全部产品
Search

搜索本产品

    Web Application Firewall:Otorisasi WAF untuk mengakses sumber daya cloud

    文档中心

    Web Application Firewall:Otorisasi WAF untuk mengakses sumber daya cloud

    更新时间:Jul 06, 2025

    Untuk mengaktifkan Layanan Log, penemuan aset, dan fitur mode proxy transparan pada Web Application Firewall (WAF), Anda harus memberikan otorisasi kepada WAF untuk mengakses sumber daya cloud saat pertama kali masuk ke konsol WAF. Topik ini menjelaskan cara memberikan otorisasi tersebut.

    Pengenalan peran terkait layanan

    Berikut adalah deskripsi peran terkait layanan AliyunServiceRoleForWAF:

    • Nama Peran: AliyunServiceRoleForWAF

    • Nama Kebijakan: AliyunServiceRolePolicyForWAF

      Catatan

      Ini adalah kebijakan sistem yang tidak dapat dimodifikasi baik nama maupun isinya.

    • Kebijakan:

      {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:DescribeInstances",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:AttachNetworkInterface",
                "ecs:DetachNetworkInterface",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DeleteNetworkInterfacePermission",
                "ecs:DescribeSecurityGroups",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:CreateSecurityGroup",
                "ecs:DeleteSecurityGroup",
                "ecs:AuthorizeSecurityGroup",
                "ecs:RevokeSecurityGroup",
                "ecs:DescribeDisks"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "slb:DescribeServerCertificates",
                "slb:DescribeDomainExtensions",
                "slb:DescribeLoadBalancers",
                "slb:DescribeListenerAccessControlAttribute",
                "slb:DescribeLoadBalancerAttribute",
                "slb:DescribeLoadBalancerHTTPListenerAttribute",
                "slb:DescribeLoadBalancerHTTPSListenerAttribute",
                "slb:DescribeLoadBalancerTCPListenerAttribute",
                "slb:DescribeLoadBalancerUDPListenerAttribute",
                "slb:DescribeTLSCipherPolicies",
                "slb:ListTLSCipherPolicies",
                "slb:DescribeLoadBalancers"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "alb:ListLoadBalancers",
                "alb:GetLoadBalancerAttribute",
                "alb:ListListeners",
                "alb:GetListenerAttribute",
                "alb:ListListenerCertificates",
                "alb:DescribeRegions",
                "alb:ListSystemSecurityPolicies",
                "alb:ListSecurityPolicies"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeEipAddresses"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "cdn:DescribeUserDomains",
                "cdn:DescribeCdnDomainDetail",
                "cdn:DescribeDomainsBySource",
                "cdn:DescribeUserVipsByDomain"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "yundun-cert:DescribeUserCertificateList"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:PostLogStoreLogs",
                "log:GetProject",
                "log:ListProject",
                "log:GetLogStore",
                "log:ListLogStores",
                "log:CreateLogStore",
                "log:CreateProject",
                "log:GetIndex",
                "log:CreateIndex",
                "log:UpdateIndex",
                "log:CreateDashboard",
                "log:ClearLogStoreStorage",
                "log:UpdateLogStore",
                "log:UpdateDashboard",
                "log:DeleteProject",
                "log:CreateSavedSearch",
                "log:UpdateSavedSearch",
                "log:DeleteLogStore"
            ],
            "Resource": "acs:log:*:*:project/waf*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "waf.aliyuncs.com"
                }
            }
        }
    ]
}

      Untuk informasi lebih lanjut tentang sintaks kebijakan, lihat Elemen Dasar Kebijakan.

    Prasyarat

    • Sebuah instance WAF telah dibeli.

    • Gunakan akun Alibaba Cloud atau pengguna RAM dengan izin untuk membuat dan menghapus peran terkait layanan.

    Membuat peran AliyunServiceRoleForWAF

    Dengan mengaktifkan Log Service

    Anda dapat membuat peran AliyunServiceRoleForWAF dengan mengaktifkan Layanan Log hanya jika situs web Anda telah ditambahkan ke WAF dan Layanan Log diaktifkan untuk WAF. Untuk informasi lebih lanjut tentang menambahkan situs web ke WAF, lihat Tambahkan Situs Web ke WAF. Untuk informasi lebih lanjut tentang mengaktifkan Layanan Log untuk WAF, lihat Memulai dengan Fitur Layanan Log Sederhana untuk WAF.

    1. Masuk ke konsol WAF. Di bilah navigasi atas, pilih grup sumber daya dan wilayah tempat instance WAF diterapkan. Wilayah tersebut bisa berupa Chinese Mainland atau Outside Chinese Mainland.

    2. Di panel navigasi sisi kiri, pilih Security Operations > Log Service.

    3. Klik Authorize Now. Dalam pesan Tips, klik OK.

    Dengan mengaktifkan Asset Discovery

    Anda dapat membuat peran AliyunServiceRoleForWAF dengan mengaktifkan fitur penemuan aset hanya jika instance WAF Anda berada di daratan Tiongkok. Jika instance WAF Anda berada di luar daratan Tiongkok, Anda harus membuat peran AliyunServiceRoleForWAF dengan mengaktifkan Layanan Log atau mode proxy transparan.

    1. Masuk ke konsol WAF. Di bilah navigasi atas, pilih grup sumber daya dan wilayah tempat instance WAF diterapkan. Wilayah tersebut bisa berupa Chinese Mainland atau Outside Chinese Mainland.

    2. Di panel navigasi sisi kiri, pilih Asset Center > Asset Discovery.

    3. Klik Authorized activation. Dalam pesan Tips, klik OK.

    Dengan mengaktifkan Transparent Proxy Mode

    1. Masuk ke konsol WAF. Di bilah navigasi atas, pilih grup sumber daya dan wilayah tempat instance WAF diterapkan. Wilayah tersebut bisa berupa Chinese Mainland atau Outside Chinese Mainland.

    2. Di panel navigasi sisi kiri, pilih Asset Center > Website Access.

    3. Pada tab Domain Names, klik Website Access.

    4. Atur Access Mode ke Transparent Proxy Mode. Lalu, klik Authorized activation. Dalam pesan Tips, klik OK.

    Alibaba Cloud secara otomatis membuat peran terkait layanan AliyunServiceRoleForWAF. Untuk melihat peran terkait layanan, masuk ke Konsol Resource Access Management (RAM) dan pilih Identities > Roles di panel navigasi sisi kiri.

    Hapus peran AliyunServiceRoleForWAF

    Jika Anda tidak lagi membutuhkan WAF, Anda dapat menghapus peran terkait layanan AliyunServiceRoleForWAF. Untuk informasi lebih lanjut, lihat Hapus Peran RAM.

    Penting

    Anda dapat menghapus peran terkait layanan hanya setelah instance kedaluwarsa dan dilepaskan secara otomatis.

    1. Masuk ke konsol RAM.

    2. Di panel navigasi sisi kiri, pilih Identities > Roles.

    3. Temukan peran terkait layanan AliyunServiceRoleForWAF yang ingin Anda hapus dan klik Delete Role di kolom Actions.

    4. Dalam kotak dialog yang muncul, masukkan nama peran dan klik Delete Role.

      RAM memeriksa apakah peran terkait layanan diasumsikan oleh instance WAF:

      • Jika peran tidak diasumsikan, peran terkait layanan WAF akan dihapus.

      • Jika peran diasumsikan, peran tersebut tidak dapat dihapus. Namun, Anda dapat melihat instance WAF yang mengasumsikan peran terkait layanan. Anda harus melepaskan instance WAF Anda sebelum dapat menghapus peran terkait layanan.

    Tanya Jawab Umum

    Mengapa peran terkait layanan AliyunServiceRoleForWAF tidak dibuat secara otomatis untuk pengguna RAM saya?

    Pengguna RAM harus diberikan izin yang diperlukan sebelum dapat secara otomatis membuat atau menghapus peran terkait layanan. Untuk mendapatkan izin, Anda harus melampirkan kebijakan berikut ke pengguna RAM Anda. Untuk informasi lebih lanjut, lihat Berikan Izin ke Peran RAM.

    {
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:ID akun Alibaba Cloud Anda:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "waf.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}