Concesión del acceso al SRT

Esta página proporciona instrucciones para conceder permiso al SRT para que actúe en su nombre y acceda a sus registros de AWS WAF y haga llamadas a las API de AWS Shield Advanced y a las API de AWS WAF para administrar las protecciones.

Durante los eventos de DDoS en la capa de aplicación, el SRT puede supervisar las solicitudes de AWS WAF para identificar el tráfico anómalo y ayudar a elaborar reglas de AWS WAF personalizadas para mitigar las fuentes de tráfico infractoras.

Además, puede conceder al SRT acceso a otros datos que haya almacenado en los buckets de Amazon S3, como capturas de paquetes o registros de un equilibrador de carga de aplicación, Amazon CloudFront o de fuentes de terceros.

nota

Para utilizar los servicios del equipo de respuesta de Shield (SRT), debe haberse registrado en el plan de soporte Business o en el plan de asistencia Enterprise.

Administración de los permisos del SRT

En la página Información general de la consola de AWS Shield, en Configurar asistencia de SRT de AWS, elija Editar el acceso del SRT. Se abre la página Editar el acceso del equipo de respuesta de Shield (SRT) de AWS
Para Configuración de acceso de SRT, seleccione una de las siguientes opciones:
- No conceder al SRT acceso a mi cuenta: Shield elimina cualquier permiso que se haya otorgado anteriormente al SRT para acceder a su cuenta y sus recursos.
- Crear un nuevo rol para que el SRT acceda a mi cuenta: Shield crea un rol que confía en la entidad principal del servicio drt.shield.amazonaws.com, que representa al SRT, y le asocia la política administrada AWSShieldDRTAccessPolicy. La política administrada permite al SRT realizar llamadas a AWS Shield Advanced y AWS WAF API en su nombre y acceder a sus registros de AWS WAF. Para obtener más información sobre la política administrada, consulte Política administrada de AWS: AWSShieldDRTAccessPolicy.
- Elegir un rol ya existente para que el SRT pueda acceder a mis cuentas: para elegir esta opción, debe modificar la configuración del rol en AWS Identity and Access Management (IAM) de la siguiente manera:
  - Asocie la política AWSShieldDRTAccessPolicy administrada al rol. Esta política administrada permite al SRT realizar llamadas API de AWS Shield Advanced y AWS WAF en su nombre y acceder a sus registros de AWS WAF. Para obtener más información sobre la política administrada, consulte Política administrada de AWS: AWSShieldDRTAccessPolicy. Para obtener información sobre cómo asociar la política administrada a su rol, consulte Asociar y desasociar políticas de IAM.
  - Modifique el rol para confiar en la entidad principal de servicio drt.shield.amazonaws.com. Esta es la entidad principal de servicio que representa el SRT. Para obtener más información, consulte Elemento de la política de JSON de IAM: Principal.
Para (Opcional): Conceder al SRT acceso a un bucket de Amazon S3, si necesita compartir datos que no están en sus registros de ACL web de AWS WAF, configúrelo. Por ejemplo, los registros de acceso del equilibrador de carga de aplicación, los registros de Amazon CloudFront o los registros de fuentes de terceros.

nota
No necesita hacer esto para los registros de la ACL web de AWS WAF. El SRT obtiene acceso a ellos cuando conceda acceso a su cuenta.
1. Configure los buckets de Amazon S3 según las siguientes directrices:
  - Las ubicaciones de los buckets deben estar en la misma Cuenta de AWS a la que dio acceso general al SRT en el paso anterior Acceso del Equipo de Respuesta de Shield (SRT) de AWS.
  - Los buckets pueden ser de texto sin formato o cifrado SSE-S3. Para obtener más información sobre el cifrado SSE-S3 de Amazon S3, consulte Protección de datos utilizando el cifrado del servidor con las claves de cifrado de Amazon S3-Managed Encryption Keys (SSE-S3) en la Guía del usuario de Amazon S3.
    
    El SRT no puede ver ni procesar registros almacenados en buckets cifrados con claves almacenadas en AWS Key Management Service (AWS KMS).
2. En la sección (Opcional): Conceder al SRT acceso a un bucket de Amazon S3, introduzca el nombre del bucket y elija Agregar bucket para cada bucket de Amazon S3 en el que se almacenen sus datos o registros. Puede agregar hasta 10 buckets.
  
  Esto otorga al SRT los siguientes permisos en cada bucket: s3:GetBucketLocation, s3:GetObject y s3:ListBucket.
  
  Si quiere dar permiso al SRT para acceder a más de 10 buckets, puede hacerlo editando las políticas de bucket adicionales y concediendo manualmente los permisos que se indican aquí para el SRT.
  
  A continuación, se muestra una lista de políticas de ejemplo.
```
{
    "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
    "Effect": "Allow",
    "Principal": {
        "Service": "drt.shield.amazonaws.com"
    },
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": [
        "arn:aws:s3:::bucket-name",
        "arn:aws:s3:::bucket-name/*"
    ]
} 
```
Elija Guardar para guardar los cambios.

También puede autorizar al SRT a través de la API creando un rol de IAM, adjuntándole la política AWSShieldDRTAccessPolicy y, a continuación, pasando el rol a la operación AssociateDRTRole.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Asistencia del SRT

Configuración de una interacción proactiva