でのリソース保護の管理 AWS Shield Advanced

このセクションのガイダンスを使用して、リソースの Shield Advanced 保護を管理します。

注記

Shield アドバンスドは、Shield アドバンスドまたは Shield アドバンスドポリシーで指定したリソースのみを保護します。 AWS Firewall Manager リソースは自動的に保護されません。

AWS Firewall Manager Shield Advancedポリシーを使用している場合は、ポリシーの対象となるリソースの保護を管理する必要はありません。Firewall Manager は、ポリシーの設定に従って、ポリシーの範囲内にあるアカウントおよびリソースの保護を自動的に管理します。詳細については、「AWS Shield Advanced ポリシー」を参照してください。

AWS Shield AdvancedAWS リソースへの保護の追加

Shield Advanced 保護を 1 つ以上のリソースに追加するには、このセクションのガイダンスに従います。

AWS リソースに保護を追加するには:

1. AWS Management Console にサインインし、https://console.aws.amazon.com/wafv2/ にある AWS WAF & Shield コンソールを開きます。

2. ナビゲーションペインの [保護されたリソース] AWS Shield を選択します。

3. [Add resources to protect] (保護するリソースを追加) を選択します。

4. [Choose resources to protect with Shield Advanced] (Shield Advanced で保護するリソースの選択) ページの [Specify the Region and resource types] (リージョンとリソースタイプの指定) で、保護するリソースのリージョンとリソースタイプの仕様を指定します。[All Regions] (すべてのリージョン) を選択すると複数のリージョンのリソースを保護でき、[Global] (グローバル) を選択すると選択範囲をグローバルリソースに絞り込むことができます。保護しないリソースタイプは、すべて選択解除できます。リソースタイプの保護については、「AWS Shield Advanced リソースタイプ別の保護」を参照してください。

5. [Load resources] (リソースをロード) を選択します。Shield Advanced は、[Select Resources] (リソースの選択) セクションに条件に一致する AWS リソースを入力します。

6. [Select Resources] (リソースの選択) セクションでは、リソースリストで検索する文字列を入力して、リソースのリストをフィルタリングできます。

   保護するリソースを選択します。

7. 作成しようとしている Shield Advanced 保護にタグを追加する場合は、[Tags] (タグ) セクションでそれらを指定します。 AWS リソースのタグ付けの詳細については、「タグエディタの使用」を参照してください。

8. [Protect with Shield Advanced] (Shield Advanced で保護) を選択します。これにより、Shield Advanced 保護がリソースに追加されます。

AWS Shield Advanced 保護の設定

AWS Shield Advanced 保護の設定はいつでも変更できます。これを行うには、選択した保護のオプションを確認し、変更する必要がある設定を変更します。

保護されたリソースを管理するには

1. AWS Management Console にサインインし、https://console.aws.amazon.com/wafv2/ にある AWS WAF & Shield コンソールを開きます。

2. AWS Shield ナビゲーションペインで [保護されたリソース] を選択します。

3. [Protections] (保護) タブで、保護するリソースを選択します。

4. 必要な [Configure protections] (保護を設定) とリソース指定オプションを選択します。

5. 各リソース保護オプションを順を追って確認し、必要に応じて変更を行います。

アプリケーションレイヤー DDoS 保護を設定する

Amazon CloudFront リソースとApplication Load Balancer リソースへの攻撃から保護するために、 AWS WAF ウェブ ACL を追加し、レートベースのルールを追加できます。詳細については、「Shield AWS WAF アドバンストアプリケーションレイヤーのウェブ ACL とレートベースのルール」を参照してください。

Shield Advanced アプリケーションレイヤー DDoS 自動緩和機能を有効にすることもできます。 AWS WAF 仕組みについては、「」を参照してください。AWS WAF自動緩和機能の詳細については、「Shield Advanced アプリケーションレイヤー DDoS 自動緩和」を参照してください。

重要

Shield AWS Firewall Manager アドバンスドポリシーを使用して Shield アドバンスド保護を管理している場合、ここでアプリケーション層の保護を管理することはできません。他のすべてのリソースについては、ウェブ ACL にルールが含まれていない場合でも、少なくとも各リソースにウェブ ACL をアタッチすることをお勧めします。

注記

リソースのためにアプリケーションレイヤー DDoS 自動緩和を有効にすると、必要に応じて、オペレーションは、サービスにリンクされたロールをアカウントに自動的に追加し、ウェブ ACL 保護の管理に必要な許可を Shield Advanced に付与します。詳細については、「Shield Advanced のサービスにリンクされたロールの使用」を参照してください。

アプリケーションレイヤー DDoS 保護を設定するには

1. [Configure layer 7 DDoS protections] (レイヤー 7 DDoS 保護を設定) ページで、リソースがまだウェブ ACL に関連付けられていない場合は、既存のウェブ ACL を選択するか、独自のウェブ ACL を作成できます。

   ウェブ ACL を作成するには、次のステップに従います。

   1. [Create web ACL] (ウェブ ACL の作成) を選択します。

   2. 名前を入力します。ウェブ ACL の作成後は、名前を変更することはできません。

   3. [Create] (作成) を選択します。

   注記

   リソースが既にウェブ ACL に関連付けられている場合、別のウェブ ACL に変更することはできません。ACL を変更する場合は、最初にリソースから関連するウェブ ACL を削除します。詳細については、「ウェブ ACL とリソースの関連付けまたは関連付け解除 AWS」を参照してください。

2. ウェブ ACL にレートベースのルールが定義されていない場合は、[Add rate limit rule] (レート制限ルールを追加) を選択し、次のステップを実行してルールを追加できます。

   1. 名前を入力します。

   2. レート制限を入力します。これは、レートベースのルールアクションが IP アドレスに適用される前の任意の 5 分間に許可される、単一の IP アドレスからのリクエストの最大数です。IP アドレスからのリクエストが制限を下回ると、アクションは中止されます。

   3. リクエストの数が制限を超えている間に IP アドレスからのリクエストをカウントまたはブロックするルールアクションを設定します。ルールアクションの適用と削除は、IP アドレスのリクエストレートが変更されてから有効になるまでに 1 ～ 2 分かかる場合があります。

   4. [Add Rule] (ルールの追加) を選択します。

3. [Automatic application layer DDoS mitigation] (アプリケーションレイヤー DDoS 自動緩和) の場合、次のように、Shield Advanced がユーザーのために DDoS 攻撃を自動的に緩和するかどうかを選択します。

   • 自動緩和機能を有効にするには、[有効化] を選択し、Shield Advanced AWS WAF にカスタムルールで使用させたいルールアクションを選択します。選択内容は Count と Block です。 AWS WAF これらのルールアクションの詳細については、を参照してくださいルールアクション。Shield Advanced がこのアクション設定を管理する方法については、「Shield Advanced がルールアクション設定を管理する方法」を参照してください。

   • 自動緩和を無効にするには、[Disable] (無効化) を選択します。

   • 管理しているリソースの自動緩和設定を変更しない場合は、デフォルトの選択である [Keep current settings] (現在の設定を保持) のままにします。

   Shield Advanced アプリケーションレイヤー DDoS 自動緩和の詳細については、「Shield Advanced アプリケーションレイヤー DDoS 自動緩和」を参照してください。

4. [Next] (次へ) を選択します。

アラームと通知を作成する

以下の手順は、 CloudWatch 保護対象リソースのアラームを管理する方法を示しています。

注記

CloudWatch 追加費用が発生する。 CloudWatch 価格については、Amazon CloudWatch の料金表をご覧ください。

アラームと通知を作成するには

1. 保護に関する [Create alarms and notifications - optional] (アラームと通知を作成 - オプション) ページで、受け取るアラームと通知の SNS トピックを設定します。通知が不要なリソースでは、[No topic] (トピックなし) を選択します。Amazon SNS トピックを追加するか、新しいトピックを作成できます。

2. Amazon SNS トピックを作成するには、次のステップに従います。

   1. ドロップダウンリストで、[Create an SNS topic] (SNS トピックを作成) を選択します。

   2. トピック名を入力します。

   3. オプションで、Amazon SNS メッセージの送信先メールアドレスを入力し、[Add email] (Eメールの追加) を選択します。複数入力できます。

   4. [Create] (作成) を選択します。

3. [Next] (次へ) を選択します。

AWS Shield AdvancedAWS リソースからの保護の解除

AWS Shield Advanced AWS どのリソースからも保護をいつでも解除できます。

重要

AWS リソースを削除しても、そのリソースはから削除されません AWS Shield Advanced。また、この手順で説明しているように AWS Shield Advanced、リソースの保護も解除する必要があります。

AWS Shield AdvancedAWS リソースから保護を解除します。

1. AWS Management Console にサインインし、https://console.aws.amazon.com/wafv2/ にある AWS WAF & Shield コンソールを開きます。

2. AWS Shield ナビゲーションペインで [保護されたリソース] を選択します。

3. [Protections] (保護) タブで、保護を削除するリソースを選択します。

4. [Delete protections] (保護を削除) を選択します。

   1. 保護用に Amazon CloudWatch アラームが設定されている場合は、保護とともにアラームを削除するオプションが表示されます。この時点でアラームを削除しない場合は、 CloudWatch コンソールを使用して後で削除できます。

   注記

   Amazon Route 53 ヘルスチェックが設定されている保護は、後から再度追加した場合でも、保護にヘルスチェックが含まれます。

前述の手順では、 AWS Shield Advanced AWS 特定のリソースからの保護が解除されます。 AWS Shield Advanced サブスクリプションはキャンセルされません。このサービスに対しては引き続き料金が発生します。 AWS Shield Advanced サブスクリプションについては、AWS Support センターにお問い合わせください。

Shield CloudWatch アドバンスドプロテクションからのアラームの削除

Shield CloudWatch アドバンスドプロテクションからアラームを削除するには、次のいずれかを実行します。

• 「AWS Shield AdvancedAWS リソースからの保護の解除」の説明に従って保護を削除します。[Also delete related DDoSDetection alarm] (関連する DDoSDetection アラームも削除する) の横にあるチェックボックスをオンにしてください。

• CloudWatch コンソールを使用してアラームを削除します。削除するアラームの名前は DDoS DetectedAlarmForProtection で始まります。