Uso de funciones vinculadas a servicios para el director de seguridad de AWS Shield la red - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, y director AWS Shield de seguridad de red
Permisos de rol vinculados al servicio para el director de seguridad de la red AWS ShieldCrear un rol vinculado a un servicio para el director de seguridad de la AWS Shield redEdición de un rol vinculado a un servicio para el director de seguridad de la red AWS ShieldEliminar un rol vinculado a un servicio para el director de seguridad de la red AWS ShieldRegiones compatibles para las funciones AWS Shield de director de seguridad de red vinculadas al servicio

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulta Trabajar con la experiencia de consola actualizada.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de funciones vinculadas a servicios para el director de seguridad de AWS Shield la red

En esta sección se explica cómo usar los roles vinculados a un servicio para permitir que el director de seguridad de AWS Shield la red acceda a los recursos de su cuenta. AWS

AWS Shield el director de seguridad de red utiliza funciones vinculadas al AWS Identity and Access Management servicio (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente al director de seguridad de la red. AWS Shield Las funciones vinculadas al servicio las predefine el director de seguridad de la AWS Shield red e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.

Un rol vinculado a un servicio facilita la configuración del director de seguridad de la AWS Shield red, ya que no es necesario añadir manualmente los permisos necesarios. AWS Shield El director de seguridad de red define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo el director de seguridad de AWS Shield red puede asumir sus funciones. Los permisos definidos incluyen la política de confianza y la política de permisos. Dicha política de permisos no se puede asociar a ninguna otra entidad de IAM.

Consulte la función completa vinculada al servicio en la consola de IAM:. NetworkSecurityDirectorServiceLinkedRolePolicy

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran en la columna Rol vinculado a un servicio. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de rol vinculados al servicio para el director de seguridad de la red AWS Shield

El rol vinculado al servicio NetworkSecurityDirectorServiceLinkedRolePolicy depende de los siguientes servicios para asumir el rol:

  • network-director.amazonaws.com

NetworkSecurityDirectorServiceLinkedRolePolicyOtorga al director de seguridad de la AWS Shield red permisos para acceder a varios AWS recursos y servicios y analizarlos en su nombre. Esto incluye:

  • Recuperar la configuración de red y los ajustes de seguridad de los recursos de Amazon EC2

  • Acceder a CloudWatch las métricas para analizar los patrones de tráfico de la red

  • Recopilación de información sobre los balanceadores de carga y los grupos objetivo

  • Recopilación de AWS WAF configuraciones y reglas

  • Acceso a la información AWS Direct Connect de la pasarela

  • Y más, tal y como se detalla en la siguiente lista de permisos

La siguiente lista incluye los permisos que no admiten la reducción del alcance a recursos específicos. El resto se ha reducido para los recursos de servicio indicados.


 {
  "Sid": "ResourceLevelPermissionNotSupported",
  "Effect": "Allow",
  "Action": [
    "cloudwatch:GetMetricData",
    "cloudwatch:GetMetricStatistics",
    "ec2:DescribeAvailabilityZones",
    "ec2:DescribeCustomerGateways",
    "ec2:DescribeInstances",
    "ec2:DescribeInternetGateways",
    "ec2:DescribeManagedPrefixLists",
    "ec2:DescribeNatGateways",
    "ec2:DescribeNetworkAcls",
    "ec2:DescribeNetworkInterfaces",
    "ec2:DescribePrefixLists",
    "ec2:DescribeRegions",
    "ec2:DescribeRouteTables",
    "ec2:DescribeSecurityGroups",
    "ec2:DescribeSubnets",
    "ec2:DescribeTransitGateways",
    "ec2:DescribeTransitGatewayVpcAttachments",
    "ec2:DescribeTransitGatewayAttachments",
    "ec2:DescribeTransitGatewayPeeringAttachments",
    "ec2:DescribeTransitGatewayRouteTables",
    "ec2:DescribeVpcEndpoints",
    "ec2:DescribeVpcEndpointServiceConfigurations",
    "ec2:DescribeVpcPeeringConnections",
    "ec2:DescribeVpcs",
    "ec2:DescribeVpnConnections",
    "ec2:DescribeVpnGateways",
    "ec2:GetTransitGatewayRouteTablePropagations",
    "ec2:GetManagedPrefixListEntries",
    "elasticloadbalancing:DescribeLoadBalancers",
    "elasticloadbalancing:DescribeTargetGroups",
    "elasticloadbalancing:DescribeTags",
    "elasticloadbalancing:DescribeListeners",
    "elasticloadbalancing:DescribeTargetHealth",
    "elasticloadbalancing:DescribeTargetGroupAttributes",
    "elasticloadbalancing:DescribeRules",
    "elasticloadbalancing:DescribeLoadBalancencerAttributes",
    "wafv2:ListWebACLs",
    "cloudfront:ListDistributions",
    "cloudfront:ListTagsForResource",
    "directconnect:DescribeDirectConnectGateways",
    "directconnect:DescribeVirtualInterfaces"
  ],
  "Resource": "*"
}
NetworkSecurityDirectorServiceLinkedRolePolicypermisos de rol vinculados al servicio

La siguiente lista incluye todos los permisos habilitados por el rol vinculado al NetworkSecurityDirectorServiceLinkedRolePolicy servicio.

Amazon CloudFront


 {
  "Sid": "cloudfront",
  "Effect": "Allow",
  "Action": [
    "cloudfront:GetDistribution"
  ],
  "Resource": "arn:aws:cloudfront::*:distribution/*"
 }

AWS WAF


 {
  "Sid": "wafv2",
  "Effect": "Allow",
  "Action": [
    "wafv2:ListResourcesForWebACL",
    "wafv2:ListRuleGroups",
    "wafv2:ListAvailableManagedRuleGroups",
    "wafv2:GetRuleGroup",
    "wafv2:DescribeManagedRuleGroup",
    "wafv2:GetWebACL"
  ],
  "Resource": [
    "arn:aws:wafv2:*:*:global/rulegroup/*",
    "arn:aws:wafv2:*:*:regional/rulegroup/*",
    "arn:aws:wafv2:*:*:global/managedruleset/*",
    "arn:aws:wafv2:*:*:regional/managedruleset/*",
    "arn:aws:wafv2:*:*:global/webacl/*/*",
    "arn:aws:wafv2:*:*:regional/webacl/*/*",
    "arn:aws:apprunner:*:*:service/*",
    "arn:aws:cognito-idp:*:*:userpool/*",
    "arn:aws:ec2:*:*:verified-access-instance/*"
  ]
 }

AWS WAF Clásico


 {
  "Sid": "classicWaf",
  "Effect": "Allow",
  "Action": [
    "waf:ListWebACLs",
    "waf:GetWebACL"
  ],
  "Resource": [
    "arn:aws:waf::*:webacl/*",
    "arn:aws:waf-regional:*:*:webacl/*"
  ]
}

AWS Direct Connect


 {
  "Sid": "directconnect",
  "Effect": "Allow",
  "Action": [
    "directconnect:DescribeConnections",
    "directconnect:DescribeDirectConnectGatewayAssociations",
    "directconnect:DescribeDirectConnectGatewayAttachments",
    "directconnect:DescribeVirtualGateways"
  ],
  "Resource": [
    "arn:aws:directconnect::*:dx-gateway/*",
    "arn:aws:directconnect:*:*:dxcon/*",
    "arn:aws:directconnect:*:*:dxlag/*",
    "arn:aws:directconnect:*:*:dxvif/*"
  ]
 }

AWS Transit Gateway rutas


 {
  "Sid": "ec2Get",
  "Effect": "Allow",
  "Action": [
    "ec2:SearchTransitGatewayRoutes"
  ],
  "Resource": [
    "arn:aws:ec2:*:*:transit-gateway-route-table/*"
  ]
 }

AWS Network Firewall


 {
  "Sid": "networkFirewall",
  "Effect": "Allow",
  "Action": [
    "network-firewall:ListFirewalls",
    "network-firewall:ListFirewallPolicies",
    "network-firewall:ListRuleGroups",
    "network-firewall:DescribeFirewall",
    "network-firewall:DescribeFirewallPolicy",
    "network-firewall:DescribeRuleGroup"
  ],
  "Resource": [
    "arn:aws:network-firewall:*:*:*/*"
  ]
}

Amazon API Gateway


 {
   "Sid": "apiGatewayGetAPI",
   "Effect": "Allow",
   "Action": [
     "apigateway:GET"
   ],
  "Resource": [
    "arn:aws:apigateway:*::/restapis",
    "arn:aws:apigateway:*::/restapis/*",
    "arn:aws:apigateway:*::/apis",
    "arn:aws:apigateway:*::/apis/*",
    "arn:aws:apigateway:*::/tags/*",
    "arn:aws:apigateway:*::/vpclinks",
    "arn:aws:apigateway:*::/vpclinks/*"
  ]
 }

Crear un rol vinculado a un servicio para el director de seguridad de la AWS Shield red

No necesita crear manualmente un rol vinculado a servicios. Cuando ejecuta su primer análisis de red, el director de seguridad AWS Shield de la red crea automáticamente el rol vinculado al servicio.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al habilitar el registro del director AWS Shield de seguridad de red, el director de seguridad de AWS Shield red vuelve a crear el rol vinculado al servicio para usted.

Edición de un rol vinculado a un servicio para el director de seguridad de la red AWS Shield

AWS Shield el director de seguridad de red no permite editar el rol vinculado al NetworkSecurityDirectorServiceLinkedRolePolicy servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Edición de un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminar un rol vinculado a un servicio para el director de seguridad de la red AWS Shield

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

Esto protege los recursos del director AWS Shield de seguridad de la red, ya que no puede eliminar inadvertidamente el permiso de acceso a los recursos.

nota

Si el servicio del director de seguridad de la AWS Shield red utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado a servicios NetworkSecurityDirectorServiceLinkedRolePolicy. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones compatibles para las funciones AWS Shield de director de seguridad de red vinculadas al servicio

nota

AWS Shield El director de seguridad de red se encuentra en una versión preliminar pública y está sujeto a cambios.

AWS Shield el director de seguridad de red admite el uso de funciones vinculadas a servicios en las siguientes regiones y solo puede recuperar datos sobre sus recursos en estas regiones.

Nombre de la región Región
Este de EE. UU. (Norte de Virginia) us-east-1
Europa (Estocolmo) eu-north-1