アプリケーションレイヤー (レイヤー 7) DDoS 保護を設定する - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

アプリケーションレイヤー (レイヤー 7) DDoS 保護を設定する

Shield Advanced 保護では、各アプリケーションレイヤーリソースについて、ウェブ ACL をレートベースのルールに関連付ける必要があります。Shield Advanced アプリケーションレイヤー DDoS 自動緩和機能をオプションで有効にすることもできます。

重要

Shield Advanced ポリシーを使用して AWS Firewall Manager を通じて Shield Advanced 保護を管理する場合、ここでアプリケーションレイヤー保護を管理することはできません。Firewall Manager Shield Advanced ポリシーで管理する必要があります。

リージョン用にレイヤー 7 DDoS 保護を設定するには

Shield Advanced では、選択したリソースが配置されている各リージョンについて、レイヤー 7 DDoS 緩和策を設定するオプションを使用できます。それぞれに対して次の手順を実行します。

注記

リソースは、一度に 1 つのウェブ ACL にのみ関連付けることができます。リソースのウェブ ACL を変更する場合は、現在のウェブ ACL の関連付けを削除し、新しいウェブ ACL を関連付けます。詳細については、「ウェブ ACL と AWS リソースの関連付けまたは関連付けの解除」を参照してください。

  1. [Configure layer 7 DDoS protections] (レイヤー 7 DDoS 保護を設定) ページで、ウェブ ACL に関連付けられていない各リソースについて、既存のウェブ ACL を選択するか、新しいウェブ ACL を作成します。

    レートベースのルールを持たないウェブ ACL については、Shield Advanced の設定ウィザードで新しいルールを作成するよう求められます。[Add rate limit rule] (レート制限ルールを追加) を選択し、レート制限とルールアクションを指定して、レートベースのルールをウェブ ACL に追加します。

    Shield Advanced 保護でのウェブ ACL およびレートベースのルールの使用方法については、「Shield Advanced アプリケーションレイヤーの AWS WAF ウェブ ACL とレートベースのルール」を参照してください。

  2. [Automatic application layer DDoS mitigation] (アプリケーションレイヤー DDoS 自動緩和) では、Shield Advanced がアプリケーションレイヤーリソースに対する DDoS 攻撃を自動的に緩和するようにするには、[Enable] (有効化) を選択してから、Shield Advanced がカスタムルールで使用する AWS WAF ルールアクションを選択します。この設定は、管理しているリソースのすべてのウェブ ACL に適用されます。

    自動アプリケーションレイヤーの DDoS 緩和機能では、Shield Advanced は、現在のトラフィックパターンと過去のトラフィックベースラインを比較して、DDoS 攻撃を示している可能性のある逸脱を検出します。リソースのためにアプリケーションレイヤー DDoS 自動緩和が有効になっている場合、Shield Advanced が DDoS 攻撃を検出すると、攻撃に対応するカスタム AWS WAF ルールを作成、評価、およびデプロイすることで対応します。これらのカスタムルールが、ユーザーに代わって攻撃に対してカウントまたはブロックするかどうかを指定します。Shield Advanced アプリケーションレイヤー DDoS 自動緩和の詳細については、「Shield Advanced アプリケーションレイヤー DDoS 自動緩和」を参照してください。

    注記

    アプリケーションレイヤー DDoS 自動緩和は、AWS WAF (v2)の最新バージョンを使用して作成されたウェブ ACL でのみ機能します。AWS WAF Classic ウェブ ACL では自動緩和を使用できません。

  3. [Next] (次へ) を選択します。コンソールウィザードは、ヘルスベースの検出のページに進みます。