Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk AWS Shield Advanced - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kebijakan berbasis identitas (kebijakan IAM) untuk AWS Shield Advanced

Bagian ini memberikan contoh kebijakan berbasis identitas yang menunjukkan bagaimana administrator akun dapat melampirkan kebijakan izin ke identitas IAM (yaitu, pengguna, grup, dan peran) dan dengan demikian memberikan izin untuk melakukan operasi padaAWS Shield Advanceddaya.

penting

Kami menyarankan Anda untuk terlebih dahulu meninjau topik pendahuluan yang menjelaskan konsep dasar dan pilihan yang tersedia untuk mengelola akses ke sumber daya AWS Shield Advanced Anda. Untuk informasi selengkapnya, lihat Gambaran umum pengelolaan izin akses untuk sumber daya AWS Shield Advanced Anda.

Untuk tabel yang menunjukkan semuaAWS Shield AdvancedTindakan API dan sumber daya yang diterapkan, lihatShield Izin yang diperlukan tingkat lanjut untuk tindakan API.

Topik

Izin yang diperlukan untuk menggunakan konsol AWS Shield Advanced

YangAWS Shield Advancedkonsol menyediakan lingkungan terpadu bagi Anda untuk membuat dan mengelola sumber daya Shield Advanced. Konsol menyediakan banyak fitur dan alur kerja yang sering memerlukan izin untuk membuat sumber daya Shield Advanced selain izin khusus API yang didokumentasikan diShield Izin yang diperlukan tingkat lanjut untuk tindakan API. Untuk informasi selengkapnya tentang izin konsol tambahan ini, lihatContoh kebijakan yang dikelola pelanggan.

AWS Kebijakan terkelola (Sudah ditentukan sebelumnya) untuk AWS Shield Advanced

AWS menangani banyak kasus penggunaan umum dengan menyediakan kebijakan IAM mandiri yang dibuat dan dikelola oleh AWS. Kebijakan terkelola memberikan izin yang diperlukan untuk kasus penggunaan umum sehingga Anda tidak perlu menyelidiki izin apa yang diperlukan. Untuk informasi selengkapnya, lihat Kebijakan Terkelola AWS dalam Panduan Pengguna IAM.

AWS ShieldmenggunakanAWSkebijakan terkelolaAWSShieldDRTAccessPolicyyang dapat Anda gunakan untuk memberikan akses kepada Tim Respons Shield (SRT) ke akun Anda. Hal ini memungkinkan SRT untuk melakukan tindakan pada akun Anda, untuk mengelola akun Anda, untuk mengelola akun AndaAWS WAFaturan dan perlindungan Shield. Untuk menggunakan ini, Anda membuat peran dan meneruskannya ke operasi API Shield, mengaitkan peran SRT. Dalam API, iniAssociateDRTRole. Di CLI, ituassociate-drt-role. Untuk informasi selengkapnya tentang kebijakan ini, lihat (Opsional) KonfigurasikanAWSDukungan SRT.

Shield Advanced menggunakanAWSkebijakan terkelolaAWSShieldServiceRolePolicyuntuk izin yang dibutuhkan untuk mengelola sumber daya mitigasi DDoS lapisan aplikasi otomatis untuk akun Anda. Hal ini memungkinkan Shield Advanced untuk membuat dan menerapkanAWS WAFaturan dan grup aturan di ACL web yang telah Anda kaitkan dengan sumber daya yang dilindungi, untuk secara otomatis merespons serangan DDoS. Untuk menggunakan ini, Anda membuat peran dan meneruskannya ke operasi Shield Advanced API, mengaktifkan respons otomatis lapisan aplikasi. Dalam API, ini adalahEnableApplicationLayerAutomaticResponse. Di CLI, ituenable-application-layer-automatic-response. Untuk informasi lebih lanjut tentang penggunaan kebijakan ini, lihatShield Lanjutan otomatis lapisan aplikasi DDoS mitigasi.

catatan

Anda dapat meninjauAWSkebijakan izin terkelola dengan masuk ke konsol IAM dan mencari kebijakan.

Anda juga dapat membuat kebijakan IAM khusus untuk mengizinkan izinAWS Shield AdvancedOperasi dan sumber daya API. Anda dapat melampirkan kebijakan kustom ini ke pengguna atau grup IAM yang memerlukan izin tersebut atau ke peran eksekusi kustom (IAM role) yang Anda buat untuk sumber daya Shield Advanced.

Contoh kebijakan yang dikelola pelanggan

Contoh dalam bagian ini menyediakan sekelompok contoh kebijakan yang dapat Anda lampirkan ke pengguna. Jika Anda baru membuat kebijakan, sebaiknya buat pengguna IAM terlebih dahulu di akun Anda dan melampirkan kebijakan ke pengguna, dalam urutan yang dijelaskan dalam langkah-langkah di bagian ini.

Anda dapat menggunakan konsol untuk memverifikasi efek setiap kebijakan saat Anda melampirkan kebijakan kepada pengguna. Awalnya, pengguna tidak memiliki izin, dan pengguna tidak akan dapat melakukan apa pun di konsol. Ketika Anda melampirkan kebijakan ke pengguna, Anda dapat memverifikasi pengguna dapat melakukan berbagai operasi di konsol.

Kami menyarankan Anda menggunakan dua jendela browser: satu untuk membuat pengguna dan memberikan izin, dan yang lainnya untuk masuk keAWS Management Consolemenggunakan kredensi pengguna dan memverifikasi izin saat Anda memberikannya ke pengguna.

Untuk contoh yang menunjukkan cara membuat IAM role yang dapat Anda gunakan sebagai peran eksekusi untuk sumber daya Shield Advanced, lihatMembuat Peran IAMdi dalamPanduan Pengguna IAM.

Contoh topik

Mmebuat pengguna IAM

Pertama, Anda harus membuat pengguna IAM, tambahkan pengguna ke grup IAM dengan izin administratif, lalu berikan izin administratif ke pengguna IAM yang Anda buat. Anda kemudian dapat mengaksesAWSmenggunakan URL khusus dan kredensi pengguna.

Untuk melihat instruksi, buka Membuat Grup Pengguna dan Administrator IAM Pertama Anda di Panduan Pengguna IAM.

Contoh 1: Memberikan pengguna akses hanya baca ke Shield Advanced, CloudFront, dan CloudWatch

Kebijakan berikut memberikan akses hanya-baca bagi pengguna ke Shield Advanced sumber daya terkait, termasuk Amazon CloudFront sumber daya, dan Amazon CloudWatch metrik. Ini berguna bagi pengguna yang memerlukan izin untuk melihat pengaturan di Perlindungan dan serangan Shield Advanced dan untuk memantau metrik di CloudWatch. Pengguna ini tidak dapat membuat, memperbarui, atau menghapus sumber daya Shield Advanced.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ProtectedResourcesReadAccess", "Effect": "Allow", "Action": [ "cloudfront:List*", "elasticloadbalancing:List*", "route53:List*", "cloudfront:Describe*", "elasticloadbalancing:Describe*", "route53:Describe*", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*", "cloudfront:GetDistribution*", "globalaccelerator:ListAccelerators", "globalaccelerator:DescribeAccelerator" ], "Resource": [ "arn:aws:elasticloadbalancing:*:*:*", "arn:aws:cloudfront::*:*", "arn:aws:route53:::hostedzone/*", "arn:aws:cloudwatch:*:*:*:*", "arn:aws:globalaccelerator::*:*" ] }, { "Sid": "ShieldReadOnly", "Effect": "Allow", "Action": [ "shield:List*", "shield:Describe*", "shield:Get*" ], "Resource": "*" } ] }

Contoh 2: Memberikan pengguna akses penuh ke Shield Advanced, CloudFront, dan CloudWatch

Kebijakan berikut memungkinkan pengguna melakukan operasi Shield Advanced apa pun, melakukan operasi apa pun pada CloudFront distribusi web, dan memantau metrik dan contoh permintaan di CloudWatch. Ini berguna bagi pengguna yang merupakan administrator Shield Advanced.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ProtectedResourcesReadAccess", "Effect": "Allow", "Action": [ "cloudfront:List*", "elasticloadbalancing:List*", "route53:List*", "cloudfront:Describe*", "elasticloadbalancing:Describe*", "route53:Describe*", "cloudwatch:Describe*", "cloudwatch:Get*", "cloudwatch:List*", "cloudfront:GetDistribution*", "globalaccelerator:ListAccelerators", "globalaccelerator:DescribeAccelerator" ], "Resource": [ "arn:aws:elasticloadbalancing:*:*:*", "arn:aws:cloudfront::*:*", "arn:aws:route53:::hostedzone/*", "arn:aws:cloudwatch:*:*:*:*", "arn:aws:globalaccelerator::*:*" ] }, { "Sid": "ShieldFullAccess", "Effect": "Allow", "Action": [ "shield:*" ], "Resource": "*" } ] }

Kami sangat menyarankan agar Anda mengonfigurasi autentikasi multi-faktor (MFA) untuk pengguna yang memiliki izin administratif. Untuk informasi selengkapnya, lihatMenggunakan Perangkat Multi-Factor Authentication (MFA) denganAWSdi dalamPanduan Pengguna IAM.