Menggunakan peran terkait layanan untuk Shield Advanced - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan peran terkait layanan untuk Shield Advanced

AWS Shield Advanced menggunakan AWS Identity and Access Management (IAM) peran tertaut layanan. Peran terkait layanan adalah jenis IAM role unik yang terhubung langsung ke Shield Advanced. Peran terkait layanan ditentukan sebelumnya oleh Shield Advanced dan mencakup semua izin yang diperlukan layanan untuk memanggil lainnyaAWSlayanan atas nama Anda.

Peran terkait layanan memudahkan pengaturan Shield Advanced menjadi lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Shield Advanced menentukan izin peran terkait layanan, kecuali jika ditentukan berbeda, hanya Shield Advanced yang dapat mengasumsikan perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi sumber daya Shield Advanced karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran tertaut layanan, lihat Layanan yang Bekerja dengan IAM AWS dan mencari layanan yang memiliki opsi Ya di kolom Peran Tertaut Layanan. Pilih Yes (Ya) bersama tautan untuk melihat dokumentasi peran tertaut layanan untuk layanan tersebut.

Izin Peran Terkait Layanan untuk Shield Advanced

Shield Advanced menggunakan peran terkait layanan bernamaAWSServiceRoleForAWSShield. Peran ini memungkinkan Shield Advanced untuk mengakses dan mengelolaAWSsumber daya untuk secara otomatis merespons serangan DDoS lapisan aplikasi atas nama Anda. Untuk informasi selengkapnya tentang fungsi ini, lihatShield Lanjutan otomatis lapisan aplikasi DDoS mitigasi.

Yang AWSServiceRoleForAWSShield peran terkait layanan memercayakan layanan berikut untuk menjalankan peran tersebut:

  • shield.amazonaws.com

Kebijakan izin peran bernama AWSShieldServiceRolePolicy memungkinkan Shield Advanced untuk menyelesaikan tindakan berikut pada semuaAWSsumber daya:

  • wafv2:GetWebACL

  • wafv2:UpdateWebACL

  • wafv2:GetWebACLForResource

  • wafv2:ListResourcesForWebACL

  • cloudfront:ListDistributions

  • cloudfront:GetDistribution

Ketika tindakan diizinkan pada semuaAWSsumber daya, itu ditunjukkan dalam kebijakan sebagai"Resource": "*". Ini berarti bahwa peran terkait layanan dapat mengambil setiap tindakan yang ditunjukkan pada semuaAWSsumber dayabahwa tindakan mendukung. Misalnya, tindakanwafv2:GetWebACLdidukung hanya untukwafv2sumber daya web ACL.

Shield Advanced hanya membuat panggilan API tingkat sumber daya untuk sumber daya yang dilindungi yang telah Anda aktifkan fitur perlindungan lapisan aplikasi dan untuk ACL web yang terkait dengan sumber daya yang dilindungi tersebut.

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi lebih lanjut, lihat Izin Peran Tertaut Layanan di Panduan Pengguna IAM.

Membuat Peran Terkait Layanan untuk Shield Advanced

Anda tidak perlu membuat peran terkait layanan secara manual. Bila Anda mengaktifkan mitigasi DDoS lapisan aplikasi otomatis untuk sumber daya diAWS Management Console, yangAWS CLI, atauAWSAPI, Shield Advanced menciptakan peran terkait layanan untuk Anda.

Jika Anda menghapus peran tertaut layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda mengaktifkan mitigasi DDoS layer aplikasi otomatis untuk sumber daya, Shield Advanced membuat lagi peran terkait layanan untuk Anda.

Menyunting Peran Terkait Layanan untuk Shield Advanced

Shield Advanced tidak mengizinkan Anda mengedit AWSServiceRoleForAWSShield peran yang terhubung dengan layanan. Setelah Anda membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi lebih lanjut, lihat Mengedit Peran Tertaut Layanan di Panduan Pengguna IAM.

Menghapus Peran Terkait Layanan untuk Shield Advanced

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami merekomendasikan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.

catatan

Jika Shield Advanced menggunakan peran tersebut ketika Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

Untuk menghapus sumber daya Shield Advanced yang digunakan olehAWSServiceRoleForAWSShield

Untuk semua sumber daya Anda yang memiliki perlindungan DDoS lapisan aplikasi yang dikonfigurasi, nonaktifkan mitigasi DDoS lapisan aplikasi otomatis. Untuk instruksi konsol, lihatMengkonfigurasi perlindungan DDoS lapisan aplikasi.

Untuk menghapus peran terkait layanan secara manual menggunakan IAM

Gunakan konsol IAM, AWS CLI, atau AWS API untuk menghapus peran terkait layanan AWSServiceRoleForAWSShield. Untuk informasi lebih lanjut, lihat Menghapus Peran Tertaut Layanan di Panduan Pengguna IAM.

Wilayah yang Didukung untuk Peran Terkait Layanan Shield

Shield Advanced memberikan dukungan dengan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihatShield Titik akhir dan kuota Tingkat Lanjut.