AWS WAF傳統 API 許可:動作、資源和條件參考 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS WAF傳統 API 許可:動作、資源和條件參考

注意

這是AWS WAF傳統文件中)。如果您在 2019 年 11 月 AWS WAF 之前建立 AWS WAF 資源 (例如規則和 Web ACL),而且並未將其移轉至最新版本,則應該只使用此版本。若要移轉資源,請參閱 遷移您的AWS WAF傳統資源AWS WAF

如需的最新版本AWS WAF,請參閱AWS WAF

當您設定存取控制並撰寫可連接到 IAM 身分 (以身分為基礎的政策) 的許可政策,可以使用下列資料表做為參考。此表格會列出每個AWS WAF傳統 API 操作、對應的動作,您可以針對這些動作授予執行動作的許可,以及AWS資源,您可以將許可授予給這些許可。您在政策的 Action 欄位中指定動作,然後在政策的 Resource 欄位中指定資源值。

您可以使用AWS的條件金鑰AWS WAF經典的政策來表達條件。如需完整的清單AWS鍵,請參閱適用於條件的金鑰中的IAM User Guide

注意

若要指定動作,請使用後接 API 操作名稱的 waf: 字首 (例如,waf:CreateIPSet)。

使用捲軸查看表格的其餘部分。

AWS WAF傳統 API 和動作所需的許可
AWS WAF傳統 API 操作 所需的許可 (API 動作) 資源

AssociateWebACL

waf:AssociateWebACL

elasticloadbalancing:SetWebACL

apigateway:SetWebACL

AssociateWebACL:

arn:aws:waf-regional:region:account-id:bytematchset/entity-ID

SetWebACL:

arn:aws:elasticloadbalancing:region:account-id:loadbalancer/entity-ID

arn:aws:apigateway:region::/restapis/api-ID/stages/stage-name

CreateByteMatchSet

waf:CreateByteMatchSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:bytematchset/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:bytematchset/entity-ID

CreateIPSet

waf:CreateIPSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:ipset/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:ipset/entity-ID

CreateRule

waf:CreateRule

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:rule/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:rule/entity-ID

CreateRateBasedRule

waf:CreateRateBasedRule

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:rule/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:rule/entity-ID

CreateRegexMatchSet

waf:CreateRegexMatchSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:regexmatch/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:regexmatch/entity-ID

CreateRegexPatternSet

waf:CreateRegexPatternSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:regexpatternset/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:regexpatternset/entity-ID
CreateSizeConstraintSet waf:CreateSizeConstraintSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:sizeconstraintset/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:sizeconstraintset/entity-ID
CreateSqlInjectionMatchSet waf:CreateSqlInjectionMatchSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:sqlinjectionmatchset/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:sqlinjectionmatchset/entity-ID
CreateWebACL waf:CreateWebACL

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:webacl/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:webacl/entity-ID
CreateXssMatchSet waf:CreateXssMatchSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:xssmatchset/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:xssmatchset/entity-ID
DeleteByteMatchSet waf:DeleteByteMatchSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:bytematchset/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:bytematchset/entity-ID
DeleteIPSet waf:DeleteIPSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:ipset/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:ipset/entity-ID
DeleteRule waf:DeleteRule

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:rule/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:rule/entity-ID
DeleteRateBasedRule waf:DeleteRateBasedRule

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:rule/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:rule/entity-ID
DeleteRegexMatchSet waf:DeleteRegexMatchSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:regexmatch/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:regexmatch/entity-ID
DeleteRegexPatternSet waf:DeleteRegexPatternSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:regexpatternset/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:regexpatternset/entity-ID
DeleteSizeConstraintSet waf:DeleteSizeConstraintSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:sizeconstraintset/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:sizeconstraintset/entity-ID
DeleteSqlInjectionMatchSet waf:DeleteSqlInjectionMatchSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:sqlinjectionmatchset/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:sqlinjectionmatchset/entity-ID
DeleteWebACL waf:DeleteWebACL

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:webacl/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:webacl/entity-ID
DeleteXssMatchSet waf:DeleteXssMatchSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:xssmatchset/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:xssmatchset/entity-ID

DisassociateWebACL

waf:DisassociateWebACL

elasticloadbalancing:SetWebACL

apigateway:SetWebACL

DisassociateWebACL:

arn:aws:waf-regional:region:account-id:bytematchset/entity-ID

SetWebACL:

arn:aws:elasticloadbalancing:region:account-id:loadbalancer/entity-ID

arn:aws:apigateway:region::/restapis/api-ID/stages/stage-name

GetByteMatchSet waf:GetByteMatchSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:bytematchset/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:bytematchset/entity-ID
GetChangeToken waf:GetChangeToken

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:changetoken/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:changetoken/entity-ID
GetChangeTokenStatus waf:GetChangeTokenStatus

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:changetoken/token-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:changetoken/token-ID
GetIPSet waf:GetIPSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:ipset/entity-ID

區域 (若為 Application Load Balancer):

arn:aws:waf-regional:region:account-id:ipset/entity-ID
GetRule waf:GetRule

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:rule/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:rule/entity-ID
GetRateBasedRule waf:GetRateBasedRule

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:rule/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:rule/entity-ID
GetRateBasedRuleManagedKeys waf:GetRateBasedRuleManagedKeys

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:rule/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:rule/entity-ID
GetRegexMatchSet waf:GetRegexMatchSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:regexmatch/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:regexmatch/entity-ID
GetRegexPatternSet waf:GetRegexPatternSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:regexpatternset/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:regexpatternset/entity-ID
GetSampledRequests waf:GetSampledRequests 資源取決於在 API 呼叫裡指定的參數。您必須擁有存取與範本請求對應的規則或 Web ACL 對應到請求範例。例如:

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:rule/example1arn:aws:waf::account-id:webacl/example2 *

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:rule/example1arn:aws:waf-regional:region:account-id:webacl/example2 *
GetSizeConstraintSet waf:GetSizeConstraintSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:sizeconstraintset/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:sizeconstraintset/entity-ID
GetSqlInjectionMatchSet waf:GetSqlInjectionMatchSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:sqlinjectionmatchset/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:sqlinjectionmatchset/entity-ID
GetWebACL waf:GetWebACL

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:webacl/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:webacl/entity-ID
GetXssMatchSet waf:GetXssMatchSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:xssmatchset/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:xssmatchset/entity-ID
ListByteMatchSets waf:ListByteMatchSets

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:bytematchsets/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:bytematchsets/entity-ID
ListIPSets waf:ListIPSets

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:ipsets/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:ipsets/entity-ID
ListRules waf:ListRules

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:rules/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:rules/entity-ID
ListRateBasedRules waf:ListRateBasedRules

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:rules/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:rules/entity-ID
ListRegexMatchSets waf:ListRegexMatchSets

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:regexmatch/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:regexmatch/entity-ID
ListRegexPatternSets waf:ListRegexPatternSets

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:regexpatternset/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:regexpatternset/entity-ID
ListSizeConstraintSets waf:ListSizeConstraintSets

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:sizeconstaintsets/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:sizeconstaintsets/entity-ID
ListSqlInjectionMatchSets waf:ListSqlInjectionMatchSets

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:sqlinjectionmatchsets/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:sqlinjectionmatchsets/entity-ID
ListWebACLs waf:ListWebACLs

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:webacls/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:webacls/entity-ID
ListXssMatchSets waf:ListXssMatchSets

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:xssmatchsets/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:xssmatchsets/entity-ID
UpdateByteMatchSet waf:UpdateByteMatchSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:bytematchset/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:bytematchset/entity-ID
UpdateIPSet waf:UpdateIPSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:ipset/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:ipset/entity-ID

UpdateRule

waf:UpdateRule

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:rule/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:rule/entity-ID

UpdateRateBasedRule

waf:UpdateRateBasedRule

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:rule/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:rule/entity-ID

UpdateRegexMatchSet

waf:UpdateRegexMatchSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:regexmatch/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:regexmatch/entity-ID

UpdateRegexPatternSet

waf:UpdateRegexPatternSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:regexpatternset/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:regexpatternset/entity-ID

UpdateSizeConstraintSet

waf:UpdateSizeConstraintSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:sizeconstraintset/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:sizeconstraintset/entity-ID

UpdateSqlInjectionMatchSet

waf:UpdateSqlInjectionMatchSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:sqlinjectionmatchset/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:sqlinjectionmatchset/entity-ID

UpdateWebACL

waf:UpdateWebACL

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:webacl/entity-ID

arn:aws:waf::account-id:rule/rule-id-to-add-to-webacl

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:webacl/entity-ID

arn:aws:waf-regional:region:account-id:rule/rule-id-to-add-to-webacl

UpdateXssMatchSet

waf:UpdateXssMatchSet

全球 (適用於 Amazon CloudFront):

arn:aws:waf::account-id:xssmatchset/entity-ID

區域 (Application Load Balancer):

arn:aws:waf-regional:region:account-id:xssmatchset/entity-ID