本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS WAF
AWS Systems Manager 自动化为用户提供了预定义的运行手册。 AWS WAF有关运行手册的更多信息,请参阅[使用运行手册](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-documents.html)。有关如何查看运行手册内容的信息,请参阅 [查看运行手册内容](automation-runbook-reference.md#view-automation-json)。
**Topics**
+ [`AWS-AddWAFRegionalRuleToRuleGroup`](AWS-AddWAFRegionalRuleToRuleGroup.md)
+ [`AWS-AddWAFRegionalRuleToWebAcl`](AWS-AddWAFRegionalRuleToWebAcl.md)
+ [`AWSConfigRemediation-EnableWAFClassicLogging`](automation-aws-enable-waf-logging.md)
+ [`AWSConfigRemediation-EnableWAFClassicRegionalLogging`](automation-aws-enable-waf-reg-logging.md)
+ [`AWSConfigRemediation-EnableWAFV2Logging`](automation-aws-enable-wafv2-logging.md)
# `AWS-AddWAFRegionalRuleToRuleGroup`
**描述**
该`AWS-AddWAFRegionalRuleToRuleGroup`操作手册将现有的 AWS WAF 区域规则添加到 AWS WAF 区域规则组中。仅支持 AWS WAF 经典区域规则组。 AWS WAF 经典区域规则组最多可以有 10 条规则。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-AddWAFRegionalRuleToRuleGroup)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
+ RuleGroupId
类型:字符串
描述:(必填)要更新的规则组的 ID。
+ RulePriority
类型:整数
描述:(必填)新规则的优先级。规则优先级决定了评估区域组中规则的顺序。值较低的规则比值较高的规则具有更高的优先级。值必须是整数。如果您向一个区域规则组添加多条规则,则这些值不必是连续的。
+ RuleId
类型:字符串
描述:(必填)您要添加到区域规则组的规则的 ID。
+ RuleAction
类型:字符串
描述:(必填)指定 Web 请求符合规则条件时 AWS WAF 采取的操作。
有效值:允许 \$1 阻止 \$1 计数
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `waf-regional:GetChangeToken`
+ `waf-regional:GetChangeTokenStatus`
+ `waf-regional:ListActivatedRulesInRuleGroup`
+ `waf-regional:UpdateRuleGroup`
**文档步骤**
+ 获取WAFChange令牌 (aw executeAwsApi s:)-检索 AWS WAF 更改令牌以确保运行手册不会向服务提交相互冲突的请求。
+ 添加WAFRule到 WAFRegional RuleGroup (AWS: ExecuteScript)-将指定的规则添加到区域规则组。 AWS WAF
+ VerifyChangeTokenPropagating (aws: waitForAwsResourceProperty)-验证更改令牌的状态为`PENDING`或`INSYNC`。
+ VerifyRuleAddedToRuleGroup (aws: executeScript)-验证指定的 AWS WAF 规则是否已添加到目标区域规则组。
**输出**
+ VerifyRuleAddedToRuleGroup。 VerifyRuleAddedToRuleGroupResponse -验证新规则是否已添加到区域规则组的步骤的输出。
+ VerifyRuleAddedToRuleGroup。 ListActivatedRulesInRuleGroupResponse -`ListActivatedRulesInRuleGroup` API 操作的输出。
# `AWS-AddWAFRegionalRuleToWebAcl`
**描述**
该`AWS-AddWAFRegionalRuleToWebAcl`运行手册将现有的 AWS WAF 区域规则、规则组或基于速率的规则添加到 AWS WAF 经典区域 Web 访问控制列表 (ACL) 中。本运行手册不会更新由 AWS Firewall Manager管理的现有 AWS WAF 经典区域 Web ACL。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-AddWAFRegionalRuleToWebAcl)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(可选)允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。如果未指定角色,Systems Manager Automation 将使用启动此运行手册的用户的权限。
+ 网页 ACLId
类型:字符串
描述:(必填)要更新的网络 ACL 的 ID。
+ ActivatedRulePriority
类型:整数
描述:(必填)新规则的优先级。规则优先级决定评估 Web ACL 中规则的顺序。值较低的规则比值较高的规则具有更高的优先级。值必须是整数。如果您向区域 Web ACL 添加多条规则,则这些值不必是连续的。
+ ActivatedRuleRuleId
类型:字符串
描述:(必填)要添加到 Web ACL 的常规规则、基于速率的规则或组的 ID。
+ ActivatedRuleAction
类型:字符串
有效值:允许 \$1 阻止 \$1 计数
描述:(可选)指定 Web 请求符合规则条件时 AWS WAF 采取的操作。
+ ActivatedRuleType
类型:字符串
有效值:常规 \$1 基于费率 \$1 群组
默认:常规
描述:(可选)您要添加到 Web ACL 的规则类型。尽管此字段是可选字段,但请注意,如果您尝试在 Web ACL 中添加`RATE_BASED`规则而不设置类型,则请求会失败,因为请求默认为`REGULAR`规则。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `waf-regional:GetChangeToken`
+ `waf-regional:GetWebACL`
+ `waf-regional:UpdateWebACL`
**文档步骤**
+ DetermineWebACLNot在 FMSAnd RulePriority (aws: ExecuteScript)-验证 AWS WAF Web ACL 是否在 Firewall Manager 安全策略中,并验证优先级 ID 是否与现有 ACL 冲突。
+ AddRuleOrRuleGroupToWebACL (aws: ExecuteScript)-将指定的规则添加到 Web ACL。 AWS WAF
+ VerifyRuleOrRuleGroupAddedToWebAcl (aws: executeScript)-验证指定的 AWS WAF 规则是否已添加到目标 Web ACL 中。
**输出**
+ DetermineWebACLNot在FMSAndRulePriority。 PrereqResponse:`DetermineWebACLNotInFMSAndRulePriority`步骤的输出。
+ VerifyRuleOrRuleGroupAddedToWebAcl。 VerifyRuleOrRuleGroupAddedToWebACLResponse:`AddRuleOrRuleGroupToWebACL`步骤的输出。
+ VerifyRuleOrRuleGroupAddedToWebAcl。 ListActivatedRulesOrRuleGroupsInWebACLResponse: `VerifyRuleOrRuleGroupAddedToWebAcl` 步骤的输出。
# `AWSConfigRemediation-EnableWAFClassicLogging`
**描述**
该`AWSConfigRemediation-EnableWAFClassicLogging`运行手册允许您登录到亚马逊数据 Firehose (Firehose),以 AWS WAF 获取您指定的网络访问控制列表 (Web ACL)。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableWAFClassicRegionalLogging)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。
+ DeliveryStreamName
类型:字符串
描述:(必填)您要向其发送日志的 Firehose 传输流的名称。
+ 网页 ACLId
类型:字符串
描述:(必填)要启用登录功能的 AWS WAF Web ACL 的 ID。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `iam:CreateServiceLinkedRole`
+ `waf:GetLoggingConfiguration`
+ `waf:GetWebAcl `
+ `waf:PutLoggingConfiguration `
**文档步骤**
+ `aws:executeAwsApi` - 确认您在 `DeliveryStreamName` 中指定的传送流存在。
+ `aws:executeAwsApi`-收集参数中指定的 Web ACL 的 ARN。 AWS WAF `WebACLId`
+ `aws:executeAwsApi` - 为 Web ACL 启用日志记录。
+ `aws:assertAwsResourceProperty`-验证是否已在 AWS WAF Web ACL 上启用日志记录。
# `AWSConfigRemediation-EnableWAFClassicRegionalLogging`
**描述**
该`AWSConfigRemediation-EnableWAFClassicRegionalLogging`运行手册允许您登录到亚马逊数据 Firehose (Firehose),以获取您 AWS WAF 指定的网络访问控制列表 (ACL)。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableWAFClassicRegionalLogging)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。
+ LogDestinationConfigs
类型:字符串
描述:(必填)您要向其发送日志的 Firehose 传输流的亚马逊资源名称 (ARN)。
+ 网页 ACLId
类型:字符串
描述:(必填)要启用登录功能的 AWS WAF Web ACL 的 ID。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `iam:CreateServiceLinkedRole`
+ `waf-regional:GetLoggingConfiguration`
+ `waf-regional:GetWebAcl `
+ `waf-regional:PutLoggingConfiguration `
**文档步骤**
+ `aws:executeAwsApi`-收集参数中指定的 Web ACL 的 ARN。 AWS WAF `WebACLId`
+ `aws:executeAwsApi` - 为 Web ACL 启用日志记录。
+ `aws:assertAwsResourceProperty`-验证是否已在 AWS WAF Web ACL 上启用日志记录。
# `AWSConfigRemediation-EnableWAFV2Logging`
**描述**
该`AWSConfigRemediation-EnableWAFV2Logging`运行手册允许使用指定的 Amazon Dat AWS WAF a Firehose (Firehose) 传输流记录 (AWS WAF V2) 网络访问控制列表 (Web ACL)。
[运行此自动化(控制台)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSConfigRemediation-EnableWAFV2Logging)
**文档类型**
自动化
**所有者**
Amazon
**平台**
Linux、macOS、Windows
**参数**
+ AutomationAssumeRole
类型:字符串
描述:(必需)允许 Systems Manager Automation 代表您执行操作的 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称(ARN)。
+ LogDestinationConfigs
类型:字符串
描述:(必填)您要与网页 ACL 关联的 Firehose 传送流 ARN。
**注意**
Firehose 传送流 ARN 必须以前缀开头。`aws-waf-logs-`例如,`aws-waf-logs-us-east-2-analytics`。有关更多信息,请参阅 [Amazon Data Firehose](https://docs.aws.amazon.com/waf/latest/developerguide/logging-kinesis.html)。
+ WebAclArn
类型:字符串
描述:(必需)要为其启用日志记录的 Web ACL 的 ARN。
**所需的 IAM 权限**
`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `firehose:DescribeDeliveryStream`
+ `wafv2:PutLoggingConfiguration`
+ `wafv2:GetLoggingConfiguration`
**文档步骤**
+ `aws:executeScript`-启用 AWS WAF V2 Web ACL 的日志记录并验证日志记录是否具有指定的配置。