**の新しいコンソールエクスペリエンスの紹介 AWS WAF**

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS WAF Classic のサービスにリンクされたロールの使用
<a name="classic-using-service-linked-roles"></a>

**警告**  
AWS WAF Classic は計画的なend-of-lifeプロセスを進めています。リージョン固有のマイルストーンと日付については、 AWS Health ダッシュボードを参照してください。

**注記**  
これは **AWS WAF Classic** ドキュメントです。このバージョンは、2019 年 11 月 AWS WAF より前にルールやウェブ ACLs などのリソースを作成し AWS WAF 、最新バージョンに移行していない場合にのみ使用してください。Web ACL を移行するには、[AWS WAF Classic リソースの への移行 AWS WAF](waf-migrating-from-classic.md) を参照してください。  
**の最新バージョンについては、 AWS WAF**「」を参照してください[AWS WAF](waf-chapter.md)。

AWS WAF Classic は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、 AWS WAF Classic に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは AWS WAF Classic によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 AWS WAF Classic の設定が簡単になります。 AWS WAF Classic はサービスにリンクされたロールのアクセス許可を定義し、特に定義されている場合を除き、 AWS WAF Classic のみがそのロールを引き受けることができます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールを削除するには、まずそのロールの関連リソースを削除します。これにより、リソースへのアクセス許可が誤って削除されないため、 AWS WAF Classic リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、**サービスにリンクされたロール**列が**はい**になっているサービスを見つけてください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[**はい**] リンクを選択してください。

## AWS WAF Classic のサービスにリンクされたロールのアクセス許可
<a name="classic-slr-permissions"></a>

AWS WAF Classic は、以下のサービスにリンクされたロールを使用します。
+ `AWSServiceRoleForWAFLogging`
+ `AWSServiceRoleForWAFRegionalLogging`

AWS WAF Classic は、これらのサービスにリンクされたロールを使用して Amazon Data Firehose にログを書き込みます。これらのロールは、ログインを有効にした場合にのみ使用されます AWS WAF。詳細については、「[ウェブ ACL トラフィック情報のログ記録](classic-logging.md)」を参照してください。

`AWSServiceRoleForWAFLogging` および `AWSServiceRoleForWAFRegionalLogging` のサービスにリンクされたロールは、ロールを引き受ける上でそれぞれに対応する次のサービスを信頼します。
+ `waf.amazonaws.com`

  `waf-regional.amazonaws.com`

ロールのアクセス許可ポリシーにより、 AWS WAF Classic は指定されたリソースに対して次のアクションを実行できます。
+ アクション: 名前が「aws-waf-logs-」で始まる Amazon Data Firehose データストリームリソースで `firehose:PutRecord` および `firehose:PutRecordBatch`。例えば、`aws-waf-logs-us-east-2-analytics`。

サービスにリンクされたロールの作成、編集、削除をIAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

## AWS WAF Classic のサービスにリンクされたロールの作成
<a name="classic-create-slr"></a>

サービスリンクロールを手動で作成する必要はありません。で AWS WAF Classic ログ記録を有効にするか AWS マネジメントコンソール、 AWS WAF Classic CLI または AWS WAF Classic API で`PutLoggingConfiguration`リクエストを行うと、 AWS WAF Classic はサービスにリンクされたロールを作成します。

ログ記録を有効化するためには、`iam:CreateServiceLinkedRole` 許可が必要です。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。 AWS WAF Classic ログ記録を有効にすると、 AWS WAF Classic はサービスにリンクされたロールを再度作成します。

## AWS WAF Classic のサービスにリンクされたロールの編集
<a name="classic-edit-slr"></a>

AWS WAF Classic では、 `AWSServiceRoleForWAFLogging`および`AWSServiceRoleForWAFRegionalLogging`サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## AWS WAF Classic のサービスにリンクされたロールの削除
<a name="classic-delete-slr"></a>

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

**注記**  
リソースを削除しようとしたときに AWS WAF Classic サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。

**`AWSServiceRoleForWAFLogging` および で使用される AWS WAF Classic リソースを削除するには `AWSServiceRoleForWAFRegionalLogging`**

1.  AWS WAF Classic コンソールで、すべてのウェブ ACL からログ記録を削除します。詳細については、「[ウェブ ACL トラフィック情報のログ記録](classic-logging.md)」を参照してください。

1. API または CLI を使用して、ログ記録が有効化されている各ウェブ ACL に `DeleteLoggingConfiguration` リクエストを送信します。詳細については、「[AWS WAF Classic API リファレンス](https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html)」を参照してください。

**IAM を使用して、サービスにリンクされたロールを手動で削除するには**

`AWSServiceRoleForWAFLogging` および `AWSServiceRoleForWAFRegionalLogging` サービスにリンクされたロールを削除するには、IAM コンソール、IAM CLI、または IAM API を使用します。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」の「*サービスリンクロールの削除*」を参照してください。

## AWS WAF Classic サービスにリンクされたロールでサポートされているリージョン
<a name="classic-slr-regions"></a>

AWS WAF Classic は、以下のサービスにリンクされたロールの使用をサポートしています AWS リージョン。


****  

| リージョン名 | リージョンアイデンティティ |  AWS WAF Classic でのサポート | 
| --- | --- | --- | 
| 米国東部 (バージニア北部) | us-east-1 | あり | 
| 米国東部 (オハイオ) | us-east-2 | あり | 
| 米国西部 (北カリフォルニア) | us-west-1 | あり | 
| 米国西部 (オレゴン) | us-west-2 | あり | 
| アジアパシフィック (ムンバイ) | ap-south-1 | あり | 
| アジアパシフィック (大阪) | ap-northeast-3 | あり | 
| アジアパシフィック (ソウル) | ap-northeast-2 | あり | 
| アジアパシフィック (シンガポール) | ap-southeast-1 | あり | 
| アジアパシフィック (シドニー) | ap-southeast-2 | あり | 
| アジアパシフィック (東京) | ap-northeast-1 | あり | 
| カナダ (中部) | ca-central-1 | あり | 
| 欧州 (フランクフルト) | eu-central-1 | あり | 
| 欧州 (アイルランド) | eu-west-1 | あり | 
| 欧州 (ロンドン) | eu-west-2 | あり | 
| 欧州 (パリ) | eu-west-3 | あり | 
| 南米 (サンパウロ) | sa-east-1 | あり |