AWS WAF、AWS Firewall Manager、および AWS Shield アドバンスド
開発者ガイド (API バージョン 2015-08-24)

AWS WAF のサービスにリンクされたロールの使用

AWS WAF は、AWS Identity and Access Management (IAM)サービスにリンクされたロールを使用します。サービスにリンクされたロールは、AWS WAF に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、AWS WAF による事前定義済みのロールであり、ユーザーに代わってサービスから AWS の他のサービスを呼び出すために必要なすべてのアクセス権限を備えています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、AWS WAF の設定が簡単になります。AWS WAF はこのサービスにリンクされたロールのアクセス許可を定義し、特に定義されている場合を除き、AWS WAF のみがそのロールを引き受けます。定義されたアクセス権限には、信頼ポリシーとアクセス権限ポリシーが含まれます。そのアクセス権限ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールを削除するには、まずそのロールの関連リソースを削除します。これにより、リソースへの意図しないアクセスによるアクセス許可の削除が防止され、AWS WAF リソースは保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS サービス」を参照の上、「サービスにリンクされたロール」列が「はい」になっているサービスを検索してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。

AWS WAF のサービスにリンクされたロールのアクセス許可

AWS WAF では、次のサービスにリンクされたロールを使用します。

  • AWSServiceRoleForWAFLogging

  • AWSServiceRoleForWAFRegionalLogging

AWS WAF uses these service-linked roles to write logs to Amazon Kinesis Data Firehose. These roles are used only if you enable logging in AWS WAF. For more information, see ウェブ ACL トラフィック情報のログ記録.

AWSServiceRoleForWAFLogging and AWSServiceRoleForWAFRegionalLogging サービスにリンクされたロールは、ロールを引き受ける上でそれぞれに対応する次のサービスを信頼します。

  • waf.amazonaws.com

    waf-regional.amazonaws.com

ロールのアクセス権限ポリシーは、指定したリソースに対して以下のアクションを実行することを AWS WAF に許可します。

  • アクション: 「aws-waf-logs-」で始まる名前の Amazon Kinesis Data Firehose data stream resources を使用した firehose:PutRecord and firehose:PutRecordBatch たとえば、aws-waf-logs-us-east-2-analytics と指定します。

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス権限を設定する必要があります。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールのアクセス許可」を参照してください。

AWS WAF のサービスにリンクされたロールの作成

サービスにリンクされたロールを手動で作成する必要はありません。AWS マネジメントコンソール で enable AWS WAF logging を実行する、あるいは AWS WAF CLI または AWS WAF API で PutLoggingConfiguration リクエストを作成する場合、AWS WAF は自動的にサービスにリンクされたロールを作成します。

ログ記録を有効化するためには、iam:CreateServiceLinkedRole アクセス許可が必要です。

このサービスにリンクされたロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。サービスにリンクされたロールは、enable AWS WAF logging すると AWS WAF で再度自動的に作成されます。

AWS WAF のサービスにリンクされたロールの編集

AWS WAF では、AWSServiceRoleForWAFLogging and AWSServiceRoleForWAFRegionalLogging のサービスにリンクされたロールの編集をユーザーに許可しません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールの編集」を参照してください。

AWS WAF のサービスにリンクされたロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。

注記

リソースを削除する際に、AWS WAF サービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから再度オペレーションを実行してください。

AWSServiceRoleForWAFLogging and AWSServiceRoleForWAFRegionalLogging で使用されている AWS WAF リソースを削除するには

  1. AWS WAF コンソールで、すべてのウェブ ACL からログ記録を削除します。詳細については、「ウェブ ACL トラフィック情報のログ記録」を参照してください。

  2. API または CLI を使用して、ログ記録が有効化されている各ウェブ ACL に DeleteLoggingConfiguration リクエストを送信します。詳細については、「AWS WAF API リファレンス」を参照してください。

IAM を使用して、サービスにリンクされたロールを手動で削除するには

IAM コンソール、IAM CLI、または IAM API を使用して、AWSServiceRoleForWAFLogging and AWSServiceRoleForWAFRegionalLogging サービスにリンクされたロールを削除します。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの削除」を参照してください。

AWS WAF サービスにリンクされたロールがサポートされるリージョン

AWS WAF では、次の AWS リージョンで、サービスにリンクされたロールの使用がサポートされています。

リージョン名 リージョン識別子 AWS WAF でのサポート
米国東部(バージニア北部) us-east-1 はい
米国東部 (オハイオ) us-east-2 はい
米国西部 (北カリフォルニア) us-west-1 はい
米国西部 (オレゴン) us-west-2 はい
アジアパシフィック (ムンバイ) ap-south-1 はい
アジアパシフィック (大阪: ローカル) ap-northeast-3 はい
アジアパシフィック (ソウル) ap-northeast-2 はい
アジアパシフィック (シンガポール) ap-southeast-1 はい
アジアパシフィック (シドニー) ap-southeast-2 はい
アジアパシフィック (東京) ap-northeast-1 はい
カナダ (中部) ca-central-1 はい
欧州 (フランクフルト) eu-central-1 はい
欧州 (アイルランド) eu-west-1 はい
欧州 (ロンドン) eu-west-2 はい
EU (パリ) eu-west-3 はい
南米 (サンパウロ) sa-east-1 はい