Verwenden von serviceverknüpften Rollen für Firewall Manager - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für Firewall Manager

AWS Firewall Manager verwendet AWS Identity and Access Management (IAM) dienstgebundene Rollen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Firewall Manager verknüpft ist. Dienstbezogene Rollen sind von Firewall Manager vordefiniert und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine dienstbezogene Rolle erleichtert die Einrichtung von Firewall Manager, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Firewall Manager definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, kann nur Firewall Manager seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann an keine andere IAM-Entität angefügt werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dadurch werden Ihre Firewall Manager Manager-Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entfernen können.

Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter AWS -Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Dienstbezogene Rollenberechtigungen für Firewall Manager

AWS Firewall Manager verwendet den Namen der dienstverknüpften Rolle AWSServiceRoleForFMS , damit Firewall Manager in Ihrem Namen AWS Dienste zur Verwaltung von Firewall-Richtlinien und AWS Organizations Kontoressourcen aufrufen kann. Diese Richtlinie ist der AWS verwalteten Rolle AWSServiceRoleForFMS zugeordnet. Weitere Informationen zur verwalteten Rolle finden Sie unterAWS verwaltete Richtlinie: FMSServiceRolePolicy.

Die mit AWSServiceRoleForFMS dem Dienst verknüpfte Rolle vertraut darauf, dass der Dienst die Rolle übernimmt. fms.amazonaws.com

Die Rollenberechtigungsrichtlinie ermöglicht es Firewall Manager, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:

  • waf- Verwalten Sie AWS WAF klassische Web-ACLs, Regelgruppenberechtigungen und die Web-ACLs-Verknüpfungen in Ihrem Konto.

  • ec2- Verwalten Sie Sicherheitsgruppen auf elastischen Netzwerkschnittstellen und Amazon EC2 EC2-Instances. Verwalten Sie Netzwerk-ACLs in Amazon VPC-Subnetzen.

  • vpc- Verwalten Sie Subnetze, Routing-Tabellen, Tags und Endpunkte in Amazon VPC.

  • wafv2- Verwalten Sie AWS WAF Web-ACLs, Regelgruppenberechtigungen und die Web-ACLs-Verknüpfungen in Ihrem Konto.

  • cloudfront- Erstellen Sie Web-ACLs, um Distributionen zu schützen. CloudFront

  • config- Verwalte AWS Config Regeln, die dem Firewall Manager gehören, in deinem Konto.

  • iam- Verwaltet diese dienstbezogene Rolle und erstellt erforderliche AWS WAF Rollen und dienstgebundene Shield-Rollen, wenn Sie die Protokollierung für AWS WAF und Shield-Richtlinien konfigurieren.

  • organization- Erstellen Sie eine dienstbezogene Rolle, die Firewall Manager gehört, um die von Firewall Manager verwendeten AWS Organizations Ressourcen zu verwalten.

  • shield- Verwalten Sie AWS Shield Schutzmaßnahmen und Konfigurationen zur L7-Abwehr für Ressourcen in Ihrem Konto.

  • ram- Verwalten Sie die gemeinsame Nutzung von AWS RAM Ressourcen für DNS-Firewall-Regelgruppen und Netzwerk-Firewall-Regelgruppen.

  • network-firewall- Verwalten Sie Firewall Manager-eigene AWS Network Firewall Ressourcen und abhängige Amazon VPC-Ressourcen in Ihrem Konto.

  • route53resolver- Verwalten Sie DNS-Firewall-Verknüpfungen, die dem Firewall Manager gehören, in Ihrem Konto.

Die vollständige Richtlinie finden Sie in der IAM-Konsole: FMS. ServiceRolePolicy

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter serviceverknüpfte Rollenberechtigungen im IAM-Benutzerhandbuch.

Eine serviceverknüpfte Rolle für Firewall Manager erstellen

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie die AWS Management Console Firewall Manager-Anmeldung am aktivieren oder eine PutLoggingConfiguration Anfrage in der Firewall Manager Manager-CLI oder der Firewall Manager Manager-API stellen, erstellt Firewall Manager die dienstbezogene Rolle für Sie.

Sie müssen über die iam:CreateServiceLinkedRole-Berechtigung verfügen, um die Protokollierung zu aktivieren.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie die Firewall Manager-Protokollierung aktivieren, erstellt Firewall Manager die dienstbezogene Rolle erneut für Sie.

Bearbeiten einer serviceverknüpften Rolle für Firewall Manager

Mit Firewall Manager können Sie die AWSServiceRoleForFMS dienstverknüpfte Rolle nicht bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für Firewall Manager

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Anmerkung

Wenn der Firewall Manager Manager-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

Um die mit dem Dienst verknüpfte Rolle mithilfe von IAM zu löschen

Verwenden Sie die IAM-Konsole, die IAM-CLI oder die IAM-API, um die serviceverknüpfte Rolle zu löschen. AWSServiceRoleForFMS Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Leitfaden.

Unterstützte Regionen für serviceverknüpfte Firewall Manager Manager-Rollen

Firewall Manager unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter Firewall Manager Manager-Endpunkte und Kontingente.