步驟 5:設定AWSSRT 支援 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 5:設定AWSSRT 支援

搭配AWS Shield Advanced,您可以使用AWS如果您的應用程式因為可能發生 DDoS 攻擊而狀況不良,則 Shield 應變小組 (SRT)。

注意

若要聯絡 SRT,您必須訂閱商業 Support 計劃企業 Support 計劃。如果您沒有訂閱任一計劃,則本節所述的部分選項可能不會顯示在您的帳戶中,或無法透過AWS Shield AdvancedAPI。

您可以透過下列其中一種方式聯絡 Shield 應變小組 (SRT):

  • Support 案例— 您可以在AWS Shield中的AWS SupportCenter。如果您的應用程式狀況不佳,請使用支援計劃可用的最高嚴重性開立案例,然後選取 Phone (電話)Chat (聊天) 聯絡選項。在案例的說明中,盡可能提供詳細的細節。請務必提供您認為可能受影響之任何受保護資源的相關資訊,以及最終使用者體驗的目前狀態。例如,如果您的使用者體驗降級或部分應用程式目前無法使用,請提供該資訊。

  • 主動參與— 使用AWS Shield Advanced主動參與時,如果在偵測到事件的期間,與您受保護之資源相關聯的 Amazon Route 53 運作狀態檢查狀況不良時,SRT 會直接聯絡您。如需有關此選項的詳細資訊,請參閱 Shield Advanced 主動參與

將您指定的特定 API 和 Amazon S3 儲存貯體的限制存取權限授與 SRT

AWS Shield Advanced會自動降低對您資源的 DDoS 攻擊。Shield Advanced 會偵測 Web 應用程式層向量,如 Web 請求泛洪以及低頻惡意機器人,但不會自動進行緩解。若要緩解 Web 應用程式層向量,您必須使用AWS WAF規則或 SRT 必須代表您採用規則。

注意

當您保護 Amazon CloudFront 分佈和應用程式負載平衡器時,防護會偵測 Web 應用程式層事件。這些事件指出與應用程式的歷史基準相比,流量在統計上有顯著偏差。如果預期出現偏差或未影響資源的運作狀態,您可以選擇不採取任何動作。

SRT 可以協助您處理 Web 應用程式層事件。AWS WAFAPI。您可以隨時撤消存取權。SRT 工程師只能在您授權下存取您的 API,僅限於您的支援參與範圍。

(選用) 授予 SRT 存取權給予 Amazon S3 儲存貯體的存取權

若要減輕應用程式層事件,您可以共用其他日誌資料,例如 Application Load Balancer 存取日誌、Amazon CloudFront 日誌或來自第三方來源的日誌。若要讓 SRT 檢視或處理您的日誌,這些日誌必須位於符合下列需求的 Amazon S3 儲存貯體中:

授權 SRT 代表您處理 Web 應用程式層事件

    • 儲存貯體必須以下列其中一種方式來管理:

      • (選項)桶位於相同的AWS 帳戶作為 Web ACL。

      • (選項) 儲存貯體位於單獨的帳戶中,您已確保 SRT 可以存取它們。如果您的組織中有多個帳戶,則可以在組織內的任何 Shield Advanced 帳戶中使用中央 Amazon S3 儲存貯體。或者,您可以在沒有 Shield 進階的帳戶中使用 Amazon S3 儲存貯體,前提是為AWS WAFWeb ACL,與 Shield 護進階保護資源相關聯。

      • (選項) 儲存貯體是由AWS Firewall Manager適用於AWS WAF政策。

    • 儲存貯體可以是純文字或 SSE-S3 加密。如需 Amazon S3 SSE-S3 加密的詳細資訊,請參閱利用 Amazon S3 受管加密金鑰,使用伺服器端加密 (SSE-S3) 保護資料中的Amazon Simple Storage Service Amazon Storage Service 開發人員指南

      SRT 無法檢視或處理存放在儲存貯體中使用儲存放在AWS Key Management Service(AWS KMS。

    • Shield 進階允許您授予 SRT 存取最多 10 個儲存貯體的權限。如果您想授予 10 個以上的權限,則需要手動編輯儲存貯體策略。

  1. 在 中AWS Shield主控台概觀頁面,在設定AWSSRT 支援中,選擇編輯 SRT 存取

  2. 對於SRT 存取設定下,選取下列之一:

    • (選項)為 SRT 建立新角色以存取我的帳戶— 對於此選項,Shield 會建立角色並自動設定角色以供使用。新角色可讓 SRT 存取您的AWS Shield Advanced和AWS WAF的費用。它也信任服務主體drt.shield.amazonaws.com,代表 SRT。

    • (選項)為 SRT 選擇現有角色以存取我的帳戶— 對於此選項,您必須修改AWS Identity and Access Management(IAM),如下所示:

      • 將受管政策 AWSShieldDRTAccessPolicy 連接至角色。所以此AWSShieldDRTAccessPolicy受管政策可讓 SRT 存取您的AWS Shield Advanced和AWS WAF的費用。如需詳細資訊,請參閱連接和分離 IAM 政策

      • 修改角色以信任服務委託人 drt.shield.amazonaws.com。這是代表 SRT 的服務委託人。如需詳細資訊,請參閱「」IAM JSON 政策元素:Principal

  3. 針對存放資料或日誌的每個 Amazon S3 儲存貯體,輸入儲存貯體的名稱,然後選擇新增儲存貯體。您最多可以新增 10 個儲存貯體。

    這會將儲存貯體的下列許可授與 SRT:s3:GetBucketLocations3:GetObject,以及s3:ListBucket

    如果您想要授予 SRT 存取 10 個以上儲存貯體的權限,您可以手動編輯其他儲存貯體策略來執行此操作。

  4. 選擇 Save (儲存)。

啟用 SRT 主動參與

Shield Advanced 主動參與可讓您在應用程式可用性因可能遭到攻擊而受到影響時,更快地與 SRT 進行互動。啟用主動式參與時,當 Shield 進階事件與一或多個受保護資源上的狀況不良 Route 53 運作狀態檢查相關聯時,SRT 會與您聯絡。

  1. 在 中AWS Shield主控台概觀頁面,在積極參與與與我們聯絡,在連絡人區域中,選擇Edit (編輯)

    在 中編輯聯絡人頁面上,提供您希望 SRT 接觸主動參與的人員的連絡資訊。

    注意

    如果您提供多個連絡人,請在備註,指出每個聯絡人應在哪種狀況下使用。包括主要和次要連絡人的指定,並提供每個連絡人的可用時數和時區。

  2. 選擇 Save (儲存)。

    所以此概觀頁面會反映更新的聯絡資訊。

  3. 選擇編輯主動參與功能中,選擇啟用,然後選擇Save (儲存)

您隨時可以變更 SRT 存取權和許可,請在概觀(憑證已建立!) 頁面上的名稱有些許差異。

繼續進行步驟 6:在雲端觀察中建立 DDoS 儀表板,並設定雲端觀察警示