Memperkenalkan pengalaman konsol baru untuk AWS WAF
Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat Bekerja dengan pengalaman konsol yang diperbarui.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan peran terkait layanan untuk direktur keamanan AWS Shield jaringan
Bagian ini menjelaskan cara menggunakan peran terkait layanan untuk memberi direktur keamanan AWS Shield jaringan akses ke sumber daya di akun Anda AWS .
AWS Shield direktur keamanan jaringan menggunakan peran AWS Identity and Access Management terkait layanan (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke direktur keamanan AWS Shield jaringan. Peran terkait layanan telah ditentukan sebelumnya oleh direktur keamanan AWS Shield jaringan dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan direktur keamanan AWS Shield jaringan lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. AWS Shield direktur keamanan jaringan mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya direktur keamanan AWS Shield jaringan yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin. Kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.
Lihat peran lengkap terkait layanan di konsol IAM:. NetworkSecurityDirectorServiceLinkedRolePolicy
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, silakan lihat Izin Peran Tertaut Layanan di Panduan Pengguna IAM.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat Layanan AWS yang bisa digunakan dengan IAM dan carilah layanan yang memiliki opsi Ya di kolom Peran Terkait Layanan. Pilih Ya dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
Izin peran terkait layanan untuk direktur keamanan jaringan AWS Shield
Peran tertaut layanan NetworkSecurityDirectorServiceLinkedRolePolicy memercayai layanan berikut untuk mengambil peran tersebut:
network-director.amazonaws.com
Kami NetworkSecurityDirectorServiceLinkedRolePolicy memberikan izin direktur keamanan AWS Shield jaringan untuk mengakses dan menganalisis berbagai AWS sumber daya dan layanan atas nama Anda. Hal ini mencakup:
Mengambil konfigurasi jaringan dan pengaturan keamanan dari sumber daya Amazon EC2
Mengakses CloudWatch metrik untuk menganalisis pola lalu lintas jaringan
Mengumpulkan informasi tentang penyeimbang beban dan kelompok sasaran
Mengumpulkan AWS WAF konfigurasi dan aturan
Mengakses informasi AWS Direct Connect gateway
Dan banyak lagi, seperti yang dijelaskan dalam daftar izin di bawah ini
Daftar berikut adalah untuk izin yang tidak mendukung downscoping ke sumber daya tertentu. Sisanya downscoped untuk sumber daya layanan yang ditunjukkan.
{ "Sid": "ResourceLevelPermissionNotSupported", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "ec2:DescribeAvailabilityZones", "ec2:DescribeCustomerGateways", "ec2:DescribeInstances", "ec2:DescribeInternetGateways", "ec2:DescribeManagedPrefixLists", "ec2:DescribeNatGateways", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRegions", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeTransitGateways", "ec2:DescribeTransitGatewayVpcAttachments", "ec2:DescribeTransitGatewayAttachments", "ec2:DescribeTransitGatewayPeeringAttachments", "ec2:DescribeTransitGatewayRouteTables", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServiceConfigurations", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs", "ec2:DescribeVpnConnections", "ec2:DescribeVpnGateways", "ec2:GetTransitGatewayRouteTablePropagations", "ec2:GetManagedPrefixListEntries", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTags", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:DescribeTargetGroupAttributes", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:DescribeLoadBalancencerAttributes", "wafv2:ListWebACLs", "cloudfront:ListDistributions", "cloudfront:ListTagsForResource", "directconnect:DescribeDirectConnectGateways", "directconnect:DescribeVirtualInterfaces" ], "Resource": "*" }
NetworkSecurityDirectorServiceLinkedRolePolicyizin peran terkait layanan
Daftar berikut mencakup semua izin yang diaktifkan oleh peran NetworkSecurityDirectorServiceLinkedRolePolicy terkait layanan.
Amazon CloudFront
{ "Sid": "cloudfront", "Effect": "Allow", "Action": [ "cloudfront:GetDistribution" ], "Resource": "arn:aws:cloudfront::*:distribution/*" }
AWS WAF
{ "Sid": "wafv2", "Effect": "Allow", "Action": [ "wafv2:ListResourcesForWebACL", "wafv2:ListRuleGroups", "wafv2:ListAvailableManagedRuleGroups", "wafv2:GetRuleGroup", "wafv2:DescribeManagedRuleGroup", "wafv2:GetWebACL" ], "Resource": [ "arn:aws:wafv2:*:*:global/rulegroup/*", "arn:aws:wafv2:*:*:regional/rulegroup/*", "arn:aws:wafv2:*:*:global/managedruleset/*", "arn:aws:wafv2:*:*:regional/managedruleset/*", "arn:aws:wafv2:*:*:global/webacl/*/*", "arn:aws:wafv2:*:*:regional/webacl/*/*", "arn:aws:apprunner:*:*:service/*", "arn:aws:cognito-idp:*:*:userpool/*", "arn:aws:ec2:*:*:verified-access-instance/*" ] }
AWS WAF Klasik
{ "Sid": "classicWaf", "Effect": "Allow", "Action": [ "waf:ListWebACLs", "waf:GetWebACL" ], "Resource": [ "arn:aws:waf::*:webacl/*", "arn:aws:waf-regional:*:*:webacl/*" ] }
AWS Direct Connect
{ "Sid": "directconnect", "Effect": "Allow", "Action": [ "directconnect:DescribeConnections", "directconnect:DescribeDirectConnectGatewayAssociations", "directconnect:DescribeDirectConnectGatewayAttachments", "directconnect:DescribeVirtualGateways" ], "Resource": [ "arn:aws:directconnect::*:dx-gateway/*", "arn:aws:directconnect:*:*:dxcon/*", "arn:aws:directconnect:*:*:dxlag/*", "arn:aws:directconnect:*:*:dxvif/*" ] }
AWS Transit Gateway rute
{ "Sid": "ec2Get", "Effect": "Allow", "Action": [ "ec2:SearchTransitGatewayRoutes" ], "Resource": [ "arn:aws:ec2:*:*:transit-gateway-route-table/*" ] }
AWS Network Firewall
{ "Sid": "networkFirewall", "Effect": "Allow", "Action": [ "network-firewall:ListFirewalls", "network-firewall:ListFirewallPolicies", "network-firewall:ListRuleGroups", "network-firewall:DescribeFirewall", "network-firewall:DescribeFirewallPolicy", "network-firewall:DescribeRuleGroup" ], "Resource": [ "arn:aws:network-firewall:*:*:*/*" ] }
Amazon API Gateway
{ "Sid": "apiGatewayGetAPI", "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/restapis", "arn:aws:apigateway:*::/restapis/*", "arn:aws:apigateway:*::/apis", "arn:aws:apigateway:*::/apis/*", "arn:aws:apigateway:*::/tags/*", "arn:aws:apigateway:*::/vpclinks", "arn:aws:apigateway:*::/vpclinks/*" ] }
Membuat peran terkait layanan untuk direktur keamanan AWS Shield jaringan
Anda tidak perlu membuat peran terkait layanan secara manual. Ketika Anda menjalankan analisis jaringan pertama Anda, direktur keamanan AWS Shield jaringan menciptakan peran terkait layanan untuk Anda.
Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda mengaktifkan pencatatan direktur keamanan AWS Shield AWS Shield jaringan, direktur keamanan jaringan membuat peran terkait layanan untuk Anda lagi.
Mengedit peran terkait layanan untuk direktur keamanan AWS Shield jaringan
AWS Shield direktur keamanan jaringan tidak mengizinkan Anda mengedit peran NetworkSecurityDirectorServiceLinkedRolePolicy terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat Mengedit Peran Tertaut Layanan dalam Panduan Pengguna IAM.
Menghapus peran terkait layanan untuk AWS Shield direktur keamanan jaringan
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.
Ini melindungi sumber daya direktur keamanan AWS Shield jaringan Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
catatan
Jika layanan direktur keamanan AWS Shield jaringan menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
Untuk menghapus peran tertaut layanan secara manual menggunakan IAM
Gunakan konsol IAM, CLI IAM, atau API CLI untuk menghapus peran tertaut layanan NetworkSecurityDirectorServiceLinkedRolePolicy. Untuk informasi selengkapnya, lihat Menghapus Peran Terkait Layanan di Panduan Pengguna IAM.
Wilayah yang Didukung untuk AWS Shield peran terkait layanan direktur keamanan jaringan
catatan
AWS Shield direktur keamanan jaringan dalam rilis pratinjau publik dan dapat berubah sewaktu-waktu.
AWS Shield direktur keamanan jaringan mendukung penggunaan peran terkait layanan di wilayah berikut dan hanya dapat mengambil data tentang sumber daya Anda di wilayah ini.
| Nama Wilayah | Wilayah |
|---|---|
| AS Timur (Virginia Utara) | us-east-1 |
| Eropa (Stockholm) | eu-north-1 |
