授予 SRT 的存取權 - AWS WAF AWS Firewall Manager、 AWS Shield Advanced和 AWS Shield 網路安全主管

推出 的新主控台體驗 AWS WAF

您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱使用 主控台

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

授予 SRT 的存取權

此頁面提供授予許可給 SRT 以代表您執行動作的指示,以便他們可以存取您的 AWS WAF 日誌並呼叫 AWS Shield Advanced 和 AWS WAF APIs來管理保護。

在應用程式層 DDoS 事件期間,SRT 可以監控 AWS WAF 請求以識別異常流量,並協助制定自訂 AWS WAF 規則來緩解違規的流量來源。

此外,您可以授予 SRT 存取 Amazon S3 儲存貯體中存放的其他資料,例如 Application Load Balancer、Amazon CloudFront 或第三方來源的封包擷取或日誌。

注意

若要使用 Shield 回應團隊 (SRT) 的服務,您必須訂閱商業支援計劃企業支援計劃

管理 SRT 的許可

  1. 在 AWS Shield 主控台概觀頁面的設定 AWS SRT 支援下,選擇編輯 SRT 存取編輯 Shield AWS 回應團隊 (SRT) 存取頁面隨即開啟。

  2. 針對 SRT 存取設定,選取其中一個選項:

    • 請勿授予 SRT 存取我的帳戶 – Shield 會移除您先前授予 SRT 的任何許可,以存取您的帳戶和資源。

    • 為 SRT 建立新角色以存取我的帳戶 – Shield 會建立信任drt.shield.amazonaws.com代表 SRT 之服務委託人 的角色,並將受管政策連接至AWSShieldDRTAccessPolicy該角色。受管政策允許 SRT 代表您進行 AWS Shield Advanced 和 AWS WAF API 呼叫,並存取您的 AWS WAF 日誌。如需受管政策的更多相關資訊,請參閱AWS 受管政策:AWSShieldDRTAccessPolicy

    • 選擇 SRT 的現有角色來存取我的帳戶 – 對於此選項,您必須在 AWS Identity and Access Management (IAM) 中修改角色的組態,如下所示:

      • 將受管政策 AWSShieldDRTAccessPolicy 連接至角色。此受管政策允許 SRT 代表您進行 AWS Shield Advanced 和 AWS WAF API 呼叫,並存取您的 AWS WAF 日誌。如需受管政策的更多相關資訊,請參閱AWS 受管政策:AWSShieldDRTAccessPolicy。如需有關將受管政策連接至角色的資訊,請參閱連接和分離 IAM 政策

      • 修改角色以信任服務委託人 drt.shield.amazonaws.com。這是代表 SRT 的服務主體。如需詳細資訊,請參閱 IAM JSON 政策元素:委託人

  3. 對於 (選用):將 SRT 存取權授予 Amazon S3 儲存貯體,如果您需要共用不在 AWS WAF Web ACL 日誌中的資料,請設定此選項。例如,Application Load Balancer 存取日誌、Amazon CloudFront 日誌或第三方來源的日誌。

    注意

    您不需要為 AWS WAF Web ACL 日誌執行此操作。當您授予帳戶存取權時,SRT 可以存取這些項目。

    1. 根據下列準則設定 Amazon S3 儲存貯體:

      • 儲存貯體位置必須與您在上一個步驟 AWS Shield 回應團隊 (SRT) 存取中授予 SRT 一般存取權的位置 AWS 帳戶 相同。

      • 儲存貯體可以是純文字或 SSE-S3 加密。如需 Amazon S3 SSE-S3 加密的詳細資訊,請參閱《Amazon S3 使用者指南》中的使用伺服器端加密搭配 Amazon S3-Managed加密金鑰 (SSE-S3) 保護資料。 Amazon S3

        SRT 無法檢視或處理存放在儲存貯體中的日誌,這些儲存貯體使用存放在 AWS Key Management Service () 中的金鑰加密AWS KMS。

    2. 在 Shield Advanced (選用):授予 Amazon S3 儲存貯體的 SRT 存取權,針對儲存資料或日誌的每個 Amazon S3 儲存貯體,輸入儲存貯體的名稱,然後選擇新增儲存貯體。您最多可以新增 10 個儲存貯體。

      這會授予 SRT 每個儲存貯體的下列許可:s3:GetObjects3:GetBucketLocations3:ListBucket

      如果您想要授予 SRT 存取超過 10 個儲存貯體的許可,您可以編輯其他儲存貯體政策並手動授予此處列出的 SRT 許可。

      以下顯示範例政策清單。

      {
    "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
    "Effect": "Allow",
    "Principal": {
        "Service": "drt.shield.amazonaws.com"
    },
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": [
        "arn:aws:s3:::bucket-name",
        "arn:aws:s3:::bucket-name/*"
    ]
}

  4. 選擇儲存,以儲存變更。

您也可以透過 API 授權 SRT,方法是建立 IAM 角色、將政策 AWSShieldDRTAccessPolicy 連接至該角色,然後將該角色傳遞至操作 AssociateDRTRole