AWSWAFReadOnlyAccess AWSWAFFullAccess AWSWAFConsoleReadOnlyAccess AWSWAFConsoleFullAccess WAFV2LoggingServiceRolePolicy Actualizaciones de políticas

AWS Políticas administradas de para AWS WAF

En esta sección se explica cómo se utilizan las políticas administradas de AWS para AWS WAF.

Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.

Considere que es posible que las políticas administradas de AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda definir políticas administradas por el cliente específicas para sus casos de uso a fin de reducir aún más los permisos.

No puede cambiar los permisos definidos en las políticas administradas de AWS. Si AWS actualiza los permisos definidos en una política administrada de AWS, la actualización afecta a todas las identidades de entidades principales (usuarios, grupos y roles) a las que está adjunta la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo Servicio de AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.

Para obtener más información, consulte Políticas administradas de AWS en la Guía del usuario de IAM.

Política administrada de AWS: AWSWAFReadOnlyAccess

Esta política concede permisos de solo lectura que permiten a los usuarios acceder a recursos de AWS WAF y recursos para servicios integrados, como Amazon CloudFront, Amazon API Gateway, equilibrador de carga de aplicación, AWS AppSync, Amazon Cognito, AWS App Runner, AWS Amplify, Amazon CloudWatch y acceso verificado de AWS. Puede adjuntar esta política a sus identidades de IAM. AWS WAF también asocia esta política a un rol de servicio que permite a AWS WAF realizar acciones en su nombre.

Para obtener información sobre esta política, consulte AWSWAFReadOnlyAccess en la consola de IAM.

Política administrada de AWS: AWSWAFFullAccess

Esta política concede acceso completo a los recurso de AWS WAF y recursos para servicios integrados, como Amazon CloudFront, Amazon API Gateway, Equilibrador de carga de aplicación, AWS AppSync, Amazon Cognito, AWS App Runner, AWS Amplify, Amazon CloudWatch y acceso verificado de AWS. Puede adjuntar esta política a sus identidades de IAM. AWS WAF también asocia esta política a un rol de servicio que permite a AWS WAF realizar acciones en su nombre.

Para obtener más información sobre esta política, consulte AWSWAFFullAccess en la consola de IAM.

Política administrada de AWS: AWSWAFConsoleReadOnlyAccess

Esta política concede permisos de solo lectura a la consola AWS WAF, incluyendo recursos para AWS WAF y para servicios integrados, como Amazon CloudFront, Amazon API Gateway, Equilibrador de carga de aplicación, AWS AppSync, Amazon Cognito, AWS App Runner, AWS Amplify, Amazon CloudWatch y acceso verificado de AWS. Puede adjuntar esta política a sus identidades de IAM.

Para obtener más información sobre esta política, consulte AWSWAFConsoleReadOnlyAccess en la consola de IAM.

Política administrada de AWS: AWSWAFConsoleFullAccess

Esta política otorga acceso total a la consola de AWS WAF, que incluye recursos para AWS WAF y para servicios integrados, como Amazon CloudFront, Amazon API Gateway, equilibrador de carga de aplicación, AWS AppSync, Amazon Cognito, AWS App Runner, AWS Amplify, Amazon CloudWatch y acceso verificado de AWS. Puede adjuntar esta política a sus identidades de IAM. AWS WAF también asocia esta política a un rol de servicio que permite a AWS WAF realizar acciones en su nombre.

Para obtener más información sobre esta política, consulte AWSWAFConsoleFullAccess en la consola de IAM.

Política administrada de AWS: WAFV2LoggingServiceRolePolicy

Esta política permite a AWS WAF escribir registros en Amazon Data Firehose. Esta política solo se utiliza si habilita el registro en AWS WAF. Esta política se adjunta al rol vinculado al servicio de AWSServiceRoleForWAFV2Logging. Para obtener más información sobre el rol vinculado a servicios, consulte Cómo utilizar roles vinculados a servicios de AWS WAF.

Para obtener más información acerca de esta política, consulte WAFV2LoggingServiceRolePolicy en la consola de IAM.

Actualizaciones de AWS WAF para las políticas administradas de AWS

Consulte los detalles relativos a las actualizaciones de las políticas administradas de AWS para AWS WAF desde que este servicio empezara a realizar el seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS en la página Historial de documentos de AWS WAF en Historial de documentos.

Política	Descripción del cambio	Date
`AWSWAFConsoleReadOnlyAccess` Esta política permite a AWS WAF administrar los recursos de la consola de AWS y otros recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFConsoleReadOnlyAccess.	Se han actualizado los siguientes permisos: `apigateway:GET`: se actualizó el alcance de los recursos para restringir los recursos recuperables solo a los recursos de Amazon API Gateway Se han añadido los siguientes permisos: AWS AppSync `appsync:ListApis`: otorga permiso para recuperar AWS AppSync las API de su cuenta AWS Amazon CloudWatch `logs:StartQuery`: otorga permiso para iniciar una consulta de uno o más grupos de registros de información de registros de Amazon CloudWatch `logs:DescribeQueryDefinitions`: otorga permiso para obtener una lista de las definiciones de consultas de información de registros Amazon CloudWatch y guardarlas en AWS su cuenta o en una AWS cuenta de origen `logs:GetQueryResults`: otorga permiso para obtener los resultados de una consulta de información específica de registros de Amazon CloudWatch Amazon Data Firehose `firehose:ListDeliveryStreams`: otorga permiso para enumerar los flujos de Firehose en su cuenta AWS. Lista de precios de AWS `pricing:GetPriceListFileUrl`: otorga permiso para obtener la URL utilizada para recuperar un archivo de lista de precios de Lista de precios de AWS `pricing:ListPriceLists`: otorga permiso para obtener una lista de referencias de listas de precios de Lista de precios de AWS AWS Marketplace `aws-marketplace:ViewSubscriptions`: otorga permiso para ver las suscripciones de software AWS Marketplace asociadas a su cuenta AWS	2025-11-03
`AWSWAFConsoleFullAccess` Esta política permite a AWS WAF administrar los recursos de la consola de AWS y otros recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFConsoleFullAccess.	Se han actualizado los siguientes permisos: `apigateway:GET`: se actualizó el alcance de los recursos para restringir los recursos recuperables solo a los recursos de Amazon API Gateway Se han añadido los siguientes permisos: AWS AppSync `appsync:ListApis`: otorga permiso para recuperar AWS AppSync las API de su cuenta AWS Amazon CloudWatch `logs:StartQuery`: otorga permiso para iniciar una consulta de uno o más grupos de registros de información de registros de Amazon CloudWatch `logs:DescribeQueryDefinitions`: otorga permiso para obtener una lista de las definiciones de consultas de información de registros de Amazon CloudWatch y guardarlas en AWS su cuenta o en una AWS cuenta de origen `logs:GetQueryResults`: otorga permiso para obtener los resultados de una consulta de información específica de registros de Amazon CloudWatch Amazon Data Firehose `firehose:ListDeliveryStreams`: otorga permiso para enumerar los flujos de Firehose en su cuenta AWS. Lista de precios de AWS `pricing:GetPriceListFileUrl`: otorga permiso para obtener la URL utilizada para recuperar un archivo de lista de precios de Lista de precios de AWS `pricing:ListPriceLists`: otorga permiso para obtener una lista de referencias de listas de precios de Lista de precios de AWS AWS Marketplace `aws-marketplace:ViewSubscriptions`: otorga permiso para ver las suscripciones de software AWS Marketplace asociadas a su cuenta AWS	2025-11-03
`AWSWAFFullAccess` Esta política permite a AWS WAF administrar recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFFullAccess.	Se agregaron los permisos para AssociateWebACL, DisassociateWebACL, GetWebACLForResource y ListResourcesForWebACL necesarios para AWS Amplify.	2025-05-05
`AWSWAFReadOnlyAccess` Esta política permite a AWS WAF administrar recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Para obtener información sobre esta política, consulte AWSWAFReadOnlyAccess en la consola de IAM.	Se agregaron los permisos para GetWebACLForResource y ListResourcesForWebACL necesarios para AWS Amplify.	2025-05-05
`AWSWAFConsoleReadOnlyAccess` Esta política permite a AWS WAF administrar los recursos de la consola de AWS y otros recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFConsoleReadOnlyAccess.	Se han añadido los siguientes permisos: Amplify `amplify:GetWebACLForResource`: otorga permiso para recuperar el paquete de protección (ACL web) de AWS WAF asociado a un recurso de Amplify `amplify:ListApps`: otorga permiso para recuperar las aplicaciones Amplify en su Cuenta de AWS `amplify:ListResourcesForWebACL`: otorga permiso para recuperar las aplicaciones de Amplify asociado a un paquete de protección (ACL web) de AWS WAF CloudFront `cloudfront:GetDistributionConfig`: otorga permiso para obtener la información de configuración de una distribución de CloudFront `cloudfront:GetDistributionTenant`: otorga permiso para obtener la información de un inquilino de una distribución de CloudFront `cloudfront:ListDistributionTenants`: otorga permiso para enumerar los inquilinos de distribuciones de CloudFront asociados con su Cuenta de AWS `cloudfront:ListDistributionTenantsByCustomization`: otorga permiso para enumerar los inquilinos filtrados de distribuciones de CloudFront asociados con su Cuenta de AWS	2025-05-05
`AWSWAFConsoleFullAccess` Esta política permite a AWS WAF administrar los recursos de la consola de AWS y otros recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFConsoleFullAccess.	Se han añadido los siguientes permisos: Amplify `amplify:AssociateWebACL`: otorga permiso para asociar un paquete de protección (ACL web) de AWS WAF con un recurso de Amplify `amplify:DisassociateWebACL`: otorga permiso para desasociar un paquete de protección (ACL web) de AWS WAF de un recurso de Amplify `amplify:GetWebACLForResource`: otorga permiso para recuperar el paquete de protección (ACL web) de AWS WAF asociado a un recurso de Amplify `amplify:ListApps`: otorga permiso para recuperar las aplicaciones Amplify en su Cuenta de AWS `amplify:ListResourcesForWebACL`: otorga permiso para recuperar las aplicaciones de Amplify asociado a un paquete de protección (ACL web) de AWS WAF CloudFront `cloudfront:AssociateDistributionTenantWebACL`: concede permiso para asociar un paquete de protección (ACL web) de AWS WAF con un inquilino de una distribución de CloudFront `cloudfront:AssociateDistributionWebACL`: concede permiso para asociar un paquete de protección (ACL web) de AWS WAF con una distribución de CloudFront `cloudfront:DisassociateDistributionTenantWebACL`: concede permiso para desasociar un paquete de protección (ACL web) de AWS WAF con un inquilino de una distribución de CloudFront `cloudfront:DisassociateDistributionWebACL`: concede permiso para desasociar un paquete de protección (ACL web) de AWS WAF con una distribución de CloudFront `cloudfront:GetDistributionConfig`: otorga permiso para obtener la información de configuración de una distribución de CloudFront `cloudfront:GetDistributionTenant`: otorga permiso para obtener la información de un inquilino de una distribución de CloudFront `cloudfront:ListDistributionTenants`: otorga permiso para enumerar los inquilinos de distribuciones de CloudFront asociados con su Cuenta de AWS `cloudfront:ListDistributionTenantsByCustomization`: otorga permiso para enumerar los inquilinos filtrados de distribuciones de CloudFront asociados con su Cuenta de AWS	2025-05-05
`WAFV2LoggingServiceRolePolicy` Esta política permite a AWS WAF escribir registros en Amazon Data Firehose. Solo se utiliza si habilita el registro. Detalles en la consola de IAM: WAFV2LoggingServiceRolePolicy.	Se agregaron identificadores de declaración (SID) a la configuración de permisos del rol vinculado al servicio al que se adjuntó esta política.	2024-06-03
`AWSServiceRoleForWAFV2Logging` Este rol vinculado al servicio proporciona políticas de permisos que permiten a AWS WAF escribir registros en Amazon Data Firehose. Detalles en la consola de IAM: AWSServiceRoleForWAFV2Logging.	Se agregaron los ID de declaración (SID) a la configuración de permisos.	2024-06-03
Adiciones de AWS WAF al seguimiento de cambios	AWS WAF comenzó a hacer el seguimiento de los cambios en la política administrada `WAFV2LoggingServiceRolePolicy` y en el rol vinculado al servicio `AWSServiceRoleForWAFV2Logging`.	2024-06-03
`AWSWAFFullAccess` Esta política permite a AWS WAF administrar recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFFullAccess.	Se ampliaron los permisos para agregar instancias de acceso verificado de AWS a los tipos de recursos que puede proteger con AWS WAF.	17/06/2023
`AWSWAFReadOnlyAccess` Esta política permite a AWS WAF administrar recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFReadOnlyAccess.	Se ampliaron los permisos para agregar instancias de acceso verificado de ‭AWS a los tipos de recursos que puede proteger con ‭AWS WAF.	17/06/2023
`AWSWAFConsoleFullAccess` Esta política permite a AWS WAF administrar los recursos de la consola de AWS y otros recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFConsoleFullAccess.	Se ampliaron los permisos para agregar instancias de acceso verificado de AWS a los tipos de recursos que puede proteger con AWS WAF.	17/06/2023
`AWSWAFConsoleReadOnlyAccess` Esta política permite a AWS WAF administrar los recursos de la consola de AWS y otros recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFConsoleReadOnlyAccess.	Se ampliaron los permisos para agregar instancias de acceso verificado de AWS a los tipos de recursos que puede proteger con AWS WAF.	17/06/2023
`AWSWAFFullAccess` Esta política permite a AWS WAF administrar recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFFullAccess.	Se ampliaron los permisos para corregir la configuración de acceso a los servicios de AWS App Runner.	2023-06-06
`AWSWAFReadOnlyAccess` Esta política permite a AWS WAF administrar recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFReadOnlyAccess.	Se ampliaron los permisos para corregir la configuración de acceso a los servicios de AWS App Runner.	2023-06-06
`AWSWAFConsoleFullAccess` Esta política permite a AWS WAF administrar los recursos de la consola de AWS y otros recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFConsoleFullAccess.	Se ampliaron los permisos para corregir la configuración de acceso a los servicios de AWS App Runner.	2023-06-06
`AWSWAFConsoleReadOnlyAccess` Esta política permite a AWS WAF administrar los recursos de la consola de AWS y otros recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFConsoleReadOnlyAccess.	Se ampliaron los permisos para corregir la configuración de acceso a los servicios de AWS App Runner.	2023-06-06
`AWSWAFFullAccess` Esta política permite a AWS WAF administrar recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFFullAccess.	Se ampliaron los permisos para agregar servicios de AWS App Runner a los tipos de recursos que se pueden proteger con AWS WAF.	30/03/2023
`AWSWAFReadOnlyAccess` Esta política permite a AWS WAF administrar recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFReadOnlyAccess.	Se ampliaron los permisos para agregar servicios de AWS App Runner a los tipos de recursos que se pueden proteger con AWS WAF.	30/03/2023
`AWSWAFConsoleFullAccess` Esta política permite a AWS WAF administrar los recursos de la consola de AWS y otros recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFConsoleFullAccess.	Se ampliaron los permisos para agregar servicios de AWS App Runner a los tipos de recursos que se pueden proteger con AWS WAF.	30/03/2023
`AWSWAFConsoleReadOnlyAccess` Esta política permite a AWS WAF administrar los recursos de la consola de AWS y otros recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFConsoleReadOnlyAccess.	Se ampliaron los permisos para agregar servicios de AWS App Runner a los tipos de recursos que se pueden proteger con AWS WAF.	30/03/2023
`AWSWAFFullAccess` Esta política permite a AWS WAF administrar recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFFullAccess.	Se ampliaron los permisos para agregar grupos de usuarios de Amazon Cognito a los tipos de recursos que se pueden proteger con AWS WAF.	25/08/2022
`AWSWAFReadOnlyAccess` Esta política permite a AWS WAF administrar recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFReadOnlyAccess.	Se ampliaron los permisos para agregar grupos de usuarios de Amazon Cognito a los tipos de recursos que se pueden proteger con AWS WAF.	25/08/2022
`AWSWAFConsoleFullAccess` Esta política permite a AWS WAF administrar los recursos de la consola de AWS y otros recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFConsoleFullAccess.	Se ampliaron los permisos para agregar grupos de usuarios de Amazon Cognito a los tipos de recursos que se pueden proteger con AWS WAF.	25/08/2022
`AWSWAFConsoleReadOnlyAccess` Esta política permite a AWS WAF administrar los recursos de la consola de AWS y otros recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFConsoleReadOnlyAccess.	Se ampliaron los permisos para agregar grupos de usuarios de Amazon Cognito a los tipos de recursos que se pueden proteger con AWS WAF.	25/08/2022
`AWSWAFFullAccess` Esta política permite a AWS WAF administrar recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFFullAccess.	Se corrigió la configuración de los permisos para el envío de registros a Amazon Simple Storage Service (Amazon S3) y los registros de Amazon CloudWatch. Este cambio resuelve los errores de acceso denegado que se produjeron durante la configuración del registro. Para obtener información sobre cómo registrar el tráfico de su paquete de protección (ACL web), consulte Registro del tráfico de paquetes de protección (ACL web) de AWS WAF.	2022-01-11
`AWSWAFConsoleFullAccess` Esta política permite a AWS WAF administrar los recursos de la consola de AWS y otros recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFConsoleFullAccess.	Se corrigió la configuración de los permisos para el envío de registros a Amazon Simple Storage Service (Amazon S3) y los registros de Amazon CloudWatch. Este cambio resuelve los errores de acceso que se produjeron durante la configuración del registro. Para obtener información sobre cómo registrar el tráfico de su paquete de protección (ACL web), consulte Registro del tráfico de paquetes de protección (ACL web) de AWS WAF.	2022-01-11
`AWSWAFFullAccess` Esta política permite a AWS WAF administrar recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFFullAccess.	Se agregaron nuevos permisos para ampliar las opciones de registro. Este cambio proporciona acceso a AWS WAF a los destinos de registro adicionales: Amazon Simple Storage Service (Amazon S3) y los registros de Amazon CloudWatch. Para obtener información sobre cómo registrar el tráfico de su paquete de protección (ACL web), consulte Registro del tráfico de paquetes de protección (ACL web) de AWS WAF.	2021-11-15
`AWSWAFConsoleFullAccess` Esta política permite a AWS WAF administrar los recursos de la consola de AWS y otros recursos de AWS en su nombre en AWS WAF y en los servicios integrados. Detalles en la consola de IAM: AWSWAFConsoleFullAccess.	Se agregaron nuevos permisos para ampliar las opciones de registro. Este cambio proporciona acceso a AWS WAF a los destinos de registro adicionales: Amazon Simple Storage Service (Amazon S3) y los registros de Amazon CloudWatch. Para obtener información sobre cómo registrar el tráfico de su paquete de protección (ACL web), consulte Registro del tráfico de paquetes de protección (ACL web) de AWS WAF.	2021-11-15
AWS WAF comenzó el seguimiento de los cambios	AWS WAF comenzó el seguimiento de los cambios de las políticas administradas de AWS.	2021-3-01

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejemplos de políticas basadas en identidades

Solución de problemas

AWS Políticas administradas de para AWS WAF

Política administrada de AWS: AWSWAFReadOnlyAccess

Política administrada de AWS: AWSWAFFullAccess

Política administrada de AWS: AWSWAFConsoleReadOnlyAccess

Política administrada de AWS: AWSWAFConsoleFullAccess

Política administrada de AWS: WAFV2LoggingServiceRolePolicy

Actualizaciones de AWS WAF para las políticas administradas de AWS

AWS AppSync

Amazon CloudWatch

Amazon Data Firehose

Lista de precios de AWS

AWS Marketplace