AWS WAF v2New PlanUsage
AWS WAF v2かつ新プランでWafCharmを利用する場合に必要な権限を記載します。
新プランの場合、LegacyあるいはAdvancedのRuleポリシーを選択可能ですが、どちらの場合でも必要な権限は同じです。
本権限により、AWS WAFへのアクセスが可能となります。 Web ACLにルールを適用するなど、更新時に必要です。
機能の追加や更新による権限不足の懸念があるため、カスタムポリシーについてはご案内していません。
WAFログや、ALB・CloudFrontのアクセスログが出力されるS3バケットへアクセスするための権限です。
本権限については、ResourcesにてS3バケットのARNを指定し、WafCharmがアクセス可能なS3バケットを制限することを推奨しています。
制限する際は、以下の「Resource」部分に記載されているような形で設定してください。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:List*",
"s3:Get*"
],
"Resource": [
"arn:aws:s3:::<任意のBucket>",
"arn:aws:s3:::<任意のBucket>/<folder_name>/*"
]
}
]
}カスタムポリシーを使用されたい場合は、以下の2つのポリシーをアタッチしてください。
なお、AWS KMS 暗号化を使用されている場合、こちらの権限に不足がないかもご確認ください。
AWS WAFからCloudWatch Metricsに報告されるAllowedRequestsとBlockedRequestsの合計をWebリクエスト数として集計しているため、メトリクス取得のために本権限を使用します。
権限をさらに絞り込みたいという場合には以下のカスタムポリシーを利用可能です。
※CloudWatch には、ポリシーのリソースを使用して制御するためのリソースがないため、IAM ポリシーではワイルドカード文字 (*) を使用します。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "cloudwatch:GetMetricData",
"Resource": "*"
}
]
}