Mengkonfigurasi akses untuk Shield Response Team (SRT) - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi akses untuk Shield Response Team (SRT)

Anda dapat memberikan izin kepada Tim Respons Shield (SRT) untuk bertindak atas nama Anda, mengaksesAWS WAFlog dan membuat panggilan keAWS Shield AdvanceddanAWS WAFAPI untuk mengelola perlindungan. Dengan akses API, insinyur SRT dapat langsung mengelolaAWS WAFaturan yang digunakan mengurangi serangan DDoS lapisan-aplikasi. Selain itu, Anda dapat memberikan akses SRT ke data lain yang telah Anda simpan di bucket Amazon S3, seperti pengambilan paket atau log dari Application Load Balancer, Amazon CloudFront, atau dari sumber pihak ketiga.

catatan

Untuk menggunakan layanan dari Shield Response Team (SRT), Anda harus berlanggananPaket Support KorporasiatauPaket Support Korporasi.

Untuk mengelola izin untuk SRT

  1. DiAWS ShieldkonsolIkhtisarhalaman, di bawahKonfigurasiAWSDukungan SRT, pilihMengedit akses SRT. YangMengeditAWSAkses Shield Response Team (SRT)halaman terbuka.

  2. UntukPengaturan akses SRTpilih salah satu opsi:

    • Jangan berikan akses SRT ke akun saya- Shield menghapus izin apa pun yang sebelumnya Anda berikan kepada SRT untuk mengakses akun dan sumber daya Anda.

    • Buat peran baru bagi SRT untuk mengakses akun saya- Shield menciptakan peran dan secara otomatis mengonfigurasinya untuk digunakan. Peran ini memungkinkan SRT untuk mengaksesAWS Shield AdvanceddanAWS WAFsumber daya yang menggunakan prinsipal layanandrt.shield.amazonaws.com, yang mewakili SRT.

    • Pilih peran yang ada bagi SRT untuk mengakses akun saya- Untuk opsi ini, Anda harus memodifikasi konfigurasi peran diAWS Identity and Access Management(IAM) sebagai berikut:

      • Lampirkan kebijakan terkelolaAWSShieldDRTAccessPolicyuntuk peran. Kebijakan terkelola ini memungkinkan SRT untuk membuatAWS Shield AdvanceddanAWS WAFPanggilan API atas nama Anda dan untuk mengaksesAWS WAFlog. Untuk informasi selengkapnya tentang melampirkan kebijakan terkelola pada peran Anda, lihatMelampirkan dan Memisahkan Kebijakan IAM.

      • Memodifikasi peran untuk mempercayai prinsipal layanandrt.shield.amazonaws.com. Ini adalah prinsipal layanan yang mewakili SRT. Untuk informasi lebih lanjut, lihat Elemen Kebijakan IAM JSON: Penanggung jawab.

  3. Untuk(Opsional): Memiiilih akses ke bucket Amazon S3, jika Anda perlu berbagi data yang tidak ada diAWS WAFweb ACL log, mengkonfigurasi ini. Misalnya, log akses Application Load Balancer, Amazon CloudFront log, atau log dari sumber pihak ketiga.

    catatan

    Anda tidak perlu melakukan ini untuk AndaAWS WAFlog ACL web. SRT mendapatkan akses ke mereka ketika Anda memberikan akses ke akun Anda.

    1. Konfigurasikan bucket Amazon S3 menurut pedoman berikut:

      • Lokasi bucket harus samaAkun AWSsebagai salah satu yang Anda berikan akses umum SRT ke, pada langkah sebelumnyaAWSAkses Shield Response Team (SRT).

      • Bucket dapat berupa plaintext atau SSE-S3 dienkripsi. Untuk informasi selengkapnya tentang enkripsi Amazon S3, lihatMelindungi Data Menggunakan Enkripsi Sisi Server dengan Kunci Enkripsi yang dikelola oleh Amazon S3 (SSE-S3)di Panduan Pengguna Amazon S3.

        SRT tidak dapat melihat atau memproses log yang disimpan dalam ember yang dienkripsi dengan kunci yang disimpanAWS Key Management Service(AWS KMS).

    2. Di(Opsional): Memiiilih akses ke bucket Amazon S3bagian, untuk setiap bucket Amazon S3 tempat data atau log Anda disimpan, masukkan nama bucket dan pilihTambahkan Bucket. Anda dapat menambahkan hingga 10 ember.

      Ini memberikan SRT izin berikut pada setiap bucket:s3:GetBucketLocation,s3:GetObject, dans3:ListBucket.

      Jika Anda ingin memberikan izin SRT untuk mengakses lebih dari 10 bucket, Anda dapat melakukannya dengan mengedit kebijakan bucket tambahan dan secara manual memberikan izin yang tercantum di sini untuk SRT.

  4. Pilih Simpan untuk menyimpan perubahan Anda.

SRT dapat memantauAWS WAFmeminta data dan log selama peristiwa lapisan aplikasi untuk mengidentifikasi lalu lintas anomali. Mereka juga dapat membantu kerajinan kustomAWS WAFaturan untuk mengurangi sumber lalu lintas yang menyinggung.