文档中心

Web应用防火墙WAF用户指南（上）

最近更新时间：

4 管理维护

4.1 IAM权限管理

简介

身份认证与访问管理服务（Identity and Access Management，IAM）提供用户身份认证、权限分配、访问控制等功能，通过创建多个 IAM 用户并授权不同资源权限策略，可实现不同 IAM 用户之间的权限隔离。IAM 权限基于 IAM 用户授权云资源权限，定义了允许和拒绝的访问操作。默认情况下，新创建的IAM 用户不具备任何资源权限，需授权 IAM 用户，才能基于被授权的资源权限进行操作。IAM 权限策略是一组资源权限集，Web 应用防火墙 WAF 支持“系统策略”和“自定义策略”。

2. 系统策略

系统策略统一由系统创建和维护，不支持自定义修改策略权限范围。Web 应用防火墙 WAF 支持的系统策略如下：

3. 自定义策略

自定义策略是由系统开放资源授权项（Action），支持自主创建、更新和删除策略。目前支持“可视化”和“脚本”两种配置方式创建自定义策略：

• 可视化配置：按可视化导航栏选择策略效力、云服务、操作、资源、条件等权限策略内容，自动生成策略。

• 脚本配置：提供基本策略模板，可根据具体需求编辑策略内容，也可直接在编辑框内编写策略内容。

Web 应用防火墙 WAF 支持的资源授权项如下：

4.1.1 IAM 权限说明

4.1.2 配置流程

4.1.3 配置 IAM 权限

1. 创建 IAM 用户

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(3) 在“用户管理”页面，单击“创建用户”，跳转到创建用户页面。

(4) 配置 IAM 用户帐号信息和访问方式。

 帐号信息包括用户名、显示名、手机号、邮箱、备注等。

 访问方式可选择控制台访问或编程访问。

 一次最多可创建 10 个 IAM 用户，且同时创建的用户访问方式相同。

(5) 确认信息无误后，IAM 用户创建成功。

 自定义密码：单击“确定”，提示用户创建成功，可查看新创建的用户列表。

 自动生成密码：单击“确定”，弹出下载密码对话框，确认后下载用户密码至本地保存，且可查看新创建的用户列表。

2. 创建自定义权限策略

任务简介

IAM 权限策略是一组资源权限集，Web 应用防火墙 WAF 支持“系统策略”和“自定义策略”如果预置的 Web 应用防火墙 WAF 系统策略不满足使用要求，可通过创建自定义策略，添加授权项（Action），对 Web 应用防火墙 WAF 资源进行精细的权限管理。目前支持“可视化”和“脚本”两种配置方式创建自定义策略。

• 可视化配置：按可视化导航栏选择策略效力、云服务、操作、资源、条件等权限策略内容，自动生成策略。

• 脚本配置：提供基本策略模板，可根据具体需求编辑策略内容，也可直接在编辑框内编写策略内容。

本小节主要介绍如何在管理控制台创建自定义策略。

可视化配置自定义策略

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(3) 单击“权限策略管理”，进入权限策略管理页面。

(4) 单击“创建自定义权限策略”，弹出权限策略配置窗口。

(5) 配置权限策略基本信息。

 权限策略名称：自定义权限策略名称。

 备注：自定义策略配置信息。

(6) 配置方式，选择“可视化配置”。

(7) 配置权限策略。

a. 配置权限策略效力，可选择“允许”或“拒绝”。

− 允许：表示该策略为允许操作效力。

− 拒绝：表示该策略为拒绝操作效力。

b. 配置云服务，选择“Web 应用防火墙 WAF”。

c. 配置云服务操作，根据需求勾选操作权限。

d. 配置资源，可选择“全部资源”或“特定资源”。

e. （可选）配置请求条件。

此产品暂不支持添加请求条件。

(8) 确认信息无误后，单击“确定”，返回权限策略列表页面，自定义策略即创建完成。

通过脚本配置自定义策略

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(3) 单击“权限策略管理”，进入权限策略管理页面。

(4) 单击“创建自定义权限策略”，弹出权限策略配置窗口。

(5) 配置权限策略基本信息。

 权限策略名称：自定义权限策略名称。

 备注：自定义策略配置信息。

(6) 配置方式，选择“脚本配置”。

(7) 配置权限策略。

您可直接编辑脚本；也可复制已有策略权限，并在基础上做修改。

(8) 确认信息无误后，单击“确定”，返回权限策略列表页面，自定义策略即创建完成。

3. 授权单个 IAM 用户使用 WAF

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(3) 在“用户管理”页面，单击目标 IAM 用户操作列的“添加权限”，弹出权限配置窗口。

(4) 在左侧列框，勾选 Web 应用防火墙 WAF 权限策略并单击，为用户组添加权限。

 您也可以将已配置的权限移除。

 权限策略列框包含该账号下全量系统策略和自定义策略。

(5) 单击“确定”，返回 IAM 用户列表页面。

4. 授权 IAM 用户组使用 WAF

(1) 登录 CECSTACK 专属云控制台。

(2) 鼠标悬停至页面右上角账号名称上，在弹出的下拉框中单击“身份认证与访问管理”，进入IAM 用户管理页面。

(3) 单击“用户组”，进入用户组管理页面。

(4) 新建用户组。

a. 单击“创建用户组”，弹出用户组配置窗口。

b. 配置用户组名称，并可自定义描述信息。

c. 单击“确定”，返回用户组列表。

(5) 添加组成员。

a. 在目标用户组的操作列，单击“添加组成员”，弹出组成员配置窗口。

b. 在左侧列框，勾选一个或多个目标用户并单击，添加用户至用户组。

− 您也可以将已添加的用户从用户组移除。

− 用户列框包含该账号下已创建的全部 IAM 用户。

− 已被添加至其他用户组的用户置灰，不能被添加到新用户组。

c. 单击“确定”，返回用户组列表页面。

(6) 添加用户组权限。

a. 在目标用户组的操作列，单击“添加权限”，弹出组权限配置窗口。

b. 在左侧列框，勾选 Web 应用防火墙 WAF 权限策略并单击，为用户组添加权限。

− 您也可以将已配置的权限从用户组移除。

− 权限策略列框包含该账号下全量系统策略和自定义策略。

c. 单击“确定”，返回用户组列表页面。

4.1.4 验证权限配置

使用 IAM 用户帐号登录专属云控制台。

(1) 在服务列表中选择“Web 应用防火墙 WAF”，进入 Web 应用防火墙 WAF 管理页面。

(2) 对各功能菜单执行相应操作，确认权限是否生效。

4.2 扩容Web应用防火墙

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > Web应用防火墙 WAF”，进入 Web 应用防火墙实例列表页面。

(2) 单击 Web 应用防火墙实例对应操作列的“扩容”，进入 Web 应用防火墙扩容页面。

(3) 根据需要，配置扩容后的带宽和授权数后，单击“下一步”。

(4) 确认配置信息无误后，根据页面显示，选择以下操作：

 单击“立即申请”，待管理员审批通过后，即可扩容成功。

 单击“立即支付”，选择支付方式，单击“确认付款”，即可扩容成功。

4.3 续费Web应用防火墙

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > Web应用防火墙 WAF”，进入 Web 应用防火墙实例列表页面。

(2) 单击 Web 应用防火墙实例对应操作列的“续费”，进入产品续订页面。

(3) 确认产品实例信息和续费时长后，根据页面显示，选择以下操作：

 单击“立即申请”，待管理员审批通过后，即可续费成功。

 单击“立即支付”，选择支付方式，单击“确认付款”，即可续费成功。

4.4 关闭/启动Web应用防火墙

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > Web应用防火墙 WAF”，进入 Web 应用防火墙实例列表页面。

(2) 单击 Web 应用防火墙实例对应操作列的“更多 > 关闭/启动”，可关闭/启用 Web 应用防火墙。

4.5 Web应用防火墙高级配置

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > Web应用防火墙 WAF”，进入 Web 应用防火墙实例列表页面。

(2) 单击 Web 应用防火墙实例操作列的“配置”，进入 Web 应用防火墙的快速配置页面。

(3) 单击左侧菜单中的“高级配置”进入 Web 应用防火墙的高级配置界面

4.6 退订Web应用防火墙

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > Web应用防火墙 WAF”，进入 Web 应用防火墙实例列表页面。

(2) 单击 Web 应用防火墙实例对应操作列的“更多”，在下拉菜单中选择“退订”，进入产品退订页面。

(3) 确认要退订实例、退订原因、退款金额等信息，并勾选“我已确认本次退订金额和相关费用”后，单击“退订”，弹出确认窗口。

(4) 进行手机号或邮箱验证后，单击“确定”。

4.7 WAF实例到期/欠费

4.7.1 包周期计费模式下实例到期后状态变化

对于到期后没有及时续费的 WAF 实例，将开始回收机制，按时间期限划分为三个阶段，如下图所示。

• 宽限期：实例到期的 1~7 天内。此阶段的实例可正常使用。

• 保留期：实例到期的 8~22 天内。此阶段实例停止，不能提供服务，仅暂时保留数据。

• 在保留期内结清欠款，WAF 恢复正常服务。

• 释放期：实例到期的第 23 天及以后。此阶段的实例被释放，数据永久删除，造成损失由客户自行负责。

4.7.2 按需计费模式下账户欠费时实例变化

按需计费下，当您的账户欠费时，系统将会关闭实例，不允许开机，实例管理页面仅能执行释放实例操作。只有结清欠款后才允许开机及其他实例操作。

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服