**Memperkenalkan pengalaman konsol baru untuk AWS WAF**

Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat [Bekerja dengan konsol](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced
<a name="ddos-automatic-app-layer-response"></a>

**catatan**  
Mulai 26 Maret 2026, Grup Aturan Terkelola Anti DDo S (anti-DDoS AMR) untuk AWS WAF menjadi solusi default untuk perlindungan terhadap serangan banjir permintaan HTTP (lihat blog peluncuran [Anti- DDo S AMR](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-the-aws-waf-application-layer-ddos-protection/)). Ini menggantikan fitur Layer 7 Auto Mitigation (L7AM). Jika Anda adalah pelanggan Shield Advanced yang sudah ada, Anda dapat terus menggunakan solusi lama dengan AWS akun yang ada atau yang baru. Namun, kami mendorong Anda untuk mengadopsi Grup Aturan Terkelola Anti DDo S. Grup Aturan Terkelola Anti DDo S mendeteksi dan mengurangi serangan dalam hitungan detik, bukan menit. Jika Anda adalah pelanggan baru Shield Advanced dan memerlukan akses ke solusi lama, hubungi AWS Support.

Halaman ini memperkenalkan topik mitigasi lapisan aplikasi DDo S otomatis dan daftar peringatan terkait.

Anda dapat mengonfigurasi Shield Advanced untuk merespons secara otomatis untuk mengurangi serangan lapisan aplikasi (lapisan 7) terhadap sumber daya lapisan aplikasi Anda yang dilindungi, dengan menghitung atau memblokir permintaan web yang merupakan bagian dari serangan. Opsi ini merupakan tambahan untuk perlindungan lapisan aplikasi yang Anda tambahkan melalui Shield Advanced dengan ACL AWS WAF web dan aturan berbasis tarif Anda sendiri. 

Saat mitigasi otomatis diaktifkan untuk sumber daya, Shield Advanced mempertahankan grup aturan di ACL web terkait sumber daya tempat ia mengelola aturan mitigasi atas nama sumber daya. Grup aturan berisi aturan berbasis tarif yang melacak volume permintaan dari alamat IP yang dikenal sebagai sumber serangan DDo S. 

Selain itu, Shield Advanced membandingkan pola lalu lintas saat ini dengan garis dasar lalu lintas bersejarah untuk mendeteksi penyimpangan yang mungkin mengindikasikan serangan S. DDo Shield Advanced merespons serangan DDo S yang terdeteksi dengan membuat, mengevaluasi, dan menerapkan AWS WAF aturan khusus tambahan dalam grup aturan. 

## Peringatan untuk menggunakan mitigasi lapisan DDo S aplikasi otomatis
<a name="ddos-automatic-app-layer-response-caveats"></a>

Daftar berikut menjelaskan peringatan mitigasi lapisan DDo S aplikasi otomatis Shield Advanced, dan menjelaskan langkah-langkah yang mungkin ingin Anda ambil sebagai tanggapan.
+ Mitigasi lapisan aplikasi DDo S otomatis hanya berfungsi dengan paket perlindungan (web ACLs) yang dibuat menggunakan versi terbaru AWS WAF (v2). 
+ Shield Advanced membutuhkan waktu untuk menetapkan garis dasar lalu lintas normal dan historis aplikasi Anda, yang dimanfaatkannya untuk mendeteksi dan mengisolasi lalu lintas serangan dari lalu lintas normal, untuk mengurangi lalu lintas serangan. Waktu untuk menetapkan baseline adalah antara 24 jam dan 30 hari sejak Anda mengaitkan ACL web dengan sumber daya aplikasi yang dilindungi. Untuk informasi tambahan tentang garis dasar lalu lintas, lihat. [Daftar faktor yang memengaruhi deteksi dan mititgasi peristiwa lapisan aplikasi dengan Shield Advanced](ddos-app-layer-detection-mitigation.md)
+ Mengaktifkan mitigasi lapisan aplikasi DDo S otomatis menambahkan grup aturan ke paket perlindungan Anda (web ACL) yang menggunakan 150 unit kapasitas ACL web (). WCUs Ini WCUs dihitung terhadap penggunaan WCU dalam paket perlindungan Anda (web ACL). Untuk informasi selengkapnya, lihat [Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md), dan [Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md).
+ Grup aturan Shield Advanced menghasilkan AWS WAF metrik, tetapi tidak tersedia untuk dilihat. Ini sama dengan grup aturan lain yang Anda gunakan dalam paket perlindungan (web ACL) tetapi tidak dimiliki, seperti grup aturan Aturan AWS Terkelola. Untuk informasi selengkapnya tentang AWS WAF metrik, lihat[AWS WAF metrik dan dimensi](waf-metrics.md). Untuk informasi tentang opsi perlindungan Shield Advanced ini, lihat[Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](#ddos-automatic-app-layer-response). 
+ Untuk web ACLs yang melindungi banyak sumber daya, mitigasi otomatis hanya menerapkan mitigasi khusus yang tidak berdampak negatif terhadap sumber daya yang dilindungi. 
+ Waktu antara dimulainya serangan DDo S dan ketika Shield Advanced menempatkan aturan mitigasi otomatis kustom bervariasi dengan setiap peristiwa. Beberapa serangan DDo S mungkin berakhir sebelum aturan khusus diterapkan. Serangan lain mungkin terjadi ketika mitigasi sudah ada, dan mungkin dikurangi dengan aturan tersebut sejak awal acara. Selain itu, aturan berbasis tarif di grup aturan ACL dan Shield Advanced web dapat mengurangi lalu lintas serangan sebelum terdeteksi sebagai peristiwa yang mungkin terjadi. 
+ Untuk Application Load Balancer yang menerima lalu lintas apa pun melalui jaringan pengiriman konten (CDN), seperti Amazon CloudFront, kemampuan mitigasi otomatis lapisan aplikasi dari Shield Advanced untuk sumber daya Application Load Balancer tersebut akan berkurang. Shield Advanced menggunakan atribut lalu lintas klien untuk mengidentifikasi dan mengisolasi lalu lintas serangan dari lalu lintas normal ke aplikasi Anda, dan CDNs mungkin tidak mempertahankan atau meneruskan atribut lalu lintas klien asli. Jika Anda menggunakan CloudFront, kami sarankan mengaktifkan mitigasi otomatis pada distribusi. CloudFront 
+ Mitigasi lapisan aplikasi DDo S otomatis tidak berinteraksi dengan kelompok perlindungan. Anda dapat mengaktifkan mitigasi otomatis untuk sumber daya yang ada di grup perlindungan, tetapi Shield Advanced tidak secara otomatis menerapkan mitigasi serangan berdasarkan temuan kelompok perlindungan. Shield Advanced menerapkan mitigasi serangan otomatis untuk sumber daya individu.

**Contents**
+ [Peringatan untuk menggunakan mitigasi lapisan DDo S aplikasi otomatis](#ddos-automatic-app-layer-response-caveats)
+ [Praktik terbaik untuk menggunakan mitigasi lapisan DDo S aplikasi otomatis](ddos-automatic-app-layer-response-bp.md)
+ [Mengaktifkan mitigasi lapisan DDo S aplikasi otomatis](ddos-automatic-app-layer-response-config.md)
  + [Apa yang terjadi ketika Anda mengaktifkan mitigasi otomatis](ddos-automatic-app-layer-response-config.md#ddos-automatic-app-layer-response-enable)
+ [Bagaimana Shield Advanced mengelola mitigasi otomatis](ddos-automatic-app-layer-response-behavior.md)
  + [Bagaimana Shield Advanced merespons serangan DDo S dengan mitigasi otomatis](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-ddos-attack)
  + [Bagaimana Shield Advanced mengelola pengaturan tindakan aturan](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)
  + [Bagaimana Shield Advanced mengelola mitigasi saat serangan mereda](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-after-attack)
  + [Apa yang terjadi ketika Anda menonaktifkan mitigasi otomatis](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-disable)
+ [Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md)
+ [Melihat konfigurasi mitigasi lapisan aplikasi DDo S otomatis untuk sumber daya](view-automatic-app-layer-response-configuration.md)
+ [Mengaktifkan dan menonaktifkan mitigasi lapisan aplikasi S otomatis DDo](enable-disable-automatic-app-layer-response.md)
+ [Mengubah tindakan yang digunakan untuk mitigasi lapisan DDo S aplikasi otomatis](change-action-of-automatic-app-layer-response.md)
+ [Menggunakan AWS CloudFormation dengan mitigasi lapisan DDo S aplikasi otomatis](manage-automatic-mitigation-in-cfn.md)

# Praktik terbaik untuk menggunakan mitigasi lapisan DDo S aplikasi otomatis
<a name="ddos-automatic-app-layer-response-bp"></a>

Patuhi panduan yang disediakan di bagian ini saat Anda menggunakan mitigasi otomatis.

**Manajemen perlindungan umum**  
Ikuti panduan ini untuk merencanakan dan menerapkan perlindungan mitigasi otomatis Anda.
+ Kelola semua perlindungan mitigasi otomatis Anda baik melalui Shield Advanced atau, jika Anda menggunakannya AWS Firewall Manager untuk mengelola pengaturan mitigasi otomatis Shield Advanced, melalui Firewall Manager. Jangan mencampur penggunaan Shield Advanced dan Firewall Manager untuk mengelola perlindungan ini.
+ Kelola sumber daya serupa menggunakan pengaturan web ACLs dan perlindungan yang sama, dan kelola sumber daya yang berbeda menggunakan web ACLs yang berbeda. Ketika Shield Advanced mengurangi serangan DDo S pada sumber daya yang dilindungi, ia mendefinisikan aturan untuk ACL web yang terkait dengan sumber daya dan kemudian menguji aturan terhadap lalu lintas semua sumber daya yang terkait dengan ACL web. Shield Advanced hanya akan menerapkan aturan jika aturan tersebut tidak berdampak negatif terhadap sumber daya terkait. Untuk informasi selengkapnya, lihat [Bagaimana Shield Advanced mengelola mitigasi otomatis](ddos-automatic-app-layer-response-behavior.md).
+ Untuk Application Load Balancer yang memiliki semua lalu lintas internet mereka diproksi melalui CloudFront distribusi Amazon, hanya aktifkan mitigasi otomatis pada distribusi. CloudFront CloudFront Distribusi akan selalu memiliki jumlah atribut lalu lintas asli terbesar, yang dimanfaatkan Shield Advanced untuk mengurangi serangan. 

**Pengoptimalan deteksi dan mitigasi**  
Ikuti panduan ini untuk mengoptimalkan perlindungan yang diberikan mitigasi otomatis terhadap sumber daya yang dilindungi. Untuk ikhtisar deteksi dan mitigasi lapisan aplikasi, lihat. [Daftar faktor yang memengaruhi deteksi dan mititgasi peristiwa lapisan aplikasi dengan Shield Advanced](ddos-app-layer-detection-mitigation.md)
+ Konfigurasikan pemeriksaan kesehatan untuk sumber daya yang dilindungi dan gunakan untuk mengaktifkan deteksi berbasis kesehatan di perlindungan Shield Advanced Anda. Untuk panduan, lihat [Deteksi berbasis kesehatan menggunakan pemeriksaan kesehatan dengan Shield Advanced dan Route 53](ddos-advanced-health-checks.md).
+ Aktifkan mitigasi otomatis dalam Count mode hingga Shield Advanced menetapkan garis dasar untuk lalu lintas normal dan bersejarah. Shield Advanced membutuhkan dari 24 jam hingga 30 hari untuk menetapkan baseline. 

  Menetapkan dasar pola lalu lintas normal membutuhkan hal-hal berikut: 
  + Asosiasi ACL web dengan sumber daya yang dilindungi. Anda dapat menggunakan AWS WAF langsung untuk mengaitkan ACL web Anda atau Anda dapat meminta Shield Advanced mengaitkannya saat Anda mengaktifkan perlindungan lapisan aplikasi Shield Advanced dan menentukan ACL web yang akan digunakan. 
  + Arus lalu lintas normal ke aplikasi Anda yang dilindungi. Jika aplikasi Anda tidak mengalami lalu lintas normal, seperti sebelum aplikasi diluncurkan atau jika tidak memiliki lalu lintas produksi untuk jangka waktu yang lama, data historis tidak dapat dikumpulkan.

**Manajemen ACL web**  
Ikuti panduan ini untuk mengelola web ACLs yang Anda gunakan dengan mitigasi otomatis.
+ Jika Anda perlu mengganti ACL web yang terkait dengan sumber daya yang dilindungi, buat perubahan berikut secara berurutan: 

  1. Di Shield Advanced, nonaktifkan mitigasi otomatis. 

  1. Di AWS WAF, pisahkan ACL web lama dan kaitkan ACL web baru. 

  1. Di Shield Advanced, aktifkan mitigasi otomatis. 

  Shield Advanced tidak secara otomatis mentransfer mitigasi otomatis dari ACL web lama ke yang baru. 
+ Jangan hapus aturan grup aturan apa pun dari web Anda ACLs yang namanya dimulai`ShieldMitigationRuleGroup`. Jika Anda menghapus grup aturan ini, Anda menonaktifkan perlindungan yang disediakan oleh mitigasi otomatis Shield Advanced untuk setiap sumber daya yang terkait dengan ACL web. Selain itu, diperlukan Shield Advanced beberapa waktu untuk menerima pemberitahuan perubahan dan memperbarui pengaturannya. Selama waktu ini, halaman konsol Shield Advanced akan memberikan informasi yang salah. 

  Untuk informasi selengkapnya tentang grup aturan, lihat[Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md). 
+ Jangan mengubah nama aturan grup aturan yang namanya dimulai dengan`ShieldMitigationRuleGroup`. Melakukannya dapat mengganggu perlindungan yang diberikan oleh mitigasi otomatis Shield Advanced melalui ACL web. 
+ Saat Anda membuat aturan dan grup aturan, jangan gunakan nama yang dimulai dengan`ShieldMitigationRuleGroup`. String ini digunakan oleh Shield Advanced untuk mengelola mitigasi otomatis Anda. 
+ Dalam pengelolaan aturan ACL web Anda, jangan tetapkan pengaturan prioritas 10.000.000. Shield Advanced menetapkan pengaturan prioritas ini ke aturan grup aturan mitigasi otomatis saat menambahkannya. 
+ Pertahankan `ShieldMitigationRuleGroup` aturan yang diprioritaskan sehingga berjalan ketika Anda menginginkannya sehubungan dengan aturan lain di ACL web Anda. Shield Advanced menambahkan aturan grup aturan ke ACL web dengan prioritas 10.000.000, untuk menjalankan aturan Anda yang lain. Jika Anda menggunakan wizard AWS WAF konsol untuk mengelola ACL web Anda, sesuaikan pengaturan prioritas sesuai kebutuhan setelah Anda menambahkan aturan ke ACL web. 
+ Jika Anda menggunakan AWS CloudFormation untuk mengelola web Anda ACLs, Anda tidak perlu mengelola `ShieldMitigationRuleGroup` aturan grup aturan. Ikuti bimbingan di[Menggunakan AWS CloudFormation dengan mitigasi lapisan DDo S aplikasi otomatis](manage-automatic-mitigation-in-cfn.md).

# Mengaktifkan mitigasi lapisan DDo S aplikasi otomatis
<a name="ddos-automatic-app-layer-response-config"></a>

Halaman ini menjelaskan cara mengkonfigurasi Shield Advanced untuk secara otomatis merespons serangan lapisan aplikasi.

Anda mengaktifkan mitigasi otomatis Shield Advanced sebagai bagian dari perlindungan lapisan aplikasi DDo S untuk sumber daya Anda. Untuk informasi tentang melakukan ini melalui konsol, lihat[Konfigurasikan perlindungan lapisan DDo S aplikasi](manage-protection.md#configure-app-layer-protection).

Fungsionalitas mitigasi otomatis mengharuskan Anda melakukan hal berikut:
+ **Kaitkan ACL web dengan sumber daya** — Ini diperlukan untuk perlindungan lapisan aplikasi Shield Advanced. Anda dapat menggunakan ACL web yang sama untuk beberapa sumber daya. Kami merekomendasikan melakukan ini hanya untuk sumber daya yang memiliki lalu lintas serupa. Untuk informasi tentang webACLs, termasuk persyaratan untuk menggunakannya dengan beberapa sumber daya, lihat[Bagaimana cara AWS WAF kerja](how-aws-waf-works.md).
+ **Aktifkan dan konfigurasikan mitigasi DDo S lapisan aplikasi otomatis Shield Advanced** — Saat Anda mengaktifkan ini, Anda menentukan apakah Anda ingin Shield Advanced memblokir atau menghitung permintaan web secara otomatis yang ditentukan sebagai bagian dari serangan DDo S. Shield Advanced menambahkan grup aturan ke ACL web terkait dan menggunakannya untuk mengelola responsnya secara dinamis terhadap serangan DDo S pada sumber daya. Untuk informasi tentang opsi tindakan aturan, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md).
+ **(Opsional, tetapi disarankan) Tambahkan aturan berbasis tarif ke ACL web** — Secara default, aturan berbasis tarif menyediakan sumber daya Anda dengan perlindungan dasar terhadap serangan DDo S dengan mencegah alamat IP individual mengirim terlalu banyak permintaan dalam waktu singkat. Untuk informasi tentang aturan berbasis tarif, termasuk opsi dan contoh agregasi permintaan kustom, lihat. [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md)

## Apa yang terjadi ketika Anda mengaktifkan mitigasi otomatis
<a name="ddos-automatic-app-layer-response-enable"></a>

Shield Advanced melakukan hal berikut ketika Anda mengaktifkan mitigasi otomatis: 
+ Jika **diperlukan, tambahkan grup aturan untuk penggunaan Shield Advanced** — Jika ACL AWS WAF web yang Anda kaitkan dengan sumber daya belum memiliki AWS WAF aturan grup aturan yang didedikasikan untuk mitigasi lapisan DDo S aplikasi otomatis, Shield Advanced menambahkannya. 

  Nama aturan grup aturan dimulai dengan`ShieldMitigationRuleGroup`. Grup aturan selalu berisi aturan berbasis tingkat bernama`ShieldKnownOffenderIPRateBasedRule`, yang membatasi volume permintaan dari alamat IP yang dikenal sebagai sumber serangan DDo S. Untuk detail tambahan tentang grup aturan Shield Advanced dan aturan ACL web yang mereferensikannya, lihat[Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md).
+ **Mulai merespons serangan DDo S terhadap sumber daya** — Shield Advanced secara otomatis merespons serangan DDo S untuk sumber daya yang dilindungi. Selain aturan berbasis tarif, yang selalu ada, Shield Advanced menggunakan grup aturannya untuk menerapkan AWS WAF aturan khusus untuk mitigasi serangan DDo S. Shield Advanced menyesuaikan aturan ini dengan aplikasi Anda dan serangan yang dialami aplikasi Anda, dan mengujinya terhadap lalu lintas historis sumber daya sebelum menerapkannya. 

Shield Advanced menggunakan aturan grup aturan tunggal di ACL web apa pun yang Anda gunakan untuk mitigasi otomatis. Jika Shield Advanced telah menambahkan grup aturan untuk sumber daya lain yang dilindungi, itu tidak menambahkan grup aturan lain ke ACL web. 

Mitigasi lapisan aplikasi DDo S otomatis tergantung pada keberadaan kelompok aturan untuk mengurangi serangan. Jika grup aturan dihapus dari ACL AWS WAF web karena alasan apa pun, penghapusan menonaktifkan mitigasi otomatis untuk semua sumber daya yang terkait dengan ACL web.

# Bagaimana Shield Advanced mengelola mitigasi otomatis
<a name="ddos-automatic-app-layer-response-behavior"></a>

Topik di bagian ini menjelaskan bagaimana Shield Advanced menangani perubahan konfigurasi Anda untuk mitigasi lapisan DDo S aplikasi otomatis dan cara menangani serangan DDo S saat mitigasi otomatis diaktifkan. 

**Topics**
+ [Bagaimana Shield Advanced merespons serangan DDo S dengan mitigasi otomatis](#ddos-automatic-app-layer-response-ddos-attack)
+ [Bagaimana Shield Advanced mengelola pengaturan tindakan aturan](#ddos-automatic-app-layer-response-rule-action)
+ [Bagaimana Shield Advanced mengelola mitigasi saat serangan mereda](#ddos-automatic-app-layer-response-after-attack)
+ [Apa yang terjadi ketika Anda menonaktifkan mitigasi otomatis](#ddos-automatic-app-layer-response-disable)

## Bagaimana Shield Advanced merespons serangan DDo S dengan mitigasi otomatis
<a name="ddos-automatic-app-layer-response-ddos-attack"></a>

Bila Anda mengaktifkan mitigasi otomatis pada sumber daya yang dilindungi, aturan berbasis laju di `ShieldKnownOffenderIPRateBasedRule` grup aturan Shield Advanced merespons secara otomatis volume lalu lintas yang meningkat dari sumber S yang diketahui. DDo Pembatasan kecepatan ini diterapkan dengan cepat dan bertindak sebagai pertahanan garis depan terhadap serangan. 

Ketika Shield Advanced mendeteksi serangan, ia melakukan hal berikut:

1. Mencoba mengidentifikasi tanda tangan serangan yang mengisolasi lalu lintas serangan dari lalu lintas normal ke aplikasi Anda. Tujuannya adalah untuk menghasilkan aturan mitigasi DDo S berkualitas tinggi yang, ketika ditempatkan, hanya memengaruhi lalu lintas serangan dan tidak memengaruhi lalu lintas normal ke aplikasi Anda.

1. Mengevaluasi tanda tangan serangan yang diidentifikasi terhadap pola lalu lintas historis untuk sumber daya yang diserang serta untuk sumber daya lain yang terkait dengan ACL web yang sama. Shield Advanced melakukan ini sebelum menerapkan aturan apa pun sebagai respons terhadap acara tersebut. 

   Bergantung pada hasil evaluasi, Shield Advanced melakukan salah satu hal berikut: 
   + Jika Shield Advanced menentukan bahwa tanda tangan serangan hanya mengisolasi lalu lintas yang terlibat dalam serangan DDo S, itu mengimplementasikan tanda tangan dalam AWS WAF aturan dalam grup aturan mitigasi Shield Advanced di ACL web. Shield Advanced memberikan aturan ini setelan tindakan yang telah Anda konfigurasikan untuk mitigasi otomatis sumber daya - salah satu atauCount. Block
   + Jika tidak, Shield Advanced tidak menempatkan mitigasi.

Selama serangan, Shield Advanced mengirimkan notifikasi yang sama dan memberikan informasi acara yang sama seperti untuk perlindungan lapisan aplikasi Shield Advanced dasar. Anda dapat melihat informasi tentang peristiwa dan serangan DDo S, dan tentang mitigasi Shield Advanced untuk serangan, di konsol acara Shield Advanced. Untuk informasi, lihat [Visibilitas ke acara DDo S dengan Shield Advanced](ddos-viewing-events.md). 

Jika Anda telah mengonfigurasi mitigasi otomatis untuk menggunakan tindakan Block aturan dan Anda mengalami kesalahan positif dari aturan mitigasi yang telah diterapkan Shield Advanced, Anda dapat mengubah tindakan aturan menjadi. Count Untuk informasi tentang cara ini, lihat[Mengubah tindakan yang digunakan untuk mitigasi lapisan DDo S aplikasi otomatis](change-action-of-automatic-app-layer-response.md). 

## Bagaimana Shield Advanced mengelola pengaturan tindakan aturan
<a name="ddos-automatic-app-layer-response-rule-action"></a>

Anda dapat mengatur tindakan aturan untuk mitigasi otomatis Anda ke atau. Block Count 

Saat Anda mengubah setelan tindakan aturan mitigasi otomatis untuk sumber daya yang dilindungi, Shield Advanced memperbarui semua setelan aturan untuk sumber daya. Ini memperbarui aturan apa pun yang saat ini ada untuk sumber daya di grup aturan Shield Advanced dan menggunakan setelan tindakan baru saat membuat aturan baru. 

Untuk sumber daya yang menggunakan ACL web yang sama, jika Anda menentukan tindakan yang berbeda, Shield Advanced menggunakan setelan Block tindakan untuk aturan berbasis laju grup aturan. `ShieldKnownOffenderIPRateBasedRule` Shield Advanced membuat dan mengelola aturan lain dalam grup aturan atas nama sumber daya tertentu yang dilindungi, dan menggunakan setelan tindakan yang telah Anda tentukan untuk sumber daya tersebut. Semua aturan dalam grup aturan Shield Advanced di ACL web diterapkan pada lalu lintas web dari semua sumber daya terkait. 

Mengubah pengaturan tindakan dapat memakan waktu beberapa detik untuk menyebar. Selama waktu ini, Anda mungkin melihat pengaturan lama di beberapa tempat di mana grup aturan sedang digunakan, dan pengaturan baru di tempat lain. 

Anda dapat mengubah pengaturan tindakan aturan untuk konfigurasi mitigasi otomatis di halaman peristiwa konsol, dan melalui halaman konfigurasi lapisan aplikasi. Untuk informasi tentang halaman acara, lihat[Menanggapi peristiwa DDo S di AWS](ddos-responding.md). Untuk informasi tentang halaman konfigurasi, lihat[Konfigurasikan perlindungan lapisan DDo S aplikasi](manage-protection.md#configure-app-layer-protection).

## Bagaimana Shield Advanced mengelola mitigasi saat serangan mereda
<a name="ddos-automatic-app-layer-response-after-attack"></a>

Ketika Shield Advanced menentukan bahwa aturan mitigasi yang digunakan untuk serangan tertentu tidak lagi diperlukan, itu akan menghapusnya dari grup aturan mitigasi Shield Advanced. 

Penghapusan aturan mitigasi tidak selalu bertepatan dengan akhir serangan. Shield Advanced memantau pola serangan yang dideteksi pada sumber daya Anda yang dilindungi. Ini mungkin secara proaktif bertahan terhadap terulangnya serangan dengan tanda tangan tertentu dengan menjaga aturan yang telah dikerahkan terhadap kejadian awal serangan itu di tempat. Sesuai kebutuhan, Shield Advanced meningkatkan jendela waktu agar aturan tetap berlaku. Dengan cara ini, Shield Advanced dapat mengurangi serangan berulang dengan tanda tangan tertentu sebelum memengaruhi sumber daya Anda yang dilindungi. 

Shield Advanced tidak pernah menghapus aturan berbasis kecepatan`ShieldKnownOffenderIPRateBasedRule`, yang membatasi volume permintaan dari alamat IP yang dikenal sebagai sumber serangan DDo S. 

## Apa yang terjadi ketika Anda menonaktifkan mitigasi otomatis
<a name="ddos-automatic-app-layer-response-disable"></a>

Shield Advanced melakukan hal berikut saat Anda menonaktifkan mitigasi otomatis untuk sumber daya: 
+ **Berhenti merespons serangan DDo S secara otomatis** — Shield Advanced menghentikan aktivitas respons otomatisnya untuk sumber daya.
+ **Menghapus aturan yang tidak diperlukan dari grup aturan Shield Advanced** — Jika Shield Advanced mempertahankan aturan apa pun dalam grup aturan terkelolanya atas nama sumber daya yang dilindungi, aturan tersebut akan menghapusnya. 
+ **Menghapus grup aturan Shield Advanced, jika tidak lagi digunakan** — Jika ACL web yang Anda kaitkan dengan sumber daya tidak terkait dengan sumber daya lain yang mengaktifkan mitigasi otomatis, Shield Advanced menghapus aturan grup aturannya dari ACL web. 

# Melindungi layer aplikasi dengan grup aturan Shield Advanced
<a name="ddos-automatic-app-layer-response-rg"></a>

Halaman ini menjelaskan cara kerja grup aturan Shield Advanced di ACL web Anda.

Shield Advanced mengelola aktivitas mitigasi otomatis menggunakan aturan dalam grup aturan yang dimiliki dan dikelola untuk Anda. Shield Advanced mereferensikan grup aturan dengan aturan di ACL web yang telah Anda kaitkan dengan sumber daya yang dilindungi. 

**Aturan grup aturan di ACL web Anda**  
Aturan grup aturan Shield Advanced di ACL web Anda memiliki properti berikut:
+ **Nama** – `ShieldMitigationRuleGroup``_account-id_web-acl-id_unique-identifier`
+ **Unit kapasitas ACL Web (WCU) - 150**. Ini WCUs dihitung terhadap penggunaan WCU di ACL web Anda. 

Shield Advanced membuat aturan ini di ACL web Anda dengan pengaturan prioritas 10.000.000, sehingga berjalan setelah aturan dan grup aturan Anda yang lain di ACL web. AWS WAF menjalankan aturan di ACL web dari pengaturan prioritas numerik terendah di atas. Selama pengelolaan ACL web Anda, pengaturan prioritas ini mungkin berubah. 

Fungsionalitas mitigasi otomatis tidak menggunakan AWS WAF sumber daya tambahan apa pun di akun Anda, selain yang WCUs digunakan oleh grup aturan di ACL web Anda. Misalnya, grup aturan Shield Advanced tidak dihitung sebagai salah satu grup aturan akun Anda. Untuk informasi tentang batas akun di AWS WAF, lihat[AWS WAF kuota](limits.md).

**Aturan dalam kelompok aturan**  
Dalam grup aturan Shield Advanced yang direferensikan, Shield Advanced mempertahankan aturan berbasis kecepatan`ShieldKnownOffenderIPRateBasedRule`, yang membatasi volume permintaan dari alamat IP yang dikenal sebagai sumber serangan S. DDo Aturan ini berfungsi sebagai garis pertahanan pertama terhadap serangan apa pun, karena selalu ada dalam kelompok aturan dan tidak bergantung pada analisis pola lalu lintas untuk menahan serangan. Tindakan aturan ini diatur ke tindakan yang Anda pilih untuk mitigasi otomatis, seperti aturan lain dalam grup aturan. Untuk informasi tentang aturan berbasis tarif, lihat. [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md)

**catatan**  
Aturan berbasis tarif `ShieldKnownOffenderIPRateBasedRule` beroperasi secara independen dari deteksi peristiwa Shield Advanced. Sementara mitigasi otomatis diaktifkan, tingkat aturan ini membatasi alamat IP yang dikenal sebagai sumber serangan DDo S. Untuk alamat IP ini, pembatasan laju aturan dapat mencegah serangan dan juga mencegah serangan muncul di informasi deteksi Shield Advanced. Trade off ini mendukung pencegahan daripada visibilitas lengkap ke dalam pola serangan. 

Selain aturan berbasis tarif permanen yang dijelaskan di atas, grup aturan berisi aturan apa pun yang saat ini digunakan Shield Advanced untuk mengurangi serangan S DDo. Shield Advanced menambahkan, memodifikasi, dan menghapus aturan ini sesuai kebutuhan. Untuk informasi, lihat [Bagaimana Shield Advanced mengelola mitigasi otomatis](ddos-automatic-app-layer-response-behavior.md).

**Metrik-metrik**  
Grup aturan menghasilkan AWS WAF metrik, tetapi karena grup aturan ini dimiliki oleh Shield Advanced, metrik ini tidak tersedia untuk dilihat. Lihat informasi yang lebih lengkap di [AWS WAF metrik dan dimensi](waf-metrics.md).

# Melihat konfigurasi mitigasi lapisan aplikasi DDo S otomatis untuk sumber daya
<a name="view-automatic-app-layer-response-configuration"></a>

Anda dapat melihat konfigurasi mitigasi lapisan aplikasi DDo S otomatis untuk sumber daya di halaman Sumber **daya yang dilindungi** dan di halaman perlindungan individual. 

**Untuk melihat konfigurasi mitigasi lapisan aplikasi DDo S otomatis**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Sumber daya yang dilindungi**. Dalam daftar sumber daya yang dilindungi, kolom Mitigasi **lapisan aplikasi otomatis DDo S menunjukkan apakah mitigasi** otomatis diaktifkan dan, jika diaktifkan, tindakan yang akan digunakan Shield Advanced dalam mitigasinya. 

   Anda juga dapat memilih sumber daya lapisan aplikasi apa pun untuk melihat informasi yang sama yang tercantum di halaman perlindungan untuk sumber daya. 

# Mengaktifkan dan menonaktifkan mitigasi lapisan aplikasi S otomatis DDo
<a name="enable-disable-automatic-app-layer-response"></a>

Prosedur berikut menunjukkan cara mengaktifkan atau menonaktifkan respons otomatis untuk sumber daya yang dilindungi. 

**Untuk mengaktifkan atau menonaktifkan mitigasi lapisan aplikasi DDo S otomatis untuk satu sumber daya**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Sumber daya yang dilindungi**.

1. Di tab **Protections**, pilih sumber daya lapisan aplikasi yang ingin Anda aktifkan mitigasi otomatis. Halaman perlindungan terbuka untuk sumber daya. 

1. Di halaman perlindungan sumber daya, pilih **Edit**. 

1. Di halaman **Konfigurasikan mitigasi lapisan 7 DDo S untuk sumber daya global - *opsional***, untuk **Mitigasi lapisan aplikasi DDo S otomatis**, pilih opsi yang ingin Anda gunakan untuk mitigasi otomatis. Opsi di konsol adalah sebagai berikut: 
   + **Pertahankan pengaturan saat ini** — Jangan membuat perubahan pada pengaturan mitigasi otomatis dari sumber daya yang dilindungi. 
   + **Aktifkan** - Aktifkan mitigasi otomatis untuk sumber daya yang dilindungi. Saat Anda memilih ini, pilih juga tindakan aturan yang Anda inginkan untuk digunakan mitigasi otomatis dalam aturan ACL web. Untuk informasi tentang pengaturan tindakan aturan, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md).

     Jika sumber daya yang dilindungi belum memiliki riwayat lalu lintas aplikasi normal, aktifkan mitigasi otomatis dalam Count mode hingga Shield Advanced dapat membuat baseline. Shield Advanced mulai mengumpulkan informasi untuk baseline ketika Anda mengaitkan ACL web dengan sumber daya yang dilindungi, dan dapat memakan waktu 24 jam hingga 30 hari untuk menetapkan garis dasar lalu lintas normal yang baik.
   + **Nonaktifkan** - Nonaktifkan mitigasi otomatis untuk sumber daya yang dilindungi. 

1. Berjalanlah melalui sisa halaman sampai Anda selesai dan simpan konfigurasi. 

Di halaman **Perlindungan**, pengaturan mitigasi otomatis diperbarui untuk sumber daya.

# Mengubah tindakan yang digunakan untuk mitigasi lapisan DDo S aplikasi otomatis
<a name="change-action-of-automatic-app-layer-response"></a>

Anda dapat mengubah tindakan yang digunakan Shield Advanced untuk respons otomatis lapisan aplikasinya di beberapa lokasi di konsol:
+ **Konfigurasi mitigasi otomatis** — Ubah tindakan saat Anda mengonfigurasi mitigasi otomatis untuk sumber daya Anda. Untuk prosedurnya, lihat bagian sebelumnya. [Mengaktifkan dan menonaktifkan mitigasi lapisan aplikasi S otomatis DDo](enable-disable-automatic-app-layer-response.md)
+ **Halaman detail acara** — Ubah tindakan di halaman detail acara, saat Anda melihat informasi acara di konsol. Untuk informasi, lihat [Melihat detail AWS Shield Advanced acara](ddos-event-details.md).

Jika Anda memiliki dua sumber daya terlindungi yang berbagi ACL web, dan Anda menetapkan tindakan Count untuk satu dan Block yang lain, Shield Advanced akan menetapkan tindakan untuk aturan berbasis laju grup aturan. `ShieldKnownOffenderIPRateBasedRule` Block

# Menggunakan AWS CloudFormation dengan mitigasi lapisan DDo S aplikasi otomatis
<a name="manage-automatic-mitigation-in-cfn"></a>

Halaman ini menjelaskan cara menggunakan CloudFormation untuk mengelola perlindungan dan AWS WAF web ACLs Anda. 

**Mengaktifkan atau menonaktifkan mitigasi lapisan aplikasi S otomatis DDo**  
Anda dapat mengaktifkan dan menonaktifkan mitigasi lapisan aplikasi DDo S otomatis melalui AWS CloudFormation, menggunakan sumber daya. `AWS::Shield::Protection` Efeknya sama seperti ketika Anda mengaktifkan atau menonaktifkan fitur melalui konsol atau antarmuka lainnya. Untuk informasi tentang CloudFormation sumber daya, lihat [AWS::Shield::Protection](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-shield-protection.html)di *panduan AWS CloudFormation pengguna*.

**Mengelola web ACLs yang digunakan dengan mitigasi otomatis**  
Shield Advanced mengelola mitigasi otomatis untuk sumber daya yang dilindungi menggunakan aturan grup aturan di ACL AWS WAF web sumber daya yang dilindungi. Melalui AWS WAF konsol dan APIs, Anda akan melihat aturan yang tercantum dalam aturan ACL web Anda, dengan nama yang dimulai dengan`ShieldMitigationRuleGroup`. Aturan ini didedikasikan untuk mitigasi lapisan DDo S aplikasi otomatis Anda dan dikelola untuk Anda oleh Shield Advanced dan. AWS WAF Untuk informasi selengkapnya, lihat [Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md) dan [Bagaimana Shield Advanced mengelola mitigasi otomatis](ddos-automatic-app-layer-response-behavior.md).

Jika Anda menggunakannya CloudFormation untuk mengelola web ACLs, jangan tambahkan aturan grup aturan Shield Advanced ke template ACL web Anda. Saat Anda memperbarui ACL web yang digunakan dengan perlindungan mitigasi otomatis, AWS WAF secara otomatis mengelola aturan grup aturan di ACL web. 

Anda akan melihat perbedaan berikut dibandingkan dengan web lain ACLs yang Anda kelola melalui CloudFormation:
+ CloudFormation tidak akan melaporkan penyimpangan apa pun dalam status stack drift antara konfigurasi ACL web yang sebenarnya, dengan aturan grup aturan Shield Advanced, dan template ACL web Anda, tanpa aturan. Aturan Shield Advanced tidak akan muncul di daftar sebenarnya untuk sumber daya dalam detail drift. 

  Anda akan dapat melihat aturan grup aturan Shield Advanced dalam daftar ACL web yang Anda ambil AWS WAF, seperti melalui AWS WAF konsol atau. AWS WAF APIs
+ Jika Anda memodifikasi template ACL web dalam tumpukan, AWS WAF dan Shield Advanced secara otomatis mempertahankan aturan mitigasi otomatis Shield Advanced di ACL web yang diperbarui. Perlindungan mitigasi otomatis yang disediakan oleh Shield Advanced tidak terganggu oleh pembaruan Anda ke ACL web.

Jangan mengelola aturan Shield Advanced di template ACL CloudFormation web Anda. Template ACL web tidak boleh mencantumkan aturan Shield Advanced. Ikuti praktik terbaik untuk manajemen ACL web di[Praktik terbaik untuk menggunakan mitigasi lapisan DDo S aplikasi otomatis](ddos-automatic-app-layer-response-bp.md).