AWSWAFReadOnlyAccess AWSWAFFullAccess AWSWAFConsoleReadOnlyAccess AWSWAFConsoleFullAccess WAFV2LoggingServiceRolePolicy Atualizações da política

AWS Políticas gerenciadas pela do AWS WAF

Esta seção explica como usar políticas gerenciadas da AWS para o AWS WAF.

Uma política gerenciada pela AWS é uma política independente criada e administrada pela AWS. As políticas gerenciadas pela AWS são criadas para fornecer permissões a vários casos de uso comuns e permitir a atribuição de permissões a usuários, grupos e perfis.

Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para casos de uso específicos, por estarem disponíveis para uso por todos os clientes da AWS. Recomendamos que você reduza ainda mais as permissões definindo as políticas gerenciadas pelo cliente que são específicas para seus casos de uso.

Você não pode alterar as permissões definidas em políticas gerenciadas pela AWS. Se a AWS atualiza as permissões definidas em um política gerenciada por AWS, a atualização afeta todas as identidades de entidades principais (usuários, grupos e perfis) às quais a política estiver vinculada. É provável que a AWS atualize uma política gerenciada por AWS quando um novo AWS service (Serviço da AWS) for lançado, ou novas operações de API forem disponibilizadas para os serviços existentes.

Para obter mais informações, consulte AWSPolíticas gerenciadas pela no Guia do usuário do IAM.

Política gerenciada pela AWS: AWSWAFReadOnlyAccess

Essa política concede permissões somente leitura que permitem aos usuários acessar os recursos do AWS WAF e os recursos de serviços integrados, como o Amazon CloudFront, o Amazon API Gateway, o Application Load Balancer, o AWS AppSync, o Amazon Cognito, o AWS App Runner, o AWS Amplify, o Amazon CloudWatch e o AWS Verified Access. Essa política pode ser anexada a suas identidades do IAM. O AWS WAF também anexa essa política a um perfil de serviço que permite que o AWS WAF realize ações em seu nome.

Para obter detalhes sobre essa política, consulte AWSWAFReadOnlyAccess no console do IAM.

Política gerenciada pela AWS: AWSWAFFullAccess

Essa política concede acesso total aos recursos do AWS WAF e aos recursos de serviços integrados do AWS Amplify, como o Amazon CloudFront, o Amazon API Gateway, o Application Load Balancer, o AWS AppSync, o Amazon Cognito, o AWS App Runner, o , o Amazon CloudWatch e o AWS Verified Access. Essa política pode ser anexada a suas identidades do IAM. O AWS WAF também anexa essa política a um perfil de serviço que permite que o AWS WAF realize ações em seu nome.

Para obter detalhes sobre essa política, consulte AWSWAFFullAccess no console do IAM.

Política gerenciada pela AWS: AWSWAFConsoleReadOnlyAccess

Essa política concede permissões somente leitura ao console do AWS WAF, o que inclui recursos do AWS WAF e de serviços integrados, como o Amazon CloudFront, o Amazon API Gateway, o Application Load Balancer, o AWS AppSync, o Amazon Cognito, o AWS App Runner, o AWS Amplify, o Amazon CloudWatch e o AWS Verified Access. É possível anexar essa política às suas identidades do IAM.

Para obter detalhes sobre essa política, consulte AWSWAFConsoleReadOnlyAccess no console do IAM.

Política gerenciada pela AWS: AWSWAFConsoleFullAccess

Essa política concede acesso total ao console do AWS WAF, o que inclui recursos do AWS WAF e de serviços integrados, como o Amazon CloudFront, o Amazon API Gateway, o Application Load Balancer, o AWS AppSync, o Amazon Cognito, o AWS App Runner, o AWS Amplify, o Amazon CloudWatch e o AWS Verified Access. Essa política pode ser anexada a suas identidades do IAM. O AWS WAF também anexa essa política a um perfil de serviço que permite que o AWS WAF realize ações em seu nome.

Para obter detalhes sobre essa política, consulte AWSWAFConsoleFullAccess no console do IAM.

Política gerenciada da AWS: WAFV2LoggingServiceRolePolicy

Essa política permite que o AWS WAF grave logs no Amazon Data Firehose. Essa política é usada somente se você habilitar o registro de logs no AWS WAF. Esta política é anexada à função vinculada ao serviço AWSServiceRoleForWAFV2Logging. Para obter mais informações sobre a função vinculada ao serviço do , consulte Usar perfis vinculados a serviço do AWS WAF.

Para obter detalhes sobre essa política, consulte WAFV2LoggingServiceRolePolicy no console do IAM.

Atualizações do AWS WAF para políticas gerenciadas pela AWS

Visualizar detalhes sobre atualizações em políticas gerenciadas pela AWS para o AWS WAF desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações realizadas nesta página, inscreva-se no feed RSS na página AWS WAF Histórico de documentos do Histórico do documento.

Política	Descrição de alteração	Data
`AWSWAFConsoleReadOnlyAccess` Essa política permite ao AWS WAF gerenciar recursos do console da AWS e outros recursos da AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFConsoleReadOnlyAccess.	Atualizadas as seguintes permissões: `apigateway:GET`: atualizado o escopo do recurso para restringir os recursos recuperáveis somente aos recursos do Amazon API Gateway Adicionou as seguintes permissões: AWS AppSync `appsync:ListApis`: concede permissão para recuperar as APIs do AWS AppSync em sua conta da AWS Amazon CloudWatch `logs:StartQuery`: concede permissão para iniciar uma consulta de um ou mais grupos de log do Amazon CloudWatch Logs Insights `logs:DescribeQueryDefinitions`: concede permissão para obter uma lista das definições de consulta do Amazon CloudWatch Logs Insights e salvá-las em sua conta da AWS ou em uma conta de origem da AWS `logs:GetQueryResults`: concede permissão para obter os resultados de uma consulta específica do Amazon CloudWatch Logs Insights Amazon Data Firehose `firehose:ListDeliveryStreams`: concede permissão para recuperar fluxos do Firehose na sua conta da AWS AWS Price List `pricing:GetPriceListFileUrl`: concede permissão para obter a URL usado para recuperar um arquivo de lista de preços do AWS Price List `pricing:ListPriceLists`: concede permissão para recuperar uma lista de referências de lista de preços do AWS Price List AWS Marketplace `aws-marketplace:ViewSubscriptions`: concede permissão para visualizar as assinaturas de software de AWS Marketplace associadas à sua conta AWS	2025-11-03
`AWSWAFConsoleFullAccess` Essa política permite ao AWS WAF gerenciar recursos do console da AWS e outros recursos da AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFConsoleFullAccess.	Atualizadas as seguintes permissões: `apigateway:GET`: atualizado o escopo do recurso para restringir os recursos recuperáveis somente aos recursos do Amazon API Gateway Adicionou as seguintes permissões: AWS AppSync `appsync:ListApis`: concede permissão para recuperar as APIs do AWS AppSync em sua conta da AWS Amazon CloudWatch `logs:StartQuery`: concede permissão para iniciar uma consulta de um ou mais grupos de log do Amazon CloudWatch Logs Insights `logs:DescribeQueryDefinitions`: concede permissão para obter uma lista das definições de consulta do Amazon CloudWatch Logs Insights e salvá-las em sua conta da AWS ou em uma conta de origem da AWS `logs:GetQueryResults`: concede permissão para obter os resultados de uma consulta específica do Amazon CloudWatch Logs Insights Amazon Data Firehose `firehose:ListDeliveryStreams`: concede permissão para recuperar fluxos do Firehose na sua conta da AWS AWS Price List `pricing:GetPriceListFileUrl`: concede permissão para obter a URL usado para recuperar um arquivo de lista de preços do AWS Price List `pricing:ListPriceLists`: concede permissão para recuperar uma lista de referências de lista de preços do AWS Price List AWS Marketplace `aws-marketplace:ViewSubscriptions`: concede permissão para visualizar as assinaturas de software de AWS Marketplace associadas à sua conta AWS	2025-11-03
`AWSWAFFullAccess` Essa política permite que o AWS WAF gerencie recursos AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFFullAccess.	Adicionadas as permissões AssociateWebACL, DisassociateWebACL, GetWebACLForResource e ListResourcesForWebACL necessárias para o AWS Amplify.	2025-05-05
`AWSWAFReadOnlyAccess` Essa política permite que o AWS WAF gerencie recursos AWS em seu nome no AWS WAF e em serviços integrados. Para obter detalhes sobre essa política, consulte AWSWAFReadOnlyAccess no console do IAM.	Adicionadas as permissões GetWebACLForResource e ListResourcesForWebACL necessárias para o AWS Amplify.	2025-05-05
`AWSWAFConsoleReadOnlyAccess` Essa política permite ao AWS WAF gerenciar recursos do console da AWS e outros recursos da AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFConsoleReadOnlyAccess.	Adicionou as seguintes permissões: Amplify `amplify:GetWebACLForResource`: concede permissão para recuperar o pacote de proteção (ACL da Web) do AWS WAF associado a um recurso do Amplify `amplify:ListApps`: Concede permissão para recuperar as aplicações do Amplify em sua Conta da AWS `amplify:ListResourcesForWebACL`: concede permissão para recuperar as aplicações do Amplify com o pacote de proteção (ACL da Web) do AWS WAF CloudFront `cloudfront:GetDistributionConfig`: concede permissão para obter as informações de configuração de uma distribuição do CloudFront `cloudfront:GetDistributionTenant`: concede permissão para obter as informações sobre um locatário de distribuição do CloudFront `cloudfront:ListDistributionTenants`: concede permissão para listar os locatários de distribuição do CloudFront associados com a sua Conta da AWS `cloudfront:ListDistributionTenantsByCustomization`: concede permissão para listar os locatários de distribuição do CloudFront filtrados associados com a sua Conta da AWS	2025-05-05
`AWSWAFConsoleFullAccess` Essa política permite ao AWS WAF gerenciar recursos do console da AWS e outros recursos da AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFConsoleFullAccess.	Adicionou as seguintes permissões: Amplify `amplify:AssociateWebACL`: concede permissão para associar um pacote de proteção (ACL da Web) do AWS WAF a um recurso do Amplify `amplify:DisassociateWebACL`: concede permissão para desassociar um pacote de proteção (ACL da Web) do AWS WAF de um recurso do Amplify `amplify:GetWebACLForResource`: concede permissão para recuperar o pacote de proteção (ACL da Web) do AWS WAF associado a um recurso do Amplify `amplify:ListApps`: Concede permissão para recuperar as aplicações do Amplify em sua Conta da AWS `amplify:ListResourcesForWebACL`: concede permissão para recuperar as aplicações do Amplify com o pacote de proteção (ACL da Web) do AWS WAF CloudFront `cloudfront:AssociateDistributionTenantWebACL`: concede permissão para associar um pacote de proteção (ACL da Web) do AWS WAF com um locatário de distribuição do CloudFront `cloudfront:AssociateDistributionWebACL`: concede permissão para associar um pacote de proteção (ACL da Web) do AWS WAF com uma distribuição do CloudFront `cloudfront:DisassociateDistributionTenantWebACL`: concede permissão para desassociar um pacote de proteção (ACL da Web) do AWS WAF de um locatário de distribuição do CloudFront `cloudfront:DisassociateDistributionWebACL`: concede permissão para desassociar um pacote de proteção (ACL da Web) do AWS WAF de uma distribuição do CloudFront `cloudfront:GetDistributionConfig`: concede permissão para obter as informações de configuração de uma distribuição do CloudFront `cloudfront:GetDistributionTenant`: concede permissão para obter as informações sobre um locatário de distribuição do CloudFront `cloudfront:ListDistributionTenants`: concede permissão para listar os locatários de distribuição do CloudFront associados com a sua Conta da AWS `cloudfront:ListDistributionTenantsByCustomization`: concede permissão para listar os locatários de distribuição do CloudFront filtrados associados com a sua Conta da AWS	2025-05-05
`WAFV2LoggingServiceRolePolicy` Essa política permite que o AWS WAF grave logs no Amazon Data Firehose. Ela é usada somente se você ativar o registro de logs. Detalhes no console do IAM: WAFV2LoggingServiceRolePolicy.	IDs de instrução (SIDs) adicionadas às configurações de permissões na função vinculada ao serviço à qual essa política está anexada.	2024-06-03
`AWSServiceRoleForWAFV2Logging` Essa função vinculada a serviços fornece políticas de permissão que permitem que o AWS WAF grave logs no Amazon Data Firehose. Detalhes no console do IAM: AWSServiceRoleForWAFV2Logging.	IDs de instrução (SIDs) adicionadas às configurações de permissões.	2024-06-03
Adições do AWS WAF ao rastreamento de alterações	O AWS WAF começou a monitorar as alterações na política gerenciada `WAFV2LoggingServiceRolePolicy` e na função vinculada a serviços `AWSServiceRoleForWAFV2Logging`.	2024-06-03
`AWSWAFFullAccess` Essa política permite que o AWS WAF gerencie recursos AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFFullAccess.	Permissões expandidas para adicionar instâncias do acesso verificado da AWS aos tipos de recursos com os quais você pode se proteger com o AWS WAF.	2023-06-17
`AWSWAFReadOnlyAccess` Essa política permite que o AWS WAF gerencie recursos AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFReadOnlyAccess.	Permissões expandidas para adicionar instâncias do acesso verificado da AWS aos tipos de recursos com os quais você pode se proteger com o AWS WAF.	2023-06-17
`AWSWAFConsoleFullAccess` Essa política permite ao AWS WAF gerenciar recursos do console da AWS e outros recursos da AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFConsoleFullAccess.	Permissões expandidas para adicionar instâncias do acesso verificado da AWS aos tipos de recursos com os quais você pode se proteger com o AWS WAF.	2023-06-17
`AWSWAFConsoleReadOnlyAccess` Essa política permite ao AWS WAF gerenciar recursos do console da AWS e outros recursos da AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFConsoleReadOnlyAccess.	Permissões expandidas para adicionar instâncias do acesso verificado da AWS aos tipos de recursos com os quais você pode se proteger com o AWS WAF.	2023-06-17
`AWSWAFFullAccess` Essa política permite que o AWS WAF gerencie recursos AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFFullAccess.	Permissões expandidas para corrigir as configurações de acesso dos serviços do AWS App Runner.	2023-06-06
`AWSWAFReadOnlyAccess` Essa política permite que o AWS WAF gerencie recursos AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFReadOnlyAccess.	Permissões expandidas para corrigir as configurações de acesso dos serviços do AWS App Runner.	2023-06-06
`AWSWAFConsoleFullAccess` Essa política permite ao AWS WAF gerenciar recursos do console da AWS e outros recursos da AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFConsoleFullAccess.	Permissões expandidas para corrigir as configurações de acesso dos serviços do AWS App Runner.	2023-06-06
`AWSWAFConsoleReadOnlyAccess` Essa política permite ao AWS WAF gerenciar recursos do console da AWS e outros recursos da AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFConsoleReadOnlyAccess.	Permissões expandidas para corrigir as configurações de acesso dos serviços do AWS App Runner.	2023-06-06
`AWSWAFFullAccess` Essa política permite que o AWS WAF gerencie recursos AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFFullAccess.	Permissões expandidas para adicionar serviços do AWS App Runner aos tipos de recursos com os quais você pode se proteger com o AWS WAF.	2023-03-30
`AWSWAFReadOnlyAccess` Essa política permite que o AWS WAF gerencie recursos AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFReadOnlyAccess.	Permissões expandidas para adicionar serviços do AWS App Runner aos tipos de recursos com os quais você pode se proteger com o AWS WAF.	2023-03-30
`AWSWAFConsoleFullAccess` Essa política permite ao AWS WAF gerenciar recursos do console da AWS e outros recursos da AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFConsoleFullAccess.	Permissões expandidas para adicionar serviços do AWS App Runner aos tipos de recursos com os quais você pode se proteger com o AWS WAF.	2023-03-30
`AWSWAFConsoleReadOnlyAccess` Essa política permite ao AWS WAF gerenciar recursos do console da AWS e outros recursos da AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFConsoleReadOnlyAccess.	Permissões expandidas para adicionar serviços do AWS App Runner aos tipos de recursos com os quais você pode se proteger com o AWS WAF.	2023-03-30
`AWSWAFFullAccess` Essa política permite que o AWS WAF gerencie recursos AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFFullAccess.	Permissões expandidas para adicionar grupos de usuários do Amazon Cognito aos tipos de recursos com os quais você pode se proteger com o AWS WAF.	2022-08-25
`AWSWAFReadOnlyAccess` Essa política permite que o AWS WAF gerencie recursos AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFReadOnlyAccess.	Permissões expandidas para adicionar grupos de usuários do Amazon Cognito aos tipos de recursos com os quais você pode se proteger com o AWS WAF.	2022-08-25
`AWSWAFConsoleFullAccess` Essa política permite ao AWS WAF gerenciar recursos do console da AWS e outros recursos da AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFConsoleFullAccess.	Permissões expandidas para adicionar grupos de usuários do Amazon Cognito aos tipos de recursos com os quais você pode se proteger com o AWS WAF.	2022-08-25
`AWSWAFConsoleReadOnlyAccess` Essa política permite ao AWS WAF gerenciar recursos do console da AWS e outros recursos da AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFConsoleReadOnlyAccess.	Permissões expandidas para adicionar grupos de usuários do Amazon Cognito aos tipos de recursos com os quais você pode se proteger com o AWS WAF.	2022-08-25
`AWSWAFFullAccess` Essa política permite que o AWS WAF gerencie recursos AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFFullAccess.	As configurações de permissão para entrega de logs foram corrigidas para o Amazon Simple Storage Service (Amazon S3) e o Amazon CloudWatch Logs. Essa alteração soluciona os erros de acesso negado que estavam ocorrendo durante a configuração dos logs. Para obter informações sobre registro em log de tráfego do pacote de proteção (ACL da WEB), consulte Registro em log de tráfego do pacote de proteção (ACL da Web) do AWS WAF.	2022-01-11
`AWSWAFConsoleFullAccess` Essa política permite ao AWS WAF gerenciar recursos do console da AWS e outros recursos da AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFConsoleFullAccess.	As configurações de permissão para entrega de logs foram corrigidas para o Amazon Simple Storage Service (Amazon S3) e o Amazon CloudWatch Logs. Essa alteração soluciona os erros de acesso que estavam ocorrendo durante a configuração dos logs. Para obter informações sobre registro em log de tráfego do pacote de proteção (ACL da WEB), consulte Registro em log de tráfego do pacote de proteção (ACL da Web) do AWS WAF.	2022-01-11
`AWSWAFFullAccess` Essa política permite que o AWS WAF gerencie recursos AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFFullAccess.	Foram adicionadas novas permissões para opções de logs expandidas. Essa alteração dá ao AWS WAF acesso aos destinos de logs adicionais: Amazon Simple Storage Service (Amazon S3) e Amazon CloudWatch Logs. Para obter informações sobre registro em log de tráfego do pacote de proteção (ACL da WEB), consulte Registro em log de tráfego do pacote de proteção (ACL da Web) do AWS WAF.	2021-11-15
`AWSWAFConsoleFullAccess` Essa política permite ao AWS WAF gerenciar recursos do console da AWS e outros recursos da AWS em seu nome no AWS WAF e em serviços integrados. Detalhes no console do IAM: AWSWAFConsoleFullAccess.	Foram adicionadas novas permissões para opções de logs expandidas. Essa alteração dá ao AWS WAF acesso aos destinos de logs adicionais: Amazon Simple Storage Service (Amazon S3) e Amazon CloudWatch Logs. Para obter informações sobre registro em log de tráfego do pacote de proteção (ACL da WEB), consulte Registro em log de tráfego do pacote de proteção (ACL da Web) do AWS WAF.	2021-11-15
AWS WAFO iniciou o rastreamento das alterações	O AWS WAF começou a monitorar as alterações para as políticas gerenciadas pela AWS.	2021-3-01

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Exemplos de políticas baseadas em identidade

Solução de problemas

AWS Políticas gerenciadas pela do AWS WAF

Política gerenciada pela AWS: AWSWAFReadOnlyAccess

Política gerenciada pela AWS: AWSWAFFullAccess

Política gerenciada pela AWS: AWSWAFConsoleReadOnlyAccess

Política gerenciada pela AWS: AWSWAFConsoleFullAccess

Política gerenciada da AWS: WAFV2LoggingServiceRolePolicy

Atualizações do AWS WAF para políticas gerenciadas pela AWS

AWS AppSync

Amazon CloudWatch

Amazon Data Firehose

AWS Price List

AWS Marketplace