为使用基于身份的策略 (IAM 策略)Amazon WAFClassic - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
主题使用所需的权限Amazon WAF经典控制台Amazon的管理(预定义)策略Amazon WAFClassic客户托管式策略示例
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为使用基于身份的策略 (IAM 策略)Amazon WAFClassic

注意

这是Amazon WAFClassic文档中)。仅当 2019 年 11 月之前在 Amazon WAF 中创建了 Amazon WAF 资源(例如规则和 Web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的资源,请参阅迁移您的Amazon WAF适用于的经典资源Amazon WAF

对于最新版本的Amazon WAF请参阅,请参阅Amazon WAF.

本节提供了基于身份的策略的示例,这些示例展示了账户管理员如何将权限策略附加到 IAM 身份(即用户、组和角色),从而授予对 IAM 身份(即用户、组和角色)附加权限策略Amazon WAF经典资源。

重要

我们建议您首先阅读以下介绍性主题,这些主题讲解了管理您的访问的基本概念和选项Amazon WAF经典资源。有关更多信息,请参阅 管理您的访问权限概览Amazon WAF经典资源

对于一张显示所有内容的表格Amazon WAF经典 API 操作及其适用的资源,请参阅Amazon WAF经典 API 权限:操作、资源和条件参考.

主题

使用所需的权限Amazon WAF经典控制台

这些区域有:Amazon WAFClassic 控制台为你提供了一个集成环境供你创建和管理Amazon WAF经典资源。该控制台提供了许多功能和工作流程,这些功能和工作流程通常需要权限才能创建Amazon WAF除了 API 特定的权限外,还有经典资源,这些权限记录在Amazon WAF经典 API 权限:操作、资源和条件参考. 有关这些附加控制台权限的更多信息,请参阅客户托管式策略示例

Amazon的管理(预定义)策略Amazon WAFClassic

Amazon通过提供由创建和管理的独立 IAM policy来满足许多常用案例的要求。Amazon托管式策略可授予常用案例的必要权限,因此,您可以免去调查都需要哪些权限的工作。有关更多信息,请参阅 IAM 用户指南中的Amazon托管策略

以下Amazon托管式策略(可附加到您账户中的用户)特定于Amazon WAF经典:

  • AWSWAFReadOnlyAccess— 授予对Amazon WAF经典资源。

  • AWSWAFFullAccess— 授予对Amazon WAF经典资源。

  • AWSWAFConsoleReadOnlyAccess— 授予对Amazon WAF经典控制台,其中包含以下资源Amazon WAF以及综合服务,例如亚马逊 CloudFront、Amazon API Gateway、Application Load Balancer 亚马逊 CloudWatch.

  • AWSWAFConsoleFullAccess— 授予对Amazon WAF经典控制台,其中包含以下资源Amazon WAF以及综合服务,例如亚马逊 CloudFront、Amazon API Gateway、Application Load Balancer 亚马逊 CloudWatch.

注意

您可以通过登录到 IAM 控制台并在该控制台中搜索特定策略来查看这些权限策略。

此外,您还可以创建自己的自定义 IAM 策略,以授予以下权限Amazon WAF经典 API 操作和资源。您可以将这些自定义策略附加到需要这些权限的 IAM 用户或组,或者附加到您为自己创建的自定义执行角色(IAM 角色)附加到Amazon WAF经典资源。

客户托管式策略示例

此部分中的示例提供了一组可附加到用户的示例策略。如果您是首次创建策略,建议您先在账户中创建 IAM 用户,并按本节操作步骤所述顺序将策略附加到该用户。

在将每个策略附加到用户时,可使用控制台验证该策略的效果。最初,用户没有权限并且无法在控制台中执行任何操作。在将策略附加到用户时,可以验证用户是否能在控制台中执行各种操作。

建议您使用两个浏览器窗口:一个浏览器窗口用于创建用户和授予权限,另一个浏览器窗口用于使用用户凭证登录 Amazon Web Services Management Console,并在向用户授予权限时验证这些权限。

有关演示如何创建可用作执行角色的 IAM 角色的示例Amazon WAF经典资源,请参阅创建 IAM 角色在里面IAM 用户指南.

示例主题

创建 IAM 用户

首先,您需要创建一个 IAM 用户,将该用户添加到具有管理权限的 IAM 组,然后向您创建的 IAM 用户授予管理权限。随后,您可以使用专用 URL 和该用户的凭证访问 Amazon。

有关说明,请参阅创建您的第一个 IAM 用户和管理员组在里面IAM 用户指南.

示例 1:授予对的只读访问权限Amazon WAF经典, CloudFront,以及 CloudWatch

以下策略为用户授予权限Amazon WAF经典资源,交给亚马逊 CloudFront 网络分发,以及发往亚马逊 CloudWatch 指标。这对于需要权限才能查看中的设置的用户很有用Amazon WAF经典条件、规则和 Web ACL,用于查看哪个分配与 Web ACL 相关联,以及监控指标和请求示例 CloudWatch. 这些用户不能创建、更新或删除Amazon WAF经典资源。

{
   "Version":"2012-10-17",
   "Statement": [
      {
         "Action": [
            "waf:Get*",
            "waf:List*",
            "cloudfront:GetDistribution",
            "cloudfront:GetDistributionConfig",
            "cloudfront:ListDistributions",
            "cloudfront:ListDistributionsByWebACLId",
            "cloudwatch:ListMetrics",
            "cloudwatch:GetMetricStatistics"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]
}

示例 2:授予对用户的完全访问权限Amazon WAF经典, CloudFront,以及 CloudWatch

以下策略允许用户执行任何Amazon WAF经典操作,在上面执行任何操作 CloudFront 网络分布,监控指标和请求样本 CloudWatch. 它对以下用户很有用Amazon WAF经典管理员。

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "waf:*",
            "cloudfront:CreateDistribution",
            "cloudfront:GetDistribution",
            "cloudfront:GetDistributionConfig",
            "cloudfront:UpdateDistribution",
            "cloudfront:ListDistributions",
            "cloudfront:ListDistributionsByWebACLId",
            "cloudfront:DeleteDistribution",
            "cloudwatch:ListMetrics",
            "cloudwatch:GetMetricStatistics"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]
}

强烈建议您为拥有管理权限的用户配置 Multi-Factor Authentication (MFA)。有关更多信息,请参阅 。在中使用Multi-Factor Authentication (MFA)Amazon在里面IAM 用户指南.

示例 3:授予对指定用户的访问权限Amazon Web Services 账户

此策略授予账户 44445556666 授予以下权限:

  • 对所有用户的完全访问Amazon WAF经典操作和资源。

  • 读取和更新对所有人的访问权限 CloudFront 分发,它允许您关联 Web ACL 和 CloudFront 分配。

  • 对所有人的读取访问权限 CloudWatch 指标和指标统计信息,以便您可以查看 CloudWatch中的数据和请求样本Amazon WAF经典控制台。

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "waf:*"
         ],
         "Resource": [
            "arn:aws:waf::444455556666:*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "cloudfront:GetDistribution",
            "cloudfront:GetDistributionConfig",
            "cloudfront:ListDistributions",
            "cloudfront:ListDistributionsByWebACLId",
            "cloudfront:UpdateDistribution",
            "cloudwatch:ListMetrics",
            "cloudwatch:GetMetricStatistics"
         ],
         "Resource": [
            "*"
         ]
      }
   ]
}

示例 4:授予对指定 Web ACL 的访问权限

此策略向账户 444455556666 中的 webacl ID 112233d7c-86b2-458b-af83-51c51example 授予以下权限:

  • 完全访问权限Amazon WAFClassicGet,Update,以及Delete操作和资源

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "waf:*"
         ],
         "Resource": [
            "arn:aws:waf::444455556666:webacl/112233d7c-86b2-458b-af83-51c51example"
         ]
      }
   ]
}