本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Shield 的動作、資源及條件索引鍵
AWS Shield (服務字首:shield) 提供下列服務特定的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視API此服務可用的操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
AWS Shield 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。當您在政策中使用 動作時,通常會允許或拒絕存取具有相同名稱API的操作或CLI命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作ARN的陳述式中指定該類型的 。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您在 IAM 政策中限制使用 Resource元素存取資源,您必須為每個必要的資源類型包含 ARN或 模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AssociateDRTLogBucket | 准許授權DDoS回應團隊存取包含流程日誌的指定 Amazon S3 儲存貯體 | 寫入 |
s3:GetBucketPolicy s3:PutBucketPolicy |
||
| AssociateDRTRole | 准許使用指定的角色授權DDoS回應團隊存取 AWS 帳戶 ,以協助在潛在DDoS攻擊期間緩解攻擊 | 寫入 |
iam:GetRole iam:ListAttachedRolePolicies iam:PassRole |
||
| AssociateHealthCheck | 准許將以運作狀態為基礎的偵測功能新增至資源的 Shield Advanced 保護 | 寫入 |
route53:GetHealthCheck |
||
| AssociateProactiveEngagementDetails | 准許初始化主動參與,並設定要使用的DDoS回應團隊 (DRT) 聯絡人清單 | 寫入 | |||
| CreateProtection | 准許為指定的資源啟用DDoS保護服務 ARN | 寫入 | |||
| CreateProtectionGroup | 准許建立受保護資源的分組,以便集合處理 | 寫入 | |||
| CreateSubscription | 准許啟用訂閱 | 寫入 | |||
| DeleteProtection | 准許刪除現有的保護 | 寫入 | |||
| DeleteProtectionGroup | 准許移除指定的保護群組 | 寫入 | |||
| DeleteSubscription | 准許停用訂閱 | 寫入 | |||
| DescribeAttack | 准許取得攻擊詳細資訊 | 讀取 | |||
| DescribeAttackStatistics | 准許描述 Shield AWS 在去年偵測到的攻擊數量和類型的相關資訊 | 讀取 | |||
| DescribeDRTAccess | 准許描述DDoS回應團隊用來存取 的目前角色和 Amazon S3 日誌儲存貯體清單, AWS 帳戶 同時協助緩解攻擊 | 讀取 | |||
| DescribeEmergencyContactSettings | 准許列出 DRT 可在疑似攻擊期間用來與您聯絡的電子郵件地址 | 讀取 | |||
| DescribeProtection | 准許取得保護詳細資訊 | 讀取 | |||
| DescribeProtectionGroup | 准許描述指定保護群組的規格 | 讀取 | |||
| DescribeSubscription | 准許取得訂閱詳細資訊,例如開始時間 | 讀取 | |||
| DisableApplicationLayerAutomaticResponse | 准許停用應用程式層自動回應,以實現資源的 Shield Advanced 保護 | 寫入 | |||
| DisableProactiveEngagement | 准許從DDoS回應團隊 (DRT) 移除授權,以通知聯絡人有關呈報 | 寫入 | |||
| DisassociateDRTLogBucket | 准許移除DDoS回應團隊對包含流程日誌之指定 Amazon S3 儲存貯體的存取權 | 寫入 |
s3:DeleteBucketPolicy s3:GetBucketPolicy s3:PutBucketPolicy |
||
| DisassociateDRTRole | 准許移除DDoS回應團隊對您 的存取權 AWS 帳戶 | 寫入 | |||
| DisassociateHealthCheck | 准許從資源的 Shield Advanced 保護中移除以運作狀態為基礎的偵測功能 | 寫入 | |||
| EnableApplicationLayerAutomaticResponse | 准許啟用應用程式層自動回應,以實現資源的 Shield Advanced 保護 | 寫入 |
apprunner:DescribeWebAclForService cloudfront:GetDistribution cognito-idp:GetWebACLForResource ec2:GetVerifiedAccessInstanceWebAcl iam:CreateServiceLinkedRole iam:GetRole wafv2:GetWebACL wafv2:GetWebACLForResource |
||
| EnableProactiveEngagement | 准許授權DDoS回應團隊 (DRT) 使用電子郵件和電話來通知聯絡人有關呈報 | 寫入 | |||
| GetSubscriptionState | 准許取得訂閱狀態 | 讀取 | |||
| ListAttacks | 准許列出所有現有的攻擊 | 列出 | |||
| ListProtectionGroups | 准許擷取帳戶的保護群組 | 列出 | |||
| ListProtections | 准許列出所有現有的保護 | 列出 | |||
| ListResourcesInProtectionGroup | 准許擷取保護群組中包含的資源 | 清單 | |||
| ListTagsForResource | 准許取得 Shield 中指定 Amazon Resource Name (ARN) AWS 的 AWS 標籤相關資訊 | 讀取 | |||
| TagResource | 准許在 Shield AWS 中新增或更新資源的標籤 | 標記 | |||
| UntagResource | 准許從 Shield AWS 中的資源移除標籤 | 標記 | |||
| UpdateApplicationLayerAutomaticResponse | 准許更新應用程式層自動回應以實現資源的 Shield Advanced 保護 | 寫入 |
apprunner:DescribeWebAclForService cognito-idp:GetWebACLForResource ec2:GetVerifiedAccessInstanceWebAcl wafv2:GetWebACL wafv2:GetWebACLForResource |
||
| UpdateEmergencyContactSettings | 准許更新電子郵件地址清單的詳細資訊,讓 DRT可以在可疑攻擊期間與您聯絡 | 寫入 | |||
| UpdateProtectionGroup | 准許更新現有的保護群組 | 寫入 | |||
| UpdateSubscription | 准許更新現有訂閱的詳細資訊 | 寫入 |
AWS Shield 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| attack |
arn:${Partition}:shield::${Account}:attack/${Id}
|
|
| protection |
arn:${Partition}:shield::${Account}:protection/${Id}
|
|
| protection-group |
arn:${Partition}:shield::${Account}:protection-group/${Id}
|
AWS Shield 的條件索引鍵
AWS Shield 定義下列條件索引鍵,可用於 IAM政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有服務都可使用的全域條件鍵,請參閱可用全域條件鍵。
| 條件索引鍵 | 描述 | 類型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 根據請求中的標籤鍵值組是否存在來篩選動作 | 字串 |
| aws:ResourceTag/${TagKey} | 根據連接到資源的標籤鍵值組來篩選動作 | 字串 |
| aws:TagKeys | 根據請求中的標籤鍵是否存在來篩選動作 | ArrayOfString |
