の新しいコンソールエクスペリエンスの紹介 AWS WAF
更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールの使用
このセクションでは、サービスにリンクされたロールを使用して、 アカウント内のリソースへのアクセス権を AWS Shield ネットワークセキュリティディレクターに付与する AWS 方法について説明します。
AWS Shield ネットワークセキュリティディレクターは AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、 AWS Shield ネットワークセキュリティディレクターに直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、 AWS Shield ネットワークセキュリティディレクターによって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 AWS Shield ネットワークセキュリティディレクターの設定が簡単になります。 AWS Shield ネットワークセキュリティディレクターは、サービスにリンクされたロールのアクセス許可を定義し、特に定義されている場合を除き、 AWS Shield ネットワークセキュリティディレクターのみがそのロールを引き受けることができます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。
IAM コンソールでサービスにリンクされた完全なロールNetworkSecurityDirectorServiceLinkedRolePolicy
サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの許可」を参照してください。
サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携するAWS サービス」を参照して、サービスにリンクされたロール列がはいになっているサービスを見つけてください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[はい] リンクを選択してください。
AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールのアクセス許可
NetworkSecurityDirectorServiceLinkedRolePolicy サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
network-director.amazonaws.com
は、ユーザーに代わってさまざまな AWS リソースやサービスにアクセスして分析するためのアクセス許可を AWS Shield ネットワークセキュリティディレクターにNetworkSecurityDirectorServiceLinkedRolePolicy付与します。これには、以下が含まれます。
Amazon EC2 リソースからのネットワーク設定とセキュリティ設定の取得
CloudWatch メトリクスにアクセスしてネットワークトラフィックパターンを分析する
ロードバランサーとターゲットグループに関する情報の収集
AWS WAF 設定とルールの収集
AWS Direct Connect ゲートウェイ情報へのアクセス
さらに、以下のアクセス許可リストで詳しく説明しています。
次のリストは、特定のリソースへのダウンスコープをサポートしていないアクセス許可を対象としています。残りは、指定されたサービスリソースに対してダウンスコープされます。
{ "Sid": "ResourceLevelPermissionNotSupported", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "ec2:DescribeAvailabilityZones", "ec2:DescribeCustomerGateways", "ec2:DescribeInstances", "ec2:DescribeInternetGateways", "ec2:DescribeManagedPrefixLists", "ec2:DescribeNatGateways", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRegions", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeTransitGateways", "ec2:DescribeTransitGatewayVpcAttachments", "ec2:DescribeTransitGatewayAttachments", "ec2:DescribeTransitGatewayPeeringAttachments", "ec2:DescribeTransitGatewayRouteTables", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServiceConfigurations", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs", "ec2:DescribeVpnConnections", "ec2:DescribeVpnGateways", "ec2:GetTransitGatewayRouteTablePropagations", "ec2:GetManagedPrefixListEntries", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTags", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:DescribeTargetGroupAttributes", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:DescribeLoadBalancencerAttributes", "wafv2:ListWebACLs", "cloudfront:ListDistributions", "cloudfront:ListTagsForResource", "directconnect:DescribeDirectConnectGateways", "directconnect:DescribeVirtualInterfaces" ], "Resource": "*" }
NetworkSecurityDirectorServiceLinkedRolePolicy サービスにリンクされたロールのアクセス許可
次のリストは、NetworkSecurityDirectorServiceLinkedRolePolicyサービスにリンクされたロールによって有効になっているすべてのアクセス許可を対象としています。
Amazon CloudFront
{ "Sid": "cloudfront", "Effect": "Allow", "Action": [ "cloudfront:GetDistribution" ], "Resource": "arn:aws:cloudfront::*:distribution/*" }
AWS WAF
{ "Sid": "wafv2", "Effect": "Allow", "Action": [ "wafv2:ListResourcesForWebACL", "wafv2:ListRuleGroups", "wafv2:ListAvailableManagedRuleGroups", "wafv2:GetRuleGroup", "wafv2:DescribeManagedRuleGroup", "wafv2:GetWebACL" ], "Resource": [ "arn:aws:wafv2:*:*:global/rulegroup/*", "arn:aws:wafv2:*:*:regional/rulegroup/*", "arn:aws:wafv2:*:*:global/managedruleset/*", "arn:aws:wafv2:*:*:regional/managedruleset/*", "arn:aws:wafv2:*:*:global/webacl/*/*", "arn:aws:wafv2:*:*:regional/webacl/*/*", "arn:aws:apprunner:*:*:service/*", "arn:aws:cognito-idp:*:*:userpool/*", "arn:aws:ec2:*:*:verified-access-instance/*" ] }
AWS WAF クラシック
{ "Sid": "classicWaf", "Effect": "Allow", "Action": [ "waf:ListWebACLs", "waf:GetWebACL" ], "Resource": [ "arn:aws:waf::*:webacl/*", "arn:aws:waf-regional:*:*:webacl/*" ] }
AWS Direct Connect
{ "Sid": "directconnect", "Effect": "Allow", "Action": [ "directconnect:DescribeConnections", "directconnect:DescribeDirectConnectGatewayAssociations", "directconnect:DescribeDirectConnectGatewayAttachments", "directconnect:DescribeVirtualGateways" ], "Resource": [ "arn:aws:directconnect::*:dx-gateway/*", "arn:aws:directconnect:*:*:dxcon/*", "arn:aws:directconnect:*:*:dxlag/*", "arn:aws:directconnect:*:*:dxvif/*" ] }
AWS Transit Gateway ルート
{ "Sid": "ec2Get", "Effect": "Allow", "Action": [ "ec2:SearchTransitGatewayRoutes" ], "Resource": [ "arn:aws:ec2:*:*:transit-gateway-route-table/*" ] }
AWS Network Firewall
{ "Sid": "networkFirewall", "Effect": "Allow", "Action": [ "network-firewall:ListFirewalls", "network-firewall:ListFirewallPolicies", "network-firewall:ListRuleGroups", "network-firewall:DescribeFirewall", "network-firewall:DescribeFirewallPolicy", "network-firewall:DescribeRuleGroup" ], "Resource": [ "arn:aws:network-firewall:*:*:*/*" ] }
Amazon API Gateway
{ "Sid": "apiGatewayGetAPI", "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/restapis", "arn:aws:apigateway:*::/restapis/*", "arn:aws:apigateway:*::/apis", "arn:aws:apigateway:*::/apis/*", "arn:aws:apigateway:*::/tags/*", "arn:aws:apigateway:*::/vpclinks", "arn:aws:apigateway:*::/vpclinks/*" ] }
AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。最初のネットワーク分析を実行すると、 AWS Shield Network Security Director がサービスにリンクされたロールを作成します。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。 AWS Shield ネットワークセキュリティディレクターのログ記録を有効にすると、 AWS Shield ネットワークセキュリティディレクターはサービスにリンクされたロールを再度作成します。
AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールの編集
AWS Shield Network Security Director では、NetworkSecurityDirectorServiceLinkedRolePolicyサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。
AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
これにより、リソースにアクセスするためのアクセス許可が誤って削除されないため、 AWS Shield ネットワークセキュリティディレクターのリソースが保護されます。
注記
リソースを削除しようとしたときに AWS Shield ネットワークセキュリティディレクターサービスがロールを使用している場合、削除が失敗する可能性があります。その場合は、数分待ってからオペレーションを再試行してください。
IAM を使用してサービスリンクロールを手動で削除するには
NetworkSecurityDirectorServiceLinkedRolePolicy サービスにリンクされたロールを削除するには、IAM コンソール、IAM CLI、または IAM API を使用します。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの削除」を参照してください。
AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールでサポートされているリージョン
注記
AWS Shield ネットワークセキュリティディレクターはパブリックプレビューリリースであり、変更される可能性があります。
AWS Shield Network Security Director は、以下のリージョンでサービスにリンクされたロールの使用をサポートし、これらのリージョンのリソースに関するデータのみを取得できます。
| リージョン名 | リージョン |
|---|---|
| US East (N. Virginia) | us-east-1 |
| Europe (Stockholm) | eu-north-1 |
