Firewall Manager 需要权限才能进行 API 操作 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Firewall Manager 需要权限才能进行 API 操作

当你设置时访问控制并编写可附加到 IAM 身份的权限策略(基于身份的策略),使用本节中的信息作为指南。对于每个 Amazon Firewall Manager API 操作,您需要知道可为其授予权限的相应操作以及您可为其授予权限的 Amazon 资源。您可以在策略的 Action 字段中指定这些操作,并在策略的 Resource 字段中指定资源值。

注意

要指定操作,请在 API 操作名称之前使用 fms: 前缀 (例如,fms:CreatePolicy)。

本主题仅列出需要显式资源权限的操作。

您可以在 Amazon Firewall Manager 策略中使用 Amazon 范围的条件键来表示条件。有关 Amazon 范围内的键的完整列表,请参阅《IAM 用户指南》中的条件的可用键

要使用以下 Firewall Manager API 操作,您需要对资源的权限:arn:aws:fms:region:account:policy/ID.

此外,要使用Firewall Manager API 操作PutNotificationChannel,您指定的 Amazon SNS 主题必须允许Firewall Manager 服务相关角色向其发布消息。下面显示了一个示例 SNS 主题权限设置:

{
  "Sid": "AWSFirewallManagerSNSPolicy",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::account ID:role/aws-service-role/fms.amazonaws.com/AWSServiceRoleForFMS"
  },
  "Action": "sns:Publish",
  "Resource": "SNS topic ARN"
}

有关 Firewall Manager 操作和资源的更多信息,请参阅Amazon Identity and Access Management指南主题操作定义者Amazon Firewall Manager

有关 Firewall Manager 可用的 API 操作的完整列表,请参阅Amazon Firewall ManagerAPI 参考.