Apresentação de uma nova experiência de console para o AWS WAF
Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.
Usar perfis vinculados a serviço do AWS WAF
Essa seção explica como usar funções vinculadas ao serviço para oferecer acesso ao AWS WAF a recursos na sua conta da AWS.
O AWS WAF utiliza perfis vinculados a serviço do AWS Identity and Access Management (IAM). O perfil vinculado a serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao AWS WAF. Os perfis vinculados a serviços são predefinidos pelo AWS WAF e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.
Uma perfil vinculada ao serviço facilita a configuração do AWS WAF porque você não precisa adicionar as permissões necessárias manualmente. AWS WAF define as permissões de seus perfis vinculados ao serviço e, a menos que definido de outra forma, somente AWS WAF pode assumir suas perfis. As permissões definidas incluem a política de confiança e a política de permissões. Essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
É possível excluir uma função vinculada ao serviço somente depois de excluir os recursos relacionados da função. Isso protege seus recursos do AWS WAF, pois você não pode remover por engano as permissões para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte Serviços da AWS compatíveis com o IAM e procure os serviços que contenham Sim na coluna Função vinculada a serviço. Escolha Sim com um link para visualizar a documentação da função vinculada a esse serviço.
Permissões de função vinculada ao serviço do AWS WAF
O AWS WAF usa essas funções vinculadas a serviços AWSServiceRoleForWAFV2Logging para gravar logs no Amazon Data Firehose. Essa função é usada somente se você habilitar o registro em log no AWS WAF. Para obter informações sobre registro em log, consulte Registro em log de tráfego do pacote de proteção (ACL da Web) do AWS WAF.
Essa função vinculada a serviços é anexada à política gerenciada da AWS WAFV2LoggingServiceRolePolicy. Para obter mais informações sobre a política gerenciada , consulte Política gerenciada da AWS: WAFV2LoggingServiceRolePolicy.
O perfil vinculado ao serviço AWSServiceRoleForWAFV2Logging confia no serviço wafv2.amazonaws.com para presumir o perfil.
As políticas de permissões da função permitem que o AWS WAF conclua as seguintes ações nos recursos especificados:
-
Ações do Amazon Data Firehose:
PutRecordePutRecordBatchnos recursos de fluxo de dados do Firehose com um nome que começa comaws-waf-logs-. Por exemplo,aws-waf-logs-us-east-2-analytics. -
Ação AWS Organizations:
DescribeOrganizationsobre os recursos das organizações do Organizations.
Veja a função vinculada ao serviço completa no console do IAM: AWSServiceRoleForWAFV2Logging
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte Permissões de Função Vinculadas ao Serviço no Guia do Usuário do IAM.
Criação de uma função vinculada ao serviço para o AWS WAF
Não é necessário criar manualmente uma função vinculada ao serviço. Quando você habilita o registro em log do AWS WAF no Console de gerenciamento da AWS ou faz uma solicitação de PutLoggingConfiguration na CLI do AWS WAF ou na API do AWS WAF, o AWS WAF cria a função vinculada ao serviço para você.
Você deve ter a permissão iam:CreateServiceLinkedRole para habilitar o registro em log.
Se excluir essa função vinculada a serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você habilita o registro em log do AWS WAF, o AWS WAF cria a função vinculada ao serviço novamente.
Editar um perfil vinculado ao serviço para o AWS WAF
O AWS WAF não permite que você edite a função vinculada a serviço AWSServiceRoleForWAFV2Logging. Depois de criar uma função vinculada a serviço, você não poderá alterar o nome da função, já que várias entidades poderão fazer referência à função. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.
Excluir um perfil vinculado ao serviço para o AWS WAF
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de excluí-la manualmente.
nota
Se o serviço AWS WAF estiver usando a função quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Para excluir recursos do AWS WAF usados por AWSServiceRoleForWAFV2Logging
-
No console do AWS WAF, remova o registro de cada web ACL. Para obter mais informações, consulte Registro em log de tráfego do pacote de proteção (ACL da Web) do AWS WAF.
-
Usando a API ou a CLI, envie uma solicitação
DeleteLoggingConfigurationpara cada web ACL que tem o registro em log habilitado. Para obter mais informações, consulte Referência de API do AWS WAF.
Como excluir manualmente o perfil vinculado ao serviço usando o IAM
Use o console, a CLI ou a API do IAM para excluir a função vinculada ao serviço AWSServiceRoleForWAFV2Logging. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.
Regiões suportadas por perfis vinculados a serviço do AWS WAF
AWS WAFO oferece suporte a funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Endpoints e cotas do AWS WAF.
