Detalles de política para Web Application Firewall

Detalles de política de Web Application Firewall.

En este tema, se tratan los detalles de la escritura de políticas para controlar el acceso al servicio Web Application Firewall.

Tipo de recurso agregado

waf-family

Tipos de recursos Individuales

waf-policy

web-app-firewall

waf-network-address-list

Comentarios

Una política que utiliza <verb> waf-family equivale a escribir una política con una sentencia <verb> <individual resource-type> independiente para cada uno de los tipos de recursos individuales.

Consulte en la tabla de Detalles de combinaciones de verbo + tipo de recurso los detalles de las operaciones de API que cubre cada verbo para cada tipo de recurso incluido en waf-family.

Variables soportadas

Solo están soportadas las variables generales. Consulte Variables generales para todas las solicitudes.

Detalles de combinaciones de verbo + tipo de recurso

En las siguientes tablas, se muestran los permisos y las operaciones de API que abarca cada verbo. El nivel de acceso es acumulativo al recorrer la progresión inspect > read > use > manage. Por ejemplo, un grupo que puede utilizar un recurso también puede inspeccionar y leer ese recurso. Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda directamente por encima, mientras que "no extra" indica que no hay acceso incremental.

Por ejemplo, el verbo read para el tipo de recurso waf-policy incluye los mismos permisos y operaciones de API que el verbo inspect, además del permiso WAF_POLICY_READ y la operación de API adicional GetWebAppFirewallPolicy.

waf-policy


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	WAF_POLICY_INSPECT	`ListWebAppFirewallPolicies` `ListProtectionCapabilities` `ListProtectionCapabilityGroupTags`	ListWorkRequests GetWorkRequest ListWorkRequestErrors ListWorkRequestLogs
read	INSPECT + WAF_POLICY_READ	INSPECT + `GetWebAppFirewallPolicy`	ninguna
use	READ + WAF_POLICY_ATTACH WAF_POLICY_DETACH WAF_POLICY_UPDATE	READ + `UpdateWebAppFirewallPolicy`	CreateWebAppFirewall UpdateWebAppFirewall DeleteWebAppFirewall
manage	USE + WAF_POLICY_CREATE WAF_POLICY_DELETE WAF_POLICY_MOVE WEB_APP_FIREWALL_CREATE	USE + `CreateWebAppFirewallPolicy` `DeleteWebAppFirewallPolicy` `ChangeWebAppFirewallPolicyCompartment`	CreateWebAppFirewall

web-app-firewall


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	WEB_APP_FIREWALL_INSPECT	`ListWebAppFirwewalls`	ListWorkRequests GetWorkRequest ListWorkRequestErrors ListWorkRequestLogs
read	INSPECT + WEB_APP_FIREWALL_READ	INSPECT + `GetWebAppFirewall` `GetLogging`	ninguna
use	READ + WEB_APP_FIREWALL_UPDATE	READ + StartLogging UpdateLogging StopLogging	UpdateWebAppFirewall
manage	USE + WEB_APP_FIREWALL_CREATE WEB_APP_FIREWALL_DELETE WEB_APP_FIREWALL_MOVE	USE + `ChangeWebAppFirewallCompartment`	CreateWebAppFirewall DeleteWebAppFirewall

waf-network-address-list


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
inspect	WAF_NETWORK_ADDRESS_LIST_INSPECT	`ListNetworkAdressLists`	ListWorkRequests GetWorkRequest ListWorkRequestErrors ListWorkRequestLogs
read	INSPECT + WAF_NETWORK_ADDRESS_LIST_READ	INSPECT + `GetNetworkAddressList`	ninguna
use	READ + WAF_NETWORK_ADDRESS_LIST_UPDATE WAF_NETWORK_ADDRESS_LIST_USE	READ + UpdateNetwokAddressList	ninguna
manage	USE + WAF_NETWORK_ADDRESS_LIST_CREATE WAF_NETWORK_ADDRESS_LIST_DELETE WAF_NETWORK_ADDRESS_LIST_MOVE	USE + `CreateNetworkAddressList` `DeleteNetworkAddressList` `ChangeNetworkAddressListCompartment`	ninguna

Permisos requeridos para cada operación de API

En la siguiente tabla, se muestran las operaciones de API en un orden lógico, agrupadas por tipo de recurso.

Para obtener más información sobre los permisos, consulte Permisos.


Operación de API	Permisos necesarios para utilizar la operación
`ListWebAppFirewallPolicies`	WAF_POLICY_INSPECT
`CreateWebAppFirewallPolicy`	WAF_POLICY_CREATE
`GetWebAppFirewallPolicy`	WAF_POLICY_READ
`UpdateWebAppFirewallPolicy`	WAF_POLICY_UPDATE
`DeleteWebAppFirewallPolicy`	WAF_POLICY_DELETE
`ChangeWebAppFirewallPolicyCompartment`	WAF_POLICY_MOVE
`ListWorkRequests`	WAF_POLICY_INSPECT + WEB_APP_FIREWALL_INSPECT + WAF_NETWORK_ADDRESS_LIST_INSPECT
`GetWorkRequest`	WAF_POLICY_INSPECT + WEB_APP_FIREWALL_INSPECT + WAF_NETWORK_ADDRESS_LIST_INSPECT
`ListWorkRequestErrors`	WAF_POLICY_INSPECT + WEB_APP_FIREWALL_INSPECT + WAF_NETWORK_ADDRESS_LIST_INSPECT
`ListWorkRequestLogs`	WAF_POLICY_INSPECT + WEB_APP_FIREWALL_INSPECT + WAF_NETWORK_ADDRESS_LIST_INSPECT
`ListNetworkAddressLists`	WAF_NETWORK_ADDRESS_LIST_INSPECT
`CreateNetworkAddressList`	WAF_NETWORK_ADDRESS_LIST_CREATE
`GetNetworkAddressList`	WAF_NETWORK_ADDRESS_LIST_READ
`UpdateNetworkAddressList`	WAF_NETWORK_ADDRESS_LIST_UPDATE
`DeleteNetworkAddressList`	WAF_NETWORK_ADDRESS_LIST_DELETE
`ChangeNetworkAddressListCompartment`	WAF_NETWORK_ADDRESS_LIST_MOVE
`ListProtectionCapabilities`	WAF_POLICY_INSPECT
`ListProtectionCapabilityGroupTags`	WAF_POLICY_INSPECT
`ListWebAppFirewalls`	WEB_APP_FIREWALL_INSPECT
`CreateWebAppFirewall`	WEB_APP_FIREWALL_CREATE + WAF_POLICY_ATTACH + LOAD_BALANCER_UPDATE
`GetWebAppFirewall`	WEB_APP_FIREWALL_READ
`UpdateWebAppFirewall`	WEB_APP_FIREWALL_UPDATE + WAF_POLICY_ATTACH + WAF_POLICY_DETACH + LOAD_BALANCER_UPDATE
`DeleteWebAppFirewall`	WEB_APP_FIREWALL_DELETE + WAF_POLICY_DETACH + LOAD_BALANCER_UPDATE
`ChangeWebAppFirewallCompartment`	WEB_APP_FIREWALL_MOVE
`StartLogging`	WEB_APP_FIREWALL_UPDATE
`UpdateLogging`	WEB_APP_FIREWALL_UPDATE
`GetLogging`	WEB_APP_FIREWALL_READ
`StopLogging`	WEB_APP_FIREWALL_UPDATE