Ações, recursos e chaves de condição para o AWS WAF - Referência de autorização do serviço

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Ações, recursos e chaves de condição para o AWS WAF

AWS O WAF (prefixo do serviço:waf) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso nas políticas de permissão do IAM.

Referências:

Ações definidas pelo AWS WAF

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.

A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.

nota

As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
CreateByteMatchSet Concede permissão para criar um ByteMatchSet Escrever

bytematchset*

CreateGeoMatchSet Concede permissão para criar um GeoMatchSet Escrever

geomatchset*

CreateIPSet Concede permissão para criar um IPSet Escrever

ipset*

CreateRateBasedRule Concede permissão para criar um RateBasedRule para limitar o volume de solicitações de um único endereço IP Escrever

ratebasedrule*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRegexMatchSet Concede permissão para criar um RegexMatchSet Escrever

regexmatchset*

CreateRegexPatternSet Concede permissão para criar um RegexPatternSet Escrever

regexpatternset*

CreateRule Concede permissão para criar uma Rule para filtrar solicitações da Web Escrever

rule*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateRuleGroup Concede permissão para criar um RuleGroup, que é uma coleção de regras predefinidas que você pode usar em uma WebACL Escrever

rulegroup*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateSizeConstraintSet Concede permissão para criar um SizeConstraintSet Escrever

sizeconstraintset*

CreateSqlInjectionMatchSet Concede permissão para criar um SqlInjectionMatchSet Escrever

sqlinjectionmatchset*

CreateWebACL Concede permissão para criar uma WebACL, que contém regras para filtrar solicitações da Web Gerenciamento de permissões

webacl*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateWebACLMigrationStack Concede permissão para criar um modelo de ACL CloudFormation da web em um bucket do S3 com o objetivo de migrar a ACL da web do WAF Classic para o AWS WAF v2 AWS Escrever

webacl*

s3:PutObject

CreateXssMatchSet Concede permissão para criar um XssMatchSet, que você usa para detectar solicitações que contêm ataques de script entre sites Escrever

xssmatchset*

DeleteByteMatchSet Concede permissão para excluir um ByteMatchSet Escrever

bytematchset*

DeleteGeoMatchSet Concede permissão para excluir um GeoMatchSet Escrever

geomatchset*

DeleteIPSet Concede permissão para excluir um IPSet Escrever

ipset*

DeleteLoggingConfiguration Concede permissão para excluir o LoggingConfiguration de uma ACL da web Escrever

webacl*

DeletePermissionPolicy Concede permissão para excluir uma política do IAM de um grupo de regras Gerenciamento de permissões

rulegroup*

DeleteRateBasedRule Concede permissão para excluir um RateBasedRule Escrever

ratebasedrule*

DeleteRegexMatchSet Concede permissão para excluir um RegexMatchSet Escrever

regexmatchset*

DeleteRegexPatternSet Concede permissão para excluir um RegexPatternSet Escrever

regexpatternset*

DeleteRule Concede permissão para excluir uma Rule Escrever

rule*

DeleteRuleGroup Concede permissão para excluir um RuleGroup Escrever

rulegroup*

DeleteSizeConstraintSet Concede permissão para excluir um SizeConstraintSet Escrever

sizeconstraintset*

DeleteSqlInjectionMatchSet Concede permissão para excluir um SqlInjectionMatchSet Escrever

sqlinjectionmatchset*

DeleteWebACL Concede permissão para excluir uma WebACL Gerenciamento de permissões

webacl*

DeleteXssMatchSet Concede permissão para excluir um XssMatchSet Escrever

xssmatchset*

GetByteMatchSet Concede permissão para recuperar um ByteMatchSet Leitura

bytematchset*

GetChangeToken Concede permissão para recuperar um token de alteração para usar em solicitações de criação, atualização e exclusão Read
GetChangeTokenStatus Concede permissão para recuperar o status de um token de alteração Leitura
GetGeoMatchSet Concede permissão para recuperar um GeoMatchSet Leitura

geomatchset*

GetIPSet Concede permissão para recuperar um IPSet Leitura

ipset*

GetLoggingConfiguration Concede permissão para recuperar uma LoggingConfiguration ACL para uma web Leitura

webacl*

GetPermissionPolicy Concede permissão para recuperar uma política do IAM para um grupo de regras Leitura

rulegroup*

GetRateBasedRule Concede permissão para recuperar um RateBasedRule Leitura

ratebasedrule*

GetRateBasedRuleManagedKeys Concede permissão para recuperar a matriz de endereços IP que estão atualmente sendo bloqueados por um RateBasedRule Leitura

ratebasedrule*

GetRegexMatchSet Concede permissão para recuperar um RegexMatchSet Leitura

regexmatchset*

GetRegexPatternSet Concede permissão para recuperar um RegexPatternSet Leitura

regexpatternset*

GetRule Concede permissão para recuperar uma Rule Leitura

rule*

GetRuleGroup Concede permissão para recuperar um RuleGroup Leitura

rulegroup*

GetSampledRequests Concede permissão para recuperar informações detalhadas sobre um conjunto de exemplos de solicitações da Web Leitura

webacl

GetSizeConstraintSet Concede permissão para recuperar um SizeConstraintSet Leitura

sizeconstraintset*

GetSqlInjectionMatchSet Concede permissão para recuperar um SqlInjectionMatchSet Leitura

sqlinjectionmatchset*

GetWebACL Concede permissão para recuperar uma WebACL Leitura

webacl*

GetXssMatchSet Concede permissão para recuperar um XssMatchSet Leitura

xssmatchset*

ListActivatedRulesInRuleGroup Concede permissão para recuperar uma matriz de objetos ActivatedRule Lista
ListByteMatchSets Concede permissão para recuperar uma matriz de objetos ByteMatchSetSummary Lista
ListGeoMatchSets Concede permissão para recuperar uma matriz de objetos GeoMatchSetSummary Lista
ListIPSets Concede permissão para recuperar uma matriz de objetos IP SetSummary Lista
ListLoggingConfigurations Concede permissão para recuperar uma matriz de objetos LoggingConfiguration Lista
ListRateBasedRules Concede permissão para recuperar uma matriz de objetos RuleSummary Lista
ListRegexMatchSets Concede permissão para recuperar uma matriz de objetos RegexMatchSetSummary Lista
ListRegexPatternSets Concede permissão para recuperar uma matriz de objetos RegexPatternSetSummary Lista
ListRuleGroups Concede permissão para recuperar uma matriz de objetos RuleGroup Lista
ListRules Concede permissão para recuperar uma matriz de objetos RuleSummary Lista
ListSizeConstraintSets Concede permissão para recuperar uma matriz de objetos SizeConstraintSetSummary Lista
ListSqlInjectionMatchSets Concede permissão para recuperar uma matriz de objetos SqlInjectionMatchSet Lista
ListSubscribedRuleGroups Concede permissão para recuperar uma matriz de RuleGroup objetos nos quais você está inscrito Lista
ListTagsForResource Concede permissão para recuperar as etiquetas de um recurso Read

ratebasedrule

rule

rulegroup

webacl

ListWebACLs Concede permissão para recuperar uma matriz de objetos WebACLSummary Lista
ListXssMatchSets Concede permissão para recuperar uma matriz de objetos XssMatchSet Lista
PutLoggingConfiguration Concede permissão para associar um a LoggingConfiguration a uma ACL da web especificada Escrever

webacl*

iam:CreateServiceLinkedRole

PutPermissionPolicy Concede permissão para anexar uma política do IAM a um grupo de regras para compartilhar o grupo de regras entre contas Permissions management

rulegroup*

TagResource Concede permissão para adicionar uma Etiqueta a um recurso Marcação

ratebasedrule

rule

rulegroup

webacl

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource Concede permissão para remover uma Etiqueta de um recurso Tags

ratebasedrule

rule

rulegroup

webacl

aws:TagKeys

UpdateByteMatchSet Concede permissão para inserir ou excluir ByteMatchTuple objetos em um ByteMatchSet Escrever

bytematchset*

UpdateGeoMatchSet Concede permissão para inserir ou excluir GeoMatchConstraint objetos em um GeoMatchSet Escrever

geomatchset*

UpdateIPSet Concede permissão para inserir ou excluir SetDescriptor objetos IP em um IPSet Escrever

ipset*

UpdateRateBasedRule Concede permissão para modificar uma regra com base em taxa Escrever

ratebasedrule*

UpdateRegexMatchSet Concede permissão para inserir ou excluir RegexMatchTuple objetos em um RegexMatchSet Escrever

regexmatchset*

UpdateRegexPatternSet Concede permissão para inserir ou excluir RegexPatternStrings em um RegexPatternSet Escrever

regexpatternset*

UpdateRule Concede permissão para modificar uma Rule Escrever

rule*

UpdateRuleGroup Concede permissão para inserir ou excluir ActivatedRule objetos em um RuleGroup Escrever

rulegroup*

UpdateSizeConstraintSet Concede permissão para inserir ou excluir SizeConstraint objetos em um SizeConstraintSet Escrever

sizeconstraintset*

UpdateSqlInjectionMatchSet Concede permissão para inserir ou excluir SqlInjectionMatchTuple objetos em um SqlInjectionMatchSet Escrever

sqlinjectionmatchset*

UpdateWebACL Concede permissão para inserir ou excluir ActivatedRule objetos em uma WebACL Gerenciamento de permissões

webacl*

UpdateXssMatchSet Concede permissão para inserir ou excluir XssMatchTuple objetos em um XssMatchSet Escrever

xssmatchset*

Tipos de recursos definidos pelo AWS WAF

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela Tipos de recursos. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição
bytematchset arn:${Partition}:waf::${Account}:bytematchset/${Id}
ipset arn:${Partition}:waf::${Account}:ipset/${Id}
ratebasedrule arn:${Partition}:waf::${Account}:ratebasedrule/${Id}

aws:ResourceTag/${TagKey}

rule arn:${Partition}:waf::${Account}:rule/${Id}

aws:ResourceTag/${TagKey}

sizeconstraintset arn:${Partition}:waf::${Account}:sizeconstraintset/${Id}
sqlinjectionmatchset arn:${Partition}:waf::${Account}:sqlinjectionset/${Id}
webacl arn:${Partition}:waf::${Account}:webacl/${Id}

aws:ResourceTag/${TagKey}

xssmatchset arn:${Partition}:waf::${Account}:xssmatchset/${Id}
regexmatchset arn:${Partition}:waf::${Account}:regexmatch/${Id}
regexpatternset arn:${Partition}:waf::${Account}:regexpatternset/${Id}
geomatchset arn:${Partition}:waf::${Account}:geomatchset/${Id}
rulegroup arn:${Partition}:waf::${Account}:rulegroup/${Id}

aws:ResourceTag/${TagKey}

Chaves de condição do AWS WAF

AWS O WAF define as seguintes chaves de condição que podem ser usadas no Condition elemento de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição Descrição Type
aws:RequestTag/${TagKey} Filtra ações com base no conjunto de valores permitidos para cada uma das etiquetas String
aws:ResourceTag/${TagKey} Filtra ações com base no etiqueta-value associado ao recurso String
aws:TagKeys Filtra ações com base na presença de etiquetas obrigatórias na solicitação ArrayOfString