AWS Shield Advanced をサブスクライブして追加の保護を適用するか否かの判断 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Shield Advanced をサブスクライブして追加の保護を適用するか否かの判断

AWS Shield Advanced をサブスクライブするアカウントと追加の保護を適用する場合を判断するのに役立てるため、このセクションのシナリオを確認してください。Shield Advanced では、一括請求 (コンソリデーティッドビリング) の支払いアカウントで作成されたすべてのアカウントについて、1 つの月額サブスクリプション料金をお支払いいただきます。さらに、転送されたデータの GB (OUT) に基づく使用料金もお支払いいただきます。Shield Advanced の料金については、「AWS Shield Advanced の料金」を参照してください。

Shield Advanced でアプリケーションとそのリソースを保護するには、アプリケーションを管理するアカウントを Shield Advanced にサブスクライブし、アプリケーションのリソースに保護を追加します。アカウントのサブスクライブとリソースの保護については、「セットアップ AWS Shield Advanced」を参照してください。

Shield Advanced サブスクリプションと AWS WAF コスト

Shield Advanced サブスクリプションは、Shield Advanced で保護するリソースの標準 AWS WAF 機能を使用するコストをカバーします。Shield Advanced 保護の対象となる標準 AWS WAF 料金は、ウェブ ACL あたりのコスト、ルールあたりのコスト、ウェブリクエスト検査の 100 万リクエストあたりの基本料金、最大 1,500 WCUs、デフォルトの本文サイズです。

Shield Advanced 自動アプリケーションレイヤー DDoS 緩和を有効にすると、150 個のウェブ ACL キャパシティユニット (WCU) はルールグループに追加されます。これらの WCU は、ウェブ ACL 内の WCU の使用量に対してカウントされます。詳細についてはShield Advanced によるアプリケーションレイヤー DDoS 自動緩和 Shield Advanced ルールグループによるアプリケーションレイヤーの保護、およびのウェブ ACL キャパシティユニット (WCUs) AWS WAFを参照してください。

Shield Advanced のサブスクリプションでは、Shield Advanced を使用して保護しないリソース AWS WAF の の使用はカバーされません。また、保護されたリソースの標準以外の追加 AWS WAF コストもカバーしません。標準以外の AWS WAF コストの例としては、Bot Control、CAPTCHAルールアクション、1,500 を超える WCUs を使用するウェブ ACLs、デフォルトの本文サイズを超えるリクエスト本文の検査などがあります。詳細なリストは AWS WAF 料金ページに記載されています。

詳細情報および料金の例については、「Shield の料金」および「AWS WAF  の料金」を参照してください。

Shield Advanced サブスクリプションの請求

AWS チャネルリセラーの場合は、アカウントチームに連絡して情報とガイダンスを求めてください。この請求情報は、 AWS チャネルリセラーではないお客様を対象としています。

他のすべてについては、次のサブスクリプションと請求のガイドラインが適用されます。

  • AWS Organizations 組織のメンバーであるアカウントの場合、 は、支払者アカウント自体がサブスクライブされているかどうかにかかわらず、組織の支払者アカウントに対して Shield Advanced サブスクリプションを AWS 請求します。

  • 同じ AWS Organizations 一括請求 (コンソリデーティッドビリング) アカウントファミリー に属する複数のアカウントをサブスクライブする場合、1 つのサブスクリプション料金はファミリー内のすべてのサブスクライブアカウントに対するものです。組織は、すべての  AWS アカウント とそのすべてのリソースを所有している必要があります。

  • 複数の組織のために複数のアカウントをサブスクライブする場合でも、すべてを所有しているのであれば、すべての組織、アカウント、リソースのサブスクリプション料金の支払いを引き続き 1 回で行うことができます。アカウントマネージャーまたは AWS サポートに連絡して、いずれかの組織を除くすべての組織の AWS Shield Advanced サブスクリプション料金の免除をリクエストしてください。

詳細な料金情報と例については、「AWS Shield の料金表」を参照してください。

保護するアプリケーションの特定

次のいずれかが必要なアプリケーションには、Shield Advanced 保護を実装することを検討してください。

  • アプリケーションのユーザーに保証された可用性。

  • DDoS 攻撃によってアプリケーションが影響を受ける場合における、DDoS 緩和のエキスパートへの迅速なアクセス。

  • アプリケーションが DDoS 攻撃の影響を受ける可能性があること AWS を が認識し、セキュリティチームまたは運用チームからの攻撃の通知 AWS とエスカレーション。

  • クラウドコストの予測可能性 (DDoS 攻撃が AWS のサービスの利用に影響を与える場合を含む)。

アプリケーションまたはそのリソースが上記のいずれかを必要とする場合は、関連アカウントのサブスクリプションを作成することを検討してください。

保護するリソースの特定

サブスクライブした各アカウントについて、次のいずれかの特性を持つ各リソースに Shield Advanced 保護を追加することを検討してください。

  • このリソースは、インターネット上の外部ユーザーにサービスを提供します。

  • リソースはインターネットに公開されます。また、重要なアプリケーションの一部でもあります。インターネット上のユーザーがアクセスするかどうかにかかわらず、公開されているすべてのリソースを検討してください。

  • リソースは AWS WAF ウェブ ACL によって保護されています。

リソースの保護の作成と管理の詳細については、「でのリソース保護 AWS Shield Advanced」を参照してください。

さらに、このガイドの推奨事項は、DDoS レジリエンシーを考慮してアプリケーションを設計し、最適な保護を実現するために Shield Advanced の機能を適切に設定するのに役立ちます。