すべてのプロダクト
Search

このプロダクト

    Web Application Firewall:Web Application Firewall 3.0カスタムポリシー

    ドキュメントセンター

    Web Application Firewall:Web Application Firewall 3.0カスタムポリシー

    最終更新日:Nov 10, 2024

    現在のシステムポリシーが要件を満たしていない場合は、カスタムポリシーを作成して最小限の権限付与を実現できます。 カスタムポリシーにより、きめ細かい制御が可能になり、リソースアクセスのセキュリティが強化されます。 このトピックでは、Web Application Firewall (WAF) 3.0のカスタムポリシーを使用するシナリオと例について説明します。

    カスタムポリシーとは何ですか?

    RAM (Resource Access Management) ポリシーは、システムポリシーとカスタムポリシーに分類されます。 ビジネス要件に基づいてカスタムポリシーを管理できます。

    • カスタムポリシーを作成した後、RAMユーザー、RAMユーザーグループ、またはRAMロールにポリシーをアタッチする必要があります。 これにより、ポリシーで指定された権限をプリンシパルに付与できます。

    • プリンシパルにアタッチされていないRAMポリシーを削除できます。 RAMポリシーがプリンシパルにアタッチされている場合、RAMポリシーを削除する前に、RAMポリシーをプリンシパルからデタッチする必要があります。

    • カスタムポリシーはバージョン管理をサポートします。 RAMが提供するバージョン管理メカニズムに基づいて、カスタムポリシーバージョンを管理できます。

    説明

    システムで作成されたWAFサービスにリンクされたAliyunServiceRoleForWafロールにより、WAFはクラウドプロダクトにアクセスできます。 このロールには、システムポリシーAliyunServiceRolePolicyForWafによって付与された既定の権限があります。 詳細については、「サービスにリンクされたロール」をご参照ください。

    WAFがNLBにアクセスできるようにするポリシー

            {
            "Action": [
                "nlb:ListLoadBalancers",
                "nlb:ListListeners",
                "nlb:GetLoadBalancerAttribute",
                "nlb:ListListenerCertificates",
                "nlb:ListSecurityPolicy",
                "nlb:ListSystemSecurityPolicy"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }

    WAFがALBにアクセスできるようにするポリシー

      {
            "Action": [
                "alb:ListLoadBalancers",
                "alb:GetLoadBalancerAttribute",
                "alb:ListListeners",
                "alb:GetListenerAttribute",
                "alb:ListListenerCertificates",
                "alb:DescribeRegions",
                "alb:ListSystemSecurityPolicies",
                "alb:ListSecurityPolicies"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },

    WAFがCLBにアクセスできるようにするポリシー

      {
            "Action": [
                "slb:DescribeServerCertificates",
                "slb:DescribeDomainExtensions",
                "slb:DescribeLoadBalancers",
                "slb:DescribeListenerAccessControlAttribute",
                "slb:DescribeLoadBalancerAttribute",
                "slb:DescribeLoadBalancerHTTPListenerAttribute",
                "slb:DescribeLoadBalancerHTTPSListenerAttribute",
                "slb:DescribeLoadBalancerTCPListenerAttribute",
                "slb:DescribeLoadBalancerUDPListenerAttribute",
                "slb:DescribeTLSCipherPolicies",
                "slb:ListTLSCipherPolicies",
                "slb:DescribeLoadBalancers"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }

    WAFによるECSへのアクセスを許可するポリシー

     {
            "Action": [
                "ecs:DescribeInstances",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:AttachNetworkInterface",
                "ecs:DetachNetworkInterface",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DeleteNetworkInterfacePermission",
                "ecs:DescribeSecurityGroups",
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:CreateSecurityGroup",
                "ecs:DeleteSecurityGroup",
                "ecs:AuthorizeSecurityGroup",
                "ecs:RevokeSecurityGroup",
                "ecs:DescribeDisks"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }

    関連ドキュメント

    カスタムポリシーの管理の詳細については、以下のトピックを参照してください。

    権限の付与の詳細については、次のトピックを参照してください。