管理資源保護AWS Shield Advanced - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理資源保護AWS Shield Advanced

使用本節中的指南來管理資源的 Shield 進階防護。

注意

護 Shield 進階僅保護您在護 Shield 進階或透過AWS Firewall ManagerShield 牌進階政策。它不會自動保護您的資源。

如果您使用AWS Firewall ManagerShield 高級策略,您不需要管理策略範圍內資源的保護。Firewall Manager 會根據策略組態,自動管理策略範圍內之帳號和資源的保護。如需詳細資訊,請參閱 AWS Shield Advanced 政策:

新增 AWS Shield Advanced 保護給 AWS 資源

請遵循本節中的指引,將 Shield 進階防護新增至一或多個資源。

為 AWS 資源新增保護

  1. 登入AWS Management Console並開啟AWS WAFShield 牌主控台位於 (S)https://console.aws.amazon.com/wafv2/

  2. 在導覽窗格中,AWS Shield選擇受保護的資源

  3. 選擇新增資源以進行保護

  4. 選擇使用防護進階保 Shield 的資源頁面上,執行以下作業:

    1. 選取資源所在的地區,如果您想要保護多個區域中的資源,請選取所有地區

    2. 選取您要保護的資源類型。

      如需有關資源類型保護的資訊,請參閱AWS Shield Advanced依資源類型分類的保護

    3. 選擇載入資源

    「護 Shield 進階」會填入選取資源與AWS與您的條件相符的資源。

  5. 選取資源」區段中,選取您要保護的資源。

  6. 標籤區段中,如果您要將標籤新增至您正在建立的防 Shield 進階保護,請指定這些標籤。如需有關標籤化的資訊AWS資源,請參閱使用 Tag Editor

  7. 選擇使用 Shield 牌進階保護。此選項為資源增加了 Shield 牌進階保護。繼續執行主控台精靈提供的其他畫面,以進一步設定您的保護,並使用健康狀態檢查和警示通知等選項。

ConfigureAWS Shield Advanced保護

您隨時可以變更您 AWS Shield Advanced 保護設定。若要這麼做,請逐步瀏覽所選保護的選項,並修改您需要變更的設定。

若要管理受保護的資源

  1. 登入AWS Management Console並開啟AWS WAFShield 牌主控台位於 (S)https://console.aws.amazon.com/wafv2/

  2. 在AWS Shield導覽窗格,選擇受保護的資源

  3. 保護選項卡上,選取您要保護的資源。

  4. 選擇設定保護和您要的資源規格選項。

  5. 逐步瀏覽每個資源保護選項,並視需要進行變更。

設定應用程式層 DDoS 保護

防止亞馬遜攻擊 CloudFront 和 Application Load Balancer 器資源,您可以新增AWS WAFWeb ACL 並新增以速率為基礎的規則。如需此項目的詳細資訊,請參閱Shield 高級應用層AWS WAF網頁 ACL 和以速率為基礎的規則

您也可以啟用防 Shield 進階自動應用程式層 DDoS 緩解功能。如需 AWS WAF 運作方式的資訊,請參閱AWS WAF。如需自動緩和功能的相關資訊,請參閱Shield 先進的自動應用層 DDoS 緩解

重要

如果您通過管理 Shield 牌高級保護AWS Firewall Manager使用 Shield 進階政策,您無法在此處管理應用程式層保護。對於所有其他資源,我們建議您至少將 Web ACL 附加到每個資源,即使 Web ACL 不包含任何規則也是如此。

注意

當您為資源啟用自動應用程式層 DDoS 緩解時,如有需要,該作業會自動將服務連結角色新增至您的帳戶,以便為 Shield Advanced 授予管理 Web ACL 保護所需的權限。如需相關資訊,請參閱 使用服務連結角色 Shield 階

若要設定應用程式層 DDoS 保護

  1. 設定第 7 層 DDoS 防護頁面中,如果資源尚未與 Web ACL 相關聯,您可以選擇現有的 Web ACL 或建立您自己的 ACL。

    若要建立 Web ACL,請執行下列步驟:

    1. 選擇 建立 Web ACL

    2. 輸入名稱。建立 Web ACL 後無法修改名稱。

    3. 選擇 Create (建立)。

    注意

    如果資源已與 Web ACL 關聯,您無法變更為不同的 Web ACL。如果您想要變更 Web ACL,您必須先從資源移除關聯的 Web ACL。如需詳細資訊,請參閱 關聯或取消 Web ACL 與AWS資源

  2. 如果 Web ACL 沒有定義以速率為基礎的規則,您可以選擇新增規則新增速率限制規則,然後執行以下步驟:

    1. 輸入名稱。

    2. 輸入速率限制。這是在將以速率為基礎的規則動作套用至 IP 位址之前,任何單一 IP 位址在任何五分鐘內允許的要求數目上限。當來自 IP 位址的要求低於限制時,動作便會中止。

    3. 設定規則動作,以在 IP 位址的要求計數超過限制時計數或封鎖來自 IP 位址的要求。應用程式和移除規則動作可能會在 IP 位址要求率變更後一兩分鐘生效。

    4. 選擇 Add rule (新增規則)

  3. 對於自動化應用程式層 DDoS 防護,選擇您是否希望 Shield Advanced 代表您自動緩解 DDoS 攻擊,如下所示:

    • 若要啟用自動緩解功能,請選擇啟用,然後選擇AWS WAF您希望「Shield 牌進階」在其自訂規則中使用的規則動作。您的選擇是CountBlock。如需這些動作的詳細資訊,請參閱AWS WAF 規則動作

    • 若要停用自動緩解功能,請選擇停用

    • 若要讓您管理的資源的自動緩和措施設定保持不變,請保留預設選項保持目前設定

    如需 Shield 進階自動應用程式層 DDoS 緩解的相關資訊,請參閱Shield 先進的自動應用層 DDoS 緩解

  4. 選擇 Next (下一步)。

建立鬧鐘和通知

下列程序示範如何管理 CloudWatch 受保護資源的警報。

注意

CloudWatch 會產生額外費用。對於 CloudWatch 定價,請參閱亞馬遜 CloudWatch 定價

若要建立鬧鐘和通知

  1. 在保護頁面創建警報和通知-可選的,針對您要接收的警示和通知設定 SNS 主題。對於您不想收到通知的資源,請選擇 No topic (無主題)。您可以新增 Amazon SNS 主題或建立新主題。

  2. 若要建立 Amazon SNS 主題,請按照下列步驟執行:

    1. 在下拉式清單中,選擇建立 SNS 主題

    2. 輸入主題名稱。

    3. 選擇性地輸入將傳送 Amazon SNS 訊息的電子郵件地址,然後選擇新增電子郵件。您可以輸入多個。

    4. 選擇 Create (建立)。

  3. 選擇 Next (下一步)。

從 AWS 資源移除 AWS Shield Advanced 保護

您可以隨時從您的 AWS 資源移除 AWS Shield Advanced 保護。

重要

刪除 AWS 資源並不會從 AWS Shield Advanced 中移除資源。您還必須從 AWS Shield Advanced 移除資源保護 (如此程序所述)。

從 AWS 資源移除 AWS Shield Advanced 保護

  1. 登入AWS Management Console並開啟AWS WAFShield 牌主控台位於 (S)https://console.aws.amazon.com/wafv2/

  2. 在AWS Shield導覽窗格,選擇受保護的資源

  3. 保護」頁籤上,選取您要移除其保護的資源。

  4. 選擇刪除保護

    1. 如果你有一個亞馬遜 CloudWatch 警報配置為保護,您可以選擇刪除警報以及保護。如果您此時選擇不刪除鬧鐘,您可以稍後使用 CloudWatch 主控台。

    注意

    對於已設定 Amazon Route 53 運作狀態檢查的保護,如果稍後再次新增保護,保護仍會包含運作狀態檢查。

上述步驟刪除AWS Shield Advanced從特定的保護AWS資源。它們不會取消您的 AWS Shield Advanced 訂閱。您將繼續支付該服務的費用。如需有關的資訊,您的AWS Shield Advanced訂閱,請聯絡AWS Support中心

移除 CloudWatch 來自您的 Shield 牌高級保護的警報

若要移除 CloudWatch 從 Shield 進階保護發出警示,請執行下列其中一項操作:

  • 刪除 從 AWS 資源移除 AWS Shield Advanced 保護 所述的保護。請確實選取 Also delete related DDoSDetection alarm (同時刪除相關 DDoSDetection 警示) 旁的核取方塊。

  • 使用刪除警示 CloudWatch 主控台。要刪除的警示名稱開啟DDoS 服務DetectedAlarmForProtection