Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für Shield Advanced

AWS Shield Advanced verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Shield Advanced verknüpft ist. Dienstbezogene Rollen sind von Shield Advanced vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine dienstbezogene Rolle erleichtert die Einrichtung von Shield Advanced, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Shield Advanced definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, kann nur Shield Advanced seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dies schützt Ihre Shield Advanced-Ressourcen, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entfernen können.

Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter AWS -Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Dienstbezogene Rollenberechtigungen für Shield Advanced

Shield Advanced verwendet die mit dem Dienst verknüpfte Rolle namens AWSServiceRoleForAWSShield. Diese Rolle ermöglicht Shield Advanced den Zugriff auf und die Verwaltung von AWS Ressourcen, um in Ihrem Namen automatisch auf DDoS-Angriffe auf Anwendungsebene zu reagieren. Weitere Informationen zu dieser Funktion finden Sie unterShield Advanced automatische DDoS-Abwehr auf Anwendungsebene.

Die AWSServiceRoleForAWSShield dienstverknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:

Die genannte Rollenberechtigungsrichtlinie AWSShieldServiceRolePolicy ermöglicht es Shield Advanced, die folgenden Aktionen für alle AWS Ressourcen durchzuführen:

Wenn Aktionen für alle AWS Ressourcen zulässig sind, wird dies in der Richtlinie als angegeben"Resource": "*". Dies bedeutet lediglich, dass die dienstbezogene Rolle jede angegebene Aktion für alle AWS Ressourcen ausführen kann, die von der Aktion unterstützt werden. Die Aktion wafv2:GetWebACL wird beispielsweise nur für wafv2 Web-ACL-Ressourcen unterstützt.

Shield Advanced führt nur API-Aufrufe auf Ressourcenebene für geschützte Ressourcen durch, für die Sie die Schutzfunktion auf Anwendungsebene aktiviert haben, und für Web-ACLs, die diesen geschützten Ressourcen zugeordnet sind.

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter serviceverknüpfte Rollenberechtigungen im IAM-Benutzerhandbuch.

Eine serviceverknüpfte Rolle für Shield Advanced erstellen

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie die automatische DDoS-Abwehr auf Anwendungsebene für eine Ressource in der AWS Management Console, der oder der AWS API aktivieren AWS CLI, erstellt Shield Advanced die dienstbezogene Rolle für Sie.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie die automatische DDoS-Abwehr auf Anwendungsebene für eine Ressource aktivieren, erstellt Shield Advanced die dienstbezogene Rolle erneut für Sie.

Bearbeiten einer serviceverknüpften Rolle für Shield Advanced

Shield Advanced erlaubt es Ihnen nicht, die AWSServiceRoleForAWSShield serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für Shield Advanced

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Um die Shield Advanced-Ressourcen zu löschen, die von AWSServiceRoleForAWSShield

Deaktivieren Sie für all Ihre Ressourcen, für die der DDoS-Schutz auf Anwendungsebene konfiguriert ist, die automatische DDoS-Abwehr auf Anwendungsebene. Anweisungen für die Konsole finden Sie unter. Konfigurieren Sie den DDoS-Schutz auf Anwendungsebene

So löschen Sie die serviceverknüpfte Rolle mit IAM

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSServiceRoleForAWSShield serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Leitfaden.

Unterstützte Regionen für Service-verknüpfte Shield Advanced-Rollen

Shield Advanced unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter Shield Advanced-Endpunkte und Kontingente.