WAF权限及授权项
如果您需要对您所拥有的WAF进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),如果华为账号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用WAF服务的其它功能。
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。
权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细,可以精确到某个操作、资源和条件,能够满足企业对权限最小化的安全管控要求。
支持的授权项
策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。
- 权限:允许或拒绝某项操作。
- 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。
权限 |
授权项 |
IAM项目(Project) |
企业项目(Enterprise Project) |
---|---|---|---|
查询防敏感信息泄漏规则 |
waf:antiLeakageRule:get |
√ |
√ |
查询网页防篡改规则 |
waf:antiTamperRule:get |
√ |
√ |
查询CC攻击防护规则 |
waf:ccRule:get |
√ |
√ |
查询精准访问防护规则 |
waf:preciseProtectionRule:get |
√ |
√ |
查询全局白名单规则 |
waf:falseAlarmMaskRule:get |
√ |
√ |
查询隐私屏蔽规则 |
waf:privacyRule:get |
√ |
√ |
查询黑白名单规则 |
waf:whiteBlackIpRule:get |
√ |
√ |
查询地址位置访问控制规则 |
waf:geoIpRule:get |
√ |
√ |
查询证书 |
waf:certificate:get |
√ |
√ |
修改WAF证书 |
waf:certificate:put |
√ |
√ |
应用证书到域名 |
waf:certificate:apply |
√ |
√ |
查询防护事件 |
waf:event:get |
√ |
√ |
查询防护域名 |
waf:instance:get |
√ |
√ |
查询防护策略 |
waf:policy:get |
√ |
√ |
查询用户套餐信息 |
waf:bundle:get |
√ |
√ |
查询防护事件下载链接 |
waf:dumpEventLink:get |
√ |
√ |
查询页面配置信息 |
waf:consoleConfig:get |
√ |
√ |
查询回源IP段 |
waf:sourceIp:get |
√ |
√ |
更新防敏感信息泄漏规则 |
waf:antiLeakageRule:put |
√ |
√ |
更新网页防篡改规则 |
waf:antiTamperRule:put |
√ |
√ |
更新CC攻击防护规则 |
waf:ccRuleRule:put |
√ |
√ |
更新精准访问防护规则 |
waf:preciseProtectionRule:put |
√ |
√ |
更新全局白名单规则 |
waf:falseAlarmMaskRule:put |
√ |
√ |
更新隐私屏蔽规则 |
waf:privacyRule:put |
√ |
√ |
更新黑白名单规则 |
waf:whiteBlackIpRule:put |
√ |
√ |
更新地址位置访问控制规则 |
waf:geoIpRule:put |
√ |
√ |
更新防护域名 |
waf:instance:put |
√ |
√ |
更新防护策略 |
waf:policy:put |
√ |
√ |
删除防敏感信息泄漏规则 |
waf:antiLeakageRule:delete |
√ |
√ |
删除网页防篡改规则 |
waf:antiTamperRule:delete |
√ |
√ |
删除CC攻击防护规则 |
waf:ccRule:delete |
√ |
√ |
删除精准访问防护规则 |
waf:preciseProtectionRule:delete |
√ |
√ |
删除全局白名单规则 |
waf:falseAlarmMaskRule:delete |
√ |
√ |
删除隐私屏蔽规则 |
waf:privacyRule:delete |
√ |
√ |
删除黑白名单规则 |
waf:whiteBlackIpRule:delete |
√ |
√ |
删除地址位置访问控制规则 |
waf:geoIpRule:delete |
√ |
√ |
删除防护域名 |
waf:instance:delete |
√ |
√ |
删除防护策略 |
waf:policy:delete |
√ |
√ |
创建防敏感信息泄漏规则 |
waf:antiLeakageRule:create |
√ |
√ |
创建网页防篡改规则 |
waf:antiTamperRule:create |
√ |
√ |
创建CC攻击防护规则 |
waf:ccRule:create |
√ |
√ |
创建精准访问防护规则 |
waf:preciseProtectionRule:create |
√ |
√ |
创建全局白名单规则 |
waf:falseAlarmMaskRule:create |
√ |
√ |
创建隐私屏蔽规则 |
waf:privacyRule:create |
√ |
√ |
创建黑白名单规则 |
waf:whiteBlackIpRule:create |
√ |
√ |
创建地址位置访问控制规则 |
waf:geoIpRule:create |
√ |
√ |
创建证书 |
waf:certificate:create |
√ |
√ |
创建防护域名 |
waf:instance:create |
√ |
√ |
创建防护策略 |
waf:policy:create |
√ |
x |
查询防敏感信息泄漏规则列表 |
waf:antiLeakageRule:list |
√ |
√ |
查询网页防篡改规则列表 |
waf:antiTamperRule:list |
√ |
√ |
查询CC攻击防护规则列表 |
waf:ccRuleRule:list |
√ |
√ |
查询精准访问防护规则列表 |
waf:preciseProtectionRule:list |
√ |
√ |
查询全局白名单规则列表 |
waf:falseAlarmMaskRule:list |
√ |
√ |
查询隐私屏蔽规则列表 |
waf:privacyRule:list |
√ |
√ |
查询黑白名单规则列表 |
waf:whiteBlackIpRule:list |
√ |
√ |
查询地址位置访问控制规则列表 |
waf:geoIpRule:list |
√ |
√ |
查询防护域名列表 |
waf:instance:list |
√ |
√ |
查询防护策略列表 |
waf:policy:list |
√ |
√ |
查询云模式计费资源 |
waf:subscription:get |
√ |
√ |
查询告警通知配置 |
waf:alert:get |
√ |
√ |
更新告警通知配置 |
waf:alert:put |
√ |
√ |
查询云日志配额 |
waf:ltsConfig:get |
√ |
√ |
更新云日志配额 |
waf:ltsConfig:put |
√ |
√ |
创建云模式包周期订单 |
waf:prepaid:create |
√ |
√ |
查询独享引擎实例列表 |
waf:premiumInstance:list |
√ |
√ |
查询独享引擎 |
waf:premiumInstance:get |
√ |
√ |
创建独享引擎实例 |
waf:premiumInstance:create |
√ |
√ |
删除独享引擎实例 |
waf:premiumInstance:delete |
√ |
√ |
更新独享引擎 |
waf:premiumInstance:put |
√ |
√ |
查看WAF实例组详情 |
waf:pool:get |
√ |
√ |
修改WAF实例组配置 |
waf:pool:put |
√ |
√ |
创建WAF实例组 |
waf:pool:create |
√ |
√ |
删除WAF实例组 |
waf:pool:delete |
√ |
√ |
查看WAF实例组列表 |
waf:pool:list |
√ |
√ |
查询WAF实例组绑定详情 |
waf:poolBinding:get |
√ |
√ |
绑定WAF实例组 |
waf:poolBinding:create |
√ |
√ |
取消绑定WAF实例组 |
waf:poolBinding:delete |
√ |
√ |
查询WAF实例组绑定详情 |
waf:poolBinding:list |
√ |
√ |
查询WAF实例组健康检查配置 |
waf:poolHealthMonitor:get |
√ |
√ |
修改WAF实例组健康检查配置 |
waf:poolHealthMonitor:put |
√ |
√ |
创建WAF实例组健康检查配置 |
waf:poolHealthMonitor:create |
√ |
√ |
删除WAF实例组健康检查配置 |
waf:poolHealthMonitor:delete |
√ |
√ |
查询WAF实例组健康检查配置列表 |
waf:poolHealthMonitor:list |
√ |
√ |
修改共享IP地址组 |
waf:ipGroupShare:put |
√ |
√ |
批量更新攻击惩罚规则 |
waf:punishmentRule:batch-delete |
√ |
√ |
查询DNS域名 |
waf:dnsDomain:get |
√ |
√ |
查询重复名称的IP地址组列表 |
waf:duplicateIpGroup:list |
√ |
√ |