Configuration de l'accès pour la Shield Response Team (SRT)

Vous pouvez autoriser la Shield Response Team (SRT) à agir en votre nom, en accédant à vos AWS WAF journaux et en appelant les AWS WAF API AWS Shield Advanced et pour gérer les protections. Lors d'événements DDoS liés à la couche applicative, le SRT peut surveiller les AWS WAF demandes afin d'identifier le trafic anormal et d'aider à élaborer des AWS WAF règles personnalisées pour atténuer les sources de trafic indésirables.

En outre, vous pouvez accorder à la SRT l'accès à d'autres données que vous avez stockées dans des compartiments Amazon S3, telles que des captures de paquets ou des journaux provenant d'un Application Load Balancer, d' CloudFrontAmazon ou de sources tierces.

Note

Pour utiliser les services de la Shield Response Team (SRT), vous devez être abonné au plan Business Support ou au plan Enterprise Support.

Pour gérer les autorisations pour le SRT

Sur la page de présentation de la AWS Shield console, sous Configurer le support AWS SRT, choisissez Modifier l'accès SRT. La page d'accès à l'Edit AWS Shield Response Team (SRT) s'ouvre.
Pour le réglage de l'accès SRT, sélectionnez l'une des options suivantes :
- Ne pas autoriser le SRT à accéder à mon compte — Shield supprime toutes les autorisations que vous avez précédemment accordées au SRT pour accéder à votre compte et à vos ressources.
- Créer un nouveau rôle pour que le SRT accède à mon compte — Shield crée un rôle qui fait confiance au principal du servicedrt.shield.amazonaws.com, qui représente le SRT, et y associe la politique AWSShieldDRTAccessPolicy gérée. La politique gérée permet au SRT de passer des AWS Shield Advanced appels d' AWS WAF API en votre nom et d'accéder à vos AWS WAF journaux. Pour plus d’informations sur la stratégie gérée, consultez AWS politique gérée : AWSShieldDRTAccessPolicy.
- Choisissez un rôle existant pour que le SRT accède à mes comptes. Pour cette option, vous devez modifier la configuration du rôle dans AWS Identity and Access Management (IAM) comme suit :
  - Attachez la stratégie gérée AWSShieldDRTAccessPolicy au rôle. Cette politique gérée permet au SRT de passer des AWS Shield Advanced appels d' AWS WAF API en votre nom et d'accéder à vos AWS WAF journaux. Pour plus d’informations sur la stratégie gérée, consultez AWS politique gérée : AWSShieldDRTAccessPolicy. Pour plus d'informations sur l'attachement de la politique gérée à votre rôle, consultez la section Attacher et détacher des politiques IAM.
  - Modifiez le rôle pour approuver l'entité de service drt.shield.amazonaws.com. Il s'agit du principal de service qui représente le SRT. Pour de plus amples informations, veuillez consulter Éléments de stratégie IAM JSON : Mandataire.
Pour (facultatif) : accordez l'accès SRT à un compartiment Amazon S3. Si vous devez partager des données qui ne figurent pas dans vos journaux ACL AWS WAF Web, configurez-le. Par exemple, les journaux d'accès à Application Load Balancer, les CloudFront journaux Amazon ou les journaux provenant de sources tierces.

Note
Vous n'avez pas besoin de le faire pour vos journaux ACL AWS WAF Web. Le SRT y accède lorsque vous autorisez l'accès à votre compte.
1. Configurez les compartiments Amazon S3 conformément aux directives suivantes :
  - Les emplacements des compartiments doivent être identiques Compte AWS à ceux auxquels vous avez accordé l'accès général à la SRT, lors de l'étape précédente, à l'accès à la AWS Shield Response Team (SRT).
  - Les compartiments peuvent être chiffrés en texte brut ou par SSE-S3. Pour plus d'informations sur le chiffrement Amazon S3 SSE-S3, consultez la section Protection des données à l'aide du chiffrement côté serveur avec des clés de chiffrement gérées par Amazon S3 (SSE-S3) dans le guide de l'utilisateur Amazon S3.
    
    Le SRT ne peut pas afficher ni traiter les journaux stockés dans des compartiments chiffrés avec des clés stockées dans AWS Key Management Service ()AWS KMS.
2. Dans le Shield Advanced (facultatif) : accordez à SRT l'accès à une section de compartiment Amazon S3. Pour chaque compartiment Amazon S3 dans lequel vos données ou vos journaux sont stockés, entrez le nom du compartiment et choisissez Add Bucket. Vous pouvez ajouter jusqu'à 10 compartiments.
  
  Cela accorde au SRT les autorisations suivantes sur chaque compartiment :s3:GetBucketLocation,s3:GetObject, ets3:ListBucket.
  
  Si vous souhaitez autoriser le SRT à accéder à plus de 10 compartiments, vous pouvez le faire en modifiant les politiques de compartiment supplémentaires et en accordant manuellement les autorisations répertoriées ici pour le SRT.
  
  Vous trouverez ci-dessous un exemple de liste de politiques.
```
{
    "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
    "Effect": "Allow",
    "Principal": {
        "Service": "drt.shield.amazonaws.com"
    },
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": [
        "arn:aws:s3:::bucket-name",
        "arn:aws:s3:::bucket-name/*"
    ]
} 
```
Choisissez Save pour enregistrer les changements.

Vous pouvez également autoriser le SRT via l'API en créant un rôle IAM, en y attachant la politique AWSShieldDRTAccessPolicy , puis en transmettant le rôle à l'opération AssociatedRTrole.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Support SRT

Configuration de l'engagement proactif