Utilizzo di ruoli collegati ai servizi per il direttore AWS Shield della sicurezza di rete - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, e direttore AWS Shield della sicurezza di rete
Autorizzazioni di ruolo collegate al servizio per il direttore della sicurezza di rete AWS ShieldCreazione di un ruolo collegato ai servizi per il direttore AWS Shield della sicurezza di reteModifica di un ruolo collegato ai servizi per il direttore della sicurezza di rete AWS ShieldEliminazione di un ruolo collegato al servizio per il direttore della sicurezza di rete AWS ShieldRegioni supportate per i ruoli AWS Shield collegati ai servizi di Network Security Director

Ti presentiamo una nuova esperienza di console per AWS WAF

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Utilizzo dell'esperienza console aggiornata.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli collegati ai servizi per il direttore AWS Shield della sicurezza di rete

Questa sezione spiega come utilizzare i ruoli collegati ai servizi per consentire al responsabile AWS Shield della sicurezza di rete di accedere alle risorse del tuo account. AWS

AWS Shield il direttore della sicurezza di rete utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente al AWS Shield direttore della sicurezza di rete. I ruoli collegati ai servizi sono predefiniti dal direttore AWS Shield della sicurezza di rete e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS

Un ruolo collegato ai servizi semplifica la configurazione del direttore AWS Shield della sicurezza di rete perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Shield il direttore della sicurezza di rete definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo il direttore della sicurezza di AWS Shield rete può assumerne i ruoli. Le autorizzazioni definite includono policy di attendibilità e di autorizzazioni. Questa policy delle autorizzazioni non può essere collegata ad alcun'altra entità IAM.

Scopri il ruolo completo collegato ai servizi nella console IAM:. NetworkSecurityDirectorServiceLinkedRolePolicy

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione Servizi AWS che funzionano con IAM e cerca i servizi che riportano nella colonna Ruolo associato ai servizi. Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni di ruolo collegate al servizio per il direttore della sicurezza di rete AWS Shield

Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi NetworkSecurityDirectorServiceLinkedRolePolicy considera attendibili i seguenti servizi:

  • network-director.amazonaws.com

NetworkSecurityDirectorServiceLinkedRolePolicyConcede al direttore della sicurezza AWS Shield della rete le autorizzazioni per accedere e analizzare varie AWS risorse e servizi per tuo conto. Questo include:

  • Recupero della configurazione di rete e delle impostazioni di sicurezza dalle risorse Amazon EC2

  • Accesso alle CloudWatch metriche per analizzare i modelli di traffico di rete

  • Raccolta di informazioni sui sistemi di bilanciamento del carico e sui gruppi target

  • Raccolta di AWS WAF configurazioni e regole

  • Accesso alle informazioni sul AWS Direct Connect gateway

  • E altro ancora, come indicato nell'elenco delle autorizzazioni riportato di seguito

L'elenco seguente riguarda le autorizzazioni che non supportano il downscoping a risorse specifiche. Le altre sono ridotte alle risorse di servizio indicate.


 {
  "Sid": "ResourceLevelPermissionNotSupported",
  "Effect": "Allow",
  "Action": [
    "cloudwatch:GetMetricData",
    "cloudwatch:GetMetricStatistics",
    "ec2:DescribeAvailabilityZones",
    "ec2:DescribeCustomerGateways",
    "ec2:DescribeInstances",
    "ec2:DescribeInternetGateways",
    "ec2:DescribeManagedPrefixLists",
    "ec2:DescribeNatGateways",
    "ec2:DescribeNetworkAcls",
    "ec2:DescribeNetworkInterfaces",
    "ec2:DescribePrefixLists",
    "ec2:DescribeRegions",
    "ec2:DescribeRouteTables",
    "ec2:DescribeSecurityGroups",
    "ec2:DescribeSubnets",
    "ec2:DescribeTransitGateways",
    "ec2:DescribeTransitGatewayVpcAttachments",
    "ec2:DescribeTransitGatewayAttachments",
    "ec2:DescribeTransitGatewayPeeringAttachments",
    "ec2:DescribeTransitGatewayRouteTables",
    "ec2:DescribeVpcEndpoints",
    "ec2:DescribeVpcEndpointServiceConfigurations",
    "ec2:DescribeVpcPeeringConnections",
    "ec2:DescribeVpcs",
    "ec2:DescribeVpnConnections",
    "ec2:DescribeVpnGateways",
    "ec2:GetTransitGatewayRouteTablePropagations",
    "ec2:GetManagedPrefixListEntries",
    "elasticloadbalancing:DescribeLoadBalancers",
    "elasticloadbalancing:DescribeTargetGroups",
    "elasticloadbalancing:DescribeTags",
    "elasticloadbalancing:DescribeListeners",
    "elasticloadbalancing:DescribeTargetHealth",
    "elasticloadbalancing:DescribeTargetGroupAttributes",
    "elasticloadbalancing:DescribeRules",
    "elasticloadbalancing:DescribeLoadBalancencerAttributes",
    "wafv2:ListWebACLs",
    "cloudfront:ListDistributions",
    "cloudfront:ListTagsForResource",
    "directconnect:DescribeDirectConnectGateways",
    "directconnect:DescribeVirtualInterfaces"
  ],
  "Resource": "*"
}
NetworkSecurityDirectorServiceLinkedRolePolicyautorizzazioni relative ai ruoli collegati al servizio

L'elenco seguente include tutte le autorizzazioni abilitate dal ruolo collegato al servizio. NetworkSecurityDirectorServiceLinkedRolePolicy

Amazon CloudFront


 {
  "Sid": "cloudfront",
  "Effect": "Allow",
  "Action": [
    "cloudfront:GetDistribution"
  ],
  "Resource": "arn:aws:cloudfront::*:distribution/*"
 }

AWS WAF


 {
  "Sid": "wafv2",
  "Effect": "Allow",
  "Action": [
    "wafv2:ListResourcesForWebACL",
    "wafv2:ListRuleGroups",
    "wafv2:ListAvailableManagedRuleGroups",
    "wafv2:GetRuleGroup",
    "wafv2:DescribeManagedRuleGroup",
    "wafv2:GetWebACL"
  ],
  "Resource": [
    "arn:aws:wafv2:*:*:global/rulegroup/*",
    "arn:aws:wafv2:*:*:regional/rulegroup/*",
    "arn:aws:wafv2:*:*:global/managedruleset/*",
    "arn:aws:wafv2:*:*:regional/managedruleset/*",
    "arn:aws:wafv2:*:*:global/webacl/*/*",
    "arn:aws:wafv2:*:*:regional/webacl/*/*",
    "arn:aws:apprunner:*:*:service/*",
    "arn:aws:cognito-idp:*:*:userpool/*",
    "arn:aws:ec2:*:*:verified-access-instance/*"
  ]
 }

AWS WAF Classico


 {
  "Sid": "classicWaf",
  "Effect": "Allow",
  "Action": [
    "waf:ListWebACLs",
    "waf:GetWebACL"
  ],
  "Resource": [
    "arn:aws:waf::*:webacl/*",
    "arn:aws:waf-regional:*:*:webacl/*"
  ]
}

AWS Direct Connect


 {
  "Sid": "directconnect",
  "Effect": "Allow",
  "Action": [
    "directconnect:DescribeConnections",
    "directconnect:DescribeDirectConnectGatewayAssociations",
    "directconnect:DescribeDirectConnectGatewayAttachments",
    "directconnect:DescribeVirtualGateways"
  ],
  "Resource": [
    "arn:aws:directconnect::*:dx-gateway/*",
    "arn:aws:directconnect:*:*:dxcon/*",
    "arn:aws:directconnect:*:*:dxlag/*",
    "arn:aws:directconnect:*:*:dxvif/*"
  ]
 }

AWS Transit Gateway percorsi


 {
  "Sid": "ec2Get",
  "Effect": "Allow",
  "Action": [
    "ec2:SearchTransitGatewayRoutes"
  ],
  "Resource": [
    "arn:aws:ec2:*:*:transit-gateway-route-table/*"
  ]
 }

AWS Network Firewall


 {
  "Sid": "networkFirewall",
  "Effect": "Allow",
  "Action": [
    "network-firewall:ListFirewalls",
    "network-firewall:ListFirewallPolicies",
    "network-firewall:ListRuleGroups",
    "network-firewall:DescribeFirewall",
    "network-firewall:DescribeFirewallPolicy",
    "network-firewall:DescribeRuleGroup"
  ],
  "Resource": [
    "arn:aws:network-firewall:*:*:*/*"
  ]
}

Amazon API Gateway


 {
   "Sid": "apiGatewayGetAPI",
   "Effect": "Allow",
   "Action": [
     "apigateway:GET"
   ],
  "Resource": [
    "arn:aws:apigateway:*::/restapis",
    "arn:aws:apigateway:*::/restapis/*",
    "arn:aws:apigateway:*::/apis",
    "arn:aws:apigateway:*::/apis/*",
    "arn:aws:apigateway:*::/tags/*",
    "arn:aws:apigateway:*::/vpclinks",
    "arn:aws:apigateway:*::/vpclinks/*"
  ]
 }

Creazione di un ruolo collegato ai servizi per il direttore AWS Shield della sicurezza di rete

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando esegui la tua prima analisi di rete, il direttore AWS Shield della sicurezza di rete crea automaticamente il ruolo collegato ai servizi.

Se elimini questo ruolo collegato ai servizi, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando abiliti la registrazione di AWS Shield Network Security Director, AWS Shield Network Security Director crea nuovamente il ruolo collegato ai servizi per te.

Modifica di un ruolo collegato ai servizi per il direttore della sicurezza di rete AWS Shield

AWS Shield il direttore della sicurezza di rete non consente di modificare il ruolo collegato al NetworkSecurityDirectorServiceLinkedRolePolicy servizio. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato al servizio per il direttore della sicurezza di rete AWS Shield

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.

Ciò protegge le risorse del direttore AWS Shield della sicurezza di rete perché non è possibile rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.

Nota

Se il servizio di direttore della sicurezza della AWS Shield rete utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per eliminare manualmente il ruolo collegato ai servizi mediante IAM

Usa la console IAM, la CLI IAM oppure l'API IAM per eliminare il ruolo collegato ai servizi NetworkSecurityDirectorServiceLinkedRolePolicy. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Regioni supportate per i ruoli AWS Shield collegati ai servizi di Network Security Director

Nota

AWS Shield Network Security Director è disponibile in anteprima pubblica ed è soggetto a modifiche.

AWS Shield network security director supporta l'utilizzo di ruoli collegati ai servizi nelle seguenti regioni e può recuperare i dati sulle risorse disponibili solo in queste aree.

Nome della regione Regione
US East (N. Virginia) us-east-1
Europa (Stoccolma) eu-north-1