为Shield 响应小组 (SRT) 配置访问权限

管理 SRT 的权限

1. 在Amazon Shield控制台概述页面的配置Amazon SRT 支持下，选择编辑 SRT 访问权限。编辑Amazon Shield 响应小组 (SRT) 访问页面打开。

2. 对于 SRT 访问设置，请选择以下选项之一：

   • 不要授予 SRT 访问我的账户的权限 — Shield 会删除您之前授予 SRT 访问您的账户和资源的任何权限。

   • 为 SRT 创建一个新角色来访问我的账户 — Shield 创建了一个信任代表 SRT 的服务委drt.shield.amazonaws.com托人的角色，并将托管策略附加AWSShieldDRTAccessPolicy到该角色。托管策略允许 SRT 代表您Amazon WAF进行 API 调用并访问您的Amazon WAF日志。Amazon Shield Advanced有关托管策略的更多信息，请参阅Amazon托管策略： AWSShieldDRTAccessPolicy。

   • 为 SRT 选择一个现有角色来访问我的账户 — 对于此选项，您必须按如下方式修改Amazon Identity and Access Management (IAM) 中的角色配置：

     • 将托管策略 AWSShieldDRTAccessPolicy 附加到角色。此托管策略允许 SRT 代表您Amazon WAF进行 API 调用并访问您的Amazon WAF日志。Amazon Shield Advanced有关托管策略的更多信息，请参阅Amazon托管策略： AWSShieldDRTAccessPolicy。有关将托管策略附加到您的角色的信息，请参阅附加和分离 IAM 策略。

     • 修改角色以信任 drt.shield.amazonaws.com 服务主体。这是代表 SRT 的服务主体。有关更多信息，请参阅 IAM JSON 策略元素：主体。

3. 用于（可选）：授予 Amazon S3 存储桶的 SRT 访问权限，如果您需要共享不在Amazon WAF Web ACL 日志中的数据，请配置此项。例如，Application Load Balancer 访问 CloudFront 日志、Amazon 日志或来自第三方来源的日志。

   注意

   您无需为Amazon WAF Web ACL 日志执行此操作。当您向您的账户授予访问权限时，SRT 将获得访问这些权限。

   1. 根据以下准则配置 Amazon S3 存储段：

      • 存储桶位置必须与您在之前Amazon Web Services 账户的步骤Amazon中授予 SRT 常规访问权限的存储桶位置相同。

      • 存储桶可以是纯文本的，也可以是 SSE-S3 加密的。有关 Amazon S3 SSE-S3 加密的更多信息，请参阅 Amazon S3 托管加密密钥（SSE-S3）保护数据。

        SRT 无法查看或处理存储在使用存储在Amazon Key Management Service (Amazon KMS) 中的密钥加密的存储桶中的日志。

   2. 在 Shield Advanced（可选）：授予 SRT 对 Amazon S3 存储桶的访问权限部分，对于存储您的数据或日志的每个 Amazon S3 存储桶，输入存储桶的名称并选择添加存储桶。您最多可以添加 10 个存储桶。

      这会授予 SRT 对每个存储段的以下权限：s3:GetBucketLocations3:GetObject、和s3:ListBucket。

      如果您想授予 SRT 访问超过 10 个存储段的权限，则可以通过编辑其他存储段策略并手动授予此处列出的 SRT 权限来实现此目的。

4. 选择 Save (保存) 以保存您的更改。