使用 Shield Advance 的服务相关角色 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Shield Advanced 的服务相关角色权限为 Shield Advance 创建服务相关角色为 Shield Advance 编辑服务相关角色为 Shield Advance 删除服务相关角色Shield Advanced 服务相关角色支持的区域
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Shield Advance 的服务相关角色

Amazon Shield Advanced 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 Shield Advanced 直接相关。服务相关角色由 Shield Advanced 预定义,包括该服务代表您调用其他 Amazon 服务所需的所有权限。

服务相关角色可让您更轻松地设置 Shield Advanced,因为您不必手动添加必要的权限。Shield Advanced 定义其服务相关角色的权限,除非另外定义,否则只有 Shield Advanced 可以代入该角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。

只有在首先删除相关资源后,您才能删除服务相关角色。这将保护您的 Shield Advanced 资源,因为您不会无意中删除对资源的访问权限。

有关支持服务相关角色的其它服务的信息,请参阅使用 IAM 的Amazon 服务并查找服务相关角色列中显示为的服务。选择,可转到查看该服务的服务相关角色文档的链接。

Shield Advanced 的服务相关角色权限

Shield Advanced 使用名为AWSServiceRoleForAWSShield的服务相关角色。此角色允许 Shield Advanced 访问和管理 Amazon 资源,以便代表您自动响应应用层 DDoS 攻击。有关此函数的更多信息,请参阅 Shield Advanced 应用程序层 DDoS 自动缓解

AWSServiceRoleForAWSShield 服务相关角色信任以下服务来代入该角色:

  • shield.amazonaws.com

名为的角色权限策略 AWSShieldServiceRolePolicy 允许 Shield Advanced 对所有 Amazon 资源完成以下操作:

  • wafv2:GetWebACL

  • wafv2:UpdateWebACL

  • wafv2:GetWebACLForResource

  • wafv2:ListResourcesForWebACL

  • cloudfront:ListDistributions

  • cloudfront:GetDistribution

当允许对所有 Amazon 资源执行操作时,这在策略中显示为"Resource": "*"。这仅意味着服务相关角色可以对该操作支持的所有 Amazon 资源执行每项指明的操作。例如,只有 wafv2 Web ACL 资源支持操作 wafv2:GetWebACL

Shield Advanced 仅对已启用应用程序层保护功能的受保护资源以及与这些受保护资源关联的 Web ACL 进行资源级 API 调用。

您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限

为 Shield Advance 创建服务相关角色

您无需手动创建服务相关角色。当您为、或 Amazon API 中的资源启用自动应用层 DDoS 缓解时 Amazon Web Services Management Console,Shield Advanced 会为您创建服务相关角色。 Amazon CLI

如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您为某个资源启用 DDoS 的自动缓解时,Shield Advanced 将再次为您创建服务相关角色。

为 Shield Advance 编辑服务相关角色

Shield Advanced 不允许你编辑 AWSServiceRoleForAWSShield 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

为 Shield Advance 删除服务相关角色

如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。

注意

在您尝试删除资源时,如果 Shield Advanced 正在使用该角色,删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。

删除使用的 Shield Advanced 资源 AWSServiceRoleForAWSShield

对于配置了应用程序层 DDoS 保护的所有资源,请禁用应用程序层 DDoS 自动缓解。有关控制台说明,请参阅 配置应用程序层 DDoS 保护

使用 IAM 手动删除服务相关角色

使用 IAM 控制台 Amazon CLI、或 Amazon API 删除 AWSServiceRoleForAWSShield服务相关角色。有关更多信息,请参见《IAM 用户指南》中的删除服务相关角色

Shield Advanced 服务相关角色支持的区域

Shield Advanced 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 Shield Advanced 端点和限额