Classic でのサービスにリンクされたロールの使用 AWS WAF

注記

これは AWS WAF Classic ドキュメントです。2019 年 11 AWS WAF 月以前にルールやウェブ ACL AWS WAF などのリソースを作成していて、まだ最新バージョンに移行していない場合にのみ、このバージョンを使用してください。リソースを移行するには、「AWS WAF クラシックリソースをに移行する AWS WAF」を参照してください。

の最新バージョンについては AWS WAF、を参照してください。 AWS WAF

AWS WAF 従来は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、Classic に直接リンクされているユニークなタイプの IAM ロールです。 AWS WAF サービスにリンクされたロールは AWS WAF Classic によって事前定義されており、 AWS ユーザーに代わってサービスが他のサービスを呼び出すために必要なすべての権限が含まれています。

サービスにリンクされたロールを使用すると、必要な権限を手動で追加する必要がないため、 AWS WAF Classic の設定が容易になります。 AWS WAF Classic はサービスにリンクされたロールの権限を定義し、特に定義されていない限り、 AWS WAF Classic だけがロールを引き受けることができます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールを削除するには、まずそのロールの関連リソースを削除します。これにより、リソースへのアクセス権限を誤って削除してしまうことがなくなるため、 AWS WAF Classic リソースを保護できます。

サービスリンクロールをサポートする他のサービスについては、「IAM と連携するAWS のサービス」を参照して、[サービスリンクロール] 列が [はい] のサービスを探してください。そのサービスに関するサービスにリンクされたロールのドキュメントを表示するには、リンクが設定されている [Yes] (はい) を選択します。

AWS WAF Classic 向けのサービスにリンクされたロール許可

AWS WAF Classic では以下のサービスにリンクされたロールを使用します。

• AWSServiceRoleForWAFLogging

• AWSServiceRoleForWAFRegionalLogging

AWS WAF クラシックはこれらのサービスにリンクされたロールを使用して Amazon Data Firehose にログを書き込みます。これらのロールはログインを有効にした場合にのみ使用されます。 AWS WAF詳細については、「ウェブ ACL トラフィック情報のログ記録」を参照してください。

AWSServiceRoleForWAFLogging および AWSServiceRoleForWAFRegionalLogging のサービスにリンクされたロールは、ロールを引き受ける上でそれぞれに対応する次のサービスを信頼します。

• waf.amazonaws.com

  waf-regional.amazonaws.com

ロールのアクセス権限ポリシーにより、 AWS WAF Classic は指定されたリソースに対して以下のアクションを実行できます。

• アクション:firehose:PutRecordおよび firehose:PutRecordBatch Amazon Data Firehose のデータストリームリソースで、名前が「aws-waf-logs-」で始まる。例えば、aws-waf-logs-us-east-2-analytics です。

サービスにリンクされたロールの作成、編集、削除をIAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの許可」を参照してください。

AWS WAF Classic 向けのサービスにリンクされたロールの作成

サービスリンクロールを手動で作成する必要はありません。 AWS WAF でクラシックロギングを有効にするか AWS Management Console、クラシック CLI または AWS WAF Classic API PutLoggingConfiguration でリクエストを行うと、 AWS WAF AWS WAF Classic によってサービスにリンクされたロールが自動的に作成されます。

ログ記録を有効化するためには、iam:CreateServiceLinkedRole 許可が必要です。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。 AWS WAF クラシックロギングを有効にすると、 AWS WAF Classic はサービスにリンクされたロールを再度作成します。

AWS WAF Classic 向けのサービスにリンクされたロールの編集

AWS WAF Classic では、AWSServiceRoleForWAFLoggingAWSServiceRoleForWAFRegionalLoggingおよびサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

AWS WAF Classic 向けのサービスにリンクされたロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

AWS WAF Classic サービスがそのロールを使用していたときにリソースを削除しようとすると、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

AWSServiceRoleForWAFLoggingとが使用している AWS WAF Classic リソースを削除するには AWSServiceRoleForWAFRegionalLogging

1. AWS WAF Classic コンソールで、すべてのウェブ ACL からロギングを削除します。詳細については、「ウェブ ACL トラフィック情報のログ記録」を参照してください。

2. API または CLI を使用して、ログ記録が有効化されている各ウェブ ACL に DeleteLoggingConfiguration リクエストを送信します。詳細については、「AWS WAF Classic API リファレンス」を参照してください。

IAM を使用して、サービスにリンクされたロールを手動で削除するには

AWSServiceRoleForWAFLogging および AWSServiceRoleForWAFRegionalLogging サービスにリンクされたロールを削除するには、IAM コンソール、IAM CLI、または IAM API を使用します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

AWS WAF Classic サービスにリンクされたロールをサポートするリージョン

AWS WAF Classic では、以下のサービスにリンクされたロールの使用をサポートしています。 AWS リージョン

リージョン名	リージョンアイデンティティ	AWS WAF クラシックでのSupport
米国東部（バージニア北部）	us-east-1	あり
米国東部 (オハイオ)	us-east-2	あり
米国西部 (北カリフォルニア)	us-west-1	あり
米国西部 (オレゴン)	us-west-2	あり
アジアパシフィック (ムンバイ)	ap-south-1	あり
アジアパシフィック (大阪)	ap-northeast-3	あり
アジアパシフィック (ソウル)	ap-northeast-2	あり
アジアパシフィック (シンガポール)	ap-southeast-1	あり
アジアパシフィック (シドニー)	ap-southeast-2	あり
アジアパシフィック (東京)	ap-northeast-1	あり
カナダ (中部)	ca-central-1	あり
欧州 (フランクフルト)	eu-central-1	あり
欧州 (アイルランド)	eu-west-1	あり
欧州 (ロンドン)	eu-west-2	あり
欧州 (パリ)	eu-west-3	あり
南米 (サンパウロ)	sa-east-1	あり