**引入全新的主机体验 Amazon WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon 的托管策略 Amazon Shield
<a name="shd-security-iam-awsmanpol"></a>

 Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住， Amazon 托管策略可能不会为您的特定用例授予最低权限权限，因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限，则更新会影响该策略所关联的所有委托人身份（用户、组和角色）。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Services 服务 的 API 操作时更新 Amazon 托管策略。

有关更多信息，请参阅《IAM 用户指南》**中的 [Amazon 托管式策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## Amazon 托管策略： AWSShieldDRTAccess策略
<a name="shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy"></a>

本节介绍如何使用适用于 Shield 的 Amazon 托管策略。

Amazon Shield 当您授予 Shield 响应小组 (SRT) 代表您采取行动的权限时，将使用此托管策略。此政策授予 SRT 对您的 Amazon 账户的有限访问权限，以帮助在高严重性事件期间缓解 DDo S 攻击。此政策允许 SRT 管理您的 Amazon WAF 规则和 Shield Advanced 保护并访问您的 Amazon WAF 日志。

有关授予 SRT 代表您进行操作的权限的信息，请参阅 [向 SRT 授予访问权限](ddos-srt-access.md)。

有关此策略的详细信息，请参阅 IAM 控制台中的[AWSShieldDRTAccess策略](https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSShieldDRTAccessPolicy)。

## Amazon 托管策略： AWSShieldServiceRolePolicy
<a name="shd-security-iam-awsmanpol-AWSShieldServiceRolePolicy"></a>

当您启用自动应用层 DDo S 缓解时，Shield Advanced 会使用此托管策略来设置管理账户资源所需的权限。此策略允许 Shield Advanced 在网络 ACLs中创建和应用与受保护资源关联的 Amazon WAF 规则和规则组，以自动响应 DDo S 攻击。

您无法附加 AWSShieldServiceRolePolicy 到您的 IAM 实体。Shield 将此策略附加到服务相关角色 `AWSServiceRoleForAWSShield`，以允许 Shield 代表您执行操作。

当您启用自动应用层 DDo S 缓解时，Shield Advanced 允许使用此策略。有关使用该策略的更多信息，请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。

有关使用此策略的服务相关角色 AWSServiceRoleForAWSShield 的信息，请参阅 [使用 Shield Advance 的服务相关角色](shd-using-service-linked-roles.md)

有关此策略的详细信息，请参阅 IAM 控制台[AWSShieldServiceRolePolicy](https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSShieldServiceRolePolicy)中的。

## Shield 对 Amazon 托管策略的更新
<a name="shd-security-iam-awsmanpol-updates"></a>



查看自该服务开始跟踪这些更改以来对 Shield Amazon 托管政策的更新的详细信息。有关此页面更改的自动提示，请订阅 Shield 文档历史记录页面上的 RSS 源，网址是 [文档历史记录](doc-history.md)。




| Policy | 更改的说明 | 日期 | 
| --- | --- | --- | 
|  `AWSShieldServiceRolePolicy` 此策略允许 Shield 访问和管理 Amazon 资源，以便代表您自动响应应用层 DDo S 层的攻击。 IAM 控制台中的详细信息：[AWSShieldServiceRolePolicy](https://console.amazonaws.cn/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSShieldServiceRolePolicy) 服务相关角色 `AWSServiceRoleForAWSShield` 使用该策略。有关信息，请参阅[使用 Shield Advance 的服务相关角色](shd-using-service-linked-roles.md)。  |  添加此策略是为了向 Shield Advanced 提供自动应用层 DDo S 缓解功能所需的权限。有关此功能的信息，请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。  | 2021 年 12 月 1 日 | 
|  Shield 已开启跟踪更改  |  Shield 开始跟踪其 Amazon 托管策略的变更。  | 2021 年 3 月 3 日 |