Konfiguration des Zugriffs für das Shield Response Team (SRT)

Sie können dem Shield Response Team (SRT) die Erlaubnis erteilen, in Ihrem Namen zu handeln, auf Ihre AWS WAF Protokolle zuzugreifen und Aufrufe an die AWS Shield Advanced und AWS WAF APIs zu tätigen, um Schutzmaßnahmen zu verwalten. Bei DDoS-Ereignissen auf Anwendungsebene kann das SRT AWS WAF Anfragen überwachen, um anomalen Datenverkehr zu identifizieren und dabei zu helfen, benutzerdefinierte AWS WAF Regeln zur Abwehr anstößiger Datenverkehrsquellen zu erstellen.

Darüber hinaus können Sie dem SRT Zugriff auf andere Daten gewähren, die Sie in Amazon S3 S3-Buckets gespeichert haben, z. B. Paketerfassungen oder Protokolle von einem Application Load Balancer CloudFront, Amazon oder aus Quellen von Drittanbietern.

Anmerkung

Um die Dienste des Shield Response Teams (SRT) nutzen zu können, müssen Sie den Business Support Plan oder den Enterprise Support Plan abonniert haben.

Um die Berechtigungen für das SRT zu verwalten

Wählen Sie auf der Übersichtsseite der AWS Shield Konsole unter AWS SRT-Unterstützung konfigurieren die Option SRT-Zugriff bearbeiten aus. Die Zugriffsseite für das AWS Shield Response Team (SRT) bearbeiten wird geöffnet.
Wählen Sie für die Einstellung für den SRT-Zugriff eine der folgenden Optionen aus:
- Gewähren Sie dem SRT keinen Zugriff auf mein Konto — Shield entfernt alle Berechtigungen, die Sie dem SRT zuvor für den Zugriff auf Ihr Konto und Ihre Ressourcen erteilt haben.
- Eine neue Rolle für das SRT erstellen, um auf mein Konto zuzugreifen — Shield erstellt eine Rolle, die dem Service Principaldrt.shield.amazonaws.com, der das SRT darstellt, vertraut, und fügt ihm die verwaltete Richtlinie hinzu. AWSShieldDRTAccessPolicy Die verwaltete Richtlinie ermöglicht es dem SRT, in Ihrem Namen AWS WAF API-Aufrufe zu tätigen AWS Shield Advanced und auf Ihre Protokolle zuzugreifen. AWS WAF Für weitere Informationen über die verwaltete Richtlinie siehe AWS verwaltete Richtlinie: AWSShieldDRTAccessPolicy.
- Wählen Sie eine bestehende Rolle für das SRT aus, um auf meine Konten zuzugreifen. Für diese Option müssen Sie die Konfiguration der Rolle in AWS Identity and Access Management (IAM) wie folgt ändern:
  - Hängen Sie die verwaltete Richtlinie AWSShieldDRTAccessPolicy an die Rolle an. Diese verwaltete Richtlinie ermöglicht es dem SRT, in Ihrem Namen AWS WAF API-Aufrufe zu tätigen AWS Shield Advanced und auf Ihre Protokolle zuzugreifen. AWS WAF Für weitere Informationen über die verwaltete Richtlinie siehe AWS verwaltete Richtlinie: AWSShieldDRTAccessPolicy. Informationen zum Anhängen der verwalteten Richtlinie an Ihre Rolle finden Sie unter IAM-Richtlinien anhängen und trennen.
  - Ändern Sie die Rolle, um dem Service-Prinzipal drt.shield.amazonaws.com zu vertrauen. Dies ist der Dienstprinzipal, der die SRT repräsentiert. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Prinzipal.
Für (optional): Gewähren Sie SRT-Zugriff auf einen Amazon S3-Bucket. Wenn Sie Daten teilen müssen, die nicht in Ihren AWS WAF Web-ACL-Protokollen enthalten sind, konfigurieren Sie dies. Zum Beispiel Application Load Balancer Balancer-Zugriffsprotokolle, CloudFront Amazon-Protokolle oder Protokolle aus Quellen von Drittanbietern.

Anmerkung
Sie müssen dies nicht für Ihre AWS WAF Web-ACL-Protokolle tun. Das SRT erhält Zugriff auf diese, wenn Sie Zugriff auf Ihr Konto gewähren.
1. Konfigurieren Sie die Amazon S3 S3-Buckets gemäß den folgenden Richtlinien:
  - Die Bucket-Standorte müssen sich in dem befinden AWS-Konto , auf den Sie dem SRT im vorherigen Schritt Zugriff auf das AWS Shield Response Team (SRT) gewährt haben.
  - Die Buckets können entweder Klartext- oder SSE-S3-verschlüsselt sein. Weitere Informationen zur Amazon S3 SSE-S3-Verschlüsselung finden Sie unter Schützen von Daten mithilfe serverseitiger Verschlüsselung mit Amazon S3-Managed Encryption Keys (SSE-S3) im Amazon S3 S3-Benutzerhandbuch.
    
    Das SRT kann keine Protokolle anzeigen oder verarbeiten, die in Buckets gespeichert sind, die mit Schlüsseln verschlüsselt sind, die in () gespeichert sind. AWS Key Management Service AWS KMS
2. Geben Sie im Abschnitt Shield Advanced (optional): SRT-Zugriff auf einen Amazon S3-Bucket für jeden Amazon S3-Bucket, in dem Ihre Daten oder Logs gespeichert sind, den Namen des Buckets ein und wählen Sie Bucket hinzufügen. Sie können bis zu 10 Buckets hinzufügen.
  
  Dadurch erhält das SRT die folgenden Berechtigungen für jeden Bucket:s3:GetBucketLocation,s3:GetObject, und. s3:ListBucket
  
  Wenn Sie dem SRT die Erlaubnis geben möchten, auf mehr als 10 Buckets zuzugreifen, können Sie dies tun, indem Sie die zusätzlichen Bucket-Richtlinien bearbeiten und die hier aufgeführten Berechtigungen für das SRT manuell gewähren.
  
  Im Folgenden finden Sie ein Beispiel für eine Richtlinienliste.
```
{
    "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
    "Effect": "Allow",
    "Principal": {
        "Service": "drt.shield.amazonaws.com"
    },
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": [
        "arn:aws:s3:::bucket-name",
        "arn:aws:s3:::bucket-name/*"
    ]
} 
```
Wählen Sie Speichern, um Ihre Änderungen zu speichern.

Sie können das SRT auch über die API autorisieren, indem Sie eine IAM-Rolle erstellen, ihr die Richtlinie anhängen und die Rolle dann AWSShieldDRTAccessPolicy an den Vorgang AssociatedRtRole übergeben.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

SRT-Unterstützung

Konfiguration von proaktivem Engagement