**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**
Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit bei der Verwendung des AWS Shield Network Security Directors
**Anmerkung**
AWS Shield Network Security Director befindet sich in der öffentlichen Vorschauversion und kann sich ändern.
In diesem Abschnitt werden die wichtigsten Sicherheitsaspekte bei der Verwendung dieser Network Security Director-Vorversion beschrieben.
**Datenquellen**
Wenn Sie eine Analyse ausführen, ruft Network Security Director mithilfe von öffentlichen AWS API-Endpunkten Informationen über Ihre [AWS Ressourcen](https://aws.amazon.com/resourceexplorer/) ab. Zu den abgerufenen Informationen gehören Ressourcenattribute, die für Ihr Konto öffentlich zugänglich sind. AWS APIs
AWS Shield Network Security Director verwendet auch interne AWS Datenquellen und Bedrohungsinformationen, um Ergebnisse zu identifizieren und Abhilfemaßnahmen zu empfehlen.
**Datenverschlüsselung**
Beachten Sie bei der Verwendung von Network Security Director die folgenden Überlegungen zur Verschlüsselung.
+ **Verschlüsselung im Ruhezustand** — Alle Daten sind im Ruhezustand geschützt.
+ **Verschlüsselung bei der Übertragung** — Alle Daten werden während der Übertragung mithilfe der TLS-Verschlüsselung (Transport Layer Security) geschützt. Die gesamte Kommunikation wird mit Amazon Simple Storage Service AWS Signature Version 4 (SigV4) authentifiziert. Informationen zu Sigv4 finden Sie unter [Authentifizieren von Anfragen (AWS Signature Version 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) im *Amazon S3 S3-Benutzerhandbuch*.
+ **Schlüsselverwaltung — Von** Kunden verwaltete Schlüssel werden derzeit nicht unterstützt.
**Topics**
+ [Identity and Access Management für AWS Shield Network Security Director](nsd-iam.md)
+ [Beispiele für identitätsbasierte Richtlinien für AWS Shield Network Security Director](security-nsd-with-iam-id-based-policies.md)
+ [Verwenden von dienstverknüpften Rollen für AWS Shield Network Security Director](security_iam_nsd-with-iam-roles-service-linked.md)
# Identity and Access Management für AWS Shield Network Security Director
**Anmerkung**
AWS Shield Network Security Director befindet sich in der öffentlichen Vorschauversion und kann sich ändern.
AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf AWS Ressourcen sicher zu kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um die Ressourcen des AWS Shield Network Security Director zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.
Lesen Sie die Anleitungen in diesem Abschnitt, um zu erfahren, wie Sie die unterstützten Richtlinien und Rollen für AWS Shield Network Security Director verwenden.
## So arbeitet AWS Shield Network Security Director mit IAM
In diesem Abschnitt wird erklärt, wie Sie die Funktionen von IAM mit AWS Shield Network Security Director verwenden.
Bevor Sie IAM zur Verwaltung des Zugriffs auf Network Security Director verwenden, sollten Sie sich darüber informieren, welche IAM-Funktionen für die Verwendung mit Network Security Director verfügbar sind.
**IAM-Funktionen, die Sie mit AWS Shield Network Security Director verwenden können**
| IAM-Feature | AWS Shield Unterstützung für Network Security Director |
| --- | --- |
| [Identitätsbasierte Richtlinien](#iam_nsd-with-iam-id-based-policies) | Ja |
| [Service-verknüpfte Rollen](security_iam_nsd-with-iam-roles-service-linked.md) | Ja |
Einen allgemeinen Überblick darüber, wie Network Security Director und andere AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
### Identitätsbasierte Richtlinien für Network Security Director
**Unterstützt Richtlinien auf Identitätsbasis:** Ja
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
Beispiele für identitätsbasierte AWS Shield Richtlinien von Network Security Director finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Shield Network Security Director](security-nsd-with-iam-id-based-policies.md)
### Dienstbezogene Rollen für den Network Security Director
**Unterstützt serviceverknüpfte Rollen:** Ja
Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten.
Einzelheiten zum Erstellen oder Verwalten von dienstbezogenen Rollen für Network Security Director finden Sie unter. [Verwenden von dienstverknüpften Rollen für AWS Shield Network Security Director](security_iam_nsd-with-iam-roles-service-linked.md)
# Beispiele für identitätsbasierte Richtlinien für AWS Shield Network Security Director
**Anmerkung**
Wenn Sie mit der Verwendung von AWS Shield Network Security Director beginnen, erstellen wir automatisch eine dienstbezogene Rolle, die alle Mindestanforderungen an Berechtigungen erfüllt. Das Erstellen und Verwalten Ihrer eigenen identitätsbasierten Richtlinien ist optional.
Um den entsprechenden Zugriff auf Network Security Director zu ermöglichen, können Sie identitätsbasierte Richtlinien erstellen, die die erforderlichen Berechtigungen für den administrativen und schreibgeschützten Zugriff gewähren.
*Weitere Informationen zum Erstellen und Verwalten von IAM-Richtlinien finden Sie unter [Verwaltete Richtlinien und Inline-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) im IAM-Benutzerhandbuch.*
Diese Berechtigungen ermöglichen es dem AWS Shield Network Security Director, umfassende Sicherheitsanalysen durchzuführen und genaue Empfehlungen zur Netzwerksicherheit abzugeben. Die in diesem Handbuch enthaltenen Beispielrichtlinien sind für allgemeine Anwendungsfälle konzipiert. Sie können diese Richtlinien als Ausgangspunkt verwenden und sie nach Bedarf an Ihre spezifischen Anforderungen anpassen.
**Beispielrichtlinien in diesem Handbuch**
+ [Identitätsbasierte Richtlinie für den administrativen Zugriff](#nsd-security-admin-id-based-policy)
+ [Identitätsbasierte Richtlinie für schreibgeschützten Zugriff](#nsd-security-readonly-id-based-policy)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Network Security Director-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Aktualisierungen identitätsbasierter Richtlinien
Wenn Network Security Director um Updates und Funktionen erweitert wird, müssen Sie möglicherweise Ihre identitätsbasierten Richtlinien aktualisieren, um zusätzliche Berechtigungen einzubeziehen. In diesem Handbuch finden Sie Informationen zu neuen Berechtigungen, die möglicherweise erforderlich sind.
Im Gegensatz zu AWS verwalteten Richtlinien werden vom Kunden verwaltete Richtlinien nicht automatisch aktualisiert. Sie sind dafür verantwortlich, diese Richtlinien bei Bedarf aufrechtzuerhalten und zu aktualisieren.
Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.
## Identitätsbasierte Richtlinie für den administrativen Zugriff
Erstellen Sie anhand des folgenden Beispiels eine identitätsbasierte Richtlinie, um vollen administrativen Zugriff auf die Vorgänge des Network Security Directors zu gewähren und die erforderliche dienstbezogene Rolle zu erstellen.
**Name der Richtlinie:** NetworkSecurityDirectorAdminPolicy
**Beschreibung der Richtlinie**: Ermöglicht vollen Administratorzugriff auf die Vorgänge des AWS Shield Network Security Directors und ermöglicht außerdem das Erstellen oder Löschen der dienstbezogenen Rolle für Network Security Director.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"network-security-director:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/network-security-director.amazonaws.com/AWSServiceRoleForNetworkSecurityDirector"
}
]
}
```
------
## Identitätsbasierte Richtlinie für schreibgeschützten Zugriff
Erstellen Sie eine identitätsbasierte Richtlinie mit dem folgenden Richtlinienbeispiel, um schreibgeschützten Zugriff auf Network Security Director-Operationen zu gewähren.
**Name der Richtlinie:** NetworkSecurityDirectorReadOnlyPolicy
**Beschreibung der Richtlinie**: Ermöglicht den schreibgeschützten Zugriff auf AWS Shield Network Security Director.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"network-security-director:Get*",
"network-security-director:List*"
],
"Resource": "*"
}
]
}
```
------
# Verwenden von dienstverknüpften Rollen für AWS Shield Network Security Director
In diesem Abschnitt wird erklärt, wie Sie dem AWS Shield Network Security Director mithilfe von dienstbezogenen Rollen Zugriff auf Ressourcen in Ihrem AWS Konto gewähren können.
AWS Shield Network Security Director verwendet AWS Identity and Access Management [dienstverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen (IAM). Eine dienstgebundene Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit dem Network Security Director verknüpft ist. AWS Shield Dienstbezogene Rollen sind vom AWS Shield Network Security Director vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle erleichtert die Einrichtung von AWS Shield Network Security Director, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS Shield Der Network Security Director definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, kann nur der AWS Shield Network Security Director seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann an keine andere IAM-Entität angefügt werden.
Die vollständige dienstbezogene Rolle finden Sie in der IAM-Konsole:. [NetworkSecurityDirectorServiceLinkedRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/NetworkSecurityDirectorServiceLinkedRolePolicy)
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Dienstbezogene Rollenberechtigungen für Network Security Director AWS Shield
Die serviceverknüpfte Rolle `NetworkSecurityDirectorServiceLinkedRolePolicy` vertraut darauf, dass die folgenden Services die Rolle annehmen:
+ `network-director.amazonaws.com`
Die `NetworkSecurityDirectorServiceLinkedRolePolicy` erteilt dem AWS Shield Network Security Director die Rechte, in Ihrem Namen auf verschiedene AWS Ressourcen und Dienste zuzugreifen und diese zu analysieren. Dies umfasst:
+ Netzwerkkonfiguration und Sicherheitseinstellungen aus Amazon EC2 EC2-Ressourcen abrufen
+ Zugriff auf CloudWatch Metriken zur Analyse von Netzwerkverkehrsmustern
+ Erfassung von Informationen über Loadbalancer und Zielgruppen
+ Erfassung von AWS WAF Konfigurationen und Regeln
+ Zugreifen auf AWS Direct Connect Gateway-Informationen
+ Und mehr, wie in der folgenden Berechtigungsliste detailliert beschrieben
Die folgende Liste bezieht sich auf Berechtigungen, die das Downscoping auf bestimmte Ressourcen nicht unterstützen. Bei den restlichen Ressourcen handelt es sich um einen Downscope für die angegebenen Dienstressourcen.
```
{
"Sid": "ResourceLevelPermissionNotSupported",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeCustomerGateways",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeTransitGateways",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeTransitGatewayAttachments",
"ec2:DescribeTransitGatewayPeeringAttachments",
"ec2:DescribeTransitGatewayRouteTables",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcPeeringConnections",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:GetTransitGatewayRouteTablePropagations",
"ec2:GetManagedPrefixListEntries",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:DescribeLoadBalancencerAttributes",
"wafv2:ListWebACLs",
"cloudfront:ListDistributions",
"cloudfront:ListTagsForResource",
"directconnect:DescribeDirectConnectGateways",
"directconnect:DescribeVirtualInterfaces"
],
"Resource": "*"
}
```
**`NetworkSecurityDirectorServiceLinkedRolePolicy`Berechtigungen für dienstbezogene Rollen**
Die folgende Liste umfasst alle Berechtigungen, die durch die `NetworkSecurityDirectorServiceLinkedRolePolicy` dienstverknüpfte Rolle aktiviert wurden.
Amazon CloudFront
```
{
"Sid": "cloudfront",
"Effect": "Allow",
"Action": [
"cloudfront:GetDistribution"
],
"Resource": "arn:aws:cloudfront::*:distribution/*"
}
```
AWS WAF
```
{
"Sid": "wafv2",
"Effect": "Allow",
"Action": [
"wafv2:ListResourcesForWebACL",
"wafv2:ListRuleGroups",
"wafv2:ListAvailableManagedRuleGroups",
"wafv2:GetRuleGroup",
"wafv2:DescribeManagedRuleGroup",
"wafv2:GetWebACL"
],
"Resource": [
"arn:aws:wafv2:*:*:global/rulegroup/*",
"arn:aws:wafv2:*:*:regional/rulegroup/*",
"arn:aws:wafv2:*:*:global/managedruleset/*",
"arn:aws:wafv2:*:*:regional/managedruleset/*",
"arn:aws:wafv2:*:*:global/webacl/*/*",
"arn:aws:wafv2:*:*:regional/webacl/*/*",
"arn:aws:apprunner:*:*:service/*",
"arn:aws:cognito-idp:*:*:userpool/*",
"arn:aws:ec2:*:*:verified-access-instance/*"
]
}
```
AWS WAF Klassisch
```
{
"Sid": "classicWaf",
"Effect": "Allow",
"Action": [
"waf:ListWebACLs",
"waf:GetWebACL"
],
"Resource": [
"arn:aws:waf::*:webacl/*",
"arn:aws:waf-regional:*:*:webacl/*"
]
}
```
AWS Direct Connect
```
{
"Sid": "directconnect",
"Effect": "Allow",
"Action": [
"directconnect:DescribeConnections",
"directconnect:DescribeDirectConnectGatewayAssociations",
"directconnect:DescribeDirectConnectGatewayAttachments",
"directconnect:DescribeVirtualGateways"
],
"Resource": [
"arn:aws:directconnect::*:dx-gateway/*",
"arn:aws:directconnect:*:*:dxcon/*",
"arn:aws:directconnect:*:*:dxlag/*",
"arn:aws:directconnect:*:*:dxvif/*"
]
}
```
AWS Transit Gateway Strecken
```
{
"Sid": "ec2Get",
"Effect": "Allow",
"Action": [
"ec2:SearchTransitGatewayRoutes"
],
"Resource": [
"arn:aws:ec2:*:*:transit-gateway-route-table/*"
]
}
```
AWS Network Firewall
```
{
"Sid": "networkFirewall",
"Effect": "Allow",
"Action": [
"network-firewall:ListFirewalls",
"network-firewall:ListFirewallPolicies",
"network-firewall:ListRuleGroups",
"network-firewall:DescribeFirewall",
"network-firewall:DescribeFirewallPolicy",
"network-firewall:DescribeRuleGroup"
],
"Resource": [
"arn:aws:network-firewall:*:*:*/*"
]
}
```
Amazon API Gateway
```
{
"Sid": "apiGatewayGetAPI",
"Effect": "Allow",
"Action": [
"apigateway:GET"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/apis",
"arn:aws:apigateway:*::/apis/*",
"arn:aws:apigateway:*::/tags/*",
"arn:aws:apigateway:*::/vpclinks",
"arn:aws:apigateway:*::/vpclinks/*"
]
}
```
## Erstellung einer dienstbezogenen Rolle für den AWS Shield Network Security Director
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie Ihre erste Netzwerkanalyse ausführen, erstellt AWS Shield Network Security Director die dienstbezogene Rolle für Sie.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie die AWS Shield Network Security Director-Protokollierung aktivieren, erstellt AWS Shield Network Security Director die dienstbezogene Rolle erneut für Sie.
## Bearbeiten einer dienstbezogenen Rolle für den AWS Shield Network Security Director
AWS Shield Der Network Security Director erlaubt es Ihnen nicht, die `NetworkSecurityDirectorServiceLinkedRolePolicy` dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer dienstbezogenen Rolle für den AWS Shield Network Security Director
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
Dadurch werden die Ressourcen Ihres AWS Shield Network Security Directors geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
**Anmerkung**
Wenn der AWS Shield Network Security Director-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Sie können die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden, um die `NetworkSecurityDirectorServiceLinkedRolePolicy`-serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.
## Unterstützte Regionen für dienstbezogene Rollen des AWS Shield Network Security Directors
**Anmerkung**
AWS Shield Network Security Director befindet sich in der öffentlichen Vorschauversion und kann sich ändern.
AWS Shield Network Security Director unterstützt die Verwendung von dienstbezogenen Rollen in den folgenden Regionen und kann nur Daten über Ihre Ressourcen in diesen Regionen abrufen.
| Name der Region | Region |
| --- | --- |
| USA Ost (Nord-Virginia) | us-east-1 |
| Europa (Stockholm) | eu-north-1 |
| Asien-Pazifik (Thailand) | ap-southeast-7 |
| Afrika (Kapstadt) | ap-south-1 |
| USA Ost (Ohio) | us-east-2 |
| Asien-Pazifik (Malaysia) | ap-southeast-5 |
| Asien-Pazifik (Tokio) | ap-northeast-1 |
| USA West (Oregon) | us-west-2 |
| Europa (Spain) | eu-south-2 |
| Europa (Irland) | eu-west-1 |
| Europa (Frankfurt) | eu-central-1 |
| Asien-Pazifik (Hongkong) | ap-east-1 |
| Asien-Pazifik (Singapur) | ap-southeast-1 |
| Asien-Pazifik (Sydney) | ap-southeast-2 |