Memberikan akses untuk SRT

Untuk mengelola izin untuk SRT

1. Di halaman Ikhtisar AWS Shield konsol, di bawah Konfigurasi AWS SRT dukungan, pilih Edit SRT akses. Halaman akses Edit AWS Shield Response Team (SRT) terbuka.

2. Untuk pengaturan SRT akses pilih salah satu opsi:

   • Jangan berikan SRT akses ke akun saya — Shield menghapus izin apa pun yang sebelumnya Anda berikan kepada untuk mengakses akun dan sumber daya Anda. SRT

   • Buat peran baru SRT untuk mengakses akun saya — Shield membuat peran yang mempercayai prinsip layanandrt.shield.amazonaws.com, yang mewakiliSRT, dan melampirkan kebijakan terkelola AWSShieldDRTAccessPolicy padanya. Kebijakan terkelola memungkinkan SRT untuk membuat AWS Shield Advanced dan AWS WAF API menelepon atas nama Anda dan mengakses AWS WAF log Anda. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat AWS kebijakan terkelola: AWSShieldDRTAccessPolicy.

   • Pilih peran yang ada SRT untuk mengakses akun saya — Untuk opsi ini, Anda harus mengubah konfigurasi peran di AWS Identity and Access Management (IAM) sebagai berikut:

     • Lampirkan kebijakan yang dikelola AWSShieldDRTAccessPolicy ke peran. Kebijakan terkelola ini memungkinkan SRT untuk membuat AWS Shield Advanced dan AWS WAF API menelepon atas nama Anda dan mengakses AWS WAF log Anda. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat AWS kebijakan terkelola: AWSShieldDRTAccessPolicy. Untuk informasi tentang melampirkan kebijakan terkelola ke peran Anda, lihat Melampirkan dan IAM Melepaskan Kebijakan.

     • Memodifikasi peran untuk mempercayai kepala layanandrt.shield.amazonaws.com. Ini adalah prinsip layanan yang mewakiliSRT. Untuk informasi selengkapnya, lihat Elemen IAM JSON Kebijakan: Principal.

3. Untuk (Opsional): Berikan SRT akses ke bucket Amazon S3, jika Anda perlu membagikan data yang tidak ada di ACL log AWS WAF web Anda, konfigurasikan ini. Misalnya, Application Load Balancer mengakses log, log Amazon CloudFront , atau log dari sumber pihak ketiga.

   catatan

   Anda tidak perlu melakukan ini untuk ACL log AWS WAF web Anda. SRTKeuntungan akses ke mereka ketika Anda memberikan akses ke akun Anda.

   1. Konfigurasikan bucket Amazon S3 sesuai dengan pedoman berikut:

      • Lokasi bucket harus Akun AWS sama dengan yang Anda berikan akses SRT umum, pada langkah sebelumnya akses Tim Respons AWS Shield (SRT).

      • Ember dapat berupa plaintext atau SSE -S3 dienkripsi. Untuk informasi selengkapnya tentang enkripsi Amazon S3 SSE -S3, lihat Melindungi Data Menggunakan Enkripsi Sisi Server dengan Kunci Enkripsi Terkelola Amazon S3 (-S3) di Panduan Pengguna Amazon S3. SSE

        SRTTidak dapat melihat atau memproses log yang disimpan dalam bucket yang dienkripsi dengan kunci yang disimpan di AWS Key Management Service ().AWS KMS

   2. Di Shield Advanced (Opsional): Berikan SRT akses ke bagian bucket Amazon S3, untuk setiap bucket Amazon S3 tempat data atau log Anda disimpan, masukkan nama bucket dan pilih Tambahkan Bucket. Anda dapat menambahkan hingga 10 ember.

      Ini memberikan izin SRT berikut pada setiap bucket:s3:GetBucketLocation,s3:GetObject, dan. s3:ListBucket

      Jika Anda ingin memberikan SRT izin untuk mengakses lebih dari 10 bucket, Anda dapat melakukannya dengan mengedit kebijakan bucket tambahan dan secara manual memberikan izin yang tercantum di sini untuk. SRT

      Berikut ini menunjukkan contoh daftar kebijakan.

      {
          "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
          "Effect": "Allow",
          "Principal": {
              "Service": "drt.shield.amazonaws.com"
          },
          "Action": [
              "s3:GetBucketLocation",
              "s3:GetObject",
              "s3:ListBucket"
          ],
          "Resource": [
              "arn:aws:s3:::bucket-name",
              "arn:aws:s3:::bucket-name/*"
          ]
      } 

4. Pilih Simpan untuk menyimpan perubahan Anda.