Apresentação de uma nova experiência de console para o AWS WAF
Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.
Como o AWS WAF funciona com o IAM
Esta seção explica como usar os recursos do IAM com o AWS WAF.
Antes de usar o IAM para gerenciar o acesso ao AWS WAF, saiba quais recursos do IAM estão disponíveis para uso com o AWS WAF.
| Atributo do IAM | AWS WAFSuporte a |
|---|---|
|
Sim |
|
|
Sim |
|
|
Sim |
|
|
Sim |
|
|
Sim |
|
|
Não |
|
|
Parcial |
|
|
Sim |
|
|
Sim |
|
|
Sim |
|
|
Sim |
Para obter uma visualização de alto nível de como o AWS WAF e outros serviços da AWS funcionam com a maioria dos recursos do IAM, consulte AWSServiços Compatíveis com o IAM no Guia do Usuário do IAM.
Políticas do baseadas em identidade para o AWS WAF
Compatível com políticas baseadas em identidade: sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que você pode anexar a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente no Guia do Usuário do IAM.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte Referência de elemento de política JSON do IAM no Guia do usuário do IAM.
Para ver exemplos de políticas baseadas em identidade do AWS WAF, consulte Exemplos de políticas baseadas em identidade para o AWS WAF.
Políticas baseadas em recursos no AWS WAF
Compatível com políticas baseadas em recursos: sim
Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as políticas de confiança de perfil do IAM e as políticas de bucket do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. Você deve especificar uma entidade principal em uma política baseada em recursos. As entidades principais podem incluir contas, usuários, perfis, usuários federados ou Serviços da AWS.
Para permitir o acesso entre contas, você pode especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em Acesso a recursos entre contas no IAM no Guia do usuário do IAM.
O AWS WAF usa políticas baseadas em recursos para apoiar o compartilhamento de grupos de regras entre contas. Você compartilha um grupo de regras de sua propriedade com outra conta da AWS ao fornecer as configurações de política baseadas em recursos para a chamada de API PutPermissionPolicy do AWS WAF ou para uma chamada da CLI ou de um SDK equivalente. Para obter informações adicionais, incluindo exemplos e links para a documentação em outros idiomas disponíveis, consulte PutPermissionPolicy na Referência de API do AWS WAF. Essa funcionalidade não está disponível por outros meios, como o console ou o CloudFormation.
Ações de políticas para o AWS WAF
Compatível com ações de políticas: sim
Os administradores podem usar as políticas JSON da AWS para especificar quem tem acesso a quê. Ou seja, qual entidade principal pode executar ações em quais recursos e em que condições.
O elemento Action de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.
Para ver uma lista das ações e permissões do AWS WAF, consulte Ações definidas pelo AWS WAF V2 na Referência de autorização do serviço.
As ações de políticas no AWS WAF usam o seguinte prefixo antes da ação:
wafv2
Para especificar várias ações em uma única instrução, separe-as com vírgulas.
"Action": [ "wafv2:action1", "wafv2:action2" ]
Você também pode especificar várias ações usando caracteres-curinga (*). Por exemplo, para especificar todas as ações no AWS WAF que começam com List, inclua a seguinte ação:
"Action": "wafv2:List*"
Para ver exemplos de políticas baseadas em identidade do AWS WAF, consulte Exemplos de políticas baseadas em identidade para o AWS WAF.
Ações que exigem configurações de permissões adicionais
Algumas ações exigem permissões que não podem ser completamente descritas em Ações definidas pelo V2 da AWS WAF na Referência de autorização de serviço. Esta seção fornece informações adicionais sobre permissões.
Tópicos
Permissões para AssociateWebACL
Esta seção lista as permissões necessárias para associar um pacote de proteção (ACL da Web) a um recurso usando a ação AssociateWebACL do AWS WAF.
Para distribuições do Amazon CloudFront, em vez dessa ação, use a ação UpdateDistribution do CloudFront. Para obter mais informações, consulte UpdateDistribution na Referência da API do Amazon CloudFront.
API REST do Amazon API Gateway
Requer permissão para chamar do API SetWebACL do Gateway no tipo de recurso API REST e para chamar AssociateWebACL do AWS WAF em um pacote de proteção (ACL da Web).
{ "Sid": "AssociateWebACL1", "Effect": "Allow", "Action": [ "wafv2:AssociateWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "AssociateWebACL2", "Effect": "Allow", "Action": [ "apigateway:SetWebACL" ], "Resource": [ "arn:aws:apigateway:*::/restapis/*/stages/*" ] }
Application Load Balancer
Requer permissão para chamar uma ação elasticloadbalancing:SetWebACL no tipo de recurso Application Load Balancer e para chamar AssociateWebACL do AWS WAF em um pacote de proteção (ACL da Web).
{ "Sid": "AssociateWebACL1", "Effect": "Allow", "Action": [ "wafv2:AssociateWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "AssociateWebACL2", "Effect": "Allow", "Action": [ "elasticloadbalancing:SetWebACL" ], "Resource": [ "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*" ] }
API GraphQL do AWS AppSync
Requer permissão para chamar SetWebACL do AWS AppSync no tipo de recurso API GraphQL e para chamar AssociateWebACL do AWS WAF em um pacote de proteção (ACL da Web).
{ "Sid": "AssociateWebACL1", "Effect": "Allow", "Action": [ "wafv2:AssociateWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "AssociateWebACL2", "Effect": "Allow", "Action": [ "appsync:SetWebACL" ], "Resource": [ "arn:aws:appsync:*:account-id:apis/*" ] }
Grupo de usuários do Amazon Cognito
Requer permissão para chamar a ação AssociateWebACL do Amazon Cognito no tipo de recurso grupo de usuários e para chamar AssociateWebACL do AWS WAF em um pacote de proteção (ACL da Web).
{ "Sid": "AssociateWebACL1", "Effect": "Allow", "Action": [ "wafv2:AssociateWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "AssociateWebACL2", "Effect": "Allow", "Action": [ "cognito-idp:AssociateWebACL" ], "Resource": [ "arn:aws:cognito-idp:*:account-id:userpool/*" ] }
AWS App RunnerServiço da
Requer permissão para chamar a ação AssociateWebACL do App Runner no tipo de recurso do App Runner e para chamar AssociateWebACL do AWS WAF em uma web ACL.
{ "Sid": "AssociateWebACL1", "Effect": "Allow", "Action": [ "wafv2:AssociateWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "AssociateWebACL2", "Effect": "Allow", "Action": [ "apprunner:AssociateWebAcl" ], "Resource": [ "arn:aws:apprunner:*:account-id:service/*/*" ] }
Instância de acesso verificado da AWS
Requer permissão para chamar a ação ec2:AssociateVerifiedAccessInstanceWebAcl no tipo de recurso da instância do acesso verificado e para chamar AssociateWebACL do AWS WAF em uma web ACL.
{ "Sid": "AssociateWebACL1", "Effect": "Allow", "Action": [ "wafv2:AssociateWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "AssociateWebACL2", "Effect": "Allow", "Action": [ "ec2:AssociateVerifiedAccessInstanceWebAcl" ], "Resource": [ "arn:aws:ec2:*:account-id:verified-access-instance/*" ] }
Permissões para DisassociateWebACL
Esta seção lista as permissões necessárias para desassociar um pacote de proteção (ACL da Web) de um recurso usando a ação DisassociateWebACL do AWS WAF.
Para distribuições do Amazon CloudFront, em vez dessa ação, use a ação UpdateDistribution do CloudFront com um ID de pacote de proteção (ACL da Web) vazio. Para obter mais informações, consulte UpdateDistribution na Referência da API do Amazon CloudFront.
API REST do Amazon API Gateway
Requer permissão para chamar SetWebACL do API Gateway no tipo de recurso da API REST. Não requer permissão para chamar AWS WAF DisassociateWebACL.
{ "Sid": "DisassociateWebACL", "Effect": "Allow", "Action": [ "apigateway:SetWebACL" ], "Resource": [ "arn:aws:apigateway:*::/restapis/*/stages/*" ] }
Application Load Balancer
Requer permissão para chamar a ação elasticloadbalancing:SetWebACL no tipo de recurso do Application Load Balancer. Não requer permissão para chamar AWS WAF DisassociateWebACL.
{ "Sid": "DisassociateWebACL", "Effect": "Allow", "Action": [ "elasticloadbalancing:SetWebACL" ], "Resource": [ "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*" ] }
API GraphQL do AWS AppSync
Requer permissão para chamar SetWebACL do AWS AppSync no tipo de recurso da API GraphQL. Não requer permissão para chamar AWS WAF DisassociateWebACL.
{ "Sid": "DisassociateWebACL", "Effect": "Allow", "Action": [ "appsync:SetWebACL" ], "Resource": [ "arn:aws:appsync:*:account-id:apis/*" ] }
Grupo de usuários do Amazon Cognito
Requer permissão para chamar a ação DisassociateWebACL do Amazon Cognito no tipo de recurso do grupo de usuários e para chamar DisassociateWebACL do AWS WAF.
{ "Sid": "DisassociateWebACL1", "Effect": "Allow", "Action": "wafv2:DisassociateWebACL", "Resource": "*" }, { "Sid": "DisassociateWebACL2", "Effect": "Allow", "Action": [ "cognito-idp:DisassociateWebACL" ], "Resource": [ "arn:aws:cognito-idp:*:account-id:userpool/*" ] }
AWS App RunnerServiço da
Requer permissão para chamar a ação DisassociateWebACL do App Runner no tipo de recurso do App Runner e para chamar DisassociateWebACL do AWS WAF.
{ "Sid": "DisassociateWebACL1", "Effect": "Allow", "Action": "wafv2:DisassociateWebACL", "Resource": "*" }, { "Sid": "DisassociateWebACL2", "Effect": "Allow", "Action": [ "apprunner:DisassociateWebAcl" ], "Resource": [ "arn:aws:apprunner:*:account-id:service/*/*" ] }
Instância de acesso verificado da AWS
Requer permissão para chamar a ação ec2:DisassociateVerifiedAccessInstanceWebAcl no tipo de recurso da instância do acesso verificado e para chamar DisassociateWebACL do AWS WAF.
{ "Sid": "DisassociateWebACL1", "Effect": "Allow", "Action": "wafv2:DisassociateWebACL", "Resource": "*" }, { "Sid": "DisassociateWebACL2", "Effect": "Allow", "Action": [ "ec2:DisassociateVerifiedAccessInstanceWebAcl" ], "Resource": [ "arn:aws:ec2:*:account-id:verified-access-instance/*" ] }
Permissões para GetWebACLForResource
Esta seção lista as permissões necessárias para obter o pacote de proteção (ACL da Web) para um recurso protegido usando a ação GetWebACLForResource do AWS WAF.
Para distribuições do Amazon CloudFront, em vez dessa ação, use a ação GetDistributionConfig do CloudFront. Para obter mais informações, consulte GetDistributionConfig na Referência de APIs do Amazon CloudFront.
nota
GetWebACLForResource requer permissão para chamar GetWebACL. Nesse contexto, o AWS WAF usa GetWebACL apenas para verificar se sua conta tem a permissão necessária para acessar o pacote de proteção (ACL da Web) que GetWebACLForResource retorna. Ao chamar GetWebACLForResource, você pode receber um erro indicando que sua conta não está autorizada a realizar wafv2:GetWebACL no recurso. O AWS WAF não adiciona esse tipo de erro ao histórico de eventos do AWS CloudTrail.
API REST do Amazon API Gateway, Application Load Balancer e API GraphQL do AWS AppSync
Requerem permissão para chamar GetWebACLForResource e GetWebACL do AWS WAF para um pacote de proteção (ACL da Web).
{ "Sid": "GetWebACLForResource", "Effect": "Allow", "Action": [ "wafv2:GetWebACLForResource", "wafv2:GetWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }
Grupo de usuários do Amazon Cognito
Requer permissão para chamar a ação GetWebACLForResource do Amazon Cognito no tipo de recurso do grupo de usuários e para chamar GetWebACLForResource e GetWebACL do AWS WAF.
{ "Sid": "GetWebACLForResource1", "Effect": "Allow", "Action": [ "wafv2:GetWebACLForResource", "wafv2:GetWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "GetWebACLForResource2", "Effect": "Allow", "Action": [ "cognito-idp:GetWebACLForResource" ], "Resource": [ "arn:aws:cognito-idp:*:account-id:userpool/*" ] }
AWS App RunnerServiço da
Requer permissão para chamar a ação DescribeWebAclForService do App Runner no tipo de recurso do App Runner e para chamar GetWebACLForResource e GetWebACL do AWS WAF.
{ "Sid": "GetWebACLForResource1", "Effect": "Allow", "Action": [ "wafv2:GetWebACLForResource", "wafv2:GetWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "GetWebACLForResource2", "Effect": "Allow", "Action": [ "apprunner:DescribeWebAclForService" ], "Resource": [ "arn:aws:apprunner:*:account-id:service/*/*" ] }
Instância de acesso verificado da AWS
Requer permissão para chamar a ação ec2:GetVerifiedAccessInstanceWebAcl no tipo de recurso da instância do acesso verificado e para chamar GetWebACLForResource e GetWebACL do AWS WAF.
{ "Sid": "GetWebACLForResource1", "Effect": "Allow", "Action": [ "wafv2:GetWebACLForResource", "wafv2:GetWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "GetWebACLForResource2", "Effect": "Allow", "Action": [ "ec2:GetVerifiedAccessInstanceWebAcl" ], "Resource": [ "arn:aws:ec2:*:account-id:verified-access-instance/*" ] }
Permissões para ListResourcesForWebACL
Esta seção lista as permissões necessárias para recuperar a lista de recursos protegidos para um pacote de proteção (ACL da Web) usando a ação ListResourcesForWebACL do AWS WAF.
Para distribuições do Amazon CloudFront, em vez dessa ação, use a ação ListDistributionsByWebACLId do CloudFront. Para obter mais informações, consulte ListDistributionsByWebACLId na Referência da API do Amazon CloudFront.
API REST do Amazon API Gateway, Application Load Balancer e API GraphQL do AWS AppSync
Exigir permissão para chamar ListResourcesForWebACL do AWS WAF para solicitar uma web ACL.
{ "Sid": "ListResourcesForWebACL", "Effect": "Allow", "Action": [ "wafv2:ListResourcesForWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }
Grupo de usuários do Amazon Cognito
Requer permissão para chamar a ação ListResourcesForWebACL do Amazon Cognito no tipo de recurso do grupo de usuários e para chamar ListResourcesForWebACL do AWS WAF.
{ "Sid": "ListResourcesForWebACL1", "Effect": "Allow", "Action": [ "wafv2:ListResourcesForWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "ListResourcesForWebACL2", "Effect": "Allow", "Action": [ "cognito-idp:ListResourcesForWebACL" ], "Resource": [ "arn:aws:cognito-idp:*:account-id:userpool/*" ] }
AWS App RunnerServiço da
Requer permissão para chamar a ação ListAssociatedServicesForWebAcl do App Runner no tipo de recurso do App Runner e para chamar ListResourcesForWebACL do AWS WAF.
{ "Sid": "ListResourcesForWebACL1", "Effect": "Allow", "Action": [ "wafv2:ListResourcesForWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "ListResourcesForWebACL2", "Effect": "Allow", "Action": [ "apprunner:ListAssociatedServicesForWebAcl" ], "Resource": [ "arn:aws:apprunner:*:account-id:service/*/*" ] }
Instância de acesso verificado da AWS
Requer permissão para chamar a ação ec2:DescribeVerifiedAccessInstanceWebAclAssociations no tipo de recurso da instância do acesso verificado e para chamar ListResourcesForWebACL do AWS WAF.
{ "Sid": "ListResourcesForWebACL1", "Effect": "Allow", "Action": [ "wafv2:ListResourcesForWebACL" ], "Resource": [ "arn:aws:wafv2:region:account-id:regional/webacl/*/*" ] }, { "Sid": "ListResourcesForWebACL2", "Effect": "Allow", "Action": [ "ec2:DescribeVerifiedAccessInstanceWebAclAssociations" ], "Resource": [ "arn:aws:ec2:*:account-id:verified-access-instance/*" ] }
recursos de políticas para AWS WAF
Compatível com recursos de políticas: sim
Os administradores podem usar as políticas JSON da AWS para especificar quem tem acesso a quê. Ou seja, qual entidade principal pode executar ações em quais recursos e em que condições.
O elemento de política JSON Resource especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu nome do recurso da Amazon (ARN). Para ações em que não é possível usar permissões em nível de recurso, use um curinga (*) para indicar que a instrução se aplica a todos os recursos.
"Resource": "*"
Para obter uma lista dos tipos de recursos AWS WAF e seus ARNs, consulte recursos definidos por AWS WAF V2 na Referência de autorização do serviço. Para saber com quais ações é possível especificar o ARN de cada recurso, consulte Ações definidas pelo AWS WAF V2. Para permitir ou negar o acesso a um subconjunto de recursos do AWS WAF, inclua o ARN do recurso no elemento resource da sua política.
Os ARNs para recursos do AWS WAF wafv2 têm o seguinte formato:
arn:partition:wafv2:region:account-id:scope/resource-type/resource-name/resource-id
Para obter informações sobre os ARNs, consulte Nomes de recurso da Amazon (ARN) na Referência geral da Amazon Web Services.
A seguir, são listados os requisitos específicos dos ARNs dos recursos wafv2:
-
region: para os recursos do AWS WAF que você usa para proteger as distribuições do Amazon CloudFront, defina isso comous-east-1. Caso contrário, defina isso para a região que você está usando com seus recursos regionais protegidos. -
scope: defina o escopo emglobalpara uso com uma distribuição do Amazon CloudFrontregionalou para uso com qualquer um dos recursos regionais que oferecem suporte AWS WAF. Os recursos regionais são uma API REST do Amazon API Gateway, um Application Load Balancer, uma API GraphQL AWS AppSync, um grupo de usuários do Amazon Cognito, um serviço AWS App Runner e uma instância de acesso verificado AWS. -
resource-type: especifique um dos seguintes valores:webacl,rulegroup,ipset,regexpatternsetoumanagedruleset. -
resource-name: especifique o nome que você deu ao recurso AWS WAF ou especifique um curinga (*) para indicar todos os recursos que atendem às outras especificações no ARN. Você deve especificar o nome do recurso e a ID do recurso ou especificar um caractere curinga para ambos. -
resource-id: especifique o ID do recurso AWS WAF ou especifique um curinga (*) para indicar todos os recursos que atendem às outras especificações no ARN. Você deve especificar o nome do recurso e a ID do recurso ou especificar um caractere curinga para ambos.
Por exemplo, o ARN a seguir especifica todos os pacotes de proteção (ACL da Web) com escopo regional da conta 111122223333 na região us-west-1:
arn:aws:wafv2:us-west-1:111122223333:regional/webacl/*/*
O ARN a seguir especifica o grupo de regras nomeado MyIPManagementRuleGroup com escopo global para a conta 111122223333 na Região us-east-1:
arn:aws:wafv2:us-east-1:111122223333:global/rulegroup/MyIPManagementRuleGroup/1111aaaa-bbbb-cccc-dddd-example-id
Para ver exemplos de políticas baseadas em identidade do AWS WAF, consulte Exemplos de políticas baseadas em identidade para o AWS WAF.
Chaves de condição de políticas para AWS WAF
Compatível com chaves de condição de política específicas de serviço: sim
Os administradores podem usar as políticas JSON da AWS para especificar quem tem acesso a quê. Ou seja, qual entidade principal pode executar ações em quais recursos e em que condições.
O elemento Condition especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem agentes de condição, como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição globais da AWS, consulte Chaves de contexto de condição globais da AWS no Guia do usuário do IAM.
Além disso, o AWS WAF é compatível com as seguintes chaves de condição que você pode usar para fornecer filtragem refinada para as políticas do IAM:
-
wafv2:LogDestinationResource
Essa chave de condição usa uma especificação do nome do recurso da Amazon (ARN) para o destino do registro de logs. Esse é o ARN que você fornece para o destino do registro de logs ao usar a chamada da API REST
PutLoggingConfiguration.Você pode especificar explicitamente um ARN e especificar a filtragem para o ARN. O exemplo a seguir especifica a filtragem para ARNs de bucket do Amazon S3 que têm uma localização e um prefixo específicos.
"Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-suffix/custom-prefix/*" } } -
wafv2:LogScope
Essa chave de condição define a origem da configuração de registro de logs em uma string. Atualmente, isso é sempre definido como o padrão
Customer, o que indica que o destino do registro de logs pertence e é gerenciado por você.
Para ver uma lista de chaves de condição do AWS WAF, consulte Chaves de condição do AWS WAF V2 na Referência de autorização do serviço. Para saber com quais ações e recursos é possível usar uma chave de condição, consulte Ações definidas pelo AWS WAF V2.
Para ver exemplos de políticas baseadas em identidade do AWS WAF, consulte Exemplos de políticas baseadas em identidade para o AWS WAF.
ACLs no AWS WAF
Compatível com ACLs: não
As listas de controle de acesso (ACLs) controlam quais entidades principais (membros, usuários ou perfis da conta) têm permissões para acessar um recurso. As ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.
ABAC com AWS WAF
Compatível com ABAC (tags em políticas): parcial
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. É possível anexar tags a entidades do IAM e recursos da AWS e, em seguida, criar políticas de ABAC para permitir operações quando a tag da entidade principal corresponder à tag no recurso.
Para controlar o acesso baseado em tags, forneça informações sobre as tags no elemento de condição de uma política usando as aws:ResourceTag/, key-nameaws:RequestTag/ ou chaves de condição key-nameaws:TagKeys.
Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será Sim para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será Parcial
Para obter mais informações sobre o ABAC, consulte Definir permissões com autorização do ABAC no Guia do usuário do IAM. Para visualizar um tutorial com etapas para configurar o ABAC, consulte Usar controle de acesso baseado em atributos (ABAC) no Guia do usuário do IAM.
Usar credenciais temporárias com o AWS WAF
Compatível com credenciais temporárias: sim
As credenciais temporárias oferecem acesso de curto prazo aos recursos da AWS e são criadas automaticamente quando você usa a federação ou troca de perfis. A AWS recomenda gerar credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte Credenciais de segurança temporárias no IAM e Serviços da Serviços da AWS que funcionam com o IAM no Guia do usuário do IAM.
Sessões de acesso direto para o serviço AWS WAF
Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS): sim
As sessões de acesso direto (FAS) usam as permissões da entidade principal chamando um AWS service (Serviço da AWS), bem como o AWS service (Serviço da AWS) solicitante, para fazer solicitações a serviços subsequentes. Para obter detalhes da política ao fazer solicitações de FAS, consulte Encaminhamento de sessões de acesso.
Funções de serviço para AWS WAF
Compatível com perfis de serviço: sim
O perfil de serviço é um perfil do IAM que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para obter mais informações, consulte Criar um perfil para delegar permissões a um AWS service (Serviço da AWS) no Guia do Usuário do IAM.
Atenção
Alterar as permissões de um perfil de serviço pode prejudicar a funcionalidade do AWS WAF. Edite perfis de serviço somente quando o AWS WAF fornecer orientação para fazê-lo.
Funções vinculadas ao serviço para o AWS WAF
Compatibilidade com perfis vinculados a serviços: sim
Um perfil vinculado a serviço é um tipo de perfil de serviço vinculado a um AWS service (Serviço da AWS). O serviço pode presumir o perfil de executar uma ação em seu nome. Perfis vinculadas ao serviço aparecem em sua Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados a serviço.
Para obter detalhes sobre como criar ou gerenciar perfis vinculados a serviço do AWS WAF, consulte Usar perfis vinculados a serviço do AWS WAF.
