Utilizzo di ruoli collegati ai servizi per Shield Advanced

AWS Shield Advanced utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a Shield Advanced. I ruoli collegati ai servizi sono predefiniti da Shield Advanced e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.

Un ruolo collegato al servizio semplifica la configurazione di Shield Advanced perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Shield Advanced definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Shield Advanced può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun'altra entità IAM.

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi le tue risorse Shield Advanced perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione Servizi AWS che funzionano con IAM e cerca i servizi che riportano Sì nella colonna Ruolo associato ai servizi. Scegli Sì in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni di ruolo collegate ai servizi per Shield Advanced

Shield Advanced utilizza il ruolo collegato al servizio denominato. AWSServiceRoleForAWSShield Questo ruolo consente a Shield Advanced di accedere e gestire AWS le risorse per rispondere automaticamente agli attacchi DDoS a livello di applicazione per tuo conto. Per ulteriori informazioni su questa funzionalità, vedereMitigazione DDoS automatica a livello di applicazione Shield Advanced.

Il ruolo AWSServiceRoleForAWSShield collegato al servizio prevede che i seguenti servizi assumano il ruolo:

• shield.amazonaws.com

La politica di autorizzazione dei ruoli denominata AWSShieldServiceRolePolicy consente a Shield Advanced di completare le seguenti azioni su tutte le AWS risorse:

• wafv2:GetWebACL

• wafv2:UpdateWebACL

• wafv2:GetWebACLForResource

• wafv2:ListResourcesForWebACL

• cloudfront:ListDistributions

• cloudfront:GetDistribution

Quando le azioni sono consentite su tutte AWS le risorse, ciò è indicato nella politica come"Resource": "*". Ciò significa solo che il ruolo collegato al servizio può eseguire ogni azione indicata su tutte le AWS risorse supportate dall'azione. Ad esempio, l'azione wafv2:GetWebACL è supportata solo per le risorse wafv2 Web ACL.

Shield Advanced effettua chiamate API a livello di risorsa solo per le risorse protette per le quali hai abilitato la funzionalità di protezione a livello di applicazione e per gli ACL Web associati a tali risorse protette.

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Creazione di un ruolo collegato ai servizi per Shield Advanced

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando abiliti la mitigazione automatica degli attacchi DDoS a livello di applicazione per una risorsa nella AWS Management Console, nella o nell' AWS API AWS CLI, Shield Advanced crea automaticamente il ruolo collegato al servizio.

Se elimini questo ruolo collegato ai servizi, puoi ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando abiliti la mitigazione automatica degli attacchi DDoS a livello di applicazione per una risorsa, Shield Advanced crea nuovamente il ruolo collegato al servizio per te.

Modifica di un ruolo collegato ai servizi per Shield Advanced

Shield Advanced non consente di modificare il ruolo AWSServiceRoleForAWSShield collegato al servizio. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato ai servizi per Shield Advanced

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.

Nota

Se Shield Advanced utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per eliminare le risorse Shield Advanced utilizzate da AWSServiceRoleForAWSShield

Per tutte le risorse su cui sono configurate le protezioni DDoS a livello di applicazione, disabilita la mitigazione automatica degli attacchi DDoS a livello di applicazione. Per le istruzioni sulla console, vedere. Configura le protezioni DDoS a livello di applicazione

Per eliminare manualmente il ruolo collegato ai servizi mediante IAM

Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo AWSServiceRoleForAWSShield collegato al servizio. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Regioni supportate per i ruoli collegati ai servizi Shield Advanced

Shield Advanced supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta Endpoint e quote Shield Advanced.