**推出 的新主控台體驗 AWS WAF** 您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 授予 SRT 的存取權 此頁面提供授予許可給 SRT 以代表您執行動作的指示,以便他們可以存取您的 AWS WAF 日誌並呼叫 AWS Shield Advanced 和 AWS WAF APIs來管理保護。 在應用程式層 DDoS 事件期間,SRT 可以監控 AWS WAF 請求以識別異常流量,並協助制定自訂 AWS WAF 規則來緩解違規的流量來源。 此外,您可以授予 SRT 存取 Amazon S3 儲存貯體中存放的其他資料,例如 Application Load Balancer、Amazon CloudFront 或第三方來源的封包擷取或日誌。 **注意** 若要使用 Shield 回應團隊 (SRT) 的服務,您必須訂閱[商業支援計劃](https://aws.amazon.com/premiumsupport/business-support/)或[企業支援計劃](https://aws.amazon.com/premiumsupport/enterprise-support/)。 **管理 SRT 的許可** 1. 在 AWS Shield 主控台**概觀**頁面**的設定 AWS SRT 支援**下,選擇**編輯 SRT 存取**。**編輯 Shield AWS 回應團隊 (SRT) 存取**頁面隨即開啟。 1. 針對 **SRT 存取設定**,選取其中一個選項: + **請勿授予 SRT 存取我的帳戶** – Shield 會移除您先前授予 SRT 的任何許可,以存取您的帳戶和資源。 + **為 SRT 建立新角色以存取我的帳戶** – Shield 會建立信任`drt.shield.amazonaws.com`代表 SRT 之服務委託人 的角色,並將受管政策連接至`AWSShieldDRTAccessPolicy`該角色。受管政策允許 SRT 代表您進行 AWS Shield Advanced 和 AWS WAF API 呼叫,並存取您的 AWS WAF 日誌。如需受管政策的更多相關資訊,請參閱[AWS 受管政策:AWSShieldDRTAccessPolicy](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)。 + **選擇 SRT 的現有角色來存取我的帳戶** – 對於此選項,您必須在 AWS Identity and Access Management (IAM) 中修改角色的組態,如下所示: + 將受管政策 `AWSShieldDRTAccessPolicy` 連接至角色。此受管政策允許 SRT 代表您進行 AWS Shield Advanced 和 AWS WAF API 呼叫,並存取您的 AWS WAF 日誌。如需受管政策的更多相關資訊,請參閱[AWS 受管政策:AWSShieldDRTAccessPolicy](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)。如需有關將受管政策連接至角色的資訊,請參閱[連接和分離 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。 + 修改角色以信任服務委託人 `drt.shield.amazonaws.com`。這是代表 SRT 的服務主體。如需詳細資訊,請參閱 [IAM JSON 政策元素:委託人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。 1. 對於 **(選用):將 SRT 存取權授予 Amazon S3 儲存貯**體,如果您需要共用不在 AWS WAF Web ACL 日誌中的資料,請設定此選項。例如,Application Load Balancer 存取日誌、Amazon CloudFront 日誌或第三方來源的日誌。 **注意** 您不需要為 AWS WAF Web ACL 日誌執行此操作。當您授予帳戶存取權時,SRT 可以存取這些項目。 1. 根據下列準則設定 Amazon S3 儲存貯體: + 儲存貯體位置必須與您在上一個步驟 **AWS Shield 回應團隊 (SRT) 存取中授予 SRT **一般存取權的位置 AWS 帳戶 相同。 + 儲存貯體可以是純文字或 SSE-S3 加密。如需 Amazon S3 SSE-S3 加密的詳細資訊,請參閱《Amazon S3 使用者指南》中的[使用伺服器端加密搭配 Amazon S3-Managed加密金鑰 (SSE-S3) 保護資料](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)。 Amazon S3 SRT 無法檢視或處理存放在儲存貯體中的日誌,這些儲存貯體使用存放在 AWS Key Management Service () 中的金鑰加密AWS KMS。 1. 在 Shield Advanced **(選用):授予 Amazon S3 儲存貯體的 SRT 存取權**,針對儲存資料或日誌的每個 Amazon S3 儲存貯體,輸入儲存貯體的名稱,然後選擇**新增儲存貯體**。您最多可以新增 10 個儲存貯體。 這會授予 SRT 每個儲存貯體的下列許可:`s3:GetObject`、 `s3:GetBucketLocation`和 `s3:ListBucket`。 如果您想要授予 SRT 存取超過 10 個儲存貯體的許可,您可以編輯其他儲存貯體政策並手動授予此處列出的 SRT 許可。 以下顯示範例政策清單。 ``` { "Sid": "AWSDDoSResponseTeamAccessS3Bucket", "Effect": "Allow", "Principal": { "Service": "drt.shield.amazonaws.com" }, "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::bucket-name", "arn:aws:s3:::bucket-name/*" ] } ``` 1. 選擇**儲存**,以儲存變更。 您也可以透過 API 授權 SRT,方法是建立 IAM 角色、將政策 AWSShieldDRTAccessPolicy 連接至該角色,然後將該角色傳遞至操作 [AssociateDRTRole](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AssociateDRTRole.html)。