使用 Shield Advanced 的服務連結角色 - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced
Shield Advanced 的服務連結角色許可為 Shield Advanced 建立服務連結角色編輯 Shield Advanced 的服務連結角色刪除 Shield Advanced 的服務連結角色Shield 進階服務連結角色的支援區域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Shield Advanced 的服務連結角色

本節說明如何使用服務連結角色,讓 Shield Advanced 存取您 AWS 帳戶中的資源。

AWS Shield Advanced use AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結至 Shield Advanced 的唯一 IAM 角色類型。服務連結角色由 Shield Advanced 預先定義,並包含服務代表您呼叫其他 AWS 服務所需的所有許可。

服務連結角色可讓您更輕鬆地設定 Shield Advanced,因為您不必手動新增必要的許可。Shield Advanced 會定義其服務連結角色的許可,除非另有定義,否則只有 Shield Advanced 可以擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。

您必須先刪除服務連結角色的相關資源,才能將其刪除。這可保護您的 Shield Advanced 資源,因為您不會意外移除存取資源的許可。

如需關於支援服務連結角色的其他服務的資訊,請參閱可搭配 IAM 運作的AWS 服務,並尋找 Service-Linked Role (服務連結角色) 欄顯示為 Yes (是) 的服務。選擇具有連結的,以檢視該服務的服務連結角色文件。

Shield Advanced 的服務連結角色許可

Shield Advanced 使用名為 AWSServiceRoleForAWSShield 的服務連結角色。此角色允許 Shield Advanced 存取和管理 AWS 資源,以代表您自動回應應用程式層 DDoS 攻擊。如需此功能的詳細資訊,請參閱 使用 Shield Advanced 自動化應用程式層 DDoS 緩解

AWSServiceRoleForAWSShield 服務連結角色信任下列服務擔任該角色:

  • shield.amazonaws.com

名為 AWSShieldServiceRolePolicy 的角色許可政策可讓 Shield Advanced 在所有 AWS 資源上完成下列動作:

  • wafv2:GetWebACL

  • wafv2:UpdateWebACL

  • wafv2:GetWebACLForResource

  • wafv2:ListResourcesForWebACL

  • cloudfront:ListDistributions

  • cloudfront:GetDistribution

當所有 AWS 資源上都允許動作時,政策中會將其表示為 "Resource": "*"。這僅表示服務連結角色可以對動作支援的所有 AWS 資源採取每個指定的動作。 例如, 動作僅wafv2:GetWebACL支援 wafv2 Web ACL 資源。

Shield Advanced 只會針對您已啟用應用程式層保護功能的受保護資源,以及與這些受保護資源相關聯的 Web ACLs,進行資源層級 API 呼叫。

您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的服務連結角色許可

為 Shield Advanced 建立服務連結角色

您不需要手動建立一個服務連結角色。當您為 AWS Management Console、 AWS CLI或 AWS API 中的資源啟用自動應用程式層 DDoS 緩解時,Shield Advanced 會為您建立服務連結角色。

若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您為資源啟用自動應用程式層 DDoS 緩解時,Shield Advanced 會再次為您建立服務連結角色。

編輯 Shield Advanced 的服務連結角色

Shield Advanced 不允許您編輯 AWSServiceRoleForAWSShield 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需更多資訊,請參閱 IAM 使用者指南中的編輯服務連結角色

刪除 Shield Advanced 的服務連結角色

若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。

注意

如果 Shield Advanced 在您嘗試刪除資源時使用角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。

刪除 AWSServiceRoleForAWSShield 使用的 Shield Advanced 資源

對於所有已設定應用程式層 DDoS 保護的資源,請停用自動應用程式層 DDoS 緩解。如需主控台說明,請參閱 設定應用程式層 DDoS 保護

使用 IAM 手動刪除服務連結角色

使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForAWSShield 服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色

Shield 進階服務連結角色的支援區域

Shield Advanced 支援在所有提供服務的區域中使用服務連結角色。如需詳細資訊,請參閱 Shield Advanced 端點和配額