**Présentation d'une nouvelle expérience de console pour AWS WAF**

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section [Utilisation de la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Con AWS Shield Advanced figuration
<a name="getting-started-ddos"></a>

Ce didacticiel vous explique comment commencer à AWS Shield Advanced utiliser la console Shield Advanced. 

**Note**  
Shield Advanced nécessite un abonnement, ce qui n' AWS Shield Standard est pas le cas. Les protections fournies par Shield Standard sont disponibles gratuitement pour tous les AWS clients.

Shield Advanced fournit une protection avancée de détection et d'atténuation DDo S pour les attaques au niveau de la couche réseau (couche 3), de la couche transport (couche 4) et de la couche application (couche 7). Pour plus d'informations sur Shield Advanced, consultez[Présentation de AWS Shield Advanced](ddos-advanced-summary.md).

La communauté AWS technique a publié un exemple de processus automatisé de configuration de Shield Advanced à l'aide des outils d'infrastructure en tant que code (IaC) AWS CloudFormation et de Terraform. Vous pouvez utiliser AWS Firewall Manager cette solution si vos comptes font partie d'une organisation AWS Organizations et si vous protégez des types de ressources, à l'exception d'Amazon Route 53 ou AWS Global Accelerator. [Pour explorer cette option, consultez le référentiel de code sur [aws-samples/ aws-shield-advanced-one-click-deployment et le didacticiel sur le déploiement](https://github.com/aws-samples/aws-shield-advanced-one-click-deployment) en un clic de Shield Advanced.](https://youtu.be/LCA3FwMk_QE) 

**Note**  
Il est important de configurer complètement Shield Advanced avant un événement de déni de service distribué (DDoS). Terminez la configuration pour vous assurer que votre application est protégée et que vous êtes prêt à réagir si votre application est affectée par une attaque DDo S.

Effectuez les étapes suivantes dans l'ordre pour commencer à utiliser Shield Advanced. 

**Contents**
+ [S'abonner à AWS Shield Advanced](enable-ddos-prem.md)
+ [Ajouter et configurer des protections de ressources avec Shield Advanced](ddos-choose-resources.md)
  + [Configuration des protections de la couche application (couche 7) DDo S avec AWS WAF](ddos-get-started-web-acl-rbr.md)
  + [Configuration de la détection basée sur l'état de santé pour vos protections avec Shield Advanced et Route 53](ddos-get-started-health-checks.md)
  + [Configuration des alarmes et des notifications avec Shield Advanced et Amazon SNS](ddos-get-started-create-alarms.md)
  + [Révision et finalisation de votre configuration de protection dans Shield Advanced](ddos-get-started-review-and-configure.md)
+ [Configuration du support de la AWS Shield Response Team (SRT) pour la réponse aux événements DDo S](authorize-srt.md)
+ [Création d'un tableau de bord DDo S CloudWatch et définition d' CloudWatch alarmes](deploy-waf-dashboard.md)

# S'abonner à AWS Shield Advanced
<a name="enable-ddos-prem"></a>

Cette page explique comment abonner vos comptes à Shield Advanced pour commencer à utiliser le service.

Vous devez vous abonner à Shield Advanced pour chaque produit Compte AWS que vous souhaitez protéger. Il n'est pas nécessaire de s'abonner à Shield Standard.

**Facturation de l'abonnement Shield Advanced**  
Si vous êtes revendeur de AWS chaînes, contactez l'équipe chargée de votre compte pour obtenir des informations et des conseils. Ces informations de facturation sont destinées aux clients qui ne sont pas des revendeurs de AWS canaux. 

Pour tous les autres, les directives d'abonnement et de facturation suivantes s'appliquent :
+ Pour les comptes membres d'une AWS Organizations organisation, facturez AWS les abonnements Shield Advanced sur le compte payeur de l'organisation, que le compte payeur lui-même soit souscrit ou non. 
+ Lorsque vous souscrivez plusieurs comptes appartenant à la même [famille de comptes de facturation AWS Organizations consolidée](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html), le prix d'abonnement unique couvre tous les comptes souscrits de la famille. L'organisation doit être propriétaire de Comptes AWS la totalité de ses ressources. 
+ Lorsque vous souscrivez plusieurs comptes pour plusieurs organisations, vous pouvez toujours payer les mêmes frais d'abonnement pour l'ensemble des organisations, des comptes et des ressources, à condition que vous les possédiez tous. Contactez votre responsable de compte ou le service d' AWS assistance et demandez une exemption des frais AWS Shield Advanced d'abonnement pour toutes les organisations sauf une. 

Pour obtenir des informations détaillées sur les prix et des exemples, consultez la section [AWS Shield Tarification](https://aws.amazon.com/shield/pricing/). 

**Envisagez de simplifier les abonnements avec AWS Firewall Manager**  
Si vos comptes font partie d'une organisation, nous vous recommandons de les utiliser AWS Firewall Manager , dans la mesure du possible, pour automatiser vos abonnements et vos protections pour l'organisation. Firewall Manager prend en charge tous les types de ressources protégées, à l'exception d'Amazon Route 53 et AWS Global Accelerator. Pour utiliser Firewall Manager, consultez [AWS Firewall Manager](fms-chapter.md) et[Configuration de AWS Firewall Manager AWS Shield Advanced politiques](getting-started-fms-shield.md). 

Si vous n'utilisez pas Firewall Manager, pour chaque compte disposant de ressources à protéger, abonnez-vous et ajoutez des protections en suivant les procédures suivantes. 

**Pour créer un compte à AWS Shield Advanced**

1. Connectez-vous à la console AWS WAF & Shield AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Dans la barre **AWS Shield**de navigation, choisissez **Getting started**. Choisissez **Subscribe to Shield Advanced**. 

1. Sur la page **Subscribe to Shield Advanced**, lisez chaque terme du contrat, puis cochez toutes les cases pour indiquer que vous acceptez les termes. Pour les comptes appartenant à une famille de facturation consolidée, vous devez accepter les conditions de chaque compte. 
**Important**  
Lorsque vous êtes inscrit, pour vous désinscrire, vous devez contacter [AWS Support](https://console.aws.amazon.com/support).   
[Pour désactiver le renouvellement automatique de votre abonnement, vous devez utiliser l'opération Shield API ou [UpdateSubscription](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_UpdateSubscription.html)la commande CLI update-subscription.](https://docs.aws.amazon.com/cli/latest/reference/shield/update-subscription.html)

   Choisissez **Subscribe to Shield Advanced**. Cela permet d'abonner votre compte à Shield Advanced et d'activer le service.

Votre compte est inscrit. Suivez les étapes suivantes pour protéger les ressources de votre compte avec Shield Advanced. 

**Note**  
Shield Advanced ne protège pas automatiquement vos ressources après votre inscription. Vous devez spécifier les ressources que Shield Advanced doit protéger. 

# Ajouter et configurer des protections de ressources avec Shield Advanced
<a name="ddos-choose-resources"></a>

Cette page fournit des instructions pour ajouter et configurer des protections pour vos ressources. 

Shield Advanced protège uniquement les ressources que vous spécifiez, soit via Shield Advanced, soit dans le cadre d'une politique Firewall Manager Shield Advanced. Il ne protège pas automatiquement les ressources d'un compte abonné. 

**Note**  
Si vous utilisez une politique AWS Firewall Manager Shield Advanced pour vos protections, vous n'avez pas besoin de suivre cette étape. Vous configurez la politique avec les types de ressources à protéger, et Firewall Manager ajoute automatiquement des protections aux ressources couvertes par la politique. 

Si vous n'utilisez pas Firewall Manager, suivez les procédures suivantes pour chaque compte disposant de ressources à protéger.

**Pour choisir les ressources à protéger à l'aide de Shield Advanced**

1. Choisissez **Ajouter des ressources à protéger** sur la page de confirmation d'abonnement de la procédure précédente, sur la page **Ressources protégées** ou **sur la page Aperçu**. 

1. Sur la page **Choisissez les ressources à protéger avec Shield Advanced**, dans **Spécifiez la région et les types de ressources**, indiquez les spécifications de région et de type de ressource pour les ressources que vous souhaitez protéger. Vous pouvez protéger les ressources de plusieurs régions en sélectionnant **Toutes les régions** et vous pouvez restreindre la sélection aux ressources mondiales en sélectionnant **Global**. Vous pouvez désélectionner les types de ressources que vous ne souhaitez pas protéger. Pour plus d'informations sur les protections de vos types de ressources, consultez[Liste des ressources qui AWS Shield Advanced protègent](ddos-protections-by-resource-type.md).

1. Choisissez **Charger les ressources**. Shield Advanced renseigne la section **Select Resources** avec les AWS ressources correspondant à vos critères. 

1. Dans la section **Sélectionner les ressources**, vous pouvez filtrer la liste des ressources en saisissant une chaîne à rechercher dans les listes de ressources. 

   Sélectionnez les ressources que vous souhaitez protéger.

1. Dans la section **Tags**, si vous souhaitez ajouter des balises aux protections Shield Advanced que vous créez, spécifiez-les. Pour plus d'informations sur le balisage AWS des ressources, consultez la section [Utilisation de l'éditeur de balises](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html). 

1. Choisissez **Protect with Shield Advanced**. Cela ajoute les protections Shield Advanced aux ressources.

Parcourez les écrans de l'assistant de console pour terminer la configuration de la protection de vos ressources. 

**Topics**
+ [Configuration des protections de la couche application (couche 7) DDo S avec AWS WAF](ddos-get-started-web-acl-rbr.md)
+ [Configuration de la détection basée sur l'état de santé pour vos protections avec Shield Advanced et Route 53](ddos-get-started-health-checks.md)
+ [Configuration des alarmes et des notifications avec Shield Advanced et Amazon SNS](ddos-get-started-create-alarms.md)
+ [Révision et finalisation de votre configuration de protection dans Shield Advanced](ddos-get-started-review-and-configure.md)

# Configuration des protections de la couche application (couche 7) DDo S avec AWS WAF
<a name="ddos-get-started-web-acl-rbr"></a>

Cette page fournit des instructions pour configurer les protections de la couche d'application avec AWS WAF le Web ACLs. 

Pour protéger une ressource de la couche application, Shield Advanced utilise une ACL AWS WAF Web avec une règle basée sur le débit comme point de départ. AWS WAF est un pare-feu d'applications Web qui vous permet de surveiller les requêtes HTTP et HTTPS qui sont transmises aux ressources de la couche application et de contrôler l'accès à votre contenu en fonction des caractéristiques des demandes. Une règle basée sur le débit limite le volume de trafic en fonction de vos critères d'agrégation des demandes, fournissant ainsi une protection DDo S de base à votre application. Pour plus d’informations, consultez [Comment AWS WAF fonctionne](how-aws-waf-works.md) et [Utilisation d'instructions de règles basées sur le taux dans AWS WAF](waf-rule-statement-type-rate-based.md).

Vous pouvez également activer l'atténuation automatique de la couche d'application DDo S de Shield Advanced, afin que Shield Advanced limite le débit des demandes provenant de sources DDo S connues et vous fournisse automatiquement des protections spécifiques à l'incident. 

**Important**  
Si vous gérez vos protections Shield Advanced à AWS Firewall Manager l'aide d'une politique Shield Advanced, vous ne pouvez pas gérer les protections de la couche application ici. Vous devez les gérer dans votre politique Firewall Manager Shield Advanced.

**Abonnements et AWS WAF coûts de Shield Advanced**  
Votre abonnement Shield Advanced couvre les coûts liés à l'utilisation des AWS WAF fonctionnalités standard pour les ressources que vous protégez avec Shield Advanced. Les AWS WAF frais standard couverts par vos protections Shield Advanced sont le coût par pack de protection (ACL Web), le coût par règle et le prix de base par million de demandes d'inspection de requêtes Web, jusqu'à 1 500 WCUs et jusqu'à la taille corporelle par défaut.

L'activation de l'atténuation automatique de la couche d'application DDo S de Shield Advanced ajoute un groupe de règles à votre pack de protection (ACL Web) qui utilise 150 unités de capacité ACL Web (WCUs). Ils sont WCUs pris en compte dans l'utilisation de la WCU dans votre pack de protection (ACL Web). Pour plus d’informations, consultez [Automatiser l'atténuation de la couche DDo S de l'application avec Shield Advanced](ddos-automatic-app-layer-response.md), [Protection de la couche applicative avec le groupe de règles Shield Advanced](ddos-automatic-app-layer-response-rg.md) et [Unités de capacité Web ACL (WCUs) en AWS WAF](aws-waf-capacity-units.md).

Votre abonnement à Shield Advanced ne couvre pas l'utilisation de AWS WAF ressources que vous ne protégez pas à l'aide de Shield Advanced. Il ne couvre pas non plus les AWS WAF coûts non standard supplémentaires liés aux ressources protégées. Des exemples de AWS WAF coûts non standard sont ceux liés au contrôle des robots, à l'action des CAPTCHA règles, aux sites Web ACLs qui en utilisent plus de 1 500 WCUs et à l'inspection du corps de la demande au-delà de la taille par défaut. La liste complète est disponible sur la page de AWS WAF tarification. Votre abonnement à Shield Advanced inclut l'accès au groupe Layer 7 Anti- DDo S Amazon Managed Rule. Dans le cadre de votre abonnement, vous recevrez jusqu'à 50 milliards de demandes adressées aux AWS WAF ressources protégées de Shield Advanced au cours d'un mois civil. Les demandes supérieures à 50 milliards seront facturées conformément à la page de AWS Shield Advanced tarification.

Pour obtenir des informations complètes et des exemples de tarification, consultez [Shield Pricing](https://aws.amazon.com/shield/pricing/) and [AWS WAF Pricing](https://aws.amazon.com/waf/pricing/).

**Pour configurer les protections de couche 7 DDo S pour une région**

Shield Advanced vous donne la possibilité de configurer l'atténuation de la couche 7 DDo S pour chaque région où se trouvent les ressources que vous avez choisies. Si vous ajoutez des protections dans plusieurs régions, l'assistant vous explique la procédure suivante pour chaque région. 

1. La page **Configurer les protections de la couche 7 DDo S** répertorie chaque ressource qui n'est pas encore associée à une ACL Web. Pour chacune d'entre elles, choisissez une ACL Web existante ou créez une nouvelle ACL Web. Pour toute ressource qui possède déjà une ACL Web associée, vous pouvez changer de site Web ACLs en dissociant d'abord l'ACL en cours. AWS WAF Pour de plus amples informations, veuillez consulter [Associer ou dissocier une protection à une ressource AWS](web-acl-associating-aws-resource.md).

   Pour les sites Web ACLs qui ne disposent pas encore d'une règle basée sur le taux, l'assistant de configuration vous invite à en ajouter une. Une règle basée sur le débit limite le trafic provenant des adresses IP lorsque celles-ci envoient un volume élevé de demandes. Les règles basées sur le débit aident à protéger votre application contre les inondations de requêtes Web et peuvent fournir des alertes en cas de pics de trafic soudains susceptibles d'indiquer une attaque DDo S potentielle. Ajoutez une règle basée sur le taux à une ACL Web en choisissant **Ajouter une règle de limite de débit**, puis en fournissant une limite de débit et une action de règle. Vous pouvez configurer des protections supplémentaires dans l'ACL Web via AWS WAF. 

   Pour plus d'informations sur l'utilisation de règles basées sur le Web ACLs et sur les taux dans vos protections Shield Advanced, y compris des options de configuration supplémentaires pour les règles basées sur les taux, consultez. [Protection de la couche applicative avec AWS WAF Web ACLs et Shield Advanced](ddos-app-layer-web-ACL-and-rbr.md)

1. Pour l'**atténuation automatique de la couche d'application DDo S**, si vous souhaitez que Shield Advanced atténue automatiquement les attaques DDo S contre les ressources de votre couche d'application, choisissez **Activer**, puis sélectionnez l'action de AWS WAF règle que vous souhaitez que Shield Advanced utilise dans ses règles personnalisées. Ce paramètre s'applique à l'ensemble du Web ACLs pour les ressources que vous gérez dans cette session de l'assistant. 

   Grâce à l'atténuation automatique de la couche DDo S de l'application, Shield Advanced maintient une règle basée sur le débit dans l'ACL AWS WAF Web de la ressource qui limite le volume de demandes provenant de sources DDo S connues. En outre, Shield Advanced compare les modèles de trafic actuels aux données de référence du trafic historiques afin de détecter les écarts susceptibles d'indiquer une attaque DDo S. Lorsque Shield Advanced détecte une attaque DDo S, il répond en créant, en évaluant et en déployant des AWS WAF règles personnalisées pour y répondre. Vous spécifiez si les règles personnalisées comptent ou bloquent les attaques en votre nom. 
**Note**  
L'atténuation automatique de la couche DDo S de l'application fonctionne uniquement avec les packs de protection (Web ACLs) créés à l'aide de la dernière version de AWS WAF (v2). 

   Pour plus d'informations sur l'atténuation automatique de la couche d'application DDo S de Shield Advanced, y compris les mises en garde et les meilleures pratiques relatives à l'utilisation de cette fonctionnalité, consultez. [Automatiser l'atténuation de la couche DDo S de l'application avec Shield Advanced](ddos-automatic-app-layer-response.md)

1. Choisissez **Suivant**. L'assistant de console passe à la page de détection basée sur l'état de santé. 

# Configuration de la détection basée sur l'état de santé pour vos protections avec Shield Advanced et Route 53
<a name="ddos-get-started-health-checks"></a>

Cette page fournit des instructions pour configurer Shield Advanced afin d'utiliser la détection basée sur l'état de santé. Cela peut contribuer à améliorer la réactivité et la précision de la détection et de l'atténuation des attaques.

Des bilans de santé bien configurés sont essentiels pour une détection précise des événements. Vous pouvez configurer la détection basée sur l'état de santé pour tous les types de ressources, à l'exception des zones hébergées Route 53. 

Pour utiliser la détection basée sur l'état de santé, définissez un bilan de santé pour votre ressource dans Route 53, puis associez le bilan de santé à votre protection Shield Advanced. Il est important que le bilan de santé que vous configurez reflète précisément l'état de santé de la ressource. Pour obtenir des informations et des exemples de configuration des contrôles de santé à utiliser avec Shield Advanced, consultez[Détection basée sur l'état à l'aide de contrôles de santé avec Shield Advanced et Route 53](ddos-advanced-health-checks.md). 

Des bilans de santé sont requis pour le support d'engagement proactif de la Shield Response Team (SRT). Pour plus d'informations sur l'engagement proactif, consultez[Mettre en place un engagement proactif pour que le SRT vous contacte directement](ddos-srt-proactive-engagement.md).

**Note**  
Les bilans de santé doivent indiquer qu'ils sont sains lorsque vous les associez à vos protections Shield Advanced.

**Pour configurer la détection basée sur l'état**

1. Sous **Associated Health Check (Vérification de l’état de santé associée)**, choisissez l'ID de la vérification de l’état de santé que vous souhaitez associer à la protection. 
**Note**  
Si le bilan de santé dont vous avez besoin ne s'affiche pas, accédez à la console Route 53 et vérifiez le bilan de santé et son identifiant. Pour plus d'informations, consultez [Creating and Updating Health Checks (Création et mise à jour des vérifications de l’état de santé)](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html).

1. Choisissez **Suivant**. L'assistant de console passe à la page des alarmes et des notifications. 

# Configuration des alarmes et des notifications avec Shield Advanced et Amazon SNS
<a name="ddos-get-started-create-alarms"></a>

Cette page fournit des instructions pour configurer éventuellement les notifications Amazon Simple Notification Service pour les CloudWatch alarmes Amazon détectées et l'activité des règles basées sur les taux. Vous pouvez les utiliser pour recevoir une notification lorsque Shield détecte un événement sur une ressource protégée ou lorsqu'une limite de débit configurée dans une règle basée sur le taux est dépassée. 

Pour plus d'informations sur CloudWatch les métriques Shield Advanced, consultez[AWS Shield Advanced métriques](shield-metrics.md). Pour plus d'informations sur Amazon SNS, consultez le guide du [développeur Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/). 

**Pour configurer les alarmes et les notifications**

1. Sélectionnez les rubriques Amazon SNS pour lesquelles vous souhaitez recevoir une notification. Vous pouvez utiliser une seule rubrique Amazon SNS pour toutes les ressources protégées et les règles basées sur les tarifs, ou vous pouvez choisir différents sujets, adaptés à votre organisation. Par exemple, vous pouvez créer une rubrique SNS pour chaque équipe chargée de répondre aux incidents pour un ensemble spécifique de ressources.

1. Choisissez **Suivant**. L'assistant de console passe à la page de révision de la protection des ressources.

# Révision et finalisation de votre configuration de protection dans Shield Advanced
<a name="ddos-get-started-review-and-configure"></a>

**Pour vérifier et terminer vos paramètres**

1. Sur la page **Vérifier et configurer l'atténuation et la visibilité de DDo S**, passez en revue vos paramètres. Pour apporter des modifications, choisissez **Modifier** dans la zone que vous souhaitez modifier. Cela vous ramène à la page associée dans l'assistant de console. Apportez vos modifications, puis choisissez **Suivant** dans les pages suivantes jusqu'à ce que vous reveniez à la page **Révision et configuration DDo des mesures d'atténuation et de visibilité**.

1. Choisissez **Terminer la configuration**. La page **Ressources protégées** répertorie les ressources que vous venez de protéger.

# Configuration du support de la AWS Shield Response Team (SRT) pour la réponse aux événements DDo S
<a name="authorize-srt"></a>

Cette page fournit des instructions pour configurer le support de Shield Response Team (SRT).

Le SRT comprend des ingénieurs de sécurité spécialisés dans la réponse aux événements DDo S. Vous pouvez éventuellement ajouter des autorisations qui permettent au SRT de gérer les ressources en votre nom lors d'un événement DDo S. En outre, vous pouvez configurer le SRT pour qu'il interagisse de manière proactive avec vous si les bilans de santé de Route 53 associés à vos ressources protégées ne fonctionnent pas correctement lors d'un événement détecté. Ces deux ajouts à vos protections permettent de réagir plus rapidement aux événements DDo S. 

**Note**  
Pour utiliser les services de la Shield Response Team (SRT), vous devez être abonné au plan [Business Support ou au plan](https://aws.amazon.com/premiumsupport/business-support/) [Enterprise Support](https://aws.amazon.com/premiumsupport/enterprise-support/). 

Le SRT peut surveiller les données des AWS WAF demandes et les journaux lors des événements de la couche application afin d'identifier le trafic anormal. Ils peuvent aider à élaborer des AWS WAF règles personnalisées pour atténuer les sources de trafic offensantes. Le cas échéant, le SRT peut formuler des recommandations architecturales pour vous aider à mieux aligner vos ressources sur les AWS recommandations. 

Pour plus d'informations sur le SRT, consultez[Réponse aux événements Managed DDo S avec le support de la Shield Response Team (SRT)](ddos-srt-support.md).

**Pour accorder des autorisations au SRT**

1. Sur la page de **présentation** de la AWS Shield console, sous **Configurer le support AWS SRT**, choisissez **Modifier l'accès SRT.** La page d'**accès à l'Edit AWS Shield Response Team (SRT)** s'ouvre.

1. Pour le **réglage de l'accès SRT**, sélectionnez l'une des options suivantes : 
   + **Ne pas autoriser le SRT à accéder à mon compte** — Shield supprime toutes les autorisations que vous avez précédemment accordées au SRT pour accéder à votre compte et à vos ressources.
   + **Créer un nouveau rôle pour que le SRT accède à mon compte** — Shield crée un rôle qui fait confiance au principal du service`drt.shield.amazonaws.com`, qui représente le SRT, et y associe la politique `AWSShieldDRTAccessPolicy` gérée. La politique gérée permet au SRT de passer des AWS Shield Advanced appels d' AWS WAF API en votre nom et d'accéder à vos AWS WAF journaux. Pour plus d’informations sur la stratégie gérée, consultez [AWS stratégie gérée : AWSShield DRTAccess Politique](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy).
   + **Choisissez un rôle existant pour que le SRT accède à mes comptes**. Pour cette option, vous devez modifier la configuration du rôle dans Gestion des identités et des accès AWS (IAM) comme suit : 
     + Attachez la stratégie gérée `AWSShieldDRTAccessPolicy` au rôle. Cette politique gérée permet au SRT de passer des AWS Shield Advanced appels d' AWS WAF API en votre nom et d'accéder à vos AWS WAF journaux. Pour plus d’informations sur la stratégie gérée, consultez [AWS stratégie gérée : AWSShield DRTAccess Politique](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy). Pour plus d'informations sur l'attachement de la politique gérée à votre rôle, consultez la section [Attacher et détacher des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html). 
     + Modifiez le rôle pour approuver l'entité de service `drt.shield.amazonaws.com`. Il s'agit du principal de service qui représente le SRT. Pour de plus amples informations, veuillez consulter [Éléments de stratégie IAM JSON : Mandataire](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). 

1. Choisissez **Save** pour enregistrer les changements. 

Pour plus d'informations sur la façon de donner à la SRT l'accès à vos protections et à vos données, consultez[Octroi de l'accès au SRT](ddos-srt-access.md). 

**Pour permettre un engagement proactif de la SRT**

1. Sur la page de **présentation** de la AWS Shield console, sous **Engagement proactif et contacts**, dans la zone des contacts, choisissez **Modifier**.

   Sur la page **Modifier les contacts**, fournissez les coordonnées des personnes que vous souhaitez que le SRT contacte pour un engagement proactif. 

   Si vous indiquez plusieurs contacts, dans les **notes**, indiquez les circonstances dans lesquelles chaque contact doit être utilisé. Incluez les désignations des contacts principaux et secondaires, et indiquez les heures de disponibilité et les fuseaux horaires de chaque contact. 

   Exemples de notes de contact : 
   + Il s'agit d'une hotline ouverte 24 heures sur 24, 7 jours sur 7, 365 jours par an. Travaillez avec l'analyste qui répond et il désignera la personne appropriée pour l'appel. 
   + Merci de me contacter si la hotline ne répond pas dans les 5 minutes.

1. Choisissez **Enregistrer**. 

   La page **d'aperçu** reflète les informations de contact mises à jour.

1. Choisissez **Modifier la fonctionnalité d'engagement proactif**, sélectionnez **Activer**, puis sélectionnez **Enregistrer** pour activer l'engagement proactif. 

Pour plus d'informations sur l'engagement proactif, consultez[Mettre en place un engagement proactif pour que le SRT vous contacte directement](ddos-srt-proactive-engagement.md).

# Création d'un tableau de bord DDo S CloudWatch et définition d' CloudWatch alarmes
<a name="deploy-waf-dashboard"></a>

Cette page fournit des instructions pour créer un tableau de bord DDo S dans CloudWatch et configurer des CloudWatch alarmes.

Vous pouvez surveiller l'activité potentielle de DDo S à l'aide d'Amazon CloudWatch, qui collecte des données brutes auprès de Shield Advanced et les traite en indicateurs lisibles en temps quasi réel. Vous pouvez utiliser les statistiques CloudWatch pour avoir une idée des performances de votre application ou service Web. Pour plus d'informations sur l'utilisation CloudWatch, [consultez CloudWatch le](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) *guide de CloudWatch l'utilisateur Amazon*.
+ Pour obtenir des instructions sur la création d'un CloudWatch tableau de bord, consultez[Surveillance avec Amazon CloudWatch](monitoring-cloudwatch.md). 
+ Pour une description des métriques Shield Advanced que vous pouvez ajouter à votre tableau de bord, consultez[AWS Shield Advanced métriques](shield-metrics.md). 

Shield Advanced communique les indicateurs de ressources CloudWatch plus fréquemment pendant DDo les événements S que lorsqu'aucun événement n'est en cours. Shield Advanced fournit des statistiques une fois par minute pendant un événement, puis une fois juste après la fin de l'événement. Tant qu'aucun événement n'est en cours, Shield Advanced fournit des statistiques une fois par jour, à l'heure assignée à la ressource. Ce rapport périodique maintient les métriques actives et disponibles pour une utilisation dans vos CloudWatch alarmes personnalisées. 

Ceci complète le didacticiel pour démarrer avec Shield Advanced. Pour profiter pleinement des protections que vous avez choisies, continuez à explorer les fonctionnalités et options de Shield Advanced. Pour commencer, familiarisez-vous avec les options qui s'offrent à vous pour consulter les événements [Visibilité des événements DDo S avec Shield Advanced](ddos-viewing-events.md) et y répondre[Réagir aux événements DDo S dans AWS](ddos-responding.md).