Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für Shield Advanced

In diesem Abschnitt wird erklärt, wie Sie dienstbezogene Rollen verwenden, um Shield Advanced Zugriff auf Ressourcen in Ihrem AWS Konto zu gewähren.

AWS Shield Advanced verwendet AWS Identity and Access Management (IAM) dienstbezogene Rollen. Eine dienstbezogene Rolle ist ein einzigartiger IAM Rollentyp, der direkt mit Shield Advanced verknüpft ist. Dienstbezogene Rollen sind von Shield Advanced vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine dienstbezogene Rolle erleichtert die Einrichtung von Shield Advanced, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Shield Advanced definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, kann nur Shield Advanced seine Rollen übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dies schützt Ihre Shield Advanced-Ressourcen, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entfernen können.

Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter AWS Dienste, die mit IAM Diensten funktionieren. Suchen Sie in der Spalte „Dienstverknüpfte Rolle“ nach den Diensten, für die „Ja“ steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Dienstbezogene Rollenberechtigungen für Shield Advanced

Shield Advanced verwendet die mit dem Dienst verknüpfte Rolle namens AWSServiceRoleForAWSShield. Diese Rolle ermöglicht Shield Advanced den Zugriff auf und die Verwaltung von AWS Ressourcen, um in Ihrem Namen automatisch auf DDoS Angriffe auf Anwendungsebene zu reagieren. Weitere Informationen zu dieser Funktion finden Sie unterAutomatisierung der DDoS Schadensbegrenzung auf Anwendungsebene mit Shield Advanced .

Die AWSServiceRoleForAWSShield dienstverknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:

Die genannte Rollenberechtigungsrichtlinie AWSShieldServiceRolePolicy ermöglicht Shield Advanced, die folgenden Aktionen für alle AWS Ressourcen durchzuführen:

Wenn Aktionen für alle AWS Ressourcen zulässig sind, wird dies in der Richtlinie als angegeben"Resource": "*". Dies bedeutet lediglich, dass die dienstbezogene Rolle jede angegebene Aktion für alle AWS Ressourcen ausführen kann, die von der Aktion unterstützt werden. Die Aktion wafv2:GetWebACL wird beispielsweise nur für wafv2 ACL Webressourcen unterstützt.

Shield Advanced führt nur API Aufrufe auf Ressourcenebene für geschützte Ressourcen durch, für die Sie die Schutzfunktion auf Anwendungsebene aktiviert haben, und für WebsitesACLs, die mit diesen geschützten Ressourcen verknüpft sind.

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Berechtigungen für dienstverknüpfte Rollen im IAMBenutzerhandbuch.

Eine serviceverknüpfte Rolle für Shield Advanced erstellen

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie die automatische DDoS Abwehr auf Anwendungsebene für eine Ressource im AWS Management Console, dem oder dem aktivieren AWS CLI, erstellt Shield Advanced die AWS API serviceverknüpfte Rolle für Sie.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie die automatische DDoS Abwehr auf Anwendungsebene für eine Ressource aktivieren, erstellt Shield Advanced die serviceverknüpfte Rolle erneut für Sie.

Bearbeiten einer serviceverknüpften Rolle für Shield Advanced

Shield Advanced erlaubt Ihnen nicht, die AWSServiceRoleForAWSShield serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können die Beschreibung der Rolle jedoch mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer dienstbezogenen Rolle im IAMBenutzerhandbuch.

Löschen einer serviceverknüpften Rolle für Shield Advanced

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Um die Shield Advanced-Ressourcen zu löschen, die verwendet werden von AWSServiceRoleForAWSShield

Deaktivieren Sie für all Ihre Ressourcen, für die DDoS Schutzmaßnahmen auf Anwendungsebene konfiguriert sind, die automatische DDoS Schadensbegrenzung auf Anwendungsebene. Anweisungen für die Konsole finden Sie unter. Konfigurieren Sie den DDoS Schutz auf Anwendungsebene

Um die mit dem Dienst verknüpfte Rolle manuell zu löschen, verwenden Sie IAM

Verwenden Sie die IAM Konsole, den oder AWS CLI, AWS API um die AWSServiceRoleForAWSShield dienstverknüpfte Rolle zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.

Unterstützte Regionen für Service-verknüpfte Shield Advanced-Rollen

Shield Advanced unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter Shield Advanced-Endpunkte und Kontingente.