Paso 5: ConfiguraciónAWSCompatibilidad con SRT - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 5: ConfiguraciónAWSCompatibilidad con SRT

conAWS Shield Advanced, puede interactuar con elAWSShield Response Team (SRT) si su aplicación no está en buen estado debido a un posible ataque DDoS.

nota

Para contactar con el SRT, debe estar suscrito alPlan de Support empresarialo elPlan de Enterprise Support. Si no está suscrito a ninguno de los planes, es posible que algunas de las opciones descritas en esta sección no sean visibles en su cuenta o accesibles a través de laAWS Shield AdvancedAPI.

Puede ponerse en contacto con el equipo de respuesta al Shield (SRT) de una de las siguientes formas:

  • Caso de Support— Puede abrir un caso enAWS Shielden laAWS SupportCenter. Si su aplicación no está en buen estado, abra un caso utilizando la gravedad más alta disponible para su plan de soporte y seleccione las opciones de contacto Teléfono o Chat. En la descripción de su caso, proporcione tantos detalles como sea posible. Asegúrese de proporcionar información sobre los recursos protegidos que considere que pueden verse afectados y el estado actual de su experiencia de usuario final. Por ejemplo, si su experiencia de usuario está degradada o hay partes de la aplicación que no están disponibles actualmente, proporcione esa información.

  • Interacción proactiva— ConAWS Shield AdvancedCon la interacción proactiva, el SRT se pone en contacto directamente con usted si la comprobación de estado de Amazon Route 53 asociada a su recurso protegido no se encuentra en buen estado durante un evento detectado por Shield Advanced. Para obtener más información acerca de esta opción, consulte Interacción proactiva Advanced.

Otorgue al SRT acceso limitado a determinadas API y buckets de Amazon S3 que designe

AWS Shield Advancedmitiga automáticamente los ataques DDoS contra sus recursos de. Shield Advanced detecta vectores de capa de aplicaciones web, como inundaciones de solicitudes web y bots defectuosos bajos y lentos, pero no los mitiga automáticamente. Para mitigar los vectores de capa de aplicaciones web, debe emplearAWS WAFLas reglas de o el SRT deben emplear las reglas en su nombre.

nota

Shield Advanced detecta eventos de capa de aplicaciones web cuando protege distribuciones de Amazon CloudFront y equilibradores de carga de aplicaciones. Estos eventos indican una desviación estadísticamente significativa en el tráfico, en comparación con la base de referencia histórica de la aplicación. Puede optar por no realizar ninguna acción si se espera una desviación o no ha afectado al estado de su recurso.

El SRT puede ayudarle con eventos de capa de aplicaciones web si concede acceso limitado a susAWS WAFAPIs. Puede revocar el acceso en cualquier momento. Los ingenieros de SRT solo acceden a sus API con su autorización, limitada al alcance de su interacción de soporte.

(Opcional) Otorgue a SRT acceso a un bucket de Amazon S3

Para mitigar los eventos de capa de aplicación, puede compartir datos de registro adicionales, como los registros de acceso del Application Load Balancer, los registros de Amazon CloudFront o los registros de orígenes de terceros. Para que SRT vea o procese los registros de, deben estar en buckets de Amazon S3 que cumplan los siguientes requisitos:

Para autorizar al SRT a que ayude con eventos de capa de aplicaciones web en su nombre

    • Los buckets deben administrarse de una de las siguientes formas:

      • (Opción) Los cubos están en el mismo Cuenta de AWS como la ACL web.

      • (Opción) Los cubos se encuentran en una cuenta separada, y usted se ha asegurado de que el SRT pueda acceder a ellos. Si tiene varias cuentas en su organización, puede utilizar un depósito central de Amazon S3 en cualquiera de sus cuentas de Shield Advanced dentro de la organización. Alternativamente, puede utilizar un depósito de Amazon S3 en una cuenta que no tenga Shield Advanced, siempre que almacene los registros de unAWS WAFACL web asociada a un recurso protegido Shield Advanced.

      • (Opción) Los depósitos son el destino de almacenamiento para el registro que es administrado porAWS Firewall Managerpara unAWS WAFpolítica.

    • Los buckets pueden ser de texto sin formato o cifrado SSE-S3. Para obtener más información acerca del cifrado de Amazon S3 SSE-S3, consulteProtección de los datos con el cifrado del lado del servidor con claves de cifrado administradas por Amazon S3 (SSE-S3)en laAmazon Simple Storage Service Guía del desarrollador de Amazon Simple Storage Service.

      El SRT no puede ver ni procesar registros almacenados en buckets cifrados con claves almacenadas enAWS Key Management Service(AWS KMS).

    • Shield Advanced le permite dar permiso al SRT para acceder a un máximo de 10 cubos. Si desea conceder permiso a más de 10, debe editar manualmente las directivas de depósito.

  1. En el navegadorAWS ShieldconsoleInformación generalpágina, enConfiguraciónAWSCompatibilidad con SRT, elijaEditar acceso SRT.

  2. Para el registroConfiguración del acceso SRT, seleccione una de las opciones siguientes:

    • (Opción)Crear un nuevo rol para que el SRT acceda a mi cuenta— Para esta opción, Shield crea el rol y lo configura automáticamente para su uso. El nuevo rol permite al SRT acceder a suAWS Shield AdvancedyAWS WAFde AWS. También confía en el principal del serviciodrt.shield.amazonaws.com, que representa el SRT.

    • (Opción)Elija un rol existente para que el SRT acceda a mi cuenta— Para esta opción, debe modificar la configuración del rol enAWS Identity and Access Management(IAM), según se indica a continuación:

      • Asocie la política AWSShieldDRTAccessPolicy administrada al rol. LaAWSShieldDRTAccessPolicyLa política administrada ofrece al SRT acceso aAWS Shield AdvancedyAWS WAFde AWS. Para obtener más información, consulte Conectar y separar políticas de IAM.

      • Modifique el rol para confiar en la entidad de servicio drt.shield.amazonaws.com. Este es el principal de servicio que representa el SRT. Para obtener más información, consulteElementos de política JSON de IAM: Principal.

  3. Para cada bucket de Amazon S3 en el que se almacenen sus datos o registros, escriba el nombre del bucket y elijaAñadir un bucket. Puede agregar hasta 10 buckets.

    Esto otorga al SRT los siguientes permisos en el bucket:s3:GetBucketLocation,s3:GetObject, ys3:ListBucket.

    Si desea conceder permiso al SRT para acceder a más de 10 depósitos, puede hacerlo editando manualmente las directivas de bucket adicionales.

  4. Seleccione Save.

Para habilitar la interacción proactiva de SRT

La interacción proactiva de Shield le permite interactuar con el SRT más rápidamente cuando la disponibilidad de su aplicación se ve afectada debido a un posible ataque. Cuando tiene activada la interacción proactiva, el SRT se pone en contacto con usted cuando un evento Shield Advanced de se correlaciona con una comprobación de estado de Route 53 en mal estado en uno o más de sus recursos protegidos.

  1. En el navegadorAWS ShieldconsoleInformación generalpágina, enInteracción proactiva y contactos, en el área de contactos, elijaEditar.

    En el navegadorModificar contactos, proporcione la información de contacto de las personas a las que desea que el SRT se ponga en contacto para una participación proactiva.

    nota

    Si proporciona más de un contacto, en elNotas, indique las circunstancias en las que debe utilizarse cada contacto. Incluya designaciones de contacto primario y secundario, y proporcione las horas de disponibilidad y las zonas horarias de cada contacto.

  2. Seleccione Save.

    LaInformación generalrefleja la información de contacto actualizada.

  3. SeleccionarModificación de la función proactiva, elijaHabilitary, a continuación, elijaSave (Guardar).

Puede cambiar el acceso y los permisos del SRT en cualquier momento en elInformación general(Se ha creado el certificado).

Siga en Paso 6: Cree un panel de DDoS en CloudWatch y establezca las alarmas de CloudWatch .