Mengelola perlindungan sumber daya diAWS Shield Advanced - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola perlindungan sumber daya diAWS Shield Advanced

Gunakan panduan di bagian ini untuk mengelola perlindungan Shield Advanced untuk sumber daya Anda.

catatan

Shield Advanced hanya melindungi sumber daya yang telah Anda tentukan di Shield Advanced atau melaluiAWS Firewall ManagerShield Advanced. Itu tidak secara otomatis melindungi sumber daya Anda.

Jika Anda menggunakanAWS Firewall ManagerShield Kebijakan lanjutan, Anda tidak perlu mengelola perlindungan untuk sumber daya yang ada dalam cakupan kebijakan. Firewall Manager secara otomatis mengelola perlindungan untuk akun dan sumber daya yang berada dalam lingkup kebijakan, sesuai dengan konfigurasi kebijakan. Untuk informasi selengkapnya, lihat Kebijakan AWS Shield Advanced.

MENAMBAHKANAWS Shield AdvancedPerlindunganAWSsumber daya

Ikuti panduan di bagian ini untuk menambahkan perlindungan Shield Advanced ke satu atau lebih sumber daya.

Untuk menambahkan perlindunganAWSsumber daya

  1. Masuk keAWS Management Consoledan membukaAWS WAF & Shield konsol dihttps://console.aws.amazon.com/wafv2/.

  2. Di panel navigasi, di bawahAWS ShieldpilihSumber Daya dilindungi.

  3. PilihMenambahkan sumber daya untuk melindungi.

  4. DiPilih sumber daya untuk dilindungi dengan Shield Advanced, lakukan hal berikut:

    1. Pilih Wilayah tempat sumber daya Anda berada atau, jika Anda ingin melindungi sumber daya di beberapa Wilayah, pilihWilayah.

    2. Pilih jenis sumber daya yang ingin Anda lindungi.

      Untuk informasi tentang perlindungan untuk jenis sumber daya Anda, lihatAWS Shield Advancedperlindungan menurut jenis sumber daya.

    3. PilihMemiilih sumber daya.

    Shield AdvancedPilih Sumber DayabagianAWSsumber daya yang sesuai dengan kriteria Anda.

  5. DiPilih Sumber Dayabagian, pilih sumber daya yang ingin Anda lindungi.

  6. DiTandabagian, jika Anda ingin menambahkan tag ke perlindungan Shield Advanced yang Anda buat, tentukan itu. Untuk informasi tentang penandaanAWSsumber daya, lihatBekerja dengan Editor Tag.

  7. PilihLindungi dengan Shield Advanced. Pilihan ini menambahkan perlindungan Shield Advanced ke sumber daya. Lanjutkan melalui layar tambahan yang disediakan oleh wizard konsol untuk mengonfigurasi perlindungan Anda lebih lanjut, dengan opsi seperti pemeriksaan kesehatan dan pemberitahuan alarm.

KonfigurasiAWS Shield Advancedperlindungan

Anda dapat mengubah pengaturan untukAWS Shield AdvancedPerlindungan setiap waktu. Untuk melakukan ini, telusuri opsi untuk perlindungan yang Anda pilih dan ubah pengaturan yang perlu Anda ubah.

Untuk mengelola sumber daya dilindungi

  1. Masuk keAWS Management Consoledan membukaAWS WAF & Shield konsol dihttps://console.aws.amazon.com/wafv2/.

  2. DiAWS Shieldpanel navigasi, pilihSumber Daya dilindungi.

  3. DiPerlindungantab, pilih sumber daya yang Anda ingin lindungi.

  4. PilihKonfigurasikan perlindungandan opsi spesifikasi sumber daya yang Anda inginkan.

  5. Berjalanlah melalui masing-masing opsi perlindungan sumber daya, buat perubahan sesuai kebutuhan.

Mengkonfigurasi perlindungan DDoS lapisan aplikasi

Untuk perlindungan terhadap serangan di Amazon CloudFront dan sumber daya Application Load Balancer, Anda dapat menambahkanAWS WAFACL web dan menambahkan aturan berbasis tingkat. Untuk informasi tentang ini, lihatLapisan aplikasi lanjutanAWS WAFACL web dan aturan berbasis tingkat.

Anda juga dapat mengaktifkan mitigasi DDoS lapisan aplikasi otomatis Shield Advanced. Untuk informasi tentang caranyaAWS WAFbekerja, lihatAWS WAF. Untuk informasi tentang fitur mitigasi otomatis, lihatShield Lanjutan otomatis lapisan aplikasi DDoS mitigasi.

penting

Jika Anda mengelola perlindungan Shield Advanced melaluiAWS Firewall Managermenggunakan kebijakan Shield Advanced, Anda tidak dapat mengelola perlindungan lapisan aplikasi di sini. Untuk semua sumber daya lainnya, sebaiknya Anda melampirkan ACL web ke setiap sumber daya, meskipun ACL web tidak mengandung aturan apa pun.

catatan

Bila Anda mengaktifkan mitigasi DDoS lapisan aplikasi otomatis untuk sumber daya, jika diperlukan, operasi secara otomatis menambahkan peran terkait layanan ke akun Anda untuk memberikan izin yang diperlukan Shield Advanced untuk mengelola perlindungan ACL web Anda. Untuk informasi, lihat Menggunakan peran terkait layanan untuk Shield Advanced.

Untuk mengkonfigurasi perlindungan DDoS lapisan aplikasi

  1. DiKonfigurasikan perlindungan DDoS layer 7halaman, jika sumber daya belum dikaitkan dengan ACL web, Anda dapat memilih ACL web yang ada atau membuatnya sendiri.

    Untuk membuat ACL web, ikuti langkah-langkah berikut:

    1. PilihBuat ACL web.

    2. Masukkan nama. Anda tidak dapat mengubah nama setelah Anda membuat web ACL.

    3. Pilih Create (Buat).

    catatan

    Jika sumber daya sudah dikaitkan dengan ACL web, Anda tidak dapat mengubah ke ACL web yang berbeda. Jika Anda ingin mengubah ACL web, Anda harus terlebih dahulu menghapus ACL web terkait dari sumber daya. Untuk informasi selengkapnya, lihat Mengaitkan atau memisahkan web ACL denganAWSsumber daya.

  2. Jika ACL web tidak memiliki aturan berbasis tingkat yang ditentukan, Anda dapat menambahkannya dengan memilihMenambahkan aturan batas tingkatdan kemudian melakukan langkah-langkah berikut:

    1. Masukkan nama.

    2. Masukkan batas tingkat. Ini adalah jumlah maksimum permintaan yang diizinkan dalam periode lima menit dari alamat IP tunggal mana pun sebelum tindakan aturan berbasis tarif diterapkan ke alamat IP. Ketika permintaan dari alamat IP jatuh di bawah batas, tindakan dihentikan.

    3. Tetapkan tindakan aturan untuk menghitung atau memblokir permintaan dari alamat IP sementara jumlah permintaannya melebihi batas. Aplikasi dan penghapusan tindakan aturan mungkin berlaku satu atau dua menit setelah tingkat permintaan alamat IP berubah.

    4. Pilih Add rule (Tambahkan aturan).

  3. UntukMitigasi DDoS lapisan aplikasi otomatis, pilih apakah Anda ingin Shield Advanced secara otomatis mengurangi serangan DDoS atas nama Anda, sebagai berikut:

    • Mengaktifkan mitigasi otomatis, pilihAktifkandan kemudian pilihAWS WAFaturan tindakan yang Anda inginkan Shield Advanced untuk digunakan dalam aturan kustom. Pilihan Anda adalahCountdanBlock. Untuk informasi tentang tindakan ini, lihatAWS WAFtindakan aturan.

    • Untuk menonaktifkan mitigasi otomatis, pilihNonaktifkan.

    • Agar pengaturan mitigasi otomatis tidak berubah untuk sumber daya yang Anda kelola, tinggalkan pilihan defaultSimpan pengaturan saat ini.

    Untuk informasi tentang mitigasi DDoS lapisan aplikasi otomatis Shield Advanced, lihatShield Lanjutan otomatis lapisan aplikasi DDoS mitigasi.

  4. Pilih Selanjutnya.

Membuat alarm dan notifikasi

Prosedur berikut menunjukkan cara mengelola CloudWatch alarm untuk sumber daya yang dilindungi.

catatan

CloudWatch menimbulkan biaya tambahan. Untuk CloudWatch harga, lihatAmazon CloudWatch Harga.

Membuat alarm dan notifikasi

  1. Di halaman proteksiBuat alarm dan notifikasi -pilihan, konfigurasikan topik SNS untuk alarm dan pemberitahuan yang ingin Anda terima. Untuk sumber daya yang tidak Anda inginkan untuk pemberitahuan, pilihTidak ada topik. Anda dapat menambahkan topik Amazon SNS atau membuat topik baru.

  2. Untuk membuat topik Amazon SNS, ikuti langkah-langkah berikut:

    1. Dalam daftar dropdown, pilihBuat topik SNS.

    2. Masukkan nama topik.

    3. Secara opsional masukkan alamat email yang akan dikirim ke pesan Amazon SNS, lalu pilihMenambahkan email. Anda dapat memasukkan lebih dari satu.

    4. Pilih Create (Buat).

  3. Pilih Selanjutnya.

MenghapusAWS Shield AdvancedPerlindungan dariAWSsumber daya

Anda dapat menghapusAWS Shield Advancedperlindungan dari salah satuAWSsumber daya dapat dilakukan setiap waktu.

penting

MenghapusAWSsumber daya tidak menghapus sumber daya dariAWS Shield Advanced. Anda juga harus menghapus perlindungan pada sumber daya dariAWS Shield Advanced, seperti yang dijelaskan dalam prosedur ini.

MenghapusAWS Shield AdvancedPerlindungan dariAWSsumber daya

  1. Masuk keAWS Management Consoledan membukaAWS WAF & Shield konsol dihttps://console.aws.amazon.com/wafv2/.

  2. DiAWS Shieldpanel navigasi, pilihSumber Daya dilindungi.

  3. DiPerlindungantab, pilih sumber daya yang perlindungannya ingin Anda hapus.

  4. PilihHapus Perlindungan.

    1. Jika Anda memiliki Amazon CloudWatch alarm dikonfigurasi untuk perlindungan, Anda diberi pilihan untuk menghapus alarm bersama dengan perlindungan. Jika Anda memilih untuk tidak menghapus alarm pada saat ini, Anda dapat menghapusnya nanti menggunakan CloudWatch konsol.

    catatan

    Untuk perlindungan yang memiliki pemeriksaan kesehatan Amazon Route 53 yang dikonfigurasi, jika Anda menambahkan perlindungan lagi nanti, perlindungan masih mencakup pemeriksaan kesehatan.

Langkah-langkah sebelumnya menghapusAWS Shield AdvancedPerlindungan dariAWSsumber daya. Mereka tidak membatalkanAWS Shield Advancedberlangganan. Anda akan terus dibebankan untuk layanan ini. Untuk informasi tentangAWS Shield Advancedberlangganan, hubungiAWS SupportPusat.

Menghapus CloudWatch alarm dari perlindungan Shield Advanced

Untuk menghapus CloudWatch alarm dari perlindungan Shield Advanced, lakukan salah satu hal berikut ini:

  • Hapus perlindungan seperti yang dijelaskan diMenghapusAWS Shield AdvancedPerlindungan dariAWSsumber daya. Pastikan untuk memilih kotak centang di sampingHapus juga alarm DDOSDetection terkait.

  • Hapus alarm menggunakan CloudWatch konsol. Nama alarm yang akan dihapus dimulai denganDDoSDetectedAlarmForProtection.