community.aws.wafv2_rule_group 模块 – wafv2_web_acl

注意

此模块是 community.aws 集合 (版本 9.0.0) 的一部分。

如果您使用的是 ansible 包，则可能已安装此集合。它不包含在 ansible-core 中。要检查它是否已安装，请运行 ansible-galaxy collection list。

要安装它，请使用：ansible-galaxy collection install community.aws。您需要其他要求才能使用此模块，有关详细信息，请参阅要求。

要在 playbook 中使用它，请指定：community.aws.wafv2_rule_group。

community.aws 1.5.0 中的新增功能

概要 

创建、修改和删除 wafv2 规则组。

要求 

执行此模块的主机需要以下要求。

python >= 3.6
boto3 >= 1.28.0
botocore >= 1.31.0

参数 

参数	注释
access_key 别名：aws_access_key_id, aws_access_key, ec2_access_key 字符串	AWS 访问密钥 ID。有关访问令牌的更多信息，请参见 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。还可以按优先级递减的顺序使用 `AWS_ACCESS_KEY_ID`、`AWS_ACCESS_KEY` 或 `EC2_ACCESS_KEY` 环境变量。 aws_access_key 和 profile 选项是互斥的。为与 AWS botocore SDK 保持一致，在 5.1.0 版本中添加了 aws_access_key_id 别名。 ec2_access_key 别名已弃用，并将在 2024-12-01 后的某个版本中删除。 `EC2_ACCESS_KEY` 环境变量的支持已弃用，并将在 2024-12-01 后的某个版本中删除。
aws_ca_bundle 路径	验证 SSL 证书时要使用的 CA 捆绑包的位置。还可以使用 `AWS_CA_BUNDLE` 环境变量。
aws_config 字典	用于修改 botocore 配置的字典。参数可以在 AWS 文档中找到 https://botocore.amazonaws.com/v1/documentation/api/latest/reference/config.html#botocore.config.Config。
capacity 整数	wafv2 规则组的容量。
cloudwatch_metrics 布尔值	为 wafv2 规则组启用 CloudWatch 指标选项 `false` `true` ← (默认)
debug_botocore_endpoint_logs 布尔值	使用 `botocore.endpoint` 记录器来解析任务期间进行的唯一（而不是总计）`"resource:action"` API 调用，并将该集合输出到任务结果中的 resource_actions 密钥。使用 `aws_resource_action` 回调将输出到 playbook 期间进行的总列表。还可以使用 `ANSIBLE_DEBUG_BOTOCORE_LOGS` 环境变量。选项 `false` ← (默认) `true`
description 字符串	wafv2 规则组的描述。
endpoint_url 别名：ec2_url, aws_endpoint_url, s3_url 字符串	连接到默认 AWS 端点以外的 URL。虽然这可以用于连接到其他与 AWS 兼容的服务，但 amazon.aws 和 community.aws 集合仅针对 AWS 进行了测试。还可以按优先级递减的顺序使用 `AWS_URL` 或 `EC2_URL` 环境变量。 ec2_url 和 s3_url 别名已弃用，并将在 2024-12-01 后的某个版本中删除。 `EC2_URL` 环境变量的支持已弃用，并将在 2024-12-01 后的某个版本中删除。
metric_name 字符串	CloudWatch 指标的名称。如果未给出且启用了 cloudwatch_metrics，则将使用规则组本身的名称。
name 字符串 / 必需	规则组的名称。
profile 别名：aws_profile 字符串	用于身份验证的命名 AWS 配置文件。有关命名配置文件的更多信息，请参见 AWS 文档 https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-profiles.html。还可以使用 `AWS_PROFILE` 环境变量。 profile 选项与 aws_access_key、aws_secret_key 和 security_token 选项是互斥的。
purge_rules 布尔值	设置为 `no` 时，保留现有的负载均衡器规则。将修改和添加，但不会删除。选项 `false` `true` ← (默认)
purge_tags 布尔值	如果 `purge_tags=true` 且 `tags` 已设置，则将从资源中清除现有标签，以完全匹配 `tags` 参数定义的内容。如果未设置 `tags` 参数，则即使 `purge_tags=True`，也不会修改标签。以 `aws:` 开头的标签键由 Amazon 保留，无法修改。因此，在 `purge_tags` 参数中将忽略它们。有关更多信息，请参阅 Amazon 文档 https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html#tag-conventions。选项 `false` `true` ← (默认)
region 别名：aws_region, ec2_region 字符串	要使用的 AWS 区域。对于 IAM、Route53 和 CloudFront 等全局服务，将忽略区域。也可以使用 `AWS_REGION` 或 `EC2_REGION` 环境变量。有关更多信息，请参阅 Amazon AWS 文档 http://docs.aws.amazon.com/general/latest/gr/rande.html#ec2_region。 `ec2_region` 别名已弃用，将在 2024-12-01 之后的一个版本中删除。对 `EC2_REGION` 环境变量的支持已弃用，将在 2024-12-01 之后的一个版本中删除。
rules 列表 / 元素=字典	用于识别要允许、阻止或计数的 Web 请求的规则语句。
sampled_requests 布尔值	采样请求，true 或 false。选项 `false` ← (默认) `true`
scope 字符串 / 必需	wafv2 规则组的范围。选项 `"CLOUDFRONT"` `"REGIONAL"`
secret_key 别名：aws_secret_access_key, aws_secret_key, ec2_secret_key 字符串	AWS 密钥访问密钥。有关访问令牌的更多信息，请参见 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。也可以使用 `AWS_SECRET_ACCESS_KEY`、`AWS_SECRET_KEY` 或 `EC2_SECRET_KEY` 环境变量，优先级依次递减。 secret_key 和 profile 选项是互斥的。为了与 AWS botocore SDK 保持一致，在 5.1.0 版本中添加了 aws_secret_access_key 别名。 ec2_secret_key 别名已弃用，将在 2024-12-01 之后的一个版本中删除。对 `EC2_SECRET_KEY` 环境变量的支持已弃用，将在 2024-12-01 之后的一个版本中删除。
session_token 别名：aws_session_token, security_token, aws_security_token, access_token 字符串	用于临时凭据的 AWS STS 会话令牌。有关访问令牌的更多信息，请参见 AWS 文档 https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys。也可以使用 `AWS_SESSION_TOKEN`、`AWS_SECURITY_TOKEN` 或 `EC2_SECURITY_TOKEN` 环境变量，优先级依次递减。 security_token 和 profile 选项是互斥的。在 3.2.0 版本中添加了 aws_session_token 和 session_token 别名，在 6.0.0 版本中将参数名称从 security_token 重命名为 session_token。 security_token、aws_security_token 和 access_token 别名已弃用，将在 2024-12-01 之后的一个版本中删除。对 `EC2_SECRET_KEY` 和 `AWS_SECURITY_TOKEN` 环境变量的支持已弃用，将在 2024-12-01 之后的一个版本中删除。
state 字符串 / 必需	规则是否存在。选项 `"present"` `"absent"`
tags 别名：resource_tags 字典	表示要应用于资源的标签的字典。如果未设置 `tags` 参数，则不会修改标签。
validate_certs 布尔值	设置为 `false` 时，将不会验证与 AWS API 通信的 SSL 证书。强烈建议不要设置 validate_certs=false，作为替代方案，请考虑设置 aws_ca_bundle。选项 `false` `true` ← (默认)

注释 

注意

警告：对于模块，环境变量和配置文件是从 Ansible 的“主机”上下文而不是“控制器”上下文读取的。因此，可能需要将文件显式复制到“主机”。对于查找和连接插件，环境变量和配置文件是从 Ansible 的“控制器”上下文而不是“主机”上下文读取的。
Ansible 使用的 AWS SDK (boto3) 也可能从其在 Ansible“主机”上下文中的配置文件（通常为 ~/.aws/credentials）读取凭据和其他设置（例如区域）的默认值。有关更多信息，请参阅 https://boto3.amazonaws.com/v1/documentation/api/latest/guide/credentials.html。

示例 

- name: change description
  community.aws.wafv2_rule_group:
    name: test02
    state: present
    description: hallo eins zwei
    scope: REGIONAL
    capacity: 500
    rules:
      - name: eins
        priority: 1
        action:
          allow: {}
        visibility_config:
          sampled_requests_enabled: true
          cloud_watch_metrics_enabled: true
          metric_name: fsd
        statement:
          ip_set_reference_statement:
            arn: "{{ IPSET.arn }}"
    cloudwatch_metrics: true
    tags:
      A: B
      C: D
  register: out

- name: add rule
  community.aws.wafv2_rule_group:
    name: test02
    state: present
    description: hallo eins zwei
    scope: REGIONAL
    capacity: 500
    rules:
      - name: eins
        priority: 1
        action:
          allow: {}
        visibility_config:
          sampled_requests_enabled: true
          cloud_watch_metrics_enabled: true
          metric_name: fsd
        statement:
          ip_set_reference_statement:
            arn: "{{ IPSET.arn }}"
      - name: zwei
        priority: 2
        action:
          block: {}
        visibility_config:
          sampled_requests_enabled: true
          cloud_watch_metrics_enabled: true
          metric_name: ddos
        statement:
          or_statement:
            statements:
              - byte_match_statement:
                  search_string: ansible.com
                  positional_constraint: CONTAINS
                  field_to_match:
                    single_header:
                      name: host
                  text_transformations:
                    - type: LOWERCASE
                      priority: 0
              - xss_match_statement:
                  field_to_match:
                    body: {}
                  text_transformations:
                    - type: NONE
                      priority: 0
    cloudwatch_metrics: true
    tags:
      A: B
      C: D
  register: out

返回值 

常见的返回值已在此处记录，以下是此模块独有的字段

键	描述
arn 字符串	规则组 arn 返回：只要 Web ACL 存在，就会始终返回。示例：`"arn:aws:wafv2:eu-central-1:11111111:regional/rulegroup/test02/6e90c01a-e4eb-43e5-b6aa-b1604cedf7d7"`
capacity 整数	规则组的当前容量返回：只要规则组存在，就会始终返回。示例：`500`
description 字符串	规则组的描述返回：只要 Web ACL 存在，就会始终返回。示例：`"Some rule group description"`
name 字符串	规则组名称返回：只要规则组存在，就会始终返回。示例：`"test02"`
rules 列表 / 元素=字符串	规则组的当前规则返回：只要规则组存在，就会始终返回。示例：`[{"action": {"allow": {}}, "name": "eins", "priority": 1, "statement": {"ip_set_reference_statement": {"arn": "arn:aws:wafv2:eu-central-1:11111111:regional/ipset/test02/b6978915-c67b-4d1c-8832-2b1bb452143a"}}, "visibility_config": {"cloud_watch_metrics_enabled": true, "metric_name": "fsd", "sampled_requests_enabled": true}}]`
visibility_config 字典	规则组的可见性配置返回：只要规则组存在，就会始终返回。示例：`{"cloud_watch_metrics_enabled": true, "metric_name": "blub", "sampled_requests_enabled": false}`

作者

Markus Bergholz (@markuman)