**引入全新的主机体验 AWS WAF** 现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 设置 AWS Shield 响应小组 (SRT) 支持 DDo S 事件响应 本页提供了设置 Shield 响应小组(SRT)支持的说明。 SRT 包括专门研究 DDo S 事件响应的安全工程师。您可以选择添加权限,允许 SRT 在 DDo S 事件期间代表您管理资源。此外,您还可以对 SRT 进行配置,以便在检测到事件期间,如果与受保护资源相关的 Route 53 运行状况检查显示运行状况不佳,SRT 会主动与您联系。这两项新增的保护功能都可以更快地响应 DDo S 事件。 **注意** 要使用 Shield 响应小组(SRT)的服务,您必须订阅 [Business Support 计划](https://aws.amazon.com/premiumsupport/business-support/)或[企业支持计划](https://aws.amazon.com/premiumsupport/enterprise-support/)。 SRT 可以在应用程序层事件期间监控 AWS WAF 请求数据和日志,以识别异常流量。他们可以帮助制定自定义 AWS WAF 规则,以减少违规流量来源。根据需要,SRT 可能会提出架构建议,以帮助您更好地将资源与 AWS 建议保持一致。 有关 SRT 的更多信息,请参阅 [支持 Shield 响应小组 (SRT) 的托管 DDo S 事件响应](ddos-srt-support.md)。 **授予使用 SRT 的权限** 1. 在 AWS Shield 控制台**概述**页面的**配置 AWS SRT 支持**下,选择**编辑 SRT** 访问权限。**编辑 AWS Shield 响应小组 (SRT) 访问**页面打开。 1. 对于 **SRT 访问设置**,请选择以下选项之一: + **不要授予 SRT 访问我的账户的权限**:Shield 会删除您之前授予 SRT 访问您的账户和资源的任何权限。 + **为 SRT 创建一个访问我的账户的新角色**:Shield 创建一个代表 SRT 的服务主体的角色 `drt.shield.amazonaws.com`,并将托管策略 `AWSShieldDRTAccessPolicy` 附加到该主体。托管策略允许 SRT 代表您拨 AWS WAF 打 API 调用和访问您的 AWS WAF 日志。 AWS Shield Advanced 有关托管策略的更多信息,请参阅 [AWS 托管策略: AWSShieldDRTAccess策略](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)。 + **选择一个现有角色让 SRT 访问我的账户** — 对于此选项,您必须按如下方式修改 AWS Identity and Access Management (IAM) 中角色的配置: + 将托管策略 `AWSShieldDRTAccessPolicy` 附加到角色。此托管策略允许 SRT 代表您拨 AWS WAF 打 API 调用并访问您的 AWS WAF 日志。 AWS Shield Advanced 有关托管策略的更多信息,请参阅 [AWS 托管策略: AWSShieldDRTAccess策略](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)。有关如何将托管策略附加到角色的信息,请参阅[附加和分离 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。 + 修改角色以信任 `drt.shield.amazonaws.com` 服务主体。这是代表 SRT 的服务主体。有关更多信息,请参阅 [IAM JSON 策略元素:主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。 1. 选择 **保存** 以保存您的更改。 有关授予 SRT 访问您的保护措施和数据的更多信息,请参阅 [向 SRT 授予访问权限](ddos-srt-access.md)。 **启用 SRT 主动参与** 1. 在 AWS Shield 控制台**概述**页面**的主动互动和联系人**下方的联系人区域中,选择**编辑**。 在**编辑联系人**页面中,提供您希望 SRT 主动联系的人员的联系信息。 如果您提供了多个联系人,请在**备注**中说明应分别在什么情况下与每个联系人联系。包括主要和次要联系人名称,并提供每位联系人的可用时间和时区。 联系人备注示例: + 这是一条全天候值班热线。请与作出回应的分析师合作,他们会转接相应人员。 + 如果热线在 5 分钟内没有响应,请与我联系。 1. 选择**保存**。 **概述**页面反映了已更新的联系信息。 1. 选择**编辑主动互动功能**,选择**启用**,然后选择**保存**以启用主动互动。 有关主动参与的更多信息,请参阅 [设置主动参与,让 SRT 直接与您联系](ddos-srt-proactive-engagement.md)。