ステップ 3: レイヤー 7 の DDoS 緩和機能の構成 - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 3: レイヤー 7 の DDoS 緩和機能の構成

レートベースのルールを含むウェブ ACL は、AWS Shield Advanced保護。これらのルールでは、潜在的な DDoS イベントを示す場合がある急激なトラフィックの増加へのアラートが通知されます。レートベースのルールは、任意の 5 分間に個々のアドレスから着信したリクエストをカウントします。リクエストの数が定義した制限を超えた場合は、ルールは通知を送信するなどのアクションをトリガーできます。レートベースルールの詳細については、「AWS WAF の仕組み」を参照してください。

注記

あなたが使用した場合AWS Firewall Managerを使用してFirewall Manager Shield の詳細ポリシーを作成する場合は、この手順を実行しないでください。Firewall Manager は、レートベースのルールをサポートしていません。

リージョンのレイヤー 7 DDoS 緩和策を構成するには

Shield Advanced では、選択したリソースが存在するリージョンごとに、レイヤー 7 の DDoS 緩和策を構成できます。それぞれについて、以下の手順を実行します。

  1. レイヤー 7 の DDoS 緩和機能の構成ページで、ウェブ ACL に関連付けられていないリソースごとに、既存のウェブ ACL を選択するか、新しいウェブ ACL を作成します。

    ウェブ ACL を作成するには、次のステップに従います。

    1. [Create web ACL (ウェブ ACL の作成)] を選択します。

    2. 名前を入力します。ウェブ ACL の作成後は、名前を変更することはできません。

    3. [作成] を選択します。

    注記

    リソースがすでにウェブ ACL に関連付けられている場合、別のウェブ ACL に変更することはできません。ACL を変更する場合は、最初にリソースから関連するウェブ ACL を削除します。詳細については、「ウェブ ACL との関連付けまたは関連付けの解除AWSリソース」を参照してください。

  2. レートベースのルールが定義されていない関連付けられたウェブ ACL は、レート制限ルールの追加以下のステップを実行します。

    1. 名前を入力します。

    2. レート制限を入力します。これは、レートベースのルールのアクションが IP アドレスに適用される前に、単一の IP アドレスから 5 分間で行われるリクエストの最大数です。IP アドレスからの要求が制限を下回ると、アクションは中止されます。

    3. リクエストの数が制限を超えている間に IP アドレスからのリクエストをカウントまたはブロックするルールアクションを設定します。ルール処理の適用と削除は、IP アドレス要求レートが変更されてから 1 ~ 2 分後に有効になる場合があります。

    4. [Add rule] を選択します。

  3. [Next] を選択します。

ウェブ ACL またはレートベースのルールを追加せずに続行するには

  • [Next] を選択します。

    重要

    Shield アドバンスをAWS Firewall ManagerShield の詳細ポリシーでは、ウェブ ACL またはレートベースのルールを追加できません。その他のリソースについては、そのウェブ ACL にルールがない場合でも、最低でも各リソースにウェブ ACL をアタッチすることをお勧めします。

これで「ステップ 4: 設定を確認して構成する」に移動できます。