セットアップの設定AWS Shield アドバンスド - AWS WAF、AWS Firewall Manager、および AWS Shield アドバンスド

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

セットアップの設定AWS Shield アドバンスド

アカウントへの AWS Shield アドバンスド アクセスの変更や緊急連絡先情報の追加または削除など、DDoS Response Team (DRT) の設定を変更できます。

注記

のサービスを使用するには、DDoS Response Team (DRT)ビジネスサポートプランまたはエンタープライズサポートプランをサブスクライブする必要があります。

注記

ここで提供されるコンソールのガイダンスは、2020 年にリリースされた AWS Shield コンソールの最新バージョンに関するものです。コンソールでは、バージョンを切り替えることができます。

AWS Shield アドバンスド を使用すると、DDoS 攻撃が考えられるためアプリケーションが異常である場合に、AWS DDoS Response Team (DRT) と連携できます。

注記

DRT に連絡するには、ビジネスサポートプランまたはエンタープライズサポートプランにサブスクライブする必要があります。どちらのプランにもサブスクライブしていない場合は、このセクションで説明するオプションの一部がアカウントに表示されないか、AWS Shield アドバンスド API 経由でアクセスできない可能性があります。

以下のいずれかの方法で DDoS Response Team (DRT) に連絡できます。

  • サポートケースAWS サポートセンターの [AWS Shield] でケースを開くことができます。アプリケーションが異常である場合は、サポートプランで利用可能な最も重要度の高いケースを開き、[Phone (電話)] または [Chat (チャット)] 連絡先オプションを選択します。ケースの説明を、できる限り詳細に入力します。影響を受けると考えられる保護されたリソースと、エンドユーザーエクスペリエンスの現在の状態に関する情報を必ず提供してください。たとえば、ユーザーエクスペリエンスが低下したり、アプリケーションの一部が現在利用できない場合は、その情報を提供してください。

  • プロアクティブな関与 – Shield アドバンスドによって検出されたイベント中に、保護されたリソースに関連付けられた Amazon Route 53 ヘルスチェックが異常となった場合、DRT は AWS Shield アドバンスド プロアクティブな関与を使用してお客様に直接連絡します。このオプションの詳細については、「Shield アドバンスド プロアクティブな関与」を参照してください。

指定した特定の API および S3 バケットへの DRT 限定アクセスを許可する

AWS Shield アドバンスド は、リソースに対する DDoS 攻撃を自動的に軽減します。Shield アドバンスド は、ウェブリクエストのフラッドや低速の悪質なボットなど、ウェブアプリケーションレイヤーのベクトルを検出しますが、自動的には軽減しません。ウェブアプリケーションレイヤーのベクトルを軽減するには、AWS WAF ルールを使用するか、DRT がお客様に代わってルールを使用する必要があります。

注記

Shield アドバンスド は、Amazon CloudFront ディストリビューションと Application Load Balancer を保護するときにウェブアプリケーションレイヤーのイベントを検出します。これらのイベントは、アプリケーションの履歴ベースラインと比較して、統計的に有意なトラフィックの偏差を示します。偏差が予想される場合、またはリソースの正常性に影響を与えない場合は、何もアクションを行わないように選択できます。

DRT は、Shield アドバンスド API および AWS WAF API への制限付きアクセスと、AWS WAF ログを含む保存先へのアクセスを許可する場合、ウェブアプリケーションレイヤーのイベントをサポートします。アクセスはいつでも取り消すことができます。DRT エンジニアは、サポート契約の範囲に限定され、お客様の承認を得てお客様の API と AWS WAF ログにのみアクセスします。

DRT がお客様に代わってウェブアプリケーションレイヤーイベントを支援することを承認するには

  1. AWS WAF コンソールで、Shield アドバンスド で保護されたリソースにアタッチされている各ウェブ ACL の AWS WAF ログ記録を有効にします。

    DRT がログを表示または処理するには、AWS WAF ログが以下の要件を満たす Amazon S3 バケット内にある必要があります。

    • バケットは、次のいずれかの方法で管理する必要があります。

      • (オプション) バケットは、ウェブ ACL と同じ AWS アカウントにあります。

      • (オプション) バケットは別のアカウントにあり、DRT がそれらにアクセスできることが確認されています。組織内に複数のアカウントがある場合は、Shield アドバンスド 組織内の任意のアカウントで中央 Amazon S3 バケットを使用できます。または、Shield アドバンスド で保護されたリソースに関連付けられた AWS WAF ウェブ ACL のログを格納している場合は、Shield アドバンスド がないアカウントで、Amazon S3 バケットを使用することもできます。

      • (オプション) バケットは、AWS WAF ポリシーに対して AWS Firewall Manager によって管理されるログ記録の保存先です。

    • バケットはプレーンテキストまたは SSE-S3 暗号化のいずれかです。Amazon S3 SSE-S3 暗号化の詳細については、Amazon Simple Storage Service Amazon Simple Storage Service 開発者ガイドの「Amazon S3 で管理された暗号化キーによるサーバー側の暗号化 (SSE-S3) を使用したデータの保護」を参照してください。

      AWS KMS は、DRT (AWS Key Management Service) に保存されたキーで暗号化されたバケットに保存されたログを表示または処理できません。

    • Shield アドバンスドを使用すると、DRT に最大 10 個のバケットへのアクセス許可を与えることができます。10 を超えるアクセス許可を与える場合は、バケットポリシーを手動で編集する必要があります。

    AWS WAF ログ記録については、「ウェブ ACL トラフィック情報のログ記録」を参照してください。

  2. AWS Shield コンソールの [Overview (概要)] ページの [Configure AWS DRT support (AWS DRT サポートの設定)] で、[Edit DRT access (DRT アクセスの編集)] を選択します。

  3. [DRT access setting (DRT アクセス設定)] で、以下のいずれかを選択します。

    • (オプション) [Create a new role for the DRT to access my account (DRT からアカウントへのアクセス用に新しいロールを作成する)] – このオプションでは、Shield によってロールが作成され、自動的に設定されて、使用可能になります。新しいロールでは、DRT に AWS Shield アドバンスド および AWS WAF リソースへのアクセスを許可します。また、DRT を表すサービスプリンシパル drt.shield.amazonaws.com も信頼します。

    • (オプション) [Choose an existing role for the DRT to access my account (DRT からアカウントへのアクセス用に既存のロールを選択する)] – このオプションでは、以下のように AWS Identity and Access Management (IAM) ロールの設定を変更する必要があります。

      • 管理ポリシー AWSShieldDRTAccessPolicy をロールにアタッチします。この AWSShieldDRTAccessPolicy 管理ポリシーにより、DRT がアクセスを許可されるのは、お客様の AWS Shield アドバンスド および AWS WAF リソースに対してのみです。詳細については、「IAM ポリシーをアタッチおよびデタッチする」を参照してください。

      • サービスプリンシパル drt.shield.amazonaws.com を信頼するようにロールを変更します。これは、DRT を表すサービスプリンシパルです。詳細については、「IAM JSON ポリシーエレメント: プリンシパル」を参照してください。

  4. AWS WAF ログが保存されている Amazon S3 バケットごとに、バケットの名前を入力し、[Add Bucket (バケットの追加)] を選択します。バケットは最大 10 個まで追加できます。

    これにより、DRT にバケットに対する s3:GetBucketLocations3:GetObject、および s3:ListBucket アクセス許可が付与されます。

    DRT に 10 個を超えるバケットへのアクセス許可を付与する場合は、追加のバケットポリシーを手動で編集することによってこれを行うことができます。

  5. [Save] を選択します。

DRT プロアクティブな関与を有効にするには

Shield アドバンスド プロアクティブな関与を使用すると、攻撃が考えられるためアプリケーションの可用性に影響が出ている場合に、より迅速に DRT と連携できます。プロアクティブな関与を有効にすると、Shield アドバンスド イベント中に保護されたリソースに関連付けられた 1 つ以上の Route 53 ヘルスチェックが異常となった場合、DRT から連絡を受けます。

  1. AWS Shield コンソールの [Overview (概要)] ページの [Proactive engagement and contacts (プロアクティブな関与と連絡先)] の連絡先領域で、[Edit (編集)] を選択します。

    [Edit contacts (連絡先の編集)] ページで、プロアクティブな関与について DRT から連絡を受ける相手の連絡先情報を入力します。

    注記

    複数の連絡先を指定する場合は、[Notes (メモ)] に各連絡先を使用する必要がある状況を示します。基本連絡先、代理連絡先、各連絡先の対応時間とタイムゾーンを指定します。

  2. [Save] を選択します。

    [Overview (概要)] ページに、更新された連絡先情報が反映されています。

  3. [Edit proactive engagement feature (プロアクティブな関与機能の編集)]、[Enable (有効)]、[Save (保存)] の順に選択します。

    プロアクティブな関与を最初に有効にすると、リクエストは手動レビューになります。この間、プロアクティブな関与のステータスは、リクエストの審査が保留中であることを示します。DRT からアーキテクチャの確認をスケジュールするように連絡を受けます。これには、Route 53 ヘルスチェック設定の確認も含まれます。確認が完了すると、DRT によってプロアクティブな関与を有効にするリクエストが完了されます。