AWS の マネージドポリシーAWS WAF - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
AWSWAFReadOnlyAccessAWSWAFFullAccessAWSWAFConsoleReadOnlyAccessAWSWAFConsoleFullAccessWAFV2LoggingServiceRolePolicyポリシーの更新

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

AWS の マネージドポリシーAWS WAF

このセクションでは、AWS WAF のための AWS マネージドポリシーの使用方法について説明します。

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースに対してアクセス許可を提供するように設計されているため、ユーザー、グループ、ロールへのアクセス権の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。これは、すべての AWS ユーザーが使用できるようになるのを避けるためです。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS マネージドポリシーで定義されたアクセス許可は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS 管理ポリシー: AWSWAFReadOnlyAccess

このポリシーは、AWS WAF リソースまたは統合サービスのリソースへのアクセスをユーザーに許可する、読み取り専用のアクセス許可を付与します。この統合サービスには、Amazon CloudFront、Amazon API Gateway、Application Load Balancer、AWS AppSync、Amazon Cognito、AWS App Runner、AWS Amplify、Amazon CloudWatch、AWS Verified Access などが含まれます。このポリシーを IAM ID にアタッチできます。AWS WAF は、AWS WAF がユーザーに代わってアクションを実行することを可能にするサービスロールにも、このポリシーをアタッチします。

このポリシーの詳細については、IAM コンソールで「AWSWAFReadOnlyAccess」を参照してください。

AWS 管理ポリシー: AWSWAFFullAccess

このポリシーは、AWS WAF リソースまたは統合サービスのリソースへの完全なアクセスを付与します。この統合サービスには、Amazon CloudFront、Amazon API Gateway、Application Load Balancer、AWS AppSync、Amazon Cognito、AWS App Runner、AWS Amplify、Amazon CloudWatch、AWS Verified Access などが含まれます。このポリシーを IAM ID にアタッチできます。AWS WAF は、AWS WAF がユーザーに代わってアクションを実行することを可能にするサービスロールにも、このポリシーをアタッチします。

このポリシーの詳細については、IAM コンソールで「AWSWAFFullAccess」を参照してください。

AWS 管理ポリシー: AWSWAFConsoleReadOnlyAccess

このポリシーは、AWS WAF コンソールに読み取り専用の許可を付与します。これには、Amazon CloudFront、Amazon API Gateway、Application Load Balancer、AWS AppSync、Amazon Cognito、AWS App Runner、AWS Amplify、Amazon CloudWatch、AWS Verified Access など、AWS WAF および統合サービス用のリソースが含まれます。このポリシーは IAM アイデンティティにアタッチできます。

このポリシーの詳細については、IAM コンソールで「AWSWAFConsoleReadOnlyAccess」を参照してください。

AWS 管理ポリシー: AWSWAFConsoleFullAccess

このポリシーは AWS WAF コンソールにフルアクセス権を付与します。これには、Amazon CloudFront、Amazon API Gateway、Application Load Balancer、AWS AppSync、Amazon Cognito、AWS App Runner、AWS Amplify、Amazon CloudWatch、AWS Verified Access など、AWS WAF および統合サービス用のリソースが含まれます。このポリシーを IAM ID にアタッチできます。AWS WAF は、AWS WAF がユーザーに代わってアクションを実行することを可能にするサービスロールにも、このポリシーをアタッチします。

このポリシーの詳細については、IAM コンソールで「AWSWAFConsoleFullAccess」を参照してください。

AWS マネージドポリシー: WAFV2LoggingServiceRolePolicy

このポリシーでは、AWS WAF が Amazon Data Firehose にログを書き込むことができます。このポリシーは、AWS WAF でのログインを有効にしている場合にのみ使用されます。このポリシーは、AWSServiceRoleForWAFV2Logging サービスにリンクされたロールにアタッチされます。サービスにリンクされたロールの詳細については、「AWS WAF のサービスにリンクされたロールの使用」を参照してください。

このポリシーの詳細については、IAM コンソールで「WAFV2LoggingServiceRolePolicy」を参照してください。

AWS マネージドポリシーの AWS WAF 更新

AWS WAF の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知については、ドキュメント履歴 の AWS WAF ドキュメントの履歴ページの RSS フィードをサブスクライブしてください。

ポリシー 変更点の説明 日付

AWSWAFConsoleReadOnlyAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS コンソールのリソースや他の AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFConsoleReadOnlyAccess

以下のアクセス許可が更新されました。

  • apigateway:GET – リソースの範囲を更新して、取得可能なリソースを Amazon API Gateway リソースのみに制限しました

以下の権限を追加しました。

AWS AppSync

  • appsync:ListApis – AWS アカウントで AWS AppSync API を取得するアクセス許可を付与します

Amazon CloudWatch

  • logs:StartQuery – 1 つ以上の Amazon CloudWatch Logs インサイトロググループのクエリを開始するアクセス許可を付与します

  • logs:DescribeQueryDefinitions – Amazon CloudWatch Logs インサイトクエリ定義のリストを取得し、 AWS またはソース AWS アカウントに保存するアクセス許可を付与します

  • logs:GetQueryResults – 指定された Amazon CloudWatch Logs インサイトクエリから結果を取得するアクセス許可を付与します

Amazon Data Firehose

  • firehose:ListDeliveryStreams – AWS アカウントの Firehose ストリームを取得するアクセス許可を付与します

AWS の料金表

  • pricing:GetPriceListFileUrl – AWS の料金表 から Price List ファイルを取得するために使用される URL を取得するアクセス許可を付与します

  • pricing:ListPriceLists – AWS の料金表 から Price List リファレンスのリストを取得するアクセス許可を付与します

AWS Marketplace

  • aws-marketplace:ViewSubscriptions – AWS アカウントに関連付けられた AWS Marketplace ソフトウェアサブスクリプションを表示するアクセス許可を付与します

 2025-11-03

AWSWAFConsoleFullAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS コンソールのリソースや他の AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFConsoleFullAccess

以下のアクセス許可が更新されました。

  • apigateway:GET – リソースの範囲を更新して、取得可能なリソースを Amazon API Gateway リソースのみに制限しました

以下の権限を追加しました。

AWS AppSync

  • appsync:ListApis – AWS アカウントで AWS AppSync API を取得するアクセス許可を付与します

Amazon CloudWatch

  • logs:StartQuery – 1 つ以上の Amazon CloudWatch Logs インサイトロググループのクエリを開始するアクセス許可を付与します

  • logs:DescribeQueryDefinitions – Amazon CloudWatch Logs インサイトクエリ定義のリストを取得し、 AWS またはソース AWS アカウントに保存するアクセス許可を付与します

  • logs:GetQueryResults – 指定された Amazon CloudWatch Logs インサイトクエリから結果を取得するアクセス許可を付与します

Amazon Data Firehose

  • firehose:ListDeliveryStreams – AWS アカウントの Firehose ストリームを取得するアクセス許可を付与します

AWS の料金表

  • pricing:GetPriceListFileUrl – AWS の料金表 から Price List ファイルを取得するために使用される URL を取得するアクセス許可を付与します

  • pricing:ListPriceLists – AWS の料金表 から Price List リファレンスのリストを取得するアクセス許可を付与します

AWS Marketplace

  • aws-marketplace:ViewSubscriptions – AWS アカウントに関連付けられた AWS Marketplace ソフトウェアサブスクリプションを表示するアクセス許可を付与します

 2025-11-03

AWSWAFFullAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFFullAccess

AWS Amplify に必要なアクセス許可 AssociateWebACL、DisassociateWebACL、GetWebACLForResource、および ListResourcesForWebACL を追加しました。

 2025-05-05

AWSWAFReadOnlyAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。

このポリシーの詳細については、IAM コンソールで「AWSWAFReadOnlyAccess」を参照してください。

AWS Amplify に必要なアクセス許可、GetWebACLForResource および ListResourcesForWebACL を追加しました。

 2025-05-05

AWSWAFConsoleReadOnlyAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS コンソールのリソースや他の AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFConsoleReadOnlyAccess

以下の権限を追加しました。

Amplify

  • amplify:GetWebACLForResource – Amplify リソースに関連付けられた AWS WAF 保護パック (ウェブ ACL) を取得する許可を付与します

  • amplify:ListApps – AWS アカウント の Amplify アプリを取得するアクセス許可を付与します

  • amplify:ListResourcesForWebACL – AWS WAF 保護パック (ウェブ ACL) に関連付けられた Amplify アプリを取得するアクセス許可を付与します

CloudFront

  • cloudfront:GetDistributionConfig – CloudFront ディストリビューションに関する設定情報を取得するアクセス許可を付与します

  • cloudfront:GetDistributionTenant – CloudFront ディストリビューションテナントに関する情報を取得するアクセス許可を付与します

  • cloudfront:ListDistributionTenants – AWS アカウント に関連付けられているすべてのディストリビューションを一覧表示するアクセス許可を付与します

  • cloudfront:ListDistributionTenantsByCustomization – AWS アカウント に関連付けられたフィルタリングされた CloudFront ディストリビューションテナントを一覧表示するアクセス許可を付与します

 2025-05-05

AWSWAFConsoleFullAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS コンソールのリソースや他の AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFConsoleFullAccess

以下の権限を追加しました。

Amplify

  • amplify:AssociateWebACL – AWS WAF 保護パック (ウェブ ACL) を Amplify リソースに関連付けるアクセス許可を付与します

  • amplify:DisassociateWebACL – Amplify リソースから AWS WAF 保護パック (ウェブ ACL) の関連付けを解除するアクセス許可を付与します

  • amplify:GetWebACLForResource – Amplify リソースに関連付けられた AWS WAF 保護パック (ウェブ ACL) を取得する許可を付与します

  • amplify:ListApps – AWS アカウント の Amplify アプリを取得するアクセス許可を付与します

  • amplify:ListResourcesForWebACL – AWS WAF 保護パック (ウェブ ACL) に関連付けられた Amplify アプリを取得するアクセス許可を付与します

CloudFront

  • cloudfront:AssociateDistributionTenantWebACL – AWS WAF 保護パック (ウェブ ACL) を CloudFront ディストリビューションテナントに関連付けるアクセス許可を付与します

  • cloudfront:AssociateDistributionWebACL – AWS WAF 保護パック (ウェブ ACL) を CloudFront ディストリビューションに関連付けるアクセス許可を付与します

  • cloudfront:DisassociateDistributionTenantWebACL – AWS WAF 保護パック (ウェブ ACL) と CloudFront ディストリビューションテナントの関連付けを解除するアクセス許可を付与します

  • cloudfront:DisassociateDistributionWebACL – AWS WAF 保護パック (ウェブ ACL) と CloudFront ディストリビューションの関連付けを解除するアクセス許可を付与します

  • cloudfront:GetDistributionConfig – CloudFront ディストリビューションに関する設定情報を取得するアクセス許可を付与します

  • cloudfront:GetDistributionTenant – CloudFront ディストリビューションテナントに関する情報を取得するアクセス許可を付与します

  • cloudfront:ListDistributionTenants – AWS アカウント に関連付けられているすべてのディストリビューションを一覧表示するアクセス許可を付与します

  • cloudfront:ListDistributionTenantsByCustomization – AWS アカウント に関連付けられたフィルタリングされた CloudFront ディストリビューションテナントを一覧表示するアクセス許可を付与します

 2025-05-05

WAFV2LoggingServiceRolePolicy

このポリシーでは、AWS WAF が Amazon Data Firehose にログを書き込むことができます。これは、ログ記録を有効にする場合にのみ使用されます。

IAM コンソールの詳細: WAFV2LoggingServiceRolePolicy

このポリシーがアタッチされているサービスにリンクされたロールのアクセス権限設定にステートメント ID (Sid) を追加しました。

 2024-06-03

AWSServiceRoleForWAFV2Logging

このサービスにリンクされたロールは、AWS WAF が Amazon Data Firehose にログを書き込むためのアクセス許可ポリシーを提供します。

IAM コンソールの詳細: AWSServiceRoleForWAFV2Logging

アクセス権限設定にステートメント ID (Sid) を追加しました。

 2024-06-03

変更追跡へ AWS WAF を追加

AWS WAF は、マネージドポリシー WAFV2LoggingServiceRolePolicy とサービスにリンクされたロール AWSServiceRoleForWAFV2Logging の変更の追跡を開始しました。

 2024-06-03

AWSWAFFullAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFFullAccess

許可が更新され、AWS WAF で保護できるリソースタイプに AWS Verified Access が追加されました。

 2023-06-17

AWSWAFReadOnlyAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。

IAM コンソールの詳細: 「AWSWAFReadOnlyAccess

許可が更新され、AWS WAF で保護できるリソースタイプに AWS Verified Access が追加されました。

 2023-06-17

AWSWAFConsoleFullAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS コンソールのリソースや他の AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFConsoleFullAccess

許可が更新され、AWS WAF で保護できるリソースタイプに AWS Verified Access が追加されました。

 2023-06-17

AWSWAFConsoleReadOnlyAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS コンソールのリソースや他の AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFConsoleReadOnlyAccess

許可が更新され、AWS WAF で保護できるリソースタイプに AWS Verified Access が追加されました。

 2023-06-17

AWSWAFFullAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFFullAccess

AWS App Runner サービスのアクセス設定を修正するための拡張された許可。

 2023-06-06

AWSWAFReadOnlyAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。

IAM コンソールの詳細: 「AWSWAFReadOnlyAccess

AWS App Runner サービスのアクセス設定を修正するための拡張された許可。

 2023-06-06

AWSWAFConsoleFullAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS コンソールのリソースや他の AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFConsoleFullAccess

AWS App Runner サービスのアクセス設定を修正するための拡張された許可。

 2023-06-06

AWSWAFConsoleReadOnlyAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS コンソールのリソースや他の AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFConsoleReadOnlyAccess

AWS App Runner サービスのアクセス設定を修正するための拡張された許可。

 2023-06-06

AWSWAFFullAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFFullAccess

アクセス許可が更新され、AWS WAF で保護できるリソースタイプに AWS App Runner サービスが追加されました。

 2023-03-30

AWSWAFReadOnlyAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。

IAM コンソールの詳細: 「AWSWAFReadOnlyAccess

アクセス許可が更新され、AWS WAF で保護できるリソースタイプに AWS App Runner サービスが追加されました。

 2023-03-30

AWSWAFConsoleFullAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS コンソールのリソースや他の AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFConsoleFullAccess

アクセス許可が更新され、AWS WAF で保護できるリソースタイプに AWS App Runner サービスが追加されました。

 2023-03-30

AWSWAFConsoleReadOnlyAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS コンソールのリソースや他の AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFConsoleReadOnlyAccess

アクセス許可が更新され、AWS WAF で保護できるリソースタイプに AWS App Runner サービスが追加されました。

 2023-03-30

AWSWAFFullAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFFullAccess

アクセス許可が更新され、AWS WAF で保護できるリソースタイプに Amazon Cognito ユーザープールが追加されました。

 2022-08-25

AWSWAFReadOnlyAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。

IAM コンソールの詳細: 「AWSWAFReadOnlyAccess

アクセス許可が更新され、AWS WAF で保護できるリソースタイプに Amazon Cognito ユーザープールが追加されました。

 2022-08-25

AWSWAFConsoleFullAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS コンソールのリソースや他の AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFConsoleFullAccess

アクセス許可が更新され、AWS WAF で保護できるリソースタイプに Amazon Cognito ユーザープールが追加されました。

 2022-08-25

AWSWAFConsoleReadOnlyAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS コンソールのリソースや他の AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFConsoleReadOnlyAccess

アクセス許可が更新され、AWS WAF で保護できるリソースタイプに Amazon Cognito ユーザープールが追加されました。

 2022-08-25

AWSWAFFullAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFFullAccess

Amazon Simple Storage Service (Amazon S3) と Amazon CloudWatch Logs のログ配信の許可設定を修正しました。この変更により、ログ記録設定中に発生していたアクセス拒否エラーが解決されます。保護パック (ウェブ ACL) トラフィックのログ記録の詳細については、「ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック」を参照してください。

 2022-01-11

AWSWAFConsoleFullAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS コンソールのリソースや他の AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFConsoleFullAccess

Amazon Simple Storage Service (Amazon S3) と Amazon CloudWatch Logs のログ配信の許可設定を修正しました。この変更により、ログ記録設定中に発生していたアクセスエラーが解決されます。保護パック (ウェブ ACL) トラフィックのログ記録の詳細については、「ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック」を参照してください。

 2022-01-11

AWSWAFFullAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFFullAccess

拡張ログ記録オプション用の新しい許可を追加しました。

この変更により、AWS WAF は、追加のログ記録先である Amazon Simple Storage Service (Amazon S3) および Amazon CloudWatch Logs にアクセスできるようになります。保護パック (ウェブ ACL) トラフィックのログ記録の詳細については、「ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック」を参照してください。

 2021-11-15

AWSWAFConsoleFullAccess

このポリシーにより、AWS WAF は、AWS WAF および統合サービスでユーザーに代わって AWS コンソールのリソースや他の AWS リソースを管理できます。

IAM コンソールの詳細: AWSWAFConsoleFullAccess

拡張ログ記録オプション用の新しい許可を追加しました。

この変更により、AWS WAF は、追加のログ記録先である Amazon Simple Storage Service (Amazon S3) および Amazon CloudWatch Logs にアクセスできるようになります。保護パック (ウェブ ACL) トラフィックのログ記録の詳細については、「ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック」を参照してください。

 2021-11-15

AWS WAF は変更の追跡を開始しました

AWS WAF が AWS マネージドポリシーの変更の追跡を開始しました。

 2021-3-01