Verwenden von dienstverknüpften Rollen für AWS Shield Network Security Director - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, und Direktor für AWS Shield Netzwerksicherheit
Dienstbezogene Rollenberechtigungen für Network Security Director AWS ShieldErstellung einer dienstbezogenen Rolle für den AWS Shield Network Security DirectorBearbeiten einer dienstbezogenen Rolle für den AWS Shield Network Security DirectorLöschen einer dienstbezogenen Rolle für den AWS Shield Network Security DirectorUnterstützte Regionen für dienstbezogene Rollen des AWS Shield Network Security Directors

Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von dienstverknüpften Rollen für AWS Shield Network Security Director

In diesem Abschnitt wird erklärt, wie Sie dem AWS Shield Network Security Director mithilfe von dienstbezogenen Rollen Zugriff auf Ressourcen in Ihrem AWS Konto gewähren können.

AWS Shield Network Security Director verwendet AWS Identity and Access Management dienstverknüpfte Rollen (IAM). Eine dienstgebundene Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit dem Network Security Director verknüpft ist. AWS Shield Dienstbezogene Rollen sind vom AWS Shield Network Security Director vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine dienstbezogene Rolle erleichtert die Einrichtung von AWS Shield Network Security Director, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS Shield Der Network Security Director definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, kann nur der AWS Shield Network Security Director seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann an keine andere IAM-Entität angefügt werden.

Die vollständige dienstbezogene Rolle finden Sie in der IAM-Konsole:. NetworkSecurityDirectorServiceLinkedRolePolicy

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter serviceverknüpfte Rollenberechtigungen im IAM-Benutzerhandbuch.

Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter AWS -Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Dienstbezogene Rollenberechtigungen für Network Security Director AWS Shield

Die serviceverknüpfte Rolle NetworkSecurityDirectorServiceLinkedRolePolicy vertraut darauf, dass die folgenden Services die Rolle annehmen:

  • network-director.amazonaws.com

Die NetworkSecurityDirectorServiceLinkedRolePolicy erteilt dem AWS Shield Network Security Director die Rechte, in Ihrem Namen auf verschiedene AWS Ressourcen und Dienste zuzugreifen und diese zu analysieren. Dies umfasst:

  • Netzwerkkonfiguration und Sicherheitseinstellungen aus EC2 Amazon-Ressourcen abrufen

  • Zugriff auf CloudWatch Metriken zur Analyse von Netzwerkverkehrsmustern

  • Erfassung von Informationen über Loadbalancer und Zielgruppen

  • Erfassung von AWS WAF Konfigurationen und Regeln

  • Zugreifen auf AWS Direct Connect Gateway-Informationen

  • Und mehr, wie in der folgenden Berechtigungsliste detailliert beschrieben

Die folgende Liste bezieht sich auf Berechtigungen, die das Downscoping auf bestimmte Ressourcen nicht unterstützen. Bei den restlichen Ressourcen handelt es sich um einen Downscope für die angegebenen Dienstressourcen.


 {
  "Sid": "ResourceLevelPermissionNotSupported",
  "Effect": "Allow",
  "Action": [
    "cloudwatch:GetMetricData",
    "cloudwatch:GetMetricStatistics",
    "ec2:DescribeAvailabilityZones",
    "ec2:DescribeCustomerGateways",
    "ec2:DescribeInstances",
    "ec2:DescribeInternetGateways",
    "ec2:DescribeManagedPrefixLists",
    "ec2:DescribeNatGateways",
    "ec2:DescribeNetworkAcls",
    "ec2:DescribeNetworkInterfaces",
    "ec2:DescribePrefixLists",
    "ec2:DescribeRegions",
    "ec2:DescribeRouteTables",
    "ec2:DescribeSecurityGroups",
    "ec2:DescribeSubnets",
    "ec2:DescribeTransitGateways",
    "ec2:DescribeTransitGatewayVpcAttachments",
    "ec2:DescribeTransitGatewayAttachments",
    "ec2:DescribeTransitGatewayPeeringAttachments",
    "ec2:DescribeTransitGatewayRouteTables",
    "ec2:DescribeVpcEndpoints",
    "ec2:DescribeVpcEndpointServiceConfigurations",
    "ec2:DescribeVpcPeeringConnections",
    "ec2:DescribeVpcs",
    "ec2:DescribeVpnConnections",
    "ec2:DescribeVpnGateways",
    "ec2:GetTransitGatewayRouteTablePropagations",
    "ec2:GetManagedPrefixListEntries",
    "elasticloadbalancing:DescribeLoadBalancers",
    "elasticloadbalancing:DescribeTargetGroups",
    "elasticloadbalancing:DescribeTags",
    "elasticloadbalancing:DescribeListeners",
    "elasticloadbalancing:DescribeTargetHealth",
    "elasticloadbalancing:DescribeTargetGroupAttributes",
    "elasticloadbalancing:DescribeRules",
    "elasticloadbalancing:DescribeLoadBalancencerAttributes",
    "wafv2:ListWebACLs",
    "cloudfront:ListDistributions",
    "cloudfront:ListTagsForResource",
    "directconnect:DescribeDirectConnectGateways",
    "directconnect:DescribeVirtualInterfaces"
  ],
  "Resource": "*"
}
NetworkSecurityDirectorServiceLinkedRolePolicyBerechtigungen für dienstbezogene Rollen

Die folgende Liste umfasst alle Berechtigungen, die durch die NetworkSecurityDirectorServiceLinkedRolePolicy dienstverknüpfte Rolle aktiviert wurden.

Amazon CloudFront


 {
  "Sid": "cloudfront",
  "Effect": "Allow",
  "Action": [
    "cloudfront:GetDistribution"
  ],
  "Resource": "arn:aws:cloudfront::*:distribution/*"
 }

AWS WAF


 {
  "Sid": "wafv2",
  "Effect": "Allow",
  "Action": [
    "wafv2:ListResourcesForWebACL",
    "wafv2:ListRuleGroups",
    "wafv2:ListAvailableManagedRuleGroups",
    "wafv2:GetRuleGroup",
    "wafv2:DescribeManagedRuleGroup",
    "wafv2:GetWebACL"
  ],
  "Resource": [
    "arn:aws:wafv2:*:*:global/rulegroup/*",
    "arn:aws:wafv2:*:*:regional/rulegroup/*",
    "arn:aws:wafv2:*:*:global/managedruleset/*",
    "arn:aws:wafv2:*:*:regional/managedruleset/*",
    "arn:aws:wafv2:*:*:global/webacl/*/*",
    "arn:aws:wafv2:*:*:regional/webacl/*/*",
    "arn:aws:apprunner:*:*:service/*",
    "arn:aws:cognito-idp:*:*:userpool/*",
    "arn:aws:ec2:*:*:verified-access-instance/*"
  ]
 }

AWS WAF Klassisch


 {
  "Sid": "classicWaf",
  "Effect": "Allow",
  "Action": [
    "waf:ListWebACLs",
    "waf:GetWebACL"
  ],
  "Resource": [
    "arn:aws:waf::*:webacl/*",
    "arn:aws:waf-regional:*:*:webacl/*"
  ]
}

AWS Direct Connect


 {
  "Sid": "directconnect",
  "Effect": "Allow",
  "Action": [
    "directconnect:DescribeConnections",
    "directconnect:DescribeDirectConnectGatewayAssociations",
    "directconnect:DescribeDirectConnectGatewayAttachments",
    "directconnect:DescribeVirtualGateways"
  ],
  "Resource": [
    "arn:aws:directconnect::*:dx-gateway/*",
    "arn:aws:directconnect:*:*:dxcon/*",
    "arn:aws:directconnect:*:*:dxlag/*",
    "arn:aws:directconnect:*:*:dxvif/*"
  ]
 }

AWS Transit Gateway Strecken


 {
  "Sid": "ec2Get",
  "Effect": "Allow",
  "Action": [
    "ec2:SearchTransitGatewayRoutes"
  ],
  "Resource": [
    "arn:aws:ec2:*:*:transit-gateway-route-table/*"
  ]
 }

AWS Network Firewall


 {
  "Sid": "networkFirewall",
  "Effect": "Allow",
  "Action": [
    "network-firewall:ListFirewalls",
    "network-firewall:ListFirewallPolicies",
    "network-firewall:ListRuleGroups",
    "network-firewall:DescribeFirewall",
    "network-firewall:DescribeFirewallPolicy",
    "network-firewall:DescribeRuleGroup"
  ],
  "Resource": [
    "arn:aws:network-firewall:*:*:*/*"
  ]
}

Amazon API Gateway


 {
   "Sid": "apiGatewayGetAPI",
   "Effect": "Allow",
   "Action": [
     "apigateway:GET"
   ],
  "Resource": [
    "arn:aws:apigateway:*::/restapis",
    "arn:aws:apigateway:*::/restapis/*",
    "arn:aws:apigateway:*::/apis",
    "arn:aws:apigateway:*::/apis/*",
    "arn:aws:apigateway:*::/tags/*",
    "arn:aws:apigateway:*::/vpclinks",
    "arn:aws:apigateway:*::/vpclinks/*"
  ]
 }

Erstellung einer dienstbezogenen Rolle für den AWS Shield Network Security Director

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie Ihre erste Netzwerkanalyse ausführen, erstellt AWS Shield Network Security Director die dienstbezogene Rolle für Sie.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie die AWS Shield Network Security Director-Protokollierung aktivieren, erstellt AWS Shield Network Security Director die dienstbezogene Rolle erneut für Sie.

Bearbeiten einer dienstbezogenen Rolle für den AWS Shield Network Security Director

AWS Shield Der Network Security Director erlaubt es Ihnen nicht, die NetworkSecurityDirectorServiceLinkedRolePolicy dienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer dienstbezogenen Rolle für den AWS Shield Network Security Director

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Dadurch werden die Ressourcen Ihres AWS Shield Network Security Directors geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.

Anmerkung

Wenn der AWS Shield Network Security Director-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

So löschen Sie die serviceverknüpfte Rolle mit IAM

Sie können die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden, um die NetworkSecurityDirectorServiceLinkedRolePolicy-serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Leitfaden.

Unterstützte Regionen für dienstbezogene Rollen des AWS Shield Network Security Directors

Anmerkung

AWS Shield Network Security Director befindet sich in der öffentlichen Vorschauversion und kann sich ändern.

AWS Shield Network Security Director unterstützt die Verwendung von dienstbezogenen Rollen in den folgenden Regionen und kann nur Daten über Ihre Ressourcen in diesen Regionen abrufen.

Name der Region Region
USA Ost (Nord-Virginia) us-east-1
Europa (Stockholm) eu-north-1