Log Service、アセット検出、および透過プロキシモードの機能をで有効にする場合は、WAFコンソールに初めてログインするときに、WAFにクラウドリソースへのアクセスを許可する必要があります。 このトピックでは、WAFによるクラウドリソースへのアクセスを許可する方法について説明します。
サービスにリンクされたロールの概要
次のセクションでは、AliyunServiceRoleForWAFサービスにリンクされたロールについて説明します。
- ロール名: AliyunServiceRoleForWAF
- ポリシー名: AliyunServiceRolePolicyForWAF
注 これはシステムポリシーです。 このポリシーの名前や内容は変更できません。
- ポリシー:
{ "Version": "1", "Statement": [ { "Action": [ "ecs:DescribeInstances", "ecs:DescribeNetworkInterfaces", "ecs:CreateNetworkInterface", "ecs:DeleteNetworkInterface", "ecs:AttachNetworkInterface", "ecs:DetachNetworkInterface" 、 "ecs:DescribeNetworkInterfacePermissions", "ecs: DescribeNetworkInterfaces"、 "ecs:DeleteNetworkInterfacePermission", "ecs:DescribeSecurityGroups", "ecs:DescribeSecurityGroupAttribute", "ecs:CreateSecurityGroup", "ecs:DeleteSecurityGroup", "ecs:AuthorizeSecurityGroup", "ecs:RevokeSecurityGroup", "ecs:DescribeDisks" ], "Resource": "*", "Effect":"Allow" }, { "Action": [ "slb:DescribeServerCertificates" 、 "slb:DescribeDomainExtensions" 、 "slb:DescribeLoadBalancers" 、 "slb:DescribeListenerAccessControlAttribute" 、 "slb:DescribeLoadBalancerAttribute", "slb:DescribeLoadBalancerHTTPListenerAttribute" 、 "slb:DescribeLoadBalancerHTTPSListenerAttribute" 、 "slb:DescribeLoadBalancerTCPListenerAttribute" 、 "slb:DescribeLoadBalancerUDPListenerAttribute" 、 "slb:DescribeTLSCipherPolicies" 、 "slb:ListTLSCipherPolicies" 、 "slb:DescribeLoadBalancers" ], "Resource": "*", "Effect":"Allow" }, { "Action": [ "alb:ListLoadBalancers" 、 "alb:GetLoadBalancerAttribute" 、 "alb: リスナー" 、 "alb:GetListenerAttribute" 、 "alb:ListListenerCertificates" 、 "alb:DescribeRegions" 、 "alb:ListSystemSecurityPolicies" 、 "alb:ListSecurityPolicies" ], "Resource": "*", "Effect":"Allow" }, { "Action": [ "vpc:DescribeEipAddresses" ], "Resource": "*", "Effect":"Allow" }, { "Action": [ "cdn:DescribeUserDomains" 、 "cdn:DescribeCdnDomainDetail" 、 "cdn:DescribeDomainsBySource" 、 "cdn:DescribeUserVipsByDomain" ], "Resource": "*", "Effect":"Allow" }, { "Action": [ "yundun-cert:DescribeUserCertificateList" ], "Resource": "*", "Effect":"Allow" }, { "Action": [ "log:PostLogStoreLogs"、 "log:GetProject", "log:ListProject", "log:GetLogStore", "log:ListLogStores", "log:GetLogStore" "log:CreateProject", "log:GetIndex" 、 "log:CreateIndex", "log:UpdateIndex" 、 "log:CreateDashboard", "ログ: ClearLogStoreStorage" 、 "log:UpdateLogStore" 、 "log:UpdateDashboard" 、 "log:DeleteProject" 、 "log:CreateSavedSearch" 、 "log:UpdateSavedSearch" 、 「ログ: DeleteLogStore」 ], "リソース": "acs:log:*:*:project/waf *" 、 "Effect":"Allow" }, { "アクション": "ram:DeleteServiceLinkedRole" 、 "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "waf.aliyuncs.com" } } } ] }ポリシー構文の詳細については、「ポリシー要素」をご参照ください。
前提条件
- WAFインスタンスが購入されました。 詳細については、「Purchase a WAF instance」をご参照ください。
AliyunServiceRoleForWAFロールの作成
Log Serviceを有効にする
WebサイトがWAFに追加され、Log ServiceがWAFに対して有効になっている場合にのみ、Log Serviceを有効にすることでAliyunServiceRoleForWAFロールを作成できます。 WAFにWebサイトを追加する方法の詳細については、「WAFにWebサイトを追加する」をご参照ください。 Log Service For WAFを有効にする方法の詳細については、「WAF Log Service の有効化」をご参照ください。
アセット検出を有効にする
WAFインスタンスが中国本土にある場合にのみ、アセット検出機能を有効にすることで、AliyunServiceRoleForWAFロールを作成できます。 WAFインスタンスが中国本土以外にある場合は、Log Serviceまたは透過プロキシモードを有効にしてAliyunServiceRoleForWAFロールを作成する必要があります。
- 左側のナビゲーションウィンドウで、 を選択します。
- [許可された有効化] をクリックします。 ヒントメッセージで、[OK] をクリックします。
透過プロキシモードを有効にする
- 左側のナビゲーションウィンドウで、 を選択します。
- [ドメイン名] タブで、[Webサイトアクセス] をクリックします。
- [アクセスモード] を [透過プロキシモード] に設定します。 次に、[許可されたアクティベーション] をクリックします。 ヒントメッセージで、[OK] をクリックします。
その後、Alibaba CloudはAliyunServiceRoleForWAFサービスにリンクされたロールを自動的に作成します。 サービスにリンクされたロールを表示するには、Resource Access Management (RAM) コンソールにログインし、左側のナビゲーションウィンドウで を選択します。
AliyunServiceRoleForWAFロールの削除
よくある質問
AliyunServiceRoleForWAFサービスにリンクされたロールがRAMユーザーに対して自動的に作成されないのはなぜですか。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*: Alibaba CloudアカウントのID: role/*" 、
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"waf.aliyuncs.com"
]
}
}
}
],
"バージョン": "1"
}