View a markdown version of this page

Usando funções vinculadas a serviços para AWS WAF Clássica - AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield diretor de segurança de rede
Service-linked permissões de função para AWS WAF ClássicaCriar uma função vinculada ao serviço para AWS WAF ClássicaEditar uma função vinculada ao serviço para AWS WAF ClássicaExcluir uma função vinculada ao serviço para o AWS WAF ClássicaRegiões suportadas para AWS WAF Funções clássicas vinculadas a serviços

Apresentando uma nova experiência de console para AWS WAF

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte Trabalhando com o console.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando funções vinculadas a serviços para AWS WAF Clássica

Atenção

AWS WAF O Classic está passando por um processo planejado de fim de vida. Consulte seu AWS Health painel para ver os marcos e datas específicos da sua região.

nota

Essa é a documentação do AWS WAF Classic. Você só deve usar essa versão se tiver criado AWS WAF recursos, como regras e ACLs da web, AWS WAF antes de novembro de 2019 e ainda não os tiver migrado para a versão mais recente. Para migrar suas ACLs da Web, consulte Migrando seus recursos AWS WAF clássicos para AWS WAF.

Para obter a versão mais recente do AWS WAF, consulteAWS WAF.

AWS WAF Funções vinculadas ao serviço Classic Usa AWS Identity and Access Management (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao AWS WAF Classic. Service-linked as funções são predefinidas pelo AWS WAF Classic e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Uma função vinculada ao serviço facilita a configuração do AWS WAF Classic porque você não precisa adicionar manualmente as permissões necessárias. AWS WAF O Classic define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente o AWS WAF Classic pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões. Essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

É possível excluir uma função vinculada ao serviço somente depois de excluir os recursos relacionados da função. Isso protege seus recursos AWS WAF clássicos porque você não pode remover inadvertidamente a permissão para acessar os recursos.

Para ter informações sobre outros serviços compatíveis com perfis vinculados ao serviço, consulte Serviços da AWS que funcionam com o IAM e procure os serviços que tiverem Sim na coluna Service-Linked Funções. Escolha um Sim com um link para visualizar a documentação do perfil vinculado para esse serviço.

Service-linked permissões de função para AWS WAF Clássica

AWS WAF O Classic usa as seguintes funções vinculadas ao serviço:

  • AWSServiceRoleForWAFLogging

  • AWSServiceRoleForWAFRegionalLogging

AWS WAF O Classic usa essas funções vinculadas ao serviço para gravar registros no Amazon Data Firehose. Essas funções são usadas somente se você ativar o login AWS WAF. Para obter mais informações, consulte Registrar em log as informações de tráfego da web ACL.

As funções vinculadas a serviços AWSServiceRoleForWAFLogging e AWSServiceRoleForWAFRegionalLogging confiam nos seguintes serviços (respectivamente) para assumir a função:

  • waf.amazonaws.com

    waf-regional.amazonaws.com

As políticas de permissões das funções permitem que o AWS WAF Classic conclua as seguintes ações nos recursos especificados:

  • Ação: firehose:PutRecord e firehose:PutRecordBatch em recursos de fluxo de dados do Amazon Data Firehose com um nome que começa com “aws-waf-logs-.” Por exemplo, .aws-waf-logs-us-east-2-analytics

  • Ação: kms:GenerateDataKey e kms:Decrypt ativada AWS Key Management Service para permitir que o Amazon Data Firehose use AWS KMS chaves gerenciadas pelo cliente para criptografar dados.

É necessário configurar as permissões para permitir que uma entidade do IAM (como um usuário, grupo ou perfil) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Permissões de Service-Linked função no Guia do usuário do IAM.

Criar uma função vinculada ao serviço para AWS WAF Clássica

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você ativa o registro AWS WAF clássico no Console de gerenciamento da AWS, ou faz uma PutLoggingConfiguration solicitação na CLI clássica ou na API AWS WAF clássica, AWS WAF o AWS WAF Classic cria a função vinculada ao serviço para você.

Você deve ter a permissão iam:CreateServiceLinkedRole para habilitar o registro em log.

Se excluir essa função vinculada a serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você ativa o registro AWS WAF clássico, o AWS WAF Classic cria a função vinculada ao serviço para você novamente.

Editar uma função vinculada ao serviço para AWS WAF Clássica

AWS WAF O Classic não permite que você edite as funções AWSServiceRoleForWAFLogging AWSServiceRoleForWAFRegionalLogging vinculadas ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Edição de uma Service-Linked função no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço para o AWS WAF Clássica

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.

nota

Se o serviço AWS WAF Classic estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir AWS WAF Recursos clássicos usados pelo AWSServiceRoleForWAFLogginge AWSServiceRoleForWAFRegionalLogging

  1. No console AWS WAF clássico, remova o registro de cada ACL da web. Para obter mais informações, consulte Registrar em log as informações de tráfego da web ACL.

  2. Usando a API ou a CLI, envie uma solicitação DeleteLoggingConfiguration para cada web ACL que tem o registro em log habilitado. Para obter mais informações, consulte Referência da API do AWS WAF Classic.

Como excluir manualmente a função vinculada a serviço usando o IAM

Use o console, a CLI ou a API do IAM para excluir funções vinculadas a serviços AWSServiceRoleForWAFLogging e AWSServiceRoleForWAFRegionalLogging. Para obter mais informações, consulte Excluir uma Service-Linked função no Guia do usuário do IAM.

Regiões suportadas para AWS WAF Funções clássicas vinculadas a serviços

AWS WAF O Classic oferece suporte ao uso de funções vinculadas a serviços a seguir. Regiões da AWS

Nome da região Identidade da região Support no AWS WAF Classic
Leste dos EUA (Norte da Virgínia) us-east-1 Sim
Leste dos EUA (Ohio) us-east-2 Sim
Oeste dos EUA (N. da Califórnia) us-west-1 Sim
Oeste dos EUA (Oregon) us-west-2 Sim
Ásia-Pacífico (Mumbai) ap-south-1 Sim
Ásia Pacifico (Osaka) ap-northeast-3 Sim
Ásia-Pacífico (Seul) ap-northeast-2 Sim
Ásia-Pacífico (Singapura) ap-southeast-1 Sim
Ásia-Pacífico (Sydney) ap-southeast-2 Sim
Ásia-Pacífico (Tóquio) ap-northeast-1 Sim
Canadá (Central) ca-central-1 Sim
Europa (Frankfurt) eu-central-1 Sim
Europa (Irlanda) eu-west-1 Sim
Europa (Londres) eu-west-2 Sim
Europa (Paris) eu-west-3 Sim
América do Sul (São Paulo) sa-east-1 Sim