本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Shield 的動作、資源及條件索引鍵
AWS Shield (服務字首:shield) 提供下列服務特有的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視可供此服務使用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
AWS Shield 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS 中執行操作的許可。在政策中使用動作時,通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果此欄包含資源類型,則您可以在包含該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,發起人必須具有將動作與這些資源搭配使用的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取,則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| AssociateDRTLogBucket | 准許授權 DDoS 回應團隊存取內含流程日誌的指定 Amazon S3 儲存貯體 | 寫入 |
s3:GetBucketPolicy s3:PutBucketPolicy |
||
| AssociateDRTRole | 授予許可以授權使用指定角色的 DDoS 回應團隊存取您的 AWS 帳戶,以協助緩解潛在攻擊期間的 DDoS 攻擊 | 寫入 |
iam:GetRole iam:ListAttachedRolePolicies iam:PassRole |
||
| AssociateHealthCheck | 准許將以運作狀態為基礎的偵測功能新增至資源的 Shield Advanced 保護 | 寫入 |
route53:GetHealthCheck |
||
| AssociateProactiveEngagementDetails | 准許初始化主動參與,並設定給 DDoS 回應團隊 (DRT) 使用的聯絡人清單 | 寫入 | |||
| CreateProtection | 准許啟用特定資源 ARN 的 DDoS 保護服務 | 寫入 | |||
| CreateProtectionGroup | 准許建立受保護資源的分組,以便集合處理 | 寫入 | |||
| CreateSubscription | 准許啟用訂閱 | 寫入 | |||
| DeleteProtection | 准許刪除現有的保護 | 寫入 | |||
| DeleteProtectionGroup | 准許移除指定的保護群組 | 寫入 | |||
| DeleteSubscription | 准許停用訂閱 | 寫入 | |||
| DescribeAttack | 准許取得攻擊詳細資訊 | 讀取 | |||
| DescribeAttackStatistics | 授予許可以描述 AWS Shield 去年偵測到的攻擊數量和類型相關資訊 | 讀取 | |||
| DescribeDRTAccess | 准許描述 DDoS 回應團隊所使用的 Amazon S3 記錄儲存貯體的目前角色和清單,DDoS 回應團隊會使用這些資訊來存取您的 AWS 帳戶 並協助緩解攻擊 | 讀取 | |||
| DescribeEmergencyContactSettings | 准許列出 DRT 可以在可疑的攻擊期間用來聯絡您的電子郵件地址 | 讀取 | |||
| DescribeProtection | 准許取得保護詳細資訊 | 讀取 | |||
| DescribeProtectionGroup | 准許描述指定保護群組的規格 | 讀取 | |||
| DescribeSubscription | 准許取得訂閱詳細資訊,例如開始時間 | 讀取 | |||
| DisableApplicationLayerAutomaticResponse | 准許停用應用程式層自動回應,以實現資源的 Shield Advanced 保護 | 寫入 | |||
| DisableProactiveEngagement | 准許從 DDoS 回應團隊 (DRT) 移除授權,從而發送呈報通知給聯絡人 | 寫入 | |||
| DisassociateDRTLogBucket | 准許移除 DDoS 回應團隊對內含流程日誌之指定 Amazon S3 儲存貯體的存取權 | 寫入 |
s3:DeleteBucketPolicy s3:GetBucketPolicy s3:PutBucketPolicy |
||
| DisassociateDRTRole | 授予許可以移除 DDoS 回應團隊對您 AWS 帳戶 的存取 | 寫入 | |||
| DisassociateHealthCheck | 准許從資源的 Shield Advanced 保護中移除以運作狀態為基礎的偵測功能 | 寫入 | |||
| EnableApplicationLayerAutomaticResponse | 准許啟用應用程式層自動回應,以實現資源的 Shield Advanced 保護 | 寫入 |
cloudfront:GetDistribution iam:CreateServiceLinkedRole iam:GetRole |
||
| EnableProactiveEngagement | 准許授權 DDoS 回應團隊 (DRT) 以電子郵件和電話發送呈報通知給聯絡人 | 寫入 | |||
| GetSubscriptionState | 准許取得訂閱狀態 | 讀取 | |||
| ListAttacks | 准許列出所有現有的攻擊 | 列出 | |||
| ListProtectionGroups | 准許擷取帳戶的保護群組 | 列出 | |||
| ListProtections | 准許列出所有現有的保護 | 列出 | |||
| ListResourcesInProtectionGroup | 准許擷取保護群組中包含的資源 | 列出 | |||
| ListTagsForResource | 授予許可以取得 AWS Shield 中指定 Amazon Resource Name (ARN) 的 AWS 標籤資訊 | 讀取 | |||
| TagResource | 授予許可以在 AWS Shield 中新增或更新資源標籤 | 標記 | |||
| UntagResource | 授予許可以從 AWS Shield 的資源中移除標籤 | 標記 | |||
| UpdateApplicationLayerAutomaticResponse | 准許更新應用程式層自動回應以實現資源的 Shield Advanced 保護 | 寫入 | |||
| UpdateEmergencyContactSettings | 准許更新 DRT 可以在可疑的攻擊期間用來聯絡您的電子郵件地址清單詳細資訊 | 寫入 | |||
| UpdateProtectionGroup | 准許更新現有的保護群組 | 寫入 | |||
| UpdateSubscription | 准許更新現有訂閱的詳細資訊 | 寫入 |
AWS Shield 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| attack |
arn:${Partition}:shield::${Account}:attack/${Id}
|
|
| protection |
arn:${Partition}:shield::${Account}:protection/${Id}
|
|
| protection-group |
arn:${Partition}:shield::${Account}:protection-group/${Id}
|
AWS Shield 的條件索引鍵
AWS Shield 定義了下列條件索引鍵,可在 IAM 政策的 Condition 元素中使用。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有服務都可使用的全域條件索引鍵,請參閱可用的全域條件索引鍵。
| 條件索引鍵 | 描述 | 類型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 根據請求中的標籤鍵值組是否存在來篩選動作 | 字串 |
| aws:ResourceTag/${TagKey} | 根據連接到資源的標籤鍵值組來篩選動作 | 字串 |
| aws:TagKeys | 根據請求中的標籤鍵是否存在來篩選動作 | ArrayOfString |
