本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置Shield 响应小组 (SRT) 的访问权限
您可以授予Shield 响应小组 (SRT) 代表您采取行动的权限,访问您的Amazon WAF记录并拨打电话给Amazon Shield Advanced和Amazon WAF用于管理保护的 API。通过 API 访问权限,SRT 工程师可以直接管理Amazon WAF使用的规则可缓解应用层 DDoS 攻击。此外,您还可以向 SRT 授予对存储在 Amazon S3 存储桶中的其他数据的访问权限,例如数据包捕获或来自Application Load Balancer Amazon 的日志 CloudFront,或来自第三方来源。
要使用Shield 响应团队 (SRT) 的服务,您必须订阅商业Support 计划
管理 SRT 的权限
-
在Amazon Shield控制台概述页面,在配置AmazonSRT 支持,选择编辑 SRT 访问权限. 这些区域有:编辑AmazonShield 响应小组 (SRT) 访问权限页面随即打开。
-
适用于SRT 访问设置选择一个选项:
-
不要授予 SRT 访问我的账户的权限— Shield 会移除你之前授予 SRT 访问账户和资源的所有权限。
-
为 SRT 创建新角色以访问我的账户— Shield 会创建角色并自动对其进行配置以供使用。该角色允许 SRT 访问您的Amazon Shield Advanced和Amazon WAF使用服务主体的资源
drt.shield.amazonaws.com,代表 SRT。 -
选择 SRT 的现有角色以访问我的账户— 对于此选项,您必须在中修改角色的配置Amazon Identity and Access Management(IAM) 如下所示:
-
将托管策略
AWSShieldDRTAccessPolicy附加到角色。此托管策略允许 SRT 创建Amazon Shield Advanced和Amazon WAFAPI 代表您调用并访问您的Amazon WAF日志。有关向角色附加托管策略的更多信息,请参阅。附加和分离 IAM 策略. -
修改角色以信任
drt.shield.amazonaws.com服务主体。这是代表 SRT 的服务主体。有关更多信息,请参阅 。IAM JSON 策略元素:委托人.
-
-
-
适用于(可选):授予对 Amazon S3 存储桶的访问权限,如果你需要共享不在你的Amazon WAFWeb ACL 日志,请配置此项。例如,Application Load Balancer 访问日志、Amazon CloudFront 日志或来自第三方来源的日志。
注意 您无需为自己的Amazon WAFWeb ACL 日志。当您授予账户访问权限时,SRT 可以访问这些账户。
-
根据以下准则配置 Amazon S3 存储桶:
-
存储桶位置必须相同Amazon Web Services 账户就像你在上一步中授予 SRT 一般访问权限的那个AmazonShield 响应小组 (SRT) 访问权限.
-
存储桶可以是纯文本,也可以采用 SSE-S3 加密。有关 Amazon S3 SSE-S3 加密的更多信息,请参阅。使用具有 Amazon S3 托管加密密钥的服务器端加密 (SSE-S3) 保护数据在 Amazon S3 用户指南中。
SRT 无法查看或处理存储在使用存储在中存储的密钥加密的存储桶中的日志Amazon Key Management Service(Amazon KMS)。
-
-
在(可选):授予对 Amazon S3 存储桶的访问权限部分,对于存储数据或日志的每个 Amazon S3 存储桶,输入存储桶的名称,然后选择添加存储桶. 您最多可以添加 10 个存储桶。
这将授予 SRT 对每个存储桶的以下权限:
s3:GetBucketLocation、s3:GetObject, 和s3:ListBucket.如果要向 SRT 授予访问 10 个以上存储桶的权限,可以通过编辑其他存储桶策略并手动授予此处列出的 SRT 权限来执行此操作。
-
-
选择 Save (保存) 以保存您的更改。
SRT 可以监控Amazon WAF在应用层事件期间请求数据和日志以识别异常流量。他们还可以帮助制作定制Amazon WAF减少违规流量来源的规则。