**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Shield Advanced 的服務連結角色
<a name="shd-using-service-linked-roles"></a>

本節說明如何使用服務連結角色，讓 Shield Advanced 存取您 AWS 帳戶中的資源。

AWS Shield Advanced use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 Shield Advanced 的唯一 IAM 角色類型。服務連結角色由 Shield Advanced 預先定義，並包含服務代表您呼叫其他 AWS 服務所需的所有許可。

服務連結角色可讓您更輕鬆地設定 Shield Advanced，因為您不必手動新增必要的許可。Shield Advanced 會定義其服務連結角色的許可，除非另有定義，否則只有 Shield Advanced 可以擔任其角色。定義的許可包括信任政策和許可政策，且該許可政策無法附加至其他 IAM 實體。

您必須先刪除服務連結角色的相關資源，才能將其刪除。這可保護您的 Shield Advanced 資源，因為您不會不小心移除存取資源的許可。

如需關於支援服務連結角色的其他服務的資訊，請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)，並尋找 **Service-Linked Role** (服務連結角色) 欄顯示為 **Yes** (是) 的服務。選擇具有連結的**是**，以檢視該服務的服務連結角色文件。

## Shield Advanced 的服務連結角色許可
<a name="shd-slr-permissions"></a>

Shield Advanced 使用名為 **AWSServiceRoleForAWSShield** 的服務連結角色。此角色允許 Shield Advanced 存取和管理 AWS 資源，以代表您自動回應應用程式層 DDoS 攻擊。如需此功能的詳細資訊，請參閱 [使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)。

AWSServiceRoleForAWSShield 服務連結角色信任下列服務擔任該角色：
+ `shield.amazonaws.com`

名為 AWSShieldServiceRolePolicy 的角色許可政策允許 Shield Advanced 對所有 AWS 資源完成下列動作：
+ `wafv2:GetWebACL`
+ `wafv2:UpdateWebACL`
+ `wafv2:GetWebACLForResource`
+ `wafv2:ListResourcesForWebACL`
+ `cloudfront:ListDistributions`
+ `cloudfront:GetDistribution`

當所有 AWS 資源上都允許動作時，政策中會顯示為 `"Resource": "*"`。這僅表示服務連結角色可以對動作支援的所有 AWS 資源採取每個指定的動作。 **例如， 動作僅`wafv2:GetWebACL`支援 `wafv2` Web ACL 資源。

Shield Advanced 只會針對您已啟用應用程式層保護功能的受保護資源，以及與這些受保護資源相關聯的 Web ACLs，進行資源層級 API 呼叫。

您必須設定許可，IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

## 為 Shield Advanced 建立服務連結角色
<a name="shd-create-slr"></a>

您不需要手動建立服務連結角色，當您為 AWS 管理主控台、 AWS CLI或 AWS API 中的資源啟用自動應用程式層 DDoS 緩解時，Shield Advanced 會為您建立服務連結角色。

若您刪除此服務連結角色，之後需要再次建立，您可以在帳戶中使用相同程序重新建立角色。當您為資源啟用自動應用程式層 DDoS 緩解時，Shield Advanced 會再次為您建立服務連結角色。

## 編輯 Shield Advanced 的服務連結角色
<a name="shd-edit-slr"></a>

Shield Advanced 不允許您編輯 AWSServiceRoleForAWSShield 服務連結角色。因為有各種實體可能會參考服務連結角色，所以您無法在建立角色之後變更角色名稱。然而，您可使用 IAM 來編輯角色描述。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 刪除 Shield Advanced 的服務連結角色
<a name="shd-delete-slr"></a>

若您不再使用需要服務連結角色的功能或服務，我們建議您刪除該角色。如此一來，您就沒有未主動監控或維護的未使用實體。然而，在手動刪除服務連結角色之前，您必須先清除資源。

**注意**  
如果 Shield Advanced 在您嘗試刪除資源時使用角色，則刪除可能會失敗。若此情況發生，請等待數分鐘後並再次嘗試操作。

**刪除 AWSServiceRoleForAWSShield 使用的 Shield Advanced 資源**

對於所有已設定應用程式層 DDoS 保護的資源，請停用自動應用程式層 DDoS 緩解措施。如需主控台指示，請參閱 [設定應用程式層 DDoS 保護](manage-protection.md#configure-app-layer-protection)。

**使用 IAM 手動刪除服務連結角色**

使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForAWSShield 服務連結角色。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

## Shield 進階服務連結角色支援的區域
<a name="shd-slr-regions"></a>

Shield Advanced 支援在提供服務的所有區域中使用服務連結角色。如需詳細資訊，請參閱 [Shield Advanced 端點和配額](https://docs.aws.amazon.com/general/latest/gr/shield.html)。