引入全新的主机体验 Amazon WAF
现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅使用控制台。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将您的账户设置为使用 Amazon Shield 网络安全总监
注意
Amazon Shield 网络安全控制器处于公开预览版中,可能会发生变化。
Amazon Shield 网络安全主管要求 Amazon Organizations 管理组织中多个账户的安全。本主题介绍准备 Amazon 环境的初步步骤,包括设置 Organizations、指定委派管理员和配置必要的 IAM 权限。您无需为这些初步设置步骤付费。您只需为所使用的 Amazon 服务付费。
先决条件
在使用 Amazon Shield 网络安全控制器之前,必须具备以下条件:
-
Amazon O rganizations- Amazon Shield 网络安全主管专门与 Amazon 组织合作,为多个账户提供安全分析。您不能将 Amazon Shield 网络安全控制器与单个独立帐户一起使用。
-
管理帐户访问权限-您需要访问 Organi Amazon zations 管理帐户才能为 Amazon Shield 网络安全主管指定委派管理员。
-
委派管理员帐户-您需要识别或创建一个帐户,该帐户将充当 Amazon Shield 网络安全总监的委派管理员。这不能是 Organizations 管理账户。
重要
Amazon Shield 网络安全控制器不能用于独立 Amazon 帐户。除了管理账户外,您还必须 Amazon 为 Organizations 配置至少一个成员账户。
了解 Amazon 组织集成
Amazon Organizations 是一项全球账户管理服务,允许 Amazon 管理员整合和管理多个 Amazon 账户。 Amazon Shield 网络安全总监与 Organizations 集成,为您的整个组织提供集中式安全分析和管理。
当你将 Amazon Shield 网络安全主管与 Organization Amazon s 集成时:
-
Organizations 管理账户为 Amazon Shield 网络安全主管指定委派管理员
-
授权的管理员可以跨多个账户和区域启用 Amazon Shield 网络安全控制器
-
通过委派的管理员帐户集中管理安全分析和调查结果
-
在成员账户中自动创建服务关联角色以进行分析
这种方法与 Security Hub 等其他 Amazon Amazon 安全服务类似,可为您的安全工具提供一致的管理。
选择委派管理员
委托管理员是 Amazon 指贵组织中被授予代表组织管理 Amazon Shield 网络安全主管的权限的账户。授权的管理员可以启用该服务、创建策略和管理所有成员账户的安全发现。
委派管理员要求:
-
必须是您的 Organizations 结构 Amazon 中的成员账户
-
不能是 Organizations 管理账户
-
应配置适当的 IAM 权限(参见下一节)
注意
作为最佳实践,我们建议在 Amazon 安全服务(例如 Security Hub 和 Amazon Shield 网络安全控制器)中使用相同的委托管理员帐户 GuardDuty,以实现一致的监管和简化的管理。
委托管理员的 IAM 要求
委托的管理员账户需要特定的 IAM 权限才能有效地管理 Amazon Shield 网络安全总监。您必须将以下策略附加到将在委派管理员账户中管理 Amazon Shield 网络安全主管的 IAM 用户或角色。
Amazon Shield 网络安全总监委托管理员必需的 IAM 策略:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "network-security-director:*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam:::role/aws-service-role/AWSServiceRoleForNetworkSecurityDirector" ] }, { "Effect": "Allow", "Action": [ "organizations:ListRoots", "organizations:ListOrganizationalUnitsForParent", "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators", "organizations:DescribeOrganization", "organizations:CreatePolicy", "organizations:UpdatePolicy", "organizations:DeletePolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "organizations:EnablePolicyType", "organizations:DisablePolicyType", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:ListRoots", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListChildren", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListTagsForResource", "organizations:ListDelegatedAdministrators", "organizations:ListHandshakesForAccount", "organizations:DescribePolicy", "organizations:DescribeEffectivePolicy", "organizations:ListPolicies", "organizations:ListPoliciesForTarget", "organizations:ListTargetsForPolicy" ], "Resource": [ "*" ] } ] }
政策解释:
-
network-security-director: *-授予对所有 Amazon Shield 网络安全主管操作的完全访问权限,包括启用服务、创建策略和管理调查结果。
-
IAM 权限-允许授权的管理员管理服务相关角色, Amazon Shield 网络安全主管使用该角色对成员账户进行分析。
创建并附加 IAM 策略
-
使用委派的管理员帐户登录 Amazon 管理控制台。
-
使用 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在导航窗格中,选择策略,然后选择创建策略。
-
选择 JSON 选项卡并粘贴上面显示的策略文档。
-
选择 “下一步:标签”,然后选择 “下一步:审阅”。
-
对于 Name (名称),请输入
NetworkSecurityDirectorDelegatedAdminPolicy。 -
选择创建策略。
-
将此策略附加到将在委派管理员账户中管理 Amazon Shield 网络安全主管的 IAM 用户或角色。
安装清单
在继续启用 Amazon Shield 网络安全控制器之前,请确保您已完成以下设置任务:
-
✓ Amazon Organizations 配置了一个管理账户和至少一个成员账户
-
✓ 您已识别委托管理员账号(不能是管理账号)
-
✓ 所需的 IAM 策略已创建并附加到委派管理员账户中
-
✓ 您可以同时访问 Organizations 管理账户和委托管理员账户
完成这些设置任务后,您可以启用 Amazon Shield 网络安全控制器继续为您的组织启用 Amazon Shield 网络安全主管。