Uso de roles vinculados a servicios en AWS WAF Classic - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Permisos de roles vinculados a servicios de AWS WAF ClassicCreación de un rol vinculado a servicios para AWS WAF ClassicModificación de un rol vinculado a un servicio en instancias de AWS WAF ClassicEliminación de roles vinculados a servicios en AWS WAF ClassicRegiones admitidas para los roles vinculados a un servicio de AWS WAF Classic

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios en AWS WAF Classic

aviso

Desde el 30 de septiembre de 2025, ya no se ofrecerá soporte para AWS WAF Classic.

nota

Esta es la documentación de AWS WAF Classic. Solo debe usar esta versión si creó recursos de AWS WAF, como reglas y ACL web, en AWS WAF antes de noviembre de 2019, y aún no los ha migrado a la versión más reciente. Para migrar las ACL web, consulte Migración de los recursos de AWS WAF a AWS WAF.

Para obtener la última versión de AWS WAF, consulte AWS WAF.

AWS WAF Classic utiliza roles vinculados al servicio (IAM) de AWS Identity and Access Management. Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a AWS WAF Classic. Los roles vinculados a servicios están predefinidos por AWS WAF Classic e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado a un servicio simplifica la configuración de AWS WAF Classic porque ya no tendrá que agregar manualmente los permisos necesarios. AWS WAF Classic define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo AWS WAF Classic puede asumir sus roles. Los permisos definidos incluyen la política de confianza y la política de permisos. Dicha política de permisos no se puede asociar a ninguna otra entidad de IAM.

Solo puede eliminar un rol vinculado a un servicio después de eliminar los recursos relacionados del rol. De esta forma, se protegen los recursos de AWS WAF Classic, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información acerca de otros servicios que son compatibles con roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Service-Linked Role (Rol vinculado a servicios). Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de roles vinculados a servicios de AWS WAF Classic

AWS WAF Classic utiliza los siguientes roles vinculados a servicios:

  • AWSServiceRoleForWAFLogging

  • AWSServiceRoleForWAFRegionalLogging

AWS WAF Classic utiliza estos roles vinculados a servicios para escribir registros en Amazon Data Firehose. Estos roles solo se utilizan si habilita la escritura de registros en AWS WAF. Para obtener más información, consulte Registro de información del tráfico de la ACL web.

Los roles vinculados al servicio AWSServiceRoleForWAFLogging y AWSServiceRoleForWAFRegionalLogging confían en los siguientes servicios (respectivamente) para asumir el rol:

  • waf.amazonaws.com

    waf-regional.amazonaws.com

Las políticas de permisos de los roles permiten que AWS WAF Classic realice las siguientes acciones en los recursos especificados:

  • Acción: firehose:PutRecord y firehose:PutRecordBatch en recursos de flujo de datos de Amazon Data Firehose con un nombre que comienza con “aws-waf-logs-”. Por ejemplo, aws-waf-logs-us-east-2-analytics.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a servicios para AWS WAF Classic

No necesita crear manualmente un rol vinculado a servicios. Al habilitar los registros de AWS WAF Classic en la AWS Management Console o realizar una solicitud de PutLoggingConfiguration en la CLI de AWS WAF o la API de AWS WAF, AWS WAF crea el rol vinculado al servicio de forma automática.

Debe tener el permiso iam:CreateServiceLinkedRole para habilitar el registro.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al habilitar los registros de AWS WAF Classic, AWS WAF Classic se encarga de volver crear automáticamente el rol vinculado al servicio.

Modificación de un rol vinculado a un servicio en instancias de AWS WAF Classic

AWS WAF Classic no le permite modificar los roles vinculados al servicio AWSServiceRoleForWAFLogging y AWSServiceRoleForWAFRegionalLogging. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de roles vinculados a servicios en AWS WAF Classic

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se monitorice ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el servicio AWS WAF está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.

Eliminación de los recursos de AWS WAF Classic que se utilizan en AWSServiceRoleForWAFLogging y AWSServiceRoleForWAFRegionalLogging

  1. En la consola de AWS WAF Classic, quite el registro de todas las ACL web. Para obtener más información, consulte Registro de información del tráfico de la ACL web.

  2. Mediante la API o la CLI, envíe una solicitud DeleteLoggingConfiguration para cada ACL web que tenga habilitado el registro. Para obtener más información, consulte la Referencia de la API de AWS WAF Classic.

Eliminación manual del rol vinculado a servicios mediante IAM

Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar los roles vinculados a servicios AWSServiceRoleForWAFLogging y AWSServiceRoleForWAFRegionalLogging. Para más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados a un servicio de AWS WAF Classic

AWS WAF Classic admite el uso de roles vinculados al servicio en las siguientes Regiones de AWS.

Nombre de la región Identidad de la región Soporte en AWS WAF Classic
EE. UU. Este (Norte de Virginia) us-east-1
EE. UU. Este (Ohio) us-east-2
EE. UU Oeste (Norte de California) us-west-1
Oeste de EE. UU. (Oregón) us-west-2
Asia Pacific (Bombay) ap-south-1
Asia-Pacífico (Osaka) ap-northeast-3
Asia-Pacífico (Seúl) ap-northeast-2
Asia-Pacífico (Singapur) ap-southeast-1
Asia-Pacífico (Sídney) ap-southeast-2
Asia-Pacífico (Tokio) ap-northeast-1
Canadá (centro) ca-central-1
Europa (Fráncfort) eu-central-1
Europa (Irlanda) eu-west-1
Europa (Londres) eu-west-2
Europa (París) eu-west-3
América del Sur (São Paulo) sa-east-1