Shield Response Team (SRT) のためのアクセス権の設定

Shield Response Team（SRT）に権限を付与して、 AWS WAF ユーザーに代わってログにアクセスし、 AWS Shield Advanced および AWS WAF API を呼び出して保護を管理することができます。アプリケーション層の DDoS イベント中、SRT AWS WAF はリクエストを監視して異常なトラフィックを特定し、 AWS WAF 問題のあるトラフィックソースを軽減するためのカスタムルールの作成を支援します。

さらに、Amazon S3 バケットに保存した他のデータ (Application Load Balancer、Amazon、またはサードパーティのソースからのパケットキャプチャやログなど) へのアクセスを SRT に許可できます。 CloudFront

注記

Shield Response Team (SRT) のサービスを使用するには、ビジネスサポートプランまたはエンタープライズサポートプランをサブスクライブする必要があります。

SRT の許可を管理するには

1. AWS Shield コンソールの [概要] ページの [ AWS SRT サポートの設定] で、[SRT アクセスを編集] を選択します。 AWS Shield 対応チーム (SRT) の編集アクセスページが開きます。

2. SRT アクセス設定には、次のいずれかのオプションを選択します。

   • アカウントへのアクセス権を SRT に付与しない – Shield は、アカウントとリソースにアクセスするために以前に SRT に付与したすべての許可を削除します。

   • [Create a new role for the SRT to access my account] (SRT が自分のアカウントにアクセスするための新しいロールを作成する) — Shield は、SRT を表すサービスプリンシパル drt.shield.amazonaws.com を信頼するロールを作成し、マネージドポリシー AWSShieldDRTAccessPolicy をそれにアタッチします。管理ポリシーにより、SRT AWS Shield Advanced がユーザーに代わって AWS WAF API 呼び出しを行ったり、 AWS WAF ログにアクセスしたりすることが許可されます。管理ポリシーの詳細については、「AWS 管理ポリシー: AWSShieldDRTAccessPolicy」を参照してください。

   • SRT がマイアカウントにアクセスするための既存のロールを選択 — このオプションでは、 AWS Identity and Access Management (IAM) のロールの設定を次のように変更する必要があります。

     • マネージドポリシー AWSShieldDRTAccessPolicy をロールにアタッチします。この管理ポリシーにより、SRT はユーザーに代わって AWS WAF API AWS Shield Advanced 呼び出しを行い、ログにアクセスすることができます。 AWS WAF 管理ポリシーの詳細については、「AWS 管理ポリシー: AWSShieldDRTAccessPolicy」を参照してください。マネージドポリシーをロールにアタッチする方法については、「Attaching and Detaching IAM Policies」(IAM ポリシーのアタッチとデタッチ) を参照してください。

     • サービスプリンシパル drt.shield.amazonaws.com を信頼するようにロールを変更します。これは、SRT を表すサービスプリンシパルです。詳細については、「IAM JSON ポリシーエレメント: プリンシパル」を参照してください。

3. (オプション): Amazon S3 バケットへの SRT アクセスを許可します。 AWS WAF ウェブ ACL ログにないデータを共有する必要がある場合は、これを設定します。たとえば、Application Load Balancer のアクセスログ、Amazon CloudFront ログ、またはサードパーティのソースからのログなどです。

   注記

   AWS WAF ウェブ ACL ログにはこれを行う必要はありません。SRT は、アカウントへのアクセス権が付与されると、それらにアクセスできるようになります。

   1. 次のガイドラインに従って Amazon S3 バケットを設定します。

      • バケットの場所は、前のステップの AWS Shield Response Team (SRT) アクセス権限で SRT AWS アカウント に一般アクセスを許可した場所と同じである必要があります。

      • バケットは、プレーンテキストまたは SSE-S3 暗号化のいずれかです。Amazon S3 SSE-S3 暗号化の詳細については、「Amazon S3 ユーザーガイド」の「Amazon S3 が管理する暗号化キーによるサーバー側の暗号化 (SSE−S3) を使用したデータの保護」を参照してください。

        SRT は、() に格納されたキーで暗号化されたバケットに格納されたログを表示したり処理したりすることはできません。 AWS Key Management Service AWS KMS

   2. Shield Advanced の [(Optional): Grant SRT access to an Amazon S3 bucket] ((オプション): Amazon S3 バケットへのアクセス権を SRT に付与) セクションで、データまたはログが保存されている各 Amazon S3 バケットについてバケットの名前を入力し、[Add Bucket] (バケットを追加) を選択します。バケットは最大 10 個まで追加できます。

      これにより、SRT に各バケットに対する次の s3:GetBucketLocation、s3:GetObject、および s3:ListBucket 許可が付与されます。

      10 個を超えるバケットにアクセスする許可を SRT に付与する場合は、追加のバケットポリシーを編集し、SRT についてここにリストされている許可を手動で付与することで、これを実行できます。

      ポリシーリストの例を以下に示します。

      {
          "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
          "Effect": "Allow",
          "Principal": {
              "Service": "drt.shield.amazonaws.com"
          },
          "Action": [
              "s3:GetBucketLocation",
              "s3:GetObject",
              "s3:ListBucket"
          ],
          "Resource": [
              "arn:aws:s3:::bucket-name",
              "arn:aws:s3:::bucket-name/*"
          ]
      } 

4. [保存] を選択して変更を保存します。

IAM AWSShieldDRTAccessPolicy ロールを作成してポリシーをアタッチし、そのロールを AssociatedRole オペレーションに渡すことで、API を通じて SRT を承認することもできます。