授予 的存取權 SRT - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授予 的存取權 SRT

此頁面提供指示,說明如何授予 代表您行事SRT的許可,以便他們可以存取您的 AWS WAF 日誌,並呼叫 AWS Shield Advanced 和 AWS WAF APIs 以管理保護。

在應用程式層DDoS事件期間, SRT可以監控 AWS WAF 請求以識別異常流量,並協助制定自訂 AWS WAF 規則來緩解違規的流量來源。

此外,您可以授予對存放在 Amazon S3 儲存貯體中其他資料的SRT存取權,例如從 Application Load Balancer 、Amazon 或第三方來源擷取封包 CloudFront或日誌。

注意

若要使用 Shield Response Team (SRT) 的服務,您必須訂閱 Business Support 計劃Enterprise Support 計劃

管理 的許可 SRT

  1. 在 AWS Shield 主控台概觀頁面的設定支援 下 AWS SRT,選擇編輯SRT存取權 編輯 AWS Shield 回應團隊 (SRT) 存取頁面隨即開啟。

  2. 針對SRT存取設定,選取其中一個選項:

    • 請勿授予我的帳戶的SRT存取權 – Shield 會移除您先前授予 SRT存取您的帳戶和資源的任何許可。

    • 為 建立新角色SRT以存取我的帳戶 – Shield 會建立信任服務主體 的角色drt.shield.amazonaws.com,其代表 SRT,並將受管政策連接至AWSShieldDRTAccessPolicy該角色。受管政策允許 代表您SRT進行 AWS Shield Advanced 和 AWS WAF API呼叫,並存取您的 AWS WAF 日誌。如需受管政策的更多相關資訊,請參閱AWS 受管政策: AWSShieldDRTAccessPolicy

    • 選擇 的現有角色SRT來存取我的帳戶 – 對於此選項,您必須修改 AWS Identity and Access Management (IAM) 中角色的組態,如下所示:

      • 將受管政策 AWSShieldDRTAccessPolicy 連接至角色。此受管政策允許 代表您SRT進行 AWS Shield Advanced 和 AWS WAF API呼叫,並存取您的 AWS WAF 日誌。如需受管政策的更多相關資訊,請參閱AWS 受管政策: AWSShieldDRTAccessPolicy。如需將受管政策連接至角色的相關資訊,請參閱連接和分離IAM政策

      • 修改角色以信任服務委託人 drt.shield.amazonaws.com。這是代表 的服務主體SRT。如需詳細資訊,請參閱IAMJSON政策元素:主體

  3. 對於 (選用):授予對 Amazon S3 儲存貯體 的SRT存取權,如果您需要共用不在 AWS WAF Web ACL日誌中的資料,請設定此選項。例如,Application Load Balancer 存取日誌、Amazon CloudFront 日誌或第三方來源的日誌。

    注意

    您不需要為 AWS WAF Web ACL日誌執行此操作。當您授予帳戶存取權時, SRT會取得這些 的存取權。

    1. 根據下列準則設定 Amazon S3 儲存貯體:

      • 儲存貯體位置必須與 AWS 帳戶 您在上一個步驟 AWS Shield Response Team (SRT) 存取 中授予SRT一般存取權的位置相同。

      • 儲存貯體可以是純文字或 SSE-S3 加密。如需 Amazon S3 SSE-S3 加密的詳細資訊,請參閱 Amazon S3 使用者指南中的使用伺服器端加密與 Amazon S3-Managed加密金鑰 (SSE-S3) 保護資料。 Amazon S3

        SRT 無法檢視或處理儲存在儲存貯體中的日誌,這些儲存貯體使用 AWS Key Management Service () 中儲存的金鑰加密AWS KMS。

    2. 在 Shield Advanced (選用):授予對 Amazon S3 儲存貯體的SRT存取權,針對儲存資料或日誌的每個 Amazon S3 儲存貯體,輸入儲存貯體的名稱,然後選擇新增儲存貯體 。您最多可以新增 10 個儲存貯體。

      這會在每個儲存貯體上授予SRT下列許可:s3:GetObjects3:GetBucketLocations3:ListBucket

      如果您想要授予存取超過 10 個儲存貯體的SRT許可,您可以編輯其他儲存貯體政策並手動授予 此處列出的許可SRT。

      下列顯示政策清單範例。

      {
    "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
    "Effect": "Allow",
    "Principal": {
        "Service": "drt.shield.amazonaws.com"
    },
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": [
        "arn:aws:s3:::bucket-name",
        "arn:aws:s3:::bucket-name/*"
    ]
}

  4. 選擇儲存,以儲存變更。

您也可以SRT透過 API 建立角色、將政策連接至 AWSShieldDRTAccessPolicy 該IAM角色,然後將角色傳遞至操作 A ssociateDRTRole來授權 。