すべてのプロダクト
Search

このプロダクト

    Web Application Firewall:WAFによるクラウドリソースへのアクセス許可

    ドキュメントセンター

    Web Application Firewall:WAFによるクラウドリソースへのアクセス許可

    最終更新日:Feb 12, 2025

    Log Service、アセット検出、および透過プロキシモードの機能をWebアプリケーションファイアウォール (WAF)で有効にする場合は、WAFコンソールに初めてログインするときに、WAFにクラウドリソースへのアクセスを許可する必要があります。 このトピックでは、WAFによるクラウドリソースへのアクセスを許可する方法について説明します。

    サービスにリンクされたロールの概要

    次のセクションでは、AliyunServiceRoleForWAFサービスにリンクされたロールについて説明します。

    • ロール名: AliyunServiceRoleForWAF

    • ポリシー名: AliyunServiceRolePolicyForWAF

      説明

      これはシステムポリシーです。 このポリシーの名前や内容は変更できません。

    • ポリシー:

      {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "ecs:DescribeInstances",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:AttachNetworkInterface",
                "ecs:DetachNetworkInterface" 、
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs: DescribeNetworkInterfaces"、
                "ecs:DeleteNetworkInterfacePermission",
                "ecs:DescribeSecurityGroups",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:CreateSecurityGroup",
                "ecs:DeleteSecurityGroup",
                "ecs:AuthorizeSecurityGroup",
                "ecs:RevokeSecurityGroup",
                "ecs:DescribeDisks"
            ],
            "Resource": "*",
            "Effect":"Allow"
        },
        {
            "Action": [
                "slb:DescribeServerCertificates" 、
                "slb:DescribeDomainExtensions" 、
                "slb:DescribeLoadBalancers" 、
                "slb:DescribeListenerAccessControlAttribute" 、
                "slb:DescribeLoadBalancerAttribute",
                "slb:DescribeLoadBalancerHTTPListenerAttribute" 、
                "slb:DescribeLoadBalancerHTTPSListenerAttribute" 、
                "slb:DescribeLoadBalancerTCPListenerAttribute" 、
                "slb:DescribeLoadBalancerUDPListenerAttribute" 、
                "slb:DescribeTLSCipherPolicies" 、
                "slb:ListTLSCipherPolicies" 、
                "slb:DescribeLoadBalancers"
            ],
            "Resource": "*",
            "Effect":"Allow"
        },
        {
            "Action": [
                "alb:ListLoadBalancers" 、
                "alb:GetLoadBalancerAttribute" 、
                "alb: リスナー" 、
                "alb:GetListenerAttribute" 、
                "alb:ListListenerCertificates" 、
                "alb:DescribeRegions" 、
                "alb:ListSystemSecurityPolicies" 、
                "alb:ListSecurityPolicies"
            ],
            "Resource": "*",
            "Effect":"Allow"
        },
        {
            "Action": [
                "vpc:DescribeEipAddresses"
            ],
            "Resource": "*",
            "Effect":"Allow"
        },
        {
            "Action": [
                "cdn:DescribeUserDomains" 、
                "cdn:DescribeCdnDomainDetail" 、
                "cdn:DescribeDomainsBySource" 、
                "cdn:DescribeUserVipsByDomain"
            ],
            "Resource": "*",
            "Effect":"Allow"
        },
        {
            "Action": [
                "yundun-cert:DescribeUserCertificateList"
            ],
            "Resource": "*",
            "Effect":"Allow"
        },
        {
            "Action": [
                "log:PostLogStoreLogs"、
                "log:GetProject",
                "log:ListProject",
                "log:GetLogStore",
                "log:ListLogStores",
                "log:GetLogStore"
                "log:CreateProject",
                "log:GetIndex" 、
                "log:CreateIndex",
                "log:UpdateIndex" 、
                "log:CreateDashboard",
                "ログ: ClearLogStoreStorage" 、
                "log:UpdateLogStore" 、
                "log:UpdateDashboard" 、
                "log:DeleteProject" 、
                "log:CreateSavedSearch" 、
                "log:UpdateSavedSearch" 、
                「ログ: DeleteLogStore」
            ],
            "リソース": "acs:log:*:*:project/waf *" 、
            "Effect":"Allow"
        },
        {
            "アクション": "ram:DeleteServiceLinkedRole" 、
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "waf.aliyuncs.com"
                }
            }
        }
    ]
}

      ポリシー構文の詳細については、「ポリシー要素」をご参照ください。

    前提条件

    • WAFインスタンスが購入されました。 詳細については、「Purchase a WAF instance」をご参照ください。

    • サービスにリンクされたロールを作成および削除する権限を持つAlibaba CloudアカウントまたはRAMユーザーが使用されます。

    AliyunServiceRoleForWAFロールの作成

    Log Serviceを有効にする

    WebサイトがWAFに追加され、Log ServiceがWAFに対して有効になっている場合にのみ、Log Serviceを有効にすることでAliyunServiceRoleForWAFロールを作成できます。 WAFにWebサイトを追加する方法の詳細については、「チュートリアル」をご参照ください。 Log Service For WAFを有効にする方法の詳細については、「Simple Log Service for WAF機能の使用を開始する」をご参照ください。

    1. WAFコンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 リージョンは、中国本土または中国本土以外です。

    2. 左側のナビゲーションウィンドウで、セキュリティオペレーション > SLSを選択します。

    3. [今すぐ権限を付与] をクリックします。 ヒントメッセージで、[OK] をクリックします。

    アセット検出を有効にする

    WAFインスタンスが中国本土にある場合にのみ、アセット検出機能を有効にすることで、AliyunServiceRoleForWAFロールを作成できます。 WAFインスタンスが中国本土以外にある場合は、Log Serviceまたは透過プロキシモードを有効にしてAliyunServiceRoleForWAFロールを作成する必要があります。

    1. WAFコンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 リージョンは、中国本土または中国本土以外です。

    2. 左側のナビゲーションウィンドウで、[アセットセンター] > [アセットの検出] を選択します。

    3. [許可された有効化] をクリックします。 ヒントメッセージで、[OK] をクリックします。

    透過プロキシモードを有効にする

    1. WAFコンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 リージョンは、中国本土または中国本土以外です。

    2. 左側のナビゲーションウィンドウで、[アセットセンター] > [Webサイトアクセス] を選択します。

    3. [ドメイン名] タブで、[Webサイトアクセス] をクリックします。

    4. [アクセスモード][透過プロキシモード] に設定します。 次に、[許可されたアクティベーション] をクリックします。 ヒントメッセージで、[OK] をクリックします。

    その後、Alibaba CloudはAliyunServiceRoleForWAFサービスにリンクされたロールを自動的に作成します。 サービスにリンクされたロールを表示するには、Resource Access Management (RAM) コンソールにログインし、左側のナビゲーションウィンドウで [ID] > [ロール] を選択します。

    AliyunServiceRoleForWAFロールの削除

    WAFを使用する必要がなくなった場合は、AliyunServiceRoleForWAFサービスにリンクされたロールを削除できます。 詳細については、「RAM ロールの削除」をご参照ください。

    重要

    インスタンスの有効期限が切れて自動的にリリースされた後にのみ、サービスにリンクされたロールを削除できます。

    1. RAM コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ID] > [ロール] を選択します。

    3. 削除するAliyunServiceRoleForWAFサービスにリンクされたロールを見つけて、[操作] 列の [削除] をクリックします。

    4. 表示されるメッセージで、[OK] をクリックします。

      RAMは、サービスにリンクされたロールがWAFインスタンスによって引き受けられているかどうかを確認します。

      • ロールが引き受けられない場合、WAFサービスにリンクされたロールは削除されます。

      • ロールが引き受けられた場合、そのロールは削除できません。 ただし、サービスにリンクされたロールを引き受けるWAFインスタンスを表示できます。 サービスにリンクされたロールを削除する前に、WAFインスタンスをリリースする必要があります。

    よくある質問

    AliyunServiceRoleForWAFサービスにリンクされたロールがRAMユーザーに対して自動的に作成されないのはなぜですか。

    RAMユーザーがサービスにリンクされたロールを自動的に作成または削除する前に、RAMユーザーに必要な権限を付与する必要があります。 権限を取得するには、RAMユーザーに次のポリシーをアタッチする必要があります。 詳細については、「RAMロールに権限を付与する」をご参照ください。 

    {
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*: Alibaba CloudアカウントのID: role/*" 、
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "waf.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "バージョン": "1"
}