Presentamos una nueva experiencia de consola para AWS WAF
Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte Trabajar con la consola.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo AWS WAF funciona con IAM
En esta sección se explica cómo utilizar las funciones de IAM con. AWS WAF
Antes de utilizar IAM para gestionar el acceso AWS WAF, infórmese sobre las funciones de IAM disponibles para su uso. AWS WAF
| Característica de IAM | AWS WAF soporte |
|---|---|
|
Sí |
|
|
Sí |
|
|
Sí |
|
|
Sí |
|
|
Sí |
|
|
No |
|
|
Parcial |
|
|
Sí |
|
|
Sí |
|
|
Sí |
|
|
Sí |
Para obtener una visión general de cómo AWS WAF funcionan otros AWS servicios con la mayoría de las funciones de IAM, consulte AWS los servicios que funcionan con IAM en la Guía del usuario de IAM.
Políticas basadas en la identidad para AWS WAF
Compatibilidad con las políticas basadas en identidad: sí
Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte Definición de permisos de IAM personalizados con políticas administradas por el cliente en la Guía del usuario de IAM.
Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte Referencia de los elementos de la política de JSON de IAM en la Guía del usuario de IAM.
Para ver ejemplos de políticas AWS WAF basadas en la identidad, consulte. Ejemplos de políticas basadas en la identidad para AWS WAF
Políticas basadas en recursos incluidas AWS WAF
Compatibilidad con las políticas basadas en recursos: sí
Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las políticas de confianza de roles de IAM y las políticas de bucket de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe especificar una entidad principal en una política basada en recursos. Los principales pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS
Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte Acceso a recursos entre cuentas en IAM en la Guía del usuario de IAM.
AWS WAF utiliza políticas basadas en recursos para permitir el uso compartido de grupos de reglas entre cuentas. Para compartir un grupo de reglas de su propiedad con otra AWS cuenta, debe proporcionar la configuración de políticas basada en recursos a la llamada a la AWS WAF API PutPermissionPolicy o a una llamada de CLI o SDK equivalente. Para obtener información adicional, incluidos ejemplos y enlaces a la documentación de los demás idiomas disponibles, consulta la referencia de PutPermissionPolicyla AWS WAF API. Esta funcionalidad no está disponible a través de otros medios, como la consola o. CloudFormation
Acciones políticas para AWS WAF
Compatibilidad con las acciones de políticas: sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.
El elemento Action de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.
Para ver una lista de AWS WAF acciones y permisos para cada una de ellas, consulta las acciones definidas por la AWS WAF versión 2 en la Referencia de autorización de servicios.
Las acciones políticas AWS WAF utilizan el siguiente prefijo antes de la acción:
wafv2
Para especificar varias acciones en una única instrucción, sepárelas con comas.
"Action": [ "wafv2:action1", "wafv2:action2" ]
Puede utilizar caracteres comodín (*) para especificar varias acciones . Por ejemplo, para especificar todas las acciones AWS WAF que comiencen porList, incluya la siguiente acción:
"Action": "wafv2:List*"
Para ver ejemplos de políticas AWS WAF basadas en la identidad, consulte. Ejemplos de políticas basadas en la identidad para AWS WAF
Acciones que requieren configuraciones de permisos adicionales
Algunas acciones requieren permisos que no se pueden describir completamente en las acciones definidas por la AWS WAF versión 2 de la Referencia de autorización de servicios. En esta sección, se proporciona información adicional sobre los permisos.
Temas
Permisos para AssociateWebACL
En esta sección, se enumeran los permisos necesarios para asociar un paquete de protección (ACL web) a un recurso mediante la acción AssociateWebACL de AWS WAF .
Para CloudFront las distribuciones de Amazon, usa la acción en lugar de esta CloudFront acciónUpdateDistribution. Para obtener más información, consulta UpdateDistributionla referencia de la CloudFront API de Amazon.
API de REST de Amazon API Gateway
Requiere permiso para llamar a API Gateway SetWebACL en el tipo de recurso de API REST y para llamar AWS WAF AssociateWebACL a un paquete de protección (ACL web).
{ "Sid": "AssociateWebACL1", "Effect": "Allow", "Action": [ "wafv2:AssociateWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "AssociateWebACL2", "Effect": "Allow", "Action": [ "apigateway:SetWebACL" ], "Resource": [ "arn:aws:apigateway:*::/restapis/*/stages/*" ] }
Equilibrador de carga de aplicación
Requiere permiso para realizar una elasticloadbalancing:SetWebACL acción en el tipo de recurso Application Load Balancer y para llamar AWS WAF
AssociateWebACL a un paquete de protección (ACL web).
{ "Sid": "AssociateWebACL1", "Effect": "Allow", "Action": [ "wafv2:AssociateWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "AssociateWebACL2", "Effect": "Allow", "Action": [ "elasticloadbalancing:SetWebACL" ], "Resource": [ "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*" ] }
AWS AppSync API GraphQL
Requiere permiso para llamar al tipo AWS AppSync SetWebACL de recurso de la API GraphQL y a un paquete AWS WAF AssociateWebACL de protección (ACL web).
{ "Sid": "AssociateWebACL1", "Effect": "Allow", "Action": [ "wafv2:AssociateWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "AssociateWebACL2", "Effect": "Allow", "Action": [ "appsync:SetWebACL" ], "Resource": [ "arn:aws:appsync:*:account-id:apis/*" ] }
Grupo de usuarios de Amazon Cognito
Requiere permiso para ejecutar la AssociateWebACL acción de Amazon Cognito en el tipo de recurso del grupo de usuarios y para AWS WAF AssociateWebACL invocar un paquete de protección (ACL web).
{ "Sid": "AssociateWebACL1", "Effect": "Allow", "Action": [ "wafv2:AssociateWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "AssociateWebACL2", "Effect": "Allow", "Action": [ "cognito-idp:AssociateWebACL" ], "Resource": [ "arn:aws:cognito-idp:*:account-id:userpool/*" ] }
AWS App Runner servicio
Requiere permiso para llamar a la AssociateWebACL acción de App Runner en el tipo de recurso de servicio de App Runner y para llamar AWS WAF AssociateWebACL a una ACL web.
{ "Sid": "AssociateWebACL1", "Effect": "Allow", "Action": [ "wafv2:AssociateWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "AssociateWebACL2", "Effect": "Allow", "Action": [ "apprunner:AssociateWebAcl" ], "Resource": [ "arn:aws:apprunner:*:account-id:service/*/*" ] }
AWS Instancia de acceso verificado
Requiere permiso para ejecutar la ec2:AssociateVerifiedAccessInstanceWebAcl acción en el tipo de recurso de la instancia de acceso verificado y para llamar AWS WAF AssociateWebACL a una ACL web.
{ "Sid": "AssociateWebACL1", "Effect": "Allow", "Action": [ "wafv2:AssociateWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "AssociateWebACL2", "Effect": "Allow", "Action": [ "ec2:AssociateVerifiedAccessInstanceWebAcl" ], "Resource": [ "arn:aws:ec2:*:account-id:verified-access-instance/*" ] }
Permisos para DisassociateWebACL
En esta sección, se enumeran los permisos necesarios para desasociar un paquete de protección (ACL web) de un recurso mediante la acción DisassociateWebACL de AWS WAF .
Para CloudFront las distribuciones de Amazon, en lugar de esta acción, usa la CloudFront acción UpdateDistribution con un ID de paquete de protección (ACL web) vacío. Para obtener más información, consulta UpdateDistributionla referencia de la CloudFront API de Amazon.
API de REST de Amazon API Gateway
Requiere permiso para llamar a API Gateway SetWebACL en el tipo de recurso de API de REST. No requiere permiso para llamar AWS WAF DisassociateWebACL.
{ "Sid": "DisassociateWebACL", "Effect": "Allow", "Action": [ "apigateway:SetWebACL" ], "Resource": [ "arn:aws:apigateway:*::/restapis/*/stages/*" ] }
Equilibrador de carga de aplicación
Requiere permiso para llamar a la acción elasticloadbalancing:SetWebACL en el tipo de recurso equilibrador de carga de aplicación. No requiere permiso para llamar AWS WAF DisassociateWebACL.
{ "Sid": "DisassociateWebACL", "Effect": "Allow", "Action": [ "elasticloadbalancing:SetWebACL" ], "Resource": [ "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*" ] }
AWS AppSync API GraphQL
Requiere permiso para invocar el AWS AppSync SetWebACL tipo de recurso de la API GraphQL. No requiere permiso para llamar AWS WAF DisassociateWebACL.
{ "Sid": "DisassociateWebACL", "Effect": "Allow", "Action": [ "appsync:SetWebACL" ], "Resource": [ "arn:aws:appsync:*:account-id:apis/*" ] }
Grupo de usuarios de Amazon Cognito
Requiere permiso para ejecutar la DisassociateWebACL acción de Amazon Cognito en el tipo de recurso del grupo de usuarios y para realizar la llamada. AWS WAF DisassociateWebACL
{ "Sid": "DisassociateWebACL1", "Effect": "Allow", "Action": "wafv2:DisassociateWebACL", "Resource": "*" }, { "Sid": "DisassociateWebACL2", "Effect": "Allow", "Action": [ "cognito-idp:DisassociateWebACL" ], "Resource": [ "arn:aws:cognito-idp:*:account-id:userpool/*" ] }
AWS App Runner servicio
Requiere permiso para ejecutar la DisassociateWebACL acción de App Runner en el tipo de recurso de servicio de App Runner y realizar la llamada AWS WAF DisassociateWebACL.
{ "Sid": "DisassociateWebACL1", "Effect": "Allow", "Action": "wafv2:DisassociateWebACL", "Resource": "*" }, { "Sid": "DisassociateWebACL2", "Effect": "Allow", "Action": [ "apprunner:DisassociateWebAcl" ], "Resource": [ "arn:aws:apprunner:*:account-id:service/*/*" ] }
AWS Instancia de acceso verificado
Requiere permiso para ejecutar la ec2:DisassociateVerifiedAccessInstanceWebAcl acción en el tipo de recurso de la instancia de Verified Access y para realizar la llamada AWS WAF DisassociateWebACL.
{ "Sid": "DisassociateWebACL1", "Effect": "Allow", "Action": "wafv2:DisassociateWebACL", "Resource": "*" }, { "Sid": "DisassociateWebACL2", "Effect": "Allow", "Action": [ "ec2:DisassociateVerifiedAccessInstanceWebAcl" ], "Resource": [ "arn:aws:ec2:*:account-id:verified-access-instance/*" ] }
Permisos para GetWebACLForResource
En esta sección, se enumeran los permisos necesarios para obtener el paquete de protección (ACL web) para un recurso protegido mediante la acción GetWebACLForResource de AWS WAF .
Para CloudFront las distribuciones de Amazon, usa la acción en lugar de esta CloudFront acciónGetDistributionConfig. Para obtener más información, consulta GetDistributionConfigla referencia de la CloudFront API de Amazon.
nota
GetWebACLForResource requiere el permiso para llamar a GetWebACL. En este contexto, se AWS WAF utiliza GetWebACL únicamente para comprobar que su cuenta tiene el permiso que necesita para acceder al paquete de protección (ACL web) que GetWebACLForResource aparece. Cuando llamesGetWebACLForResource, es posible que aparezca un error que indique que tu cuenta no está autorizada a wafv2:GetWebACL utilizar el recurso. AWS WAF no añade este tipo de error al historial de AWS CloudTrail eventos.
API REST, Application Load Balancer y AWS AppSync GraphQL de Amazon API Gateway
Se requiere permiso para llamar AWS WAF GetWebACLForResource y GetWebACL para obtener un paquete de protección (ACL web).
{ "Sid": "GetWebACLForResource", "Effect": "Allow", "Action": [ "wafv2:GetWebACLForResource", "wafv2:GetWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }
Grupo de usuarios de Amazon Cognito
Requiere permiso para llamar a la GetWebACLForResource acción de Amazon Cognito en el tipo de recurso del grupo de usuarios y para llamar AWS WAF GetWebACLForResource a y. GetWebACL
{ "Sid": "GetWebACLForResource1", "Effect": "Allow", "Action": [ "wafv2:GetWebACLForResource", "wafv2:GetWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "GetWebACLForResource2", "Effect": "Allow", "Action": [ "cognito-idp:GetWebACLForResource" ], "Resource": [ "arn:aws:cognito-idp:*:account-id:userpool/*" ] }
AWS App Runner servicio
Requiere permiso para llamar a la DescribeWebAclForService acción de App Runner en el tipo de recurso de servicio de App Runner y para llamar a AWS WAF
GetWebACLForResource yGetWebACL.
{ "Sid": "GetWebACLForResource1", "Effect": "Allow", "Action": [ "wafv2:GetWebACLForResource", "wafv2:GetWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "GetWebACLForResource2", "Effect": "Allow", "Action": [ "apprunner:DescribeWebAclForService" ], "Resource": [ "arn:aws:apprunner:*:account-id:service/*/*" ] }
AWS Instancia de acceso verificado
Requiere permiso para ejecutar la ec2:GetVerifiedAccessInstanceWebAcl acción en el tipo de recurso de la instancia de acceso verificado y para llamar a AWS WAF GetWebACLForResource yGetWebACL.
{ "Sid": "GetWebACLForResource1", "Effect": "Allow", "Action": [ "wafv2:GetWebACLForResource", "wafv2:GetWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "GetWebACLForResource2", "Effect": "Allow", "Action": [ "ec2:GetVerifiedAccessInstanceWebAcl" ], "Resource": [ "arn:aws:ec2:*:account-id:verified-access-instance/*" ] }
Permisos para ListResourcesForWebACL
En esta sección, se enumeran los permisos necesarios para recuperar la lista de recursos protegidos para un paquete de protección (ACL web) mediante la acción ListResourcesForWebACL de AWS WAF .
Para CloudFront las distribuciones de Amazon, usa la acción en lugar de esta CloudFront acciónListDistributionsByWebACLId. Para obtener más información, consulta ListDistributionsByWebACLIdla referencia de la CloudFront API de Amazon.
API REST, Application Load Balancer y AWS AppSync GraphQL de Amazon API Gateway
Se requiere permiso AWS WAF ListResourcesForWebACL para solicitar una ACL web.
{ "Sid": "ListResourcesForWebACL", "Effect": "Allow", "Action": [ "wafv2:ListResourcesForWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }
Grupo de usuarios de Amazon Cognito
Requiere permiso para llamar a la acción ListResourcesForWebACL de Amazon Cognito en el tipo de recurso de grupo de usuarios y para llamar a ListResourcesForWebACL de AWS WAF
.
{ "Sid": "ListResourcesForWebACL1", "Effect": "Allow", "Action": [ "wafv2:ListResourcesForWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "ListResourcesForWebACL2", "Effect": "Allow", "Action": [ "cognito-idp:ListResourcesForWebACL" ], "Resource": [ "arn:aws:cognito-idp:*:account-id:userpool/*" ] }
AWS App Runner servicio
Requiere permiso para ejecutar la ListAssociatedServicesForWebAcl acción de App Runner en el tipo de recurso de servicio de App Runner y realizar la llamada AWS WAF ListResourcesForWebACL.
{ "Sid": "ListResourcesForWebACL1", "Effect": "Allow", "Action": [ "wafv2:ListResourcesForWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "ListResourcesForWebACL2", "Effect": "Allow", "Action": [ "apprunner:ListAssociatedServicesForWebAcl" ], "Resource": [ "arn:aws:apprunner:*:account-id:service/*/*" ] }
AWS Instancia de acceso verificado
Requiere permiso para llamar a la acción ec2:DescribeVerifiedAccessInstanceWebAclAssociations en el tipo de recurso de instancia de acceso verificado y llamar a ListResourcesForWebACL de AWS WAF
.
{ "Sid": "ListResourcesForWebACL1", "Effect": "Allow", "Action": [ "wafv2:ListResourcesForWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "ListResourcesForWebACL2", "Effect": "Allow", "Action": [ "ec2:DescribeVerifiedAccessInstanceWebAclAssociations" ], "Resource": [ "arn:aws:ec2:*:account-id:verified-access-instance/*" ] }
Recursos de políticas para AWS WAF
Compatibilidad con los recursos de políticas: sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.
El elemento Resource de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el Nombre de recurso de Amazon (ARN). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (*) para indicar que la instrucción se aplica a todos los recursos.
"Resource": "*"
Para ver la lista de tipos de AWS WAF recursos y sus tipos ARNs, consulte los recursos definidos por la AWS WAF versión 2 en la Referencia de autorización de servicios. Para saber con qué acciones puede especificar el ARN de cada recurso, consulte Acciones definidas por AWS WAF V2. Para permitir o denegar el acceso a un subconjunto de AWS WAF recursos, incluya el ARN del recurso en el elemento de resource la política.
Los ARNs AWS WAF wafv2 recursos tienen el siguiente formato:
arn:partition:wafv2:region:account-id:scope/resource-type/resource-name/resource-id
Para obtener información general sobre las especificaciones del ARN, consulte Amazon Resource Names (ARNs) en el. Referencia general de Amazon Web Services
A continuación se enumeran los requisitos específicos ARNs de los wafv2 recursos:
-
region: En el caso de AWS WAF los recursos que utilizas para proteger CloudFront las distribuciones de Amazon, establézcalo en.us-east-1De lo contrario, establézcalo en la región que esté utilizando con sus recursos regionales protegidos. -
scope: establece el alcanceglobalpara usarlo con una CloudFront distribución de Amazon oregionalpara usarlo con cualquiera de los recursos regionales AWS WAF compatibles. Los recursos regionales son una API REST de Amazon API Gateway, un Application Load Balancer, una API de AWS AppSync GraphQL, un grupo de usuarios de Amazon Cognito, un AWS App Runner servicio y una instancia de Verified Access. AWS -
resource-type: especifique uno de los siguientes valores:webacl,,rulegroupipset,regexpatternseto.managedruleset -
resource-name: especifique el nombre que asignó al AWS WAF recurso o especifique un comodín (*) para indicar todos los recursos que cumplen las demás especificaciones del ARN. Debe especificar el nombre y el identificador del recurso, o especificar un comodín para ambos. -
resource-id: especifique el ID del AWS WAF recurso o especifique un comodín (*) para indicar todos los recursos que cumplen las demás especificaciones del ARN. Debe especificar el nombre y el identificador del recurso, o especificar un comodín para ambos.
Por ejemplo, el siguiente ARN especifica todos los paquetes de protección (web ACLs) con alcance regional para la cuenta 111122223333 en Región: us-west-1
arn:aws:wafv2:us-west-1:111122223333:regional/webacl/*/*
El siguiente ARN especifica el grupo de reglas denominado MyIPManagementRuleGroup con un alcance global para la cuenta 111122223333 en la región us-east-1:
arn:aws:wafv2:us-east-1:111122223333:global/rulegroup/MyIPManagementRuleGroup/1111aaaa-bbbb-cccc-dddd-example-id
Para ver ejemplos de políticas AWS WAF basadas en la identidad, consulte. Ejemplos de políticas basadas en la identidad para AWS WAF
Claves de condición de la política para AWS WAF
Compatibilidad con claves de condición de políticas específicas del servicio: sí
Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué entidad principal puede realizar acciones en qué recursos y en qué condiciones.
El elemento Condition especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan operadores de condición, tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de contexto de condición AWS globales en la Guía del usuario de IAM.
Además, AWS WAF admite las siguientes claves de condición que puede utilizar para proporcionar un filtrado detallado a sus políticas de IAM:
-
wafv2: LogDestinationResource
Esta clave de condición usa una especificación de nombre de recurso de Amazon (ARN) para el destino del registro. Este es el ARN que proporciona para el destino del registro cuando utiliza la llamada
PutLoggingConfigurationa la API de REST.Puede especificar un ARN de forma explícita, así como también el filtrado del ARN. El siguiente ejemplo especifica el filtrado de los buckets de Amazon S3 ARNs que tienen una ubicación y un prefijo específicos.
"Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-suffix/custom-prefix/*" } } -
wafv2: LogScope
Esta clave de condición define el origen de la configuración de registro en una cadena. En la actualidad, siempre tiene el valor predeterminado
Customer, lo que indica que el destino del registro es de su propiedad y está administrado por usted.
Para ver una lista de claves de AWS WAF condición, consulte las claves de condición de la AWS WAF versión 2 en la Referencia de autorización de servicio. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte Acciones definidas por la AWS WAF V2.
Para ver ejemplos de políticas AWS WAF basadas en la identidad, consulte. Ejemplos de políticas basadas en la identidad para AWS WAF
ACLs in AWS WAF
Soporta ACLs: No
Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.
ABAC con AWS WAF
Compatibilidad con ABAC (etiquetas en las políticas): parcial
El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso.
Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el elemento de condición de una política utilizando las claves de condición aws:ResourceTag/, key-nameaws:RequestTag/ o key-nameaws:TagKeys.
Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es Sí para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es Parcial.
Para obtener más información sobre ABAC, consulte Definición de permisos con la autorización de ABAC en la Guía del usuario de IAM. Para ver un tutorial con los pasos para configurar ABAC, consulte Uso del control de acceso basado en atributos (ABAC) en la Guía del usuario de IAM.
Utilizar credenciales temporales con AWS WAF
Compatibilidad con credenciales temporales: sí
Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente al utilizar la federación o al cambiar de función. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte Credenciales de seguridad temporales en IAM y Servicios de AWS que funcionan con IAM en la Guía del usuario de IAM.
Reenvíe las sesiones de acceso para el servicio AWS WAF
Admite sesiones de acceso directo (FAS): sí
Las sesiones de acceso directo (FAS) utilizan los permisos del operador principal que realiza la llamada Servicio de AWS, junto con los de solicitud, Servicio de AWS para realizar solicitudes a los servicios descendentes. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte Sesiones de acceso directo.
Funciones de servicio para AWS WAF
Compatible con roles de servicio: sí
Un rol de servicio es un rol de IAM que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte Crear un rol para delegar permisos a un Servicio de AWS en la Guía del usuario de IAM.
aviso
Cambiar los permisos de un rol de servicio podría interrumpir AWS WAF la funcionalidad. Edite las funciones de servicio solo cuando se AWS WAF proporcionen instrucciones para hacerlo.
Funciones vinculadas al servicio para AWS WAF
Compatible con roles vinculados al servicio: sí
Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios.
Para obtener más información sobre la creación o la administración de funciones AWS WAF vinculadas al servicio, consulte. Uso de roles vinculados a servicios para AWS WAF
