Firewall Manager 所需的許可 (API 動作) - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Firewall Manager 所需的許可 (API 動作)

當您設置存取控制並撰寫可連接至 IAM 身分 (以身分為基礎的政策) 的許可原則,請使用本節中的資訊做為指南。對於每個 AWS Firewall Manager API 操作,您需要知道要授予許可的相應動作,以及您要授予許可的 AWS 資源。您在政策的 Action 欄位中指定動作,然後在政策的 Resource 欄位中指定資源值。

注意

若要指定動作,請使用後接 API 操作名稱的 fms: 字首 (例如,fms:CreatePolicy)。

此主題僅列出需要明確資源許可的動作。

您可以在 AWS 政策中使用 AWS Firewall Manager 通用條件索引鍵來表示條件。如需全 AWS 金鑰的完整清單,請參閱《IAM 使用者指南》中的可用的條件索引鍵

若要使用下列 Firewall Manager 員 API 動作,您需要以下資源的許可:arn:aws:fms:region:account:policy/ID

此外,若要使用 Firewall Manager API 操作PutNotificationChannel,您指定的 Amazon SNS 主題必須允許與 Firewall Manager 服務鏈接的角色向其發佈消息。以下顯示 SNS 主題許可設置範例:

{ "Sid": "AWSFirewallManagerSNSPolicy", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account ID:role/aws-service-role/fms.amazonaws.com/AWSServiceRoleForFMS" }, "Action": "sns:Publish", "Resource": "SNS topic ARN" }

如需 Firewall Manager 員動作和資源的詳細資訊,請參AWS Identity and Access Management指南主題定義的動作AWS Firewall Manager

如需可用 API 動作的完整清 Firewall Manager,請參AWS Firewall ManagerAPI 參考