使用自動緩解的注意事項

下列清單說明 Shield 進階自動應用程式層 DDoS 緩解的警告，並說明您可能想要採取的步驟來回應。

• 自動應用程式層 DDoS 防護功能僅適用於使用最新版本 AWS WAF (v2) 建立的 Web ACL。

• Shield Advanced 需要時間來建立應用程式的正常歷史流量基準，並利用此基準來偵測攻擊流量與正常流量並將其隔離，以減輕攻擊流量。建立基準線的時間是從您將 Web ACL 與受保護的應用程式資源建立關聯起來的 24 小時到 30 天之間。如需流量基準的其他資訊，請參閱偵測和緩解。

• 啟用自動應用程式層 DDoS 緩解功能會將規則群組新增至使用 150 個 Web ACL 容量單位 (WCU) 的網路 ACL。這些 WCU 會計入您網路 ACL 中的 WCU 使用量。如需詳細資訊，請參閱 Shield 牌進階規則群組 和 瞭解中的 Web ACL 容量單位 (WCUs) AWS WAF。

• 「Shield 牌進階」規則群組會產生 AWS WAF 量度，但無法檢視這些量度。這與您在 Web ACL 中使用但不擁有的任何其他規則群組 (例如 AWS 受管規則群組) 的規則群組相同。如需 AWS WAF 測量結果的詳細資訊，請參閱AWS WAF 量度和維度。如需此防護進階防護選項的相關資訊，請參閱Shield 先進的自動應用層 DDoS 緩解。

• 對於保護多個資源的 Web ACL，自動緩和措施只會部署不會對任何受保護資源造成負面影響的自訂緩和措施。

• DDoS 攻擊開始到 Shield Advanced 放置自訂自動緩解規則之間的時間會因每個事件而異。部分 DDoS 攻擊可能會在部署自訂規則之前結束。其他攻擊可能在緩解措施已經到位時發生，因此這些規則可能會從事件開始緩解。此外，Web ACL 和 Shield 進階規則群組中的速率型規則可能會在偵測到可能的事件之前減輕攻擊流量。

• 對於透過內容交付網路 (CDN) (例如 Amazon CloudFront) 接收任何流量的應用程式負載平衡器，這些應用程式負載平衡器資源的 Shield Advanced 應用程式層自動緩解功能將會降低。Shield Advanced 會使用用戶端流量屬性來識別和隔離攻擊流量與應用程式的正常流量，而 CDN 可能無法保留或轉寄原始用戶端流量屬性。如果您使用 CloudFront，建議您在 CloudFront 發行版上啟用自動緩和措施。

• 自動應用程式層 DDoS 防護功能不會與保護群組互動。您可以為保護群組中的資源啟用自動緩和措施，但 Shield Advanced 不會根據保護群組發現的項目自動套用攻擊緩和措施。Shield 牌進階對個別資源套用自動攻擊緩和措施。