設定AWS Shield Advanced設定 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定AWS Shield Advanced設定

您可以變更您的AWS Shield Advanced設定,例如:修改 Shield 應變小組 (SRT) 存取您的帳戶,或新增或移除緊急聯絡資訊。

注意

若要使用 Shield 應變小組 (SRT) 的服務,您必須在商業 Support 計劃企業 Support 計劃

注意

此處提供的主控台指南適用於最新版本的AWS Shield控制台,在 2020 年發布。在主控台中,您可以在不同版本之間進行切換。

搭配AWS Shield Advanced,您可以使用AWS如果您的應用程式因為可能發生 DDoS 攻擊而狀況不良時,您的應用程式則應變小組 (SRT)。

注意

若要聯絡 SRT,您必須在 SRT 訂閱商業 Support 計劃企業 Support 計劃。如果您沒有訂閱任一計劃,則本節所述的部分選項可能不會顯示在您的帳戶中,或無法透過AWS Shield AdvancedAPI。

您可以透過下列其中一種方式聯絡 Shield 應變小組 (SRT):

  • Support 案例— 您可以在AWS Shield中的AWS SupportCenter。如果您的應用程式狀況不佳,請使用支援計劃可用的最高嚴重性開立案例,然後選取 Phone (電話)Chat (聊天) 聯絡選項。在案例的說明中,盡可能提供詳細的細節。請務必提供您認為可能受影響之任何受保護之資源的相關資訊,以及最終使用者體驗的目前狀況。例如,如果您的使用者體驗降級或部分應用程式目前無法使用,請提供該資訊。

  • 主動參與— 使用AWS Shield Advanced主動參與時,如果在 Storage Advanced 偵測到事件的期間,與您受保護之資源相關聯的 Amazon Route 53 運作狀態檢查狀況不良時,SRT 會直接聯絡您。如需有關此選項的詳細資訊,請參閱 Shield Advanced 主動參與

將您指定的特定 API 和 Amazon S3 儲存貯體的有限存取權限授與 SRT

AWS Shield Advanced會自動緩解對您資源的 DDoS 攻擊。Shield Advanced 會偵測 Web 應用程式層向量,如 Web 請求泛洪以及低頻惡意機器人,但不會自動進行緩解。若要緩解 Web 應用程式層向量,您必須在 Web 應用程式層向量使用AWS WAF規則,或 SRT 必須代表您採用規則。

注意

當您保護 Amazon CloudFront 分佈和應用程式負載平衡器時,Side Advanced 會偵測 Web 應用程式層事件。這些事件指出與應用程式的歷史基準相比,流量在統計上有顯著偏差。如果預期出現偏差或未影響資源的運作狀態,您可以選擇不採取任何動作。

SRT 可以協助您處理 Web 應用程式層事件。如果您授與 Storage 進階和AWS WAFAPI。您可以隨時撤消存取權。SRT 工程師只能在您授權下存取您的 API,僅限於您的支援參與範圍。

(選用) 授與 SRT 對 Amazon S3 儲存貯體的存取權

若要減輕應用程式層事件,您可以共用其他日誌資料,例如 Application Load Balancer 存取日誌、Amazon CloudFront 日誌或來自第三方來源的日誌。若要讓 SRT 檢視或處理您的日誌,這些日誌必須位於滿足下列需求的 Amazon S3 儲存貯體中:

授權 SRT 代表您處理 Web 應用程式層事件

    • 儲存貯體必須以下列其中一種方法來管理:

      • (選項)桶位於同一AWS 帳戶作為 Web ACL。

      • (選項) 儲存貯體位於單獨的帳戶中,您已確保 SRT 可以存取它們。如果您的組織中有多個帳戶,則可以在組織內的任何 Shield Advanced 帳戶中使用中央 Amazon S3 儲存貯體。或者,您可以在沒有「Shield 進階」的帳戶中使用 Amazon S3 儲存貯體,前提是為AWS WAFWeb ACL,與 Shield 護進階保護資源相關聯。

      • (選項) 儲存貯體是由AWS Firewall Manager適用於AWS WAF政策。

    • 儲存貯體可以是純文字或 SSE-S3 加密。如需 Amazon S3 SSE-S3 加密的詳細資訊,請參閱利用 Amazon S3 受管加密金鑰,使用伺服器端加密 (SSE-S3) 保護資料中的Amazon Simple Storage Service Amazon Storage Service 開發人員指南

      SRT 無法檢視或處理儲存貯體中的記錄,這些記錄會以儲存在AWS Key Management Service(AWS KMS。

    • Shield 進階允許您授予 SRT 存取最多 10 個儲存貯體的權限。如果您想授予 10 個以上的權限,則需要手動編輯儲存貯體策略。

  1. 在 中AWS Shield主控台概觀頁面,在設定AWSSRT 支援中,選擇編輯 SRT 存取

  2. 對於SRT 存取設定下,選取下列之一:

    • (選項)為 SRT 建立新角色以存取我的帳戶— 對於此選項,Shield 會建立角色並自動設定角色以供使用。新角色可讓 SRT 存取您的AWS Shield Advanced和AWS WAF的費用。它也信任服務主體drt.shield.amazonaws.com,代表 SRT。

    • (選項)為 SRT 選擇現有角色以存取我的帳戶— 對於此選項,您必須修改AWS Identity and Access Management(IAM),如下所示:

      • 將受管政策 AWSShieldDRTAccessPolicy 連接至角色。所以此AWSShieldDRTAccessPolicy受管政策可讓 SRT 存取您的AWS Shield Advanced和AWS WAF的費用。如需詳細資訊,請參閱連接和分離 IAM 政策

      • 修改角色以信任服務委託人 drt.shield.amazonaws.com。這是代表 SRT 的服務委託人。如需詳細資訊,請參閱「」IAM JSON 政策元素:Principal

  3. 針對存放資料或日誌的每個 Amazon S3 儲存貯體,輸入儲存貯體的名稱,然後選擇新增儲存貯體。您最多可以新增 10 個儲存貯體。

    這會將儲存貯體的下列許可授與 SRT:s3:GetBucketLocations3:GetObject,以及s3:ListBucket

    如果您想要授予 SRT 存取 10 個以上儲存貯體的權限,您可以手動編輯其他儲存貯體策略來執行此操作。

  4. 選擇 Save (儲存)。

啟用 SRT 主動參與

Shield Advanced 主動參與可讓您在應用程式可用性受到攻擊而受到影響時,更快地與 SRT 進行互動。啟用主動式參與時,當 Storage Advanced 事件與一或多個受保護資源上的狀況不良 Route 53 運作狀態檢查相關聯時,SRT 會與您聯絡。

  1. 在 中AWS Shield主控台概觀頁面,在積極參與與與我們聯絡,在連絡人區域中,選擇Edit (編輯)

    在 中編輯聯絡人頁面上,提供您希望 SRT 聯絡以進行主動參與的人員的連絡資訊。

    注意

    如果您提供多個連絡人,請在備註,指出每個聯絡人應該在哪種狀況下使用。包括主要和次要連絡人的指定,並提供每個連絡人的可用時數和時區。

  2. 選擇 Save (儲存)。

    所以此概觀頁面會反映更新的聯絡資訊。

  3. 選擇編輯主動參與功能中,選擇啟用,接著選擇Save (儲存)