Usar funções vinculadas ao serviço para o Shield Advanced

AWS Shield Advanced usa funções vinculadas ao serviço AWS Identity and Access Management (IAM). Uma função vinculada ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente a um serviço do Shield Advanced. As funções vinculadas ao serviço são predefinidas pelo Shield Advanced e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Uma função vinculada ao serviço facilita a configuração do Shield Advanced porque você não precisa adicionar as permissões necessárias manualmente. O Shield Advanced define as permissões das funções vinculadas ao serviço e, exceto se definido de outra forma, somente o Shield Advanced pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos do Shield Advanced, pois você não pode remover por engano as permissões para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte Serviços da AWS compatíveis com o IAM e procure os serviços que contenham Sim na coluna Função vinculada a serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.

Permissões de função vinculada ao serviço para o Shield Advanced

O Shield Advanced usa a função vinculada ao serviço chamada. AWSServiceRoleForAWSShield Essa função permite que o Shield Advanced acesse e gerencie AWS recursos para responder automaticamente aos ataques de DDoS na camada de aplicação em seu nome. Para ter mais informações sobre essa função, consulte Mitigação automática de DDoS da camada de aplicação do Shield Advanced.

A função AWSServiceRoleForAWSShield vinculada ao serviço confia nos seguintes serviços para assumir a função:

• shield.amazonaws.com

A política de permissões de função denominada AWSShieldServiceRolePolicy permite que o Shield Advanced conclua as seguintes ações em todos os AWS recursos:

• wafv2:GetWebACL

• wafv2:UpdateWebACL

• wafv2:GetWebACLForResource

• wafv2:ListResourcesForWebACL

• cloudfront:ListDistributions

• cloudfront:GetDistribution

Quando ações são permitidas em todos os AWS recursos, isso é indicado na política como"Resource": "*". Isso significa apenas que a função vinculada ao serviço pode realizar cada ação indicada em todos os AWS recursos que a ação suporta. Por exemplo, a ação wafv2:GetWebACL é suportada somente para recursos wafv2 da web ACL.

O Shield Advanced só faz chamadas de API em nível de atributo para atributos protegidos para os quais você habilitou o atributo de proteção da camada de aplicação e para web ACLs associadas a esses atributos protegidos.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.

Criação de uma função vinculada ao serviço para o Shield Advanced

Não é necessário criar manualmente uma função vinculada a serviço. Quando você ativa a mitigação automática de DDoS na camada de aplicação para um recurso na, na ou na AWS Management Console API AWS CLI, o Shield Advanced cria a AWS função vinculada ao serviço para você.

Se excluir essa função vinculada a serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você habilita a mitigação automática de DDoS na camada do aplicativo para um recurso, o Shield Advanced cria o perfil vinculado ao serviço para você mais uma vez.

Edição de uma função vinculada ao serviço para o Shield Advanced

O Shield Advanced não permite que você edite a função AWSServiceRoleForAWSShield vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição da função usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Exclusão de uma função vinculada ao serviço para o Shield Advanced

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de excluí-la manualmente.

nota

Se o Shield Advanced estiver usando a função quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir os recursos do Shield Advanced que são usados pelo AWSServiceRoleForAWSShield

Para todos os seus recursos que têm proteções contra DDoS na camada de aplicativo configuradas, desative a mitigação automática de DDoS na camada de aplicativo. Para obter instruções sobre o console, consulte Configurar as proteções contra DDoS na camada de aplicação.

Como excluir manualmente a função vinculada a serviço usando o IAM

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForAWSShield vinculada ao serviço. Para mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões com suporte a funções vinculadas a serviço do Shield Advanced

O Shield Advanced oferece suporte a perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Endpoints e cotas do Shield Advanced.