Presentamos una nueva experiencia de consola para AWS WAF
Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.
Uso de roles vinculados al servicio para director de seguridad de red de AWS Shield
Esta sección explica cómo usar roles vinculados al servicio para otorgar acceso al director de seguridad de red de AWS Shield a los recursos de su cuenta de AWS
El director de seguridad de red de AWS Shield utiliza AWS Identity and Access Managementroles vinculados al servicio de IAM. Un rol vinculado a un servicio es un tipo único de rol de IAM que se encuentra vinculado directamente al director de seguridad de red de AWS Shield. A los roles vinculados a servicios los predefine el director de seguridad de red de AWS Shield e incluyen todos los permisos que el servicio necesita para llamar a otros servicios de AWS en su nombre.
Con un rol vinculado a servicios, resulta más sencillo configurar director de seguridad de red de AWS Shield, porque no es preciso agregar los permisos necesarios manualmente. AWS Shield define los permisos de los roles vinculados con su propio servicio y, a menos que esté definido de otra manera, solo AWS Shield puede asumir sus roles. Los permisos definidos incluyen la política de confianza y la política de permisos. Dicha política de permisos no se puede asociar a ninguna otra entidad de IAM.
Consulte el rol vinculado a servicios completo en la consola de IAM: NetworkSecurityDirectorServiceLinkedRolePolicy.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.
Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Sí en la columna Rol vinculado a un servicio. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
Roles vinculados a servicios del director de seguridad de red de AWS Shield
El rol vinculado al servicio NetworkSecurityDirectorServiceLinkedRolePolicy depende de los siguientes servicios para asumir el rol:
network-director.amazonaws.com
NetworkSecurityDirectorServiceLinkedRolePolicy otorga al director de seguridad de red de AWS Shieldpermisos para acceder a diversos recursos y servicios y analizarlos en su nombre. AWS Esto incluye:
Recuperar configuración de red y ajustes de seguridad desde recursos de Amazon EC2
Acceder a métricas de CloudWatch para analizar patrones de tráfico de red
Obtener información sobre equilibradores de carga y grupos de destino
Recopilar configuraciones y reglas de AWS WAF
Acceder a información de puerta de enlace de AWS Direct Connect
Y más, según se detalla en la lista de permisos a continuación
La siguiente lista incluye los permisos que no admiten la reducción del alcance a recursos específicos. El resto sí está reducido a los recursos del servicio correspondiente.
{ "Sid": "ResourceLevelPermissionNotSupported", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "ec2:DescribeAvailabilityZones", "ec2:DescribeCustomerGateways", "ec2:DescribeInstances", "ec2:DescribeInternetGateways", "ec2:DescribeManagedPrefixLists", "ec2:DescribeNatGateways", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRegions", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeTransitGateways", "ec2:DescribeTransitGatewayVpcAttachments", "ec2:DescribeTransitGatewayAttachments", "ec2:DescribeTransitGatewayPeeringAttachments", "ec2:DescribeTransitGatewayRouteTables", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServiceConfigurations", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs", "ec2:DescribeVpnConnections", "ec2:DescribeVpnGateways", "ec2:GetTransitGatewayRouteTablePropagations", "ec2:GetManagedPrefixListEntries", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTags", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:DescribeTargetGroupAttributes", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:DescribeLoadBalancencerAttributes", "wafv2:ListWebACLs", "cloudfront:ListDistributions", "cloudfront:ListTagsForResource", "directconnect:DescribeDirectConnectGateways", "directconnect:DescribeVirtualInterfaces" ], "Resource": "*" }
Permisos de roles vinculados a servicios de NetworkSecurityDirectorServiceLinkedRolePolicy
La siguiente lista abarca todos los permisos habilitados por el rol vinculado al servicio de NetworkSecurityDirectorServiceLinkedRolePolicy.
Amazon CloudFront
{ "Sid": "cloudfront", "Effect": "Allow", "Action": [ "cloudfront:GetDistribution" ], "Resource": "arn:aws:cloudfront::*:distribution/*" }
AWS WAF
{ "Sid": "wafv2", "Effect": "Allow", "Action": [ "wafv2:ListResourcesForWebACL", "wafv2:ListRuleGroups", "wafv2:ListAvailableManagedRuleGroups", "wafv2:GetRuleGroup", "wafv2:DescribeManagedRuleGroup", "wafv2:GetWebACL" ], "Resource": [ "arn:aws:wafv2:*:*:global/rulegroup/*", "arn:aws:wafv2:*:*:regional/rulegroup/*", "arn:aws:wafv2:*:*:global/managedruleset/*", "arn:aws:wafv2:*:*:regional/managedruleset/*", "arn:aws:wafv2:*:*:global/webacl/*/*", "arn:aws:wafv2:*:*:regional/webacl/*/*", "arn:aws:apprunner:*:*:service/*", "arn:aws:cognito-idp:*:*:userpool/*", "arn:aws:ec2:*:*:verified-access-instance/*" ] }
AWS WAF Classic
{ "Sid": "classicWaf", "Effect": "Allow", "Action": [ "waf:ListWebACLs", "waf:GetWebACL" ], "Resource": [ "arn:aws:waf::*:webacl/*", "arn:aws:waf-regional:*:*:webacl/*" ] }
AWS Direct Connect
{ "Sid": "directconnect", "Effect": "Allow", "Action": [ "directconnect:DescribeConnections", "directconnect:DescribeDirectConnectGatewayAssociations", "directconnect:DescribeDirectConnectGatewayAttachments", "directconnect:DescribeVirtualGateways" ], "Resource": [ "arn:aws:directconnect::*:dx-gateway/*", "arn:aws:directconnect:*:*:dxcon/*", "arn:aws:directconnect:*:*:dxlag/*", "arn:aws:directconnect:*:*:dxvif/*" ] }
AWS Transit GatewayRutas de
{ "Sid": "ec2Get", "Effect": "Allow", "Action": [ "ec2:SearchTransitGatewayRoutes" ], "Resource": [ "arn:aws:ec2:*:*:transit-gateway-route-table/*" ] }
AWS Network Firewall
{ "Sid": "networkFirewall", "Effect": "Allow", "Action": [ "network-firewall:ListFirewalls", "network-firewall:ListFirewallPolicies", "network-firewall:ListRuleGroups", "network-firewall:DescribeFirewall", "network-firewall:DescribeFirewallPolicy", "network-firewall:DescribeRuleGroup" ], "Resource": [ "arn:aws:network-firewall:*:*:*/*" ] }
Amazon API Gateway
{ "Sid": "apiGatewayGetAPI", "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/restapis", "arn:aws:apigateway:*::/restapis/*", "arn:aws:apigateway:*::/apis", "arn:aws:apigateway:*::/apis/*", "arn:aws:apigateway:*::/tags/*", "arn:aws:apigateway:*::/vpclinks", "arn:aws:apigateway:*::/vpclinks/*" ] }
Crear un rol vinculado al servicio para director de seguridad de red de AWS Shield
No necesita crear manualmente un rol vinculado a servicios. Al realizar su primer análisis de red, el director de seguridad de red de AWS Shield, se encarga de crear automáticamente el rol vinculado al servicio.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al habilitar AWS Shield los registros de directores de seguridad de red de AWS Shield, el director de seguridad de red se encarga de volver crear automáticamente el rol vinculado al servicio.
Editar un rol vinculado al servicio para director de seguridad de red de AWS Shield
El director de seguridad de red de AWS Shield no le permite modificar el rol vinculado al servicio NetworkSecurityDirectorServiceLinkedRolePolicy. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Edición de un rol vinculado a servicios en la Guía del usuario de IAM.
Borrar un rol vinculado al servicio para director de seguridad de red de AWS Shield
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.
De esta forma, se protegen los recursos del director de seguridad de red de AWS Shield, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
nota
Si el servicio del director de seguridad de red de AWS Shield está utilizando el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.
Para eliminar manualmente el rol vinculado a servicios mediante IAM
Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado a servicios NetworkSecurityDirectorServiceLinkedRolePolicy. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.
Regiones admitidas para roles vinculados al servicio de director de seguridad de red de AWS Shield
nota
El director de seguridad de red AWS Shield está en versión preliminar y está sujeto a cambios.
El director de seguridad de red de AWS Shield admite el uso de roles vinculados al servicio en las siguientes regiones y solo puede recuperar datos sobre sus recursos en dichas regiones.
| Nombre de la región | Región |
|---|---|
| US East (N. Virginia) | us-east-1 |
| Europe (Stockholm) | eu-north-1 |
