Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Cette page explique comment utiliser AWS CloudFormation pour gérer vos protections et AWS WAF le Web ACLs.
Activation ou désactivation de l'atténuation automatique de la couche d'application DDo S
Vous pouvez activer et désactiver l'atténuation automatique de la couche DDo S de l'application par AWS CloudFormation le biais de la AWS::Shield::Protection
ressource. L'effet est le même que lorsque vous activez ou désactivez la fonctionnalité via la console ou toute autre interface. Pour plus d'informations sur AWS CloudFormation cette ressource, reportez-vous AWS::Shield::Protectionau guide de l'AWS CloudFormation utilisateur.
Gestion de l' ACLs utilisation du Web avec atténuation automatique
Shield Advanced gère l'atténuation automatique de votre ressource protégée à l'aide d'une règle de groupe de règles dans l'ACL AWS WAF Web de la ressource protégée. Par le biais de la AWS WAF console APIs, vous verrez la règle répertoriée dans vos règles ACL Web, avec un nom commençant parShieldMitigationRuleGroup
. Cette règle est dédiée à l'atténuation automatique de la couche DDo S de votre application et elle est gérée pour vous par Shield Advanced et AWS WAF. Pour plus d’informations, consultez Protection de la couche applicative avec le groupe de règles Shield Advanced et Comment Shield Advanced gère l'atténuation automatique.
Si vous avez l' AWS CloudFormation habitude de gérer votre site Web ACLs, n'ajoutez pas la règle de groupe de règles Shield Advanced à votre modèle d'ACL Web. Lorsque vous mettez à jour une ACL Web qui est utilisée avec vos protections d'atténuation automatiques, gère AWS WAF automatiquement la règle du groupe de règles dans l'ACL Web.
Vous constaterez les différences suivantes par rapport aux autres sites Web ACLs que vous gérez AWS CloudFormation :
AWS CloudFormation ne signalera aucune dérive de l'état de dérive de la pile entre la configuration réelle de l'ACL Web, avec la règle du groupe de règles Shield Advanced, et votre modèle d'ACL Web, sans la règle. La règle Shield Advanced n'apparaîtra pas dans la liste réelle de la ressource dans les détails de dérive.
Vous pourrez voir la règle du groupe de règles Shield Advanced dans les listes d'ACL Web que vous AWS WAF recherchez, par exemple via la AWS WAF console ou AWS WAF APIs.
-
Si vous modifiez le modèle d'ACL Web dans une pile AWS WAF et que Shield Advanced conserve automatiquement la règle d'atténuation automatique Shield Advanced dans l'ACL Web mise à jour. Les protections d'atténuation automatiques fournies par Shield Advanced ne sont pas interrompues par votre mise à jour de l'ACL Web.
Ne gérez pas la règle Shield Advanced dans votre modèle ACL AWS CloudFormation Web. Le modèle ACL Web ne doit pas répertorier la règle Shield Advanced. Suivez les meilleures pratiques en matière de gestion des ACL Web à l'adresseBonnes pratiques pour l'utilisation de l'atténuation automatique de la couche d'application DDo S.