Concessione dell'accesso per SRT

Questa pagina fornisce istruzioni per concedere l'autorizzazione SRT ad agire per conto dell'utente, in modo che possano accedere ai AWS WAF registri ed effettuare chiamate e gestire le AWS Shield Advanced protezioni. AWS WAF APIs

Durante DDoS gli eventi a livello di applicazione, SRT può monitorare AWS WAF le richieste per identificare il traffico anomalo e contribuire alla creazione di AWS WAF regole personalizzate per mitigare le fonti di traffico pericolose.

Inoltre, puoi concedere l'SRTaccesso ad altri dati che hai archiviato nei bucket Amazon S3, come l'acquisizione di pacchetti o i log da Application Load Balancer, Amazon CloudFront o da fonti di terze parti.

Nota

Per utilizzare i servizi dello Shield Response Team (SRT), devi essere abbonato al piano Business Support o al piano Enterprise Support.

Per gestire le autorizzazioni per SRT

Nella pagina Panoramica della AWS Shield console, in Configura AWS SRT supporto, scegli Modifica SRT accesso. Viene visualizzata la pagina di accesso a Edit AWS Shield Response Team (SRT).
Per SRTl'impostazione dell'accesso, selezionate una delle opzioni:
- Non concedere l'SRTaccesso al mio account: Shield rimuove tutte le autorizzazioni che hai concesso in precedenza per accedere SRT al tuo account e alle tue risorse.
- Crea un nuovo ruolo per accedere SRT al mio account: Shield crea un ruolo che si fida del responsabile del serviziodrt.shield.amazonaws.com, che rappresenta ilSRT, e gli AWSShieldDRTAccessPolicy allega la politica gestita. La politica gestita consente di SRT effettuare AWS Shield Advanced AWS WAF API chiamate per tuo conto e di accedere ai tuoi AWS WAF registri. Per ulteriori informazioni sulla policy gestita, consulta AWS politica gestita: AWSShieldDRTAccessPolicy.
- Scegli un ruolo esistente per accedere SRT ai miei account: per questa opzione, devi modificare la configurazione del ruolo in AWS Identity and Access Management (IAM) come segue:
  - Collegare la policy gestita AWSShieldDRTAccessPolicy al ruolo. Questa politica gestita consente SRT di effettuare AWS Shield Advanced AWS WAF API chiamate per tuo conto e di accedere ai tuoi AWS WAF registri. Per ulteriori informazioni sulla policy gestita, consulta AWS politica gestita: AWSShieldDRTAccessPolicy. Per informazioni su come allegare la politica gestita al proprio ruolo, vedere Allegare e scollegare le politiche. IAM
  - Modificare il ruolo per considerare attendibile il principale del servizio drt.shield.amazonaws.com. Questo è il principale del servizio che rappresenta il. SRT Per ulteriori informazioni, vedere Elementi IAM JSON politici: Principal.
Per (facoltativo): concedi SRT l'accesso a un bucket Amazon S3, se devi condividere dati che non si trovano nei tuoi ACL log AWS WAF web, configuralo. Ad esempio, i log di accesso di Application Load Balancer, i log di Amazon o CloudFront i log provenienti da fonti di terze parti.

Nota
Non è necessario eseguire questa operazione per i log Web. AWS WAF ACL Ha accesso SRT a quelli quando concedi l'accesso al tuo account.
1. Configura i bucket Amazon S3 in base alle seguenti linee guida:
  - Le posizioni dei bucket devono essere le Account AWS stesse a cui hai concesso l'accesso SRT generale, nel passaggio precedente AWS Shield Response Team (SRT).
  - I bucket possono essere in testo semplice o crittografati con -S3. SSE Per ulteriori informazioni sulla crittografia Amazon S3 SSE -S3, consulta Protezione dei dati utilizzando la crittografia lato server con chiavi di crittografia gestite da Amazon S3 (-S3) nella Guida per l'utente di Amazon S3. SSE
    
    SRTNon possono visualizzare o elaborare i log archiviati in bucket crittografati con chiavi archiviate in (). AWS Key Management Service AWS KMS
2. Nella sezione Shield Advanced (opzionale): concedi SRT l'accesso a un bucket Amazon S3, per ogni bucket Amazon S3 in cui sono archiviati i dati o i log, inserisci il nome del bucket e scegli Aggiungi bucket. È possibile aggiungere fino a 10 bucket.
  
  Ciò concede le seguenti autorizzazioni per ogni SRT bucket:, e. s3:GetBucketLocation s3:GetObject s3:ListBucket
  
  Se desideri concedere l'SRTautorizzazione ad accedere a più di 10 bucket, puoi farlo modificando le politiche aggiuntive dei bucket e concedendo manualmente le autorizzazioni elencate qui per. SRT
  
  Di seguito viene mostrato un elenco di politiche di esempio.
```
{
    "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
    "Effect": "Allow",
    "Principal": {
        "Service": "drt.shield.amazonaws.com"
    },
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": [
        "arn:aws:s3:::bucket-name",
        "arn:aws:s3:::bucket-name/*"
    ]
} 
```
Scegliere Salva per salvare le modifiche.

È inoltre possibile autorizzarli SRT API tramite la creazione di un IAM ruolo, allegare la politica AWSShieldDRTAccessPolicy ad esso e quindi passare il ruolo all'operazione A. ssociateDRTRole

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

SRTsupporto

Impostazione di un coinvolgimento proattivo