Como configurar o acesso para o Shield Response Team (SRT) - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como configurar o acesso para o Shield Response Team (SRT)

Você pode conceder permissão à Shield Response Team (SRT) para agir em seu nome, acessando seus AWS WAF registros e fazendo chamadas para as AWS WAF APIs AWS Shield Advanced e para gerenciar as proteções. Durante eventos de DDoS na camada de aplicação, o SRT pode monitorar AWS WAF solicitações para identificar tráfego anômalo e ajudar a criar AWS WAF regras personalizadas para mitigar fontes de tráfego ofensivas.

Além disso, você pode conceder ao SRT acesso a outros dados armazenados nos buckets do Amazon S3, como capturas de pacotes ou registros de um Application Load Balancer, da CloudFront Amazon ou de fontes de terceiros.

nota

Para usar os serviços do Shield Response Team (SRT), você deve ser assinante do plano Business Support ou Enterprise Support.

Para gerenciar permissões para o SRT

  1. Na página Visão geral do AWS Shield console, em Configurar suporte ao AWS SRT, escolha Editar acesso ao SRT. A página de acesso AWS do Edit Shield Response Team (SRT) é aberta.

  2. Para Configuração de acesso SRT, selecione uma das opções:

    • Não conceder ao SRT acesso à minha conta: o Shield remove todas as permissões que você concedeu anteriormente ao SRT para acessar sua conta e recursos.

    • Criar uma nova função para o SRT acessar minha conta: o Shield cria uma função que confia na entidade principal do serviço drt.shield.amazonaws.com, que representa o SRT, e anexa a política AWSShieldDRTAccessPolicy gerenciada a ele. A política gerenciada permite que o SRT faça AWS Shield Advanced chamadas de AWS WAF API em seu nome e acesse seus AWS WAF registros. Para obter mais informações sobre a política gerenciada, consulte AWS política gerenciada: AWSShieldDRTAccessPolicy.

    • Escolha uma função existente para o SRT acessar minhas contas — Para essa opção, você deve modificar a configuração da função no AWS Identity and Access Management (IAM) da seguinte forma:

      • Anexe a política gerenciada AWSShieldDRTAccessPolicy à função. Essa política gerenciada permite que o SRT faça AWS Shield Advanced chamadas de AWS WAF API em seu nome e acesse seus AWS WAF registros. Para obter mais informações sobre a política gerenciada, consulte AWS política gerenciada: AWSShieldDRTAccessPolicy. Para obter informações sobre como anexar a política gerenciada à sua função, consulte Anexar e desanexar políticas do IAM.

      • Modifique a função para confiar no serviço principal drt.shield.amazonaws.com. Esta é a entidade principal do serviço que representa o SRT. Para mais informações, consulte Elementos de política JSON do IAM: principal.

  3. Para (opcional): conceda acesso SRT a um bucket do Amazon S3. Se você precisar compartilhar dados que não estejam nos AWS WAF seus registros de ACL da web, configure isso. Por exemplo, registros de acesso do Application Load Balancer, CloudFront registros da Amazon ou registros de fontes de terceiros.

    nota

    Você não precisa fazer isso para seus registros de ACL AWS WAF da web. O SRT obtém acesso a eles quando você concede acesso à sua conta.

    1. Configure os buckets do Amazon S3 de acordo com as seguintes diretrizes:

      • Os locais dos buckets devem ser os Conta da AWS mesmos aos quais você concedeu acesso geral ao SRT, na etapa anterior, acesso ao AWS Shield Response Team (SRT).

      • Os buckets podem ser texto simples ou criptografados por SSE-S3. Para obter mais informações sobre a criptografia por SSE-S3 do Amazon S3, consulte Proteger dados usando criptografia no lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3) no Guia do usuário do Amazon S3.

        O SRT não pode visualizar ou processar registros armazenados em buckets criptografados com chaves armazenadas em AWS Key Management Service ()AWS KMS.

    2. No Shield Advanced (Opcional): Conceder ao SRT acesso a uma seção de bucket do Amazon S3, para cada bucket do Amazon S3 em que seus dados ou logs estão armazenados, insira o nome do bucket e escolha Adicionar Bucket. Você pode adicionar até 10 buckets.

      Isso concede ao SRT as seguintes permissões no bucket: s3:GetBucketLocation, s3:GetObject e s3:ListBucket.

      Se quiser dar permissão ao SRT para acessar mais de 10 buckets, você pode fazer isso editando as políticas adicionais do bucket e concedendo manualmente as permissões listadas aqui para o SRT.

      A política a seguir mostra um exemplo de listagem de políticas.

      {
    "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
    "Effect": "Allow",
    "Principal": {
        "Service": "drt.shield.amazonaws.com"
    },
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": [
        "arn:aws:s3:::bucket-name",
        "arn:aws:s3:::bucket-name/*"
    ]
}

  4. Escolha Salvar para salvar as alterações.

Você também pode autorizar o SRT por meio da API criando uma função do IAM, anexando a política a ela e, em seguida, passando a função AWSShieldDRTAccessPolicy para a operação AssociatedRtRole.