本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Network Firewall 的動作、資源和條件索引鍵
AWS 網路防火牆 (服務字首:network-firewall) 提供下列服務特定的資源、動作和條件內容索引鍵,可用於IAM許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視API此服務可用的操作清單 。
-
了解如何使用IAM許可政策來保護此服務及其資源。
AWS Network Firewall 定義的動作
您可以在IAM政策陳述式的 Action元素中指定下列動作。使用政策來授予在 AWS中執行操作的許可。當您在政策中使用動作時,通常會允許或拒絕對相同名稱API的操作或CLI命令的存取。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作ARN的陳述式中指定該類型的 。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您在IAM政策中使用 Resource元素限制資源存取,則必須為每個所需資源類型包含 ARN或 模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AssociateFirewallPolicy | 准許在防火牆政策與防火牆之間建立關聯 | 寫入 | |||
| AssociateSubnets | 准許將VPC子網路與防火牆建立關聯 | 寫入 | |||
| CreateFirewall | 准許建立 AWS Network Firewall 防火牆 | 寫入 |
iam:CreateServiceLinkedRole |
||
| CreateFirewallPolicy | 准許建立 AWS Network Firewall 防火牆政策 | 寫入 | |||
| CreateRuleGroup | 准許建立 AWS Network Firewall 規則群組 | 寫入 | |||
| CreateTLSInspectionConfiguration | 准許建立 AWS Network Firewall tls 檢查組態 | 寫入 |
iam:CreateServiceLinkedRole |
||
| DeleteFirewall | 准許刪除防火牆 | 寫入 | |||
| DeleteFirewallPolicy | 准許刪除防火牆政策 | 寫入 | |||
| DeleteResourcePolicy | 准許刪除防火牆政策或規則群組的資源政策 | 寫入 | |||
| DeleteRuleGroup | 准許刪除規則群組 | 寫入 | |||
| DeleteTLSInspectionConfiguration | 准許刪除 TLS 檢查組態 | 寫入 | |||
| DescribeFirewall | 准許擷取定義防火牆的資料物件 | 讀取 | |||
| DescribeFirewallPolicy | 准許擷取定義防火牆政策的資料物件 | 讀取 | |||
| DescribeLoggingConfiguration | 准許描述防火牆的日誌記錄組態 | 讀取 |
logs:GetLogDelivery logs:ListLogDeliveries |
||
| DescribeResourcePolicy | 准許描述防火牆政策或規則群組的資源政策 | 讀取 | |||
| DescribeRuleGroup | 准許擷取定義規則群組的資料物件 | 讀取 | |||
| DescribeRuleGroupMetadata | 准許擷取規則群組的高階資訊 | 讀取 | |||
| DescribeTLSInspectionConfiguration | 准許擷取定義 TLS 檢查組態的資料物件 | 讀取 | |||
| DisassociateSubnets | 准許取消VPC子網路與防火牆的關聯 | 寫入 | |||
| ListFirewallPolicies | 准許擷取防火牆政策的中繼資料 | 列出 | |||
| ListFirewalls | 准許擷取防火牆的中繼資料 | 列出 | |||
| ListRuleGroups | 准許擷取規則群組的中繼資料 | 清單 | |||
| ListTLSInspectionConfigurations | 准許擷取 TLS 檢查組態的中繼資料 | 清單 | |||
| ListTagsForResource | 准許擷取資源標籤 | 列出 | |||
| PutResourcePolicy | 准許放置防火牆政策或規則群組的資源政策 | 寫入 | |||
| TagResource | 准許將標籤連接至資源。 | 標記 | |||
| UntagResource | 授予許可來從資源中移除標籤 | 標記 | |||
| UpdateFirewallDeleteProtection | 准許新增或移除防火牆的刪除保護 | 寫入 | |||
| UpdateFirewallDescription | 准許修改防火牆的描述 | 寫入 | |||
| UpdateFirewallEncryptionConfiguration | 准許修改防火牆的加密組態 | 寫入 | |||
| UpdateFirewallPolicy | 准許修改防火牆政策 | 寫入 | |||
| UpdateFirewallPolicyChangeProtection | 准許新增或移除防火牆的防火牆政策變更保護 | 寫入 | |||
| UpdateLoggingConfiguration | 准許修改防火牆的日誌記錄組態 | 寫入 | |||
| UpdateRuleGroup | 准許修改規則群組 | 寫入 | |||
| UpdateSubnetChangeProtection | 准許新增或移除防火牆的子網路變更保護 | 寫入 | |||
| UpdateTLSInspectionConfiguration | 准許修改 TLS 檢查組態 | 寫入 |
AWS Network Firewall 定義的資源類型
下列資源類型由此服務定義,可用於IAM許可政策陳述式的 Resource元素。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| Firewall |
arn:${Partition}:network-firewall:${Region}:${Account}:firewall/${Name}
|
|
| FirewallPolicy |
arn:${Partition}:network-firewall:${Region}:${Account}:firewall-policy/${Name}
|
|
| StatefulRuleGroup |
arn:${Partition}:network-firewall:${Region}:${Account}:stateful-rulegroup/${Name}
|
|
| StatelessRuleGroup |
arn:${Partition}:network-firewall:${Region}:${Account}:stateless-rulegroup/${Name}
|
|
| TLSInspectionConfiguration |
arn:${Partition}:network-firewall:${Region}:${Account}:tls-configuration/${Name}
|
AWS Network Firewall 的條件索引鍵
AWS Network Firewall 定義下列條件索引鍵,可用於IAM政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有服務都可使用的全域條件鍵,請參閱可用全域條件鍵。
| 條件索引鍵 | 描述 | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | 依每個標籤的允許值集來篩選存取權 | 字串 |
| aws:ResourceTag/${TagKey} | 依與資源相關聯的標籤值篩選存取權 | 字串 |
| aws:TagKeys | 依請求中是否存在強制性標籤來篩選存取 | ArrayOfString |
