Utilisation de rôles liés à un service pour le directeur de la AWS Shield sécurité réseau - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, et directeur de la sécurité AWS Shield réseau
Autorisations de rôle liées au service pour le directeur de la AWS Shield sécurité réseauCréation d'un rôle lié à un service pour le directeur de la sécurité AWS Shield réseauModification d'un rôle lié à un service pour le directeur de la sécurité AWS Shield réseauSuppression d'un rôle lié à un service pour le directeur de la sécurité AWS Shield réseauRégions prises en charge pour les AWS Shield rôles liés au service du directeur de la sécurité réseau

Présentation d'une nouvelle expérience de console pour AWS WAF

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour en savoir plus, consultez Utilisation de l'expérience de console mise à jour.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de rôles liés à un service pour le directeur de la AWS Shield sécurité réseau

Cette section explique comment utiliser les rôles liés à un service pour permettre au directeur de la sécurité AWS Shield réseau d'accéder aux ressources de votre AWS compte.

AWS Shield le directeur de la sécurité réseau utilise des AWS Identity and Access Management rôles liés à un service (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié au directeur de la sécurité AWS Shield réseau. Les rôles liés aux services sont prédéfinis par le directeur de la sécurité AWS Shield réseau et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.

Un rôle lié à un service facilite la configuration AWS Shield du directeur de sécurité réseau, car vous n'avez pas à ajouter manuellement les autorisations nécessaires. AWS Shield le directeur de la sécurité réseau définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul le directeur de la sécurité AWS Shield réseau peut assumer ses rôles. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisations. Cette politique d'autorisations ne peut pas être attachée à une autre entité IAM.

Voir le rôle complet lié au service dans la console IAM :. NetworkSecurityDirectorServiceLinkedRolePolicy

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez Service-Linked Role Permissions (autorisations du rôle lié à un service) dans le Guide de l’utilisateur IAM.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés aux services, consultez Services AWS fonctionnant avec IAM et recherchez les services où Oui figure dans la colonne Rôle lié à un service. Choisissez un Yes (oui) ayant un lien permettant de consulter les détails du rôle pour ce service.

Autorisations de rôle liées au service pour le directeur de la AWS Shield sécurité réseau

Le rôle lié à un service NetworkSecurityDirectorServiceLinkedRolePolicy approuve les services suivants pour endosser le rôle :

  • network-director.amazonaws.com

Il NetworkSecurityDirectorServiceLinkedRolePolicy accorde au directeur de la sécurité du AWS Shield réseau les autorisations d'accéder à diverses AWS ressources et services et de les analyser en votre nom. Cela consiste notamment à :

  • Récupération de la configuration réseau et des paramètres de sécurité à partir des ressources Amazon EC2

  • Accès aux CloudWatch métriques pour analyser les modèles de trafic réseau

  • Collecte d'informations sur les équilibreurs de charge et les groupes cibles

  • Collecter des AWS WAF configurations et des règles

  • Accès aux informations de la AWS Direct Connect passerelle

  • Et bien plus encore, comme indiqué dans la liste des autorisations ci-dessous

La liste suivante concerne les autorisations qui ne permettent pas de réduire la portée à des ressources spécifiques. Le reste est réduit pour tenir compte des ressources de service indiquées.


 {
  "Sid": "ResourceLevelPermissionNotSupported",
  "Effect": "Allow",
  "Action": [
    "cloudwatch:GetMetricData",
    "cloudwatch:GetMetricStatistics",
    "ec2:DescribeAvailabilityZones",
    "ec2:DescribeCustomerGateways",
    "ec2:DescribeInstances",
    "ec2:DescribeInternetGateways",
    "ec2:DescribeManagedPrefixLists",
    "ec2:DescribeNatGateways",
    "ec2:DescribeNetworkAcls",
    "ec2:DescribeNetworkInterfaces",
    "ec2:DescribePrefixLists",
    "ec2:DescribeRegions",
    "ec2:DescribeRouteTables",
    "ec2:DescribeSecurityGroups",
    "ec2:DescribeSubnets",
    "ec2:DescribeTransitGateways",
    "ec2:DescribeTransitGatewayVpcAttachments",
    "ec2:DescribeTransitGatewayAttachments",
    "ec2:DescribeTransitGatewayPeeringAttachments",
    "ec2:DescribeTransitGatewayRouteTables",
    "ec2:DescribeVpcEndpoints",
    "ec2:DescribeVpcEndpointServiceConfigurations",
    "ec2:DescribeVpcPeeringConnections",
    "ec2:DescribeVpcs",
    "ec2:DescribeVpnConnections",
    "ec2:DescribeVpnGateways",
    "ec2:GetTransitGatewayRouteTablePropagations",
    "ec2:GetManagedPrefixListEntries",
    "elasticloadbalancing:DescribeLoadBalancers",
    "elasticloadbalancing:DescribeTargetGroups",
    "elasticloadbalancing:DescribeTags",
    "elasticloadbalancing:DescribeListeners",
    "elasticloadbalancing:DescribeTargetHealth",
    "elasticloadbalancing:DescribeTargetGroupAttributes",
    "elasticloadbalancing:DescribeRules",
    "elasticloadbalancing:DescribeLoadBalancencerAttributes",
    "wafv2:ListWebACLs",
    "cloudfront:ListDistributions",
    "cloudfront:ListTagsForResource",
    "directconnect:DescribeDirectConnectGateways",
    "directconnect:DescribeVirtualInterfaces"
  ],
  "Resource": "*"
}
NetworkSecurityDirectorServiceLinkedRolePolicyautorisations de rôle liées à un service

La liste suivante couvre toutes les autorisations activées par le rôle NetworkSecurityDirectorServiceLinkedRolePolicy lié au service.

Amazon CloudFront


 {
  "Sid": "cloudfront",
  "Effect": "Allow",
  "Action": [
    "cloudfront:GetDistribution"
  ],
  "Resource": "arn:aws:cloudfront::*:distribution/*"
 }

AWS WAF


 {
  "Sid": "wafv2",
  "Effect": "Allow",
  "Action": [
    "wafv2:ListResourcesForWebACL",
    "wafv2:ListRuleGroups",
    "wafv2:ListAvailableManagedRuleGroups",
    "wafv2:GetRuleGroup",
    "wafv2:DescribeManagedRuleGroup",
    "wafv2:GetWebACL"
  ],
  "Resource": [
    "arn:aws:wafv2:*:*:global/rulegroup/*",
    "arn:aws:wafv2:*:*:regional/rulegroup/*",
    "arn:aws:wafv2:*:*:global/managedruleset/*",
    "arn:aws:wafv2:*:*:regional/managedruleset/*",
    "arn:aws:wafv2:*:*:global/webacl/*/*",
    "arn:aws:wafv2:*:*:regional/webacl/*/*",
    "arn:aws:apprunner:*:*:service/*",
    "arn:aws:cognito-idp:*:*:userpool/*",
    "arn:aws:ec2:*:*:verified-access-instance/*"
  ]
 }

AWS WAF classique


 {
  "Sid": "classicWaf",
  "Effect": "Allow",
  "Action": [
    "waf:ListWebACLs",
    "waf:GetWebACL"
  ],
  "Resource": [
    "arn:aws:waf::*:webacl/*",
    "arn:aws:waf-regional:*:*:webacl/*"
  ]
}

AWS Direct Connect


 {
  "Sid": "directconnect",
  "Effect": "Allow",
  "Action": [
    "directconnect:DescribeConnections",
    "directconnect:DescribeDirectConnectGatewayAssociations",
    "directconnect:DescribeDirectConnectGatewayAttachments",
    "directconnect:DescribeVirtualGateways"
  ],
  "Resource": [
    "arn:aws:directconnect::*:dx-gateway/*",
    "arn:aws:directconnect:*:*:dxcon/*",
    "arn:aws:directconnect:*:*:dxlag/*",
    "arn:aws:directconnect:*:*:dxvif/*"
  ]
 }

AWS Transit Gateway itinéraires


 {
  "Sid": "ec2Get",
  "Effect": "Allow",
  "Action": [
    "ec2:SearchTransitGatewayRoutes"
  ],
  "Resource": [
    "arn:aws:ec2:*:*:transit-gateway-route-table/*"
  ]
 }

AWS Network Firewall


 {
  "Sid": "networkFirewall",
  "Effect": "Allow",
  "Action": [
    "network-firewall:ListFirewalls",
    "network-firewall:ListFirewallPolicies",
    "network-firewall:ListRuleGroups",
    "network-firewall:DescribeFirewall",
    "network-firewall:DescribeFirewallPolicy",
    "network-firewall:DescribeRuleGroup"
  ],
  "Resource": [
    "arn:aws:network-firewall:*:*:*/*"
  ]
}

Amazon API Gateway


 {
   "Sid": "apiGatewayGetAPI",
   "Effect": "Allow",
   "Action": [
     "apigateway:GET"
   ],
  "Resource": [
    "arn:aws:apigateway:*::/restapis",
    "arn:aws:apigateway:*::/restapis/*",
    "arn:aws:apigateway:*::/apis",
    "arn:aws:apigateway:*::/apis/*",
    "arn:aws:apigateway:*::/tags/*",
    "arn:aws:apigateway:*::/vpclinks",
    "arn:aws:apigateway:*::/vpclinks/*"
  ]
 }

Création d'un rôle lié à un service pour le directeur de la sécurité AWS Shield réseau

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous exécutez votre première analyse réseau, le directeur de la sécurité AWS Shield réseau crée pour vous le rôle lié au service.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous activez la journalisation du directeur de la sécurité AWS Shield AWS Shield réseau, le directeur de la sécurité réseau crée à nouveau le rôle lié au service pour vous.

Modification d'un rôle lié à un service pour le directeur de la sécurité AWS Shield réseau

AWS Shield le directeur de la sécurité réseau ne vous permet pas de modifier le rôle NetworkSecurityDirectorServiceLinkedRolePolicy lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Suppression d'un rôle lié à un service pour le directeur de la sécurité AWS Shield réseau

Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.

Cela protège les ressources de votre directeur de la sécurité AWS Shield réseau, car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.

Note

Si le service du directeur de la sécurité AWS Shield réseau utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.

Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM

Utilisez la console IAM, l'interface de ligne de commande IAM ou l'API IAM pour supprimer le rôle lié à un service NetworkSecurityDirectorServiceLinkedRolePolicy. Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Régions prises en charge pour les AWS Shield rôles liés au service du directeur de la sécurité réseau

Note

AWS Shield le directeur de sécurité réseau est en version préliminaire publique et est sujet à modification.

AWS Shield le directeur de la sécurité réseau prend en charge l'utilisation de rôles liés à un service dans les régions suivantes et ne peut récupérer les données relatives à vos ressources que dans ces régions.

Nom de la région Région
USA Est (Virginie du Nord) us-east-1
Europe (Stockholm) eu-north-1