管理資源保護 AWS Shield Advanced - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理資源保護 AWS Shield Advanced

使用本節中的指南來管理資源的 Shield 進階防護。

注意

護 Shield 進階僅保護您在 Shield 牌進階或透過護 Shield 進階策略指定的資源。AWS Firewall Manager它不會自動保護您的資源。

如果您使用的是 AWS Firewall Manager Shield 進階政策,則不需要針對原則範圍內的資源管理保護。Firewall Manager 員會根據策略組態,自動管理策略範圍內之帳號和資源的保護。如需詳細資訊,請參閱 AWS Shield Advanced 政策:

新增 AWS Shield Advanced 保護給 AWS 資源

請遵循本節中的指引,將 Shield 進階防護新增至一或多個資源。

為 AWS 資源新增保護
  1. 登入AWS Management Console並開啟 Shield 牌主控台 AWS WAF (S),網址為 https://console.aws.amazon.com/wafv2/

  2. 在導覽窗格中,AWS Shield選擇 [受保護的資源] 下方。

  3. 選擇 [新增要保護的資源]。

  4. 「選擇要使用 Shield 進階保護的資源」頁面的「指定區域」與「資源類型」中,針對您要保護的資源提供「區域」與「資源類型」規格。您可以選取「所有區域」來保護多個區域中的資源,也可以選取「全域」,將選取範圍縮小為域資源。您可以取消選取任何不想保護的資源類型。如需有關資源類型保護的資訊,請參閱AWS Shield Advanced依資源類型分類的保護

  5. 選擇「載入資源」。「Shield 牌進階」會將符合您條件的資源填入「選取AWS資源」區段。

  6. 「選取資源」 區段中,您可以輸入要在資源清單中搜尋的字串,以篩選資源清單。

    選取您要保護的資源。

  7. 在「標」區段中,如果您要將標籤新增至您正在建立的防 Shield 進階保護,請指定這些標籤。若要取得有關標籤AWS資源的資訊,請參閱〈使用標籤編輯器

  8. 選擇使用 Shield 進階保護。這樣可以為資源增加護 Shield 進階保護。

設定AWS Shield Advanced保護

您隨時可以變更您 AWS Shield Advanced 保護設定。若要這麼做,請逐步瀏覽所選保護的選項,並修改您需要變更的設定。

管理受保護的資源
  1. 登入AWS Management Console並開啟 Shield 牌主控台 AWS WAF (S),網址為 https://console.aws.amazon.com/wafv2/

  2. 在AWS Shield導覽窗格中,選擇 [受保護的資源]。

  3. 在 [保] 索引標籤中,選取您要保護的資源。

  4. 選擇 [設定保護] 和您想要的資源規格選項。

  5. 逐步瀏覽每個資源保護選項,並視需要進行變更。

設定應用程式層 DDoS 保護

為了防止對 Amazon CloudFront 和 Application Load Balancer 資源的攻擊,您可以新增 AWS WAF Web ACL 並新增以速率為基礎的規則。如需相關資訊,請參閱Shield 進階應用程式層 AWS WAF Web ACL 和速率型規則

您也可以啟用防 Shield 進階自動應用程式層 DDoS 緩解功能。如需 AWS WAF 運作方式的資訊,請參閱AWS WAF。如需有關自動緩和功能的資訊,請參閱Shield 先進的自動應用層 DDoS 緩解

重要

如果您透過AWS Firewall Manager使用 Shield 進階政策來管理 Shield 進階防護,則無法在此管理應用程式層防護。對於所有其他資源,我們建議您至少將 Web ACL 附加到每個資源,即使 Web ACL 不包含任何規則也是如此。

注意

當您為資源啟用自動應用程式層 DDoS 緩解時,該作業會自動將服務連結角色新增至您的帳戶,以便為 Shield Advanced 授予管理 Web ACL 保護所需的權限。如需相關資訊,請參閱 將服務連結角色用於「Shield 牌進階」

若要設定應用程式層 DDoS 保護
  1. 在 [設定第 7 層 DDoS 防護] 頁面中,如果資源尚未與 Web ACL 相關聯,您可以選擇現有的 Web ACL 或建立自己的 ACL。

    若要建立 Web ACL,請執行下列步驟:

    1. 選擇 建立 Web ACL

    2. 輸入名稱。建立 Web ACL 後無法修改名稱。

    3. 選擇建立

    注意

    如果資源已與 Web ACL 關聯,您無法變更為不同的 Web ACL。如果您想要變更 Web ACL,您必須先從資源移除關聯的 Web ACL。如需詳細資訊,請參閱 建立 Web ACL 與資源的關聯或取消關聯 AWS

  2. 如果 Web ACL 未定義以速率為基礎的規則,您可以選擇新增速率限制規則,然後執行下列步驟來新增規則:

    1. 輸入名稱。

    2. 輸入速率限制。這是在將以速率為基礎的規則動作套用至 IP 位址之前,任何單一 IP 位址在任何五分鐘內允許的要求數目上限。當來自 IP 位址的要求低於限制時,動作便會中止。

    3. 設定規則動作,以在 IP 位址的要求計數超過限制時計數或封鎖來自 IP 位址的要求。應用程式和移除規則動作可能會在 IP 位址要求率變更後一兩分鐘生效。

    4. 選擇新增規則

  3. 對於自動應用程式層 DDoS 緩解,請選擇您是否希望 Shield Advanced 代表您自動緩解 DDoS 攻擊,如下所示:

    • 若要啟用自動緩和措施,請選擇 [用],然後選取您希望 Shield Advanced 在其自訂規則中使用的規則動作。AWS WAF您的選擇是Count和Block。如需有關這些AWS WAF規則動作的資訊,請參閱規則動作。如需 Shield 進階如何管理此動作設定的相關資訊,請參閱「Shield 牌進階」如何管理規則動作設定

    • 若要停用自動緩和措施,請選擇停用

    • 若要讓您正在管理的資源的自動緩和措施設定保持不變,請保留預設選項 [保留目前設定]

    如需有關防 Shield 進階自動應用程式層 DDoS 緩解的資訊,請參閱Shield 先進的自動應用層 DDoS 緩解

  4. 選擇下一步

建立鬧鐘和通知

下列程序顯示如何管理受保護資源的 CloudWatch 警示。

注意

CloudWatch 會產生額外費用。有關 CloudWatch 定價,請參閱 Amazon CloudWatch 定價

若要建立鬧鐘和通知
  1. 在 [保護] 頁面 [建立警示和通知-用] 中,針對您要接收的警示和通知設定 SNS 主題。對於您不想收到通知的資源,請選擇 No topic (無主題)。您可以新增 Amazon SNS 主題或建立新主題。

  2. 若要建立 Amazon SNS 主題,請依照下列步驟執行:

    1. 在下拉式清單中,選擇 [建立 SNS 主題]。

    2. 輸入主題名稱。

    3. 選擇性地輸入將傳送 Amazon SNS 訊息的電子郵件地址,然後選擇 [新增電子郵件]。您可以輸入多個。

    4. 選擇建立

  3. 選擇下一步

從 AWS 資源移除 AWS Shield Advanced 保護

您可以隨時從您的 AWS 資源移除 AWS Shield Advanced 保護。

重要

刪除 AWS 資源並不會從 AWS Shield Advanced 中移除資源。您還必須從 AWS Shield Advanced 移除資源保護 (如此程序所述)。

從 AWS 資源移除 AWS Shield Advanced 保護
  1. 登入AWS Management Console並開啟 Shield 牌主控台 AWS WAF (S),網址為 https://console.aws.amazon.com/wafv2/

  2. 在AWS Shield導覽窗格中,選擇 [受保護的資源]。

  3. 在 [保護] 索引標籤中,選取您要移除其保護的資源。

  4. 選擇 [刪除保護]。

    1. 如果您設定了 Amazon CloudWatch 警報以進行保護,則可以選擇刪除警報以及保護。如果您此時選擇不刪除鬧鐘,您可以稍後使用 CloudWatch 主控台將其刪除。

    注意

    對於已設定 Amazon Route 53 運作狀態檢查的保護,如果稍後再次新增保護,保護仍會包含運作狀態檢查。

上述步驟會移除特定資AWS源的AWS Shield Advanced保護。它們不會取消您的 AWS Shield Advanced 訂閱。您將繼續支付該服務的費用。如需有關您的AWS Shield Advanced訂閱的資訊,請聯絡中AWS Support心

從防護 Shield 進階保護移除 CloudWatch 警報

若要移除 Shield 進階防護的 CloudWatch 警示,請執行下列其中一項操作:

  • 刪除 從 AWS 資源移除 AWS Shield Advanced 保護 所述的保護。請確實選取 Also delete related DDoSDetection alarm (同時刪除相關 DDoSDetection 警示) 旁的核取方塊。

  • 使用 CloudWatch 控制台刪除警報。要刪除的警示名稱以 DDoS 開頭DetectedAlarmForProtection。