選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

授予 SRT 的存取權

PDF
RSS
焦點模式
授予 SRT 的存取權 - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

此頁面提供授予許可給 SRT 以代表您行事的說明,以便他們可以存取您的 AWS WAF 日誌並呼叫 AWS Shield Advanced 和 AWS WAF APIs來管理保護。

在應用程式層 DDoS 事件期間,SRT 可以監控 AWS WAF 請求以識別異常流量,並協助制定自訂 AWS WAF 規則來緩解違規的流量來源。

此外,您可以授予 SRT 存取您在 Amazon S3 儲存貯體中存放的其他資料,例如 Application Load Balancer、Amazon CloudFront 或第三方來源的封包擷取或日誌。

注意

若要使用 Shield Response Team (SRT) 的服務,您必須訂閱 Business Support 計劃Enterprise Support 計劃

管理 SRT 的許可

  1. 在 AWS Shield 主控台概觀頁面的設定 AWS SRT 支援下,選擇編輯 SRT 存取編輯 Shield 回應團隊 AWS (SRT) 存取頁面隨即開啟。

  2. 針對 SRT 存取設定,選取其中一個選項:

    • 請勿授予 SRT 存取我的帳戶 – Shield 會移除您先前授予 SRT 存取您的帳戶和資源的任何許可。

    • 為 SRT 建立新角色以存取我的帳戶 – Shield 會建立信任服務主體 的角色drt.shield.amazonaws.com,其代表 SRT,並將受管政策連接至AWSShieldDRTAccessPolicy該角色。受管政策允許 SRT 代表您進行 AWS Shield Advanced 和 AWS WAF API 呼叫,並存取您的 AWS WAF 日誌。如需受管政策的更多相關資訊,請參閱AWS 受管政策:AWSShieldDRTAccessPolicy

    • 選擇 SRT 的現有角色來存取我的帳戶 – 對於此選項,您必須在 AWS Identity and Access Management (IAM) 中修改角色組態,如下所示:

      • 將受管政策 AWSShieldDRTAccessPolicy 連接至角色。此受管政策允許 SRT 代表您進行 AWS Shield Advanced 和 AWS WAF API 呼叫,並存取您的 AWS WAF 日誌。如需受管政策的更多相關資訊,請參閱AWS 受管政策:AWSShieldDRTAccessPolicy。如需有關將受管政策連接至角色的資訊,請參閱連接和分離 IAM 政策

      • 修改角色以信任服務委託人 drt.shield.amazonaws.com。這是代表 SRT 的服務主體。如需詳細資訊,請參閱 IAM JSON 政策元素:委託人

  3. 對於 (選用):授予 SRT 對 Amazon S3 儲存貯體的存取權,如果您需要共用不在 AWS WAF Web ACL 日誌中的資料,請設定此選項。例如,Application Load Balancer 存取日誌、Amazon CloudFront 日誌或第三方來源的日誌。

    注意

    您不需要為 AWS WAF Web ACL 日誌執行此操作。當您授予帳戶存取權時,SRT 即可存取這些項目。

    1. 根據下列準則設定 Amazon S3 儲存貯體:

      • 儲存貯體位置必須與您在上一個步驟 AWS Shield Response Team (SRT) 存取中授予 SRT 一般存取權的位置 AWS 帳戶 相同。

      • 儲存貯體可以是純文字或 SSE-S3 加密。如需 Amazon S3 SSE-S3 加密的詳細資訊,請參閱《Amazon S3 使用者指南》中的使用伺服器端加密搭配 Amazon S3-Managed加密金鑰 (SSE-S3) 保護資料。 Amazon S3

        SRT 無法檢視或處理存放在儲存貯體中的日誌,這些儲存貯體使用儲存在 AWS Key Management Service () 中的金鑰加密AWS KMS。

    2. 在 Shield Advanced (選用):授予 Amazon S3 儲存貯體的 SRT 存取權,針對儲存資料或日誌的每個 Amazon S3 儲存貯體,輸入儲存貯體的名稱,然後選擇新增儲存貯體。您最多可以新增 10 個儲存貯體。

      這會授予 SRT 每個儲存貯體的下列許可:s3:GetObjects3:GetBucketLocations3:ListBucket

      如果您想要授予 SRT 存取超過 10 個儲存貯體的許可,您可以編輯其他儲存貯體政策並手動授予此處列出的 SRT 許可。

      以下顯示範例政策清單。

      {
    "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
    "Effect": "Allow",
    "Principal": {
        "Service": "drt.shield.amazonaws.com"
    },
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": [
        "arn:aws:s3:::bucket-name",
        "arn:aws:s3:::bucket-name/*"
    ]
}

  4. 選擇儲存,以儲存變更。

您也可以透過 API 授權 SRT,方法是建立 IAM 角色、將政策 AWSShieldDRTAccessPolicy 連接至該角色,然後將該角色傳遞至操作 AssociateDRTRole

下一個主題:

設定主動參與

上一個主題:

SRT 支援

需要協助?

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。