AWS SRT サポートの設定 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS SRT サポートの設定

Shield レスポンスチーム (SRT、Shield Response Team) は DDoS イベントへの対応を専門とするセキュリティエンジニアの集団です。必要に応じて、DDoS イベント中に SRT がユーザーに代わってリソースを管理できるようにするアクセス許可を追加できます。さらに、保護対象リソースに関連する Route 53 ヘルスチェックが検出されたイベント中に異常が発生した場合に、事前に対処するように SRT を設定できます。この両方の保護機能を追加することで、DDoS イベントへの迅速な対応が可能になります。

注記

Shield Response Team (SRT) のサービスを使用するには、ビジネスサポートプランまたはエンタープライズサポートプランをサブスクライブする必要があります。

SRT は、 AWS WAF アプリケーションレイヤーのイベント中にリクエストデータとログを監視して、異常なトラフィックを特定できます。これらは、 AWS WAF 問題のあるトラフィックソースを軽減するためのカスタムルールを作成するのに役立ちます。SRT は、必要に応じてアーキテクチャ上の推奨事項を作成して、リソースを推奨事項とより適切に連携させることができるようにします。 AWS

SRT 関数の詳細については、「Shield Response Team (SRT) のサポート」を参照してください。

SRT にアクセス許可を付与するには

  1. AWS Shield コンソールの「概要」 ページの「 AWS SRT サポートの設定」で、「SRT アクセスを編集」を選択します。 AWS Shield 対応チーム (SRT) の編集アクセスページが開きます

  2. SRT アクセス設定には、次のいずれかのオプションを選択します。

    • アカウントへのアクセス権を SRT に付与しない – Shield は、アカウントとリソースにアクセスするために以前に SRT に付与したすべての許可を削除します。

    • [Create a new role for the SRT to access my account] (SRT が自分のアカウントにアクセスするための新しいロールを作成する) — Shield は、SRT を表すサービスプリンシパル drt.shield.amazonaws.com を信頼するロールを作成し、マネージドポリシー AWSShieldDRTAccessPolicy をそれにアタッチします。管理ポリシーにより、SRT AWS Shield Advanced がユーザーに代わって AWS WAF API 呼び出しを行ったり、 AWS WAF ログにアクセスしたりすることが許可されます。管理ポリシーの詳細については、「AWS 管理ポリシー: AWSShieldDRTAccessPolicy」を参照してください。

    • SRT がマイアカウントにアクセスするための既存のロールを選択 — このオプションでは、 AWS Identity and Access Management (IAM) のロールの設定を次のように変更する必要があります。

      • マネージドポリシー AWSShieldDRTAccessPolicy をロールにアタッチします。この管理ポリシーにより、SRT はユーザーに代わって AWS WAF API AWS Shield Advanced 呼び出しを行い、ログにアクセスすることができます。 AWS WAF 管理ポリシーの詳細については、「AWS 管理ポリシー: AWSShieldDRTAccessPolicy」を参照してください。マネージドポリシーをロールにアタッチする方法については、「Attaching and Detaching IAM Policies」(IAM ポリシーのアタッチとデタッチ) を参照してください。

      • サービスプリンシパル drt.shield.amazonaws.com を信頼するようにロールを変更します。これは、SRT を表すサービスプリンシパルです。詳細については、「IAM JSON ポリシーエレメント: プリンシパル」を参照してください。

  3. [保存] を選択して変更を保存します。

SRT に保護とデータへのアクセスを許可する方法の詳細については、「Shield Response Team (SRT) のためのアクセス権の設定」を参照してください。

SRT のプロアクティブな関与を有効にするには

  1. AWS Shield コンソールの [概要] ページの [積極的なエンゲージメントと連絡先] の [連絡先] 領域で、[編集] を選択します。

    [Edit contacts] (連絡先を編集) ページで、SRT がプロアクティブな関与のために連絡する担当者の連絡先情報を入力します。

    複数の連絡先を提供する場合は、[Notes] (備考) に、各連絡先を使用する必要がある状況を記載してください。プライマリおよびセカンダリの連絡先指定を含めて、各連絡先の空き時間およびタイムゾーンを指定します。

    問い合わせメモの例:

    • これは、24 時間年中無休でスタッフが対応するホットラインです。応答するアナリストにご協力ください。この担当者は、適切な担当者を呼び出します。

    • 5 分以内にホットラインが応答しない場合は、私までお問い合わせください。

  2. [Save] (保存) を選択します。

    [Overview] (概要) ページには、更新された連絡先情報が反映されます。

  3. [Edit proactive engagement feature] (プロアクティブな関与機能を編集) を選択し、[Enable] (有効化) を選択してから、[Save] (保存) を選択してプロアクティブな関与を有効にします。

プロアクティブな関与の詳細については、「プロアクティブな関与の設定」を参照してください。