Firewall Manager 所需的許可 (API 動作) - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Firewall Manager 所需的許可 (API 動作)

當您設定存取控制並撰寫可連接至 IAM 身分 (以身分為基礎的政策) 的許可政策,請使用本節中的資訊做為指南。對於每個 AWS Firewall Manager API 操作,您需要知道要授予許可的相應動作,以及您要授予許可的 AWS 資源。您在政策的 Action 欄位中指定動作,然後在政策的 Resource 欄位中指定資源值。

注意

若要指定動作,請使用後接 API 操作名稱的 fms: 字首 (例如,fms:CreatePolicy)。

此主題僅列出需要明確資源許可的動作。

您可以在 AWS Firewall Manager 政策中使用 AWS 通用條件金鑰來表示條件。如需全 AWS 金鑰的完整清單,請參閱 IAM 使用者指南中的可用的條件金鑰

若要使用下列 Firewall Manager API 動作,您需要以下資源的許可:arn:aws:fms:region:account:policy/ID

此外,若要使用 Firewall Manager API 動作PutNotificationChannel,您指定的 Amazon SNS 主題必須允許 Firewall Manager 服務連結角色發佈訊息至該主題。以下顯示 SNS 主題許可設定範例:

{ "Sid": "AWSFirewallManagerSNSPolicy", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account ID:role/aws-service-role/fms.amazonaws.com/AWSServiceRoleForFMS" }, "Action": "sns:Publish", "Resource": "SNS topic ARN" }

如需 Firewall Manager 動作和資源的詳細資訊,請參閱AWS Identity and Access Management指南主題定義的動作AWS Firewall Manager

如需 Firewall Manager 可用 API 動作的完整清單,請參閱AWS Firewall ManagerAPI 參考