Zugriff gewähren für die SRT

Auf dieser Seite finden Sie Anweisungen, wie Sie ihnen die Erlaubnis erteilen, in Ihrem Namen SRT zu handeln, sodass sie auf Ihre AWS WAF Protokolle zugreifen und Anrufe an sie tätigen AWS Shield Advanced und AWS WAF APIs Schutzmaßnahmen verwalten können.

Bei DDoS Ereignissen auf Anwendungsebene SRT können sie AWS WAF Anfragen überwachen, um anomalen Datenverkehr zu identifizieren und dabei zu helfen, benutzerdefinierte AWS WAF Regeln zu entwickeln, um problematische Datenverkehrsquellen einzudämmen.

Darüber hinaus können Sie SRT Zugriff auf andere Daten gewähren, die Sie in Amazon S3 S3-Buckets gespeichert haben, z. B. Paketerfassungen oder Protokolle von einem Application Load Balancer CloudFront, Amazon oder aus Quellen Dritter.

Anmerkung

Um die Dienste des Shield Response Teams (SRT) nutzen zu können, müssen Sie den Business Support Plan oder den Enterprise Support Plan abonniert haben.

Um Berechtigungen für das zu verwalten SRT

Wählen Sie auf der Übersichtsseite der AWS Shield Konsole unter AWS SRTSupport konfigurieren die Option SRTZugriff bearbeiten aus. Die Zugriffsseite AWS Shield Response Team bearbeiten (SRT) wird geöffnet.
Wählen Sie für die SRT Zugriffseinstellung eine der folgenden Optionen aus:
- Gewähren Sie keinen SRT Zugriff auf mein Konto — Shield entfernt alle Berechtigungen, die Sie zuvor für den SRT Zugriff auf Ihr Konto und Ihre Ressourcen erteilt haben.
- Erstellen Sie eine neue Rolle für den SRT Zugriff auf mein Konto — Shield erstellt eine Rolle, die dem Dienstprinzipal vertrautdrt.shield.amazonaws.com, der den repräsentiertSRT, und fügt ihm die verwaltete Richtlinie AWSShieldDRTAccessPolicy hinzu. Die verwaltete Richtlinie ermöglicht es SRT dem, in Ihrem Namen AWS WAF API Anrufe zu tätigen AWS Shield Advanced und auf Ihre AWS WAF Protokolle zuzugreifen. Für weitere Informationen über die verwaltete Richtlinie siehe AWS verwaltete Richtlinie: AWSShieldDRTAccessPolicy.
- Wählen Sie eine bestehende Rolle für den SRT Zugriff auf meine Konten aus — Für diese Option müssen Sie die Konfiguration der Rolle in AWS Identity and Access Management (IAM) wie folgt ändern:
  - Hängen Sie die verwaltete Richtlinie AWSShieldDRTAccessPolicy an die Rolle an. Diese verwaltete Richtlinie ermöglicht es IhnenSRT, in Ihrem Namen AWS WAF API Anrufe zu tätigen AWS Shield Advanced und auf Ihre AWS WAF Protokolle zuzugreifen. Für weitere Informationen über die verwaltete Richtlinie siehe AWS verwaltete Richtlinie: AWSShieldDRTAccessPolicy. Informationen zum Anhängen der verwalteten Richtlinie an Ihre Rolle finden Sie unter Richtlinien anhängen und trennen IAM.
  - Ändern Sie die Rolle, um dem Service-Prinzipal drt.shield.amazonaws.com zu vertrauen. Dies ist der Dienstprinzipal, der die repräsentiert. SRT Weitere Informationen finden Sie unter IAMJSONPolicy Elements: Principal.
Für (optional): Gewähren Sie SRT Zugriff auf einen Amazon S3 S3-Bucket. Wenn Sie Daten teilen müssen, die nicht in Ihren AWS WAF ACL Webprotokollen enthalten sind, konfigurieren Sie dies. Zum Beispiel Application Load Balancer Balancer-Zugriffsprotokolle, CloudFront Amazon-Protokolle oder Protokolle aus Quellen von Drittanbietern.

Anmerkung
Sie müssen dies nicht für Ihre AWS WAF ACL Webprotokolle tun. The SRT erhält Zugriff auf diese, wenn Sie Zugriff auf Ihr Konto gewähren.
1. Konfigurieren Sie die Amazon S3 S3-Buckets gemäß den folgenden Richtlinien:
  - Die Bucket-Standorte müssen dieselben sein AWS-Konto wie die, auf die SRT Sie im vorherigen Schritt AWS Shield Response Team (SRT) Zugriff gewährt haben.
  - Die Buckets können entweder Klartext- oder SSE -S3-verschlüsselt sein. Weitere Informationen zur Amazon SSE S3-S3-Verschlüsselung finden Sie unter Schützen von Daten mithilfe serverseitiger Verschlüsselung mit Amazon S3-Managed Encryption Keys (SSE-S3) im Amazon S3 S3-Benutzerhandbuch.
    
    Sie SRT können keine Protokolle anzeigen oder verarbeiten, die in Buckets gespeichert sind, die mit Schlüsseln verschlüsselt sind, die in () gespeichert sind. AWS Key Management Service AWS KMS
2. Geben Sie im Abschnitt Shield Advanced (optional): SRT Zugriff auf einen Amazon S3 S3-Bucket für jeden Amazon S3 S3-Bucket, in dem Ihre Daten oder Logs gespeichert sind, den Namen des Buckets ein und wählen Sie Bucket hinzufügen. Sie können bis zu 10 Buckets hinzufügen.
  
  Dadurch werden SRT die folgenden Berechtigungen für jeden Bucket gewährt: s3:GetBucketLocations3:GetObject, unds3:ListBucket.
  
  Wenn Sie die SRT Erlaubnis zum Zugriff auf mehr als 10 Buckets erteilen möchten, können Sie dies tun, indem Sie die zusätzlichen Bucket-Richtlinien bearbeiten und die hier aufgeführten Berechtigungen für die SRT manuell erteilen.
  
  Im Folgenden finden Sie ein Beispiel für eine Richtlinienliste.
```
{
    "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
    "Effect": "Allow",
    "Principal": {
        "Service": "drt.shield.amazonaws.com"
    },
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": [
        "arn:aws:s3:::bucket-name",
        "arn:aws:s3:::bucket-name/*"
    ]
} 
```
Wählen Sie Speichern, um Ihre Änderungen zu speichern.

Sie können das auch SRT über die autorisieren, API indem Sie eine IAM Rolle erstellen, ihr die Richtlinie AWSShieldDRTAccessPolicy anhängen und die Rolle dann an Operation A übergeben. ssociateDRTRole

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

SRTUnterstützung

Einrichtung eines proaktiven Engagements