**Apresentando uma nova experiência de console para AWS WAF**
Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte [Trabalhando com o console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Segurança no uso do diretor de segurança de AWS Shield rede
**nota**
AWS Shield o director de segurança de rede está em versão prévia pública e está sujeito a alterações.
Esta seção descreve as principais considerações de segurança para usar essa versão prévia do administrador de segurança da rede.
**Fontes de dados**
Quando você executa uma análise, o diretor de segurança de rede recupera informações sobre seus [AWS recursos](https://aws.amazon.com/resourceexplorer/) usando endpoints de AWS API públicos. As informações recuperadas incluem atributos de recursos que estão disponíveis para sua conta por meio do público AWS APIs.
AWS Shield O diretor de segurança de rede também usa fontes de AWS dados internas e inteligência de ameaças para identificar descobertas e recomendar remediações.
**Criptografia de dados**
Revise as seguintes considerações sobre criptografia ao usar o administrador de segurança da rede.
+ **Criptografia em repouso**: todos os dados são protegidos em repouso.
+ **Criptografia em trânsito**: todos os dados são protegidos em trânsito usando a criptografia Transport Layer Security (TLS). Todas as comunicações são autenticadas usando o Amazon Simple Storage Service AWS Signature Version 4 (SigV4). Para obter informações sobre o SigV4, consulte [Solicitações de autenticação (AWS assinatura versão 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) no Guia do usuário do *Amazon* S3.
+ **Gerenciamento de chaves**: as chaves gerenciadas pelo cliente não são compatíveis no momento.
**Topics**
+ [Identity and Access Management para diretor AWS Shield de segurança de rede](nsd-iam.md)
+ [Exemplos de políticas baseadas em identidade para diretor de segurança AWS Shield de rede](security-nsd-with-iam-id-based-policies.md)
+ [Usando funções vinculadas a serviços para diretor de segurança AWS Shield de rede](security_iam_nsd-with-iam-roles-service-linked.md)
# Identity and Access Management para diretor AWS Shield de segurança de rede
**nota**
AWS Shield o director de segurança de rede está em versão prévia pública e está sujeito a alterações.
AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) para usar os recursos do diretor de segurança de AWS Shield rede. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.
Consulte as orientações nesta seção para entender como usar políticas e funções suportadas para o diretor de segurança de AWS Shield rede.
## Como o diretor de segurança de AWS Shield rede trabalha com o IAM
Esta seção explica como usar os recursos do IAM com o diretor de segurança de AWS Shield rede.
Antes de usar o IAM para gerenciar o acesso ao administrador de segurança da rede, saiba quais atributos do IAM estão disponíveis para uso com o administrador de segurança da rede.
**Recursos do IAM que você pode usar com o diretor AWS Shield de segurança de rede**
| Recurso do IAM | AWS Shield suporte ao diretor de segurança de rede |
| --- | --- |
| [Políticas baseadas em identidade](#iam_nsd-with-iam-id-based-policies) | Sim |
| [Perfis vinculados a serviço](security_iam_nsd-with-iam-roles-service-linked.md) | Sim |
Para ter uma visão de alto nível de como o diretor de segurança de rede e outros AWS serviços funcionam com a maioria dos recursos do IAM, consulte [AWS os serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.
### Políticas baseadas em identidade para o administrador de segurança da rede
**Compatível com políticas baseadas em identidade:** sim
As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.
Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.
Para ver exemplos de políticas baseadas em identidade do AWS Shield Network Security Director, consulte. [Exemplos de políticas baseadas em identidade para diretor de segurança AWS Shield de rede](security-nsd-with-iam-id-based-policies.md)
### Perfis vinculados ao serviço do administrador de segurança da rede
**Compatibilidade com perfis vinculados a serviços:** sim
Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço.
Para obter detalhes sobre como criar ou gerenciar perfis vinculados ao serviço do administrador de segurança da rede, consulte [Usando funções vinculadas a serviços para diretor de segurança AWS Shield de rede](security_iam_nsd-with-iam-roles-service-linked.md).
# Exemplos de políticas baseadas em identidade para diretor de segurança AWS Shield de rede
**nota**
Quando você começa a usar o diretor de segurança de AWS Shield rede, criamos automaticamente uma função vinculada ao serviço que satisfaz todos os requisitos mínimos de permissões. Criar e gerenciar suas próprias políticas baseadas em identidade é opcional.
Para fornecer acesso adequado ao administrador de segurança da rede, você pode criar políticas baseadas em identidade que concedam as permissões necessárias para acesso administrativo e somente leitura.
Para saber mais sobre a criação de políticas do IAM, consulte [Políticas gerenciadas e em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) no *Guia do usuário do IAM*.
Essas permissões permitem que o diretor de segurança de AWS Shield rede realize uma análise de segurança abrangente e forneça recomendações precisas de segurança de rede. Os exemplos de políticas fornecidos neste guia destinam-se a casos de uso comuns. Você pode usar essas políticas como ponto de partida e modificá-las conforme necessário para atender a seus requisitos específicos.
**Exemplos de políticas neste guia**
+ [Política baseada em identidade para acesso administrativo](#nsd-security-admin-id-based-policy)
+ [Política baseada em identidade para acesso somente leitura](#nsd-security-readonly-id-based-policy)
## Práticas recomendadas de política
As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir recursos do administrador de segurança da rede em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.
Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
## Atualizações em políticas baseadas em identidade
À medida que atualizações e atributos são adicionados ao administrador de segurança da rede, pode ser necessário atualizar as políticas baseadas em identidade para incluir permissões adicionais. Monitore este guia para obter informações sobre novas permissões que possam ser necessárias.
Diferentemente das políticas AWS gerenciadas, as políticas gerenciadas pelo cliente não são atualizadas automaticamente. Você é responsável pela manutenção e atualização dessas políticas conforme necessário.
Para saber mais, consulte [Adicionar permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.
## Política baseada em identidade para acesso administrativo
Crie uma política baseada em identidade com o exemplo a seguir para fornecer acesso administrativo total às operações do administrador de segurança da rede e a capacidade de criar o perfil vinculado ao serviço necessária.
**Nome da política**: NetworkSecurityDirectorAdminPolicy
**Descrição da política**: permite acesso administrativo total às operações do diretor de segurança de AWS Shield rede e também fornece acesso para criar ou excluir a função vinculada ao serviço do Diretor de Segurança de Rede.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"network-security-director:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/network-security-director.amazonaws.com/AWSServiceRoleForNetworkSecurityDirector"
}
]
}
```
------
## Política baseada em identidade para acesso somente leitura
Crie uma política baseada em identidade com o exemplo de política a seguir para fornecer acesso somente leitura às operações do administrador de segurança da rede.
**Nome da política**: NetworkSecurityDirectorReadOnlyPolicy
**Descrição da política**: permite acesso somente de leitura ao diretor de segurança AWS Shield da rede.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"network-security-director:Get*",
"network-security-director:List*"
],
"Resource": "*"
}
]
}
```
------
# Usando funções vinculadas a serviços para diretor de segurança AWS Shield de rede
Esta seção explica como usar funções vinculadas a serviços para dar ao diretor de segurança de AWS Shield rede acesso aos recursos da sua AWS conta.
AWS Shield o diretor de segurança de rede usa AWS Identity and Access Management funções [vinculadas ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao diretor de segurança AWS Shield da rede. As funções vinculadas ao serviço são predefinidas pelo diretor de segurança da AWS Shield rede e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração do diretor de segurança de AWS Shield rede porque você não precisa adicionar manualmente as permissões necessárias. AWS Shield o diretor de segurança de rede define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente o diretor de segurança de AWS Shield rede pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões. Essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
Veja a função completa vinculada ao serviço no console do IAM:. [NetworkSecurityDirectorServiceLinkedRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/NetworkSecurityDirectorServiceLinkedRolePolicy)
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para saber mais, consulte [Permissões de Função Vinculadas ao Serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do Usuário do IAM*.
Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que contenham **Sim** na coluna **Service-Linked Role**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
## Permissões de função vinculadas a serviços para diretor de segurança AWS Shield de rede
O perfil vinculado ao serviço `NetworkSecurityDirectorServiceLinkedRolePolicy` confia nos seguintes serviços para aceitar o perfil:
+ `network-director.amazonaws.com`
Isso `NetworkSecurityDirectorServiceLinkedRolePolicy` AWS Shield concede permissões ao diretor de segurança de rede para acessar e analisar vários AWS recursos e serviços em seu nome. Isso inclui:
+ Recuperar configurações de rede e configurações de segurança dos recursos do Amazon EC2
+ Acessando CloudWatch métricas para analisar padrões de tráfego de rede
+ Coletar informações sobre balanceadores de carga e grupos de destino
+ AWS WAF Coletando configurações e regras
+ Acessando informações do AWS Direct Connect gateway
+ E mais, conforme detalhado na lista de permissões abaixo
A lista a seguir é das permissões que não são compatíveis com redução do escopo para recursos específicos. O escopo das demais é reduzido para os recursos dos serviços indicados.
```
{
"Sid": "ResourceLevelPermissionNotSupported",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeCustomerGateways",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeTransitGateways",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeTransitGatewayAttachments",
"ec2:DescribeTransitGatewayPeeringAttachments",
"ec2:DescribeTransitGatewayRouteTables",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcPeeringConnections",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:GetTransitGatewayRouteTablePropagations",
"ec2:GetManagedPrefixListEntries",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:DescribeLoadBalancencerAttributes",
"wafv2:ListWebACLs",
"cloudfront:ListDistributions",
"cloudfront:ListTagsForResource",
"directconnect:DescribeDirectConnectGateways",
"directconnect:DescribeVirtualInterfaces"
],
"Resource": "*"
}
```
**Permissões de perfil vinculado ao serviço `NetworkSecurityDirectorServiceLinkedRolePolicy`**
A lista a seguir abrange todas as permissões habilitadas pelo perfil vinculado ao serviço `NetworkSecurityDirectorServiceLinkedRolePolicy`.
Amazon CloudFront
```
{
"Sid": "cloudfront",
"Effect": "Allow",
"Action": [
"cloudfront:GetDistribution"
],
"Resource": "arn:aws:cloudfront::*:distribution/*"
}
```
AWS WAF
```
{
"Sid": "wafv2",
"Effect": "Allow",
"Action": [
"wafv2:ListResourcesForWebACL",
"wafv2:ListRuleGroups",
"wafv2:ListAvailableManagedRuleGroups",
"wafv2:GetRuleGroup",
"wafv2:DescribeManagedRuleGroup",
"wafv2:GetWebACL"
],
"Resource": [
"arn:aws:wafv2:*:*:global/rulegroup/*",
"arn:aws:wafv2:*:*:regional/rulegroup/*",
"arn:aws:wafv2:*:*:global/managedruleset/*",
"arn:aws:wafv2:*:*:regional/managedruleset/*",
"arn:aws:wafv2:*:*:global/webacl/*/*",
"arn:aws:wafv2:*:*:regional/webacl/*/*",
"arn:aws:apprunner:*:*:service/*",
"arn:aws:cognito-idp:*:*:userpool/*",
"arn:aws:ec2:*:*:verified-access-instance/*"
]
}
```
AWS WAF clássico
```
{
"Sid": "classicWaf",
"Effect": "Allow",
"Action": [
"waf:ListWebACLs",
"waf:GetWebACL"
],
"Resource": [
"arn:aws:waf::*:webacl/*",
"arn:aws:waf-regional:*:*:webacl/*"
]
}
```
AWS Direct Connect
```
{
"Sid": "directconnect",
"Effect": "Allow",
"Action": [
"directconnect:DescribeConnections",
"directconnect:DescribeDirectConnectGatewayAssociations",
"directconnect:DescribeDirectConnectGatewayAttachments",
"directconnect:DescribeVirtualGateways"
],
"Resource": [
"arn:aws:directconnect::*:dx-gateway/*",
"arn:aws:directconnect:*:*:dxcon/*",
"arn:aws:directconnect:*:*:dxlag/*",
"arn:aws:directconnect:*:*:dxvif/*"
]
}
```
AWS Transit Gateway rotas
```
{
"Sid": "ec2Get",
"Effect": "Allow",
"Action": [
"ec2:SearchTransitGatewayRoutes"
],
"Resource": [
"arn:aws:ec2:*:*:transit-gateway-route-table/*"
]
}
```
AWS Network Firewall
```
{
"Sid": "networkFirewall",
"Effect": "Allow",
"Action": [
"network-firewall:ListFirewalls",
"network-firewall:ListFirewallPolicies",
"network-firewall:ListRuleGroups",
"network-firewall:DescribeFirewall",
"network-firewall:DescribeFirewallPolicy",
"network-firewall:DescribeRuleGroup"
],
"Resource": [
"arn:aws:network-firewall:*:*:*/*"
]
}
```
Amazon API Gateway
```
{
"Sid": "apiGatewayGetAPI",
"Effect": "Allow",
"Action": [
"apigateway:GET"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/apis",
"arn:aws:apigateway:*::/apis/*",
"arn:aws:apigateway:*::/tags/*",
"arn:aws:apigateway:*::/vpclinks",
"arn:aws:apigateway:*::/vpclinks/*"
]
}
```
## Criação de uma função vinculada a serviços para diretor de segurança AWS Shield de rede
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você executa sua primeira análise de rede, o diretor AWS Shield de segurança de rede cria a função vinculada ao serviço para você.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você ativa o AWS Shield registro do diretor de segurança de AWS Shield rede, o diretor de segurança de rede cria a função vinculada ao serviço para você novamente.
## Editando uma função vinculada a serviços para o diretor de segurança AWS Shield de rede
AWS Shield o diretor de segurança de rede não permite que você edite a função `NetworkSecurityDirectorServiceLinkedRolePolicy` vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar uma função vinculada a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para AWS Shield o diretor de segurança de rede
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
Isso protege seus recursos de diretor de segurança de AWS Shield rede porque você não pode remover inadvertidamente a permissão para acessar os recursos.
**nota**
Se o serviço do diretor de segurança de AWS Shield rede estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console, a CLI ou a API do IAM para excluir a função vinculada ao serviço `NetworkSecurityDirectorServiceLinkedRolePolicy`. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas ao serviço do AWS Shield Network Security Director
**nota**
AWS Shield o director de segurança de rede está em versão prévia pública e está sujeito a alterações.
AWS Shield O network security director oferece suporte ao uso de funções vinculadas a serviços nas seguintes regiões e só pode recuperar dados sobre seus recursos nessas regiões.
| Nome da região | Região |
| --- | --- |
| Leste dos EUA (Norte da Virgínia) | us-east-1 |
| Europa (Estocolmo) | eu-north-1 |
| Ásia-Pacífico (Tailândia) | ap-southeast-7 |
| África (Cidade do Cabo) | ap-south-1 |
| Leste dos EUA (Ohio) | us-east-2 |
| Ásia-Pacífico (Malásia) | ap-southeast-5 |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 |
| Oeste dos EUA (Oregon) | us-west-2 |
| Europa (Espanha) | eu-south-2 |
| Europa (Irlanda) | eu-west-1 |
| Europa (Frankfurt) | eu-central-1 |
| Ásia-Pacífico (Hong Kong) | ap-east-1 |
| Ásia-Pacífico (Singapura) | ap-southeast-1 |
| Ásia-Pacífico (Sydney) | ap-southeast-2 |