AWS-AddWAFRegionalRuleToWebAcl

PDF

Description

AWS-AddWAFRegionalRuleToWebAcl Runbook 會將現有的 AWS WAF 區域規則、規則群組或速率型規則新增至 AWS WAF Classic 區域 Web 存取控制清單 (ACL)。此 Runbook 不會更新由 管理的現有 AWS WAF Classic 區域 Web ACL AWS Firewall Manager。

執行此自動化 （主控台）

文件類型

 自動化

擁有者

Amazon

平台

Linux、macOS、 Windows

參數

• AutomationAssumeRole

  類型：字串

  描述：（選用） 允許 Systems Manager Automation 代表您執行動作的 (IAM) 角色的 AWS Identity and Access Management Amazon Resource Name (ARN)。如果未指定角色，Systems Manager Automation 會使用啟動此 Runbook 的使用者許可。

• WebACLId

  類型：字串

  描述：（必要） 您要更新的 Web ACL ID。

• ActivatedRulePriority

  類型：整數

  描述：（必要） 新規則的優先順序。規則優先順序會決定評估 Web ACL 中規則的順序。具有較低值的規則具有比具有較高值的規則更高的優先順序。值必須是唯一的整數。如果您將多個規則新增至區域 Web ACL，則值不必是連續的。

• ActivatedRuleRuleId

  類型：字串

  描述：（必要） 您要新增至 Web ACL 的一般規則、以速率為基礎的規則或群組的 ID。

• ActivatedRuleAction

  類型：字串

  有效值：允許 | 封鎖 | 計數

  描述：（選用） 指定 Web 請求符合規則條件時所 AWS WAF 採取的動作。

• ActivatedRuleType

  類型：字串

  有效值：REGULAR | RATE_BASED | GROUP

  預設：REGULAR

  描述：（選用） 您要新增至 Web ACL 的規則類型。雖然此欄位是選用的，但請注意，如果您嘗試在不設定類型的情況下將RATE_BASED規則新增至 Web ACL，則請求會失敗，因為請求預設為REGULAR規則。

必要的 IAM 許可

AutomationAssumeRole 參數需要下列動作才能成功使用 Runbook。

• ssm:StartAutomationExecution

• ssm:GetAutomationExecution

• waf-regional:GetChangeToken

• waf-regional:GetWebACL

• waf-regional:UpdateWebACL

文件步驟

• DetermineWebACLNotInFMSAndRulePriority (aws：executeScript) - 驗證 AWS WAF Web ACL 是否在 Firewall Manager 安全政策中，並驗證優先順序 ID 是否與現有的 ACL 衝突。

• AddRuleOrRuleGroupToWebACL (aws：executeScript) - 將指定的規則新增至 AWS WAF Web ACL。

• VerifyRuleOrRuleGroupAddedToWebAcl (aws：executeScript) - 驗證指定的 AWS WAF 規則已新增至目標 Web ACL。

輸出

• DetermineWebACLNotInFMSAndRulePriority.PrereqResponse: 步驟的輸出DetermineWebACLNotInFMSAndRulePriority。

• VerifyRuleOrRuleGroupAddedToWebAcl.VerifyRuleOrRuleGroupAddedToWebACLResponse:步驟的輸出AddRuleOrRuleGroupToWebACL。

• VerifyRuleOrRuleGroupAddedToWebAcl.ListActivatedRulesOrRuleGroupsInWebACLResponse:VerifyRuleOrRuleGroupAddedToWebAcl步驟的輸出。