AWS Shield Advanced をサブスクライブして追加の保護を適用するか否かの判断 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Shield Advanced をサブスクライブして追加の保護を適用するか否かの判断

AWS Shield Advanced をサブスクライブするアカウントと追加の保護を適用する場合を判断するのに役立てるため、このセクションのシナリオを確認してください。Shield Advanced では、一括請求 (コンソリデーティッドビリング) の支払いアカウントで作成されたすべてのアカウントについて、1 つの月額サブスクリプション料金をお支払いいただきます。さらに、転送されたデータの GB (OUT) に基づく使用料金もお支払いいただきます。Shield Advanced の料金については、「AWS Shield Advanced の料金」を参照してください。

Shield Advanced でアプリケーションとそのリソースを保護するには、アプリケーションを管理するアカウントを Shield Advanced にサブスクライブし、アプリケーションのリソースに保護を追加します。アカウントのサブスクライブとリソースの保護については、「セットアップ AWS Shield Advanced」を参照してください。

Shield アドバンストのサブスクリプションと費用 AWS WAF

Shield アドバンスドサブスクリプションは、Shield AWS WAF アドバンスドで保護するリソースの標準機能を使用するコストをカバーします。Shield Advanced AWS WAF 保護の対象となる標準料金は、ウェブ ACL あたりのコスト、ルールあたりのコスト、およびウェブリクエストインスペクションの 100 万リクエストあたりの基本価格(最大 1,500 WCU、デフォルトのボディサイズまで)です。

Shield Advanced 自動アプリケーションレイヤー DDoS 軽減を有効にすると、150 ウェブ ACL キャパシティユニット (WCU) を使用するルールグループがウェブ ACL に追加されます。これらの WCU は、ウェブ ACL 内の WCU の使用量に対してカウントされます。詳細については、Shield Advanced によるアプリケーションレイヤーのDDoS緩和の自動化 Shield Advanced ルールグループによるアプリケーションレイヤーの保護、およびのウェブACLキャパシティーユニット (WCUs) について AWS WAFを参照してください。

Shield アドバンスドへのサブスクリプションは、Shield アドバンスドを使用して保護していないリソースの使用には適用されません。 AWS WAF また、 AWS WAF 保護対象リソースの標準外の追加費用もカバーされません。 AWS WAF 非標準費用の例としては、ボットコントロール、CAPTCHAルールアクション、1,500 個以上の WCU を使用するウェブ ACL、デフォルトの本文サイズを超えるリクエスト本文の検査などがあります。全リストは料金ページに記載されています。 AWS WAF

詳細情報および料金の例については、「Shield の料金」および「AWS WAF  の料金」を参照してください。

Shield Advanced サブスクリプションの請求

AWS チャネルリセラーの場合は、アカウントチームに相談して情報やガイダンスを受けてください。この請求情報は、 AWS チャネルリセラー以外の顧客向けです。

他のすべてについては、次のサブスクリプションと請求のガイドラインが適用されます。

  • AWS Organizations 組織のメンバーであるアカウントの場合、支払いアカウント自体が購読されているかどうかに関係なく、組織の支払いアカウントに対してShield Advanced AWS サブスクリプションを請求します。

  • 同じ AWS Organizations 一括請求 (コンソリデーティッドビリング) アカウントファミリー に属する複数のアカウントをサブスクライブする場合、1 つのサブスクリプション料金はファミリー内のすべてのサブスクライブアカウントに対するものです。組織は、すべての  AWS アカウント とそのすべてのリソースを所有している必要があります。

  • 複数の組織のために複数のアカウントをサブスクライブする場合でも、すべてを所有しているのであれば、すべての組織、アカウント、リソースのサブスクリプション料金の支払いを引き続き 1 回で行うことができます。 AWS アカウントマネージャーまたはサポートに連絡して、1 AWS Shield Advanced つを除くすべての組織のサブスクリプション料金の免除をリクエストしてください。

詳細な料金情報と例については、「AWS Shield の料金表」を参照してください。

保護するアプリケーションの特定

次のいずれかが必要なアプリケーションには、Shield Advanced 保護を実装することを検討してください。

  • アプリケーションのユーザーに保証された可用性。

  • DDoS 攻撃によってアプリケーションが影響を受ける場合における、DDoS 緩和のエキスパートへの迅速なアクセス。

  • アプリケーションが DDoS AWS 攻撃の影響を受ける可能性があることを認識し、セキュリティチームや運用チームからの攻撃の通知や、 AWS セキュリティチームや運用チームへのエスカレーションを通知します。

  • クラウドコストの予測可能性 (DDoS 攻撃が AWS のサービスの利用に影響を与える場合を含む)。

アプリケーションまたはそのリソースが上記のいずれかを必要とする場合は、関連アカウントのサブスクリプションを作成することを検討してください。

保護するリソースの特定

サブスクライブした各アカウントについて、次のいずれかの特性を持つ各リソースに Shield Advanced 保護を追加することを検討してください。

  • このリソースは、インターネット上の外部ユーザーにサービスを提供します。

  • リソースはインターネットに公開されます。また、重要なアプリケーションの一部でもあります。インターネット上のユーザーがアクセスするかどうかにかかわらず、公開されているすべてのリソースを検討してください。

  • AWS WAF リソースはウェブ ACL によって保護されています。

リソースの保護の作成と管理の詳細については、「でのリソース保護 AWS Shield Advanced」を参照してください。

さらに、このガイドの推奨事項は、DDoS レジリエンシーを考慮してアプリケーションを設計し、最適な保護を実現するために Shield Advanced の機能を適切に設定するのに役立ちます。