Como conceder acesso ao SRT

Esta página fornece instruções para conceder permissão ao SRT para agir em seu nome, para que ele possa acessar seus logs do AWS WAF e fazer chamadas para as APIs do AWS Shield Advanced e do AWS WAF para gerenciar as proteções.

Durante eventos de DDoS na camada de aplicação, o SRT pode monitorar solicitações AWS WAF para identificar tráfego anômalo e ajudar a criar regras AWS WAF personalizadas para mitigar fontes de tráfego ofensivas.

Além disso, você pode conceder ao SRT acesso a outros dados armazenados nos buckets do Amazon S3, como capturas de pacotes ou logs de um Application Load Balancer, Amazon CloudFront ou de fontes de terceiros.

nota

Para usar os serviços do Shield Response Team (SRT), você deve ser assinante do plano Business Support ou Enterprise Support.

Para gerenciar permissões para o SRT

Na página Visão geral do console AWS Shield, em Configurar suporte do AWS SRT, escolha Editar acesso ao SRT. A página Editar acesso ao AWS Shield Response Team (SRT) é aberta.
Para Configuração de acesso SRT, selecione uma das opções:
- Não conceder ao SRT acesso à minha conta: o Shield remove todas as permissões que você concedeu anteriormente ao SRT para acessar sua conta e recursos.
- Criar uma nova função para o SRT acessar minha conta: o Shield cria uma função que confia na entidade principal do serviço drt.shield.amazonaws.com, que representa o SRT, e anexa a política AWSShieldDRTAccessPolicy gerenciada a ele. A política gerenciada permite que o SRT faça chamadas de API AWS Shield Advanced e AWS WAF em seu nome e acesse seus logs AWS WAF. Para obter mais informações sobre a política gerenciada, consulte Política gerenciada pela AWS: AWSShieldDRTAccessPolicy.
- Escolher uma função existente para o SRT acessar minhas contas: para essa opção, você deve modificar a configuração da função no AWS Identity and Access Management (IAM) da seguinte forma:
  - Anexe a política gerenciada AWSShieldDRTAccessPolicy à função. Essa política gerenciada permite que o SRT faça chamadas de API AWS Shield Advanced e AWS WAF em seu nome e acesse seus logs AWS WAF. Para obter mais informações sobre a política gerenciada, consulte Política gerenciada pela AWS: AWSShieldDRTAccessPolicy. Para obter informações sobre como anexar a política gerenciada à sua função, consulte Anexar e desanexar políticas do IAM.
  - Modifique a função para confiar no serviço principal drt.shield.amazonaws.com. Esta é a entidade principal do serviço que representa o SRT. Para mais informações, consulte Elementos de política JSON do IAM: principal.
Para (Opcional): Conceder acesso SRT a um bucket do Amazon S3. Se você precisar compartilhar dados que não estejam nos seus logs AWS WAF de web ACL, configure isso. Por exemplo, logs de acesso do Application Load Balancer, logs do Amazon CloudFront ou logs de fontes de terceiros.

nota
Não é preciso fazer isso para seus logs AWS WAF da web ACL. O SRT obtém acesso a eles quando você concede acesso à sua conta.
1. Configure os buckets do Amazon S3 de acordo com as seguintes diretrizes:
  - Os locais dos buckets devem estar na mesma Conta da AWS da que você concedeu acesso geral ao SRT, na etapa anterior, acesso ao AWS Shield Response Team (SRT).
  - Os buckets podem ser texto simples ou criptografados por SSE-S3. Para obter mais informações sobre a criptografia por SSE-S3 do Amazon S3, consulte Proteger dados usando criptografia no lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3) no Guia do usuário do Amazon S3.
    
    O SRT não pode exibir ou processar logs armazenados em buckets criptografados com chaves armazenadas em AWS Key Management Service (AWS KMS).
2. No Shield Advanced (Opcional): Conceder ao SRT acesso a uma seção de bucket do Amazon S3, para cada bucket do Amazon S3 em que seus dados ou logs estão armazenados, insira o nome do bucket e escolha Adicionar Bucket. Você pode adicionar até 10 buckets.
  
  Isso concede ao SRT as seguintes permissões no bucket: s3:GetBucketLocation, s3:GetObject e s3:ListBucket.
  
  Se quiser dar permissão ao SRT para acessar mais de 10 buckets, você pode fazer isso editando as políticas adicionais do bucket e concedendo manualmente as permissões listadas aqui para o SRT.
  
  A política a seguir mostra um exemplo de listagem de políticas.
```
{
    "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
    "Effect": "Allow",
    "Principal": {
        "Service": "drt.shield.amazonaws.com"
    },
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": [
        "arn:aws:s3:::bucket-name",
        "arn:aws:s3:::bucket-name/*"
    ]
} 
```
Escolha Salvar para salvar as alterações.

Você também pode autorizar o SRT por meio da API criando um perfil do IAM, anexando a política AWSShieldDRTAccessPolicy a ele e, em seguida, passando a função para a operação AssociateDRTRole.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Suporte do SRT

Como configurar o engajamento proativo