向 SRT 授予访问权限 - AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced

向 SRT 授予访问权限

本页提供了授权 SRT 代表您采取行动的说明,使其能够访问您的 AWS WAF 日志并调用 AWS Shield Advanced 和 AWS WAF API 来管理保护措施。

在应用程序层 DDoS 事件期间,SRT 可以监控 AWS WAF 请求以识别异常流量,并帮助制定自定义 AWS WAF 规则以缓解违规流量来源。

此外,您可以向 SRT 授予访问您存储在 Amazon S3 存储桶中的其他数据的权限,例如来自应用程序负载均衡器、Amazon CloudFront 或第三方来源的数据包捕获或日志。

注意

要使用 Shield Response Team (SRT) 的服务,您必须订阅 Business Support 计划企业支持计划

管理 SRT 的权限

  1. 在 AWS Shield 控制台概述页面的配置 AWS SRT 支持下,选择编辑 SRT 访问权限编辑 AWS Shield Response Team (SRT) 访问权限页面打开。

  2. 对于 SRT 访问设置,请选择以下选项之一:

    • 不要授予 SRT 访问我的账户的权限 – Shield 会删除您之前授予 SRT 访问您的账户和资源的任何权限。

    • 为 SRT 创建一个访问我的账户的新角色 – Shield 创建一个代表 SRT 的服务主体的角色 drt.shield.amazonaws.com,并将托管策略 AWSShieldDRTAccessPolicy 附加到该主体。此托管策略允许 SRT 代表您进行 AWS Shield Advanced 和 AWS WAF API 调用以及访问您的 AWS WAF 日志。有关托管策略的更多信息,请参阅AWS 托管策略:AWSShieldDRTAccessPolicy

    • 为 SRT 选择现有角色以访问我的账户 – 对于此选项,您必须按如下方式修改 AWS Identity and Access Management (IAM) 中的角色配置:

      • 将托管策略 AWSShieldDRTAccessPolicy 附加到角色。此托管策略允许 SRT 代表您进行 AWS Shield Advanced 和 AWS WAF API 调用以及访问您的 AWS WAF 日志。有关托管策略的更多信息,请参阅AWS 托管策略:AWSShieldDRTAccessPolicy。有关如何将托管策略附加到角色的信息,请参阅附加和分离 IAM 策略

      • 修改角色以信任 drt.shield.amazonaws.com 服务主体。这是代表 SRT 的服务主体。有关更多信息,请参阅 IAM JSON 策略元素:主体

  3. 对于(可选):授予 SRT 访问 Amazon S3 存储桶的权限,如果您需要共享不在您的 AWS WAF Web ACL 日志中的数据,请配置此选项。例如,应用程序负载均衡器访问日志、Amazon CloudFront 日志或来自第三方来源的日志。

    注意

    您无需为 AWS WAF Web ACL 日志执行此操作。当您授予账户访问权限时,SRT 将获得访问权限。

    1. 根据以下准则配置 Amazon S3 存储桶:

      • 存储桶的位置必须与您在之前的步骤 AWS Shield 响应团队 (SRT) 访问权限中授予 SRT 一般访问权限的存储桶的 AWS 账户 相同。

      • 存储桶可以是纯文本,也可以采用 SSE-S3 加密。有关 Amazon S3 SSE-S3 加密的更多信息,请参阅《Amazon S3 用户指南》中的使用具有 Amazon S3 托管式加密密钥的服务器端加密 (SSE-S3) 保护数据

        SRT 无法查看或处理存储在使用 AWS Key Management Service (AWS KMS) 中存储的密钥加密的存储桶中的日志。

    2. 在 Shield Advanced(可选):授予 SRT 访问 Amazon S3 存储桶的权限部分,对于存储您的数据或日志的每个 Amazon S3 存储桶,输入存储桶的名称并选择添加存储桶。您最多可以添加 10 个存储桶。

      这将授予 SRT 对每个存储桶的以下权限:s3:GetBucketLocations3:GetObjects3:ListBucket

      如果您想授予 SRT 访问超过 10 个存储桶的权限,则可以编辑其他存储桶策略并手动授予此处列出的 SRT 权限。

      下面是一个策略列表示例。

      {
    "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
    "Effect": "Allow",
    "Principal": {
        "Service": "drt.shield.amazonaws.com"
    },
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": [
        "arn:aws:s3:::bucket-name",
        "arn:aws:s3:::bucket-name/*"
    ]
}

  4. 选择 保存 以保存您的更改。

您也可以通过 API 授权 SRT,方法是创建 IAM 角色,将策略 AWSShieldDRTAccessPolicy 附加到该角色,然后将该角色传递给 AssociateDRTRole 操作员。