Utilizzo di ruoli collegati ai servizi per Classic AWS WAF - AWS WAFAWS Firewall Manager, e AWS Shield Advanced
Autorizzazioni di ruolo collegate al servizio per Classic AWS WAFCreazione di un ruolo collegato ai servizi per Classic AWS WAFModifica di un ruolo collegato al servizio per Classic AWS WAFEliminazione di un ruolo collegato al servizio per Classic AWS WAFRegioni supportate per i ruoli classici collegati ai servizi AWS WAF

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli collegati ai servizi per Classic AWS WAF

Nota

Questa è la documentazione AWS WAF classica. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e ACL web, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per eseguire la migrazione delle risorse, consulta Migrazione delle risorse AWS WAF Classic a AWS WAF.

Per la versione più recente di AWS WAF, vedi. AWS WAF

AWS WAF La versione classica utilizza AWS Identity and Access Management ruoli collegati ai servizi (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a Classic. AWS WAF I ruoli collegati ai servizi sono predefiniti da AWS WAF Classic e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS

Un ruolo collegato ai servizi semplifica la configurazione di AWS WAF Classic perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS WAF Classic definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo AWS WAF Classic può assumerne i ruoli. Le autorizzazioni definite includono policy di attendibilità e di autorizzazioni. Questa policy delle autorizzazioni non può essere collegata ad alcun'altra entità IAM.

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi le tue risorse AWS WAF Classic perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione Servizi AWS che funzionano con IAM e cerca i servizi che riportano nella colonna Ruolo associato ai servizi. Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni di ruolo collegate al servizio per Classic AWS WAF

AWS WAF Classic utilizza i seguenti ruoli collegati ai servizi:

  • AWSServiceRoleForWAFLogging

  • AWSServiceRoleForWAFRegionalLogging

AWS WAF Classic utilizza questi ruoli collegati ai servizi per scrivere log su Amazon Data Firehose. Questi ruoli vengono utilizzati solo se abiliti l'accesso. AWS WAF Per ulteriori informazioni, consulta Registrazione informazioni di traffico ACL Web.

I ruoli AWSServiceRoleForWAFRegionalLogging collegati ai servizi AWSServiceRoleForWAFLogging e affidano il ruolo ai seguenti servizi (rispettivamente):

  • waf.amazonaws.com

    waf-regional.amazonaws.com

Le politiche di autorizzazione dei ruoli consentono a AWS WAF Classic di completare le seguenti azioni sulle risorse specificate:

  • Azione: firehose:PutRecord e firehose:PutRecordBatch su Amazon Data Firehose risorse di flusso di dati con un nome che inizia con "aws-waf-logs-». Ad esempio, aws-waf-logs-us-east-2-analytics.

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Creazione di un ruolo collegato ai servizi per Classic AWS WAF

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando abiliti l'accesso AWS WAF classico o AWS Management Console effettui una PutLoggingConfiguration richiesta nella CLI AWS WAF classica o nell'API classica AWS WAF , Classic crea automaticamente AWS WAF il ruolo collegato al servizio.

È necessario disporre dell'autorizzazione iam:CreateServiceLinkedRole per attivare la registrazione.

Se elimini questo ruolo collegato ai servizi, puoi ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando abiliti la registrazione AWS WAF classica, AWS WAF Classic crea nuovamente il ruolo collegato al servizio per te.

Modifica di un ruolo collegato al servizio per Classic AWS WAF

AWS WAF La versione classica non consente di modificare i ruoli collegati al AWSServiceRoleForWAFLogging AWSServiceRoleForWAFRegionalLogging servizio. Dopo aver creato un ruolo collegato al servizio, non puoi modificarne il nome, perché potrebbero farvi riferimento diverse entità. Puoi tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato al servizio per Classic AWS WAF

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.

Nota

Se il servizio AWS WAF Classic utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per eliminare le risorse AWS WAF Classic utilizzate da AWSServiceRoleForWAFLogging e AWSServiceRoleForWAFRegionalLogging

  1. Sulla console AWS WAF Classic, rimuovi la registrazione da ogni ACL Web. Per ulteriori informazioni, consulta Registrazione informazioni di traffico ACL Web.

  2. Utilizzando l'API o l'interfaccia CLI, inviare una richiesta di DeleteLoggingConfiguration per ogni ACL Web che ha la registrazione attivata. Per ulteriori informazioni, consulta AWS WAF Classic API Reference.

Per eliminare manualmente il ruolo collegato ai servizi mediante IAM

Utilizza la console IAM, l'IAM CLI o l'API IAM per eliminare i ruoli AWSServiceRoleForWAFLogging e i ruoli collegati ai AWSServiceRoleForWAFRegionalLogging servizi. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Regioni supportate per i ruoli classici collegati ai servizi AWS WAF

AWS WAF La versione classica supporta l'utilizzo di ruoli collegati ai servizi nei seguenti casi. Regioni AWS

Nome della regione Identità della regione Support nella AWS WAF versione classica
Stati Uniti orientali (Virginia settentrionale) us-east-1
Stati Uniti orientali (Ohio) us-east-2
Stati Uniti occidentali (California settentrionale) us-west-1
US West (Oregon) us-west-2
Asia Pacifico (Mumbai) ap-south-1
Asia Pacifico (Osaka-Locale) ap-northeast-3
Asia Pacifico (Seul) ap-northeast-2
Asia Pacifico (Singapore) ap-southeast-1
Asia Pacifico (Sydney) ap-southeast-2
Asia Pacifico (Tokyo) ap-northeast-1
Canada (Centrale) ca-central-1
Europa (Francoforte) eu-central-1
Europa (Irlanda) eu-west-1
Europa (Londra) eu-west-2
Europa (Parigi) eu-west-3
Sud America (San Paolo) sa-east-1