**推出 的新主控台體驗 AWS WAF**
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 的服務連結角色 AWS WAF
本節說明如何使用服務連結角色來授予您 AWS 帳戶中資源的 AWS WAF 存取權。
AWS WAF use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 的唯一 IAM 角色類型 AWS WAF。服務連結角色由 預先定義, AWS WAF 並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更 AWS WAF 輕鬆地設定,因為您不必手動新增必要的許可。 AWS WAF 會定義其服務連結角色的許可,除非另有定義,否則只能 AWS WAF 擔任其角色。已定義的許可包括信任政策和許可政策。該許可政策無法連接至其他任何 IAM 實體。
您必須先刪除角色的相關資源,才能刪除服務連結角色。這可保護您的 AWS WAF 資源,因為您不會不小心移除存取資源的許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找 **Service-Linked Role** (服務連結角色) 欄顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## 的服務連結角色許可 AWS WAF
AWS WAF 使用服務連結角色`AWSServiceRoleForWAFV2Logging`將日誌寫入 Amazon Data Firehose。只有在您啟用登入時,才會使用此角色 AWS WAF。如需日誌記錄的相關資訊,請參閱[記錄 AWS WAF 保護套件 (Web ACL) 流量](logging.md)。
此服務連結角色會連接到 AWS 受管政策 `WAFV2LoggingServiceRolePolicy`。如需受管政策的更多相關資訊,請參閱[AWS 受管政策:WAFV2LoggingServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-WAFV2LoggingServiceRolePolicy)。
`AWSServiceRoleForWAFV2Logging` 服務連結角色信任 `wafv2.amazonaws.com` 服務來擔任該角色。
角色的許可政策允許 對指定的資源 AWS WAF 完成下列動作:
+ Amazon Data Firehose 動作:名稱開頭為 的 Firehose 資料串流資源`PutRecordBatch`上的 `PutRecord`和 `aws-waf-logs-`。例如 `aws-waf-logs-us-east-2-analytics`。
+ AWS Organizations 動作:在 Organizations organizations 資源`DescribeOrganization`上。
請參閱 IAM 主控台中的完整服務連結角色:[AWSServiceRoleForWAFV2Logging](https://console.aws.amazon.com/iam/home#/roles/details/AWSServiceRoleForWAFV2Logging)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 為 建立服務連結角色 AWS WAF
您不需要手動建立服務連結角色,當您在 上啟用 AWS WAF 記錄 AWS 管理主控台,或在 AWS WAF CLI 或 AWS WAF API 中提出`PutLoggingConfiguration`請求時, 會為您 AWS WAF 建立服務連結角色。
您必須擁有 `iam:CreateServiceLinkedRole` 許可才能啟用記錄。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您啟用 AWS WAF 記錄時, 會再次為您 AWS WAF 建立服務連結角色。
## 編輯 的服務連結角色 AWS WAF
AWS WAF 不允許您編輯`AWSServiceRoleForWAFV2Logging`服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 的服務連結角色 AWS WAF
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
**注意**
如果 AWS WAF 服務在您嘗試刪除資源時使用角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**刪除 使用 AWS WAF 的資源 `AWSServiceRoleForWAFV2Logging`**
1. 在 AWS WAF 主控台上,從每個 Web ACL 移除記錄。如需詳細資訊,請參閱[記錄 AWS WAF 保護套件 (Web ACL) 流量](logging.md)。
1. 使用 API 或 CLI,為每個 Web ACL 提交 `DeleteLoggingConfiguration` 請求啟用記錄功能。如需詳細資訊,請參閱 [AWS WAF API 參考](https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html)。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台、IAM CLI 或 IAM API 刪除 `AWSServiceRoleForWAFV2Logging` 服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## AWS WAF 服務連結角色支援的區域
AWS WAF 支援在所有提供服務的區域中使用服務連結角色。如需詳細資訊,請參閱 [AWS WAF 端點和配額](https://docs.aws.amazon.com/general/latest/gr/waf.html)。