Verwaltung des Ressourcenschutzes in AWS Shield Advanced - AWS WAF, AWS Firewall Manager, und AWS Shield Advanced
Einer Ressource Schutz hinzufügenSchutzmaßnahmen konfigurierenSchutz für eine Ressource entfernen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung des Ressourcenschutzes in AWS Shield Advanced

Verwenden Sie die Anleitungen in diesem Abschnitt, um die Shield Advanced-Schutzmaßnahmen für Ihre Ressourcen zu verwalten.

Anmerkung

Shield Advanced schützt nur Ressourcen, die Sie entweder in Shield Advanced oder durch eine AWS Firewall Manager Shield Advanced-Richtlinie angegeben haben. Ihre Ressourcen werden nicht automatisch geschützt.

Wenn Sie eine AWS Firewall Manager Shield Advanced-Richtlinie verwenden, müssen Sie den Schutz für Ressourcen, die in den Geltungsbereich der Richtlinie fallen, nicht verwalten. Firewall Manager verwaltet automatisch den Schutz für Konten und Ressourcen, die in den Geltungsbereich einer Richtlinie fallen, entsprechend der Richtlinienkonfiguration. Weitere Informationen finden Sie unter AWS Shield Advanced Richtlinien.

AWS Shield Advanced Schutz für Ressourcen hinzufügen AWS

Folgen Sie den Anweisungen in diesem Abschnitt, um Shield Advanced-Schutz zu einer oder mehreren Ressourcen hinzuzufügen.

Um Schutz für eine AWS Ressource hinzuzufügen

  1. Melden Sie sich bei der AWS WAF & Shield-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/wafv2/.

  2. AWS Shield Wählen Sie im Navigationsbereich unter Geschützte Ressourcen aus.

  3. Wählen Sie Zu schützende Ressourcen hinzufügen aus.

  4. Geben Sie auf der Seite Ressourcen auswählen, die mit Shield Advanced geschützt werden sollen, unter Region und Ressourcentypen angeben die Regions- und Ressourcentypspezifikationen für die Ressourcen an, die Sie schützen möchten. Sie können Ressourcen in mehreren Regionen schützen, indem Sie Alle Regionen auswählen, und Sie können die Auswahl auf globale Ressourcen einschränken, indem Sie Global auswählen. Sie können alle Ressourcentypen abwählen, die Sie nicht schützen möchten. Informationen zum Schutz Ihrer Ressourcentypen finden Sie unter. AWS Shield Advanced Schutzmaßnahmen nach Ressourcentyp

  5. Wählen Sie Ressourcen laden aus. Shield Advanced füllt den Abschnitt Ressourcen auswählen mit den AWS Ressourcen, die Ihren Kriterien entsprechen.

  6. Im Bereich Ressourcen auswählen können Sie die Ressourcenliste filtern, indem Sie eine Zeichenfolge eingeben, nach der in den Ressourcenlisten gesucht werden soll.

    Wählen Sie die Ressourcen aus, die Sie schützen möchten.

  7. Wenn Sie den von Ihnen erstellten Shield Advanced-Schutzmaßnahmen Tags hinzufügen möchten, geben Sie diese im Abschnitt Tags an. Informationen zum Markieren von AWS Ressourcen finden Sie unter Arbeiten mit dem Tag-Editor.

  8. Wählen Sie Protect with Shield Advanced. Dadurch werden die Ressourcen um Shield Advanced-Schutzmaßnahmen erweitert.

Schutzmaßnahmen konfigurieren AWS Shield Advanced

Sie können die Einstellungen für Ihre AWS Shield Advanced Schutzmaßnahmen jederzeit ändern. Gehen Sie dazu die Optionen für Ihre ausgewählten Schutzmaßnahmen durch und ändern Sie die Einstellungen, die Sie ändern müssen.

Um geschützte Ressourcen zu verwalten

  1. Melden Sie sich bei der AWS WAF & Shield-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/wafv2/.

  2. Wählen Sie im AWS Shield Navigationsbereich die Option Geschützte Ressourcen aus.

  3. Wählen Sie auf der Registerkarte Schutz die Ressourcen aus, die Sie schützen möchten.

  4. Wählen Sie Schutzmaßnahmen konfigurieren und wählen Sie die gewünschte Option für die Ressourcenspezifikation aus.

  5. Gehen Sie die einzelnen Ressourcenschutzoptionen durch und nehmen Sie bei Bedarf Änderungen vor.

Konfigurieren Sie den DDoS-Schutz auf Anwendungsebene

Zum Schutz vor Angriffen auf Amazon CloudFront - und Application Load Balancer Balancer-Ressourcen können Sie AWS WAF Web-ACLs und ratenbasierte Regeln hinzufügen. Weitere Informationen hierzu finden Sie unter AWS WAF Web ACLs - und ratenbasierte Regeln auf Anwendungsebene von Shield Advanced.

Sie können auch die automatische DDoS-Abwehr auf Anwendungsebene von Shield Advanced aktivieren. Informationen darüber, wie das AWS WAF funktioniert, finden Sie unter. AWS WAF Informationen zur automatischen Schadensbegrenzungsfunktion finden Sie unterShield Advanced automatische DDoS-Abwehr auf Anwendungsebene.

Wichtig

Wenn Sie Ihre Shield Advanced-Schutzmaßnahmen AWS Firewall Manager mithilfe einer Shield Advanced-Richtlinie verwalten, können Sie die Schutzmaßnahmen auf Anwendungsebene hier nicht verwalten. Für alle anderen Ressourcen empfehlen wir, dass Sie mindestens jeder Ressource eine Web-ACL zuordnen, auch wenn die Web-ACL keine Regeln enthält.

Anmerkung

Wenn Sie bei Bedarf die automatische DDoS-Abwehr auf Anwendungsebene für eine Ressource aktivieren, fügt der Vorgang Ihrem Konto automatisch eine serviceverknüpfte Rolle hinzu, um Shield Advanced die erforderlichen Berechtigungen zur Verwaltung Ihres Web-ACL-Schutzes zu gewähren. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für Shield Advanced.

Um den DDoS-Schutz auf Anwendungsebene zu konfigurieren

  1. Wenn die Ressource noch nicht mit einer Web-ACL verknüpft ist, können Sie auf der Seite „DDoS-Schutz auf Ebene 7 konfigurieren“ eine bestehende Web-ACL auswählen oder eine eigene erstellen.

    Führen Sie zur Erstellung einer Web-ACL die folgenden Schritte aus:

    1. Wählen Sie Create web ACL (Web-ACL erstellen) aus.

    2. Geben Sie einen Namen ein. Sie können den Namen nach dem Erstellen der Web-ACL nicht mehr ändern.

    3. Wählen Sie Erstellen.

    Anmerkung

    Wenn eine Ressource bereits einer Web-ACL zugeordnet ist, können Sie nicht zu einer anderen Web-ACL wechseln. Wenn Sie die Web-ACL wechseln möchten, müssen Sie zunächst die zugeordneten Web-ACLs aus der Ressource entfernen. Weitere Informationen finden Sie unter Zuordnen oder Aufheben der Zuordnung eines Webs zu einem ACL AWS Ressource.

  2. Wenn für die Web-ACL keine ratenbasierte Regel definiert ist, können Sie eine hinzufügen, indem Sie Ratenbegrenzungsregel hinzufügen wählen und dann die folgenden Schritte ausführen:

    1. Geben Sie einen Namen ein.

    2. Geben Sie ein Durchsatzlimit ein. Dies ist die maximale Anzahl von Anfragen, die in einem Zeitraum von fünf Minuten von einer einzelnen IP-Adresse aus zulässig sind, bevor die ratenbasierte Regelaktion auf die IP-Adresse angewendet wird. Wenn die Anfragen von der IP-Adresse unter den Grenzwert fallen, wird die Aktion abgebrochen.

    3. Stellen Sie die Regelaktion so ein, dass Anfragen von IP-Adressen gezählt oder blockiert werden, solange deren Anzahl der Anfragen das Limit überschreitet. Die Anwendung und Entfernung der Regelaktion kann ein oder zwei Minuten nach der Änderung der IP-Adressanforderungsrate wirksam werden.

    4. Wählen Sie Regel hinzufügen aus.

  3. Wählen Sie für Automatische DDoS-Abwehr auf Anwendungsebene wie folgt aus, ob Shield Advanced DDoS-Angriffe in Ihrem Namen automatisch abwehren soll:

    • Um die automatische Abwehr zu aktivieren, wählen Sie Aktivieren und dann die AWS WAF Regelaktion aus, die Shield Advanced in seinen benutzerdefinierten Regeln verwenden soll. Sie haben die Wahl zwischen Count undBlock. Informationen zu diesen AWS WAF Regelaktionen finden Sie unterVerwenden von Regelaktionen in AWS WAF. Informationen darüber, wie Shield Advanced diese Aktionseinstellung verwaltet, finden Sie unterSo verwaltet Shield Advanced die Einstellung für Regelaktionen.

    • Um die automatische Schadensbegrenzung zu deaktivieren, wählen Sie Deaktivieren.

    • Um die Einstellungen für die automatische Risikominderung für die Ressourcen, die Sie verwalten, unverändert zu lassen, behalten Sie die Standardauswahl Aktuelle Einstellungen beibehalten bei.

    Informationen zur automatischen DDoS-Abwehr auf Anwendungsebene mit Shield Advanced finden Sie unter. Shield Advanced automatische DDoS-Abwehr auf Anwendungsebene

  4. Wählen Sie Weiter aus.

Alarme und Benachrichtigungen erstellen

Das folgende Verfahren zeigt, wie CloudWatch Alarme für geschützte Ressourcen verwaltet werden.

Anmerkung

CloudWatch verursacht zusätzliche Kosten. CloudWatch Die Preise finden Sie unter CloudWatch Amazon-Preise.

Um Alarme und Benachrichtigungen zu erstellen

  1. Konfigurieren Sie auf der Schutzseite Alarme und Benachrichtigungen erstellen — optional die SNS-Themen für die Alarme und Benachrichtigungen, die Sie erhalten möchten. Wählen Sie für Ressourcen, für die keine Benachrichtigungen erforderlich sind, No topic (Kein Thema) aus. Sie können ein Amazon SNS SNS-Thema hinzufügen oder ein neues Thema erstellen.

  2. Gehen Sie folgendermaßen vor, um ein Amazon SNS SNS-Thema zu erstellen:

    1. Wählen Sie in der Dropdownliste die Option Ein SNS-Thema erstellen aus.

    2. Geben Sie einen Themennamen ein.

    3. Geben Sie optional eine E-Mail-Adresse ein, an die die Amazon SNS SNS-Nachrichten gesendet werden, und wählen Sie dann E-Mail hinzufügen. Sie können mehr als eine eingeben.

    4. Wählen Sie Erstellen.

  3. Wählen Sie Weiter aus.

AWS Shield Advanced Der Schutz einer AWS Ressource wird entfernt

Sie können AWS Shield Advanced den Schutz für jede Ihrer AWS Ressourcen jederzeit aufheben.

Wichtig

Durch das Löschen einer AWS Ressource wird die Ressource nicht von entfernt AWS Shield Advanced. Sie müssen auch den Schutz für die Ressource von entfernen AWS Shield Advanced, wie in diesem Verfahren beschrieben.

Entfernen Sie AWS Shield Advanced den Schutz von einer AWS Ressource

  1. Melden Sie sich bei der AWS WAF & Shield-Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/wafv2/.

  2. Wählen Sie im AWS Shield Navigationsbereich die Option Geschützte Ressourcen aus.

  3. Wählen Sie auf der Registerkarte Schutz die Ressourcen aus, deren Schutz Sie entfernen möchten.

  4. Wählen Sie Schutzmaßnahmen löschen aus.

    1. Wenn Sie einen CloudWatch Amazon-Alarm für einen Schutz konfiguriert haben, haben Sie die Möglichkeit, den Alarm zusammen mit dem Schutz zu löschen. Wenn Sie den Alarm zu diesem Zeitpunkt nicht löschen möchten, können Sie ihn stattdessen später über die CloudWatch Konsole löschen.

    Anmerkung

    Wenn Sie bei Schutzmaßnahmen, für die eine Amazon Route 53-Zustandsprüfung konfiguriert ist, den Schutz später erneut hinzufügen, beinhaltet der Schutz immer noch die Zustandsprüfung.

Mit den vorherigen Schritten wird der AWS Shield Advanced Schutz für bestimmte AWS Ressourcen aufgehoben. Sie kündigen Ihr AWS Shield Advanced Abonnement nicht. Dieser Service wird Ihnen weiterhin in Rechnung gestellt. Für Informationen zu Ihrem AWS Shield Advanced Abonnement wenden Sie sich an das AWS Support Center.

Einen CloudWatch Alarm aus Ihrem Shield Advanced-Schutz entfernen

Um einen CloudWatch Alarm aus Ihrem Shield Advanced-Schutz zu entfernen, gehen Sie wie folgt vor:

  • Löschen Sie den Schutz wie in AWS Shield Advanced Der Schutz einer AWS Ressource wird entfernt beschrieben. Deaktivieren Sie das Kontrollkästchen neben Also delete related DDoSDetection alarm (Auch zugehörigen DDoSDetection-Alarm löschen).

  • Löschen Sie den Alarm mithilfe der CloudWatch Konsole. Der Name des zu löschenden Alarms beginnt mit DDoS DetectedAlarmForProtection.