アプリケーションレイヤー DDoS 自動緩和の管理

このセクションのガイダンスを使用して、アプリケーションレイヤー DDoS 自動緩和設定を管理します。自動緩和の仕組みについては、前のトピックを参照してください。

注記

で説明されているベストプラクティスに従ってください自動緩和の使用に関するベストプラクティス。

リソースのアプリケーションレイヤー DDoS 自動緩和設定の表示

リソースのアプリケーションレイヤー DDoS 自動緩和設定は、[保護リソース] ページと個々の保護ページで表示できます。

リソースのアプリケーションレイヤー DDoS 自動緩和設定を表示するには

1. AWS Management Console にサインインし、https://console.aws.amazon.com/wafv2/ にある AWS WAF & Shield コンソールを開きます。

2. AWS Shield ナビゲーションペインで [保護されたリソース] を選択します。保護対象リソースのリストの [アプリケーションレイヤー DDoS 自動緩和] 列は、自動緩和が有効になっているかどうか、また有効になっている場合は緩和で Shield Advanced が使用するアクションを示します。

   任意のアプリケーションレイヤーリソースを選択することによっても、リソースの保護ページにリストされているのと同じ情報を表示することもできます。

アプリケーションレイヤー DDoS 自動緩和の有効化と無効化

次の手順では、保護されたリソースのための自動対応を有効または無効にする方法を示しています。

単一のリソースのアプリケーションレイヤー DDoS 自動緩和を有効または無効にするには

1. AWS Management Console にサインインし、https://console.aws.amazon.com/wafv2/ にある AWS WAF & Shield コンソールを開きます。

2. AWS Shield ナビゲーションペインで [保護されたリソース] を選択します。

3. [Protections] (保護) タブで、自動緩和を有効にするアプリケーションレイヤーリソースを選択します。リソースの保護ページが開きます。

4. リソースの保護ページで、[Edit] (編集) を選択します。

5. [Configure layer 7 DDoS mitigation for global resources - optional] (グローバルリソース用のレイヤー 7 DDoS 緩和を設定 - オプション) ページの [Automatic application layer DDoS mitigation] (アプリケーションレイヤー DDoS 自動緩和) で、自動緩和に使用するオプションを選択します。コンソールのオプションを以下に示します。

   • [Keep current settings] (現在の設定を保持) — 保護されたリソースの自動緩和設定は変更されません。

   • [Enable] (有効化) — 保護されたリソースの自動緩和を有効にします。このオプションを選択する場合、ウェブ ACL ルールで使用するルールアクションも選択します。ルールアクションの設定については、「ルールアクション」を参照してください。

     保護対象リソースに通常のアプリケーショントラフィックの履歴がまだない場合は、Shield Advanced がベースラインを確立できるまで、Countモードで自動軽減を有効にします。Shield Advanced は、ウェブ ACL を保護対象リソースに関連付けるとベースラインとなる情報の収集を開始します。通常のトラフィックの適切なベースラインを確立するには 24 時間から 30 日かかる場合があります。

   • [Disable] (無効化) — 保護されたリソースの自動緩和を無効にします。

6. 残りのページを最後まで順を追って確認し、設定を保存します。

[Protections] (保護) ページで、リソースの自動軽減設定が更新されます。

アプリケーションレイヤー DDoS 自動緩和に使用されるアクションの変更

コンソール内の複数の場所で、Shield Advanced がアプリケーションレイヤーの自動対応に使用するアクションを変更できます。

• [Automatic mitigation configuration] (自動緩和設定) - リソースのための自動緩和を設定するときに、アクションを変更します。手順については、前のセクションの「アプリケーションレイヤー DDoS 自動緩和の有効化と無効化」を参照してください。

• [Event details page] (イベントの詳細ページ) – コンソールでイベント情報を表示しているときに、イベントの詳細ページでアクションを変更します。詳細については、「AWS Shield Advanced イベントの詳細」を参照してください。

ウェブ ACL を共有する保護対象リソースが 2 つあり、一方のアクションを Count に、他方のアクションを Block に設定した場合、Shield Advanced はルールグループのレートベースのルール ShieldKnownOffenderIPRateBasedRule のアクションを Block に設定します。

AWS CloudFormation アプリケーションレイヤーの自動DDoS対策との併用

を使用して保護とウェブ AWS CloudFormation ACL を管理する方法を理解してください。 AWS WAF

アプリケーションレイヤー DDoS 自動緩和の有効化または無効化

リソースを使用して、アプリケーションレイヤーの自動DDoS対策を有効または無効にできます AWS CloudFormation。AWS::Shield::Protectionコンソールやその他のインターフェイスからでも、同じようにこの機能を有効または無効にできます。 AWS CloudFormation リソースについては、AWS::Shield::Protection AWS CloudFormationユーザーガイドのを参照してください。

自動緩和で使用されるウェブ ACL の管理

Shield Advanced は、 AWS WAF 保護対象リソースのウェブ ACL 内のルールグループルールを使用して、保護対象リソースの自動緩和を管理します。 AWS WAF コンソールと API を使用すると、ウェブ ACL ShieldMitigationRuleGroup ルールに名前がで始まるルールが表示されます。このルールはアプリケーションレイヤー DDoS 自動緩和専用で、Shield Advanced と AWS WAFがユーザーに代わって管理します。詳細については、Shield Advanced ルールグループおよびShield Advanced が自動緩和を管理する方法を参照してください。

ウェブ ACL AWS CloudFormation の管理に使用する場合は、ウェブ ACL テンプレートに Shield アドバンスドルールグループルールを追加しないでください。自動緩和保護で使用されているウェブ ACL を更新すると、ウェブ ACL AWS WAF 内のルールグループルールが自動的に管理されます。

管理する他のウェブ ACL と比べると、次のような違いがあります。 AWS CloudFormation

• AWS CloudFormation Shield Advanced ルールグループルールを使用したウェブ ACL の実際の設定と、ルールなしのウェブ ACL テンプレートの間のスタックドリフトステータスのドリフトは報告されません。Shield Advanced ルールは、ドリフト詳細でリソースの実際のリストには表示されません。

  Shield アドバンスドルールグループルールは AWS WAF、 AWS WAF コンソールや AWS WAF API などから取得したウェブ ACL リストに表示されます。

• スタック内のウェブ ACL テンプレートを変更した場合、Shield アドバンスドは、 AWS WAF 更新されたウェブ ACL の Shield アドバンスド自動緩和ルールを自動的に維持します。Shield Advanced が提供する自動緩和保護は、ウェブ ACL を更新しても中断されることはありません。

AWS CloudFormation ウェブ ACL テンプレートでは Shield アドバンスドルールを管理しないでください。ウェブ ACL テンプレートで Shield Advanced ルールを表示しないでください。「自動緩和の使用に関するベストプラクティス」のウェブ ACL 管理のベストプラクティスに従ってください。