**Présentation d'une nouvelle expérience de console pour AWS WAF**

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section [Utilisation de la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Automatiser l'atténuation de la couche DDo S de l'application avec Shield Advanced
<a name="ddos-automatic-app-layer-response"></a>

**Note**  
À compter du 26 mars 2026, le groupe de règles gérées DDo anti-S (Anti-DDoS AMR) AWS WAF devient la solution par défaut pour la protection contre les attaques par afflux de requêtes HTTP (voir le blog de lancement d'[Anti- DDo S AMR](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-the-aws-waf-application-layer-ddos-protection/)). Elle remplace la fonction d'atténuation automatique de la couche 7 (L7AM). Si vous êtes déjà client de Shield Advanced, vous pouvez continuer à utiliser l'ancienne solution avec des AWS comptes existants ou nouveaux. Cependant, nous vous encourageons à adopter le groupe de règles gérées DDo anti-S. Le groupe de règles gérées DDo anti-S détecte et atténue les attaques en quelques secondes plutôt qu'en quelques minutes. Si vous êtes un nouveau client de Shield Advanced et que vous avez besoin d'accéder à l'ancienne solution, contactez le AWS Support.

Cette page présente le sujet de l'atténuation automatique de la couche d'application DDo S et répertorie les mises en garde associées.

Vous pouvez configurer Shield Advanced pour qu'il réponde automatiquement afin d'atténuer les attaques de la couche application (couche 7) contre les ressources de la couche application protégée, en comptant ou en bloquant les requêtes Web faisant partie de l'attaque. Cette option vient s'ajouter à la protection de la couche application que vous ajoutez via Shield Advanced avec une ACL AWS WAF Web et votre propre règle basée sur le taux. 

Lorsque l'atténuation automatique est activée pour une ressource, Shield Advanced gère un groupe de règles dans l'ACL Web associée à la ressource, dans lequel il gère les règles d'atténuation au nom de la ressource. Le groupe de règles contient une règle basée sur le débit qui suit le volume de demandes provenant d'adresses IP connues pour être à l'origine d'attaques DDo S. 

En outre, Shield Advanced compare les modèles de trafic actuels aux données de référence du trafic historiques afin de détecter les écarts susceptibles d'indiquer une attaque DDo S. Shield Advanced répond aux attaques DDo S détectées en créant, en évaluant et en déployant des AWS WAF règles personnalisées supplémentaires dans le groupe de règles. 

## Mises en garde relatives à l'utilisation de l'atténuation automatique de la couche DDo d'application S
<a name="ddos-automatic-app-layer-response-caveats"></a>

La liste suivante décrit les mises en garde relatives à l'atténuation automatique de la couche DDo S des applications Shield Advanced et décrit les mesures que vous souhaiterez peut-être suivre pour y répondre.
+ L'atténuation automatique de la couche DDo S de l'application fonctionne uniquement avec les packs de protection (Web ACLs) créés à l'aide de la dernière version de AWS WAF (v2). 
+ Shield Advanced a besoin de temps pour établir une base de référence du trafic historique normal de votre application, qu'il utilise pour détecter et isoler le trafic d'attaque du trafic normal, afin d'atténuer le trafic d'attaque. Le délai d'établissement d'une base de référence est compris entre 24 heures et 30 jours à compter du moment où vous associez une ACL Web à la ressource d'application protégée. Pour plus d'informations sur les lignes de base du trafic, consultez[Liste des facteurs qui affectent la détection et l'atténuation des événements au niveau de la couche application avec Shield Advanced](ddos-app-layer-detection-mitigation.md).
+ L'activation de l'atténuation automatique de la couche DDo S de l'application ajoute un groupe de règles à votre pack de protection (ACL Web) qui utilise 150 unités de capacité ACL Web (WCUs). Ils sont WCUs pris en compte dans l'utilisation de la WCU dans votre pack de protection (ACL Web). Pour plus d'informations, consultez [Protection de la couche applicative avec le groupe de règles Shield Advanced](ddos-automatic-app-layer-response-rg.md) et [Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md).
+ Le groupe de règles Shield Advanced génère AWS WAF des métriques, mais elles ne peuvent pas être consultées. Il en va de même pour tous les autres groupes de règles que vous utilisez dans votre pack de protection (ACL Web) mais que vous ne possédez pas, tels que les groupes de règles AWS Managed Rules. Pour plus d'informations sur AWS WAF les métriques, consultez[AWS WAF métriques et dimensions](waf-metrics.md). Pour plus d'informations sur cette option de protection Shield Advanced, consultez[Automatiser l'atténuation de la couche DDo S de l'application avec Shield Advanced](#ddos-automatic-app-layer-response). 
+ Pour les sites Web ACLs qui protègent plusieurs ressources, l'atténuation automatique déploie uniquement des mesures d'atténuation personnalisées qui n'ont aucun impact négatif sur les ressources protégées. 
+ Le délai entre le début d'une attaque DDo S et le moment où Shield Advanced place des règles d'atténuation automatiques personnalisées varie en fonction de chaque événement. Certaines attaques DDo S peuvent prendre fin avant que les règles personnalisées ne soient déployées. D'autres attaques peuvent se produire lorsqu'une atténuation est déjà en place et peuvent donc être atténuées par ces règles dès le début de l'événement. En outre, les règles basées sur le taux dans le groupe de règles Web ACL et Shield Advanced peuvent atténuer le trafic d'attaque avant qu'il ne soit détecté comme un événement potentiel. 
+ Pour les équilibreurs de charge d'application qui reçoivent du trafic via un réseau de diffusion de contenu (CDN), tel qu'Amazon CloudFront, les capacités d'atténuation automatique de la couche applicative de Shield Advanced pour ces ressources d'Application Load Balancer seront réduites. Shield Advanced utilise les attributs du trafic client pour identifier et isoler le trafic d'attaque du trafic normal vers votre application, et CDNs peut ne pas préserver ou transmettre les attributs du trafic client d'origine. Si vous l'utilisez CloudFront, nous vous recommandons d'activer l'atténuation automatique sur la CloudFront distribution.
+ L'atténuation automatique de la couche DDo S de l'application n'interagit pas avec les groupes de protection. Vous pouvez activer l'atténuation automatique pour les ressources appartenant à des groupes de protection, mais Shield Advanced n'applique pas automatiquement les mesures d'atténuation des attaques en fonction des résultats des groupes de protection. Shield Advanced applique des mesures d'atténuation automatiques des attaques pour les ressources individuelles.

**Contents**
+ [Mises en garde relatives à l'utilisation de l'atténuation automatique de la couche DDo d'application S](#ddos-automatic-app-layer-response-caveats)
+ [Bonnes pratiques pour l'utilisation de l'atténuation automatique de la couche d'application DDo S](ddos-automatic-app-layer-response-bp.md)
+ [Activation de l'atténuation automatique de la couche DDo S de l'application](ddos-automatic-app-layer-response-config.md)
  + [Que se passe-t-il lorsque vous activez l'atténuation automatique ?](ddos-automatic-app-layer-response-config.md#ddos-automatic-app-layer-response-enable)
+ [Comment Shield Advanced gère l'atténuation automatique](ddos-automatic-app-layer-response-behavior.md)
  + [Comment Shield Advanced répond aux attaques DDo S grâce à une atténuation automatique](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-ddos-attack)
  + [Comment Shield Advanced gère le paramètre d'action des règles](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)
  + [Comment Shield Advanced gère les mesures d'atténuation lorsqu'une attaque s'atténue](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-after-attack)
  + [Que se passe-t-il lorsque vous désactivez l'atténuation automatique](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-disable)
+ [Protection de la couche applicative avec le groupe de règles Shield Advanced](ddos-automatic-app-layer-response-rg.md)
+ [Affichage de la configuration d'atténuation automatique de la couche d'application DDo S pour une ressource](view-automatic-app-layer-response-configuration.md)
+ [Activation et désactivation de l'atténuation automatique de la couche d'application DDo S](enable-disable-automatic-app-layer-response.md)
+ [Modification de l'action utilisée pour l'atténuation automatique de la couche d'application DDo S](change-action-of-automatic-app-layer-response.md)
+ [Utilisation AWS CloudFormation avec atténuation automatique de la couche DDo S de l'application](manage-automatic-mitigation-in-cfn.md)

# Bonnes pratiques pour l'utilisation de l'atténuation automatique de la couche d'application DDo S
<a name="ddos-automatic-app-layer-response-bp"></a>

Respectez les instructions fournies dans cette section lorsque vous utilisez l'atténuation automatique.

**Gestion générale des protections**  
Suivez ces directives pour planifier et mettre en œuvre vos protections d'atténuation automatiques.
+ Gérez toutes vos protections d'atténuation automatique via Shield Advanced ou, si vous utilisez AWS Firewall Manager pour gérer vos paramètres d'atténuation automatique de Shield Advanced, via Firewall Manager. Ne mélangez pas l'utilisation de Shield Advanced et de Firewall Manager pour gérer ces protections.
+ Gérez des ressources similaires en utilisant le même Web ACLs et les mêmes paramètres de protection, et gérez des ressources différentes en utilisant des sites Web ACLs différents. Lorsque Shield Advanced atténue une attaque DDo S sur une ressource protégée, il définit des règles pour l'ACL Web associée à la ressource, puis teste les règles par rapport au trafic de toutes les ressources associées à l'ACL Web. Shield Advanced n'appliquera les règles que si elles n'ont aucun impact négatif sur les ressources associées. Pour de plus amples informations, veuillez consulter [Comment Shield Advanced gère l'atténuation automatique](ddos-automatic-app-layer-response-behavior.md).
+ Pour les équilibreurs de charge d'application dont tout le trafic Internet est transmis par proxy via une CloudFront distribution Amazon, activez uniquement l'atténuation automatique sur la distribution. CloudFront La CloudFront distribution comportera toujours le plus grand nombre d'attributs de trafic d'origine, que Shield Advanced exploite pour atténuer les attaques. 

**Optimisation de la détection et de l'atténuation**  
Suivez ces directives pour optimiser les protections que l'atténuation automatique fournit aux ressources protégées. Pour une vue d'ensemble de la détection et de l'atténuation de la couche d'application, voir[Liste des facteurs qui affectent la détection et l'atténuation des événements au niveau de la couche application avec Shield Advanced](ddos-app-layer-detection-mitigation.md).
+ Configurez les contrôles de santé de vos ressources protégées et utilisez-les pour activer la détection basée sur l'état dans vos protections Shield Advanced. Pour de plus amples informations, consultez [Détection basée sur l'état à l'aide de contrôles de santé avec Shield Advanced et Route 53](ddos-advanced-health-checks.md).
+ Activez l'atténuation automatique en Count mode jusqu'à ce que Shield Advanced ait établi une base de référence pour le trafic historique normal. Shield Advanced a besoin de 24 heures à 30 jours pour établir une base de référence. 

  L'établissement d'une base de référence des modèles de trafic normaux nécessite les éléments suivants : 
  + L'association d'une ACL Web à la ressource protégée. Vous pouvez l'utiliser AWS WAF directement pour associer votre ACL Web ou vous pouvez demander à Shield Advanced de l'associer lorsque vous activez la protection de la couche d'application Shield Advanced et que vous spécifiez une ACL Web à utiliser. 
  + Flux de trafic normal vers votre application protégée. Si le trafic de votre application n'est pas normal, par exemple avant son lancement ou si le trafic de production est insuffisant pendant de longues périodes, les données historiques ne peuvent pas être collectées.

**Gestion des ACL Web**  
Suivez ces directives pour gérer le Web ACLs que vous utilisez avec une atténuation automatique.
+ Si vous devez remplacer l'ACL Web associée à la ressource protégée, apportez les modifications suivantes dans l'ordre : 

  1. Dans Shield Advanced, désactivez l'atténuation automatique. 

  1. Dans AWS WAF, dissociez l'ancienne ACL Web et associez la nouvelle ACL Web. 

  1. Dans Shield Advanced, activez l'atténuation automatique. 

  Shield Advanced ne transfère pas automatiquement l'atténuation automatique de l'ancienne ACL Web vers la nouvelle. 
+ Ne supprimez aucune règle de groupe de règles de votre site Web ACLs dont le nom commence par`ShieldMitigationRuleGroup`. Si vous supprimez ce groupe de règles, vous désactivez les protections fournies par l'atténuation automatique de Shield Advanced pour chaque ressource associée à l'ACL Web. En outre, Shield Advanced peut mettre un certain temps à recevoir la notification du changement et à mettre à jour ses paramètres. Pendant ce temps, les pages de la console Shield Advanced fourniront des informations incorrectes. 

  Pour plus d'informations sur le groupe de règles, consultez[Protection de la couche applicative avec le groupe de règles Shield Advanced](ddos-automatic-app-layer-response-rg.md). 
+ Ne modifiez pas le nom d'une règle de groupe de règles dont le nom commence par`ShieldMitigationRuleGroup`. Cela peut interférer avec les protections fournies par l'atténuation automatique de Shield Advanced via l'ACL Web. 
+ Lorsque vous créez des règles et des groupes de règles, n'utilisez pas de noms commençant par`ShieldMitigationRuleGroup`. Cette chaîne est utilisée par Shield Advanced pour gérer vos mesures d'atténuation automatiques. 
+ Dans le cadre de la gestion de vos règles ACL Web, n'attribuez pas de paramètre de priorité de 10 000 000. Shield Advanced attribue ce paramètre de priorité à sa règle de groupe de règles d'atténuation automatique lorsqu'il l'ajoute. 
+ Priorisez la `ShieldMitigationRuleGroup` règle afin qu'elle s'exécute quand vous le souhaitez par rapport aux autres règles de votre ACL Web. Shield Advanced ajoute la règle du groupe de règles à l'ACL Web avec une priorité de 10 000 000, à exécuter après vos autres règles. Si vous utilisez l'assistant de AWS WAF console pour gérer votre ACL Web, ajustez les paramètres de priorité selon vos besoins après avoir ajouté des règles à l'ACL Web. 
+ Si vous avez l' AWS CloudFormation habitude de gérer votre site Web ACLs, vous n'avez pas besoin de gérer la `ShieldMitigationRuleGroup` règle du groupe de règles. Suivez les instructions à l'adresse[Utilisation AWS CloudFormation avec atténuation automatique de la couche DDo S de l'application](manage-automatic-mitigation-in-cfn.md).

# Activation de l'atténuation automatique de la couche DDo S de l'application
<a name="ddos-automatic-app-layer-response-config"></a>

Cette page explique comment configurer Shield Advanced pour répondre automatiquement aux attaques de la couche application.

Vous activez l'atténuation automatique Shield Advanced dans le cadre des protections de la couche d'application DDo S de votre ressource. Pour plus d'informations sur cette opération via la console, consultez[Configurer les protections de la couche DDo S de l'application](manage-protection.md#configure-app-layer-protection).

La fonctionnalité d'atténuation automatique vous oblige à effectuer les opérations suivantes :
+ **Associez une ACL Web à la ressource** : cela est nécessaire pour toute protection de la couche d'application Shield Advanced. Vous pouvez utiliser la même ACL Web pour plusieurs ressources. Nous vous recommandons de le faire uniquement pour les ressources ayant un trafic similaire. Pour plus d'informations sur le WebACLs, y compris les exigences relatives à son utilisation avec plusieurs ressources, consultez[Comment AWS WAF fonctionne](how-aws-waf-works.md).
+ **Activez et configurez l'atténuation automatique de la couche d'application DDo S de Shield Advanced** : lorsque vous activez cette option, vous indiquez si vous souhaitez que Shield Advanced bloque ou compte automatiquement les requêtes Web qu'il considère comme faisant partie d'une attaque DDo S. Shield Advanced ajoute un groupe de règles à l'ACL Web associée et l'utilise pour gérer dynamiquement sa réponse aux attaques DDo S sur la ressource. Pour plus d'informations sur les options d'action des règles, consultez[Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md).
+ **(Facultatif, mais recommandé) Ajoutez une règle basée sur le débit à l'ACL Web** — Par défaut, la règle basée sur le débit fournit à votre ressource une protection de base contre les attaques DDo S en empêchant toute adresse IP individuelle d'envoyer trop de demandes en peu de temps. Pour plus d'informations sur les règles basées sur le taux, y compris les options d'agrégation de demandes personnalisées et des exemples, consultez[Utilisation d'instructions de règles basées sur le taux dans AWS WAF](waf-rule-statement-type-rate-based.md).

## Que se passe-t-il lorsque vous activez l'atténuation automatique ?
<a name="ddos-automatic-app-layer-response-enable"></a>

Shield Advanced effectue les opérations suivantes lorsque vous activez l'atténuation automatique : 
+ Le **cas échéant, ajoute un groupe de règles pour une utilisation dans Shield Advanced**. Si l'ACL AWS WAF Web que vous avez associée à la ressource ne possède pas encore de AWS WAF règle de groupe de règles dédiée à l'atténuation automatique de la couche d'application DDo S, Shield Advanced en ajoute une. 

  Le nom de la règle du groupe de règles commence par`ShieldMitigationRuleGroup`. Le groupe de règles contient toujours une règle basée sur le débit nommée`ShieldKnownOffenderIPRateBasedRule`, qui limite le volume de demandes provenant d'adresses IP connues pour être à l'origine d'attaques DDo S. Pour plus de détails sur le groupe de règles Shield Advanced et la règle ACL Web qui y fait référence, consultez[Protection de la couche applicative avec le groupe de règles Shield Advanced](ddos-automatic-app-layer-response-rg.md).
+ **Commence à répondre aux attaques DDo S contre la ressource** — Shield Advanced répond automatiquement aux attaques DDo S visant la ressource protégée. Outre la règle basée sur le taux, qui est toujours présente, Shield Advanced utilise son groupe de AWS WAF règles pour déployer des règles personnalisées visant à atténuer les attaques DDo S. Shield Advanced adapte ces règles à votre application et aux attaques qu'elle subit, et les teste par rapport au trafic historique de la ressource avant de les déployer. 

Shield Advanced utilise une règle de groupe de règles unique dans toutes les ACL Web que vous utilisez pour une atténuation automatique. Si Shield Advanced a déjà ajouté le groupe de règles pour une autre ressource protégée, il n'ajoute aucun autre groupe de règles à l'ACL Web. 

L'atténuation automatique de la couche d'application DDo S dépend de la présence du groupe de règles pour atténuer les attaques. Si le groupe de règles est supprimé de l'ACL AWS WAF Web pour une raison quelconque, la suppression désactive l'atténuation automatique pour toutes les ressources associées à l'ACL Web.

# Comment Shield Advanced gère l'atténuation automatique
<a name="ddos-automatic-app-layer-response-behavior"></a>

Les rubriques de cette section décrivent comment Shield Advanced gère vos modifications de configuration pour l'atténuation automatique de la couche applicative DDo S et comment il gère les attaques DDo S lorsque l'atténuation automatique est activée. 

**Topics**
+ [Comment Shield Advanced répond aux attaques DDo S grâce à une atténuation automatique](#ddos-automatic-app-layer-response-ddos-attack)
+ [Comment Shield Advanced gère le paramètre d'action des règles](#ddos-automatic-app-layer-response-rule-action)
+ [Comment Shield Advanced gère les mesures d'atténuation lorsqu'une attaque s'atténue](#ddos-automatic-app-layer-response-after-attack)
+ [Que se passe-t-il lorsque vous désactivez l'atténuation automatique](#ddos-automatic-app-layer-response-disable)

## Comment Shield Advanced répond aux attaques DDo S grâce à une atténuation automatique
<a name="ddos-automatic-app-layer-response-ddos-attack"></a>

Lorsque l'atténuation automatique est activée sur une ressource protégée, la règle `ShieldKnownOffenderIPRateBasedRule` basée sur le taux du groupe de règles Shield Advanced répond automatiquement aux volumes de trafic élevés provenant de sources DDo S connues. Cette limitation de débit est appliquée rapidement et constitue une défense de première ligne contre les attaques. 

Lorsque Shield Advanced détecte une attaque, il effectue les opérations suivantes :

1. Tente d'identifier une signature d'attaque qui isole le trafic d'attaque du trafic normal vers votre application. L'objectif est de produire des règles d'atténuation DDo S de haute qualité qui, une fois mises en place, n'affectent que le trafic d'attaque et n'ont aucun impact sur le trafic normal vers votre application.

1. Évalue la signature d'attaque identifiée par rapport aux modèles de trafic historiques pour la ressource attaquée ainsi que pour toute autre ressource associée à la même ACL Web. Shield Advanced le fait avant de déployer des règles en réponse à l'événement. 

   En fonction des résultats de l'évaluation, Shield Advanced effectue l'une des opérations suivantes : 
   + Si Shield Advanced détermine que la signature d'attaque isole uniquement le trafic impliqué dans l'attaque DDo S, il implémente la signature dans les AWS WAF règles du groupe de règles d'atténuation Shield Advanced de l'ACL Web. Shield Advanced attribue à ces règles le paramètre d'action que vous avez configuré pour l'atténuation automatique de la ressource, Count soitBlock.
   + Dans le cas contraire, Shield Advanced ne place aucune mesure d'atténuation.

Tout au long d'une attaque, Shield Advanced envoie les mêmes notifications et fournit les mêmes informations sur les événements que pour les protections de base de la couche d'application Shield Advanced. Vous pouvez consulter les informations sur les événements et les attaques DDo S, ainsi que sur les mesures d'atténuation mises en place par Shield Advanced en cas d'attaques, dans la console d'événements Shield Advanced. Pour plus d'informations, consultez [Visibilité des événements DDo S avec Shield Advanced](ddos-viewing-events.md). 

Si vous avez configuré l'atténuation automatique pour utiliser l'action des Block règles et que les règles d'atténuation déployées par Shield Advanced présentent des faux positifs, vous pouvez modifier l'action de la règle enCount. Pour plus d'informations sur la procédure à suivre, consultez[Modification de l'action utilisée pour l'atténuation automatique de la couche d'application DDo S](change-action-of-automatic-app-layer-response.md). 

## Comment Shield Advanced gère le paramètre d'action des règles
<a name="ddos-automatic-app-layer-response-rule-action"></a>

Vous pouvez définir l'action de la règle pour vos mesures d'atténuation automatiques sur Block ouCount. 

Lorsque vous modifiez le paramètre d'action de la règle d'atténuation automatique pour une ressource protégée, Shield Advanced met à jour tous les paramètres des règles pour la ressource. Il met à jour toutes les règles actuellement en place pour la ressource du groupe de règles Shield Advanced et utilise le nouveau paramètre d'action lorsqu'il crée de nouvelles règles. 

Pour les ressources qui utilisent la même ACL Web, si vous spécifiez des actions différentes, Shield Advanced utilise le paramètre Block d'action de la règle `ShieldKnownOffenderIPRateBasedRule` basée sur le taux du groupe de règles. Shield Advanced crée et gère les autres règles du groupe de règles pour le compte d'une ressource protégée spécifique, et utilise le paramètre d'action que vous avez spécifié pour la ressource. Toutes les règles du groupe de règles Shield Advanced d'une ACL Web sont appliquées au trafic Web de toutes les ressources associées. 

La modification du paramètre d'action peut prendre quelques secondes pour se propager. Pendant ce temps, il est possible que vous voyiez l'ancien paramètre à certains endroits où le groupe de règles est utilisé, et le nouveau paramètre à d'autres endroits. 

Vous pouvez modifier le paramètre d'action des règles pour votre configuration d'atténuation automatique sur la page des événements de la console et via la page de configuration de la couche application. Pour plus d'informations sur la page des événements, consultez[Réagir aux événements DDo S dans AWS](ddos-responding.md). Pour plus d'informations sur la page de configuration, consultez[Configurer les protections de la couche DDo S de l'application](manage-protection.md#configure-app-layer-protection).

## Comment Shield Advanced gère les mesures d'atténuation lorsqu'une attaque s'atténue
<a name="ddos-automatic-app-layer-response-after-attack"></a>

Lorsque Shield Advanced détermine que les règles d'atténuation déployées pour une attaque particulière ne sont plus nécessaires, il les supprime du groupe de règles d'atténuation Shield Advanced. 

La suppression des règles atténuantes ne coïncidera pas nécessairement avec la fin d'une attaque. Shield Advanced surveille les types d'attaques qu'il détecte sur vos ressources protégées. Il peut se défendre de manière proactive contre la récurrence d'une attaque portant une signature spécifique en maintenant en place les règles qu'il a déployées contre la survenue initiale de cette attaque. Au besoin, Shield Advanced augmente la période pendant laquelle il maintient les règles en place. Shield Advanced peut ainsi atténuer les attaques répétées avec une signature spécifique avant qu'elles n'affectent vos ressources protégées. 

Shield Advanced ne supprime jamais la règle basée sur le débit`ShieldKnownOffenderIPRateBasedRule`, qui limite le volume de demandes provenant d'adresses IP connues pour être à l'origine d'attaques DDo S. 

## Que se passe-t-il lorsque vous désactivez l'atténuation automatique
<a name="ddos-automatic-app-layer-response-disable"></a>

Shield Advanced effectue les opérations suivantes lorsque vous désactivez l'atténuation automatique pour une ressource : 
+ **Arrête de répondre automatiquement aux attaques DDo S** : Shield Advanced arrête ses activités de réponse automatique pour la ressource.
+ **Supprime les règles inutiles du groupe de règles Shield Advanced** : si Shield Advanced gère des règles dans son groupe de règles géré pour le compte de la ressource protégée, il les supprime. 
+ **Supprime le groupe de règles Shield Advanced s'il n'est plus utilisé** : si l'ACL Web que vous avez associée à la ressource n'est associée à aucune autre ressource pour laquelle l'atténuation automatique est activée, Shield Advanced supprime sa règle de groupe de règles de l'ACL Web. 

# Protection de la couche applicative avec le groupe de règles Shield Advanced
<a name="ddos-automatic-app-layer-response-rg"></a>

Cette page explique le fonctionnement du groupe de règles Shield Advanced dans votre ACL Web.

Shield Advanced gère les activités d'atténuation automatique à l'aide des règles d'un groupe de règles qu'il possède et gère pour vous. Shield Advanced fait référence au groupe de règles par une règle de l'ACL Web que vous avez associée à votre ressource protégée. 

**La règle du groupe de règles dans votre ACL Web**  
La règle de groupe de règles Shield Advanced de votre ACL Web possède les propriétés suivantes :
+ **Nom** – `ShieldMitigationRuleGroup``_account-id_web-acl-id_unique-identifier`
+ **Unités de capacité Web ACL (WCU)** — 150. Ils sont WCUs pris en compte dans l'utilisation de la WCU dans votre ACL Web. 

Shield Advanced crée cette règle dans votre ACL Web avec un paramètre de priorité de 10 000 000, afin qu'elle s'exécute après vos autres règles et groupes de règles dans l'ACL Web. AWS WAF exécute les règles dans une ACL Web à partir du paramètre de priorité numérique le plus bas. Au cours de votre gestion de l'ACL Web, ce paramètre de priorité peut changer. 

La fonctionnalité d'atténuation automatique ne consomme aucune AWS WAF ressource supplémentaire dans votre compte, à l'exception de celles WCUs utilisées par le groupe de règles de votre ACL Web. Par exemple, le groupe de règles Shield Advanced n'est pas considéré comme l'un des groupes de règles de votre compte. Pour plus d'informations sur les limites de compte dans AWS WAF, voir[AWS WAF quotas](limits.md).

**Règles du groupe de règles**  
Au sein du groupe de règles Shield Advanced référencé, Shield Advanced applique une règle basée sur le débit`ShieldKnownOffenderIPRateBasedRule`, qui limite le volume de demandes provenant d'adresses IP connues pour être à l'origine d'attaques DDo S. Cette règle constitue la première ligne de défense contre toute attaque, car elle est toujours présente dans le groupe de règles et ne repose pas sur l'analyse des modèles de trafic pour contenir les attaques. L'action de cette règle est définie en fonction de l'action que vous avez choisie pour vos atténuations automatiques, tout comme les autres règles du groupe de règles. Pour plus d'informations sur les règles basées sur les taux, consultez[Utilisation d'instructions de règles basées sur le taux dans AWS WAF](waf-rule-statement-type-rate-based.md).

**Note**  
La règle basée sur le taux `ShieldKnownOffenderIPRateBasedRule` fonctionne indépendamment de la détection d'événements Shield Advanced. Lorsque l'atténuation automatique est activée, cette règle limite le débit des adresses IP connues pour être à l'origine des attaques DDo S. Pour ces adresses IP, la limitation du débit prévue par la règle permet de prévenir les attaques et d'empêcher les attaques d'apparaître dans les informations de détection du Shield Advanced. Ce compromis privilégie la prévention plutôt que la visibilité complète des modèles d'attaque. 

Outre la règle permanente basée sur le taux décrite ci-dessus, le groupe de règles contient toutes les règles que Shield Advanced utilise actuellement pour atténuer les attaques DDo S. Shield Advanced ajoute, modifie et supprime ces règles selon les besoins. Pour plus d'informations, consultez [Comment Shield Advanced gère l'atténuation automatique](ddos-automatic-app-layer-response-behavior.md).

**Métriques**  
Le groupe de règles génère AWS WAF des métriques, mais comme ce groupe de règles appartient à Shield Advanced, ces métriques ne peuvent pas être consultées. Pour de plus amples informations, veuillez consulter [AWS WAF métriques et dimensions](waf-metrics.md).

# Affichage de la configuration d'atténuation automatique de la couche d'application DDo S pour une ressource
<a name="view-automatic-app-layer-response-configuration"></a>

Vous pouvez consulter la configuration d'atténuation automatique de la couche DDo S de l'application pour une ressource sur la page **Ressources protégées** et sur les pages de protection individuelles. 

**Pour afficher la configuration d'atténuation automatique de la couche d'application DDo S**

1. Connectez-vous à la console AWS WAF & Shield AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Dans le volet AWS Shield de navigation, sélectionnez **Ressources protégées**. Dans la liste des ressources protégées, la colonne **Atténuation automatique de la couche d'application DDo S** indique si l'atténuation automatique est activée et, le cas échéant, l'action que Shield Advanced doit utiliser pour ses mesures d'atténuation. 

   Vous pouvez également sélectionner n'importe quelle ressource de la couche application pour voir les mêmes informations répertoriées sur la page de protection de la ressource. 

# Activation et désactivation de l'atténuation automatique de la couche d'application DDo S
<a name="enable-disable-automatic-app-layer-response"></a>

La procédure suivante indique comment activer ou désactiver la réponse automatique pour une ressource protégée. 

**Pour activer ou désactiver l'atténuation automatique de la couche d'application DDo S pour une seule ressource**

1. Connectez-vous à la console AWS WAF & Shield AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Dans le volet AWS Shield de navigation, sélectionnez **Ressources protégées**.

1. Dans l'onglet **Protections**, sélectionnez la ressource de couche d'application pour laquelle vous souhaitez activer l'atténuation automatique. La page de protection de la ressource s'ouvre. 

1. Sur la page de protection de la ressource, choisissez **Modifier**. 

1. Sur la page **Configurer l'atténuation de la couche 7 DDo S pour les ressources globales - *facultatif***, pour l'**atténuation automatique de la couche DDo S de l'application**, choisissez l'option que vous souhaitez utiliser pour les atténuations automatiques. Les options de la console sont les suivantes : 
   + **Conserver les paramètres actuels** : n'apportez aucune modification aux paramètres d'atténuation automatique de la ressource protégée. 
   + **Activer** — Activez l'atténuation automatique pour la ressource protégée. Lorsque vous choisissez cette option, sélectionnez également l'action de règle que vous souhaitez que les atténuations automatiques utilisent dans les règles ACL Web. Pour plus d'informations sur les paramètres d'action des règles, consultez[Utilisation des actions liées aux règles dans AWS WAF](waf-rule-action.md).

     Si votre ressource protégée n'a pas encore d'historique du trafic normal des applications, activez l'atténuation automatique en Count mode jusqu'à ce que Shield Advanced puisse établir une base de référence. Shield Advanced commence à collecter des informations pour sa base de référence lorsque vous associez une ACL Web à votre ressource protégée, et l'établissement d'une bonne base de trafic normal peut prendre de 24 heures à 30 jours.
   + **Désactiver** : désactive l'atténuation automatique pour la ressource protégée. 

1. Parcourez le reste des pages jusqu'à ce que vous ayez terminé et enregistrez la configuration. 

Sur la page **Protections**, les paramètres d'atténuation automatique sont mis à jour pour la ressource.

# Modification de l'action utilisée pour l'atténuation automatique de la couche d'application DDo S
<a name="change-action-of-automatic-app-layer-response"></a>

Vous pouvez modifier l'action utilisée par Shield Advanced pour sa réponse automatique de la couche application à plusieurs emplacements de la console :
+ **Configuration de l'atténuation automatique** : modifiez l'action lorsque vous configurez l'atténuation automatique pour votre ressource. Pour la procédure, reportez-vous à la section précédente[Activation et désactivation de l'atténuation automatique de la couche d'application DDo S](enable-disable-automatic-app-layer-response.md).
+ **Page de détails de l'événement** : modifiez l'action dans la page des détails de l'événement lorsque vous consultez les informations relatives à l'événement dans la console. Pour plus d'informations, consultez [Afficher les détails de AWS Shield Advanced l'événement](ddos-event-details.md).

Si vous avez deux ressources protégées qui partagent une ACL Web et que vous définissez l'action sur l'une et Count Block pour l'autre, Shield Advanced définit l'action de la règle `ShieldKnownOffenderIPRateBasedRule` basée sur le taux du groupe de règles sur. Block

# Utilisation AWS CloudFormation avec atténuation automatique de la couche DDo S de l'application
<a name="manage-automatic-mitigation-in-cfn"></a>

Cette page explique comment utiliser CloudFormation pour gérer vos protections et AWS WAF le Web ACLs. 

**Activation ou désactivation de l'atténuation automatique de la couche d'application DDo S**  
Vous pouvez activer et désactiver l'atténuation automatique de la couche DDo S de l'application par AWS CloudFormation le biais de la `AWS::Shield::Protection` ressource. L'effet est le même que lorsque vous activez ou désactivez la fonctionnalité via la console ou toute autre interface. Pour plus d'informations sur CloudFormation cette ressource, reportez-vous [AWS::Shield::Protection](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-shield-protection.html)au *guide de l'AWS CloudFormation utilisateur*.

**Gestion de l' ACLs utilisation du Web avec atténuation automatique**  
Shield Advanced gère l'atténuation automatique de votre ressource protégée à l'aide d'une règle de groupe de règles dans l'ACL AWS WAF Web de la ressource protégée. Par le biais de la AWS WAF console APIs, vous verrez la règle répertoriée dans vos règles ACL Web, avec un nom commençant par`ShieldMitigationRuleGroup`. Cette règle est dédiée à l'atténuation automatique de la couche DDo S de votre application et elle est gérée pour vous par Shield Advanced et AWS WAF. Pour plus d’informations, consultez [Protection de la couche applicative avec le groupe de règles Shield Advanced](ddos-automatic-app-layer-response-rg.md) et [Comment Shield Advanced gère l'atténuation automatique](ddos-automatic-app-layer-response-behavior.md).

Si vous avez l' CloudFormation habitude de gérer votre site Web ACLs, n'ajoutez pas la règle de groupe de règles Shield Advanced à votre modèle d'ACL Web. Lorsque vous mettez à jour une ACL Web qui est utilisée avec vos protections d'atténuation automatiques, gère AWS WAF automatiquement la règle du groupe de règles dans l'ACL Web. 

Vous constaterez les différences suivantes par rapport aux autres sites Web ACLs que vous gérez CloudFormation :
+ CloudFormation ne signalera aucune dérive de l'état de dérive de la pile entre la configuration réelle de l'ACL Web, avec la règle du groupe de règles Shield Advanced, et votre modèle d'ACL Web, sans la règle. La règle Shield Advanced n'apparaîtra pas dans la liste réelle de la ressource dans les détails de dérive. 

  Vous pourrez voir la règle du groupe de règles Shield Advanced dans les listes d'ACL Web que vous AWS WAF recherchez, par exemple via la AWS WAF console ou AWS WAF APIs.
+ Si vous modifiez le modèle d'ACL Web dans une pile AWS WAF et que Shield Advanced conserve automatiquement la règle d'atténuation automatique Shield Advanced dans l'ACL Web mise à jour. Les protections d'atténuation automatiques fournies par Shield Advanced ne sont pas interrompues par votre mise à jour de l'ACL Web.

Ne gérez pas la règle Shield Advanced dans votre modèle ACL CloudFormation Web. Le modèle ACL Web ne doit pas répertorier la règle Shield Advanced. Suivez les meilleures pratiques en matière de gestion des ACL Web à l'adresse[Bonnes pratiques pour l'utilisation de l'atténuation automatique de la couche d'application DDo S](ddos-automatic-app-layer-response-bp.md).