Shield Advanced を他の と組み合わせる AWS のサービス

Shield Advanced を使用すると、さまざまなシナリオでリソースを保護できます。ただし、場合によっては、他のサービスを使用するか、他のサービスと Shield Advanced を組み合わせて最高の保護を提供する必要があります。以下は、Shield Advanced または他の AWS のサービスを使用してリソースを保護する方法の例です。

目標	推奨するサービス	関連サービスドキュメント
DDoS 攻撃からウェブアプリケーションと RESTful API を保護する	Amazon CloudFront ディストリビューションと Application Load Balancer を保護する Shield Advanced	Elastic Load Balancing ドキュメント、Amazon CloudFront ドキュメント
DDoS 攻撃から TCP ベースのアプリケーションを保護する	AWS Global Accelerator 標準アクセラレーターを保護する Shield Advanced、Elastic IP アドレスにアタッチ	AWS Global Accelerator ドキュメント、Elastic Load Balancing ドキュメント
DDoS 攻撃から UDP ベースのゲームサーバーを保護する	Elastic IP アドレスにアタッチされた Amazon EC2 インスタンスを保護する Shield Advanced	Amazon Elastic Compute Cloud のドキュメント

例えば、Shield Advanced を使用して Elastic IP アドレスを保護する場合、Shield Advanced はそれに関連付けられているすべてのリソースを保護します。攻撃中、Shield Advanced はネットワーク ACLs を AWS ネットワークの境界に自動的にデプロイします。ネットワーク ACL がネットワークの境界にある場合、Shield Advanced はより大きな DDoS イベントに対する保護を提供できます。通常、ネットワーク ACL は Amazon VPC 内の Amazon EC2 インスタンスの近くで適用されます。ネットワーク ACL は、Amazon VPC とインスタンスが処理できるだけの大きさの攻撃を緩和できます。Amazon EC2 インスタンスにアタッチされたネットワークインターフェイスが最大 10 Gbps を処理できる場合、10 Gbps を超えるボリュームは遅くなり、そのインスタンスへのトラフィックがブロックされる可能性があります。攻撃を受けている最中に、Shield Advanced はネットワーク ACL を AWS 境界に昇格させ、数テラバイトのトラフィックを処理できます。ネットワーク ACL は、典型的なネットワークの容量を超えてリソースを十分に保護することができます。ネットワーク ACL の詳細については、「ネットワーク ACL」を参照してください。