Shield Advanced ルールグループ

Shield Advanced は、所有および管理するルールグループ内のルールを使用して、自動緩和アクティビティを管理します。Shield Advanced は、保護されたリソースに関連付けたウェブ ACL 内のルールを使用してルールグループを参照します。

ウェブ ACL におけるルールグループルール

ウェブ ACL の Shield Advanced ルールグループルールには、次のプロパティがあります。

• [Name] (名前) – ShieldMitigationRuleGroup_account-id_web-acl-id_unique-identifier

• [Web ACL capacity units (WCU)] (ウェブ ACL キャパシティーユニット (WCU)) – 150。これらの WCU は、ウェブ ACL 内の WCU の使用量に対してカウントされます。

Shield Advancedは、このルールを10,000,000の優先度設定でウェブ ACL に作成し、ウェブ ACL 内の他のルールやルールグループの後に実行されるようにします。 AWS WAF ウェブ ACL 内のルールを、最も低い数値優先度設定から順に実行します。ウェブ ACL の管理中に、この優先順位の設定が変更される場合があります。

自動緩和機能は、ウェブ ACL のルール グループによって使用される WCU を除き、アカウント内の追加の AWS WAF リソースを消費しません。例えば、Shield Advanced ルールグループは、アカウントのルールグループの 1 つとしてカウントされません。のアカウント制限については AWS WAF、を参照してくださいAWS WAF クォータ。

ルールグループ内のルール

参照先の Shield Advanced ルールグループ内では、Shield Advanced が DDoS 攻撃のソースであることが判明している IP アドレスからのリクエストの量を制限するレートベースのルール ShieldKnownOffenderIPRateBasedRule を維持します。このルールは常にルールグループに存在し、トラフィックパターンの分析に頼らずに攻撃を封じ込めるため、あらゆる攻撃に対する防御の最前線として機能します。このルールのアクションは、ルールグループの他のルールと同様に、自動緩和策で選択したアクションに設定されます。レートベースルールの詳細については、「でのレートベースのルールステートメントの使用 AWS WAF」を参照してください。

注記

レートベースのルールは、Shield ShieldKnownOffenderIPRateBasedRule アドバンスドイベント検出とは独立して動作します。自動軽減機能が有効になっている間は、このルールは DDoS 攻撃のソースであることが知られている IP アドレスをレート制限します。これらの IP アドレスについては、ルールのレート制限によって攻撃を防ぎ、Shield Advancedの検出情報に攻撃が表示されないようにすることもできます。このトレードオフは、攻撃パターンを完全に可視化するよりも防御に有利に働きます。

上記の恒久的なレートベースのルールに加えて、ルールグループには、Shield Advanced が現在 DDoS 攻撃を軽減するために使用しているすべてのルールが含まれます。Shield Advanced は、必要に応じてこれらのルールを追加、変更、削除します。詳細については、Shield Advanced が自動緩和を管理する方法 を参照してください。

メトリクス

AWS WAF ルールグループはメトリクスを生成しますが、このルールグループは Shield Advanced が所有しているため、これらのメトリクスは表示できません。詳細については、「AWS WAF メトリクスとディメンション」を参照してください。