本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS-AddWAFRegionalRuleToWebAcl
Description
AWS-AddWAFRegionalRuleToWebAclrunbook 會將現有的 AWS WAF
地區規則、規則群組或速率型規則新增至 AWS WAF 傳統區域網路存取控制清單 () ACL。此 runbook 不會更新由 AWS Firewall Manager管理ACL的現有 AWS WAF 經典區域網路。
文件類型
自動化
擁有者
Amazon
平台
Linux,macOS, Windows
參數
-
AutomationAssumeRole
類型:字串
描述:(選用) 允許 Systems Manager 自動化代表您執行動作的 AWS Identity and Access Management (IAM) 角色的 Amazon 資源名稱 ()。ARN如果未指定角色,Systems Manager 自動化會使用啟動此 runbook 的使用者的權限。
-
W ebACLId
類型:字串
說明:(必要) 您要更新ACL之網站的 ID。
-
ActivatedRulePriority
類型:整數
描述:(必要) 新規則的優先順序。規則優先順序決定評估 Web 中規則ACL的順序。值較低的規則的優先順序高於具有較高值的規則。值必須是唯一的整數。如果您將多個規則新增至地區網站ACL,則值不一定是連續的。
-
ActivatedRuleRuleId
類型:字串
描述:(必要) 您要新增至 Web ACL 的一般規則、以速率為基礎的規則或群組的 ID。
-
ActivatedRuleAction
類型:字串
有效值:ALLOW| BLOCK | COUNT
描述:(選擇性) 指定當 Web AWS WAF 要求符合規則條件時所採取的動作。
-
ActivatedRuleType
類型:字串
有效值:REGULAR| RATE _ BASED | GROUP
預設值:REGULAR
說明:(選擇性) 您要新增至網路的規則類型ACL。雖然此欄位為選擇性欄位,但請注意,如果您嘗試在未設定類型的ACL情況下將
RATE_BASED規則新增至 Web,則要求會失敗,因為要求預設為REGULAR規則。
必要的IAM權限
此AutomationAssumeRole參數需要下列動作才能成功使用 runbook。
-
ssm:StartAutomationExecution -
ssm:GetAutomationExecution -
waf-regional:GetChangeToken -
waf-regional:GetWebACL -
waf-regional:UpdateWebACL
文件步驟
-
DetermineWebACLNotInFMSAndRulePriority(awsexecuteScript:)-驗證 AWS WAF Web ACL 是否在 Firewall Manager 器安全策略中,並驗證優先級 ID 與現有 ID 不衝突。ACL
-
AddRuleOrRuleGroupToWebACL(aws:executeScript)-將指定的規則添加到 AWS WAF 網絡ACL。
-
VerifyRuleOrRuleGroupAddedToWebAcl (aws:executeScript)-驗證指定的 AWS WAF 規則已添加到目標網站ACL。
輸出
-
DetermineWebACLNotInFMSAndRulePriority。 PrereqResponse:從
DetermineWebACLNotInFMSAndRulePriority步驟輸出。 -
VerifyRuleOrRuleGroupAddedToWebAcl。 VerifyRuleOrRuleGroupAddedToWebACLResponse:從
AddRuleOrRuleGroupToWebACL步驟輸出。 -
VerifyRuleOrRuleGroupAddedToWebAcl。 ListActivatedRulesOrRuleGroupsInWebACLResponse:
VerifyRuleOrRuleGroupAddedToWebAcl步驟的輸出。
