SRT へのアクセスの許可 - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

SRT へのアクセスの許可

このページでは、SRT が AWS WAF ログにアクセスして AWS Shield Advanced と AWS WAF API を呼び出して保護を管理できるように、ユーザーに代わって動作するアクセス許可を SRT に付与する手順を示します。

アプリケーションレイヤーの DDoS イベントでは、SRT が AWS WAF リクエストをモニタリングして異常なトラフィックを特定し、カスタム AWS WAF ルールを作成して問題のあるトラフィックソースを緩和することができます。

さらに、Application Load Balancer、Amazon CloudFront、またはサードパーティーのソースからのパケットキャプチャやログなど、Amazon S3 バケットに保存されている他のデータへのアクセス権を SRT に付与することもできます。

注記

Shield Response Team (SRT) のサービスを使用するには、ビジネスサポートプランまたはエンタープライズサポートプランをサブスクライブする必要があります。

SRT の許可を管理するには

  1. AWS Shield コンソールの [Overview] (概要) ページの [Configure AWS SRT support] (SRT サポートを設定) で、[Edit SRT access] (SRT アクセスを編集) を選択します。[Edit AWS Shield Response Team (SRT) access] ( Shield Response Team (SRT) のアクセスを編集) ページが開きます。

  2. SRT アクセス設定には、次のいずれかのオプションを選択します。

    • アカウントへのアクセス権を SRT に付与しない – Shield は、アカウントとリソースにアクセスするために以前に SRT に付与したすべての許可を削除します。

    • [Create a new role for the SRT to access my account] (SRT が自分のアカウントにアクセスするための新しいロールを作成する) — Shield は、SRT を表すサービスプリンシパル drt.shield.amazonaws.com を信頼するロールを作成し、マネージドポリシー AWSShieldDRTAccessPolicy をそれにアタッチします。マネージドポリシーにより、SRT はユーザーに代わって AWS Shield Advanced および AWS WAF API コールを実行し、AWS WAF ログにアクセスできます。管理ポリシーの詳細については、「AWS 管理ポリシー: AWSShieldDRTAccessPolicy」を参照してください。

    • SRT がアカウントにアクセスできるように既存のロールを選択する – このオプションでは、AWS Identity and Access Management (IAM) のロールの設定を次のように変更する必要があります。

      • マネージドポリシー AWSShieldDRTAccessPolicy をロールにアタッチします。このマネージドポリシーにより、SRT はユーザーに代わって AWS Shield Advanced および AWS WAF API コールを実行し、AWS WAF ログにアクセスできます。管理ポリシーの詳細については、「AWS 管理ポリシー: AWSShieldDRTAccessPolicy」を参照してください。マネージドポリシーをロールにアタッチする方法については、「Attaching and Detaching IAM Policies」(IAM ポリシーのアタッチとデタッチ) を参照してください。

      • サービスプリンシパル drt.shield.amazonaws.com を信頼するようにロールを変更します。これは、SRT を表すサービスプリンシパルです。詳細については、「IAM JSON ポリシーエレメント: プリンシパル」を参照してください。

  3. AWS WAF ウェブ ACL ログにないデータを共有する必要がある場合、(Optional): Grant SRT access to an Amazon S3 bucket ((オプション): Amazon S3 バケットへのアクセス権を SRT に付与) で、アクセス権を設定します。Application Load Balancer アクセスログ、Amazon CloudFront ログ、またはサードパーティーのソースからのログはその一例です。

    注記

    AWS WAF ウェブ ACL ログについてこれを実行する必要はありません。SRT は、アカウントへのアクセス権が付与されると、それらにアクセスできるようになります。

    1. 次のガイドラインに従って Amazon S3 バケットを設定します。

      • バケットの場所は、前のステップの「AWS Shield Response Team (SRT) アクセス」のために、SRT に一般アクセス権を付与したのと同じ AWS アカウント にある必要があります。

      • バケットは、プレーンテキストまたは SSE-S3 暗号化のいずれかです。Amazon S3 SSE-S3 暗号化の詳細については、「Amazon S3 ユーザーガイド」の「Amazon S3 が管理する暗号化キーによるサーバー側の暗号化 (SSE−S3) を使用したデータの保護」を参照してください。

        SRT は、AWS Key Management Service (AWS KMS) に保存されたキーで暗号化されたバケットに保存されたログを表示または処理できません。

    2. Shield Advanced の [(Optional): Grant SRT access to an Amazon S3 bucket] ((オプション): Amazon S3 バケットへのアクセス権を SRT に付与) セクションで、データまたはログが保存されている各 Amazon S3 バケットについてバケットの名前を入力し、[Add Bucket] (バケットを追加) を選択します。バケットは最大 10 個まで追加できます。

      これにより、SRT に各バケットに対する次の s3:GetBucketLocations3:GetObject、および s3:ListBucket 許可が付与されます。

      10 個を超えるバケットにアクセスする許可を SRT に付与する場合は、追加のバケットポリシーを編集し、SRT についてここにリストされている許可を手動で付与することで、これを実行できます。

      ポリシーリストの例を以下に示します。

      {
    "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
    "Effect": "Allow",
    "Principal": {
        "Service": "drt.shield.amazonaws.com"
    },
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": [
        "arn:aws:s3:::bucket-name",
        "arn:aws:s3:::bucket-name/*"
    ]
}

  4. [保存] を選択して変更を保存します。

また、IAM ロールを作成してポリシー AWSShieldDRTAccessPolicy をアタッチしてから、そのロールをオペレーション AssociateDRTRole に渡すことで、API を通じて SRT を承認することもできます。