AWS WAF Regional のアクション、リソース、および条件キー - サービス認可リファレンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS WAF Regional のアクション、リソース、および条件キー

AWS WAF Regional (サービスプレフィックス: waf-regional) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

リファレンス:

AWS WAF Regional で定義されるアクション

IAM ポリシーステートメントの Action要素で次のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれている場合は、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AssociateWebACL ウェブACLをリソースに関連付けるアクセス許可を付与します 書き込み

loadbalancer/app/*

webacl*

CreateByteMatchSet ByteMatchSet を作成するアクセス許可を付与します 書き込み

bytematchset*

CreateGeoMatchSet GeoMatchSet を作成するアクセス許可を付与します 書き込み

geomatchset*

CreateIPSet IPSet を作成する許可を付与 書き込み

ipset*

CreateRateBasedRule RateBasedRule を作成するアクセス許可を付与します 書き込み

ratebasedrule*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRegexMatchSet RegexMatchSet を作成するアクセス許可を付与します 書き込み

regexmatchset*

CreateRegexPatternSet RegexPatternSet を作成するアクセス許可を付与します 書き込み

regexpatternset*

CreateRule ルールを作成する許可を付与 書き込み

rule*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRuleGroup RuleGroup を作成するアクセス許可を付与します 書き込み

rulegroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSizeConstraintSet SizeConstraintSet を作成するアクセス許可を付与します 書き込み

sizeconstraintset*

CreateSqlInjectionMatchSet SqlInjectionMatchSet を作成する許可を付与 書き込み

sqlinjectionmatchset*

CreateWebACL WebACL を作成する許可を付与 権限の管理

webacl*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWebACLMigrationStack ウェブACLを CloudFormation Classic から Word v2 に移行する目的で、S3 バケットに AWS WAF AWS WAF ウェブACLテンプレートを作成するアクセス許可を付与します 書き込み

webacl*

s3:PutObject

CreateXssMatchSet XssMatchSet を作成するアクセス許可を付与します 書き込み

xssmatchset*

DeleteByteMatchSet ByteMatchSet を削除するアクセス許可を付与します 書き込み

bytematchset*

DeleteGeoMatchSet GeoMatchSet を削除するアクセス許可を付与します 書き込み

geomatchset*

DeleteIPSet IPSet を削除する許可を付与 書き込み

ipset*

DeleteLoggingConfiguration ウェブ LoggingConfiguration から aACL を削除するアクセス許可を付与します 書き込み

webacl*

DeletePermissionPolicy ルールグループから IAM ポリシーを削除する許可を付与 権限の管理

rulegroup*

DeleteRateBasedRule a RateBasedRule を削除するアクセス許可を付与します 書き込み

ratebasedrule*

DeleteRegexMatchSet a RegexMatchSet を削除するアクセス許可を付与します 書き込み

regexmatchset*

DeleteRegexPatternSet a RegexPatternSet を削除するアクセス許可を付与します 書き込み

regexpatternset*

DeleteRule ルールを削除する許可を付与。 書き込み

rule*

DeleteRuleGroup RuleGroup を削除するアクセス許可を付与します 書き込み

rulegroup*

DeleteSizeConstraintSet a SizeConstraintSet を削除するアクセス許可を付与します 書き込み

sizeconstraintset*

DeleteSqlInjectionMatchSet an SqlInjectionMatchSet を削除する許可を付与 書き込み

sqlinjectionmatchset*

DeleteWebACL WebACL を削除する許可を付与 権限の管理

webacl*

DeleteXssMatchSet XssMatchSet を削除する許可を付与 書き込み

xssmatchset*

DisassociateWebACL ウェブACLとリソース間の関連付けを削除するアクセス許可を付与します 書き込み

loadbalancer/app/*

GetByteMatchSet ByteMatchSet を取得するアクセス許可を付与します 読み取り

bytematchset*

GetChangeToken 作成、更新、および削除リクエストで使用する変更トークンを取得する許可を付与 Read
GetChangeTokenStatus 変更トークンのステータスを取得する許可を付与 読み取り
GetGeoMatchSet GeoMatchSet を取得する許可を付与 読み取り

geomatchset*

GetIPSet IPSet を取得する許可を付与 読み取り

ipset*

GetLoggingConfiguration LoggingConfiguration を取得するアクセス許可を付与します 読み取り

webacl*

GetPermissionPolicy aIAM にアタッチされた Word ポリシーを取得する許可を付与 RuleGroup 読み取り

rulegroup*

GetRateBasedRule RateBasedRule を取得するアクセス許可を付与します 読み取り

ratebasedrule*

GetRateBasedRuleManagedKeys a RateBasedRule によって現在ブロックされている IP アドレスの配列を取得する許可を付与 読み取り

ratebasedrule*

GetRegexMatchSet RegexMatchSet を取得する許可を付与 読み取り

regexmatchset*

GetRegexPatternSet RegexPatternSet を取得するアクセス許可を付与します 読み取り

regexpatternset*

GetRule ルールを取得する許可を付与 読み取り

rule*

GetRuleGroup RuleGroup を取得するアクセス許可を付与します 読み取り

rulegroup*

GetSampledRequests ウェブリクエストのサンプルセットの詳細情報を取得する許可を付与 読み取り

webacl

GetSizeConstraintSet SizeConstraintSet を取得するアクセス許可を付与します 読み取り

sizeconstraintset*

GetSqlInjectionMatchSet SqlInjectionMatchSet を取得する許可を付与 読み取り

sqlinjectionmatchset*

GetWebACL WebACL を取得する許可を付与 読み取り

webacl*

GetWebACLForResource 指定されたリソースに関連付けられている WebACL を取得するアクセス許可を付与します 読み取り

loadbalancer/app/*

GetXssMatchSet an XssMatchSet を取得するアクセス許可を付与します 読み取り

xssmatchset*

ListActivatedRulesInRuleGroup ActivatedRule オブジェクトの配列を取得する許可を付与 リスト
ListByteMatchSets ByteMatchSetSummary オブジェクトの配列を取得する許可を付与 リスト
ListGeoMatchSets GeoMatchSetSummary オブジェクトの配列を取得する許可を付与 リスト
ListIPSets IPSetSummary オブジェクトの配列を取得する許可を付与 リスト
ListLoggingConfigurations LoggingConfiguration オブジェクトの配列を取得する許可を付与 リスト
ListRateBasedRules RuleSummary オブジェクトの配列を取得する許可を付与 リスト
ListRegexMatchSets RegexMatchSetSummary オブジェクトの配列を取得する許可を付与 リスト
ListRegexPatternSets RegexPatternSetSummary オブジェクトの配列を取得する許可を付与 リスト
ListResourcesForWebACL 指定された WebACL に関連付けられたリソースの配列を取得するアクセス許可を付与します リスト

webacl*

ListRuleGroups RuleGroup オブジェクトの配列を取得する許可を付与 リスト
ListRules RuleSummary オブジェクトの配列を取得する許可を付与 リスト
ListSizeConstraintSets SizeConstraintSetSummary オブジェクトの配列を取得する許可を付与 リスト
ListSqlInjectionMatchSets SqlInjectionMatchSet オブジェクトの配列を取得する許可を付与 リスト
ListSubscribedRuleGroups サブスクライブしている RuleGroup オブジェクトの配列を取得するアクセス許可を付与します リスト
ListTagsForResource リソースのタグを一覧表示する許可を付与 読み取り

ratebasedrule

rule

rulegroup

webacl

ListWebACLs WebACLSummary オブジェクトの配列を取得する許可を付与 リスト
ListXssMatchSets XssMatchSet オブジェクトの配列を取得する許可を付与 リスト
PutLoggingConfiguration a LoggingConfiguration をウェブACLに関連付けるアクセス許可を付与します 書き込み

webacl*

iam:CreateServiceLinkedRole

PutPermissionPolicy アカウント間のルールグループ共有をサポートするために、指定されたルールグループに IAM ポリシーをアタッチするアクセス許可を付与します 権限の管理

rulegroup*

TagResource リソースにタグを追加する許可を付与 タグ付け

ratebasedrule

rule

rulegroup

webacl

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource リソースからタグを削除する許可を付与 タグ付け

ratebasedrule

rule

rulegroup

webacl

aws:TagKeys

UpdateByteMatchSet a ByteMatchTuple に ByteMatchSet オブジェクトを挿入または削除するためのアクセス許可を付与します 書き込み

bytematchset*

UpdateGeoMatchSet a GeoMatchConstraint に GeoMatchSet オブジェクトを挿入または削除するためのアクセス許可を付与します 書き込み

geomatchset*

UpdateIPSet IPSetDescriptor 内の IPSet オブジェクトを挿入または削除するためのアクセス許可を付与します 書き込み

ipset*

UpdateRateBasedRule レートベースのルールで述語オブジェクトを挿入または削除し、ルールで RateLimit を更新するアクセス許可を付与します 書き込み

ratebasedrule*

UpdateRegexMatchSet a RegexMatchTuple に RegexMatchSet オブジェクトを挿入または削除するためのアクセス許可を付与します 書き込み

regexmatchset*

UpdateRegexPatternSet a RegexPatternStrings で RegexPatternSet を挿入または削除するアクセス許可を付与します 書き込み

regexpatternset*

UpdateRule ルールで述語オブジェクトを挿入または削除する許可を付与 書き込み

rule*

UpdateRuleGroup a ActivatedRule に RuleGroup オブジェクトを挿入または削除するためのアクセス許可を付与します 書き込み

rulegroup*

UpdateSizeConstraintSet a SizeConstraint で SizeConstraintSet オブジェクトを挿入または削除するためのアクセス許可を付与します 書き込み

sizeconstraintset*

UpdateSqlInjectionMatchSet an SqlInjectionMatchTuple で SqlInjectionMatchSet オブジェクトを挿入または削除するためのアクセス許可を付与します 書き込み

sqlinjectionmatchset*

UpdateWebACL Web ActivatedRule で Word オブジェクトを挿入または削除するためのアクセス許可を付与しますACL 権限の管理

webacl*

UpdateXssMatchSet an XssMatchTuple で XssMatchSet オブジェクトを挿入または削除するためのアクセス許可を付与します 書き込み

xssmatchset*

AWS WAF Regional で定義されるリソースタイプ

次のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
bytematchset arn:${Partition}:waf-regional:${Region}:${Account}:bytematchset/${Id}
ipset arn:${Partition}:waf-regional:${Region}:${Account}:ipset/${Id}
loadbalancer/app/ arn:${Partition}:elasticloadbalancing:${Region}:${Account}:loadbalancer/app/${LoadBalancerName}/${LoadBalancerId}
ratebasedrule arn:${Partition}:waf-regional:${Region}:${Account}:ratebasedrule/${Id}

aws:ResourceTag/${TagKey}

rule arn:${Partition}:waf-regional:${Region}:${Account}:rule/${Id}

aws:ResourceTag/${TagKey}

sizeconstraintset arn:${Partition}:waf-regional:${Region}:${Account}:sizeconstraintset/${Id}
sqlinjectionmatchset arn:${Partition}:waf-regional:${Region}:${Account}:sqlinjectionset/${Id}
webacl arn:${Partition}:waf-regional:${Region}:${Account}:webacl/${Id}

aws:ResourceTag/${TagKey}

xssmatchset arn:${Partition}:waf-regional:${Region}:${Account}:xssmatchset/${Id}
regexmatchset arn:${Partition}:waf-regional:${Region}:${Account}:regexmatch/${Id}
regexpatternset arn:${Partition}:waf-regional:${Region}:${Account}:regexpatternset/${Id}
geomatchset arn:${Partition}:waf-regional:${Region}:${Account}:geomatchset/${Id}
rulegroup arn:${Partition}:waf-regional:${Region}:${Account}:rulegroup/${Id}

aws:ResourceTag/${TagKey}

AWS WAF Regional の条件キー

AWS WAF Regional では、IAM ポリシーの Condition要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} 各タグで許可されている値のセットに基づいてアクションをフィルタリングします 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられている tag-value に基づいてアクションをフィルタリングします 文字列
aws:TagKeys リクエスト内の必須タグのプレゼンスに基づいてアクションをフィルタリングします ArrayOfString