ステップ 5: 設定AWSSRT のサポート - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 5: 設定AWSSRT のサポート

とAWS Shield Advancedを使用すると、AWSDDoS 攻撃のためにアプリケーションが正常でない場合に、Shield レスポンスチーム (SRT)。

注記

SRT に連絡するには、に登録する必要があります。ビジネスSupport プランまたはEnterprise Support。どちらのプランにもサブスクライブしていない場合は、このセクションで説明するオプションの一部がアカウントに表示されないか、AWS Shield AdvancedAPI。

Shield レスポンスチーム (SRT) は、次のいずれかの方法で連絡できます。

  • Support ケース— あなたは下のケースを開くことができますAWS Shield()AWS Supportセンター。アプリケーションが正常でない場合は、サポートプランで利用可能な最も重要度の高いケースを開き、[Phone (電話)] または [Chat (チャット)] 連絡先オプションを選択します。ケースの説明を、できる限り詳細に入力します。影響を受けると思われる保護されたリソースと、エンドユーザーエクスペリエンスの現在の状態に関する情報を必ず提供してください。たとえば、ユーザーエクスペリエンスが低下したり、アプリケーションの一部が現在利用できない場合は、その情報を提供してください。

  • プロアクティブな関与— とともにAWS Shield Advancedプロアクティブな関与では、Shield Advanced によって検出されたイベント中に、保護されたリソースに関連付けられた Amazon Route 53 ヘルスチェックが異常になった場合、SRT からお客様に直接連絡が通知されます。このオプションの詳細については、Shield アドバンスドをご参照ください。

指定した特定の API および Amazon S3 バケットへの SRT 限定アクセス権を付与する

AWS Shield Advancedでは、リソースに対する DDoS 攻撃を自動的に軽減できます。Shield Advanced は、ウェブリクエストのフラッドや低速の悪質なボットなど、ウェブアプリケーションレイヤーのベクトルを検出しますが、自動的には軽減しません。ウェブアプリケーションレイヤーのベクトルを軽減するには、AWS WAFルールまたは SRT がお客様に代わってルールを使用する必要があります。

注記

Shield Advanced は、Amazon CloudFront ディストリビューションとアプリケーションロードバランサーを保護するときにウェブアプリケーションレイヤーのイベントを検出します。これらのイベントは、アプリケーションの履歴ベースラインと比較して、統計的に有意なトラフィックの偏差を示します。偏差が予想される場合、またはリソースの正常性に影響を与えない場合は、何もアクションを行わないように選択できます。

SRT は、Shield アドバンスおよびAWS WAFAPI。アクセスはいつでも取り消すことができます。SRT エンジニアは、サポート契約の範囲に限定され、お客様の承認を得てお客様の API にのみアクセスします。

(オプション)SRT に Amazon S3 バケットへのアクセスを許可する

アプリケーション Layer イベントを緩和するために、Application Load Balancer のアクセスログ、Amazon CloudFront ログ、サードパーティのソースからのログなど、追加のログデータを共有できます。SRT がログを表示または処理するには、以下の要件を満たす Amazon S3 バケット内にある必要があります。

ユーザーに代わってウェブアプリケーションレイヤーのイベントをサポートするため SRT を認証するには

    • バケットは、次のいずれかの方法で管理する必要があります。

      • (オプション)バケットは同じ AWS アカウント ウェブ ACL として設定します。

      • (オプション)バケットは別のアカウントにあり、SRT がバケットにアクセスできることを確認します。組織内に複数のアカウントがある場合は、組織内の任意の Shield Advanced アカウントで、中央の Amazon S3 バケットを使用できます。または、Shield Advanced を持たないアカウントで Amazon S3 バケットを使用して、AWS WAFWeb ACL で保護されたシールドアドバンスドリソースに関連付けられています。

      • (オプション)バケットは、AWS Firewall ManagerのためにAWS WAFポリシー。

    • バケットは、プレーンテキストまたは SSE-S3 暗号化のいずれかです。Amazon S3 SSE-S3 暗号化の詳細については、「」Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護()Amazon Simple Storage Service アマゾン Simple Storage Service

      SRT は、に保存されたキーで暗号化されたバケットに保存されたログを表示または処理できません。AWS Key Management Service(AWS KMS).

    • Shield Advanced では、最大 10 個のバケットにアクセスするアクセス許可を SRT に付与できます。10 を超えるアクセス許可を付与する場合は、バケットポリシーを手動で編集する必要があります。

  1. 左AWS Shieldconsole概要ページの設定AWSSRT のサポート] で、SRT アクセスの編集

  2. SRT アクセス設定で、次のいずれかを選択します。

    • (オプション)SRT が自分のアカウントにアクセスするための新しいロールを作成する— このオプションでは、Shield がロールを作成し、使用できるように自動的に設定します。新しいロールにより、SRT はAWS Shield AdvancedおよびAWS WAFリソースの使用料金を見積もることができます。また、サービスプリンシパルを信頼しますdrt.shield.amazonaws.comSRT を表します。

    • (オプション)SRT が自分のアカウントにアクセスするための既存のロールを選択する— このオプションでは、ロールの設定をAWS Identity and Access Management(IAM) を次のように入力します。

      • 管理ポリシー AWSShieldDRTAccessPolicy をロールにアタッチします。-AWSShieldDRTAccessPolicy管理ポリシーにより、SRT はAWS Shield AdvancedおよびAWS WAFリソースの使用料金を見積もることができます。詳細については、「IAM ポリシーをアタッチおよびデタッチする」を参照してください。

      • サービスプリンシパル drt.shield.amazonaws.com を信頼するようにロールを変更します。これは、SRT を表すサービスプリンシパルです。詳細については、「」を参照してください。IAM JSON ポリシーエレメント: プリンシパル

  3. データまたはログが保存されている Amazon S3 バケットごとに、バケットの名前を入力し、[バケットの追加。バケットは最大 10 個まで追加できます。

    これにより、SRT にバケットに対する以下のアクセス許可が付与されます。s3:GetBucketLocation,s3:GetObject, およびs3:ListBucket

    10 個を超えるバケットにアクセスするアクセス許可を SRT に付与する場合は、追加のバケットポリシーを手動で編集します。

  4. [Save] (保存) をクリックします。

SRT のプロアクティブな関与を有効にするには

Shield Advanced プロアクティブな関与を使用すると、攻撃の可能性によってアプリケーションの可用性が影響を受ける場合に、より迅速に SRT と連携できます。プロアクティブな関与を有効にすると、Shield アドバンストイベントが 1 つ以上の保護されたリソースで不健全な Route 53 ヘルスチェックに関連付けられると、SRT から連絡が通知されます。

  1. 左AWS Shieldconsole概要ページのプロアクティブなエンゲージメントと連絡先] の連絡先領域で、編集

    連絡先の編集ページで、SRT がプロアクティブなエンゲージメントのために連絡を取りたい担当者の連絡先情報を入力します。

    注記

    複数の連絡先を指定する場合は、注意各連絡先を使用する状況を示します。プライマリおよびセカンダリ担当者の指定を含めて、各担当者の可用性とタイムゾーンを指定します。

  2. [Save] (保存) をクリックします。

    -概要ページには、更新された連絡先情報が反映されます。

  3. 選択プロアクティブな差込み代金を編集する] で、Enable (Gems の有効化)[] を選択してから、[保存

SRT のアクセスと権限は、[概要ページで.

ステップ 6: CloudWatch で DDoS ダッシュボードを作成し CloudWatch アラームを設定する 」に進んでください。