Apresentação de uma nova experiência de console para o AWS WAF
Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.
Usar perfis vinculados ao serviço para o administrador de segurança da rede do AWS Shield
Esta seção explica como usar perfis vinculados ao serviço para conceder ao administrador de segurança da rede do AWS Shield acesso aos recursos na sua conta da AWS.
O administrador de segurança da rede do AWS Shield usa perfis vinculados ao serviço do AWS Identity and Access Management (IAM). Um perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao administrador de segurança da rede do AWS Shield. Os perfis vinculados ao serviço são predefinidos pelo administrador de segurança da rede do AWS Shield e incluem todas as permissões que o serviço requer para chamar outros produtos da AWS para você.
Uma perfil vinculado ao serviço facilita a configuração do administrador de segurança da rede do AWS Shield porque você não precisa adicionar as permissões necessárias manualmente. O administrador de segurança da rede do AWS Shield define as permissões de seus perfis vinculados ao serviço e, a menos que definido de outra forma, somente o AWS Shield pode assumir seus perfis. As permissões definidas incluem a política de confiança e a política de permissões. Essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
Veja o perfil vinculado ao serviço completo no console do IAM: NetworkSecurityDirectorServiceLinkedRolePolicy
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.
Para obter informações sobre outros serviços compatíveis com perfis vinculados ao serviço, consulte Serviços da AWS que funcionam com o IAM e procure os serviços que têm Sim na coluna Perfil vinculado ao serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado para esse serviço.
permissões de perfis vinculados ao serviço para o administrador de segurança da rede do AWS Shield
O perfil vinculado ao serviço NetworkSecurityDirectorServiceLinkedRolePolicy confia nos seguintes serviços para aceitar o perfil:
network-director.amazonaws.com
A NetworkSecurityDirectorServiceLinkedRolePolicy concede ao administrador de segurança da rede do AWS Shieldpermissões para acessar e analisar vários recursos e serviços da AWS para você. Isso inclui:
Recuperar configurações de rede e configurações de segurança dos recursos do Amazon EC2
Acessar métricas do CloudWatch para analisar padrões de tráfego da rede
Coletar informações sobre balanceadores de carga e grupos de destino
Coletar configurações e regras do AWS WAF
Acessar informações do gateway AWS Direct Connect
E mais, conforme detalhado na lista de permissões abaixo
A lista a seguir é das permissões que não são compatíveis com redução do escopo para recursos específicos. O escopo das demais é reduzido para os recursos dos serviços indicados.
{ "Sid": "ResourceLevelPermissionNotSupported", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "ec2:DescribeAvailabilityZones", "ec2:DescribeCustomerGateways", "ec2:DescribeInstances", "ec2:DescribeInternetGateways", "ec2:DescribeManagedPrefixLists", "ec2:DescribeNatGateways", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRegions", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeTransitGateways", "ec2:DescribeTransitGatewayVpcAttachments", "ec2:DescribeTransitGatewayAttachments", "ec2:DescribeTransitGatewayPeeringAttachments", "ec2:DescribeTransitGatewayRouteTables", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServiceConfigurations", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs", "ec2:DescribeVpnConnections", "ec2:DescribeVpnGateways", "ec2:GetTransitGatewayRouteTablePropagations", "ec2:GetManagedPrefixListEntries", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTags", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:DescribeTargetGroupAttributes", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:DescribeLoadBalancencerAttributes", "wafv2:ListWebACLs", "cloudfront:ListDistributions", "cloudfront:ListTagsForResource", "directconnect:DescribeDirectConnectGateways", "directconnect:DescribeVirtualInterfaces" ], "Resource": "*" }
Permissões de perfil vinculado ao serviço NetworkSecurityDirectorServiceLinkedRolePolicy
A lista a seguir abrange todas as permissões habilitadas pelo perfil vinculado ao serviço NetworkSecurityDirectorServiceLinkedRolePolicy.
Amazon CloudFront
{ "Sid": "cloudfront", "Effect": "Allow", "Action": [ "cloudfront:GetDistribution" ], "Resource": "arn:aws:cloudfront::*:distribution/*" }
AWS WAF
{ "Sid": "wafv2", "Effect": "Allow", "Action": [ "wafv2:ListResourcesForWebACL", "wafv2:ListRuleGroups", "wafv2:ListAvailableManagedRuleGroups", "wafv2:GetRuleGroup", "wafv2:DescribeManagedRuleGroup", "wafv2:GetWebACL" ], "Resource": [ "arn:aws:wafv2:*:*:global/rulegroup/*", "arn:aws:wafv2:*:*:regional/rulegroup/*", "arn:aws:wafv2:*:*:global/managedruleset/*", "arn:aws:wafv2:*:*:regional/managedruleset/*", "arn:aws:wafv2:*:*:global/webacl/*/*", "arn:aws:wafv2:*:*:regional/webacl/*/*", "arn:aws:apprunner:*:*:service/*", "arn:aws:cognito-idp:*:*:userpool/*", "arn:aws:ec2:*:*:verified-access-instance/*" ] }
AWS WAF Classic
{ "Sid": "classicWaf", "Effect": "Allow", "Action": [ "waf:ListWebACLs", "waf:GetWebACL" ], "Resource": [ "arn:aws:waf::*:webacl/*", "arn:aws:waf-regional:*:*:webacl/*" ] }
AWS Direct Connect
{ "Sid": "directconnect", "Effect": "Allow", "Action": [ "directconnect:DescribeConnections", "directconnect:DescribeDirectConnectGatewayAssociations", "directconnect:DescribeDirectConnectGatewayAttachments", "directconnect:DescribeVirtualGateways" ], "Resource": [ "arn:aws:directconnect::*:dx-gateway/*", "arn:aws:directconnect:*:*:dxcon/*", "arn:aws:directconnect:*:*:dxlag/*", "arn:aws:directconnect:*:*:dxvif/*" ] }
AWS Transit Gatewayrotas do
{ "Sid": "ec2Get", "Effect": "Allow", "Action": [ "ec2:SearchTransitGatewayRoutes" ], "Resource": [ "arn:aws:ec2:*:*:transit-gateway-route-table/*" ] }
AWS Network Firewall
{ "Sid": "networkFirewall", "Effect": "Allow", "Action": [ "network-firewall:ListFirewalls", "network-firewall:ListFirewallPolicies", "network-firewall:ListRuleGroups", "network-firewall:DescribeFirewall", "network-firewall:DescribeFirewallPolicy", "network-firewall:DescribeRuleGroup" ], "Resource": [ "arn:aws:network-firewall:*:*:*/*" ] }
Amazon API Gateway
{ "Sid": "apiGatewayGetAPI", "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/restapis", "arn:aws:apigateway:*::/restapis/*", "arn:aws:apigateway:*::/apis", "arn:aws:apigateway:*::/apis/*", "arn:aws:apigateway:*::/tags/*", "arn:aws:apigateway:*::/vpclinks", "arn:aws:apigateway:*::/vpclinks/*" ] }
Criar um perfil vinculado ao serviço para o administrador de segurança da rede do AWS Shield
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você executa sua primeira análise de rede, o administrador de segurança da rede do AWS Shield cria o perfil vinculado ao serviço para você.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando habilita o registro em log do administrador de segurança da rede do AWS Shield, o administrador de segurança da rede do AWS Shield cria o perfil vinculado ao serviço para você novamente.
Editar um perfil vinculado ao serviço para o administrador de segurança da rede do AWS Shield
O administrador de segurança da rede do AWS Shield não permite que você edite o perfil vinculado ao serviço NetworkSecurityDirectorServiceLinkedRolePolicy. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.
Excluir um perfil vinculado ao serviço para o administrador de segurança da rede do AWS Shield
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
Isso protege seus recursos do administrador de segurança da rede do AWS Shield, pois você não pode remover por engano as permissões para acessar os recursos.
nota
Se o serviço administrador de segurança da rede do AWS Shield estiver usando um perfil quando você tentar excluir os recursos, poderá ocorrer falha da exclusão. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Como excluir manualmente o perfil vinculado ao serviço usando o IAM
Use o console, a CLI ou a API do IAM para excluir a função vinculada ao serviço NetworkSecurityDirectorServiceLinkedRolePolicy. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.
Regiões compatíveis com os perfis vinculados ao serviço do administrador de segurança da rede do AWS Shield
nota
O administrador de segurança da rede do AWS Shield está na versão prévia pública e está sujeito à alterações.
O administrador de segurança da rede do AWS Shield é compatível com o uso de perfis vinculados ao serviço nas seguintes regiões e só pode recuperar dados sobre seus recursos nessas regiões.
| Nome da Região | Região |
|---|---|
| US East (N. Virginia) | us-east-1 |
| Europe (Stockholm) | eu-north-1 |
