DDoS AWS イベントレスポンスの Shield Response Team (SRT) サポートの設定 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DDoS AWS イベントレスポンスの Shield Response Team (SRT) サポートの設定

このページでは、Shield Response Team (SRT) サポートを設定する手順について説明します。

SRT は DDoS イベントへの対応を専門とするセキュリティエンジニアの集団です。必要に応じて、DDoS イベント中に SRT がユーザーに代わってリソースを管理できるようにするアクセス許可を追加できます。さらに、保護対象リソースに関連する Route 53 ヘルスチェックが検出されたイベント中に異常が発生した場合に、事前に対処するように SRT を設定できます。この両方の保護機能を追加することで、DDoS イベントへの迅速な対応が可能になります。

注記

Shield Response Team (SRT) のサービスを使用するには、ビジネスサポートプランまたはエンタープライズサポートプランをサブスクライブする必要があります。

SRT は、アプリケーションレイヤーイベント中に AWS WAF リクエストデータとログをモニタリングして、異常なトラフィックを特定できます。問題のあるトラフィックソースを軽減するためのカスタム AWS WAF ルールの作成に役立ちます。必要に応じて、SRT は、リソースをレコメンデーションとより適切に連携させるために、アーキテクチャに関するレコメンデ AWS ーションを作成する場合があります。

SRT 関数の詳細については、「Shield Response Team (SRT) サポートによるマネージド DDoS イベントレスポンス」を参照してください。

SRT にアクセス許可を付与するには

  1. AWS Shield コンソールの概要ページの「SRT サポートの設定 AWS 」で、「SRT アクセスの編集」を選択します。 AWS Shield Response Team (SRT) の編集アクセスページが開きます。

  2. SRT アクセス設定には、次のいずれかのオプションを選択します。

    • アカウントへのアクセス権を SRT に付与しない – Shield は、アカウントとリソースにアクセスするために以前に SRT に付与したすべての許可を削除します。

    • [Create a new role for the SRT to access my account] (SRT が自分のアカウントにアクセスするための新しいロールを作成する) — Shield は、SRT を表すサービスプリンシパル drt.shield.amazonaws.com を信頼するロールを作成し、マネージドポリシー AWSShieldDRTAccessPolicy をそれにアタッチします。管理ポリシーは、SRT がユーザーに代わって および AWS WAF API コールを行い AWS Shield Advanced 、ログにアクセスすることを許可します AWS WAF 。管理ポリシーの詳細については、「AWS マネージドポリシー: AWSShieldDRTAccessPolicy」を参照してください。

    • SRT がアカウントにアクセスするための既存のロールを選択する – このオプションでは、 AWS Identity and Access Management (IAM) のロールの設定を次のように変更する必要があります。

      • マネージドポリシー AWSShieldDRTAccessPolicy をロールにアタッチします。この管理ポリシーにより、SRT はユーザーに代わって および AWS WAF API コールを行い AWS Shield Advanced 、ログにアクセスできるようになります AWS WAF 。管理ポリシーの詳細については、「AWS マネージドポリシー: AWSShieldDRTAccessPolicy」を参照してください。マネージドポリシーをロールにアタッチする方法については、「Attaching and Detaching IAM Policies」(IAM ポリシーのアタッチとデタッチ) を参照してください。

      • サービスプリンシパル drt.shield.amazonaws.com を信頼するようにロールを変更します。これは、SRT を表すサービスプリンシパルです。詳細については、「IAM JSON ポリシーエレメント: プリンシパル」を参照してください。

  3. [保存] を選択して変更を保存します。

SRT に保護とデータへのアクセスを許可する方法の詳細については、「SRT へのアクセスの許可」を参照してください。

SRT のプロアクティブな関与を有効にするには

  1. AWS Shield コンソールの概要ページのプロアクティブエンゲージメントと連絡先の連絡先エリアで、編集を選択します。

    [Edit contacts] (連絡先を編集) ページで、SRT がプロアクティブな関与のために連絡する担当者の連絡先情報を入力します。

    複数の連絡先を提供する場合は、[Notes] (備考) に、各連絡先を使用する必要がある状況を記載してください。プライマリおよびセカンダリの連絡先指定を含めて、各連絡先の空き時間およびタイムゾーンを指定します。

    問い合わせメモの例:

    • これは、24 時間年中無休でスタッフが対応するホットラインです。応答するアナリストにご協力ください。この担当者は、適切な担当者を呼び出します。

    • 5 分以内にホットラインが応答しない場合は、私までお問い合わせください。

  2. [Save] (保存) を選択します。

    [Overview] (概要) ページには、更新された連絡先情報が反映されます。

  3. [Edit proactive engagement feature] (プロアクティブな関与機能を編集) を選択し、[Enable] (有効化) を選択してから、[Save] (保存) を選択してプロアクティブな関与を有効にします。

プロアクティブな関与の詳細については、「SRT が直接連絡するためのプロアクティブエンゲージメントの設定」を参照してください。