, hanya AWS WAF yang dapat mengambil perannya. Izin yang ditentukan meliputi kebijakan kepercayaan dan kebijakan izin. Kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran terhubung layanan hanya setelah pertama kali menghapus sumber daya terkait peran. Ini melindungi sumber daya AWS WAF karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran yang terhubung dengan layanan, lihat Layanan AWS yang Berfungsi dengan IAM dan cari layanan yang memiliki Ya di kolom Peran yang Terhubung dengan Layanan. Pilih Ya dengan tautan untuk melihat dokumentasi peran tertaut layanan untuk layanan tersebut.

Izin peran terkait layanan untuk AWS WAF

AWS WAFmenggunakan peran yang terhubung dengan layananAWSServiceRoleForWAFV2Logging.

AWS WAFmenggunakan peran yang terhubung dengan layanan ini untuk menulis log ke Amazon Kinesis Data Firehose. Peran ini hanya digunakan jika Anda mengaktifkan loginAWS WAF. Untuk informasi selengkapnya, lihat Mencatat lalu lintas ACL web.

Peran terkait layanan AWSServiceRoleForWAFV2Logging memercayai layanan wafv2.amazonaws.com untuk menjalankan peran.

Kebijakan perizinan peran memungkinkanAWS WAFuntuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:

  • Tindakan:firehose:PutRecorddanfirehose:PutRecordBatchdi Amazon Kinesis Data Firehose sumber daya aliran data dengan nama yang dimulai dengan”aws-waf-logs-.” Sebagai contoh, aws-waf-logs-us-east-2-analytics.

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi lebih lanjut, lihat Izin Peran Tertaut Layanan di Panduan Pengguna IAM.

Membuat peran yang terhubung dengan layanan untuk AWS WAF

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda mengaktifkanAWS WAFlog padaAWS Management Console, atau Anda membuatPutLoggingConfigurationrequest diAWS WAFCLI atauAWS WAFAPIAWS WAFmenciptakan peran terkait layanan untuk Anda.

Anda harus memilikiiam:CreateServiceLinkedRoleizin untuk mengaktifkan logging.

Jika Anda menghapus peran tertaut layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda mengaktifkanAWS WAFpenebangan,AWS WAFmenciptakan lagi peran terkait layanan untuk Anda.

Mengedit peran yang terkait dengan layanan untuk AWS WAF

AWS WAFtidak mengizinkan Anda untuk mengeditAWSServiceRoleForWAFV2Loggingperan yang terhubung dengan layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi lebih lanjut, lihat Mengedit Peran Tertaut Layanan di Panduan Pengguna IAM.

Menghapus peran terkait layanan untuk AWS WAF

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran tertaut layanan, kami menyarankan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.

catatan

Jika layanan AWS WAF menggunakan peran tersebut ketika Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba lagi.

Untuk menghapus sumber daya AWS WAF yang digunakan oleh AWSServiceRoleForWAFV2Logging

  1. PadaAWS WAFkonsol, menghapus logging dari setiap ACL web. Untuk informasi selengkapnya, lihat Mencatat lalu lintas ACL web.

  2. Menggunakan API atau CLI, kirimkanDeleteLoggingConfigurationpermintaan untuk setiap ACL web yang telah logging diaktifkan. Untuk informasi lebih lanjut, lihat Referensi API AWS WAF.

Untuk menghapus peran terkait layanan secara manual menggunakan IAM

Gunakan konsol IAM, CLI IAM, atau API IAM untuk menghapus peran terkait layanan AWSServiceRoleForWAFV2Logging. Untuk informasi selengkapnya, lihat Menghapus Peran Terkait Layanan di Panduan Pengguna IAM.

Wilayah yang didukung untuk peran yang terhubung dengan layanan AWS WAF

AWS WAF mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat AWS WAF kuota dan titik akhir.