設定護 Shield 回應群組 (SRT) 的存取權限 - AWS WAF、 AWS Firewall Manager、和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定護 Shield 回應群組 (SRT) 的存取權限

您可以授予 Shield 回應團隊 (SRT) 的權限,以代表您採取行動、存取您的 AWS WAF 記錄以及呼叫 AWS Shield Advanced 和 AWS WAF API 以管理保護。在應用程式層 DDoS 事件期間,SRT 可監控 AWS WAF 要求以識別異常流量,並協助制定自訂 AWS WAF 規則以減輕違規流量來源。

此外,您可以將 SRT 存取權授與存放在 Amazon S3 儲存貯體中的其他資料,例如來自 Application Load Balancer CloudFront、Amazon 或第三方來源的封包擷取或日誌。

注意

若要使用 Shield 牌回應團隊 (SRT) 的服務,您必須訂閱商業 Support 計劃企業 Support 計劃

若要管理 SRT 的權限

  1. 在 AWS Shield 主控台 [概觀] 頁面的 [設定 AWS SRT 支援] 下,選擇 [編輯 SRT 存取權]。編輯 AWS Shield 牌回應小組 (SRT) 存取頁面隨即開啟。

  2. 對於 SRT 存取設定,請選取下列其中一個選項:

    • 請勿將 SRT 存取權授予我的帳戶 — Shield 會移除您先前授予 SRT 存取帳號和資源的任何權限。

    • 為 SRT 建立新角色以存取我的帳戶 — Shield 會建立信任代表 SRT 的服務主體的角色drt.shield.amazonaws.com,並將受管理的原則附加AWSShieldDRTAccessPolicy至該角色。受管政策允許 SRT 代表您進行呼叫 AWS Shield Advanced 和 AWS WAF API 呼叫,並存取您的 AWS WAF 記錄。如需受管政策的更多相關資訊,請參閱AWS 受管理的策略: AWSShieldDRTAccessPolicy

    • 選擇 SRT 的現有角色以存取我的帳戶 — 對於此選項,您必須在 AWS Identity and Access Management (IAM) 中修改角色的組態,如下所示:

      • 將受管政策 AWSShieldDRTAccessPolicy 連接至角色。此受管政策允許 SRT 代表您進行呼叫 AWS Shield Advanced 和 AWS WAF API 呼叫,並存取您的 AWS WAF 記錄。如需受管政策的更多相關資訊,請參閱AWS 受管理的策略: AWSShieldDRTAccessPolicy。如需將受管政策附加到角色的相關資訊,請參閱附加和卸離 IAM 政策

      • 修改角色以信任服務委託人 drt.shield.amazonaws.com。這是代表 SRT 的服務主體。如需詳細資訊,請參閱 IAM JSON 政策元素:委託人

  3. 對於(可選):如果您需要共用 AWS WAF Web ACL 日誌中不存在的資料,請對 Amazon S3 儲存貯體授予 SRT 存取權,請進行設定。例如,Application Load Balancer 存取日誌、Amazon CloudFront 日誌或來自第三方來源的日誌。

    注意

    您不需要為您的 AWS WAF Web ACL 日誌執行此操作。當您授予帳戶存取權時,SRT 可以存取這些資訊。

    1. 根據下列準則設定 Amazon S3 儲存貯體:

      • 值區位置必須與您授予 SRT 一般存取權限的位置相同 AWS 帳戶 ,在先前的步驟「AWS Shield 牌回應小組」(SRT) 存取權限中。

      • 存儲桶可以是純文本或 SSE-S3 加密。如需有關 Amazon S3 SSE-S3 加密的詳細資訊,請參閱 Amazon S3 使用者指南中的使用伺服器端加密搭配 Amazon S3 受管加密金鑰 (SSE-S3) 來保護資料

        SRT 無法檢視或處理儲存在值區中的記錄,而這些記錄是使用儲存在 AWS Key Management Service (AWS KMS) 中的金鑰加密的。

    2. 在 Shield 牌進階 (選用):授予對 Amazon S3 儲存貯體的 SRT 存取權限區段,針對存放資料或日誌的每個 Amazon S3 儲存貯體,輸入儲存貯體的名稱,然後選擇新增儲存貯體。您最多可以新增 10 個儲存貯體。

      這會授與 SRT 對每個儲存貯體的下列權限:s3:GetBucketLocations3:GetObject、和s3:ListBucket

      如果您想要授與 SRT 存取超過 10 個值區的權限,您可以透過編輯其他值區政策並手動授與此處列出的 SRT 權限來執行此操作。

      以下顯示原則清單的範例。

      {
    "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
    "Effect": "Allow",
    "Principal": {
        "Service": "drt.shield.amazonaws.com"
    },
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": [
        "arn:aws:s3:::bucket-name",
        "arn:aws:s3:::bucket-name/*"
    ]
}

  4. 選擇儲存,以儲存變更。

您也可以透過 API 授權 SRT,方法是建立 IAM 角色,將政策附加 AWSShieldDRTAccessPolicy 至該角色,然後角色傳遞給作業 AtRtRole。