本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理您的访问权限概览Amazon WAF经典资源
这是Amazon WAFClassic文档中)。仅当 2019 年 11 月之前在 Amazon WAF 中创建了 Amazon WAF 资源(例如规则和 Web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的资源,请参阅迁移您的Amazon WAF适用于的经典资源Amazon WAF。
对于最新版本的Amazon WAF请参阅,请参阅Amazon WAF.
每个 Amazon 资源都归某个 Amazon Web Services 账户 账户所有,创建或访问资源的权限由权限策略进行管理。账户管理员可以向 IAM 身份(即:用户、组和角色)附加权限策略。有些服务还支持向资源附加权限策略。
账户管理员(或管理员用户)是具有管理员权限的用户。有关更多信息,请参阅 IAM 用户指南中的 IAM 最佳实践。
在授予权限时,您要决定谁获得权限,获得对哪些资源的权限,以及您允许对这些资源执行的具体操作。
主题
Amazon WAF经典资源和操作
中Amazon WAF经典,资源是Web ACL和规则.Amazon WAF Classic 还支持以下条件字节,IP 匹配项,以及大小约束.
这些资源和条件关联有唯一 Amazon 资源名称 (ARN),如下表所示。
| Amazon WAF 控制台中的名称 | Amazon WAF SDK/CLI 中的名称 | ARN 格式 | |
|---|---|---|---|
| Web ACL | WebACL |
|
|
| 规则 | Rule |
|
|
| 字符串匹配条件 | ByteMatchSet |
|
|
| SQL 注入匹配条件 | SqlInjectionMatchSet |
arn:aws:waf:: |
|
| 大小约束条件 | SizeConstraintSet |
arn:aws:waf:: |
|
| IP 匹配条件 | IPSet |
arn:aws:waf:: |
|
| 跨站点脚本匹配条件 | XssMatchSet |
arn:aws:waf:: |
允许或拒绝对部分的访问Amazon WAF经典资源,将资源的 ARN 包含在resource您的政策的要素。针对的 ARNAmazon WAFClassic 具有以下格式:
arn:aws:waf::account:resource/ID
将 account、resource 和 ID 变量替换为有效值。有效值如下:
-
帐户:您的身份证件Amazon Web Services 账户. 您必须指定值。 -
资源:的类型Amazon WAF经典资源。 -
ID:的 IDAmazon WAF经典资源或通配符 (*),以表示与指定类型关联的所有资源Amazon Web Services 账户.
例如,以下 ARN 指定账户 111122223333 的所有 Web ACL:
arn:aws:waf::111122223333:webacl/*
有关更多信息,请参阅 。资源在里面IAM 用户指南.
Amazon WAFClication 提供一组操作可供使用Amazon WAF经典资源。有关可用操作的列表,请参阅操作。
了解资源所有权
一个资源拥有者ies是Amazon Web Services 账户这会创建资源。也就是说,资源所有者是Amazon Web Services 账户的主要实体(根账户、IAM 用户或 IAM 角色),它会对创建资源的请求进行身份验证。以下示例说明了它的工作原理:
-
如果您使用您的根账户证书Amazon Web Services 账户创建Amazon WAF经典资源,你的Amazon Web Services 账户是资源的拥有者。
-
如果您在您的 IAM 用户Amazon Web Services 账户并授予权限以创建Amazon WAF该用户的经典资源,用户可以创建一个Amazon WAF经典资源。不过,该角色所属的账户所有Amazon WAF经典资源。
-
如果您要在 IAM 角色中创建 IAM 角色Amazon Web Services 账户具有创建Amazon WAF经典资源,任何可以担任该角色的人都可以创建Amazon WAF经典资源。该角色所属的账户拥有该角色的权限Amazon WAF经典资源。
管理对资源的访问
权限策略规定谁可以访问哪些内容。接下来的部分介绍创建权限策略时的可用选项。
附加到 IAM 身份的策略称为基于身份的 ACL策略和附加到资源的策略被称为基于资源的资源为基础策略。Amazon WAFClasic 只支持基于身份的策略。
主题
基于身份的策略(IAM policy)
您可以向 IAM 身份附加策略。例如,您可以执行以下操作:
-
向您账户中的用户或组附加权限策略— 账户管理员可以使用与特定用户关联的权限策略授予该用户创建Amazon WAF经典资源。
-
向角色附加权限策略(授予跨账户权限) – 您可以向 IAM 角色附加基于身份的权限策略,以授予跨账户的权限。例如,账户 A 中的管理员可以创建一个角色,以向其他账户授予跨账户权限Amazon Web Services 账户(例如,账户 B)或Amazon服务如下:
-
账户 A 管理员可以创建一个 IAM 角色,然后向该角色附加授予其访问账户 A 中资源的权限策略。
-
账户 A 管理员可以把信任策略附加至用来标识账户 B 的角色,账户 B 由此可以作为主体代入该角色。
-
之后,账户 B 管理员可以授予权限,将该角色指定给账户 B 中的所有用户。这样,账户 B 中的用户就可以创建或访问账户 A 中的资源了。如果您想授予 Amazon 服务权限来担任该角色,则信任策略中的委托人也可以是 Amazon 服务委托人。
有关使用 IAM 委托权限的更多信息,请参阅 IAM 用户指南中的访问权限管理。
-
以下示例策略授予对所有资源执行 waf:ListRules 操作的权限。在目前的实施中,Amazon WAFClassic 不支持对某些 API 操作使用资源 ARN(也称为资源级权限)来标识特定资源,因此您必须指定通配符 (*):
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ListRules", "Effect": "Allow", "Action": [ "waf:ListRules" ], "Resource": "*" } ] }
有关使用基于身份的策略的更多信息Amazon WAF请参阅为使用基于身份的策略 (IAM 策略)Amazon WAFClassic. 有关用户、组、角色和权限的更多信息,请参阅 IAM 用户指南中的身份(用户、组和角色)。
基于资源的策略
其他服务 [如Simple Storage Service(Amazon S3)] 还支持基于资源的权限策略。例如,您可以将基于资源的策略附加到 S3 存储桶以管理对该存储桶的访问权限。Amazon WAF 不支持基于资源的策略。
授权基于Amazon WAF经典标签
你可以将标签附加到Amazon WAF经典资源或将请求中的标签传递到Amazon WAF经典。要基于标签控制访问,您需要在策略的条件元素中提供标签信息。有关标记资源的更多信息,请参阅使用标签编辑器。
指定策略元素:操作、效果、资源和主体
对于每个Amazon WAF经典资源(参见Amazon WAF经典资源和操作),该服务定义了一组 API 操作 (Application API 操作)(参见Amazon WAF经典 API 权限:操作、资源和条件参考)。要为这些 API 操作授予权限,Amazon WAFClassic 定义了可在策略中指定的一组操作。请注意,执行某项 API 操作可能需要执行多个操作的权限。在授予特定操作的权限时,您也可以标识允许或拒绝对其执行操作的资源。
以下是最基本的策略元素:
-
Resource(资源)- 在策略中,您可以使用 Amazon Resource Name (ARN) 标识策略应用到的资源。有关更多信息,请参阅 Amazon WAF经典资源和操作。
-
操作 – 您可以使用操作关键字标识要允许或拒绝的资源操作。例如,
waf:CreateRule权限允许用户权限执行Amazon WAFClassicCreateRule操作。 -
效果— 用于指定在用户请求特定操作时的效果。可以是允许或拒绝。如果没有显式授予允许资源的访问权限,则隐式拒绝访问。您也可显式拒绝对资源的访问,这样可确保用户无法访问该资源,即使有其他策略授予了访问权限的情况下也是如此。
-
委托人— 在基于身份的策略(IAM policy)中,附加了策略的用户是隐式委托人。Amazon WAF不支持基于资源的策略。
有关 IAM policy 语法和介绍的更多信息,请参阅 IAM 用户指南中的 Amazon IAM policy 参考。
对于一张显示所有内容的表格Amazon WAF经典 API 操作及其适用的资源,请参阅Amazon WAF经典 API 权限:操作、资源和条件参考.
在策略中指定条件
当您授予权限时,可使用 IAM policy 语言来指定规定策略何时生效的条件。例如,您可能希望策略仅在特定日期后应用。有关使用策略语言指定条件的更多信息,请参阅 IAM 用户指南中的条件。
要表示条件,您可以使用预定义的条件键。没有特定于的条件键Amazon WAF经典。但是,其中有将军的Amazon您可以根据需要使用的条件键。有关完整列表Amazon钥匙,请参阅条件的可用密钥在里面IAM 用户指南.