AWS WAF 中的 Identity and Access Management - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS WAF 中的 Identity and Access Management

存取 AWS WAF 需要憑證。這些證書必須有許可才能訪問AWS資源,例如AWS WAF資源或 Amazon S3 儲存儲體。下列各節提供如何使用 AWS Identity and Access Management (IAM) 和 AWS WAF 的詳細資訊,以協助您安全存取資源。

身分驗證

您可以使用下列身分類型來存取 AWS:

  • AWS 帳戶 根使用者:在您首次建立 AWS 帳戶 時,您會先有單一的登入身分,可以完整存取帳戶中所有 AWS 服務 與資源。此身分稱為 AWS 帳戶 根使用者,使用建立帳戶時所使用的電子郵件地址和密碼即可登入並存取。強烈建議您不要以根使用者處理日常作業,即使是管理作業。反之,請遵循僅將根使用者用來建立您第一個 IAM 使用者的最佳實務。接著請妥善鎖定根使用者憑證,只用來執行少數的帳戶與服務管理作業。

  • IAM 使用者— 一個IAM 使用者是您的AWS 帳戶具有特定的自訂權限(例如,在AWS WAF。您可以使用 IAM 使用者名稱和密碼登入安全 AWS 網頁,例如,AWS Management ConsoleAWS 開發論壇AWS Support 中心

    除了使用者名稱和密碼之外,您也可以為每個使用者產生存取金鑰。您可以使用這些金鑰,以程式設計的方式存取 AWS 服務,無論是透過其中一個 SDK 或使用 AWS Command Line Interface (CLI)。此 SDK 和 CLI 工具使用存取金鑰,以加密方式簽署您的請求。如果您不使用 AWS 工具,便必須自行簽署請求。AWS WAF 支援簽章版本 4,此通訊協定可用來驗證送入的 API 請求。如需驗證請求的詳細資訊,請參閱《AWS 一般參考》中的簽章版本 4 簽署程序

  • IAM 角色IAM 角色是您可以在帳戶中建立的另一種 IAM 身分,具有特定的許可。IAM 角色類似於 IAM 使用者,因為同樣是 AWS 身分,也有許可政策可決定該身分在 AWS 中可執行和不可執行的操作。但是,角色的目的是讓需要它的任何人可代入,而不是單獨地與某個人員關聯。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性登入資料。使用臨時登入資料的 IAM 角色在下列情況中非常有用:

    • 聯合身分使用者存取:並非建立 IAM 使用者,而是使用來自 AWS Directory Service、您的企業使用者目錄或 Web 身分供應商現有的使用者身分。這些稱為聯合身分使用者。透過身分供應商來請求存取權限時,AWS 會指派角色給聯合身分使用者。如需聯合身分使用者的詳細資訊,請參閱《IAM 使用者指南》中的聯合身分使用者和角色

    • AWS 服務 存取:服務角色是服務擔任的 IAM 角色,可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱《IAM 使用者指南》中的建立角色以委派許可給 AWS 服務 服務

    • 在 Amazon EC2 上執行的應用程式:針對在 EC2 執行個體上執行並提出 AWS CLI 和 AWS API 請求的應用程式,您可以使用 IAM 角色來管理臨時憑證。這是在 EC2 執行個體內存放存取金鑰的較好方式。若要指派 AWS 角色給 EC2 執行個體並提供其所有應用程式使用,您可以建立連接到執行個體的執行個體設定檔。執行個體設定檔包含該角色,並且可讓 EC2 執行個體上執行的程式取得臨時憑證。如需詳細資訊,請參閱IAM 使用者指南中的利用 IAM 角色來授予許可給 Amazon EC2 執行個體上執行的應用程式

存取控制

您可以透過有效登入資料來驗證請求,但還需具備許可才能建立或存取 AWS WAF 資源。例如,您必須具有許可才能建立 AWS WAF Web ACL規則群組

以下章節說明如何管理 AWS WAF 的許可。我們建議您先閱讀概觀。