Presentamos una nueva experiencia de consola para AWS WAF
Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte Trabajar con la consola.
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de roles vinculados a servicios para AWS WAF Classic
aviso
AWS WAF Classic está pasando por un proceso planificado de fin de vida útil. Consulta tu AWS Health panel de control para ver los hitos y las fechas específicos de tu región.
nota
Esta es la documentación de AWS WAF Classic. Solo debes usar esta versión si creaste AWS WAF recursos, como reglas y ACL web, AWS WAF antes de noviembre de 2019 y aún no los has migrado a la versión más reciente. Para migrar las ACL web, consulte Migración de sus recursos AWS WAF clásicos a AWS WAF.
Para obtener la versión más reciente de AWS WAF, consulteAWS WAF.
AWS WAF Classic utiliza funciones AWS Identity and Access Management vinculadas al servicio (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Classic. AWS WAF Service-linked AWS WAF Classic predefine los roles e incluyen todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre.
Un rol vinculado a un servicio facilita la configuración de AWS WAF Classic, ya que no es necesario añadir manualmente los permisos necesarios. AWS WAF Classic define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS WAF Classic puede asumir sus funciones. Los permisos definidos incluyen la política de confianza y la política de permisos. Dicha política de permisos no se puede asociar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a un servicio después de eliminar los recursos relacionados del rol. Esto protege sus recursos AWS WAF clásicos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.
Para obtener información acerca de otros servicios que son compatibles con roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios en los que se indica Sí en la columna Service-Linked Rol vinculado a servicios. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
Service-linked permisos de rol para AWS WAF Classic
AWS WAF La versión clásica utiliza las siguientes funciones vinculadas al servicio:
-
AWSServiceRoleForWAFLogging AWSServiceRoleForWAFRegionalLogging
AWS WAF Classic usa estas funciones vinculadas a servicios para escribir registros en Amazon Data Firehose. Estas funciones solo se utilizan si habilita el inicio de sesión. AWS WAF Para obtener más información, consulte Registro de información del tráfico de la ACL web.
Los roles vinculados al servicio AWSServiceRoleForWAFLogging y AWSServiceRoleForWAFRegionalLogging confían en los siguientes servicios (respectivamente) para asumir el rol:
-
waf.amazonaws.com.rproxy.govskope.cawaf-regional.amazonaws.com
Las políticas de permisos de las funciones permiten a AWS WAF Classic realizar las siguientes acciones en los recursos especificados:
-
Acción:
firehose:PutRecordyfirehose:PutRecordBatchen recursos de flujo de datos de Amazon Data Firehose con un nombre que comienza con “aws-waf-logs-”. Por ejemplo,aws-waf-logs-us-east-2-analytics. -
Acción:
kms:GenerateDataKeyy asíkms:Decryptsucesivamente AWS Key Management Service para permitir que Amazon Data Firehose utilice AWS KMS las claves gestionadas por el cliente para cifrar los datos.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte los permisos de Service-Linked rol en la Guía del usuario de IAM.
Creación de un rol vinculado a un servicio de AWS WAF Classic
No necesita crear manualmente un rol vinculado a servicios. Cuando habilita el Consola de administración de AWS inicio de sesión AWS WAF clásico en la CLI AWS WAF clásica o la API AWS WAF clásica, AWS WAF Classic crea el rol vinculado al servicio automáticamente. PutLoggingConfiguration
Debe tener el permiso iam:CreateServiceLinkedRole para habilitar el registro.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al habilitar el registro AWS WAF clásico, AWS WAF Classic vuelve a crear el rol vinculado al servicio para usted.
Modificación de un rol vinculado a un servicio de AWS WAF Classic
AWS WAF La versión clásica no permite editar ni las funciones vinculadas al AWSServiceRoleForWAFLogging AWSServiceRoleForWAFRegionalLogging servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Edición de un Service-Linked rol en la Guía del usuario de IAM.
Eliminación de un rol vinculado a un servicio de AWS WAF Classic
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
nota
Si el servicio AWS WAF clásico utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
Eliminación AWS WAF Recursos clásicos utilizados por AWSServiceRoleForWAFLoggingy AWSServiceRoleForWAFRegionalLogging
-
En la consola AWS WAF clásica, elimine el registro de todas las ACL web. Para obtener más información, consulte Registro de información del tráfico de la ACL web.
-
Mediante la API o la CLI, envíe una solicitud
DeleteLoggingConfigurationpara cada ACL web que tenga habilitado el registro. Para obtener más información, consulte la Referencia de la API de AWS WAF Classic.
Para eliminar manualmente el rol vinculado a servicios mediante IAM
Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar los roles vinculados a servicios AWSServiceRoleForWAFLogging y AWSServiceRoleForWAFRegionalLogging. Para obtener más información, consulte Eliminar un Service-Linked rol en la Guía del usuario de IAM.
Regiones compatibles para AWS WAF Funciones clásicas vinculadas a servicios
AWS WAF La versión clásica admite el uso de roles vinculados a servicios en los siguientes casos. Regiones de AWS
| Nombre de la región | Identidad de la región | Support en AWS WAF versión clásica |
|---|---|---|
| EE. UU. Este (Norte de Virginia) | us-east-1 |
Sí |
| EE. UU. Este (Ohio) | us-east-2 |
Sí |
| EE. UU Oeste (Norte de California) | us-west-1 |
Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 |
Sí |
| Asia-Pacífico (Mumbai) | ap-south-1 |
Sí |
| Asia-Pacífico (Osaka) | ap-northeast-3 |
Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 |
Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 |
Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 |
Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 |
Sí |
| Canadá (centro) | ca-central-1 |
Sí |
| Europa (Fráncfort) | eu-central-1 |
Sí |
| Europa (Irlanda) | eu-west-1 |
Sí |
| Europa (Londres) | eu-west-2 |
Sí |
| Europa (París) | eu-west-3 |
Sí |
| América del Sur (São Paulo) | sa-east-1 |
Sí |
