Mengelola perlindungan sumber daya di AWS Shield Advanced - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced
Menambahkan perlindungan ke sumber dayaMengkonfigurasi perlindunganMenghapus perlindungan dari sumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola perlindungan sumber daya di AWS Shield Advanced

Gunakan panduan di bagian ini untuk mengelola perlindungan Shield Advanced untuk sumber daya Anda.

catatan

Shield Advanced hanya melindungi sumber daya yang telah Anda tentukan di Shield Advanced atau melalui kebijakan AWS Firewall Manager Shield Advanced. Itu tidak secara otomatis melindungi sumber daya Anda.

Jika Anda menggunakan kebijakan AWS Firewall Manager Shield Advanced, Anda tidak perlu mengelola perlindungan untuk sumber daya yang berada dalam cakupan kebijakan. Firewall Manager secara otomatis mengelola perlindungan untuk akun dan sumber daya yang berada dalam cakupan kebijakan, sesuai dengan konfigurasi kebijakan. Untuk informasi selengkapnya, lihat AWS Shield Advanced kebijakan.

Menambahkan AWS Shield Advanced perlindungan ke AWS sumber daya

Ikuti panduan di bagian ini untuk menambahkan perlindungan Shield Advanced ke satu atau beberapa sumber daya.

Untuk menambahkan perlindungan untuk sumber AWS daya

  1. Masuk ke AWS Management Console dan buka konsol AWS WAF & Shield di https://console.aws.amazon.com/wafv2/.

  2. Di panel navigasi, di bawah AWS Shield pilih Sumber daya yang dilindungi.

  3. Pilih Tambahkan sumber daya untuk dilindungi.

  4. Di halaman Pilih sumber daya untuk dilindungi dengan Shield Advanced, di Tentukan Wilayah dan jenis sumber daya, berikan spesifikasi Wilayah dan tipe sumber daya untuk sumber daya yang ingin Anda lindungi. Anda dapat melindungi sumber daya di beberapa Wilayah dengan memilih Semua Wilayah dan Anda dapat mempersempit pilihan ke sumber daya global dengan memilih Global. Anda dapat membatalkan pilihan jenis sumber daya apa pun yang tidak ingin Anda lindungi. Untuk informasi tentang perlindungan untuk jenis sumber daya Anda, lihatAWS Shield Advanced perlindungan berdasarkan jenis sumber daya.

  5. Pilih Muat sumber daya. Shield Advanced mengisi bagian Pilih Sumber Daya dengan AWS sumber daya yang sesuai dengan kriteria Anda.

  6. Di bagian Pilih Sumber Daya, Anda dapat memfilter daftar sumber daya dengan memasukkan string untuk dicari di daftar sumber daya.

    Pilih sumber daya yang ingin Anda lindungi.

  7. Di bagian Tag, jika Anda ingin menambahkan tag ke perlindungan Shield Advanced yang Anda buat, tentukan tag tersebut. Untuk informasi tentang menandai AWS sumber daya, lihat Bekerja dengan Editor Tag.

  8. Pilih Protect dengan Shield Advanced. Ini menambahkan perlindungan Shield Advanced ke sumber daya.

Mengkonfigurasi perlindungan AWS Shield Advanced

Anda dapat mengubah pengaturan untuk AWS Shield Advanced perlindungan Anda kapan saja. Untuk melakukan ini, telusuri opsi untuk perlindungan yang Anda pilih dan ubah pengaturan yang perlu Anda ubah.

Untuk mengelola sumber daya yang dilindungi

  1. Masuk ke AWS Management Console dan buka konsol AWS WAF & Shield di https://console.aws.amazon.com/wafv2/.

  2. Di panel AWS Shield navigasi, pilih Sumber daya yang dilindungi.

  3. Di tab Proteksi, pilih sumber daya yang ingin Anda lindungi.

  4. Pilih Konfigurasi perlindungan dan opsi spesifikasi sumber daya yang Anda inginkan.

  5. Berjalanlah melalui setiap opsi perlindungan sumber daya, buat perubahan sesuai kebutuhan.

Konfigurasikan perlindungan DDoS lapisan aplikasi

Untuk perlindungan terhadap serangan terhadap Amazon CloudFront dan sumber daya Application Load Balancer, Anda dapat menambahkan ACL AWS WAF web dan menambahkan aturan berbasis kecepatan. Untuk informasi tentang ini, lihatShield Advanced Application Layer AWS WAF Web ACL dan aturan berbasis tarif.

Anda juga dapat mengaktifkan mitigasi DDoS lapisan aplikasi otomatis Shield Advanced. Untuk informasi tentang cara AWS WAF kerja, lihatAWS WAF. Untuk informasi tentang fitur mitigasi otomatis, lihat. Mitigasi DDoS lapisan aplikasi otomatis Shield Advanced

penting

Jika Anda mengelola perlindungan Shield Advanced dengan AWS Firewall Manager menggunakan kebijakan Shield Advanced, Anda tidak dapat mengelola perlindungan lapisan aplikasi di sini. Untuk semua sumber daya lainnya, kami menyarankan agar, setidaknya, Anda melampirkan ACL web ke setiap sumber daya, bahkan jika ACL web tidak berisi aturan apa pun.

catatan

Saat Anda mengaktifkan mitigasi DDoS lapisan aplikasi otomatis untuk sumber daya, jika diperlukan, operasi secara otomatis menambahkan peran terkait layanan ke akun Anda untuk memberi Shield Advanced izin yang diperlukan untuk mengelola perlindungan ACL web Anda. Untuk informasi, lihat Menggunakan peran terkait layanan untuk Shield Advanced.

Untuk mengkonfigurasi perlindungan DDoS lapisan aplikasi

  1. Di halaman Configure layer 7 DDoS protections, jika sumber daya belum dikaitkan dengan ACL web, Anda dapat memilih ACL web yang ada atau membuat sendiri.

    Untuk membuat ACL web, ikuti langkah-langkah berikut:

    1. Pilih Buat web ACL.

    2. Masukkan nama. Anda tidak dapat mengubah nama setelah membuat ACL web.

    3. Pilih Buat.

    catatan

    Jika sumber daya sudah dikaitkan dengan ACL web, Anda tidak dapat mengubah ke ACL web yang berbeda. Jika Anda ingin mengubah ACL web, Anda harus terlebih dahulu menghapus ACL web terkait dari sumber daya. Untuk informasi selengkapnya, lihat Mengaitkan atau memisahkan ACL web dengan sumber daya AWS.

  2. Jika ACL web tidak memiliki aturan berbasis tarif yang ditentukan, Anda dapat menambahkannya dengan memilih aturan Tambah batas tingkat dan kemudian melakukan langkah-langkah berikut:

    1. Masukkan nama.

    2. Masukkan batas tarif. Ini adalah jumlah maksimum permintaan yang diizinkan dalam periode lima menit dari alamat IP tunggal sebelum tindakan aturan berbasis tarif diterapkan ke alamat IP. Ketika permintaan dari alamat IP jatuh di bawah batas, tindakan dihentikan.

    3. Tetapkan tindakan aturan untuk menghitung atau memblokir permintaan dari alamat IP saat jumlah permintaannya melebihi batas. Aplikasi dan penghapusan tindakan aturan mungkin berlaku satu atau dua menit setelah tingkat permintaan alamat IP berubah.

    4. Pilih Tambahkan aturan.

  3. Untuk mitigasi DDoS lapisan aplikasi Otomatis, pilih apakah Anda ingin Shield Advanced untuk secara otomatis mengurangi serangan DDoS atas nama Anda, sebagai berikut:

    • Untuk mengaktifkan mitigasi otomatis, pilih Aktifkan, lalu pilih tindakan AWS WAF aturan yang ingin digunakan Shield Advanced dalam aturan kustomnya. Pilihan Anda adalah Count danBlock. Untuk informasi tentang tindakan AWS WAF aturan ini, lihatTindakan aturan. Untuk informasi tentang cara Shield Advanced mengelola setelan tindakan ini, lihatBagaimana Shield Advanced mengelola pengaturan tindakan aturan.

    • Untuk menonaktifkan mitigasi otomatis, pilih Nonaktifkan.

    • Agar pengaturan mitigasi otomatis tidak berubah untuk sumber daya yang Anda kelola, biarkan pilihan default Simpan pengaturan saat ini.

    Untuk informasi tentang mitigasi DDoS lapisan aplikasi otomatis Shield Advanced, lihat. Mitigasi DDoS lapisan aplikasi otomatis Shield Advanced

  4. Pilih Berikutnya.

Buat alarm dan notifikasi

Prosedur berikut menunjukkan cara mengelola CloudWatch alarm untuk sumber daya yang dilindungi.

catatan

CloudWatch menimbulkan biaya tambahan. Untuk CloudWatch harga, lihat CloudWatch Harga Amazon.

Untuk membuat alarm dan notifikasi

  1. Di halaman perlindungan Buat alarm dan pemberitahuan - opsional, konfigurasikan topik SNS untuk alarm dan pemberitahuan yang ingin Anda terima. Untuk sumber daya yang tidak Anda inginkan notifikasi, pilih Tidak ada topik. Anda dapat menambahkan topik Amazon SNS atau membuat topik baru.

  2. Untuk membuat topik Amazon SNS, ikuti langkah-langkah ini:

    1. Dalam daftar dropdown, pilih Buat topik SNS.

    2. Masukkan nama topik.

    3. Secara opsional masukkan alamat email tempat pesan Amazon SNS akan dikirim, lalu pilih Tambahkan email. Anda dapat memasukkan lebih dari satu.

    4. Pilih Buat.

  3. Pilih Berikutnya.

Menghapus AWS Shield Advanced perlindungan dari sumber AWS daya

Anda dapat menghapus AWS Shield Advanced perlindungan dari AWS sumber daya Anda kapan saja.

penting

Menghapus sumber AWS daya tidak menghapus sumber daya dari AWS Shield Advanced. Anda juga harus menghapus perlindungan pada sumber daya dari AWS Shield Advanced, seperti yang dijelaskan dalam prosedur ini.

Hapus AWS Shield Advanced perlindungan dari sumber AWS daya

  1. Masuk ke AWS Management Console dan buka konsol AWS WAF & Shield di https://console.aws.amazon.com/wafv2/.

  2. Di panel AWS Shield navigasi, pilih Sumber daya yang dilindungi.

  3. Di tab Perlindungan, pilih sumber daya yang perlindungannya ingin Anda hapus.

  4. Pilih Hapus perlindungan.

    1. Jika Anda memiliki CloudWatch alarm Amazon yang dikonfigurasi untuk perlindungan, Anda diberi opsi untuk menghapus alarm bersama dengan perlindungan. Jika Anda memilih untuk tidak menghapus alarm pada saat ini, Anda dapat menghapusnya nanti menggunakan CloudWatch konsol.

    catatan

    Untuk perlindungan yang memiliki pemeriksaan kesehatan Amazon Route 53 yang dikonfigurasi, jika Anda menambahkan perlindungan lagi nanti, perlindungan masih termasuk pemeriksaan kesehatan.

Langkah-langkah sebelumnya menghapus AWS Shield Advanced perlindungan dari sumber daya tertentu AWS . Mereka tidak membatalkan AWS Shield Advanced langganan Anda. Anda akan terus dikenakan biaya untuk layanan ini. Untuk informasi tentang AWS Shield Advanced langganan Anda, hubungi AWS Support Pusat.

Menghapus CloudWatch alarm dari perlindungan Shield Advanced

Untuk menghapus CloudWatch alarm dari perlindungan Shield Advanced, lakukan salah satu hal berikut:

  • Hapus perlindungan seperti yang dijelaskan dalamMenghapus AWS Shield Advanced perlindungan dari sumber AWS daya. Pastikan untuk memilih kotak centang di samping Hapus juga alarm Deteksi DDoS terkait.

  • Hapus alarm menggunakan CloudWatch konsol. Nama alarm yang akan dihapus dimulai dengan DDoS DetectedAlarmForProtection.