Kebijakan AWS Shield Advanced - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan AWS Shield Advanced

Bila Anda menerapkan kebijakan lanjutan Firewall Manager Shield dengan perbaikan auto diaktifkan, untuk setiap sumber daya dalam lingkup yang belum dikaitkan denganAWS WAFweb ACL, Firewall Manager mengaitkan kosongAWS WAFACL web ACL web kosong hanya digunakan untuk tujuan pemantauan Shield. Jika Anda kemudian mengaitkan ACL web lain ke sumber daya, Firewall Manager menghapus asosiasi ACL web kosong.

BagaimanaAWS Firewall Managermengelola perubahan cakupan dalam kebijakan Shield

Akun dan sumber daya dapat keluar dari lingkupAWS Firewall ManagerShield Kebijakan lanjutan karena sejumlah perubahan, seperti perubahan pada pengaturan cakupan kebijakan, perubahan tag pada sumber daya, dan penghapusan akun dari organisasi. Untuk informasi umum tentang pengaturan cakupan kebijakan, lihatAWS Firewall Managercakupan kebijakan.

DenganAWS Firewall ManagerShield Kebijakan lanjutan, jika akun atau sumber daya keluar dari ruang lingkup, Firewall Manager berhenti memantau akun atau sumber daya.

Jika akun keluar dari ruang lingkup dengan dihapus dari organisasi, akun akan terus berlangganan Shield Advanced. Karena akun tidak lagi menjadi bagian dari keluarga penagihan konsolidasi, akun tersebut akan dikenakan biaya berlangganan Shield Advanced yang diprorata. Di sisi lain, akun yang keluar dari ruang lingkup tetapi tetap dalam organisasi tidak dikenakan biaya tambahan.

Jika sumber daya keluar dari ruang lingkup, itu terus dilindungi oleh Shield Advanced dan terus dikenakan biaya transfer data Shield Advanced.

Mitigasi DDoS lapisan aplikasi otomatis untuk Amazon CloudFrontdistribusi

Saat Anda menerapkan kebijakan Shield Advanced ke Amazon CloudFront distribusi, Anda memiliki opsi untuk mengonfigurasi mitigasi lapisan aplikasi otomatis Shield Advanced DDoS dalam kebijakan.

Untuk informasi tentang mitigasi otomatis Shield Advanced, lihatShield Lanjutan otomatis lapisan aplikasi DDoS mitigasi.

Mitigasi DDoS lapisan aplikasi canggih memiliki persyaratan sebagai berikut:

  • Mitigasi DDoS lapisan aplikasi otomatis hanya berfungsi dengan Amazon CloudFront sumber daya.

    Karena itu, Anda hanya dapat memilih opsi ini untuk Kebijakan Lanjutan Shield yang Anda buat untukGlobalWilayah, untuk digunakan dengan Amazon CloudFront distribusi.

  • Mitigasi DDoS lapisan aplikasi otomatis hanya berfungsi dengan ACL web yang dibuat menggunakan versi terbaruAWS WAF(v2). Anda tidak dapat menggunakan mitigasi otomatisAWS WAFACL web Klasik.

    Karena itu, jika Anda memiliki kebijakan yang menggunakanAWS WAFACL web klasik, Anda perlu mengganti kebijakan dengan kebijakan baru, yang secara otomatis akan menggunakan versi terbaruAWS WAF, atau minta Firewall Manager membuat ACL web versi baru untuk kebijakan Anda yang ada dan beralih ke menggunakannya. Untuk informasi lebih lanjut tentang opsi, lihat GantiAWS WAFACL web klasik dengan ACL web versi terbaru.

Konfigurasi mitigasi otomatis

Opsi mitigasi DDoS lapisan aplikasi otomatis untuk Firewall Manager Shield Kebijakan lanjutan menerapkan fungsionalitas mitigasi otomatis Shield Advanced ke akun dan sumber daya dalam lingkup kebijakan Anda. Untuk informasi mendetail tentang fitur Shield Advanced ini, lihatShield Lanjutan otomatis lapisan aplikasi DDoS mitigasi.

Anda dapat memilih agar Firewall Manager mengaktifkan atau menonaktifkan mitigasi otomatis untuk CloudFrontdistribusi yang berada dalam lingkup kebijakan, atau Anda dapat memilih agar kebijakan mengabaikan pengaturan mitigasi otomatis Shield Advanced:

  • Aktifkan- Jika Anda memilih untuk mengaktifkan mitigasi otomatis, Anda juga menentukan apakah mitigasi aturan Shield Advanced harus menghitung atau memblokir permintaan web yang cocok. Firewall Manager akan menandai sumber daya dalam lingkup sebagai noncompliant jika mereka tidak memiliki mitigasi otomatis diaktifkan, atau menggunakan tindakan aturan yang tidak cocok dengan yang Anda tentukan untuk kebijakan. Jika Anda mengonfigurasi kebijakan untuk perbaikan otomatis, Firewall Manager memperbarui sumber daya yang tidak sesuai jika diperlukan.

  • Nonaktifkan- Jika Anda memilih untuk menonaktifkan mitigasi otomatis, Firewall Manager akan menandai sumber daya dalam lingkup sebagai tidak sesuai jika mitigasi otomatis diaktifkan. Jika Anda mengonfigurasi kebijakan untuk perbaikan otomatis, Firewall Manager memperbarui sumber daya yang tidak sesuai jika diperlukan.

  • ABAIKAN- Jika Anda memilih untuk mengabaikan mitigasi otomatis, Firewall Manager tidak akan mempertimbangkan pengaturan mitigasi otomatis saat melakukan aktivitas perbaikan untuk kebijakan tersebut. Pengaturan ini memungkinkan Anda untuk mengaktifkan atau menonaktifkan mitigasi otomatis di tingkat sumber daya, melalui Shield Advanced, tanpa pengaturan tersebut ditimpa oleh Firewall Manager.

GantiAWS WAFACL web klasik dengan ACL web versi terbaru

Mitigasi DDoS lapisan aplikasi otomatis hanya berfungsi dengan ACL web yang dibuat menggunakan versi terbaruAWS WAF(v2). Anda tidak dapat menggunakan mitigasi otomatisAWS WAFACL web Klasik.

Untuk menentukan versi ACL web untuk kebijakan Shield Advanced Anda, lihatMenentukan versiAWS WAFyang digunakan oleh kebijakan Shield Advanced.

Jika Anda ingin menggunakan mitigasi otomatis dalam kebijakan Shield Advanced, dan kebijakan Anda saat ini digunakanAWS WAFACL web klasik, Anda dapat membuat kebijakan Shield Advanced baru untuk menggantikan yang sekarang, atau Anda dapat menggunakan opsi yang dijelaskan di bagian ini untuk mengganti ACL web versi sebelumnya dengan ACL web (v2) baru di dalam kebijakan Shield Advanced Anda saat ini. Kebijakan baru selalu membuat ACL web menggunakan versi terbaruAWS WAF. Jika Anda mengganti seluruh kebijakan, ketika Anda menghapusnya, Anda dapat memiliki Firewall Manager menghapus semua ACL web versi sebelumnya juga. Bagian lain dari bagian ini menjelaskan opsi Anda untuk mengganti ACL web di dalam kebijakan Anda yang ada.

Saat Anda memodifikasi kebijakan Shield Advanced yang ada untuk Amazon CloudFront sumber daya, Firewall Manager dapat secara otomatis membuat kosong baruAWS WAF(v2) web ACL untuk kebijakan, di akun dalam lingkup apa pun yang belum memiliki ACL web v2. Ketika Firewall Manager membuat ACL web baru, jika kebijakan sudah memilikiAWS WAFACL web klasik di akun yang sama, Firewall Manager mengonfigurasi ACL web versi baru dengan pengaturan tindakan default yang sama dengan ACL web yang ada. Jika tidak adaAWS WAFKlasik web ACL, Firewall Manager menetapkan tindakan default untukAllowdi ACL web baru. Setelah Firewall Manager membuat ACL web baru, Anda dapat menyesuaikannya sesuai kebutuhan melaluiAWS WAFkonsol

Bila Anda memilih salah satu opsi konfigurasi kebijakan berikut, Firewall Manager membuat ACL web (v2) baru untuk akun dalam lingkup yang belum memilikinya:

  • Saat Anda mengaktifkan atau menonaktifkan mitigasi DDoS lapisan aplikasi otomatis. Pilihan ini saja hanya menyebabkan Firewall Manager untuk membuat ACL web baru, dan tidak mengganti yang adaAWS WAFAsosiasi ACL web klasik pada sumber daya dalam lingkup kebijakan.

  • Ketika Anda memilih tindakan kebijakan remediasi otomatis dan Anda memilih opsi untuk menggantiAWS WAFACL web klasik denganAWS WAF(v2) ACL web. Anda dapat memilih untuk mengganti ACL web versi sebelumnya terlepas dari pilihan konfigurasi Anda untuk mitigasi DDoS lapisan aplikasi otomatis.

    Bila Anda memilih opsi penggantian, Firewall Manager membuat ACL web versi baru sesuai kebutuhan dan kemudian melakukan hal berikut untuk sumber daya dalam lingkup kebijakan:

    • Jika sumber daya dikaitkan dengan ACL web dari kebijakan Firewall Manager aktif lainnya, Firewall Manager membiarkan asosiasi itu sendiri.

    • Untuk kasus lain, Firewall Manager menghapus asosiasi apa pun denganAWS WAFACL web klasik dan mengaitkan sumber daya dengan kebijakanAWS WAF(v2) ACL web.

Anda dapat memilih agar Firewall Manager mengganti ACL web versi sebelumnya dengan ACL web versi baru saat Anda mau. Jika sebelumnya Anda telah menyesuaikan kebijakanAWS WAFACL web klasik, Anda dapat memperbarui ACL web versi baru ke pengaturan yang sebanding sebelum Anda memilih untuk memiliki Firewall Manager melakukan langkah penggantian.

Anda dapat mengakses salah satu versi web ACL untuk kebijakan melalui konsol versi yang sama untukAWS WAFatauAWS WAFKlasik

Firewall Manager tidak menghapus setiap digantiAWS WAFACL web klasik hingga Anda menghapus kebijakan itu sendiri. SetelahAWS WAFACL web klasik tidak lagi digunakan oleh kebijakan, Anda dapat menghapusnya jika Anda mau.

Menentukan versiAWS WAFyang digunakan oleh kebijakan Shield Advanced

Anda dapat menentukan versiAWS WAFKebijakan lanjutan Firewall Manager Shield Anda gunakan dengan melihat kunci parameter di kebijakanAWS Configaturan yang terhubung dengan layanan. JikaAWS WAFversi yang digunakan adalah yang terbaru, kunci parameter termasukpolicyIddanwebAclArn. Jika itu versi sebelumnya,AWS WAFKlasik, kunci parameter termasukwebAclIddanresourceTypes.

YangAWS Configaturan hanya mencantumkan kunci untuk ACL web yang saat ini digunakan kebijakan dengan sumber daya dalam lingkup.

Untuk menentukan versiAWS WAFPenggunaan kebijakan lanjutan Firewall Manager Shield

  1. Ambil ID kebijakan untuk kebijakan Shield Advanced:

    1. Masuk keAWS Management Consolemenggunakan akun administrator Firewall Manager Anda, dan kemudian buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2.

    2. Di panel navigasi, pilihKebijakan keamanan.

    3. Pilih Wilayah untuk kebijakan. Untuk CloudFront distribusi, iniGlobal.

    4. Temukan kebijakan yang Anda inginkan dan salin nilai nyaID kebijakan.

      Contoh ID kebijakan:1111111-2222-3333-4444-a55aa5aaa555.

  2. Buat kebijakanAWS Confignama aturan dengan menambahkan ID kebijakan ke stringFMManagedShieldConfigRule.

    ContohAWS Confignama aturan:FMManagedShieldConfigRule1111111-2222-3333-4444-a55aa5aaa555.

  3. Cari parameter untuk yang terkaitAWS Configaturan untuk kunci bernamapolicyIddanwebAclArn:

    1. BukaAWS Configkonsolhttps://console.aws.amazon.com/config/.

    2. Di panel navigasi, pilih Aturan.

    3. Temukan kebijakan Firewall Manager AndaAWS Confignama aturan dalam daftar dan pilih. Halaman aturan terbuka.

    4. Di bawahRincian aturan, dalamParameterbagian, lihat kuncinya. Jika Anda menemukan kunci bernamapolicyIddanwebAclArn, kebijakan menggunakan web ACL yang dibuat menggunakan versi terbaruAWS WAF. Jika Anda menemukan kunci bernamawebAclIddanresourceTypes, kebijakan menggunakan web ACL yang dibuat menggunakan versi sebelumnya,AWS WAFKlasik