Memberikan akses untuk SRT

Halaman ini memberikan instruksi untuk memberikan izin kepada SRT untuk bertindak atas nama Anda, sehingga mereka dapat mengakses AWS WAF log Anda dan melakukan panggilan ke AWS Shield Advanced dan AWS WAF APIs untuk mengelola perlindungan.

Selama peristiwa lapisan DDo S aplikasi, SRT dapat memantau AWS WAF permintaan untuk mengidentifikasi lalu lintas anomali dan membantu menyusun AWS WAF aturan khusus untuk mengurangi sumber lalu lintas yang menyinggung.

Selain itu, Anda dapat memberikan SRT akses ke data lain yang telah Anda simpan di bucket Amazon S3, seperti tangkapan paket atau log dari Application Load Balancer, CloudFront Amazon, atau dari sumber pihak ketiga.

catatan

Untuk menggunakan layanan dari Shield Response Team (SRT), Anda harus berlangganan paket Business Support atau paket Enterprise Support.

Untuk mengelola izin untuk SRT

Di halaman Ikhtisar AWS Shield konsol, di bawah Konfigurasi dukungan AWS SRT, pilih Edit akses SRT. Halaman akses Edit AWS Shield Response Team (SRT) terbuka.
Untuk pengaturan akses SRT pilih salah satu opsi:
- Jangan berikan SRT akses ke akun saya — Shield menghapus izin apa pun yang sebelumnya Anda berikan kepada SRT untuk mengakses akun dan sumber daya Anda.
- Buat peran baru bagi SRT untuk mengakses akun saya — Shield membuat peran yang mempercayai prinsip layanandrt.shield.amazonaws.com, yang mewakili SRT, dan melampirkan kebijakan terkelola padanya. AWSShieldDRTAccessPolicy Kebijakan terkelola memungkinkan SRT melakukan AWS Shield Advanced dan panggilan AWS WAF API atas nama Anda dan mengakses AWS WAF log Anda. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat AWS kebijakan terkelola: AWSShield DRTAccess Kebijakan.
- Pilih peran yang ada untuk SRT untuk mengakses akun saya — Untuk opsi ini, Anda harus mengubah konfigurasi peran di AWS Identity and Access Management (IAM) sebagai berikut:
  - Lampirkan kebijakan yang dikelola AWSShieldDRTAccessPolicy ke peran. Kebijakan terkelola ini memungkinkan SRT melakukan AWS Shield Advanced dan panggilan AWS WAF API atas nama Anda dan mengakses AWS WAF log Anda. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat AWS kebijakan terkelola: AWSShield DRTAccess Kebijakan. Untuk informasi tentang melampirkan kebijakan terkelola ke peran Anda, lihat Melampirkan dan Melepaskan Kebijakan IAM.
  - Memodifikasi peran untuk mempercayai kepala layanandrt.shield.amazonaws.com. Ini adalah prinsip layanan yang mewakili SRT. Untuk informasi selengkapnya, lihat IAM JSON Policy Elements: Principal.
Untuk (Opsional): Berikan akses SRT ke bucket Amazon S3, jika Anda perlu berbagi data yang tidak ada di log ACL web AWS WAF Anda, konfigurasikan ini. Misalnya, Application Load Balancer mengakses log, log Amazon CloudFront , atau log dari sumber pihak ketiga.

catatan
Anda tidak perlu melakukan ini untuk log ACL AWS WAF web Anda. SRT mendapatkan akses ke mereka ketika Anda memberikan akses ke akun Anda.
1. Konfigurasikan bucket Amazon S3 sesuai dengan pedoman berikut:
  - Lokasi bucket harus Akun AWS sama dengan yang Anda berikan kepada SRT akses umum, pada langkah sebelumnya akses AWS Shield Response Team (SRT).
  - Ember dapat berupa plaintext atau SSE-S3 dienkripsi. Untuk informasi selengkapnya tentang enkripsi Amazon S3 SSE-S3, lihat Melindungi Data Menggunakan Enkripsi Sisi Server dengan Kunci Enkripsi Terkelola Amazon S3 (SSE-S3) di Panduan Pengguna Amazon S3.
    
    SRT tidak dapat melihat atau memproses log yang disimpan dalam bucket yang dienkripsi dengan kunci yang disimpan di (). AWS Key Management Service AWS KMS
2. Di Shield Advanced (Opsional): Berikan akses SRT ke bagian bucket Amazon S3, untuk setiap bucket Amazon S3 tempat data atau log Anda disimpan, masukkan nama bucket dan pilih Tambahkan Bucket. Anda dapat menambahkan hingga 10 ember.
  
  Ini memberi SRT izin berikut pada setiap bucket:s3:GetBucketLocation,, s3:GetObject dan. s3:ListBucket
  
  Jika Anda ingin memberikan izin SRT untuk mengakses lebih dari 10 bucket, Anda dapat melakukannya dengan mengedit kebijakan bucket tambahan dan secara manual memberikan izin yang tercantum di sini untuk SRT.
  
  Berikut ini menunjukkan contoh daftar kebijakan.
```
{
    "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
    "Effect": "Allow",
    "Principal": {
        "Service": "drt.shield.amazonaws.com"
    },
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": [
        "arn:aws:s3:::bucket-name",
        "arn:aws:s3:::bucket-name/*"
    ]
} 
```
Pilih Simpan untuk menyimpan perubahan Anda.

Anda juga dapat mengotorisasi SRT melalui API dengan membuat peran IAM, melampirkan Kebijakan AWSShield DRTAccess kebijakan padanya, dan kemudian meneruskan peran tersebut ke Associate operasi. DRTRole

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Dukungan SRT

Menyiapkan keterlibatan proaktif