文档简介:
WAF自定义策略
如果系统预置的WAF权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(Action)请参见13.2
WAF权限及授权项*。*
目前云服务平台支持以下两种方式创建自定义策略:
- 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
- JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。
WAF自定义策略样例
- 示例1:授权用户查询防护域名列表
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"waf:instance:list"
]
}
]
- 示例2:拒绝用户删除网页防篡改规则
拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Allow和Deny,则遵循Deny优先。
如果您给用户授予“WAF FullAccess”的系统策略,但不希望用户拥有“WAF FullAccess”中定义的删除网页防篡改规则的权限(waf:antiTamperRule:delete),您可以创建一条相同Action的自定义策略,并将自定义策略的Effect设置为“Deny”,然后同时将“WAF FullAccess”和拒绝策略授予用户,根据Deny优先原则用户可以对WAF执行除了删除网页防篡改规则的所有操作。以下策略样例表示:拒绝用户删除网页防篡改规则。
{
{
"Version": "1.1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"waf:instance:list"
]
}
]
}
- 多个授权项策略
一个自定义策略中可以包含多个授权项,且除了可以包含本服务的授权项外,还可以包含其他服务的授权项,可以包含的其他服务必须跟本服务同属性,即都是项目级服务。多个授权语句策略描述如下:
{
"Version": "1.1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"waf:antiTamperRule:delete"
]
},
]
}
WAF权限及授权项
如果您需要对您所拥有的WAF进行精细的权限管理,您可以使用统一身份认证服务(Identity and Access Management,IAM),如果登录帐号已经能满足您的要求,不需要创建独立的IAM用户,您可以跳过本章节,不影响您使用WAF服务的其它功能。
默认情况下,新建的IAM用户没有任何权限,您需要将其加入用户组,并给用户组授予策略或角色,才能使用户组中的用户获得相应的权限,这一过程称为授权。授权后,用户就可以基于已有权限对云服务进行操作。
权限根据授权的精细程度,分为角色和策略。角色以服务为粒度,是IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。策略授权更加精细,可以精确到某个操作、资源和条件,能够满足企业对权限最小化的安全管控要求。
支持的授权项
策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。
- 权限:允许或拒绝某项操作。
- 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。
| 权限 | 授权项 |
|---|---|
| 查询防敏感信息泄漏规则 | waf:antiLeakageRule:get |
| 查询网页防篡改规则 | waf:antiTamperRule:get |
| 查询CC攻击防护规则 | waf:ccRule:get |
| 查询精准访问防护规则 | waf:preciseProtectionRule:get |
| 查询误报屏蔽规则 | waf:falseAlarmMaskRule:get |
| 查询隐私屏蔽规则 | waf:privacyRule:get |
| 查询黑白名单规则 | waf:whiteBlackIpRule:get |
| 查询地址位置访问控制规则 | waf:geoIpRule:get |
| 查询证书 | waf:certificate:get |
| 修改WAF证书 | waf:certificate:put |
| 查询防护事件 | waf:event:get |
| 查询防护域名 | waf:instance:get |
| 查询防护策略 | waf:policy:get |
| 查询用户套餐信息 | waf:bundle:get |
| 查询防护事件下载链接 | waf:dumpEventLink:get |
| 查询页面配置信息 | waf:consoleConfig:get |
| 查询回源IP段 | waf:sourceIp:get |
| 更新防敏感信息泄漏规则 | waf:antiLeakageRule:put |
| 更新网页防篡改规则 | waf:antiTamperRule:put |
| 更新CC攻击防护规则 | waf:ccRuleRule:put |
| 更新精准访问防护规则 | waf:preciseProtectionRule:put |
| 更新误报屏蔽规则 | waf:falseAlarmMaskRule:put |
| 更新隐私屏蔽规则 | waf:privacyRule:put |
| 更新黑白名单规则 | waf:whiteBlackIpRule:put |
| 更新地址位置访问控制规则 | waf:geoIpRule:put |
| 更新防护域名 | waf:instance:put |
| 更新防护策略 | waf:policy:put |
| 删除防敏感信息泄漏规则 | waf:antiLeakageRule:delete |
| 删除网页防篡改规则 | waf:antiTamperRule:delete |
| 删除CC攻击防护规则 | waf:ccRule:delete |
| 删除精准访问防护规则 | waf:preciseProtectionRule:delete |
| 删除误报屏蔽规则 | waf:falseAlarmMaskRule:delete |
| 删除隐私屏蔽规则 | waf:privacyRule:delete |
| 删除黑白名单规则 | waf:whiteBlackIpRule:delete |
| 删除地址位置访问控制规则 | waf:geoIpRule:delete |
| 删除防护域名 | waf:instance:delete |
| 删除防护策略 | waf:policy:delete |
| 创建防敏感信息泄漏规则 | waf:antiLeakageRule:create |
| 创建网页防篡改规则 | waf:antiTamperRule:create |
| 创建CC攻击防护规则 | waf:ccRule:create |
| 创建精准访问防护规则 | waf:preciseProtectionRule:create |
| 创建误报屏蔽规则 | waf:falseAlarmMaskRule:create |
| 创建隐私屏蔽规则 | waf:privacyRule:create |
| 创建黑白名单规则 | waf:whiteBlackIpRule:create |
| 创建地址位置访问控制规则 | waf:geoIpRule:create |
| 创建证书 | waf:certificate:create |
| 创建防护域名 | waf:instance:create |
| 创建防护策略 | waf:policy:create |
| 查询防敏感信息泄漏规则列表 | waf:antiLeakageRule:list |
| 查询网页防篡改规则列表 | waf:antiTamperRule:list |
| 查询CC攻击防护规则列表 | waf:ccRuleRule:list |
| 查询精准访问防护规则列表 | waf:preciseProtectionRule:list |
| 查询误报屏蔽规则列表 | waf:falseAlarmMaskRule:list |
| 查询隐私屏蔽规则列表 | waf:privacyRule:list |
| 查询黑白名单规则列表 | waf:whiteBlackIpRule:list |
| 查询地址位置访问控制规则列表 | waf:geoIpRule:list |
| 查询防护域名列表 | waf:instance:list |
| 查询防护策略列表 | waf:policy:list |
| 查询独享引擎实例列表 | waf:premiumInstance:list |
| 查询独享引擎 | waf:premiumInstance:get |
| 创建独享引擎实例 | waf:premiumInstance:create |
| 删除独享引擎实例 | waf:premiumInstance:delete |
| 更新独享引擎 | waf:premiumInstance:put |
