Presentamos una nueva experiencia de consola para AWS WAF
Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.
Uso de roles vinculados a servicios en AWS WAF Classic
aviso
AWS WAF Classic está pasando por un proceso planificado de final de vida útil. Consulte el panel de control de AWS Health para ver los hitos y las fechas específicos de su región.
nota
Esta es la documentación de AWS WAF Classic. Solo debe usar esta versión si creó recursos de AWS WAF, como reglas y ACL web, en AWS WAF antes de noviembre de 2019, y aún no los ha migrado a la versión más reciente. Para migrar las ACL web, consulte Migración de los recursos de AWS WAF a AWS WAF.
Para obtener la última versión de AWS WAF, consulte AWS WAF.
AWS WAF Classic utiliza roles vinculados al servicio (IAM) de AWS Identity and Access Management. Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a AWS WAF Classic. Los roles vinculados a servicios están predefinidos por AWS WAF Classic e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.
Un rol vinculado a un servicio simplifica la configuración de AWS WAF Classic porque ya no tendrá que agregar manualmente los permisos necesarios. AWS WAF Classic define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo AWS WAF Classic puede asumir sus roles. Los permisos definidos incluyen la política de confianza y la política de permisos. Dicha política de permisos no se puede asociar a ninguna otra entidad de IAM.
Solo puede eliminar un rol vinculado a un servicio después de eliminar los recursos relacionados del rol. De esta forma, se protegen los recursos de AWS WAF Classic, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Sí en la columna Rol vinculado a un servicio. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
Permisos de roles vinculados a servicios de AWS WAF Classic
AWS WAF Classic utiliza los siguientes roles vinculados a servicios:
-
AWSServiceRoleForWAFLogging AWSServiceRoleForWAFRegionalLogging
AWS WAF Classic utiliza estos roles vinculados a servicios para escribir registros en Amazon Data Firehose. Estos roles solo se utilizan si habilita la escritura de registros en AWS WAF. Para obtener más información, consulte Registro de información del tráfico de la ACL web.
Los roles vinculados al servicio AWSServiceRoleForWAFLogging y AWSServiceRoleForWAFRegionalLogging confían en los siguientes servicios (respectivamente) para asumir el rol:
-
waf.amazonaws.comwaf-regional.amazonaws.com
Las políticas de permisos de los roles permiten que AWS WAF Classic realice las siguientes acciones en los recursos especificados:
-
Acción:
firehose:PutRecordyfirehose:PutRecordBatchen recursos de flujo de datos de Amazon Data Firehose con un nombre que comienza con “aws-waf-logs-”. Por ejemplo,aws-waf-logs-us-east-2-analytics.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Creación de un rol vinculado a servicios para AWS WAF Classic
No necesita crear manualmente un rol vinculado a servicios. Al habilitar los registros de AWS WAF Classic en la Consola de administración de AWS o realizar una solicitud de PutLoggingConfiguration en la CLI de AWS WAF o la API de AWS WAF, AWS WAF crea el rol vinculado al servicio de forma automática.
Debe tener el permiso iam:CreateServiceLinkedRole para habilitar el registro.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al habilitar los registros de AWS WAF Classic, AWS WAF Classic se encarga de volver crear automáticamente el rol vinculado al servicio.
Modificación de un rol vinculado a un servicio en instancias de AWS WAF Classic
AWS WAF Classic no le permite modificar los roles vinculados al servicio AWSServiceRoleForWAFLogging y AWSServiceRoleForWAFRegionalLogging. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Edición de un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminación de roles vinculados a servicios en AWS WAF Classic
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
nota
Si el servicio AWS WAF está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
Eliminación de los recursos de AWS WAF Classic que se utilizan en AWSServiceRoleForWAFLogging y AWSServiceRoleForWAFRegionalLogging
-
En la consola de AWS WAF Classic, quite el registro de todas las ACL web. Para obtener más información, consulte Registro de información del tráfico de la ACL web.
-
Mediante la API o la CLI, envíe una solicitud
DeleteLoggingConfigurationpara cada ACL web que tenga habilitado el registro. Para obtener más información, consulte la Referencia de la API de AWS WAF Classic.
Para eliminar manualmente el rol vinculado a servicios mediante IAM
Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar los roles vinculados a servicios AWSServiceRoleForWAFLogging y AWSServiceRoleForWAFRegionalLogging. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.
Regiones admitidas para los roles vinculados a un servicio de AWS WAF Classic
AWS WAF Classic admite el uso de roles vinculados al servicio en las siguientes Regiones de AWS.
| Nombre de la región | Identidad de la región | Soporte en AWS WAF Classic |
|---|---|---|
| EE. UU. Este (Norte de Virginia) | us-east-1 |
Sí |
| EE. UU. Este (Ohio) | us-east-2 |
Sí |
| EE. UU Oeste (Norte de California) | us-west-1 |
Sí |
| Oeste de EE. UU. (Oregón) | us-west-2 |
Sí |
| Asia-Pacífico (Mumbai) | ap-south-1 |
Sí |
| Asia-Pacífico (Osaka) | ap-northeast-3 |
Sí |
| Asia-Pacífico (Seúl) | ap-northeast-2 |
Sí |
| Asia-Pacífico (Singapur) | ap-southeast-1 |
Sí |
| Asia-Pacífico (Sídney) | ap-southeast-2 |
Sí |
| Asia-Pacífico (Tokio) | ap-northeast-1 |
Sí |
| Canadá (centro) | ca-central-1 |
Sí |
| Europa (Fráncfort) | eu-central-1 |
Sí |
| Europa (Irlanda) | eu-west-1 |
Sí |
| Europa (Londres) | eu-west-2 |
Sí |
| Europa (París) | eu-west-3 |
Sí |
| América del Sur (São Paulo) | sa-east-1 |
Sí |
