Apresentando uma nova experiência de console para AWS WAF
Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Consulte mais detalhes em Trabalhando com a experiência atualizada do console.
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando funções vinculadas a serviços para diretor de segurança AWS Shield de rede
Esta seção explica como usar funções vinculadas a serviços para dar ao diretor de segurança de AWS Shield rede acesso aos recursos da sua AWS conta.
AWS Shield o diretor de segurança de rede usa AWS Identity and Access Management funções vinculadas ao serviço (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao diretor de segurança AWS Shield da rede. As funções vinculadas ao serviço são predefinidas pelo diretor de segurança da AWS Shield rede e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração do diretor de segurança de AWS Shield rede porque você não precisa adicionar manualmente as permissões necessárias. AWS Shield o diretor de segurança de rede define as permissões de suas funções vinculadas ao serviço e, a menos que definido de outra forma, somente o diretor de segurança de AWS Shield rede pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões. Essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
Veja a função completa vinculada ao serviço no console do IAM:. NetworkSecurityDirectorServiceLinkedRolePolicy
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.
Para obter informações sobre outros serviços suportados por perfis vinculados a serviços, consulte Serviços da AWS Suportados pelo IAM e procure os serviços que apresentarem Sim na coluna Função Vinculada a Serviço.. Escolha um Sim com um link para visualizar a documentação do perfil vinculado para esse serviço.
Permissões de função vinculadas a serviços para diretor de segurança AWS Shield de rede
O perfil vinculado ao serviço NetworkSecurityDirectorServiceLinkedRolePolicy confia nos seguintes serviços para aceitar o perfil:
network-director.amazonaws.com
Isso NetworkSecurityDirectorServiceLinkedRolePolicy AWS Shield concede permissões ao diretor de segurança de rede para acessar e analisar vários AWS recursos e serviços em seu nome. Isso inclui:
Recuperando configurações de rede e configurações de segurança dos recursos da Amazon EC2
Acessando CloudWatch métricas para analisar padrões de tráfego de rede
Coleta de informações sobre balanceadores de carga e grupos-alvo
AWS WAF Coletando configurações e regras
Acessando informações do AWS Direct Connect gateway
E mais, conforme detalhado na lista de permissões abaixo
A lista a seguir é para permissões que não oferecem suporte à redução do escopo para recursos específicos. O restante é reduzido para os recursos de serviço indicados.
{ "Sid": "ResourceLevelPermissionNotSupported", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "ec2:DescribeAvailabilityZones", "ec2:DescribeCustomerGateways", "ec2:DescribeInstances", "ec2:DescribeInternetGateways", "ec2:DescribeManagedPrefixLists", "ec2:DescribeNatGateways", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRegions", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeTransitGateways", "ec2:DescribeTransitGatewayVpcAttachments", "ec2:DescribeTransitGatewayAttachments", "ec2:DescribeTransitGatewayPeeringAttachments", "ec2:DescribeTransitGatewayRouteTables", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServiceConfigurations", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs", "ec2:DescribeVpnConnections", "ec2:DescribeVpnGateways", "ec2:GetTransitGatewayRouteTablePropagations", "ec2:GetManagedPrefixListEntries", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTags", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:DescribeTargetGroupAttributes", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:DescribeLoadBalancencerAttributes", "wafv2:ListWebACLs", "cloudfront:ListDistributions", "cloudfront:ListTagsForResource", "directconnect:DescribeDirectConnectGateways", "directconnect:DescribeVirtualInterfaces" ], "Resource": "*" }
NetworkSecurityDirectorServiceLinkedRolePolicypermissões de função vinculadas ao serviço
A lista a seguir abrange todas as permissões habilitadas pela função NetworkSecurityDirectorServiceLinkedRolePolicy vinculada ao serviço.
Amazon CloudFront
{ "Sid": "cloudfront", "Effect": "Allow", "Action": [ "cloudfront:GetDistribution" ], "Resource": "arn:aws:cloudfront::*:distribution/*" }
AWS WAF
{ "Sid": "wafv2", "Effect": "Allow", "Action": [ "wafv2:ListResourcesForWebACL", "wafv2:ListRuleGroups", "wafv2:ListAvailableManagedRuleGroups", "wafv2:GetRuleGroup", "wafv2:DescribeManagedRuleGroup", "wafv2:GetWebACL" ], "Resource": [ "arn:aws:wafv2:*:*:global/rulegroup/*", "arn:aws:wafv2:*:*:regional/rulegroup/*", "arn:aws:wafv2:*:*:global/managedruleset/*", "arn:aws:wafv2:*:*:regional/managedruleset/*", "arn:aws:wafv2:*:*:global/webacl/*/*", "arn:aws:wafv2:*:*:regional/webacl/*/*", "arn:aws:apprunner:*:*:service/*", "arn:aws:cognito-idp:*:*:userpool/*", "arn:aws:ec2:*:*:verified-access-instance/*" ] }
AWS WAF clássico
{ "Sid": "classicWaf", "Effect": "Allow", "Action": [ "waf:ListWebACLs", "waf:GetWebACL" ], "Resource": [ "arn:aws:waf::*:webacl/*", "arn:aws:waf-regional:*:*:webacl/*" ] }
AWS Direct Connect
{ "Sid": "directconnect", "Effect": "Allow", "Action": [ "directconnect:DescribeConnections", "directconnect:DescribeDirectConnectGatewayAssociations", "directconnect:DescribeDirectConnectGatewayAttachments", "directconnect:DescribeVirtualGateways" ], "Resource": [ "arn:aws:directconnect::*:dx-gateway/*", "arn:aws:directconnect:*:*:dxcon/*", "arn:aws:directconnect:*:*:dxlag/*", "arn:aws:directconnect:*:*:dxvif/*" ] }
AWS Transit Gateway rotas
{ "Sid": "ec2Get", "Effect": "Allow", "Action": [ "ec2:SearchTransitGatewayRoutes" ], "Resource": [ "arn:aws:ec2:*:*:transit-gateway-route-table/*" ] }
AWS Network Firewall
{ "Sid": "networkFirewall", "Effect": "Allow", "Action": [ "network-firewall:ListFirewalls", "network-firewall:ListFirewallPolicies", "network-firewall:ListRuleGroups", "network-firewall:DescribeFirewall", "network-firewall:DescribeFirewallPolicy", "network-firewall:DescribeRuleGroup" ], "Resource": [ "arn:aws:network-firewall:*:*:*/*" ] }
Amazon API Gateway
{ "Sid": "apiGatewayGetAPI", "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/restapis", "arn:aws:apigateway:*::/restapis/*", "arn:aws:apigateway:*::/apis", "arn:aws:apigateway:*::/apis/*", "arn:aws:apigateway:*::/tags/*", "arn:aws:apigateway:*::/vpclinks", "arn:aws:apigateway:*::/vpclinks/*" ] }
Criação de uma função vinculada a serviços para diretor de segurança AWS Shield de rede
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você executa sua primeira análise de rede, o diretor AWS Shield de segurança de rede cria a função vinculada ao serviço para você.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você ativa o AWS Shield registro do diretor de segurança de AWS Shield rede, o diretor de segurança de rede cria a função vinculada ao serviço para você novamente.
Editando uma função vinculada a serviços para o diretor de segurança AWS Shield de rede
AWS Shield o diretor de segurança de rede não permite que você edite a função NetworkSecurityDirectorServiceLinkedRolePolicy vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.
Excluindo uma função vinculada ao serviço para AWS Shield o diretor de segurança de rede
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
Isso protege seus recursos de diretor de segurança de AWS Shield rede porque você não pode remover inadvertidamente a permissão para acessar os recursos.
nota
Se o serviço do diretor de segurança de AWS Shield rede estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Como excluir manualmente o perfil vinculado ao serviço usando o IAM
Use o console, a CLI ou a API do IAM para excluir a função vinculada ao serviço NetworkSecurityDirectorServiceLinkedRolePolicy. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.
Regiões suportadas para funções vinculadas ao serviço do AWS Shield Network Security Director
nota
AWS Shield o director de segurança de rede está em versão prévia pública e está sujeito a alterações.
AWS Shield O network security director oferece suporte ao uso de funções vinculadas a serviços nas seguintes regiões e só pode recuperar dados sobre seus recursos nessas regiões.
| Nome da região | Região |
|---|---|
| Leste dos EUA (Norte da Virgínia) | us-east-1 |
| Europa (Estocolmo) | eu-north-1 |
