AWS 受管理的政策 AWS Shield - AWS WAF、 AWS Firewall Manager、和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 受管理的政策 AWS Shield

受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。

請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新 AWS 服務 的 API 操作可用於現有服務時,最有可能更新 AWS 受管理策略。

如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策

AWS 受管理的策略: AWSShieldDRTAccessPolicy

AWS Shield 當您授予 Shield 牌回應團隊 (SRT) 代表您採取行動的權限時,會使用此受管理政策。此政策提供 SRT 對您 AWS 帳戶的有限存取權,以協助在高嚴重性事件期間緩解 DDoS 攻擊。此政策允許 SRT 管理您的 AWS WAF 規則和防 Shield 進階保護,以及存取您 AWS WAF 的記錄。

如需授與 SRT 代表您操作之權限的相關資訊,請參閱設定護 Shield 回應群組 (SRT) 的存取權限

如需有關此政策的詳細資訊,請參閱 IAM 主控台AWSShieldDRTAccessPolicy中的。

AWS 受管理的策略: AWSShieldServiceRolePolicy

Shield Advanced 會在您啟用自動應用程式層 DDoS 緩解功能時,使用此受管理策略來設定管理帳戶資源所需的權限。此政策允許 Shield Advanced 在您與受保護資源相關聯的 Web ACL 中建立和套用 AWS WAF 規則和規則群組,以自動回應 DDoS 攻擊。

您無法附加 AWSShieldServiceRolePolicy 到 IAM 實體。Shield 將此政策附加到服務連結的角色上,AWSServiceRoleForAWSShield以允許 Shield 代表您執行動作。

當您啟用自動應用程式層 DDoS 緩解功能時,Shield 牌進階會啟用此原則。如需有關此原則之用法的詳細資訊,請參閱Shield 先進的自動應用層 DDoS 緩解

如需使用此原則之服務連結角色 AWSServiceRoleForAWSShield 的相關資訊,請參閱 使用服務連結角色進階 Shield

如需有關此政策的詳細資訊,請參閱 IAM 主控台AWSShieldServiceRolePolicy中的。

Shield AWS 受管理策略的更新

檢視有關 Shield AWS 受管政策的更新詳細資訊,因為此服務開始追蹤這些變更。如需有關此頁面變更的自動警示,請在 Shield 文件歷史記錄頁面上訂閱 RSS 摘要,網址為文件歷史紀錄

政策 變更說明 日期

AWSShieldServiceRolePolicy

此政策允許 Shield 存取和管理 AWS 資源,以便代表您自動回應應用程式層 DDoS 攻擊。

IAM 主控台中的詳細資訊:AWSShieldServiceRolePolicy

服務連結角色AWSServiceRoleForAWSShield會使用此原則。如需相關資訊,請參閱使用服務連結角色進階 Shield

新增此原則,為 Shield Advanced 提供自動應用程式層 DDoS 緩解功能所需的權限。如需有關此功能的資訊,請參閱Shield 先進的自動應用層 DDoS 緩解

2021 年 12 月 1 日

Shield 牌開始追蹤變更

Shield 開始追蹤其 AWS 受管理政策的變更。

2021 年 3 月 3 日