メニュー
AWS Identity and Access Management
ユーザーガイド

AWS WAF Regional のアクション、リソース、および条件キー

AWS WAF Regional (サービスプレフィックス: waf-regional) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS WAF Regional で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用することにより、AWS でオペレーションを実行するすべてのユーザーのアクセス許可を定義します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssociateWebACL WebACL をリソースと関連付けます。 書き込み

loadbalancer/app/*

webacl*

CreateByteMatchSet ByteMatchSet を作成します。 書き込み

bytematchset*

CreateGeoMatchSet リクエスト送信元の国に基づき、許可または拒否するウェブリクエストを指定するために使用する GeoMatchSet を作成します。 書き込み

geomatchset*

CreateIPSet リクエスト送信元の IP アドレスに基づき、許可または拒否するウェブリクエストを指定するために使用する IPSet を作成します。 書き込み

ipset*

CreateRateBasedRule RateBasedRule を作成します。これには、AWS WAF で 5 分間に指定の IP アドレスから送信されるリクエストの数を制限するリクエストの最大数を指定する RateLimit が含まれます。 書き込み

ratebasedrule*

CreateRegexMatchSet RegexMatchSet を作成します。このオブジェクトを使用して、egexPatternSet で指定した正規表現パターンに基づき、ウェブリクエストを許可または拒否します。 書き込み

regexmatchset*

CreateRegexPatternSet AWS WAF に検索させる正規表現 (regex) パターンを指定するための RegexPatternSet を作成します。 書き込み

regexpatternset*

CreateRule ロックするリクエストを特定する IPSet オブジェクトや ByteMatchSet オブジェクト、その他の述語を含むルールを作成します。 書き込み

rule*

CreateRuleGroup RuleGroup を作成します。ルールグループは、WebACL に追加する事前定義されたルールのコレクションです。 書き込み

rulegroup*

CreateSizeConstraintSet 長さを確認するウェブリクエストの一部を特定するための SizeConstraintSet を作成します。 書き込み

sizeconstraintset*

CreateSqlInjectionMatchSet SqlInjectionMatchSet を作成します。このオブジェクトを使用して、ウェブリクエストの指定の部分に SQL コードのスニペットを含むリクエストを許可、拒否、またはカウントします。 書き込み

sqlinjectionmatchset*

CreateWebACL 許可、ブロック、またはカウントしたい CloudFront ウェブリクエストを特定するルールを含んだ WebACL を作成します。 アクセス権限の管理

webacl*

CreateXssMatchSet 指定の部分にクロスサイトスクリプト攻撃を含むウェブリクエストを許可、ブロック、またはカウントするための XssMatchSet を作成します。 書き込み

xssmatchset*

DeleteByteMatchSet ByteMatchSet を完全に削除します。 書き込み

bytematchset*

DeleteGeoMatchSet GeoMatchSet を完全に削除します。 書き込み

geomatchset*

DeleteIPSet IPSet を完全に削除します。 書き込み

ipset*

DeletePermissionPolicy 指定された RuleGroup から IAM ポリシーを完全に削除します。 アクセス権限の管理

rulegroup*

DeleteRateBasedRule RateBasedRule を完全に削除します。 書き込み

ratebasedrule*

DeleteRegexMatchSet RegexMatchSet を完全に削除します。 書き込み

regexmatchset*

DeleteRegexPatternSet RegexPatternSet を完全に削除します。 書き込み

regexpatternset*

DeleteRule Rule を完全に削除します。 書き込み

rule*

DeleteRuleGroup RuleGroup を完全に削除します。 書き込み

rulegroup*

DeleteSizeConstraintSet SizeConstraintSet を完全に削除します。 書き込み

sizeconstraintset*

DeleteSqlInjectionMatchSet SqlInjectionMatchSet を完全に削除します。 書き込み

sqlinjectionmatchset*

DeleteWebACL WebACL を完全に削除します。 アクセス権限の管理

webacl*

DeleteXssMatchSet XssMatchSet を完全に削除します。 書き込み

xssmatchset*

DisassociateWebACL 指定されたリソースから WebACL を削除します。 書き込み

loadbalancer/app/*

GetByteMatchSet ByteMatchSetId によって指定された ByteMatchSet を返します。 Read

bytematchset*

GetChangeToken AWS WAF オブジェクトを作成、更新、または削除する場合は、変更トークンを入手し、作成、更新、または削除リクエストに含めます。 Read
GetChangeTokenStatus GetChangeToken を呼び出して取得した ChangeToken のステータスを返します。 Read
GetGeoMatchSet GeoMatchSetId によって指定された GeoMatchSet を返します。 Read

geomatchset*

GetIPSet IPSetId で指定されている IPSet を返します。 Read

ipset*

GetPermissionPolicy RuleGroup にアタッチされている IAM ポリシーを返します。 Read

rulegroup*

GetRateBasedRule GetRateBasedRule リクエストに含めた RuleId によって指定されている RateBasedRule を返します。 Read

ratebasedrule*

GetRateBasedRuleManagedKeys RuleId によって指定されている RateBasedRule で現在ブロック中の IP アドレスの配列を返します。 Read

ratebasedrule*

GetRegexMatchSet RegexMatchSetId によって指定された RegexMatchSet を返します。 Read

regexmatchset*

GetRegexPatternSet RegexPatternSetId によって指定された RegexPatternSet を返します。 Read

regexpatternset*

GetRule GetRule リクエストに含めた RuleId によって指定されている Rule を返します。 Read

rule*

GetRuleGroup GetRuleGroup リクエストに含めた RuleGroupId によって指定されている RuleGroup を返します。 Read

rulegroup*

GetSampledRequests 指定の数のリクエスト (サンプル) に関する詳細情報を取得します。リクエストは、選択した時間範囲において AWS リソースが受け取った最初の 5,000 件の中から AWS WAF がランダムに選択します。 Read

rule

webacl

GetSizeConstraintSet SizeConstraintSetId によって指定された SizeConstraintSet を返します。 Read

sizeconstraintset*

GetSqlInjectionMatchSet SqlInjectionMatchSetId によって指定された SqlInjectionMatchSet を返します。 Read

sqlinjectionmatchset*

GetWebACL WebACLId によって指定された WebACL を返します。 Read

webacl*

GetWebACLForResource 指定されたリソースグループの WebACL を返します。 Read

loadbalancer/app/*

GetXssMatchSet XssMatchSetId によって指定された XssMatchSet を返します。 Read

xssmatchset*

ListActivatedRulesInRuleGroup ActivatedRule オブジェクトの配列を返します。 リスト
ListByteMatchSets ByteMatchSetSummary オブジェクトの配列を返します。 リスト
ListGeoMatchSets GeoMatchSetSummary オブジェクトの配列を返します。 リスト
ListIPSets IPSetSummary レスポンス内の IPSetSummary オブジェクトの配列を返します。 リスト
ListRateBasedRules RuleSummary オブジェクトの配列を返します。 リスト
ListRegexMatchSets RegexMatchSetSummary オブジェクトの配列を返します。 リスト
ListRegexPatternSets RegexPatternSetSummary オブジェクトの配列を返します。 リスト
ListResourcesForWebACL 指定された WebACL に関連付けられたリソースの配列を返します。 リスト

webacl*

ListRuleGroups RuleGroup オブジェクトの配列を返します。 リスト
ListRules RuleSummary オブジェクトの配列を返します。 リスト
ListSizeConstraintSets SizeConstraintSetSummary オブジェクトの配列を返します。 リスト
ListSqlInjectionMatchSets SqlInjectionMatchSet オブジェクトの配列を返します。 リスト
ListSubscribedRuleGroups ユーザーがサブスクライブしている RuleGroup オブジェクトの配列を返します。 リスト
ListWebACLs レスポンス内の WebACLSummary オブジェクトの配列を返します。 リスト
ListXssMatchSets XssMatchSet オブジェクトの配列を返します。 リスト
PutPermissionPolicy 指定されたリソースに IAM ポリシーをアタッチします。このアクションは、アカウント間で RuleGroup を共有する用途にしか使えません。 アクセス権限の管理

rulegroup*

UpdateByteMatchSet ByteMatchSet 内で ByteMatchTuple オブジェクト (フィルタ) を挿入または削除します。 書き込み

bytematchset*

UpdateGeoMatchSet GeoMatchSet 内で GeoMatchConstraint オブジェクトを挿入または削除します。 書き込み

geomatchset*

UpdateIPSet IPSet 内で IPSetDescriptor オブジェクトを挿入または削除します。 書き込み

ipset*

UpdateRateBasedRule ルール内で Predicate オブジェクトを挿入または削除し、ルール内の RateLimit を更新します。 書き込み

ratebasedrule*

UpdateRegexMatchSet RegexMatchSet 内で RegexMatchTuple オブジェクト (フィルタ) を挿入または削除します。 書き込み

regexmatchset*

UpdateRegexPatternSet RegexPatternSet 内で RegexPatternStrings を挿入または削除します。 書き込み

regexpatternset*

UpdateRule Rule 内で Predicate オブジェクトを挿入または削除します。 書き込み

rule*

UpdateRuleGroup RuleGroup 内で ActivatedRule オブジェクトを挿入または削除します。 書き込み

rulegroup*

UpdateSizeConstraintSet SizeConstraintSet 内で SizeConstraint オブジェクト (フィルタ) を挿入または削除します。 書き込み

sizeconstraintset*

UpdateSqlInjectionMatchSet SqlInjectionMatchSet 内で SqlInjectionMatchTuple オブジェクト (フィルタ) を挿入または削除します。 書き込み

sqlinjectionmatchset*

UpdateWebACL WebACL 内で ActivatedRule オブジェクトを挿入または削除します。 アクセス権限の管理

webacl*

UpdateXssMatchSet XssMatchSet 内で XssMatchTuple オブジェクト (フィルタ) を挿入または削除します。 書き込み

xssmatchset*

WAF Regional で定義されるリソース

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。「アクション」テーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
bytematchset arn:${Partition}:waf-regional:${Region}:${Account}:bytematchset/${Id}
geomatchset arn:${Partition}:waf-regional:${Region}:${Account}:geomatchset/${Id}
ipset arn:${Partition}:waf-regional:${Region}:${Account}:ipset/${Id}
loadbalancer/app/ arn:${Partition}:elasticloadbalancing:${Region}:${Account}:loadbalancer/app/${LoadBalancerName}/${LoadBalancerId}
ratebasedrule arn:${Partition}:waf-regional:${Region}:${Account}:ratebasedrule/${Id}
regexmatchset arn:${Partition}:waf-regional:${Region}:${Account}:regexmatchset/${Id}
regexpatternset arn:${Partition}:waf-regional:${Region}:${Account}:regexpatternset/${Id}
rule arn:${Partition}:waf-regional:${Region}:${Account}:rule/${Id}
rulegroup arn:${Partition}:waf-regional:${Region}:${Account}:rulegroup/${Id}
sizeconstraintset arn:${Partition}:waf-regional:${Region}:${Account}:sizeconstraintset/${Id}
sqlinjectionmatchset arn:${Partition}:waf-regional:${Region}:${Account}:sqlinjectionmatchset/${Id}
webacl arn:${Partition}:waf-regional:${Region}:${Account}:webacl/${Id}
xssmatchset arn:${Partition}:waf-regional:${Region}:${Account}:xssmatchset/${Id}

AWS WAF Regional の条件キー

WAF Regional には、ポリシーステートメントの Condition 要素で使用できるサービス固有のコンテキストキーはありません。すべてのサービスで使用できるグローバルな条件コンテキストキーのリストについては、『IAM ポリシーのリファレンス』の「条件に利用可能なキー」を参照してください。