**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Einrichten AWS Shield Advanced
<a name="getting-started-ddos"></a>

Dieses Tutorial führt Sie durch die ersten Schritte mit der AWS Shield Advanced Verwendung der Shield Advanced-Konsole. 

**Anmerkung**  
Shield Advanced erfordert ein Abonnement, AWS Shield Standard aber nicht. Die von Shield Standard bereitgestellten Schutzmaßnahmen stehen allen AWS Kunden kostenlos zur Verfügung.

Shield Advanced bietet fortschrittlichen DDo S-Erkennungs- und Mitigationsschutz für Angriffe auf Netzwerkschicht (Schicht 3), Transportschicht (Schicht 4) und Anwendungsebene (Schicht 7). Weitere Informationen zu Shield Advanced finden Sie unter[AWS Shield Advanced -Übersicht](ddos-advanced-summary.md).

Die AWS technische Community hat ein Beispiel für einen automatisierten Prozess zur Konfiguration von Shield Advanced unter Verwendung der Infrastructure-as-Code-Tools (IaC) AWS CloudFormation und Terraform veröffentlicht. Sie können diese Lösung verwenden AWS Firewall Manager , wenn Ihre Konten Teil einer Organisation in sind AWS Organizations und wenn Sie andere Ressourcentypen außer Amazon Route 53 oder schützen AWS Global Accelerator. Informationen zu dieser Option finden Sie im Code-Repository unter [aws-samples/ aws-shield-advanced-one-click-deployment und im Tutorial unter [One-Click-Bereitstellung](https://youtu.be/LCA3FwMk_QE)](https://github.com/aws-samples/aws-shield-advanced-one-click-deployment) von Shield Advanced. 

**Anmerkung**  
Es ist wichtig, dass Sie Shield Advanced vor einem Distributed Denial of Service (DDoS) -Ereignis vollständig konfigurieren. Schließen Sie die Konfiguration ab, um sicherzustellen, dass Ihre Anwendung geschützt ist und dass Sie bereit sind, zu reagieren, falls Ihre Anwendung von einem DDo S-Angriff betroffen ist.

Führen Sie die folgenden Schritte nacheinander aus, um mit Shield Advanced zu beginnen. 

**Contents**
+ [Abonnieren AWS Shield Advanced](enable-ddos-prem.md)
+ [Hinzufügen und Konfigurieren von Ressourcenschutzmaßnahmen mit Shield Advanced](ddos-choose-resources.md)
  + [Konfiguration von Schutzmaßnahmen auf Anwendungsschicht (Schicht 7) DDo mit AWS WAF](ddos-get-started-web-acl-rbr.md)
  + [Konfiguration der gesundheitsbasierten Erkennung für Ihren Schutz mit Shield Advanced und Route 53](ddos-get-started-health-checks.md)
  + [Konfiguration von Alarmen und Benachrichtigungen mit Shield Advanced und Amazon SNS](ddos-get-started-create-alarms.md)
  + [Überprüfung und Fertigstellung Ihrer Schutzkonfiguration in Shield Advanced](ddos-get-started-review-and-configure.md)
+ [Einrichtung der AWS Shield Response Team (SRT) -Unterstützung für DDo S Event Response](authorize-srt.md)
+ [Ein DDo S-Dashboard in erstellen CloudWatch und CloudWatch Alarme einstellen](deploy-waf-dashboard.md)

# Abonnieren AWS Shield Advanced
<a name="enable-ddos-prem"></a>

Auf dieser Seite wird erklärt, wie Sie Ihre Konten bei Shield Advanced abonnieren, um den Dienst nutzen zu können.

Sie müssen Shield Advanced für jeden abonnieren AWS-Konto , den Sie schützen möchten. Sie müssen Shield Standard nicht abonnieren.

**Abrechnung des Shield Advanced-Abonnements**  
Wenn Sie ein AWS Channel-Wiederverkäufer sind, wenden Sie sich an Ihr Account-Team, um Informationen und Beratung zu erhalten. Diese Rechnungsinformationen gelten für Kunden, die keine AWS Channel-Wiederverkäufer sind. 

Für alle anderen gelten die folgenden Abonnement- und Abrechnungsrichtlinien:
+ Bei Konten, die Mitglieder einer AWS Organizations Organisation sind, werden die Shield Advanced-Abonnements mit dem Zahlerkonto der Organisation in AWS Rechnung gestellt, unabhängig davon, ob das Zahlerkonto selbst abonniert ist. 
+ Wenn Sie mehrere Konten abonnieren, die sich in derselben [Kontenfamilie mit AWS Organizations konsolidierter Abrechnung](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html) befinden, deckt ein Abonnementpreis alle abonnierten Konten in der Familie ab. Die Organisation muss Eigentümer all ihrer Ressourcen sein. AWS-Konten 
+ Wenn Sie mehrere Konten für mehrere Organisationen abonnieren, können Sie trotzdem eine Abonnementgebühr für alle Organisationen, Konten und Ressourcen zahlen, vorausgesetzt, Sie besitzen alle Konten. Wenden Sie sich an Ihren Kundenbetreuer oder AWS Support und beantragen Sie eine Gebührenbefreiung der AWS Shield Advanced Abonnementgebühren für alle Organisationen außer einer. 

Detaillierte Preisinformationen und Beispiele finden Sie unter [AWS Shield Preisgestaltung](https://aws.amazon.com/shield/pricing/). 

**Erwägen Sie die Vereinfachung von Abonnements mit AWS Firewall Manager**  
Wenn Ihre Konten Teil einer Organisation sind, empfehlen wir Ihnen, diese Option zu verwenden AWS Firewall Manager , um Ihre Abonnements und Schutzmaßnahmen für die Organisation zu automatisieren. Firewall Manager unterstützt alle geschützten Ressourcentypen mit Ausnahme von Amazon Route 53 und AWS Global Accelerator. Informationen zur Verwendung von Firewall Manager finden Sie unter [AWS Firewall Manager](fms-chapter.md) und[AWS Firewall Manager AWS Shield Advanced Richtlinien einrichten](getting-started-fms-shield.md). 

Wenn Sie Firewall Manager nicht verwenden, abonnieren und fügen Sie für jedes Konto mit zu schützenden Ressourcen Schutzmaßnahmen hinzu. Gehen Sie dabei wie folgt vor. 

**Um ein Konto zu abonnieren AWS Shield Advanced**

1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS WAF & Shield-Konsole unter [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Wählen Sie in der **AWS Shield**Navigationsleiste **Erste Schritte** aus. Wählen **Sie Shield Advanced abonnieren**. 

1. Lesen **Sie auf der Seite Shield Advanced abonnieren** die einzelnen Bestimmungen der Vereinbarung und aktivieren Sie dann alle Kontrollkästchen, um anzugeben, dass Sie die Bedingungen akzeptieren. Bei Konten in einer konsolidierten Fakturierungsfamilie müssen Sie den Bedingungen für jedes Konto zustimmen. 
**Wichtig**  
Wenn Sie ein Abonnement abgeschlossen haben, müssen Sie sich an uns wenden [AWS Support](https://console.aws.amazon.com/support), um das Abonnement zu kündigen.   
[Um die automatische Verlängerung für Ihr Abonnement zu deaktivieren, müssen Sie den Shield-API-Vorgang [UpdateSubscription](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_UpdateSubscription.html)oder den CLI-Befehl update-subscription verwenden.](https://docs.aws.amazon.com/cli/latest/reference/shield/update-subscription.html)

   Wählen **Sie Shield Advanced abonnieren**. Dadurch abonniert Ihr Konto Shield Advanced und aktiviert den Dienst.

Ihr Konto ist abonniert. Führen Sie die folgenden Schritte aus, um die Ressourcen Ihres Kontos mit Shield Advanced zu schützen. 

**Anmerkung**  
Shield Advanced schützt Ihre Ressourcen nicht automatisch, nachdem Sie sich angemeldet haben. Sie müssen die Ressourcen angeben, die Shield Advanced schützen soll. 

# Hinzufügen und Konfigurieren von Ressourcenschutzmaßnahmen mit Shield Advanced
<a name="ddos-choose-resources"></a>

Diese Seite enthält Anweisungen zum Hinzufügen und Konfigurieren von Schutzmaßnahmen für Ihre Ressourcen. 

Shield Advanced schützt nur die Ressourcen, die Sie entweder über Shield Advanced oder in einer Firewall Manager Shield Advanced-Richtlinie angeben. Es schützt nicht automatisch die Ressourcen eines abonnierten Kontos. 

**Anmerkung**  
Wenn Sie zu Ihrem AWS Firewall Manager Schutz eine Shield Advanced-Richtlinie verwenden, müssen Sie diesen Schritt nicht ausführen. Sie konfigurieren die Richtlinie mit den zu schützenden Ressourcentypen, und Firewall Manager fügt automatisch Schutzmaßnahmen zu Ressourcen hinzu, die in den Geltungsbereich der Richtlinie fallen. 

Wenn Sie den Firewall Manager nicht verwenden, gehen Sie für jedes Konto, das über zu schützende Ressourcen verfügt, die folgenden Verfahren durch.

**Um die Ressourcen auszuwählen, die mit Shield Advanced geschützt werden sollen**

1. Wählen Sie auf der Seite **zur Bestätigung des Abonnements des vorherigen Verfahrens oder auf der Seite **Geschützte Ressourcen oder **Übersicht** die Option Zu schützende Ressourcen** hinzufügen** aus. 

1. Geben Sie **auf der Seite Ressourcen auswählen, die mit Shield Advanced geschützt** werden sollen, **unter Region und Ressourcentypen angeben** die Regions- und Ressourcentypspezifikationen für die Ressourcen an, die Sie schützen möchten. Sie können Ressourcen in mehreren Regionen schützen, indem Sie **Alle Regionen** auswählen, und Sie können die Auswahl auf globale Ressourcen einschränken, indem Sie **Global** auswählen. Sie können alle Ressourcentypen abwählen, die Sie nicht schützen möchten. Informationen zum Schutz Ihrer Ressourcentypen finden Sie unter. [Liste der Ressourcen, die AWS Shield Advanced schützen](ddos-protections-by-resource-type.md)

1. Wählen Sie **Ressourcen laden** aus. Shield Advanced füllt den Abschnitt **Ressourcen auswählen** mit den AWS Ressourcen, die Ihren Kriterien entsprechen. 

1. Im Bereich **Ressourcen auswählen** können Sie die Ressourcenliste filtern, indem Sie eine Zeichenfolge eingeben, nach der in den Ressourcenlisten gesucht werden soll. 

   Wählen Sie die Ressourcen aus, die Sie schützen möchten.

1. **Wenn Sie den von Ihnen erstellten Shield Advanced-Schutzmaßnahmen Tags hinzufügen möchten, geben Sie diese im Abschnitt Tags an.** Informationen zum Markieren von AWS Ressourcen finden Sie unter [Arbeiten mit dem Tag-Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html). 

1. Wählen Sie **Protect with Shield Advanced**. Dadurch werden die Ressourcen um Shield Advanced-Schutzmaßnahmen erweitert.

Fahren Sie mit den Bildschirmen des Konsolenassistenten fort, um die Konfiguration Ihres Ressourcenschutzes abzuschließen. 

**Topics**
+ [Konfiguration von Schutzmaßnahmen auf Anwendungsschicht (Schicht 7) DDo mit AWS WAF](ddos-get-started-web-acl-rbr.md)
+ [Konfiguration der gesundheitsbasierten Erkennung für Ihren Schutz mit Shield Advanced und Route 53](ddos-get-started-health-checks.md)
+ [Konfiguration von Alarmen und Benachrichtigungen mit Shield Advanced und Amazon SNS](ddos-get-started-create-alarms.md)
+ [Überprüfung und Fertigstellung Ihrer Schutzkonfiguration in Shield Advanced](ddos-get-started-review-and-configure.md)

# Konfiguration von Schutzmaßnahmen auf Anwendungsschicht (Schicht 7) DDo mit AWS WAF
<a name="ddos-get-started-web-acl-rbr"></a>

Diese Seite enthält Anweisungen zur Konfiguration des Schutzes auf Anwendungsebene mit dem AWS WAF Internet. ACLs 

Um eine Ressource auf Anwendungsebene zu schützen, verwendet Shield Advanced eine AWS WAF Web-ACL mit einer ratenbasierten Regel als Ausgangspunkt. AWS WAF ist eine Firewall für Webanwendungen, mit der Sie die HTTP- und HTTPS-Anfragen überwachen können, die an Ihre Ressourcen auf Anwendungsebene weitergeleitet werden, und mit der Sie den Zugriff auf Ihre Inhalte anhand der Eigenschaften der Anfragen steuern können. Eine ratenbasierte Regel begrenzt das Datenverkehrsvolumen auf der Grundlage Ihrer Anforderungsaggregationskriterien und bietet so einen grundlegenden DDo S-Schutz für Ihre Anwendung. Weitere Informationen erhalten Sie unter [Wie AWS WAF funktioniert](how-aws-waf-works.md) und [Verwendung ratenbasierter Regelanweisungen in AWS WAF](waf-rule-statement-type-rate-based.md).

Sie können optional auch die automatische Abwehr von Shield Advanced auf Anwendungsebene DDo S aktivieren, um Shield Advanced-Ratenbegrenzungsanfragen von bekannten DDo S-Quellen zu erhalten und automatisch vorfallspezifische Schutzmaßnahmen für Sie bereitzustellen. 

**Wichtig**  
Wenn Sie Ihren Shield Advanced-Schutz AWS Firewall Manager mithilfe einer Shield Advanced-Richtlinie verwalten, können Sie den Schutz auf Anwendungsebene hier nicht verwalten. Sie müssen sie in Ihrer Firewall Manager Shield Advanced-Richtlinie verwalten.

**Shield Advanced-Abonnements und AWS WAF Kosten**  
Ihr Shield Advanced-Abonnement deckt die Kosten für die Nutzung von AWS WAF Standardfunktionen für Ressourcen ab, die Sie mit Shield Advanced schützen. Die AWS WAF Standardgebühren, die durch Ihre Shield Advanced-Schutzmaßnahmen abgedeckt werden, sind die Kosten pro Schutzpaket (Web-ACL), die Kosten pro Regel und der Grundpreis pro Million Anfragen für die Prüfung von Webanfragen, bis zu 1.500 WCUs und bis zur Standardgröße.

Wenn Sie die automatische Abwehr auf Anwendungsebene DDo S von Shield Advanced aktivieren, wird Ihrem Schutzpaket (Web-ACL) eine Regelgruppe hinzugefügt, die 150 Web-ACL-Kapazitätseinheiten (WCUs) verwendet. Diese werden auf die WCU-Nutzung in Ihrem Protection Pack (Web-ACL) WCUs angerechnet. Weitere Informationen finden Sie unter [Automatisierung der Risikominderung auf Anwendungsebene DDo S mit Shield Advanced](ddos-automatic-app-layer-response.md), [Schutz der Anwendungsebene mit der Shield Advanced-Regelgruppe](ddos-automatic-app-layer-response-rg.md) und [Web-ACL-Kapazitätseinheiten (WCUs) in AWS WAF](aws-waf-capacity-units.md).

Ihr Abonnement AWS WAF für Shield Advanced deckt nicht die Nutzung von Ressourcen ab, die Sie nicht mit Shield Advanced schützen. Es deckt auch keine zusätzlichen, nicht standardmäßigen AWS WAF Kosten für geschützte Ressourcen ab. Beispiele für nicht standardmäßige AWS WAF Kosten sind die Kosten für Bot-Kontrolle, für CAPTCHA Regelaktionen, für Websites, die mehr als 1.500 ACLs Benutzer verwenden WCUs, und für die Überprüfung des Anfragetexts, der über die Standardgröße hinausgeht. Die vollständige Liste finden Sie auf der Seite mit den AWS WAF Preisen. Ihr Abonnement für Shield Advanced beinhaltet den Zugriff auf die Layer 7 DDo Anti-S Amazon Managed Rule-Gruppe. Im Rahmen Ihres Abonnements erhalten Sie in einem Kalendermonat bis zu 50 Milliarden Anfragen an geschützte Shield AWS WAF Advanced-Ressourcen. Anfragen über 50 Milliarden werden gemäß der AWS Shield Advanced Preisseite in Rechnung gestellt.

Vollständige Informationen und Preisbeispiele finden Sie unter [Shield Pricing](https://aws.amazon.com/shield/pricing/) and [AWS WAF Pricing](https://aws.amazon.com/waf/pricing/).

**So konfigurieren Sie DDo Layer-7-S-Schutzmaßnahmen für eine Region**

Shield Advanced bietet Ihnen die Möglichkeit, die Layer 7 DDo S-Abwehr für jede Region zu konfigurieren, in der sich Ihre ausgewählten Ressourcen befinden. Wenn Sie Schutzmaßnahmen in mehreren Regionen hinzufügen, führt Sie der Assistent für jede Region durch das folgende Verfahren. 

1. Auf der Seite ** DDoLayer-7-S-Schutzmaßnahmen konfigurieren** werden alle Ressourcen aufgeführt, die noch keiner Web-ACL zugeordnet sind. Wählen Sie für jede dieser Optionen entweder eine vorhandene Web-ACL aus oder erstellen Sie eine neue Web-ACL. Für jede Ressource, der bereits eine Web-ACL zugeordnet ist, können Sie die Web-ACL ändern, ACLs indem Sie zuerst die Verknüpfung mit der aktuellen URL aufheben. AWS WAF Weitere Informationen finden Sie unter [Schutz einer Ressource zuordnen oder deren Verknüpfung aufheben AWS](web-acl-associating-aws-resource.md).

   Für Websites ACLs , denen noch keine ratenbasierte Regel zur Verfügung steht, werden Sie vom Konfigurationsassistenten aufgefordert, eine hinzuzufügen. Eine ratenbasierte Regel begrenzt den Datenverkehr von IP-Adressen, wenn diese eine große Anzahl von Anfragen senden. Ratenbasierte Regeln schützen Ihre Anwendung vor einer Flut von Webanfragen und können Warnmeldungen über plötzliche Datenverkehrsspitzen ausgeben, die auf einen möglichen S-Angriff hinweisen könnten. DDo Fügen Sie einer Web-ACL eine ratenbasierte Regel hinzu, indem **Sie auf Ratenbegrenzungsregel hinzufügen klicken und dann ein Ratenlimit und eine Regelaktion** angeben. Sie können zusätzliche Schutzmaßnahmen in der Web-ACL über konfigurieren. AWS WAF

   Informationen zur Verwendung von Web ACLs - und ratenbasierten Regeln in Ihren Shield Advanced-Schutzmaßnahmen, einschließlich zusätzlicher Konfigurationsoptionen für ratenbasierte Regeln, finden Sie unter. [Schutz der Anwendungsebene mit AWS WAF Web ACLs und Shield Advanced](ddos-app-layer-web-ACL-and-rbr.md)

1. Wenn Sie möchten, dass Shield Advanced ** DDo DDoS-Angriffe** auf Ihre Ressourcen auf Anwendungsebene automatisch abwehrt, wählen Sie **Aktivieren** und wählen Sie dann die AWS WAF Regelaktion aus, die Shield Advanced in seinen benutzerdefinierten Regeln verwenden soll. Diese Einstellung gilt für das gesamte Internet ACLs für die Ressourcen, die Sie in dieser Assistentensitzung verwalten. 

   Mit der automatischen Abwehr von Anwendungsschicht DDo S verwaltet Shield Advanced eine ratenbasierte Regel in der AWS WAF Web-ACL der Ressource, die das Volumen der Anfragen aus bekannten DDo S-Quellen begrenzt. Darüber hinaus vergleicht Shield Advanced aktuelle Verkehrsmuster mit historischen Verkehrsbasislinien, um Abweichungen zu erkennen, die auf einen DDo S-Angriff hinweisen könnten. Wenn Shield Advanced einen DDo S-Angriff erkennt, reagiert es darauf, indem es benutzerdefinierte AWS WAF Reaktionsregeln erstellt, auswertet und einsetzt. Sie geben an, ob die benutzerdefinierten Regeln Angriffe in Ihrem Namen zählen oder blockieren. 
**Anmerkung**  
Die automatische Abwehr auf Anwendungsebene DDo S funktioniert nur mit Schutzpaketen (Web ACLs), die mit der neuesten Version von AWS WAF (v2) erstellt wurden. 

   Weitere Informationen zur automatischen Abwehr von Anwendungsschicht DDo S mit Shield Advanced, einschließlich Vorbehalte und bewährten Methoden für die Verwendung dieser Funktion, finden Sie unter. [Automatisierung der Risikominderung auf Anwendungsebene DDo S mit Shield Advanced](ddos-automatic-app-layer-response.md)

1. Wählen Sie **Weiter** aus. Der Konsolenassistent wechselt zur Seite zur systembasierten Erkennung. 

# Konfiguration der gesundheitsbasierten Erkennung für Ihren Schutz mit Shield Advanced und Route 53
<a name="ddos-get-started-health-checks"></a>

Diese Seite enthält Anweisungen zur Konfiguration von Shield Advanced für die Verwendung von gesundheitsbasierter Erkennung. Dies kann dazu beitragen, die Reaktionsfähigkeit und Genauigkeit bei der Erkennung und Abwehr von Angriffen zu verbessern.

Gut konfigurierte Zustandsprüfungen sind für die genaue Erkennung von Ereignissen unerlässlich. Sie können die zustandsbasierte Erkennung für jeden Ressourcentyp mit Ausnahme von Route 53-Hosting-Zonen konfigurieren. 

Um die gesundheitsbasierte Erkennung zu verwenden, definieren Sie eine Zustandsprüfung für Ihre Ressource in Route 53 und verknüpfen Sie die Zustandsprüfung dann mit Ihrem Shield Advanced-Schutz. Es ist wichtig, dass die von Ihnen konfigurierte Zustandsprüfung den Zustand der Ressource genau widerspiegelt. Informationen und Beispiele für die Konfiguration von Integritätsprüfungen zur Verwendung mit Shield Advanced finden Sie unter[Gesundheitsbasierte Erkennung mithilfe von Zustandsprüfungen mit Shield Advanced und Route 53](ddos-advanced-health-checks.md). 

Für den proaktiven Engagement-Support des Shield Response Teams (SRT) sind Gesundheitschecks erforderlich. Informationen zu proaktivem Engagement finden Sie unter[Einrichtung eines proaktiven Engagements für das SRT, um Sie direkt zu kontaktieren](ddos-srt-proactive-engagement.md).

**Anmerkung**  
Gesundheitschecks müssen als fehlerfrei gemeldet werden, wenn Sie sie mit Ihren Shield Advanced-Schutzmaßnahmen verknüpfen.

**Um die gesundheitsbasierte Erkennung zu konfigurieren**

1. Wählen Sie unter **Associated Health Check (Zugehörige Zustandsprüfung)** die ID der Zustandsprüfung aus, die Sie der Schutzvorkehrung zuordnen möchten. 
**Anmerkung**  
Wenn Sie die benötigte Zustandsprüfung nicht sehen, rufen Sie die Route 53-Konsole auf und überprüfen Sie die Zustandsprüfung und ihre ID. Weitere Informationen finden Sie unter [Erstellen und Aktualisieren von Zustandsprüfungen](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html).

1. Wählen Sie **Weiter** aus. Der Konsolenassistent wechselt zur Seite mit Alarmen und Benachrichtigungen. 

# Konfiguration von Alarmen und Benachrichtigungen mit Shield Advanced und Amazon SNS
<a name="ddos-get-started-create-alarms"></a>

Diese Seite enthält Anweisungen zur optionalen Konfiguration von Amazon Simple Notification Service-Benachrichtigungen für erkannte CloudWatch Amazon-Alarme und ratenbasierte Regelaktivitäten. Sie können diese verwenden, um Benachrichtigungen zu erhalten, wenn Shield ein Ereignis auf einer geschützten Ressource erkennt oder wenn ein in einer ratenbasierten Regel konfiguriertes Ratenlimit überschritten wird. 

Informationen zu Shield CloudWatch Advanced-Metriken finden Sie unter[AWS Shield Advanced Metriken](shield-metrics.md). Informationen zu Amazon SNS finden Sie im [Amazon Simple Notification Service Developer Guide](https://docs.aws.amazon.com/sns/latest/dg/). 

**Um Alarme und Benachrichtigungen zu konfigurieren**

1. Wählen Sie die Amazon SNS SNS-Themen aus, für die Sie eine Benachrichtigung wünschen. Sie können ein einzelnes Amazon SNS SNS-Thema für alle geschützten Ressourcen und ratenbasierten Regeln verwenden, oder Sie können verschiedene Themen wählen, die auf Ihre Organisation zugeschnitten sind. Sie können beispielsweise ein SNS-Thema für jedes Team erstellen, das für die Reaktion auf Vorfälle für eine bestimmte Gruppe von Ressourcen verantwortlich ist.

1. Wählen Sie **Weiter** aus. Der Konsolenassistent wechselt zur Seite mit der Überprüfung des Ressourcenschutzes.

# Überprüfung und Fertigstellung Ihrer Schutzkonfiguration in Shield Advanced
<a name="ddos-get-started-review-and-configure"></a>

**Um Ihre Einstellungen zu überprüfen und abzuschließen**

1. **Überprüfen Sie auf der Seite DDo S-Minderung und Sichtbarkeit überprüfen und konfigurieren** Ihre Einstellungen. Um Änderungen vorzunehmen, wählen Sie in dem Bereich, den Sie ändern möchten, die Option **Bearbeiten** aus. Dadurch kehren Sie zur entsprechenden Seite im Konsolenassistenten zurück. Nehmen Sie Ihre Änderungen vor und klicken Sie dann auf den folgenden Seiten auf **Weiter**, bis Sie zur Seite ** DDoS-Minderung und Sichtbarkeit überprüfen und konfigurieren** zurückkehren.

1. Wählen Sie **Konfiguration beenden** aus. Auf der Seite **Geschützte Ressourcen** werden Ihre neu geschützten Ressourcen aufgeführt.

# Einrichtung der AWS Shield Response Team (SRT) -Unterstützung für DDo S Event Response
<a name="authorize-srt"></a>

Diese Seite enthält Anweisungen zur Einrichtung des Shield Response Team (SRT) -Supports.

Das SRT umfasst Sicherheitsingenieure, die sich auf DDo S Event Response spezialisiert haben. Sie können optional Berechtigungen hinzufügen, die es dem SRT ermöglichen, während eines DDo S-Events Ressourcen in Ihrem Namen zu verwalten. Darüber hinaus können Sie das SRT so konfigurieren, dass es proaktiv mit Ihnen Kontakt aufnimmt, falls die Route 53-Zustandsprüfungen, die mit Ihren geschützten Ressourcen verknüpft sind, während eines erkannten Ereignisses fehlerhaft sind. Diese beiden Erweiterungen Ihres Schutzes ermöglichen eine schnellere Reaktion auf S-Ereignisse. DDo 

**Anmerkung**  
Um die Dienste des Shield Response Teams (SRT) nutzen zu können, müssen Sie den [Business Support Plan oder den [Enterprise Support](https://aws.amazon.com/premiumsupport/enterprise-support/) Plan](https://aws.amazon.com/premiumsupport/business-support/) abonniert haben. 

Das SRT kann AWS WAF Anforderungsdaten und Protokolle bei Ereignissen auf Anwendungsebene überwachen, um anomalen Datenverkehr zu identifizieren. Sie können dabei helfen, benutzerdefinierte AWS WAF Regeln zu erstellen, um schädliche Datenverkehrsquellen einzudämmen. Bei Bedarf kann das SRT architektonische Empfehlungen aussprechen, damit Sie Ihre Ressourcen besser an den Empfehlungen ausrichten können. AWS 

Weitere Informationen zum SRT finden Sie unter. [Verwaltete Reaktion auf DDo S-Ereignisse mit Unterstützung des Shield Response Team (SRT)](ddos-srt-support.md)

**Um dem SRT Berechtigungen zu erteilen**

1. Wählen Sie auf der **Übersichtsseite** der AWS Shield Konsole unter ** AWS SRT-Unterstützung konfigurieren die Option SRT-Zugriff** **bearbeiten** aus. Die **Zugriffsseite für das AWS Shield Response Team (SRT) bearbeiten** wird geöffnet.

1. Wählen Sie für die **Einstellung für den SRT-Zugriff** eine der folgenden Optionen aus: 
   + **Gewähren Sie dem SRT keinen Zugriff auf mein Konto** — Shield entfernt alle Berechtigungen, die Sie dem SRT zuvor für den Zugriff auf Ihr Konto und Ihre Ressourcen erteilt haben.
   + **Eine neue Rolle für das SRT erstellen, um auf mein Konto zuzugreifen** — Shield erstellt eine Rolle, die dem Service Principal`drt.shield.amazonaws.com`, der das SRT darstellt, vertraut, und fügt ihm die verwaltete Richtlinie hinzu. `AWSShieldDRTAccessPolicy` Die verwaltete Richtlinie ermöglicht es dem SRT, in Ihrem Namen AWS WAF API-Aufrufe zu tätigen AWS Shield Advanced und auf Ihre Protokolle zuzugreifen. AWS WAF Für weitere Informationen über die verwaltete Richtlinie siehe [AWS verwaltete Richtlinie: AWSShield DRTAccess Richtlinie](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy).
   + **Wählen Sie eine bestehende Rolle für das SRT aus, um auf meine Konten zuzugreifen**. Für diese Option müssen Sie die Konfiguration der Rolle in AWS Identity and Access Management (IAM) wie folgt ändern: 
     + Hängen Sie die verwaltete Richtlinie `AWSShieldDRTAccessPolicy` an die Rolle an. Diese verwaltete Richtlinie ermöglicht es dem SRT, in Ihrem Namen AWS WAF API-Aufrufe zu tätigen AWS Shield Advanced und auf Ihre Protokolle zuzugreifen. AWS WAF Für weitere Informationen über die verwaltete Richtlinie siehe [AWS verwaltete Richtlinie: AWSShield DRTAccess Richtlinie](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy). Informationen zum Anhängen der verwalteten Richtlinie an Ihre Rolle finden Sie unter IAM-Richtlinien [anhängen und trennen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html). 
     + Ändern Sie die Rolle, um dem Service-Prinzipal `drt.shield.amazonaws.com` zu vertrauen. Dies ist der Dienstprinzipal, der die SRT repräsentiert. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Prinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). 

1. Wählen Sie **Speichern**, um Ihre Änderungen zu speichern. 

Weitere Informationen darüber, wie Sie dem SRT Zugriff auf Ihre Schutzmaßnahmen und Daten gewähren, finden Sie unter. [Zugriff für das SRT gewähren](ddos-srt-access.md) 

**Um den proaktiven Einsatz von SRT zu ermöglichen**

1. Wählen Sie auf der **Übersichtsseite** der AWS Shield Konsole unter **Proaktive Interaktion und Kontakte** im Bereich Kontakte die Option **Bearbeiten** aus.

   Geben Sie auf der Seite **Kontakte bearbeiten** die Kontaktinformationen der Personen ein, die das SRT für proaktive Interaktionen kontaktieren soll. 

   Wenn Sie mehr als einen Kontakt angeben, geben Sie in den **Anmerkungen** an, unter welchen Umständen jeder Kontakt verwendet werden soll. Geben Sie die Namen der primären und sekundären Kontaktpersonen an und geben Sie die Verfügbarkeitszeiten und Zeitzonen für jeden Kontakt an. 

   Beispiele für Kontaktnotizen: 
   + Dies ist eine Hotline, die rund um die Uhr besetzt ist. Bitte arbeiten Sie mit dem antwortenden Analysten zusammen und er wird die entsprechende Person für das Gespräch finden. 
   + Bitte kontaktieren Sie mich, wenn die Hotline nicht innerhalb von 5 Minuten antwortet.

1. Wählen Sie **Speichern**. 

   Die **Übersichtsseite** enthält die aktualisierten Kontaktinformationen.

1. Wählen Sie die **Funktion „Proaktive Interaktion bearbeiten“**, dann „**Aktivieren**“ und anschließend „**Speichern**“, um die proaktive Interaktion zu aktivieren. 

Weitere Informationen zu proaktivem Engagement finden Sie unter[Einrichtung eines proaktiven Engagements für das SRT, um Sie direkt zu kontaktieren](ddos-srt-proactive-engagement.md).

# Ein DDo S-Dashboard in erstellen CloudWatch und CloudWatch Alarme einstellen
<a name="deploy-waf-dashboard"></a>

Diese Seite enthält Anweisungen zum Erstellen eines DDo S-Dashboards in CloudWatch und zum Einstellen von CloudWatch Alarmen.

Sie können potenzielle DDo S-Aktivitäten mithilfe von Amazon überwachen. Amazon CloudWatch sammelt Rohdaten von Shield Advanced und verarbeitet sie zu lesbaren Metriken, die nahezu in Echtzeit verfügbar sind. Mithilfe von Statistiken können Sie CloudWatch sich einen Überblick über die Leistung Ihrer Webanwendung oder Ihres Dienstes verschaffen. Weitere Informationen zur Verwendung CloudWatch finden Sie unter [Was ist CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) im * CloudWatch Amazon-Benutzerhandbuch enthalten*.
+ Anweisungen zum Erstellen eines CloudWatch Dashboards finden Sie unter[Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md). 
+ Eine Beschreibung der Shield Advanced-Metriken, die Sie Ihrem Dashboard hinzufügen können, finden Sie unter[AWS Shield Advanced Metriken](shield-metrics.md). 

Shield Advanced meldet Ressourcenmetriken CloudWatch häufiger bei DDo S-Ereignissen als wenn keine Ereignisse im Gange sind. Shield Advanced meldet Metriken einmal pro Minute während eines Ereignisses und dann einmal direkt nach dem Ende des Ereignisses. Solange keine Ereignisse im Gange sind, meldet Shield Advanced Metriken einmal täglich zu einer der Ressource zugewiesenen Zeit. Dieser regelmäßige Bericht sorgt dafür, dass die Messwerte aktiv sind und in Ihren benutzerdefinierten CloudWatch Alarmen verwendet werden können. 

Damit ist das Tutorial für die ersten Schritte mit Shield Advanced abgeschlossen. Erkunden Sie die Funktionen und Optionen von Shield Advanced weiter, um die Vorteile der von Ihnen ausgewählten Schutzmaßnahmen voll auszuschöpfen. Machen Sie sich zunächst mit Ihren Optionen für die Anzeige und Reaktion auf Ereignisse bei [Einblick in DDo S-Ereignisse mit Shield Advanced](ddos-viewing-events.md) und [Reagieren auf DDo S-Ereignisse in AWS](ddos-responding.md) vertraut.