**Memperkenalkan pengalaman konsol baru untuk AWS WAF** Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat [Bekerja dengan konsol](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris. # Memberikan akses untuk SRT Halaman ini memberikan instruksi untuk memberikan izin kepada SRT untuk bertindak atas nama Anda, sehingga mereka dapat mengakses AWS WAF log Anda dan melakukan panggilan ke AWS Shield Advanced dan AWS WAF APIs untuk mengelola perlindungan. Selama peristiwa lapisan DDo S aplikasi, SRT dapat memantau AWS WAF permintaan untuk mengidentifikasi lalu lintas anomali dan membantu menyusun AWS WAF aturan khusus untuk mengurangi sumber lalu lintas yang menyinggung. Selain itu, Anda dapat memberikan SRT akses ke data lain yang telah Anda simpan di bucket Amazon S3, seperti tangkapan paket atau log dari Application Load Balancer, CloudFront Amazon, atau dari sumber pihak ketiga. **catatan** Untuk menggunakan layanan dari Shield Response Team (SRT), Anda harus berlangganan paket Business [Support atau paket Enterprise](https://aws.amazon.com/premiumsupport/business-support/) [Support](https://aws.amazon.com/premiumsupport/enterprise-support/). **Untuk mengelola izin untuk SRT** 1. Di halaman **Ikhtisar AWS Shield ** konsol, di bawah **Konfigurasi dukungan AWS SRT**, pilih **Edit akses SRT**. Halaman **akses Edit AWS Shield Response Team (SRT)** terbuka. 1. Untuk **pengaturan akses SRT** pilih salah satu opsi: + **Jangan berikan SRT akses ke akun saya** — Shield menghapus izin apa pun yang sebelumnya Anda berikan kepada SRT untuk mengakses akun dan sumber daya Anda. + **Buat peran baru bagi SRT untuk mengakses akun saya** — Shield membuat peran yang mempercayai prinsip layanan`drt.shield.amazonaws.com`, yang mewakili SRT, dan melampirkan kebijakan terkelola padanya. `AWSShieldDRTAccessPolicy` Kebijakan terkelola memungkinkan SRT melakukan AWS Shield Advanced dan panggilan AWS WAF API atas nama Anda dan mengakses AWS WAF log Anda. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [AWS kebijakan terkelola: AWSShield DRTAccess Kebijakan](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy). + **Pilih peran yang ada untuk SRT untuk mengakses akun saya** — Untuk opsi ini, Anda harus mengubah konfigurasi peran di AWS Identity and Access Management (IAM) sebagai berikut: + Lampirkan kebijakan yang dikelola `AWSShieldDRTAccessPolicy` ke peran. Kebijakan terkelola ini memungkinkan SRT melakukan AWS Shield Advanced dan panggilan AWS WAF API atas nama Anda dan mengakses AWS WAF log Anda. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [AWS kebijakan terkelola: AWSShield DRTAccess Kebijakan](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy). Untuk informasi tentang melampirkan kebijakan terkelola ke peran Anda, lihat [Melampirkan dan Melepaskan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) Kebijakan IAM. + Memodifikasi peran untuk mempercayai kepala layanan`drt.shield.amazonaws.com`. Ini adalah prinsip layanan yang mewakili SRT. Untuk informasi selengkapnya, lihat [IAM JSON Policy Elements:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) Principal. 1. Untuk **(Opsional): Berikan akses SRT ke bucket Amazon S3**, jika Anda perlu berbagi data yang tidak ada di log ACL web AWS WAF Anda, konfigurasikan ini. Misalnya, Application Load Balancer mengakses log, log Amazon CloudFront , atau log dari sumber pihak ketiga. **catatan** Anda tidak perlu melakukan ini untuk log ACL AWS WAF web Anda. SRT mendapatkan akses ke mereka ketika Anda memberikan akses ke akun Anda. 1. Konfigurasikan bucket Amazon S3 sesuai dengan pedoman berikut: + Lokasi bucket harus Akun AWS sama dengan yang Anda berikan kepada SRT akses umum, pada langkah sebelumnya akses **AWS Shield Response Team (SRT)**. + Ember dapat berupa plaintext atau SSE-S3 dienkripsi. Untuk informasi selengkapnya tentang enkripsi Amazon S3 SSE-S3, lihat [Melindungi Data Menggunakan Enkripsi Sisi Server dengan Kunci Enkripsi Terkelola Amazon S3 (SSE-S3) di Panduan Pengguna Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html). SRT tidak dapat melihat atau memproses log yang disimpan dalam bucket yang dienkripsi dengan kunci yang disimpan di (). AWS Key Management Service AWS KMS 1. **Di Shield Advanced **(Opsional): Berikan akses SRT ke bagian bucket Amazon S3**, untuk setiap bucket Amazon S3 tempat data atau log Anda disimpan, masukkan nama bucket dan pilih Tambahkan Bucket.** Anda dapat menambahkan hingga 10 ember. Ini memberi SRT izin berikut pada setiap bucket:`s3:GetBucketLocation`,, `s3:GetObject` dan. `s3:ListBucket` Jika Anda ingin memberikan izin SRT untuk mengakses lebih dari 10 bucket, Anda dapat melakukannya dengan mengedit kebijakan bucket tambahan dan secara manual memberikan izin yang tercantum di sini untuk SRT. Berikut ini menunjukkan contoh daftar kebijakan. ``` { "Sid": "AWSDDoSResponseTeamAccessS3Bucket", "Effect": "Allow", "Principal": { "Service": "drt.shield.amazonaws.com" }, "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] } ``` 1. Pilih **Simpan** untuk menyimpan perubahan Anda. [Anda juga dapat mengotorisasi SRT melalui API dengan membuat peran IAM, melampirkan Kebijakan AWSShield DRTAccess kebijakan padanya, dan kemudian meneruskan peran tersebut ke Associate operasi. DRTRole](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AssociateDRTRole.html)