Ti presentiamo una nuova esperienza di console per AWS WAF
Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Lavorare con la console.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di ruoli collegati ai servizi per AWS WAF Classic
avvertimento
AWS WAF Classic sta attraversando un processo di fine del ciclo di vita pianificato. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.
Nota
Questa è la documentazione AWS WAF classica. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e ACL web, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare gli ACL Web, consulta. Migrazione delle risorse AWS WAF Classic a AWS WAF
Per la versione più recente di AWS WAF, vedi. AWS WAF
AWS WAF La versione classica utilizza AWS Identity and Access Management ruoli collegati ai servizi (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a Classic. AWS WAF Service-linked i ruoli sono predefiniti da AWS WAF Classic e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.
Un ruolo collegato al servizio semplifica la configurazione di AWS WAF Classic perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS WAF Classic definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo AWS WAF Classic può assumerne i ruoli. Le autorizzazioni definite includono policy di attendibilità e di autorizzazioni. Questa policy delle autorizzazioni non può essere collegata ad alcun'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi le tue risorse AWS WAF Classic perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta AWS Servizi compatibili con IAM e cerca i servizi con Sì nella colonna Ruolo. Service-Linked Scegliere Sì in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
Service-linked autorizzazioni di ruolo per AWS WAF Classic
AWS WAF Classic utilizza i seguenti ruoli collegati ai servizi:
-
AWSServiceRoleForWAFLogging AWSServiceRoleForWAFRegionalLogging
AWS WAF Classic utilizza questi ruoli collegati ai servizi per scrivere log su Amazon Data Firehose. Questi ruoli vengono utilizzati solo se abiliti l'accesso. AWS WAF Per ulteriori informazioni, consulta Registrazione informazioni di traffico ACL Web.
I ruoli AWSServiceRoleForWAFRegionalLogging collegati ai servizi AWSServiceRoleForWAFLogging e affidano il ruolo ai seguenti servizi (rispettivamente):
-
waf.amazonaws.com.rproxy.govskope.cawaf-regional.amazonaws.com
Le politiche di autorizzazione dei ruoli consentono a AWS WAF Classic di completare le seguenti azioni sulle risorse specificate:
-
Azione:
firehose:PutRecordefirehose:PutRecordBatchsu Amazon Data Firehose risorse di flusso di dati con un nome che inizia con «aws-waf-logs-». Ad esempio,aws-waf-logs-us-east-2-analytics. -
Azione:
kms:GenerateDataKeyekms:Decryptvia AWS Key Management Service per consentire ad Amazon Data Firehose di utilizzare AWS KMS chiavi gestite dal cliente per crittografare i dati.
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Service-Linked Role Permissions nella IAM User Guide.
Creazione di un ruolo collegato ai servizi per AWS WAF Classic
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando abiliti l'accesso AWS WAF classico o Console di gestione AWS effettui una PutLoggingConfiguration richiesta nella CLI AWS WAF classica o nell'API classica AWS WAF , Classic crea automaticamente AWS WAF il ruolo collegato al servizio.
È necessario disporre dell'autorizzazione iam:CreateServiceLinkedRole per attivare la registrazione.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando abiliti la registrazione AWS WAF classica, AWS WAF Classic crea nuovamente il ruolo collegato al servizio per te.
Modifica di un ruolo collegato ai servizi per AWS WAF Classic
AWS WAF La versione classica non consente di modificare i ruoli collegati al servizioAWSServiceRoleForWAFLogging. AWSServiceRoleForWAFRegionalLogging Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un Service-Linked ruolo nella Guida per l'utente IAM.
Eliminazione di un ruolo collegato ai servizi per AWS WAF Classic
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
Nota
Se il servizio AWS WAF Classic utilizza il ruolo quando tenti di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
Per eliminare AWS WAF Risorse classiche utilizzate da AWSServiceRoleForWAFLogginge AWSServiceRoleForWAFRegionalLogging
-
Nella console AWS WAF Classic, rimuovi la registrazione da ogni ACL Web. Per ulteriori informazioni, consulta Registrazione informazioni di traffico ACL Web.
-
Utilizzando l'API o l'interfaccia CLI, inviare una richiesta di
DeleteLoggingConfigurationper ogni ACL Web che ha la registrazione attivata. Per ulteriori informazioni, consulta AWS WAF Classic API Reference.
Per eliminare manualmente il ruolo collegato ai servizi mediante IAM
Utilizza la console IAM, l'IAM CLI o l'API IAM per eliminare i ruoli AWSServiceRoleForWAFLogging e i ruoli collegati ai AWSServiceRoleForWAFRegionalLogging servizi. Per ulteriori informazioni, consulta Eliminazione di un Service-Linked ruolo nella Guida per l'utente IAM.
Regioni supportate per AWS WAF Ruoli classici collegati ai servizi
AWS WAF La versione classica supporta l'utilizzo di ruoli collegati ai servizi nei seguenti casi. Regioni AWS
| Nome della regione | Identità della regione | Support nella AWS WAF versione classica |
|---|---|---|
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 |
Sì |
| Stati Uniti orientali (Ohio) | us-east-2 |
Sì |
| Stati Uniti occidentali (California settentrionale) | us-west-1 |
Sì |
| US West (Oregon) | us-west-2 |
Sì |
| Asia Pacifico (Mumbai) | ap-south-1 |
Sì |
| Asia Pacifico (Osaka) | ap-northeast-3 |
Sì |
| Asia Pacifico (Seul) | ap-northeast-2 |
Sì |
| Asia Pacifico (Singapore) | ap-southeast-1 |
Sì |
| Asia Pacifico (Sydney) | ap-southeast-2 |
Sì |
| Asia Pacifico (Tokyo) | ap-northeast-1 |
Sì |
| Canada (Centrale) | ca-central-1 |
Sì |
| Europa (Francoforte) | eu-central-1 |
Sì |
| Europa (Irlanda) | eu-west-1 |
Sì |
| Europa (Londra) | eu-west-2 |
Sì |
| Europa (Parigi) | eu-west-3 |
Sì |
| Sud America (San Paolo) | sa-east-1 |
Sì |
