Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli collegati ai servizi per Shield Advanced

Questa sezione spiega come utilizzare i ruoli collegati ai servizi per consentire a Shield Advanced l'accesso alle risorse del tuo AWS account.

AWS Shield Advanced utilizza AWS Identity and Access Management (IAM) ruoli collegati ai servizi. Un ruolo collegato ai servizi è un tipo di IAM ruolo unico collegato direttamente a Shield Advanced. I ruoli collegati ai servizi sono predefiniti da Shield Advanced e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.

Un ruolo collegato al servizio semplifica la configurazione di Shield Advanced perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Shield Advanced definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Shield Advanced può assumerne i ruoli. Le autorizzazioni definite includono la politica di fiducia e la politica di autorizzazione e tale politica di autorizzazione non può essere associata a nessun'altra entità. IAM

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. Questo protegge le tue risorse Shield Advanced perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.

Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta AWS Servizi che funzionano con IAM e cerca i servizi con Sì nella colonna Ruolo collegato ai servizi. Scegli Sì in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni di ruolo collegate ai servizi per Shield Advanced

Shield Advanced utilizza il ruolo collegato al servizio denominato. AWSServiceRoleForAWSShield Questo ruolo consente a Shield Advanced di accedere e gestire AWS le risorse per rispondere automaticamente DDoS agli attacchi a livello di applicazione per tuo conto. Per ulteriori informazioni su questa funzionalità, vedereAutomatizzazione della DDoS mitigazione a livello di applicazione con Shield Advanced .

Il ruolo AWSServiceRoleForAWSShield collegato al servizio prevede che i seguenti servizi assumano il ruolo:

La politica di autorizzazione dei ruoli denominata AWSShieldServiceRolePolicy consente a Shield Advanced di completare le seguenti azioni su tutte le AWS risorse:

Quando le azioni sono consentite su tutte AWS le risorse, ciò è indicato nella politica come"Resource": "*". Ciò significa solo che il ruolo collegato al servizio può eseguire ogni azione indicata su tutte le AWS risorse supportate dall'azione. Ad esempio, l'azione wafv2:GetWebACL è supportata solo per le risorse wafv2 WebACL.

Shield Advanced effettua API chiamate a livello di risorsa solo per le risorse protette per le quali hai abilitato la funzionalità di protezione a livello di applicazione e per il Web associate a ACLs tali risorse protette.

È necessario configurare le autorizzazioni per consentire a un'IAMentità (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. Per ulteriori informazioni, consulta la sezione Autorizzazioni relative ai ruoli collegati ai servizi nella Guida per l'utente. IAM

Creazione di un ruolo collegato ai servizi per Shield Advanced

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando abiliti la DDoS mitigazione automatica a livello di applicazione per una risorsa nel AWS Management Console, o nel AWS CLI AWS API, Shield Advanced crea automaticamente il ruolo collegato al servizio.

Se elimini questo ruolo collegato ai servizi, puoi ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando abiliti la DDoS mitigazione automatica del livello di applicazione per una risorsa, Shield Advanced crea nuovamente il ruolo collegato al servizio per te.

Modifica di un ruolo collegato ai servizi per Shield Advanced

Shield Advanced non consente di modificare il ruolo AWSServiceRoleForAWSShield collegato al servizio. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. Tuttavia, è possibile modificare la descrizione del ruolo utilizzando. IAM Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'IAMutente.

Eliminazione di un ruolo collegato ai servizi per Shield Advanced

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.

Per eliminare le risorse Shield Advanced utilizzate da AWSServiceRoleForAWSShield

Per tutte le risorse su cui sono configurate le DDoS protezioni a livello di applicazione, disabilita la DDoS mitigazione automatica a livello di applicazione. Per le istruzioni sulla console, vedere. Configura le DDoS protezioni a livello di applicazione

Per eliminare manualmente il ruolo collegato al servizio utilizzando IAM

Usa la IAM console AWS CLI, o il AWS API per eliminare il ruolo collegato al AWSServiceRoleForAWSShield servizio. Per ulteriori informazioni, vedere Eliminazione di un ruolo collegato al servizio nella Guida per l'utente. IAM

Regioni supportate per i ruoli collegati ai servizi Shield Advanced

Shield Advanced supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta Endpoint e quote Shield Advanced.