AWS WAF Regional のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS WAF Regional のアクション、リソース、および条件キー

AWS WAF Regional (サービスプレフィックス: waf-regional) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

AWS WAF Regional で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssociateWebACL WebACL をリソースと関連付けます。 書き込み

loadbalancer/app/*

webacl*

CreateByteMatchSet ByteMatchSet を作成します。 書き込み

bytematchset*

CreateGeoMatchSet リクエスト送信元の国に基づき、許可または拒否するウェブリクエストを指定するために使用する GeoMatchSet を作成します。 書き込み

geomatchset*

CreateIPSet リクエスト送信元の IP アドレスに基づき、許可または拒否するウェブリクエストを指定するために使用する IPSet を作成します。 書き込み

ipset*

CreateRateBasedRule RateBasedRule を作成します。これには、AWS WAF で 5 分間に指定の IP アドレスから送信されるリクエストの数を制限するリクエストの最大数を指定する RateLimit が含まれます。 書き込み

ratebasedrule*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRegexMatchSet RegexMatchSet を作成します。このオブジェクトを使用して、egexPatternSet で指定した正規表現パターンに基づき、ウェブリクエストを許可または拒否します。 書き込み

regexmatchset*

CreateRegexPatternSet AWS WAF に検索させる正規表現 (regex) パターンを指定するための RegexPatternSet を作成します。 書き込み

regexpatternset*

CreateRule ロックするリクエストを特定する IPSet オブジェクトや ByteMatchSet オブジェクト、その他の述語を含むルールを作成します。 書き込み

rule*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRuleGroup RuleGroup を作成します。ルールグループは、WebACL に追加する事前定義されたルールのコレクションです。 書き込み

rulegroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSizeConstraintSet 長さを確認するウェブリクエストの一部を特定するための SizeConstraintSet を作成します。 書き込み

sizeconstraintset*

CreateSqlInjectionMatchSet SqlInjectionMatchSet を作成します。このオブジェクトを使用して、ウェブリクエストの指定の部分に SQL コードのスニペットを含むリクエストを許可、拒否、またはカウントします。 書き込み

sqlinjectionmatchset*

CreateWebACL 許可、ブロック、またはカウントしたい CloudFront ウェブリクエストを特定するルールを含んだ WebACL を作成します。 アクセス権限の管理

webacl*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWebACLMigrationStack 任意の S3 バケット内の任意の WAF Classic WebACL から同等の WAF v2 WebACL を作成する CloudFormation テンプレートを作成して保存します。 書き込み

webacl*

s3:PutObject

CreateXssMatchSet 指定の部分にクロスサイトスクリプト攻撃を含むウェブリクエストを許可、ブロック、またはカウントするための XssMatchSet を作成します。 書き込み

xssmatchset*

DeleteByteMatchSet ByteMatchSet を完全に削除します。 書き込み

bytematchset*

DeleteGeoMatchSet GeoMatchSet を完全に削除します。 書き込み

geomatchset*

DeleteIPSet IPSet を完全に削除します。 書き込み

ipset*

DeleteLoggingConfiguration 指定されたウェブ ACL から LoggingConfiguration を完全に削除します。 書き込み

webacl*

DeletePermissionPolicy 指定された RuleGroup から IAM ポリシーを完全に削除します。 アクセス権限の管理

rulegroup*

DeleteRateBasedRule RateBasedRule を完全に削除します。 書き込み

ratebasedrule*

DeleteRegexMatchSet RegexMatchSet を完全に削除します。 書き込み

regexmatchset*

DeleteRegexPatternSet RegexPatternSet を完全に削除します。 書き込み

regexpatternset*

DeleteRule Rule を完全に削除します。 書き込み

rule*

DeleteRuleGroup RuleGroup を完全に削除します。 書き込み

rulegroup*

DeleteSizeConstraintSet SizeConstraintSet を完全に削除します。 書き込み

sizeconstraintset*

DeleteSqlInjectionMatchSet SqlInjectionMatchSet を完全に削除します。 書き込み

sqlinjectionmatchset*

DeleteWebACL WebACL を完全に削除します。 アクセス権限の管理

webacl*

DeleteXssMatchSet XssMatchSet を完全に削除します。 書き込み

xssmatchset*

DisassociateWebACL 指定されたリソースから WebACL を削除します。 書き込み

loadbalancer/app/*

GetByteMatchSet ByteMatchSetId によって指定された ByteMatchSet を返します。 Read

bytematchset*

GetChangeToken AWS WAF オブジェクトを作成、更新、または削除する場合は、変更トークンを入手し、作成、更新、または削除リクエストに含めます。 Read
GetChangeTokenStatus GetChangeToken を呼び出して取得した ChangeToken のステータスを返します。 Read
GetGeoMatchSet GeoMatchSetId によって指定された GeoMatchSet を返します。 Read

geomatchset*

GetIPSet IPSetId で指定されている IPSet を返します。 Read

ipset*

GetLoggingConfiguration 指定されたウェブ ACL に LoggingConfiguration を返します。 Read

webacl*

GetPermissionPolicy RuleGroup にアタッチされている IAM ポリシーを返します。 Read

rulegroup*

GetRateBasedRule GetRateBasedRule リクエストに含めた RuleId によって指定されている RateBasedRule を返します。 Read

ratebasedrule*

GetRateBasedRuleManagedKeys RuleId によって指定されている RateBasedRule で現在ブロック中の IP アドレスの配列を返します。 Read

ratebasedrule*

GetRegexMatchSet RegexMatchSetId によって指定された RegexMatchSet を返します。 Read

regexmatchset*

GetRegexPatternSet RegexPatternSetId によって指定された RegexPatternSet を返します。 Read

regexpatternset*

GetRule GetRule リクエストに含めた RuleId によって指定されている Rule を返します。 Read

rule*

GetRuleGroup GetRuleGroup リクエストに含めた RuleGroupId によって指定されている RuleGroup を返します。 Read

rulegroup*

GetSampledRequests 指定の数のリクエスト (サンプル) に関する詳細情報を取得します。リクエストは、選択した時間範囲において AWS リソースが受け取った最初の 5,000 件の中から AWS WAF がランダムに選択します。 Read

rule

webacl

GetSizeConstraintSet SizeConstraintSetId によって指定された SizeConstraintSet を返します。 Read

sizeconstraintset*

GetSqlInjectionMatchSet SqlInjectionMatchSetId によって指定された SqlInjectionMatchSet を返します。 Read

sqlinjectionmatchset*

GetWebACL WebACLId によって指定された WebACL を返します。 Read

webacl*

GetWebACLForResource 指定されたリソースグループの WebACL を返します。 Read

loadbalancer/app/*

GetXssMatchSet XssMatchSetId によって指定された XssMatchSet を返します。 Read

xssmatchset*

ListActivatedRulesInRuleGroup ActivatedRule オブジェクトの配列を返します。 リスト
ListByteMatchSets ByteMatchSetSummary オブジェクトの配列を返します。 リスト
ListGeoMatchSets GeoMatchSetSummary オブジェクトの配列を返します。 リスト
ListIPSets IPSetSummary レスポンス内の IPSetSummary オブジェクトの配列を返します。 リスト
ListLoggingConfigurations LoggingConfiguration オブジェクトの配列を返します。 リスト
ListRateBasedRules RuleSummary オブジェクトの配列を返します。 リスト
ListRegexMatchSets RegexMatchSetSummary オブジェクトの配列を返します。 リスト
ListRegexPatternSets RegexPatternSetSummary オブジェクトの配列を返します。 リスト
ListResourcesForWebACL 指定された WebACL に関連付けられたリソースの配列を返します。 リスト

webacl*

ListRuleGroups RuleGroup オブジェクトの配列を返します。 リスト
ListRules RuleSummary オブジェクトの配列を返します。 リスト
ListSizeConstraintSets SizeConstraintSetSummary オブジェクトの配列を返します。 リスト
ListSqlInjectionMatchSets SqlInjectionMatchSet オブジェクトの配列を返します。 リスト
ListSubscribedRuleGroups ユーザーがサブスクライブしている RuleGroup オブジェクトの配列を返します。 リスト
ListTagsForResource 特定のリソースのタグを一覧表示します。 Read

ratebasedrule

rule

rulegroup

webacl

ListWebACLs レスポンス内の WebACLSummary オブジェクトの配列を返します。 リスト
ListXssMatchSets XssMatchSet オブジェクトの配列を返します。 リスト
PutLoggingConfiguration LoggingConfiguration を指定したウェブ ACL に関連付けます。 書き込み

webacl*

iam:CreateServiceLinkedRole

PutPermissionPolicy 指定されたリソースに IAM ポリシーをアタッチします。このアクションは、アカウント間で RuleGroup を共有する用途にしか使えません。 アクセス権限の管理

rulegroup*

TagResource 特定のリソースにタグを追加します。 タグ付け

ratebasedrule

rule

rulegroup

webacl

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource 特定のリソースからタグを削除します。 タグ付け

ratebasedrule

rule

rulegroup

webacl

aws:TagKeys

UpdateByteMatchSet ByteMatchSet 内で ByteMatchTuple オブジェクト (フィルター) を挿入または削除します。 書き込み

bytematchset*

UpdateGeoMatchSet GeoMatchSet 内で GeoMatchConstraint オブジェクトを挿入または削除します。 書き込み

geomatchset*

UpdateIPSet IPSet 内で IPSetDescriptor オブジェクトを挿入または削除します。 書き込み

ipset*

UpdateRateBasedRule ルール内で Predicate オブジェクトを挿入または削除し、ルール内の RateLimit を更新します。 書き込み

ratebasedrule*

UpdateRegexMatchSet RegexMatchSet 内で RegexMatchTuple オブジェクト (フィルター) を挿入または削除します。 書き込み

regexmatchset*

UpdateRegexPatternSet RegexPatternSet 内で RegexPatternStrings を挿入または削除します。 書き込み

regexpatternset*

UpdateRule Rule 内で Predicate オブジェクトを挿入または削除します。 書き込み

rule*

UpdateRuleGroup RuleGroup 内で ActivatedRule オブジェクトを挿入または削除します。 書き込み

rulegroup*

UpdateSizeConstraintSet SizeConstraintSet 内で SizeConstraint オブジェクト (フィルター) を挿入または削除します。 書き込み

sizeconstraintset*

UpdateSqlInjectionMatchSet SqlInjectionMatchSet 内で SqlInjectionMatchTuple オブジェクト (フィルター) を挿入または削除します。 書き込み

sqlinjectionmatchset*

UpdateWebACL WebACL 内で ActivatedRule オブジェクトを挿入または削除します。 アクセス権限の管理

webacl*

UpdateXssMatchSet XssMatchSet 内で XssMatchTuple オブジェクト (フィルター) を挿入または削除します。 書き込み

xssmatchset*

AWS WAF Regional で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
bytematchset arn:${Partition}:waf-regional:${Region}:${Account}:bytematchset/${Id}
ipset arn:${Partition}:waf-regional:${Region}:${Account}:ipset/${Id}
loadbalancer/app/ arn:${Partition}:elasticloadbalancing:${Region}:${Account}:loadbalancer/app/${LoadBalancerName}/${LoadBalancerId}
ratebasedrule arn:${Partition}:waf-regional:${Region}:${Account}:ratebasedrule/${Id}

aws:ResourceTag/${TagKey}

rule arn:${Partition}:waf-regional:${Region}:${Account}:rule/${Id}

aws:ResourceTag/${TagKey}

sizeconstraintset arn:${Partition}:waf-regional:${Region}:${Account}:sizeconstraintset/${Id}
sqlinjectionmatchset arn:${Partition}:waf-regional:${Region}:${Account}:sqlinjectionset/${Id}
webacl arn:${Partition}:waf-regional:${Region}:${Account}:webacl/${Id}

aws:ResourceTag/${TagKey}

xssmatchset arn:${Partition}:waf-regional:${Region}:${Account}:xssmatchset/${Id}
regexmatchset arn:${Partition}:waf-regional:${Region}:${Account}:regexmatch/${Id}
regexpatternset arn:${Partition}:waf-regional:${Region}:${Account}:regexpatternset/${Id}
geomatchset arn:${Partition}:waf-regional:${Region}:${Account}:geomatchset/${Id}
rulegroup arn:${Partition}:waf-regional:${Region}:${Account}:rulegroup/${Id}

aws:ResourceTag/${TagKey}

AWS WAF Regional の条件キー

AWS WAF Regional では、Condition ポリシーの IAM 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} 各タグで許可されている値のセットに基づいてアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられている tag-value に基づいてアクションをフィルタリングします 文字列
aws:TagKeys リクエスト内の必須タグのプレゼンスに基づいてアクションをフィルタリングします 文字列