选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

使用 Shield Advance 的服务相关角色

PDF
RSS
聚焦模式
使用 Shield Advance 的服务相关角色 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced
Shield Advanced 的服务相关角色权限为 Shield Advance 创建服务相关角色为 Shield Advance 编辑服务相关角色为 Shield Advance 删除服务相关角色Shield Advanced 服务相关角色支持的区域

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本节介绍了如何使用服务相关角色向 Shield Advanced 提供针对您的 AWS 账户中的资源的访问权限。

AWS Shield Advanced 使用 AWS Identity and Access Management(IAM)服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 Shield Advanced 直接相关。服务相关角色由 Shield Advanced 预定义,并包含服务代表您调用其他 AWS 服务所需的所有权限。

服务相关角色可让您更轻松地设置 Shield Advanced,因为您不必手动添加必要的权限。Shield Advanced 定义其服务相关角色的权限,除非另外定义,否则只有 Shield Advanced 可以代入该角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。

只有在首先删除相关资源后,您才能删除服务相关角色。这将保护您的 Shield Advanced 资源,因为您不会无意中删除对资源的访问权限。

有关支持服务相关角色的其他服务的信息,请参阅使用 IAM 的 AWS 服务并查找服务相关角色列中显示为的服务。选择和链接,查看该服务的服务相关角色文档。

Shield Advanced 的服务相关角色权限

Shield Advanced 使用名为 AWSServiceRoleForAWSShield 的服务相关角色。此角色允许 Shield Advanced 访问和管理 AWS 资源,以便代表您自动响应应用程序层 DDoS 攻击。有关此函数的更多信息,请参阅 使用 Shield Advanced 自动化应用程序层 DDoS 缓解

AWSServiceRoleForAWSShield 服务相关角色信任以下服务代入该角色:

  • shield.amazonaws.com

角色权限策略名称为 AWSShieldServiceRolePolicy,允许 Shield Advanced 对所有 AWS 资源完成以下操作:

  • wafv2:GetWebACL

  • wafv2:UpdateWebACL

  • wafv2:GetWebACLForResource

  • wafv2:ListResourcesForWebACL

  • cloudfront:ListDistributions

  • cloudfront:GetDistribution

当允许对所有 AWS 资源执行操作时,策略中显示为 "Resource": "*"。这只是意味着服务相关角色可以对该操作支持的所有 AWS 资源执行每项指明的操作。例如,只有 wafv2 Web ACL 资源支持操作 wafv2:GetWebACL

Shield Advanced 仅对已启用应用程序层保护功能的受保护资源以及与这些受保护资源关联的 Web ACL 进行资源级 API 调用。

您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限

为 Shield Advance 创建服务相关角色

您无需手动创建服务相关角色。当您为 AWS Management Console、AWS CLI 或 AWS API 中的资源启用应用程序层 DDoS 自动缓解时,Shield Advanced 会为您创建服务相关角色。

如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您为某个资源启用 DDoS 的自动缓解时,Shield Advanced 将再次为您创建服务相关角色。

为 Shield Advance 编辑服务相关角色

Shield Advanced 不允许您编辑 AWSServiceRoleForAWSShield 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

为 Shield Advance 删除服务相关角色

如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。

注意

在您尝试删除资源时,如果 Shield Advanced 正在使用该角色,删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。

删除 AWSServiceRoleForAWSShield 使用的 Shield Advanced 资源

对于配置了应用程序层 DDoS 保护的所有资源,请禁用应用程序层 DDoS 自动缓解。有关控制台说明,请参阅 配置应用程序层 DDoS 保护

使用 IAM 手动删除服务相关角色

使用 IAM 控制台、AWS CLI 或 AWS API 删除 AWSServiceRoleForAWSShield 服务相关角色。有关更多信息,请参见《IAM 用户指南》中的删除服务相关角色

Shield Advanced 服务相关角色支持的区域

Shield Advanced 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 Shield Advanced 端点和限额

本页内容

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。