将服务相关角色用于Amazon WAFClassic - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
的服务相关角色权限Amazon WAFClassic为 创建服务相关角色Amazon WAFClassic为 编辑服务相关角色Amazon WAFClassic删除 的服务相关角色Amazon WAFClassic支持的区域Amazon WAF经典服务相关角色
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将服务相关角色用于Amazon WAFClassic

注意

这是Amazon WAFClassic文档中)。仅当 2019 年 11 月之前在 Amazon WAF 中创建了 Amazon WAF 资源(例如规则和 Web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的资源,请参阅迁移您的Amazon WAF适用于的经典资源Amazon WAF

对于最新版本的Amazon WAF请参阅,请参阅Amazon WAF.

Amazon WAF经典用途Amazon Identity and Access Management(IAM)服务相关角色. 服务相关角色是一种独特类型的 IAM 角色,它与Amazon WAF经典。服务相关角色由预定义Amazon WAFClassic,并包含该服务调用其他Amazon代表您提供服务。

服务相关角色进行设置Amazon WAFClassic 更容易,因为您不必手动添加必要的权限。Amazon WAFClassic 定义其服务相关角色的权限,除非另外定义,否则只定义Amazon WAFClassic 可以扮演自己的角色。定义的权限包括信任策略和权限策略。这些权限策略不能附加到任何其他 IAM 实体。

只有在先删除角色的相关资源后,才能删除服务相关角色。这可以保护Amazon WAF经典资源,因为您不能无意中删除对资源的访问权限。

有关支持服务相关角色的其它服务的信息,请参阅使用 IAM 的 Amazon 服务并查找 Service-Linked Role(服务相关角色)列中显示为 Yes(是)的服务。请选择 Yes 与查看该服务的服务相关角色文档的链接。

的服务相关角色权限Amazon WAFClassic

Amazon WAFClasic 使用下列服务相关角色:

  • AWSServiceRoleForWAFLogging

  • AWSServiceRoleForWAFRegionalLogging

Amazon WAFClassic 使用这些服务相关角色将日志写入Amazon Kinesis Data Firehose。仅当您在 Amazon WAF 中启用日志记录时,才会使用这些角色。有关更多信息,请参阅 记录 Web ACL 流量信息

这些区域有:AWSServiceRoleForWAFLoggingAWSServiceRoleForWAFRegionalLogging服务相关角色(分别)信任以下服务代入该角色:

  • waf.amazonaws.com

    waf-regional.amazonaws.com

角色的权限策略允许Amazon WAFClassic 用于对指定资源完成以下操作:

  • 操作:firehose:PutRecordfirehose:PutRecordBatch在 Amazon Kinesis Data Firehose 上名称以 “” 开头的数据流资源aws-waf-logs-。” 例如,aws-waf-logs-us-east-2-analytics

必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限

为 创建服务相关角色Amazon WAFClassic

无需手动创建服务相关角色。当您启用时Amazon WAF经典登录Amazon Web Services Management Console,或者你做一个PutLoggingConfiguration在请求中Amazon WAF经典 CLI 或Amazon WAF经典 API,Amazon WAFClication 会为您创建服务相关角色。

您必须具有 iam:CreateServiceLinkedRole 权限以启用日志记录。

如果删除此服务相关角色,然后需要再次创建,可以使用相同流程在账户中重新创建此角色。当您启用时Amazon WAF经典的日志记录,Amazon WAFClasic 将再次为您创建服务相关角色。

为 编辑服务相关角色Amazon WAFClassic

Amazon WAFClassic 不允许您编辑AWSServiceRoleForWAFLoggingAWSServiceRoleForWAFRegionalLogging服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参见 IAM 用户指南中的编辑服务相关角色

删除 的服务相关角色Amazon WAFClassic

如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。

注意

如果Amazon WAF在您尝试删除资源时,Classic 服务正在使用该角色,删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。

删除Amazon WAF使用的经典资源AWSServiceRoleForWAFLoggingAWSServiceRoleForWAFRegionalLogging

  1. 在Amazon WAF经典控制台,删除每个 Web ACL 中的日志记录。有关更多信息,请参阅 记录 Web ACL 流量信息

  2. 使用 API 或 CLI,为已启用日志记录的每个 Web ACL 提交 DeleteLoggingConfiguration 请求。有关更多信息,请参阅 。Amazon WAF经典 API 参考.

使用 IAM 手动删除服务相关角色

使用 IAM 控制台、IAM CLI 或 IAM API 删除AWSServiceRoleForWAFLoggingAWSServiceRoleForWAFRegionalLogging服务相关角色。有关更多信息,请参见 IAM 用户指南中的删除服务相关角色

支持的区域Amazon WAF经典服务相关角色

Amazon WAFClassic 支持在下面使用服务相关角色Amazon Web Services 区域.

区域名称 区域标识 在以下版本中的SupportAmazon WAFClassic
美国东部(弗吉尼亚州北部) us-east-1
美国东部(俄亥俄州) us-east-2
美国西部(北加利福尼亚) us-west-1
美国西部(俄勒冈州) us-west-2
亚太地区(孟买) ap-south-1
亚太地区(大阪) ap-northeast-3
亚太地区(首尔) ap-northeast-2
亚太地区(新加坡) ap-southeast-1
亚太地区(悉尼) ap-southeast-2
亚太地区(东京) ap-northeast-1
加拿大(中部) ca-central-1
欧洲(法兰克福) eu-central-1
欧洲(爱尔兰) eu-west-1
欧洲(伦敦) eu-west-2
欧洲(巴黎) eu-west-3
南美洲(圣保罗) sa-east-1
中国(北京) cn-north-1