使用 Amazon Shield 网络安全分析器的服务相关角色 - Amazon WAF、Amazon Firewall Manager、Amazon Shield Advanced 和 Amazon Shield 网络安全分析器
Amazon Shield 网络安全分析器的服务相关角色权限为 Amazon Shield 网络安全分析器创建服务相关角色为 Amazon Shield 网络安全分析器编辑服务相关角色为 Amazon Shield 网络安全分析器删除服务相关角色Amazon Shield 网络安全分析器服务相关角色支持的区域
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

介绍 Amazon WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

使用 Amazon Shield 网络安全分析器的服务相关角色

本节介绍如何使用服务相关角色为 Amazon Shield 网络安全分析器提供针对 Amazon 账户中资源的访问权限。

Amazon Shield 网络安全分析器使用 Amazon Identity and Access Management(IAM)服务相关角色。服务相关角色是一种独特的 IAM 角色类型,与 Amazon Shield 网络安全分析器直接相关。服务相关角色由 Amazon Shield 网络安全分析器预定义,包含该服务代表您调用其他 Amazon 服务所需的所有权限。

服务相关角色使 Amazon Shield 网络安全分析器的设置更轻松,因为您不必手动添加必要的权限。Amazon Shield 网络安全分析器定义其服务相关角色的权限,除非另行定义,否则仅 Amazon Shield 网络安全分析器可以担任其角色。定义的权限包括信任策略和权限策略。这些权限策略不能附加到任何其他 IAM 实体。

在 IAM 控制台中查看完整的服务相关角色:NetworkSecurityDirectorServiceLinkedRolePolicy

您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限

有关支持服务相关角色的其他服务的信息,请参阅使用 IAM 的 Amazon 服务并查找服务相关角色列中显示为的服务。选择和链接,查看该服务的服务相关角色文档。

Amazon Shield 网络安全分析器的服务相关角色权限

NetworkSecurityDirectorServiceLinkedRolePolicy 服务相关角色信任以下服务代入该角色:

  • network-director.amazonaws.com

NetworkSecurityDirectorServiceLinkedRolePolicy 授予 Amazon Shield 网络安全分析器代表您访问和分析多种 Amazon 资源和服务的权限。这包括:

  • 从 Amazon EC2 资源中检索网络配置和安全设置

  • 访问 CloudWatch 指标以分析网络流量模式

  • 收集有关负载均衡器和目标组的信息

  • 收集 Amazon WAF 配置和规则

  • 访问 Amazon Direct Connect 网关信息

  • 以及更多内容,详见下方权限列表

以下列表适用于不支持将范围缩小到特定资源的权限。其余部分已针对指定的服务资源进行范围缩小。


 {
  "Sid": "ResourceLevelPermissionNotSupported",
  "Effect": "Allow",
  "Action": [
    "cloudwatch:GetMetricData",
    "cloudwatch:GetMetricStatistics",
    "ec2:DescribeAvailabilityZones",
    "ec2:DescribeCustomerGateways",
    "ec2:DescribeInstances",
    "ec2:DescribeInternetGateways",
    "ec2:DescribeManagedPrefixLists",
    "ec2:DescribeNatGateways",
    "ec2:DescribeNetworkAcls",
    "ec2:DescribeNetworkInterfaces",
    "ec2:DescribePrefixLists",
    "ec2:DescribeRegions",
    "ec2:DescribeRouteTables",
    "ec2:DescribeSecurityGroups",
    "ec2:DescribeSubnets",
    "ec2:DescribeTransitGateways",
    "ec2:DescribeTransitGatewayVpcAttachments",
    "ec2:DescribeTransitGatewayAttachments",
    "ec2:DescribeTransitGatewayPeeringAttachments",
    "ec2:DescribeTransitGatewayRouteTables",
    "ec2:DescribeVpcEndpoints",
    "ec2:DescribeVpcEndpointServiceConfigurations",
    "ec2:DescribeVpcPeeringConnections",
    "ec2:DescribeVpcs",
    "ec2:DescribeVpnConnections",
    "ec2:DescribeVpnGateways",
    "ec2:GetTransitGatewayRouteTablePropagations",
    "ec2:GetManagedPrefixListEntries",
    "elasticloadbalancing:DescribeLoadBalancers",
    "elasticloadbalancing:DescribeTargetGroups",
    "elasticloadbalancing:DescribeTags",
    "elasticloadbalancing:DescribeListeners",
    "elasticloadbalancing:DescribeTargetHealth",
    "elasticloadbalancing:DescribeTargetGroupAttributes",
    "elasticloadbalancing:DescribeRules",
    "elasticloadbalancing:DescribeLoadBalancencerAttributes",
    "wafv2:ListWebACLs",
    "cloudfront:ListDistributions",
    "cloudfront:ListTagsForResource",
    "directconnect:DescribeDirectConnectGateways",
    "directconnect:DescribeVirtualInterfaces"
  ],
  "Resource": "*"
}
NetworkSecurityDirectorServiceLinkedRolePolicy 服务相关角色权限

以下列表涵盖 NetworkSecurityDirectorServiceLinkedRolePolicy 服务相关角色启用的所有权限。

Amazon CloudFront


 {
  "Sid": "cloudfront",
  "Effect": "Allow",
  "Action": [
    "cloudfront:GetDistribution"
  ],
  "Resource": "arn:aws:cloudfront::*:distribution/*"
 }

Amazon WAF


 {
  "Sid": "wafv2",
  "Effect": "Allow",
  "Action": [
    "wafv2:ListResourcesForWebACL",
    "wafv2:ListRuleGroups",
    "wafv2:ListAvailableManagedRuleGroups",
    "wafv2:GetRuleGroup",
    "wafv2:DescribeManagedRuleGroup",
    "wafv2:GetWebACL"
  ],
  "Resource": [
    "arn:aws:wafv2:*:*:global/rulegroup/*",
    "arn:aws:wafv2:*:*:regional/rulegroup/*",
    "arn:aws:wafv2:*:*:global/managedruleset/*",
    "arn:aws:wafv2:*:*:regional/managedruleset/*",
    "arn:aws:wafv2:*:*:global/webacl/*/*",
    "arn:aws:wafv2:*:*:regional/webacl/*/*",
    "arn:aws:apprunner:*:*:service/*",
    "arn:aws:cognito-idp:*:*:userpool/*",
    "arn:aws:ec2:*:*:verified-access-instance/*"
  ]
 }

Amazon WAF Classic


 {
  "Sid": "classicWaf",
  "Effect": "Allow",
  "Action": [
    "waf:ListWebACLs",
    "waf:GetWebACL"
  ],
  "Resource": [
    "arn:aws:waf::*:webacl/*",
    "arn:aws:waf-regional:*:*:webacl/*"
  ]
}

Amazon Direct Connect


 {
  "Sid": "directconnect",
  "Effect": "Allow",
  "Action": [
    "directconnect:DescribeConnections",
    "directconnect:DescribeDirectConnectGatewayAssociations",
    "directconnect:DescribeDirectConnectGatewayAttachments",
    "directconnect:DescribeVirtualGateways"
  ],
  "Resource": [
    "arn:aws:directconnect::*:dx-gateway/*",
    "arn:aws:directconnect:*:*:dxcon/*",
    "arn:aws:directconnect:*:*:dxlag/*",
    "arn:aws:directconnect:*:*:dxvif/*"
  ]
 }

Amazon Transit Gateway 路由


 {
  "Sid": "ec2Get",
  "Effect": "Allow",
  "Action": [
    "ec2:SearchTransitGatewayRoutes"
  ],
  "Resource": [
    "arn:aws:ec2:*:*:transit-gateway-route-table/*"
  ]
 }

Amazon Network Firewall


 {
  "Sid": "networkFirewall",
  "Effect": "Allow",
  "Action": [
    "network-firewall:ListFirewalls",
    "network-firewall:ListFirewallPolicies",
    "network-firewall:ListRuleGroups",
    "network-firewall:DescribeFirewall",
    "network-firewall:DescribeFirewallPolicy",
    "network-firewall:DescribeRuleGroup"
  ],
  "Resource": [
    "arn:aws:network-firewall:*:*:*/*"
  ]
}

Amazon API Gateway


 {
   "Sid": "apiGatewayGetAPI",
   "Effect": "Allow",
   "Action": [
     "apigateway:GET"
   ],
  "Resource": [
    "arn:aws:apigateway:*::/restapis",
    "arn:aws:apigateway:*::/restapis/*",
    "arn:aws:apigateway:*::/apis",
    "arn:aws:apigateway:*::/apis/*",
    "arn:aws:apigateway:*::/tags/*",
    "arn:aws:apigateway:*::/vpclinks",
    "arn:aws:apigateway:*::/vpclinks/*"
  ]
 }

为 Amazon Shield 网络安全分析器创建服务相关角色

您无需手动创建服务相关角色。首次进行网络分析时,Amazon Shield 网络安全分析器将为您创建服务相关角色。

如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您启用 Amazon Shield 网络安全分析器日志记录时,Amazon Shield 网络安全分析器将再次为您创建服务相关角色。

为 Amazon Shield 网络安全分析器编辑服务相关角色

Amazon Shield 网络安全分析器不允许您编辑 NetworkSecurityDirectorServiceLinkedRolePolicy 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

为 Amazon Shield 网络安全分析器删除服务相关角色

如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。

这将保护您的 Amazon Shield 网络安全分析器资源,因为您不会无意中删除对资源的访问权限。

注意

如果在您试图删除资源时,Amazon Shield 网络安全分析器服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。

使用 IAM 手动删除服务相关角色

使用 IAM 控制台、IAM CLI 或 IAM API 删除 NetworkSecurityDirectorServiceLinkedRolePolicy 服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色

Amazon Shield 网络安全分析器服务相关角色支持的区域

注意

Amazon Shield 网络安全分析器目前为公开预览版,可能会发生变化。

Amazon Shield 网络安全分析器支持在以下区域使用服务相关角色,并且只能在这些区域检索有关资源的数据。

区域名称 区域
US East (N. Virginia) us-east-1
Europe (Stockholm) eu-north-1