Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF
Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter Arbeiten mit der Konsole.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von serviceverknüpften Rollen für AWS WAF Classic
Warnung
AWS WAF Classic durchläuft derzeit ein geplantes Ende der Nutzungsdauer. In Ihrem AWS Health Dashboard finden Sie die Meilensteine und Daten, die für Ihre Region spezifisch sind.
Anmerkung
Dies ist die AWS WAF klassische Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Web-ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zum Migrieren Ihrer Web-ACLs finden Sie unter. Migrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF
Die neueste Version von finden Sie AWS WAF unterAWS WAF.
AWS WAF Classic verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, die direkt mit Classic verknüpft ist. AWS WAF Service-linked Rollen sind von AWS WAF Classic vordefiniert und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstverknüpfte Rolle erleichtert die Einrichtung von AWS WAF Classic, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS WAF Classic definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, kann nur AWS WAF Classic diese Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann an keine andere IAM-Entität angefügt werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dadurch werden Ihre AWS WAF Classic-Ressourcen geschützt, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen können.
Informationen zu anderen Diensten, die dienstbezogene Rollen unterstützen, finden Sie unter AWS Dienste, die mit IAM funktionieren. Suchen Sie in der Spalte Rolle nach den Diensten, für die Ja steht. Service-Linked Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Service-linked Rollenberechtigungen für AWS WAF Classic
AWS WAF Classic verwendet die folgenden dienstbezogenen Rollen:
-
AWSServiceRoleForWAFLogging AWSServiceRoleForWAFRegionalLogging
AWS WAF Classic verwendet diese serviceverknüpften Rollen, um Protokolle in Amazon Data Firehose zu schreiben. Diese Rollen werden nur verwendet, wenn Sie die Anmeldung aktivieren. AWS WAF Weitere Informationen finden Sie unter Protokollieren von Web-ACL-Traffic-Informationen.
Die Rollen AWSServiceRoleForWAFLogging und die mit dem AWSServiceRoleForWAFRegionalLogging Dienst verknüpften Rollen vertrauen darauf, dass die folgenden Dienste (jeweils) die Rolle übernehmen:
-
waf.amazonaws.com.rproxy.govskope.cawaf-regional.amazonaws.com
Die Berechtigungsrichtlinien der Rollen ermöglichen es AWS WAF Classic, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
-
Aktion:
firehose:PutRecordundfirehose:PutRecordBatchauf Amazon Data Firehose Datenstream-Ressourcen mit einem Namen, der mit „aws-waf-logs-“ beginnt. Beispiel,aws-waf-logs-us-east-2-analytics. -
Aktion:
kms:GenerateDataKeyundkms:Decryptweiter AWS Key Management Service , damit Amazon Data Firehose vom Kunden verwaltete AWS KMS Schlüssel zum Verschlüsseln von Daten verwenden kann.
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Service-Linked Rollenberechtigungen im IAM-Benutzerhandbuch.
Erstellen einer serviceverknüpften Rolle für AWS WAF Classic
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie die AWS WAF Classic-Protokollierung auf der AWS-Managementkonsole aktivieren oder eine PutLoggingConfiguration Anfrage in der AWS WAF Classic CLI oder der AWS WAF Classic API stellen, erstellt AWS WAF Classic die serviceverknüpfte Rolle für Sie.
Sie müssen über die iam:CreateServiceLinkedRole-Berechtigung verfügen, um die Protokollierung zu aktivieren.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie die AWS WAF klassische Protokollierung aktivieren, erstellt AWS WAF Classic die serviceverknüpfte Rolle erneut für Sie.
Bearbeiten einer serviceverknüpften Rolle für AWS WAF Classic
AWS WAF In Classic können Sie die Rollen AWSServiceRoleForWAFLogging und die AWSServiceRoleForWAFRegionalLogging dienstbezogenen Rollen nicht bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer Service-Linked Rolle im IAM-Benutzerhandbuch.
Löschen einer serviceverknüpften Rolle für AWS WAF Classic
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
Anmerkung
Wenn der AWS WAF Classic-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
Um zu löschen AWS WAF Klassische Ressourcen, die von AWSServiceRoleForWAFLoggingund verwendet werden AWSServiceRoleForWAFRegionalLogging
-
Entfernen Sie auf der AWS WAF Classic-Konsole die Protokollierung aus jeder Web-ACL. Weitere Informationen finden Sie unter Protokollieren von Web-ACL-Traffic-Informationen.
-
Senden Sie über die API oder CLI eine
DeleteLoggingConfiguration-Anforderung für jede Web-ACL, für die die Protokollierung aktiviert ist. Weitere Informationen finden Sie unter AWS WAF Classic API Reference.
So löschen Sie die serviceverknüpfte Rolle mit IAM
Verwenden Sie die IAM-Konsole, die IAM-CLI oder die IAM-API, um die Rollen AWSServiceRoleForWAFLogging und AWSServiceRoleForWAFRegionalLogging die dienstverknüpften Rollen zu löschen. Weitere Informationen finden Sie unter Löschen einer Service-Linked Rolle im IAM-Benutzerhandbuch.
Unterstützte Regionen für AWS WAF Klassische dienstbezogene Rollen
AWS WAF Classic unterstützt im Folgenden die Verwendung von dienstbezogenen Rollen. AWS-Regionen
| Name der Region | Region-ID | Support in AWS WAF Classic |
|---|---|---|
| USA Ost (Nord-Virginia) | us-east-1 |
Ja |
| USA Ost (Ohio) | us-east-2 |
Ja |
| USA West (Nordkalifornien) | us-west-1 |
Ja |
| USA West (Oregon) | us-west-2 |
Ja |
| Asien-Pazifik (Mumbai) | ap-south-1 |
Ja |
| Asien-Pazifik (Osaka) | ap-northeast-3 |
Ja |
| Asien-Pazifik (Seoul) | ap-northeast-2 |
Ja |
| Asien-Pazifik (Singapore) | ap-southeast-1 |
Ja |
| Asien-Pazifik (Sydney) | ap-southeast-2 |
Ja |
| Asien-Pazifik (Tokyo) | ap-northeast-1 |
Ja |
| Kanada (Zentral) | ca-central-1 |
Ja |
| Europa (Frankfurt) | eu-central-1 |
Ja |
| Europa (Ireland) | eu-west-1 |
Ja |
| Europa (London) | eu-west-2 |
Ja |
| Europa (Paris) | eu-west-3 |
Ja |
| Südamerika (São Paulo) | sa-east-1 |
Ja |
