Accorder l'accès au SRT - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accorder l'accès au SRT

Cette page fournit des instructions pour autoriser les personnes SRT à agir en votre nom, afin qu'elles puissent accéder à vos AWS WAF journaux et passer des appels AWS WAF APIs vers AWS Shield Advanced et pour gérer les protections.

Lors DDoS des événements liés à la couche application, SRT ils peuvent surveiller les AWS WAF demandes afin d'identifier le trafic anormal et aider à élaborer des AWS WAF règles personnalisées pour atténuer les sources de trafic indésirables.

En outre, vous pouvez accorder l'SRTaccès à d'autres données que vous avez stockées dans des compartiments Amazon S3, telles que les captures de paquets ou les journaux provenant d'un Application Load Balancer, d' CloudFrontAmazon ou de sources tierces.

Note

Pour utiliser les services de la Shield Response Team (SRT), vous devez être abonné au plan Business Support ou au plan Enterprise Support.

Pour gérer les autorisations pour SRT
  1. Sur la page de présentation de la AWS Shield console, sous Configurer le AWS SRT support, choisissez Modifier SRT l'accès. La page d'accès à Edit AWS Shield Response Team (SRT) s'ouvre.

  2. Pour le paramétrage de l'SRTaccès, sélectionnez l'une des options suivantes :

    • Ne pas accorder l'SRTaccès à mon compte — Shield supprime toutes les autorisations que vous avez précédemment accordées pour accéder SRT à votre compte et à vos ressources.

    • Créer un nouveau rôle pour accéder SRT à mon compte — Shield crée un rôle qui fait confiance au principal du servicedrt.shield.amazonaws.com, qui le représenteSRT, et y attache la politique AWSShieldDRTAccessPolicy gérée. La politique gérée permet de SRT passer des AWS Shield Advanced AWS WAF API appels en votre nom et d'accéder à vos AWS WAF journaux. Pour plus d’informations sur la stratégie gérée, consultez AWS politique gérée : AWSShieldDRTAccessPolicy.

    • Choisissez un rôle existant pour accéder SRT à mes comptes — Pour cette option, vous devez modifier la configuration du rôle dans AWS Identity and Access Management (IAM) comme suit :

      • Attachez la stratégie gérée AWSShieldDRTAccessPolicy au rôle. Cette politique gérée permet de SRT passer des AWS Shield Advanced AWS WAF API appels en votre nom et d'accéder à vos AWS WAF journaux. Pour plus d’informations sur la stratégie gérée, consultez AWS politique gérée : AWSShieldDRTAccessPolicy. Pour plus d'informations sur l'attachement de la politique gérée à votre rôle, consultez la section Attacher et détacher des IAM politiques.

      • Modifiez le rôle pour approuver l'entité de service drt.shield.amazonaws.com. Il s'agit du principal de service qui représente leSRT. Pour plus d'informations, voir Éléments IAM JSON de politique : Principal.

  3. Pour (facultatif) : accordez SRT l'accès à un compartiment Amazon S3. Si vous devez partager des données qui ne figurent pas dans vos ACL journaux AWS WAF Web, configurez-le. Par exemple, les journaux d'accès à Application Load Balancer, les CloudFront journaux Amazon ou les journaux provenant de sources tierces.

    Note

    Vous n'avez pas besoin de le faire pour vos ACL journaux AWS WAF Web. Il y SRT accède lorsque vous accordez l'accès à votre compte.

    1. Configurez les compartiments Amazon S3 conformément aux directives suivantes :

    2. Dans le Shield Advanced (facultatif) : accordez l'SRTaccès à une section de compartiment Amazon S3, pour chaque compartiment Amazon S3 dans lequel vos données ou vos journaux sont stockés, entrez le nom du compartiment et choisissez Ajouter un compartiment. Vous pouvez ajouter jusqu'à 10 compartiments.

      Cela accorde SRT les autorisations suivantes pour chaque compartiment : s3:GetBucketLocations3:GetObject, ets3:ListBucket.

      Si vous souhaitez SRT autoriser l'accès à plus de 10 compartiments, vous pouvez le faire en modifiant les politiques de compartiment supplémentaires et en accordant manuellement les autorisations répertoriées ici pour leSRT.

      Vous trouverez ci-dessous un exemple de liste de politiques.

      { "Sid": "AWSDDoSResponseTeamAccessS3Bucket", "Effect": "Allow", "Principal": { "Service": "drt.shield.amazonaws.com" }, "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] }
  4. Choisissez Save pour enregistrer les changements.

Vous pouvez également l'autoriser SRT via le API en créant un IAM rôle, en y attachant la politique AWSShieldDRTAccessPolicy , puis en transmettant le rôle à l'opération ssociateDRTRoleA.