アプリケーションレイヤー DDoS 自動緩和の有効化

[Associate a web ACL with the resource] (ウェブ ACL をリソースに関連付ける) – これは、Shield Advanced アプリケーションレイヤー保護のために必須です。複数のリソースに同じウェブ ACL を使用できます。同様のトラフィックを持つリソースについてのみ、これを行うことをお勧めします。ウェブ ACL を複数のリソースで使用するための要件など、ウェブ ACL の詳細については、「AWS WAF の仕組み」を参照してください。

[Enable and configure Shield Advanced automatic application layer DDoS mitigation] (Shield Advanced アプリケーションレイヤー DDoS 自動緩和を有効にして設定する) – これを有効にする際に、Shield Advanced が DDoS 攻撃の一部であると判断したウェブリクエストを自動的にブロックまたはカウントするかどうかを指定します。Shield Advanced は、関連付けられたウェブ ACL にルールグループを追加し、それを使用して、リソースに対する DDoS 攻撃に対する対応を動的に管理します。ルールアクションのオプションについては、「AWS WAF でのルールアクションの使用」を参照してください。

(オプションですが、推奨されます) ウェブ ACL にレートベースのルールを追加する – デフォルトでは、レートベースのルールは、個々の IP アドレスによる短時間の大量リクエスト送信を防ぐことで、DDoS 攻撃に対する基本的な保護をリソースに提供します。カスタムリクエストの集約オプションや例など、レートベースのルールの詳細については、「AWS WAF でのレートベースのルールステートメントの使用」を参照してください。

[As needed, adds a rule group for Shield Advanced use] (必要に応じて、Shield Advanced で使用するルールグループを追加) – リソースに関連付けた AWS WAF ウェブ ACL に、アプリケーションレイヤー DDoS 自動緩和専用の AWS WAF ルールグループルールがまだない場合、Shield Advanced はそれを 1 つ追加します。

グループルールのルール名は ShieldMitigationRuleGroup で始まります。ルールグループには常に ShieldKnownOffenderIPRateBasedRule という名前のレートベースのルールが含まれており、DDoS 攻撃のソースであることが判明している IP アドレスからのリクエストの量を制限します。Shield Advanced ルールグループと参照するウェブ ACL ルールの詳細については、「Shield Advanced ルールグループによるアプリケーションレイヤーの保護」を参照してください。

[Starts responding to DDoS attacks against the resource] (リソースに対する DDoS 攻撃への対応を開始) – Shield Advanced は、保護されたリソースに対する DDoS 攻撃に自動的に対応します。常に存在するレートベースのルールに加えて、Shield Advanced はルールグループを使用して DDoS 攻撃を軽減するためのカスタム AWS WAF ルールを展開します。Shield Advanced は、これらのルールをアプリケーションとアプリケーションが経験する攻撃に合わせて調整し、デプロイする前にリソースの過去のトラフィックに照らし合わせてテストします。