使用 ShieldAdvidently 的服务 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 ShieldAdvidently 的服务

Amazon Shield Advanced 使用 Amazon Identity and Access Management(IAM)服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 ShieldAdvidently 直接相关。服务相关角色由 ShieldAdvidently 预定义,并具有该服务代表您调用其他Amazon服务所需的所有权限。

服务相关角色可让您更轻松地设置 ShieldAdvidently,因为您不必手动添加必要的权限。ShieldAdvidently 定义其服务相关角色的权限,除非另外定义,否则只有 ShieldAdvidently 可以代入该角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其它 IAM 实体的权限策略。

只有在首先删除相关资源后,才能删除服务相关角色。这将保护您的 Shield Advidently 资源,因为无法意外删除对资源的访问权限。

有关支持服务相关角色的其它服务的信息,请参阅使用 IAM 的 Amazon 服务并查找 Service-Linked Role(服务相关角色)列中显示为 Yes(是)的服务。请选择 Yes 与查看该服务的服务相关角色文档的链接。

ShieldAdently 的服务相关角色权限

ShieldAvidently 使用名为的服务相关角色AWSServiceRoleForAWSShield。此角色允许 Shield Advanced 访问和管理Amazon资源,以便代表您自动响应应用层 DDoS 攻击。有关此功能的更多信息,请参阅Shield Advanced 自动应用层 DDoS

AWSServiceRoleForAWSShield 服务相关角色信任以下服务代入该角色:

  • shield.amazonaws.com

名为的角色权限策略 AWSShieldServiceRolePolicy 允许 ShieldAdvidently 对所有Amazon资源完成以下操作:

  • wafv2:GetWebACL

  • wafv2:UpdateWebACL

  • wafv2:GetWebACLForResource

  • wafv2:ListResourcesForWebACL

  • cloudfront:ListDistributions

  • cloudfront:GetDistribution

如果允许对所有Amazon资源执行操作,则在策略中将其指示为"Resource": "*"。这仅意味着服务相关角色可以对该操作支持的所有Amazon资源执行每项指示的操作。例如,该操作wafv2:GetWebACL仅支持wafv2 Web ACL 资源。

Shield Advanced 仅对您已启用应用层保护功能的受保护资源以及与这些受保护资源关联的 Web ACL 进行资源级 API 调用。

必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限

为 ShieldAdvidently 创建服务相关角色

无需手动创建服务相关角色。当您为Amazon Web Services Management Console、或Amazon API 中的资源启用自动应用层 DDoS 缓解时Amazon CLI,Shield Advanced 会为您创建服务相关角色。

如果删除此服务相关角色,然后需要再次创建,可以使用相同流程在账户中重新创建此角色。启用 Dor 资源的应用层 Dor Dor Dor DoDor 后,ShieldAdvidently 将再次为您创建与服务相关的角色。

编辑 ShieldAdvidently 的服务相关角色

ShieldAdvidently 不允许您编辑 AWSServiceRoleForAWSShield 服务相关角色。创建服务相关角色后,将无法更改角色名称,因为可能有多个实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息,请参见 IAM 用户指南中的编辑服务相关角色

删除 Shield Advidently 的服务相关角色

如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。

注意

在您尝试删除资源时,如果 ShieldAdvidently 正在使用该角色,删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。

删除 Shield Advanced 使用的盾牌高级资源AWSServiceRoleForAWSShield

对于配置了应用层 DDoS 保护的所有资源,禁用自动应用层 DDoS 缓解。有关控制台的说明,请参阅配置应用层 DDoS 保护

使用 IAM 手动删除服务相关角色

使用 IAM 控制台,即 Amazon CLI 或 Amazon API 来删除 AWSServiceRoleForAWSShield 服务相关角色。有关更多信息,请参见 IAM 用户指南中的删除服务相关角色

Shield高级服务相关角色支持的区域

ShieldAdvidently 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 Shield高级终端节点和配额