Usar funções vinculadas ao serviço para o Firewall Manager - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield
Permissões para funções vinculadas ao serviço para o Firewall ManagerCriar uma função vinculada ao serviço para o Firewall ManagerEditar uma função vinculada ao serviço para o Firewall ManagerExcluir uma função vinculada ao serviço para o Firewall ManagerRegiões com suporte a funções vinculadas ao serviço do Firewall Manager

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Usar funções vinculadas ao serviço para o Firewall Manager

O AWS Firewall Manager usa perfis vinculados ao serviço do AWS Identity and Access Management (IAM). Uma função vinculada ao serviço é um tipo exclusivo de perfil do IAM vinculada diretamente ao Firewall Manager. As funções vinculadas ao serviço são predefinidas pelo Firewall Manager, e incluem todas as permissões que o produto requer para chamar outros serviços da AWS em seu nome.

Uma função vinculada ao serviço facilita a configuração do Firewall Manager porque você não precisa adicionar as permissões necessárias manualmente. O Firewall Manager define as permissões das funções vinculadas ao serviço e, exceto se definido de outra forma, somente o Firewall Manager pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões. Essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

É possível excluir uma função vinculada ao serviço somente depois de excluir os recursos relacionados da função. Isso protege seus recursos do Firewall Manager, pois você não pode remover por engano as permissões para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte Serviços da AWS compatíveis com o IAM e procure os serviços que contenham Sim na coluna Função vinculada a serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado para esse serviço.

Permissões para funções vinculadas ao serviço para o Firewall Manager

O AWS Firewall Manager usa o nome da função vinculada ao serviço AWSServiceRoleForFMS para permitir que o Firewall Manager chame serviços AWS em seu nome para gerenciar políticas de firewall e recursos da conta AWS Organizations. Essa política é associada à função gerenciada da AWS, AWSServiceRoleForFMS. Para obter mais informações sobre a função gerenciada, consulte AWS Política gerenciada pela: FMSServiceRolePolicy.

A função vinculada ao serviço AWSServiceRoleForFMS confia no serviço para assumir a função fms.amazonaws.com.

A política de permissões da função permite que o Firewall Manager conclua as seguintes ações nos recursos especificados:

  • waf - Gerencie ACLs da web AWS WAF Classic, permissões de grupos de regras e associações de ACLs web em sua conta.

  • ec2 - Gerencie grupos de segurança em interfaces de rede elásticas e instâncias do Amazon EC2. Gerencie ACLs de rede nas sub-redes da Amazon VPC.

  • vpc - Gerencie sub-redes, tabelas de rotas, tags e endpoints na Amazon VPC.

  • wafv2 - Gerencie ACLs AWS WAF da web, permissões de grupos de regras e associações de ACLs da web em sua conta.

  • cloudfront - Crie ACLs da web para proteger as distribuições do CloudFront.

  • config - Gerencie as regras AWS Config de propriedade do Firewall Manager em sua conta.

  • iam - Gerencie essa função vinculada ao serviço e crie as funções obrigatórias e vinculadas ao serviço AWS WAF Shield se configurar o registro em log para AWS WAF e as políticas do Shield.

  • organization - Crie uma função vinculada ao serviço de propriedade do Firewall Manager para gerenciar recursos AWS Organizations usados pelo Firewall Manager.

  • shield - Gerencie proteções AWS Shield e configurações de mitigação L7 para recursos em sua conta.

  • ram - Gerencie o compartilhamento de recursos AWS RAM para grupos de regras do Firewall DNS e grupos de regras do Network Firewall.

  • network-firewall - Gerencie recursos de propriedade do Firewall Manager e recursos AWS Network Firewall dependentes do Amazon VPC em sua conta.

  • route53resolver - Gerencie associações de Firewall DNS de propriedade do Firewall Manager em sua conta.

Veja a política completa no console do IAM: FMSServiceRolePolicy.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.

Criar uma função vinculada ao serviço para o Firewall Manager

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você habilita o registro em log do Firewall Manager no Console de gerenciamento da AWS ou faz uma solicitação de PutLoggingConfiguration na CLI do Firewall Manager ou na API do Firewall Manager, o Firewall Manager cria a função vinculada ao serviço para você.

Você deve ter a permissão iam:CreateServiceLinkedRole para habilitar o registro em log.

Se excluir essa função vinculada a serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você habilita o registro em log do Firewall Manager, o Firewall Manager cria a função vinculada ao serviço novamente.

Editar uma função vinculada ao serviço para o Firewall Manager

O Firewall Manager não permite que você edite a função vinculada ao serviço AWSServiceRoleForFMS. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço para o Firewall Manager

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.

nota

Se o serviço Firewall Manager estiver usando a função quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Excluir o perfil vinculado a serviço usando o IAM

Use o console, a CLI ou a API do IAM para excluir a função vinculada ao serviço AWSServiceRoleForFMS. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões com suporte a funções vinculadas ao serviço do Firewall Manager

O Firewall Manager oferece suporte a funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Endpoints e cotas do Firewall Manager.