AWS WAF のサービスにリンクされたロールの使用 - AWS WAF、AWS Firewall Manager、および AWS Shield アドバンスド

AWS WAF のサービスにリンクされたロールの使用

AWS WAF は、AWS Identity and Access Management (IAM)サービスにリンクされたロールを使用します。サービスにリンクされたロールは、AWS WAF に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、AWS WAF による事前定義済みのロールであり、ユーザーに代わってサービスから AWS の他のサービスを呼び出すために必要なすべてのアクセス権限を備えています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、AWS WAF の設定が簡単になります。AWS WAF はこのサービスにリンクされたロールのアクセス許可を定義し、特に定義されている場合を除き、AWS WAF のみがそのロールを引き受けます。定義されたアクセス権限には、信頼ポリシーとアクセス権限ポリシーが含まれます。そのアクセス権限ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールを削除するには、まずそのロールの関連リソースを削除します。これにより、リソースへの意図しないアクセスによるアクセス許可の削除が防止され、AWS WAF リソースは保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS サービス」を参照の上、「サービスにリンクされたロール」列が「はい」になっているサービスを検索してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。

AWS WAF のサービスにリンクされたロールのアクセス許可

AWS WAF では、サービスにリンクされたロール AWSServiceRoleForWAFV2Logging を使用します。

AWS WAF では、このサービスにリンクされたロールを使用してログを Amazon Kinesis Data Firehose に書き込みます。このロールは、AWS WAF でログインを有効にしている場合にのみ使用されます。詳細については、「ウェブ ACL トラフィック情報のログ記録」を参照してください。

AWSServiceRoleForWAFV2Logging サービスにリンクされたロールは、ロール wafv2.amazonaws.com を継承するためにサービスを信頼します。

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを AWS WAF に許可します。

  • アクション: 「aws-waf-logs-」で始まる名前の Amazon Kinesis Data Firehose データストリームリソースでの firehose:PutRecord および firehose:PutRecordBatch。 たとえば、aws-waf-logs-us-east-2-analytics と指定します。

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス権限を設定する必要があります。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールのアクセス許可」を参照してください。

AWS WAF のサービスにリンクされたロールの作成

サービスにリンクされたロールを手動で作成する必要はありません。AWS マネジメントコンソール で AWS WAF ログ作成を有効にする、または AWS WAF CLI または AWS WAF API で PutLoggingConfiguration リクエストを作成する場合、AWS WAF は自動的にサービスにリンクされたロールを作成します。

ログ記録を有効化するためには、iam:CreateServiceLinkedRole アクセス許可が必要です。

このサービスにリンクされたロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。AWS WAF ログ作成を有効にすると、AWS WAF により、サービスにリンクされたロールが再度作成されます。

AWS WAF のサービスにリンクされたロールの編集

AWS WAF では、AWSServiceRoleForWAFV2Logging のサービスにリンクされたロールの編集をユーザーに許可しません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールの編集」を参照してください。

AWS WAF のサービスにリンクされたロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。

注記

リソースを削除する際に、AWS WAF サービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから再度オペレーションを実行してください。

AWSServiceRoleForWAFV2Logging で使用されている AWS WAF リソースを削除するには

  1. AWS WAF コンソールで、すべてのウェブ ACL からログ記録を削除します。詳細については、「ウェブ ACL トラフィック情報のログ記録」を参照してください。

  2. API または CLI を使用して、ログ記録が有効化されている各ウェブ ACL に DeleteLoggingConfiguration リクエストを送信します。詳細については、「AWS WAF API リファレンス」を参照してください。

IAM を使用して、サービスにリンクされたロールを手動で削除するには

IAM コンソール、IAM CLI、または IAM API を使用して、AWSServiceRoleForWAFV2Logging サービスにリンクされたロールを削除します。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの削除」を参照してください。

AWS WAF サービスにリンクされたロールをサポートするリージョン

AWS WAF では、次の AWS リージョンで、サービスにリンクされたロールの使用がサポートされています。

リージョン名 リージョン識別子 AWS WAF でのサポート
米国東部(バージニア北部) us-east-1 はい
米国東部 (オハイオ) us-east-2 はい
米国西部 (北カリフォルニア) us-west-1 はい
米国西部 (オレゴン) us-west-2 はい
アジアパシフィック (ムンバイ) ap-south-1 はい
アジアパシフィック (大阪: ローカル) ap-northeast-3 はい
アジアパシフィック (ソウル) ap-northeast-2 はい
アジアパシフィック (シンガポール) ap-southeast-1 はい
アジアパシフィック (シドニー) ap-southeast-2 はい
アジアパシフィック (東京) ap-northeast-1 はい
カナダ (中部) ca-central-1 はい
欧州 (フランクフルト) eu-central-1 はい
欧州 (アイルランド) eu-west-1 はい
欧州 (ロンドン) eu-west-2 はい
欧州 (パリ) eu-west-3 はい
南米 (サンパウロ) sa-east-1 はい