配置Amazon SRT 支持 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置Amazon SRT 支持

Shield Response Team (SRT) 是专门研究 DDoS 事件响应的安全工程师。您可以选择添加权限,允许 SRT 在 DDoS 事件期间代表您管理资源。此外,您可以配置 SRT,使其在检测到的事件期间与您的受保护资源相关的 Route 53 运行状况检查运行状况不佳时主动与您联系。这两项保护措施都使您能够更快地响应 DDoS 事件。

注意

要使用 Shield Response Team (SRT) 的服务,您必须订阅业务Support 计划企业Support 计划

SRT 可以在应用层事件期间监控Amazon WAF请求数据和日志,以识别异常流量。他们可以帮助制定自定义Amazon WAF规则,以减少违规流量来源。根据需要,SRT 可能会提出架构建议,以帮助您更好地根据Amazon建议调整资源。

有关 SRT 的更多信息,请参阅Shield 响应小组 (SRT) 支持

向 SRT 授予权限

  1. 在Amazon Shield控制台概述页面的配置Amazon SRT 支持下,选择编辑 SRT 访问权限编辑Amazon Shield 响应小组 (SRT) 访问页面打开。

  2. 对于 SRT 访问设置,请选择以下选项之一:

    • 不要授予 SRT 访问我的账户的权限 — Shield 会删除您之前授予 SRT 访问您的账户和资源的任何权限。

    • 为 SRT 创建一个新角色来访问我的账户 — Shield 创建了一个信任代表 SRT 的服务委drt.shield.amazonaws.com托人的角色,并将托管策略附加AWSShieldDRTAccessPolicy到该角色。托管策略允许 SRT 代表您Amazon WAF进行 API 调用并访问您的Amazon WAF日志。Amazon Shield Advanced有关托管策略的更多信息,请参阅Amazon托管策略: AWSShieldDRTAccessPolicy

    • SRT 选择一个现有角色来访问我的账户 — 对于此选项,您必须按如下方式修改Amazon Identity and Access Management (IAM) 中的角色配置:

      • 将托管策略 AWSShieldDRTAccessPolicy 附加到角色。此托管策略允许 SRT 代表您Amazon WAF进行 API 调用并访问您的Amazon WAF日志。Amazon Shield Advanced有关托管策略的更多信息,请参阅Amazon托管策略: AWSShieldDRTAccessPolicy。有关将托管策略附加到您的角色的信息,请参阅附加和分离 IAM 策略

      • 修改角色以信任 drt.shield.amazonaws.com 服务主体。这是代表 SRT 的服务主体。有关更多信息,请参阅 IAM JSON 策略元素:主体

  3. 选择 Save (保存) 以保存您的更改。

有关授予 SRT 访问您的保护和数据的更多信息,请参阅为Shield 响应小组 (SRT) 配置访问权限

启用 SRT 主动参与

  1. 在Amazon Shield控制台概述页面的主动互动和联系人下,在联系人区域中选择编辑

    编辑联系人页面中,提供您希望 SRT 联系以主动参与的人员的联系信息。

    如果您提供多个联系人,请在注释中注明应在何种情况下使用每个联系人。包括主要和次要联系人的名称,并提供每个联系人的可用时间和时区。

    联系人备注示例:

    • 这是一条全天候有人值守的热线。请与回应的分析师合作,他们将安排相应的人接听电话。

    • 如果热线在 5 分钟内没有回复,请与我联系。

  2. 选择 Save(保存)。

    概览页面反映了更新的联系信息。

  3. 选择 “编辑主动参与功能”,选择 “启用”,然后选择 “保存” 以启用主动互动。

有关主动参与的更多信息,请参阅配置主动参与操作