介绍 Amazon WAF 的全新控制台体验
现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验。
设置 Amazon Shield 响应小组(SRT)支持以 DDoS 事件做出反应
本页提供了设置 Shield 响应小组(SRT)支持的说明。
SRT 中含有专门研究 DDoS 事件响应的安全工程师。您可以选择添加权限,允许 SRT 在 DDoS 事件期间代表您管理资源。此外,您还可以对 SRT 进行配置,以便在检测到事件期间,如果与受保护资源相关的 Route 53 运行状况检查显示运行状况不佳,SRT 会主动与您联系。这两项新增的保护功能均可更快地响应 DDoS 事件。
注意
要使用 Shield 响应小组(SRT)的服务,您必须订阅 Business Support 计划
SRT 可以在应用程序层事件期间监控 Amazon WAF 请求数据和日志,以识别异常流量。他们可以帮助制定自定义 Amazon WAF 规则,以减少违规流量源。根据需要,SRT 可能会提出架构建议,以帮助您更好地将资源与 Amazon 建议保持一致。
有关 SRT 的更多信息,请参阅 支持 Shield 响应小组 (SRT) 的托管 DDoS 事件响应。
授予使用 SRT 的权限
-
在 Amazon Shield 控制台概述页面的配置 Amazon SRT 支持下,选择编辑 SRT 访问权限。编辑 Amazon Shield 响应小组(SRT)访问权限页面打开。
-
对于 SRT 访问设置,请选择以下选项之一:
-
不要授予 SRT 访问我的账户的权限:Shield 会删除您之前授予 SRT 访问您的账户和资源的任何权限。
-
为 SRT 创建一个访问我的账户的新角色:Shield 创建一个代表 SRT 的服务主体的角色
drt.shield.amazonaws.com,并将托管策略AWSShieldDRTAccessPolicy附加到该主体。此托管策略允许 SRT 代表您进行 Amazon Shield Advanced 和 Amazon WAF API 调用以及访问您的 Amazon WAF 日志。有关托管策略的更多信息,请参阅 Amazon 托管策略:AWSShieldDRTAccessPolicy。 -
为 SRT 选择现有角色以访问我的账户:对于此选项,您必须按如下方式修改 Amazon Identity and Access Management (IAM) 中的角色配置:
-
将托管策略
AWSShieldDRTAccessPolicy附加到角色。此托管策略允许 SRT 代表您进行 Amazon Shield Advanced 和 Amazon WAF API 调用以及访问您的 Amazon WAF 日志。有关托管策略的更多信息,请参阅 Amazon 托管策略:AWSShieldDRTAccessPolicy。有关如何将托管策略附加到角色的信息,请参阅附加和分离 IAM 策略。 -
修改角色以信任
drt.shield.amazonaws.com服务主体。这是代表 SRT 的服务主体。有关更多信息,请参阅 IAM JSON 策略元素:主体。
-
-
-
选择 保存 以保存您的更改。
有关授予 SRT 访问您的保护措施和数据的更多信息,请参阅 向 SRT 授予访问权限。
启用 SRT 主动参与
-
在 Amazon Shield 控制台概述页面的主动参与和联系人下方的联系人区域中,选择编辑。
在编辑联系人页面中,提供您希望 SRT 主动联系的人员的联系信息。
如果您提供了多个联系人,请在备注中说明应分别在什么情况下与每个联系人联系。包括主要和次要联系人名称,并提供每位联系人的可用时间和时区。
联系人备注示例:
这是一条全天候值班热线。请与作出回应的分析师合作,他们会转接相应人员。
如果热线在 5 分钟内没有响应,请与我联系。
-
选择保存。
概述页面反映了已更新的联系信息。
-
选择编辑主动互动功能,选择启用,然后选择保存以启用主动互动。
有关主动参与的更多信息,请参阅 设置主动参与,让 SRT 直接与您联系。