AWS の AWS Shield マネージドポリシー

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースで権限を提供できるように設計されているため、ユーザー、グループ、ロールへの権限の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。AWSのすべてのお客様が使用できるようになるのを避けるためです。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。

AWS マネージドポリシーで定義したアクセス権限は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。

AWS 管理ポリシー: AWSShieldDRTAccessPolicy

このセクションでは、Shield の AWS 管理ポリシーを使用する方法について説明します。

AWS Shield は、シールドレスポンスチーム (SRT) に代理行為を許可する場合に、このマネージドポリシーを使用します。このポリシーでは、SRT がお客様の AWS アカウントに限定的にアクセスすることで、深刻度の高いイベント時の DDoS 攻撃の緩和をサポートします。このポリシーにより、SRT は AWS WAF ルールと Shield Advanced 保護を管理し、AWS WAF ログにアクセスできるようになります。

SRT に代行操作を許可する方法については、「SRT へのアクセスの許可」を参照してください。

ポリシーの詳細については、IAM コンソールの「AWSShieldDRTAccessPolicy」を参照してください。

AWS 管理されたポリシー: AWSShieldServiceRolePolicy

Shield Advanced は、アプリケーションレイヤーの自動 DDoS 軽減を有効にする際に、この管理ポリシーを使用して、アカウントのリソース管理に必要な権限を設定します。このポリシーにより、Shield Advanced は、DDoS 攻撃に自動的に対応するために、保護されたリソースに関連付けたウェブ ACL に AWS WAF ルールとルールグループを作成して適用できます。

お客様の IAM エンティティに、AWSShieldServiceRolePolicy をアタッチすることはできません。Shield はこのポリシーをサービス連動ロール AWSServiceRoleForAWSShield に添付し、Shield が代わりにアクションを実行できるようにします。

アプリケーションレイヤーの DDoS 自動緩和機能を有効にすると、Shield Advanced でこのポリシーの使用が可能になります。このポリシーの使用の詳細については、Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和 を参照してください。

このポリシーを使用するサービス連携ロール AWSServiceRoleForAWSShield の詳細は、「Shield Advanced のサービスにリンクされたロールの使用」を参照してください。

ポリシーの詳細については、IAM コンソールで「AWSShieldServiceRolePolicy」を参照してください。

Shield での AWS マネージドポリシーの更新

Shield の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知については、ドキュメント履歴 の Shield ドキュメントの履歴ページの RSS フィードをサブスクライブしてください。