配置 Shield 响应小组 (SRT) 的访问权限 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置 Shield 响应小组 (SRT) 的访问权限

您可以授权 Shield 响应小组 (SRT) 代表您采取行动、访问您的 Amazon WAF 日志并调用 Amazon Shield Advanced 和 Amazon WAF API 来管理保护。在应用层 DDoS 事件期间,SRT 可以监控 Amazon WAF 请求以识别异常流量,并帮助制定自定义 Amazon WAF 规则以缓解违规流量来源。

此外,您可以向 SRT 授予访问您存储在 Amazon S3 存储桶中的其他数据的权限,例如来自应用程序负载均衡器 CloudFront、Amazon 或第三方来源的数据包捕获或日志。

注意

要使用 Shield Response Team (SRT) 的服务,您必须订阅 Business Support 计划企业支持计划

管理 SRT 的权限

  1. 在 Amazon Shield 控制台概述页面的配置 Amazon SRT 支持下,选择编辑 SRT 访问权限。编辑 Amazon Shield 响应小组 (SRT) 访问页面打开。

  2. 对于 SRT 访问设置,请选择以下选项之一:

    • 不要授予 SRT 访问我的账户的权限 – Shield 会删除您之前授予 SRT 访问您的账户和资源的任何权限。

    • 为 SRT 创建一个访问我的账户的新角色 – Shield 创建一个代表 SRT 的服务主体的角色 drt.shield.amazonaws.com,并将托管策略 AWSShieldDRTAccessPolicy 附加到该主体。托管策略允许 SRT 代表您拨 Amazon WAF 打 API 调用和访问您的 Amazon WAF 日志。 Amazon Shield Advanced 有关托管策略的更多信息,请参阅Amazon 托管策略: AWSShieldDRTAccessPolicy

    • 选择一个现有角色让 SRT 访问我的账户 — 对于此选项,您必须按如下方式修改 Amazon Identity and Access Management (IAM) 中角色的配置:

      • 将托管策略 AWSShieldDRTAccessPolicy 附加到角色。此托管策略允许 SRT 代表您拨 Amazon WAF 打 API 调用并访问您的 Amazon WAF 日志。 Amazon Shield Advanced 有关托管策略的更多信息,请参阅Amazon 托管策略: AWSShieldDRTAccessPolicy。有关如何将托管策略附加到角色的信息,请参阅附加和分离 IAM 策略

      • 修改角色以信任 drt.shield.amazonaws.com 服务主体。这是代表 SRT 的服务主体。有关更多信息,请参阅 IAM JSON 策略元素:主体

  3. 对于(可选):授予 SRT 访问 Amazon S3 存储桶的权限,如果您需要共享 Amazon WAF Web ACL 日志中没有的数据,请进行此配置。例如,Application Load Balancer 访问 CloudFront 日志、Amazon 日志或来自第三方来源的日志。

    注意

    您无需为 Amazon WAF Web ACL 日志执行此操作。当您授予账户访问权限时,SRT 将获得访问权限。

    1. 根据以下准则配置 Amazon S3 存储桶:

      • 存储桶的位置必须与您在之前的步骤 Amazon Shield Response Team (SRT) 访问权限中授予 SRT 一般访问权限的存储桶位置相同 Amazon Web Services 账户 。

      • 存储桶可以是纯文本,也可以采用 SSE-S3 加密。有关 Amazon S3 SSE-S3 加密的更多信息,请参阅《Amazon S3 用户指南》中的使用具有 Amazon S3 托管式加密密钥的服务器端加密 (SSE-S3) 保护数据

        SRT 无法查看或处理存储在使用存储在 Amazon Key Management Service ()Amazon KMS中的密钥加密的存储桶中的日志。

    2. 在 Shield Advanced(可选):授予 SRT 访问 Amazon S3 存储桶的权限部分,对于存储您的数据或日志的每个 Amazon S3 存储桶,输入存储桶的名称并选择添加存储桶。您最多可以添加 10 个存储桶。

      这将授予 SRT 对每个存储桶的以下权限:s3:GetBucketLocations3:GetObjects3:ListBucket

      如果您想授予 SRT 访问超过 10 个存储桶的权限,则可以编辑其他存储桶策略并手动授予此处列出的 SRT 权限。

      下面是一个策略列表示例。

      {
    "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
    "Effect": "Allow",
    "Principal": {
        "Service": "drt.shield.amazonaws.com"
    },
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": [
        "arn:aws:s3:::bucket-name",
        "arn:aws:s3:::bucket-name/*"
    ]
}

  4. 选择 保存 以保存您的更改。

您也可以通过 API 对 SRT 进行授权,方法是创建 IAM 角色,将策略附加 AWSShieldDRTAccessPolicy 到该角色,然后将该角色传递给操作 AssociatedRrole。