**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS Firewall Manager AWS Shield Advanced Richtlinien einrichten
<a name="getting-started-fms-shield"></a>

Sie können sie verwenden AWS Firewall Manager , um AWS Shield Advanced Schutzmaßnahmen in Ihrer gesamten Organisation zu aktivieren. 

**Wichtig**  
Firewall Manager unterstützt Amazon Route 53 oder nicht AWS Global Accelerator. Wenn Sie diese Ressourcen mit Shield Advanced schützen müssen, können Sie keine Firewall Manager Manager-Richtlinie verwenden. Folgen Sie stattdessen den Anweisungen in [AWS Ressourcen AWS Shield Advanced schützen](configure-new-protection.md).

Um den Firewall Manager zur Aktivierung des Shield Advanced-Schutzes zu verwenden, führen Sie die folgenden Schritte nacheinander aus. 

**Topics**
+ [Schritt 1: Erfüllung der Voraussetzungen](#complete-prereq-fms-shield)
+ [Schritt 2: Erstellen und Anwenden einer Shield Advanced-Richtlinie](#get-started-fms-shield-create-security-policy)
+ [Schritt 3: (Optional) Autorisierung des Shield Response Teams (SRT)](#get-started-fms-shield-authorize-srt)
+ [Schritt 4: Konfiguration von Amazon SNS SNS-Benachrichtigungen und Amazon-Alarmen CloudWatch](#get-started-fms-shield-cloudwatch)

## Schritt 1: Erfüllung der Voraussetzungen
<a name="complete-prereq-fms-shield"></a>

Mehrere Schritte sind zur Vorbereitung Ihres Kontos auf AWS Firewall Manager zwingend erforderlich. Diese Schritte werden in [AWS Firewall Manager Voraussetzungen](fms-prereq.md) beschrieben. Erfüllen Sie alle Voraussetzungen, bevor Sie mit [Schritt 2: Erstellen und Anwenden einer Shield Advanced-Richtlinie](#get-started-fms-shield-create-security-policy) fortfahren.

## Schritt 2: Erstellen und Anwenden einer Shield Advanced-Richtlinie
<a name="get-started-fms-shield-create-security-policy"></a>

Nachdem Sie die Voraussetzungen erfüllt haben, erstellen Sie eine AWS Firewall Manager Shield Advanced-Richtlinie. Eine Firewall Manager Shield Advanced-Richtlinie enthält die Konten und Ressourcen, die Sie mit Shield Advanced schützen möchten.

**Wichtig**  
Firewall Manager unterstützt Amazon Route 53 oder nicht AWS Global Accelerator. Wenn Sie diese Ressourcen mit Shield Advanced schützen müssen, können Sie keine Firewall Manager Manager-Richtlinie verwenden. Folgen Sie stattdessen den Anweisungen in [AWS Ressourcen AWS Shield Advanced schützen](configure-new-protection.md). 

**So erstellen Sie eine Firewall Manager Shield Advanced-Richtlinie (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie als **Richtlinientyp** **Shield Advanced** aus. 

   Um eine Shield Advanced-Richtlinie zu erstellen, muss Ihr Firewall Manager Manager-Administratorkonto Shield Advanced abonniert haben. Wenn Sie kein Abonnement eingerichtet haben, werden Sie dazu aufgefordert. [Informationen zu den Kosten für ein Abonnement finden Sie unter AWS Shield Advanced Preise.](https://aws.amazon.com/shield/pricing/)
**Anmerkung**  
Sie müssen nicht jedes Mitgliedskonto manuell für Shield Advanced abonnieren. Firewall Manager erledigt dies für Sie, wenn er die Richtlinie erstellt. Jedes Konto muss weiterhin für Firewall Manager und Shield Advanced abonniert bleiben, um die Ressourcen im Konto weiterhin zu schützen.

1. Wählen Sie für **Region** eine AWS-Region. Um CloudFront Amazon-Ressourcen zu schützen, wählen Sie **Global**.

   Um Ressourcen in mehreren Regionen (außer CloudFront Ressourcen) zu schützen, müssen Sie separate Firewall Manager Manager-Richtlinien für jede Region erstellen.

1. Wählen Sie **Weiter** aus.

1. Geben Sie **unter Name** einen aussagekräftigen Namen ein. 

1. (Nur globale Region) Bei Richtlinien für **globale** Regionen können Sie wählen, ob Sie die automatische Abwehr der Anwendungsschicht DDo S mit Shield Advanced verwalten möchten. Behalten Sie für dieses Tutorial die Standardeinstellung **Ignorieren** für diese Auswahl bei.

1. Wählen Sie **unter Richtlinienaktion** die Option aus, die nicht automatisch behoben wird. 

1. Wählen Sie **Weiter** aus.

1. AWS-Konten Mit **dieser Richtlinie können Sie** den Geltungsbereich Ihrer Richtlinie einschränken, indem Sie Konten angeben, die ein- oder ausgeschlossen werden sollen. In diesem Tutorial wählen Sie **Include all accounts under my organization (Alle Konten in meiner Organisation einschließen)**. 

1. Wählen Sie die Ressourcentypen aus, die geschützt werden sollen.

   Firewall Manager unterstützt Amazon Route 53 oder nicht AWS Global Accelerator. Wenn Sie diese Ressourcen mit Shield Advanced schützen müssen, können Sie keine Firewall Manager Manager-Richtlinie verwenden. Folgen Sie stattdessen den Anweisungen von Shield Advanced unter[AWS Ressourcen AWS Shield Advanced schützen](configure-new-protection.md).

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus. 

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Stellen Sie sicher, dass **Policy actions (Richtlinienaktionen)** auf **Identify resources that don’t comply with the policy rules, but don’t auto remediate (Ressourcen identifizieren, die nicht mit den Richtlinienregeln übereinstimmen, aber nicht automatisch korrigieren)** festgelegt ist. Auf diese Weise können Sie überprüfen, welche Änderungen Ihre Richtlinie vornehmen würde, bevor Sie sie aktivieren. 

1. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen).

   Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt, und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

Fahren Sie fort mit [Schritt 3: (Optional) Autorisierung des Shield Response Teams (SRT)](#get-started-fms-shield-authorize-srt).

## Schritt 3: (Optional) Autorisierung des Shield Response Teams (SRT)
<a name="get-started-fms-shield-authorize-srt"></a>

Einer der Vorteile von AWS Shield Advanced ist die Unterstützung durch das Shield Response Team (SRT). Wenn Sie einen potenziellen DDo S-Angriff erleben, können Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/) wenden. Falls erforderlich, leitet das Support Center Ihr Problem an das SRT weiter. Das SRT hilft Ihnen bei der Analyse der verdächtigen Aktivitäten und unterstützt Sie bei der Behebung des Problems. Diese Abhilfemaßnahme beinhaltet häufig die Erstellung oder Aktualisierung von AWS WAF Regeln und Websites ACLs in Ihrem Konto. Das SRT kann Ihre AWS WAF Konfiguration überprüfen und AWS WAF Regeln und das Web ACLs für Sie erstellen oder aktualisieren, aber das Team benötigt dafür Ihre Genehmigung. Wir empfehlen, dass Sie dem SRT im Rahmen der Einrichtung AWS Shield Advanced proaktiv die erforderlichen Autorisierungen erteilen. Die frühzeitige Autorisierung verhindert Verzögerungen bei der Problembehebung im Fall eines tatsächlichen Angriffs. 

Sie autorisieren und kontaktieren das SRT auf Kontoebene. Das heißt, der Kontoinhaber, nicht der Firewall Manager Manager-Administrator, muss die folgenden Schritte ausführen, um das SRT zur Abwehr potenzieller Angriffe zu autorisieren. Der Firewall Manager Manager-Administrator kann die SRT nur für Konten autorisieren, deren Eigentümer er ist. Ebenso kann nur der Kontoinhaber das SRT kontaktieren, um Support zu erhalten.

**Anmerkung**  
Um die Dienste des SRT nutzen zu können, müssen Sie den [Business Support Plan oder den [Enterprise Support](https://aws.amazon.com/premiumsupport/enterprise-support/) Plan](https://aws.amazon.com/premiumsupport/business-support/) abonniert haben.

Um das SRT zu autorisieren, potenzielle Angriffe in Ihrem Namen abzuwehren, folgen Sie den Anweisungen unter. [Verwaltete Reaktion auf DDo S-Ereignisse mit Unterstützung des Shield Response Team (SRT)](ddos-srt-support.md) Sie können den SRT-Zugriff und die Berechtigungen jederzeit ändern, indem Sie dieselben Schritte ausführen.

Fahren Sie fort mit [Schritt 4: Konfiguration von Amazon SNS SNS-Benachrichtigungen und Amazon-Alarmen CloudWatch](#get-started-fms-shield-cloudwatch).

## Schritt 4: Konfiguration von Amazon SNS SNS-Benachrichtigungen und Amazon-Alarmen CloudWatch
<a name="get-started-fms-shield-cloudwatch"></a>

Sie können mit diesem Schritt fortfahren, ohne Amazon SNS SNS-Benachrichtigungen oder CloudWatch -Alarme zu konfigurieren. Die Konfiguration dieser Alarme und Benachrichtigungen erhöht jedoch Ihren Überblick über mögliche DDo S-Ereignisse erheblich.

Mit Amazon SNS können Sie Ihre geschützten Ressourcen auf potenzielle DDo S-Aktivitäten überwachen. Um Benachrichtigungen über mögliche Angriffe zu erhalten, erstellen Sie für jede Region ein Amazon SNS SNS-Thema. 

**Wichtig**  
Amazon SNS SNS-Benachrichtigungen über potenzielle DDo S-Aktivitäten werden nicht in Echtzeit gesendet und können verzögert werden. Wenn Sie außerdem das Shield Advanced-Kontingent von 1.000 geschützten Ressourcen für jeden Ressourcentyp für jedes Konto überschreiten, können Leistungseinschränkungen von Firewall Manager die erfolgreiche Zustellung von DDo S-Angriffsbenachrichtigungen vollständig verhindern. Weitere Informationen finden Sie unter [AWS Shield Advanced Kontingente](shield-limits.md).   
Um Benachrichtigungen über potenzielle DDo S-Aktivitäten in Echtzeit zu aktivieren, können Sie einen CloudWatch Alarm verwenden. Ihr Alarm muss auf der `DDoSDetected` Metrik des Kontos basieren, in dem die geschützte Ressource vorhanden ist.

**Um ein Amazon SNS SNS-Thema in Firewall Manager (Konsole) zu erstellen**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich unter **AWS FMS** die Option **Einstellungen** aus.

1. Wählen Sie **Create new topic** (Neues Thema erstellen).

1. Geben Sie einen Themennamen ein.

1. Geben Sie eine E-Mail-Adresse ein, an die die Amazon SNS SNS-Nachrichten gesendet werden, und wählen Sie dann **E-Mail-Adresse hinzufügen**.

1. Wählen Sie **Update SNS configuration (SNS-Konfiguration aktualisieren)**.

### Konfiguration von CloudWatch Amazon-Alarmen
<a name="get-started-fms-shield-alarms"></a>

Shield Advanced zeichnet Kennzahlen zur Erkennung, Abwehr und wichtigsten Mitwirkenden auf CloudWatch , die Sie überwachen können. Weitere Informationen finden Sie unter. [AWS Shield Advanced Metriken](shield-metrics.md) CloudWatch verursacht zusätzliche Kosten. CloudWatch Die Preise finden Sie unter [ CloudWatch Amazon-Preise](https://aws.amazon.com/cloudwatch/pricing/).

Um einen CloudWatch Alarm zu erstellen, folgen Sie den Anweisungen unter [Amazon CloudWatch Alarms verwenden](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html). Standardmäßig ist Shield Advanced so konfiguriert, CloudWatch dass Sie nach nur einem Hinweis auf ein potenzielles DDo S-Ereignis gewarnt werden. Bei Bedarf können Sie die CloudWatch -Konsole verwenden, um diese Einstellung zu ändern, damit Sie erst benachrichtigt werden, wenn mehrere Indikatoren erkannt wurden. 

**Anmerkung**  
Zusätzlich zu den Alarmen können Sie auch ein CloudWatch Dashboard verwenden, um potenzielle DDo S-Aktivitäten zu überwachen. Das Dashboard sammelt und verarbeitet Rohdaten von Shield Advanced in lesbare Metriken, die nahezu in Echtzeit verfügbar sind. Sie können Statistiken in Amazon verwenden CloudWatch , um sich einen Überblick über die Leistung Ihrer Webanwendung oder Ihres Dienstes zu verschaffen. Weitere Informationen finden Sie unter [Was steht CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) im * CloudWatch Amazon-Benutzerhandbuch*.  
Anweisungen zum Erstellen eines CloudWatch Dashboards finden Sie unter[Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md). Informationen zu bestimmten Shield Advanced-Metriken, die Sie Ihrem Dashboard hinzufügen können, finden Sie unter[AWS Shield Advanced Metriken](shield-metrics.md). 

Wenn Sie Ihre Shield Advanced-Konfiguration abgeschlossen haben, machen Sie sich mit Ihren Optionen für die Anzeige von Ereignissen unter vertraut[Einblick in DDo S-Ereignisse mit Shield Advanced](ddos-viewing-events.md).