管理您的存取許可概觀AWS WAF傳統資源 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理您的存取許可概觀AWS WAF傳統資源

注意

這是AWS WAF傳統文件中)。如果您在 2019 年 11 月 AWS WAF 之前建立 AWS WAF 資源 (例如規則和 Web ACL),而且並未將其移轉至最新版本,則應該只使用此版本。若要移轉資源,請參閱 遷移您的AWS WAF傳統資源AWS WAF

如需的最新版本AWS WAF,請參閱AWS WAF

EVERAWS資源是由AWS 帳戶,而建立或存取資源的許可則由許可政策管理。帳戶管理員可以將許可政策連接到 IAM 身分 (即使用者、群組和角色)。某些服務還支援將許可政策附加至資源。

注意

帳戶管理員 (或管理員使用者) 是具有管理員權限的使用者。如需詳細資訊,請參閱 IAM 最佳實務 (在 IAM 使用者指南 中)。

當您授予許可時,能夠決定取得許可的對象、這些對象取得的資源許可,以及可對上述資源進行的特定操作。

Topics

AWS WAF典型資源和操作

InAWS WAF經典,資源是Web ACL規則。AWS WAF經典還支持條件,如位元組比對IP 比對,以及大小約束

這些資源和條件都有獨一無二的 Amazon Resource Name (ARN) 與其相關聯,如下表所示。

AWS WAF 主控台中的名稱 AWS WAF SDK/CLI 中的名稱 ARN 格式
Web ACL WebACL

arn:aws:waf::account:webacl/ID

規則 Rule

arn:aws:waf::account:rule/ID

字串比對條件 ByteMatchSet

arn:aws:waf::account:bytematchset/ID

SQL injection 符合條件 SqlInjectionMatchSet arn:aws:waf::account:sqlinjectionset/ID
容量限制條件 SizeConstraintSet arn:aws:waf::account:sizeconstraintset/ID
IP 符合條件 IPSet arn:aws:waf::account:ipset/ID
跨網站指令碼比對條件 XssMatchSet arn:aws:waf::account:xssmatchset/ID

若要允許或拒絕存取AWS WAF傳統資源,包括資源 ARN 在resource您原則的元素。適用於的 ARNAWS WAF典型的格式如下:

arn:aws:waf::account:resource/ID

帳戶資源ID 變數取代為有效值。有效值如下:

  • account:您的 IDAWS 帳戶。您必須指定一個數值。

  • 資源:的類型AWS WAF傳統資源。

  • ID:的 IDAWS WAF傳統資源或萬用字元 (*),以指示所有與指定之相關聯的資源指定的類型。AWS 帳戶。

例如,以下 ARN 為帳戶 111122223333 指定所有的 Web ACL:

arn:aws:waf::111122223333:webacl/*

如需詳細資訊,請參閱「」資源中的IAM User Guide

AWS WAF經典提供了一組操作,供您使用AWS WAF傳統資源。如需可用操作的清單,請參閱動作

了解資源所有權

A資源擁有者是AWS 帳戶建立資源。也就是說,資源擁有者是AWS 帳戶的主要實體(根帳戶、IAM 使用者或 IAM 角色),以驗證建立資源請求的身分。下列範例說明其如何運作:

  • 如果您使用您的AWS 帳戶以建立AWS WAF傳統資源,您的AWS 帳戶是資源的擁有者。

  • 如果您在您的AWS 帳戶,並授予建立AWS WAF傳統資源給該使用者,使用者可以建立AWS WAF傳統資源。不過,您的帳戶 (即該使用者所屬帳戶) 擁有AWS WAF傳統資源。

  • 如果您在AWS 帳戶的許可建立AWS WAF傳統資源,任何能擔任該角色的人都可以建立AWS WAF傳統資源。您的帳戶 (即該角色所屬帳戶) 擁有此AWS WAF傳統資源。

管理資源存取

許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。

注意

這些小節討論如何在AWS WAFClassic (傳統)。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱什麼是 IAM?中的IAM User Guide。如需 IAM 政策語法和說明的詳細資訊,請參閱AWSIAM 政策參考中的IAM User Guide

連接至 IAM 身分的政策稱為以身分為基礎的政策和連接到資源的政策稱為以資源為基礎的政策。AWS WAF典型僅支援以身分為基礎的政策。

Topics

身分類型政策 (IAM 政策)

您可以將政策連接到 IAM 身分。例如,您可以執行下列操作:

  • 將許可政策連接至您帳戶中的使用者或群組-帳戶管理員可以使用與特定使用者相關聯的許可政策,授予該使用者建立AWS WAF傳統資源。

  • 將許可政策連接至角色 (授予跨帳戶許可)-您可以將以身分為基礎的許可政策連接至 IAM 角色,以授予跨帳戶許可。例如,帳戶 A 管理員可以建立角色,將跨帳戶許可授予另一個AWS 帳戶(例如,帳戶 B) 或AWS服務,如下所示:

    1. 帳戶 A 管理員建立 IAM 角色,並將許可政策連接到可授與帳戶 A 中資源許可的角色。

    2. 帳戶 A 管理員將信任政策連接至該角色,識別帳戶 B 做為可擔任該角的委託人。

    3. 帳戶 B 管理員即可將擔任該角色的許可,委派給帳戶 B 中的任何使用者。這麼做可讓帳戶 B 的使用者建立或存取帳戶 A 的資源。如果您想要將擔任該角色的許可授予 AWS 服務,則信任政策中的委託人也可以是 AWS 服務委託人。

    如需使用 IAM 來委派許可的詳細資訊,請參閱存取管理中的IAM User Guide

以下為一個範例政策,該政策授與對所有資源進行 waf:ListRules 動作的許可。在目前的實作中,AWS WAF經典不支援使用資源 ARN (也稱為資源層級許可) 來識別特定資源,所以您必須指定萬用字元 (*):

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListRules", "Effect": "Allow", "Action": [ "waf:ListRules" ], "Resource": "*" } ] }

如需將以身分為基礎的政策搭配使用的詳細資訊AWS WAF傳統,請參閱將以身分為基礎的政策 (IAM 政策) 用於AWS WAF傳統。如需使用者、群組、角色和許可的詳細資訊,請參閱 IAM 使用者指南中的身分 (使用者、群組和角色)

以資源為基礎的政策

其他服務 (例如 Amazon S3) 也支援以資源為基礎的許可政策。例如,您可以附加政策到 S3 儲存貯體,以管理存取許可到該儲存貯體。AWS WAF 不支援以資源為基礎的政策。

根據的授權AWS WAF傳統標籤

您可以將標籤連接至AWS WAF傳統資源或將請求中的標籤傳遞給AWS WAFClassic (傳統)。若要根據標籤控制存取,則在政策的條件元素中提供標籤資訊。如需標記資源的詳細資訊,請參閱使用標籤編輯器

指定原則元素:動作、效果、資源和主參與者

對每個AWS WAF傳統資源 (請參閱AWS WAF典型資源和操作) 時,該服務會定義一組 API 操作 (請參閱AWS WAF傳統 API 許可:動作、資源和條件參考。若要授與這些 API 作業的權限,AWS WAF典型會定義一組可讓您在政策中指定的動作。請注意,執行 API 操作可能需要多個動作的許可。在授與特定動作的許可時,您也可以標識允許或拒絕對其執行動作的資源。

以下是最基本的政策元素:

  • 資源 – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。如需更多詳細資訊,請參閱 AWS WAF典型資源和操作

  • 動作 - 您使用動作關鍵字識別您要允許或拒絕的資源操作。例如,waf:CreateRule許可允許使用者執行AWS WAF傳統CreateRuleoperation.

  • 效果— 您可以指定使用者請求特定動作的效果。可以為允許或拒絕。如果您未明確授予存取允許,則隱含地拒絕存取。您可以也明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。

  • Principal— 在以身分為基礎的政策 (IAM 政策) 中,政策連接到的使用者就是隱含委託人。AWS WAF不支援資源型政策。

若要進一步了解 IAM 政策語法和說明,請參閱AWSIAM 政策參考中的IAM User Guide

對於顯示所有AWS WAF傳統 API 動作和套用它們的資源,請參閱AWS WAF傳統 API 許可:動作、資源和條件參考

在政策中指定條件

當您授與許可時,您可以使用 IAM 政策語言指定政策生效時間的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱 IAM 使用者指南中的條件

欲表示條件,您可以使用預先定義的條件金鑰。沒有特定的條件鍵AWS WAFClassic (傳統)。不過,有一般AWS條件索引鍵,您可以視需要使用。如需完整的清單AWS鍵,請參閱條件的可用索引鍵中的IAM User Guide