**の新しいコンソールエクスペリエンスの紹介 AWS WAF**
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和
**注記**
2026 年 3 月 26 日以降、 の Anti-DDoS Managed Rule Group (Anti-DDOS AMR) が HTTP リクエストフラッド攻撃に対する保護のデフォルトソリューション AWS WAF になります ([Anti-DDoS AMR 起動ブログ](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-the-aws-waf-application-layer-ddos-protection/)を参照)。Layer 7 Auto Mitigation (L7AM) 機能よりも優先されます。既存の Shield Advanced のお客様は、既存のアカウントまたは新しい AWS アカウントでレガシーソリューションを引き続き使用できます。ただし、DDoS 対策 DDoS マネージドルールグループを採用することをお勧めします。Anti-DDoS Managed Rule Group は、攻撃を数分ではなく数秒以内に検出して軽減します。Shield Advanced の新規のお客様で、レガシーソリューションへのアクセスが必要な場合は、 AWS サポートにお問い合わせください。
このページでは、アプリケーションレイヤーの自動 DDoS 緩和のトピックを紹介し、関連する規制を一覧表示します。
攻撃の一部であるウェブリクエストをカウントまたはブロックすることで、保護されたアプリケーションレイヤーリソースに対するアプリケーションレイヤー (レイヤー 7) 攻撃を自動的に緩和して対応するよう Shield Advanced を設定できます。このオプションは、 AWS WAF ウェブ ACL と独自のレートベースのルールを使用して Shield Advanced を介して追加するアプリケーションレイヤー保護に追加されます。
リソースの自動緩和が有効になっている場合、Shield Advanced はリソースの関連するウェブ ACL にルールグループを管理し、リソースに代わって緩和ルールを管理します。ルールグループには、DDoS 攻撃のソースであることが判明している IP アドレスからのリクエストの量を追跡するレートベースのルールが含まれています。
さらに、Shield Advanced は、現在のトラフィックパターンと過去のトラフィックベースラインを比較して、DDoS 攻撃を示している可能性のある逸脱を検出します。Shield Advanced は、ルールグループに追加のカスタム AWS WAF ルールを作成、評価、デプロイすることで、検出された DDoS 攻撃に応答します。
## 自動アプリケーションレイヤー DDoS 緩和の使用に関する規制
次のリストでは、Shield Advanced アプリケーションレイヤー DDoS 自動緩和の注意事項と、対応が必要となる可能性があるステップについて説明します。
+ 自動アプリケーションレイヤー DDoS 緩和は、最新バージョンの (v2) を使用して作成された保護パック AWS WAF (ウェブ ACLs) でのみ機能します。
+ Shield Advanced には、アプリケーションの通常の履歴トラフィックのベースラインを確立する時間が必要です。これを活用して、攻撃トラフィックを検出して通常のトラフィックから分離し、攻撃トラフィックを軽減します。ベースラインを確立する時間は、ウェブ ACL を保護されたアプリケーションリソースに関連付ける時点から 24 時間から 30 日の間です。トラフィックベースラインの詳細については、[Shield Advanced によるアプリケーションレイヤーのイベント検出と緩和に影響する要因のリスト](ddos-app-layer-detection-mitigation.md) を参照してください。
+ 自動アプリケーションレイヤー DDoS 緩和を有効にすると、150 個の保護パック (ウェブ ACL) キャパシティユニット (WCU)。これらの WCU は、保護パック (ウェブ ACL) 内の WCU の使用量に対してカウントされます。詳細については「[Shield Advanced ルールグループによるアプリケーションレイヤーの保護](ddos-automatic-app-layer-response-rg.md)」および「[のウェブ ACL キャパシティユニット (WCUs) AWS WAF](aws-waf-capacity-units.md)」を参照してください。
+ Shield Advanced ルールグループは AWS WAF メトリクスを生成しますが、表示することはできません。これは、 AWS マネージドルールルールグループなど、保護パック (ウェブ ACL) で使用する他のルールグループと同じですが、所有していません。 AWS WAF メトリクスの詳細については、「」を参照してください[AWS WAF メトリクスとディメンション](waf-metrics.md)。Shield Advanced 保護オプションの機能については、[Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和](#ddos-automatic-app-layer-response) を参照してください。
+ 複数のリソースを保護するウェブ ACL の場合、自動緩和は、どのリソースにも悪影響をおよぼさないカスタム緩和策のみを展開します。
+ DDoS 攻撃の開始から Shield Advanced がカスタム自動緩和ルールを実行するまでの時間は、各イベントによって異なります。一部の DDoS 攻撃は、カスタムルールがデプロイされる前に終了することがあります。他の攻撃は、緩和策が既に実施されている場合に発生する可能性があるため、これらのルールによってイベントの開始時から緩和される可能性があります。さらに、ウェブ ACL および Shield Advanced ルールグループのレートベースのルールは、潜在的なイベントとして検出される前に、攻撃トラフィックを軽減する可能性があります。
+ Amazon CloudFront などのコンテンツ配信ネットワーク (CDN) を介してトラフィックを受信する Application Load Balancer では、それらの Application Load Balancer リソース向けの Shield Advanced のアプリケーションレイヤーの自動緩和機能は低減します。Shield Advanced は、クライアントトラフィック属性を使用して、アプリケーションへの通常のトラフィックから攻撃トラフィックを識別および分離します。CDN は、元のクライアントトラフィック属性を保持または転送しない場合があります。CloudFront を使用する場合は、CloudFront ディストリビューションで自動緩和策を有効にすることをお勧めします。
+ アプリケーションレイヤー DDoS 自動緩和は、保護グループとインタラクションしません。保護グループに含まれるリソースのために自動緩和を有効にできますが、Shield Advanced は、保護グループの検出結果に基づいて攻撃の緩和策を自動的に適用しません。Shield Advanced は、個々のリソースのために攻撃の自動緩和を適用します。
**Contents**
+ [自動アプリケーションレイヤー DDoS 緩和の使用に関する規制](#ddos-automatic-app-layer-response-caveats)
+ [アプリケーションレイヤー DDoS 自動緩和機能を使用するためのベストプラクティス。](ddos-automatic-app-layer-response-bp.md)
+ [アプリケーションレイヤー DDoS 自動緩和の有効化](ddos-automatic-app-layer-response-config.md)
+ [自動緩和を有効にした場合の実行内容](ddos-automatic-app-layer-response-config.md#ddos-automatic-app-layer-response-enable)
+ [Shield Advanced が自動緩和を管理する方法](ddos-automatic-app-layer-response-behavior.md)
+ [Shield Advanced が自動緩和機能で DDoS 攻撃に対応する方法](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-ddos-attack)
+ [Shield Advanced がルールアクション設定を管理する方法](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)
+ [攻撃が沈静化した場合に Shield Advanced が緩和を管理する方法](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-after-attack)
+ [自動緩和を無効にした場合の実行内容](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-disable)
+ [Shield Advanced ルールグループによるアプリケーションレイヤーの保護](ddos-automatic-app-layer-response-rg.md)
+ [リソースのアプリケーションレイヤー DDoS 自動緩和設定の表示](view-automatic-app-layer-response-configuration.md)
+ [アプリケーションレイヤー DDoS 自動緩和の有効化と無効化](enable-disable-automatic-app-layer-response.md)
+ [アプリケーションレイヤー DDoS 自動緩和に使用されるアクションの変更](change-action-of-automatic-app-layer-response.md)
+ [アプリケーションレイヤー DDoS 自動緩和 AWS CloudFormation での の使用](manage-automatic-mitigation-in-cfn.md)
# アプリケーションレイヤー DDoS 自動緩和機能を使用するためのベストプラクティス。
自動緩和機能を使用する場合は、このセクションに記載されているガイダンスを遵守してください。
**一般的な保護管理**
自動緩和保護を計画および実装する場合は、以下のガイドラインに従ってください。
+ Shield Advanced を通じて、または AWS Firewall Manager を使用して Shield Advanced 自動緩和設定を管理している場合は Firewall Manager を通じて、すべての自動緩和保護を管理します。これらの保護を管理するために Shield Advanced と Firewall Manager を合わせて使用しないでください。
+ 同一のウェブ ACL と保護設定を使用して類似のリソースを管理し、別々のウェブ ACL を使用して類似していないリソースを管理してください。Shield Advanced は、保護されたリソースに対する DDoS 攻撃を緩和する場合、リソースに関連付けられているウェブ ACL のルールを定義し、ウェブ ACL に関連付けられているすべてのリソースのトラフィックに対してルールをテストします。Shield Advanced は、関連付けられたリソースに悪影響を及ぼさない場合にのみルールを適用します。詳細については、「[Shield Advanced が自動緩和を管理する方法](ddos-automatic-app-layer-response-behavior.md)」を参照してください。
+ Amazon CloudFront ディストリビューションを介してすべてのインターネットトラフィックがプロキシされる Application Load Balancer では、CloudFront ディストリビューションでの自動緩和のみを有効にします。CloudFront ディストリビューションが持つ元のトラフィック属性の数は常に最大となります。これは、Shield Advanced が攻撃を緩和するために活用します。
**検出と緩和の最適化**
自動緩和が保護されたリソースに提供する保護を最適化するには、以下のガイドラインに従ってください。アプリケーションレイヤーの検出と緩和の概要については、[Shield Advanced によるアプリケーションレイヤーのイベント検出と緩和に影響する要因のリスト](ddos-app-layer-detection-mitigation.md) を参照してください。
+ 保護されたリソースのヘルスチェックを設定し、それを使用して Shield Advanced 保護でヘルスベースの検出を有効にします。ガイダンスについては、「[Shield Advanced と Route 53 を使用したヘルスチェックを使用したヘルスベースの検出](ddos-advanced-health-checks.md)」を参照してください。
+ Shield Advanced が通常の履歴トラフィックのベースラインを確立するまで、Count モードで自動緩和を有効にします。Shield Advanced では、ベースラインを確立するのに 24 時間から 30 日かかります。
通常のトラフィックパターンのベースラインを確立するには、以下が必要です:
+ ウェブ ACL と保護されたリソースとの関連。を使用してウェブ ACL AWS WAF を直接関連付けるか、Shield Advanced アプリケーションレイヤー保護を有効にして使用するウェブ ACL を指定するときに Shield Advanced に関連付けさせることができます。
+ 保護されたアプリケーションの通常のトラフィックフロー。アプリケーションの起動前など、アプリケーションに通常のトラフィックが発生していない場合や、本番環境のトラフィックが長期間不足している場合、履歴データを収集することはできません。
**ウェブ ACL 管理**
自動緩和で使用されるウェブ ACL を管理するには、以下のガイドラインに従ってください。
+ 保護されたリソースに関連付けられているウェブ ACL を置き換える必要がある場合は、次の変更を順番に行います。
1. Shield Advanced が自動緩和を管理する方法。
1. で AWS WAF、古いウェブ ACL の関連付けを解除し、新しいウェブ ACL を関連付けます。
1. Shield Advanced で自動緩和を管理します。
Shield Advanced は、古いウェブ ACL から新しいウェブ ACL に自動緩和を自動的に転送しません。
+ 名前が `ShieldMitigationRuleGroup` で始まるウェブ ACL からルールグループルールを削除しないでください。このルールグループを削除すると、ウェブ ACL に関連付けられているすべてのリソースについて、Shield Advanced 自動緩和機能によって提供される保護が無効になります。さらに、Shield Advanced が変更の通知を受け取り、設定を更新するのに時間がかかることがあります。この間、Shield Advanced コンソールページには誤った情報が表示されます。
ルールグループの詳細については、「[Shield Advanced ルールグループによるアプリケーションレイヤーの保護](ddos-automatic-app-layer-response-rg.md)」を参照してください。
+ 名前が `ShieldMitigationRuleGroup` で始まるルールグループルールの名前を変更しないでください。変更すると、ウェブ ACL を介して Shield Advanced 自動緩和機能によって提供される保護が妨げられる可能性があります。
+ ルールとルールグループを作成するときには、`ShieldMitigationRuleGroup` で始まる名前を使用しないでください。この文字列は、Shield Advanced が自動緩和を管理するために使用します。
+ ウェブ ACL ルールの管理では、優先順位の設定として 10,000,000 を割り当てないでください。Shield Advanced は、自動緩和ルールグループルールを追加するときに、この優先順位設定をそのルールグループルールに割り当てます。
+ `ShieldMitigationRuleGroup` ルールの優先順位を維持し、ウェブ ACL 内の他のルールと関連して必要なときに実行できるようにします。Shield Advanced は、優先順位を 10,000,000 に設定したルールグループルールをウェブ ACL に追加し、他のルールよりも後に実行します。 AWS WAF コンソールウィザードを使用してウェブ ACL を管理する場合は、ウェブ ACL にルールを追加した後、必要に応じて優先度設定を調整します。
+ AWS CloudFormation を使用してウェブ ACLs を管理する場合、`ShieldMitigationRuleGroup`ルールグループルールを管理する必要はありません。「[アプリケーションレイヤー DDoS 自動緩和 AWS CloudFormation での の使用](manage-automatic-mitigation-in-cfn.md)」のガイダンスに従います。
# アプリケーションレイヤー DDoS 自動緩和の有効化
このページでは、アプリケーションレイヤー攻撃に自動的に対応するように Shield Advanced を設定する方法について説明します。
Shield Advanced 自動緩和機能は、リソースのためのアプリケーションレイヤーの DDoS 保護の一部として有効にします。コンソールからこれを実行する方法については、「[アプリケーションレイヤー DDoS 保護を設定する](manage-protection.md#configure-app-layer-protection)」を参照してください。
自動緩和機能を使用するには、次の操作を行う必要があります。
+ **[Associate a web ACL with the resource]** (ウェブ ACL をリソースに関連付ける) – これは、Shield Advanced アプリケーションレイヤー保護のために必須です。複数のリソースに同じウェブ ACL を使用できます。同様のトラフィックを持つリソースについてのみ、これを行うことをお勧めします。ウェブ ACL を複数のリソースで使用するための要件など、ウェブ ACL の詳細については、「[の AWS WAF 仕組み](how-aws-waf-works.md)」を参照してください。
+ **[Enable and configure Shield Advanced automatic application layer DDoS mitigation]** (Shield Advanced アプリケーションレイヤー DDoS 自動緩和を有効にして設定する) – これを有効にする際に、Shield Advanced が DDoS 攻撃の一部であると判断したウェブリクエストを自動的にブロックまたはカウントするかどうかを指定します。Shield Advanced は、関連付けられたウェブ ACL にルールグループを追加し、それを使用して、リソースに対する DDoS 攻撃に対する対応を動的に管理します。ルールアクションのオプションについては、「[でのルールアクションの使用 AWS WAF](waf-rule-action.md)」を参照してください。
+ **(オプションですが、推奨されます) ウェブ ACL にレートベースのルールを追加する** – デフォルトでは、レートベースのルールは、個々の IP アドレスによる短時間の大量リクエスト送信を防ぐことで、DDoS 攻撃に対する基本的な保護をリソースに提供します。カスタムリクエストの集約オプションや例など、レートベースのルールの詳細については、「[でのレートベースのルールステートメントの使用 AWS WAF](waf-rule-statement-type-rate-based.md)」を参照してください。
## 自動緩和を有効にした場合の実行内容
Shield Advanced は、自動緩和を有効にすると、次の処理を実行します。
+ **必要に応じて、 は Shield Advanced 用のルールグループを追加します** – リソースに関連付けられた AWS WAF ウェブ ACL に、アプリケーションレイヤー DDoS 自動緩和専用の AWS WAF ルールグループルールがまだない場合、Shield Advanced はルールグループを追加します。
グループルールのルール名は `ShieldMitigationRuleGroup` で始まります。ルールグループには常に `ShieldKnownOffenderIPRateBasedRule` という名前のレートベースのルールが含まれており、DDoS 攻撃のソースであることが判明している IP アドレスからのリクエストの量を制限します。Shield Advanced ルールグループと参照するウェブ ACL ルールの詳細については、「[Shield Advanced ルールグループによるアプリケーションレイヤーの保護](ddos-automatic-app-layer-response-rg.md)」を参照してください。
+ **[Starts responding to DDoS attacks against the resource]** (リソースに対する DDoS 攻撃への対応を開始) – Shield Advanced は、保護されたリソースに対する DDoS 攻撃に自動的に対応します。常に存在するレートベースのルールに加えて、Shield Advanced はルールグループを使用して DDoS 攻撃の軽減のためのカスタム AWS WAF ルールをデプロイします。Shield Advanced は、これらのルールをアプリケーションとアプリケーションが経験する攻撃に合わせて調整し、デプロイする前にリソースの過去のトラフィックに照らし合わせてテストします。
Shield Advanced は、自動緩和に使用するウェブ ACL で単一のルールグループルールを使用します。Shield Advanced が、別の保護されたリソースのルールグループを追加している場合、ウェブ ACL には別のルールグループを追加しません。
アプリケーションレイヤー DDoS 自動緩和は、攻撃を緩和するためのルールグループの存在によって異なります。何らかの理由でルールグループが AWS WAF ウェブ ACL から削除された場合、削除はウェブ ACL に関連付けられているすべてのリソースの自動緩和を無効にします。
# Shield Advanced が自動緩和を管理する方法
このセクションのトピックでは、Shield Advanced がアプリケーションレイヤー DDoS 自動緩和の設定変更をどのように処理するか、および自動緩和が有効になっている場合の DDoS 攻撃の処理方法について説明します。
**Topics**
+ [Shield Advanced が自動緩和機能で DDoS 攻撃に対応する方法](#ddos-automatic-app-layer-response-ddos-attack)
+ [Shield Advanced がルールアクション設定を管理する方法](#ddos-automatic-app-layer-response-rule-action)
+ [攻撃が沈静化した場合に Shield Advanced が緩和を管理する方法](#ddos-automatic-app-layer-response-after-attack)
+ [自動緩和を無効にした場合の実行内容](#ddos-automatic-app-layer-response-disable)
## Shield Advanced が自動緩和機能で DDoS 攻撃に対応する方法
保護対象リソースで自動軽減機能を有効にすると、Shield Advanced ルールグループのレートベースのルール `ShieldKnownOffenderIPRateBasedRule` は、既知の DDoS ソースからのトラフィックの量の増加に自動的に応答します。このレート制限は迅速に適用され、攻撃に対する最前線の防御として機能します。
Shield Advanced が攻撃を検出すると、次の処理が実行されます。
1. アプリケーションへの通常のトラフィックから攻撃トラフィックを分離する攻撃シグネチャの特定を試みます。目標は、攻撃トラフィックにのみ影響し、アプリケーションへの通常のトラフィックに影響を与えない、質の高い DDoS 緩和ルールを作成することです。
1. 識別された攻撃シグネチャを、攻撃対象のリソースおよび同じウェブ ACL に関連付けられている他のリソースについての過去のトラフィックパターンに照らして評価します。Shield Advanced は、イベントに対応してルールをデプロイする前にこれを実行します。
Shield Advanced は、評価結果に応じて、次のいずれかを実行します。
+ Shield Advanced は、攻撃シグネチャが DDoS 攻撃に関与するトラフィックのみを隔離すると判断した場合、ウェブ ACL の Shield Advanced 緩和ルールグループの AWS WAF ルールにシグネチャを実装します。Shield Advanced は、これらのルールに、リソースの自動緩和のために設定したアクション設定 (Count または Block) を提供します。
+ その他の場合、Shield Advanced は緩和策を講じません。
攻撃全体を通じて、Shield Advanced は、基本的な Shield Advanced アプリケーションレイヤー保護と同じ通知を送信し、同じイベント情報を提供します。Shield Advanced イベントコンソールで、イベントと DDoS 攻撃に関する情報、および攻撃に対する Shield Advanced の緩和策に関する情報を確認できます。詳細については、「[Shield Advanced による DDoS イベントの可視性](ddos-viewing-events.md)」を参照してください。
Block ルールアクションを使用するように自動緩和を設定し、Shield Advanced がデプロイした緩和ルールからの誤検出が発生した場合は、ルールアクションを Count に変更できます。これを行う方法については、「[アプリケーションレイヤー DDoS 自動緩和に使用されるアクションの変更](change-action-of-automatic-app-layer-response.md)」を参照してください。
## Shield Advanced がルールアクション設定を管理する方法
自動緩和策のルールアクションは Block または Count に設定できます。
保護されたリソースの自動緩和ルールアクション設定を変更すると、Shield Advanced は、リソースのすべてのルール設定を更新します。Sheild Advanced ルールグループのリソースに現在適用されているルールが更新され、新しいルールの作成時に新しいアクション設定が使用されます。
同じウェブ ACL を使用するリソースに対して異なるアクションを指定すると、Shield Advanced はルールグループのレートベースのルール `ShieldKnownOffenderIPRateBasedRule` の Block アクション設定を使用します。Shield Advanced は、特定の保護対象リソースに代わってルールグループ内の他のルールを作成および管理し、リソースに指定したアクション設定を使用します。ウェブ ACL 内の Shield Advanced ルールグループのすべてのルールは、関連するすべてのリソースのウェブトラフィックに適用されます。
アクション設定を変更すると、反映されるまでに数秒かかる場合があります。この間、ルールグループが使用されている場所によっては古い設定が表示され、他の場所では新しい設定が表示される場合があります。
自動緩和設定のルールアクション設定は、コンソールのイベントページ、およびアプリケーションレイヤー設定ページで変更できます。イベントページの詳細については、「[での DDoS イベントへの対応 AWS](ddos-responding.md)」を参照してください。設定ページについては、「[アプリケーションレイヤー DDoS 保護を設定する](manage-protection.md#configure-app-layer-protection)」を参照してください。
## 攻撃が沈静化した場合に Shield Advanced が緩和を管理する方法
Shield Advanced は、特定の攻撃に対してデプロイされた緩和ルールが不要になったと判断すると、そのルールを Shield Advanced 緩和ルールグループから削除します。
緩和ルールの削除は、必ずしも攻撃の終了と一致しません。Shield Advanced は、保護されたリソースで検出された攻撃のパターンをモニタリングします。攻撃の最初の発生に対してデプロイしたルールを所定の位置に保持することで、特定のシグネチャを使用した攻撃の再発を先回りして防御できる場合があります。必要に応じて、Shield Advanced はルールを保持する時間枠を拡大します。このようにして、Shield Advanced は、保護されたリソースに影響が及ぶ前に、特定のシグネチャで繰り返される攻撃を緩和する場合があります。
Shield Advanced が、DDoS 攻撃のソースであることが判明している IP アドレスからのリクエストの量を制限するレートベースのルール `ShieldKnownOffenderIPRateBasedRule` を削除することはありません。
## 自動緩和を無効にした場合の実行内容
Shield Advanced は、リソースのための自動緩和を無効にすると、次の処理を実行します。
+ **[Stops automatically responding to DDoS attacks]** (DDoS 攻撃への自動対応を停止) – Shield Advanced は、リソースのための自動応答アクティビティを中止します。
+ **[Removes unneeded rules from the Shield Advanced rule group]** (Shield Advanced ルールグループから不要なルールを削除) – Shield Advanced が保護されたリソースのためにマネージドルールグループ内のルールを維持している場合、それらを削除します。
+ **[Removes the Shield Advanced rule group, if it's no longer in use]** (Shield Advanced ルールグループが使用されなくなった場合は削除) – リソースに関連付けたウェブ ACL が、自動緩和が有効になっている他のリソースに関連付けられていない場合、Shield Advanced は、そのルールグループルールをウェブ ACL から削除します。
# Shield Advanced ルールグループによるアプリケーションレイヤーの保護
このページでは、ウェブ ACL での Shield Advanced ルールグループの仕組みについて説明します。
Shield Advanced は、所有および管理するルールグループ内のルールを使用して、自動緩和アクティビティを管理します。Shield Advanced は、保護されたリソースに関連付けたウェブ ACL 内のルールを使用してルールグループを参照します。
**ウェブ ACL におけるルールグループルール**
ウェブ ACL の Shield Advanced ルールグループルールには、次のプロパティがあります。
+ **[Name]** (名前) – `ShieldMitigationRuleGroup``_account-id_web-acl-id_unique-identifier`
+ **[Web ACL capacity units (WCU)]** (ウェブ ACL キャパシティーユニット (WCU)) – 150。これらの WCU は、ウェブ ACL 内の WCU の使用量に対してカウントされます。
Shield Advanced は、優先度設定が 10,000,000 のウェブ ACL にこのルールを作成します。このルールは、ウェブ ACL の他のルールとルールグループがウェブ ACL のルールを、 上の最も低い数値優先度設定から AWS WAF 実行した後に実行されます。ウェブ ACL の管理中に、この優先順位の設定が変更される場合があります。
自動緩和機能は、ウェブ ACL のルール グループによって使用される WCU を除き、アカウント内の追加の AWS WAF リソースを消費しません。例えば、Shield Advanced ルールグループは、アカウントのルールグループの 1 つとしてカウントされません。のアカウント制限の詳細については AWS WAF、「」を参照してください[AWS WAF クォータ](limits.md)。
**ルールグループ内のルール**
参照先の Shield Advanced ルールグループ内では、Shield Advanced が DDoS 攻撃のソースであることが判明している IP アドレスからのリクエストの量を制限するレートベースのルール `ShieldKnownOffenderIPRateBasedRule` を維持します。このルールは常にルールグループに存在し、トラフィックパターンの分析に頼らずに攻撃を封じ込めるため、あらゆる攻撃に対する防御の最前線として機能します。このルールのアクションは、ルールグループの他のルールと同様に、自動緩和策で選択したアクションに設定されます。レートベースルールの詳細については、「[でのレートベースのルールステートメントの使用 AWS WAF](waf-rule-statement-type-rate-based.md)」を参照してください。
**注記**
レートベースのルール `ShieldKnownOffenderIPRateBasedRule` の動きは、Shield Advanced イベント検出とは無関係です。自動緩和が有効になっている間、このルールレートは DDoS 攻撃のソースとして知られている IP アドレスを制限します。これらの IP アドレスの場合、ルールのレート制限により、攻撃を防止し、Shield Advanced 検出情報に攻撃が表示されないようにすることができます。このトレードオフは、攻撃パターンを完全に可視化するよりも防止を優先します。
上記の永久レートベースのルールに加えて、ルールグループには、Shield Advanced が現在 DDoS 攻撃を軽減するために使用しているすべてのルールが含まれます。Shield Advanced は、必要に応じてこれらのルールを追加、変更、削除します。詳細については、「[Shield Advanced が自動緩和を管理する方法](ddos-automatic-app-layer-response-behavior.md)」を参照してください。
**メトリクス**
ルールグループは AWS WAF メトリクスを生成しますが、このルールグループは Shield Advanced によって所有されているため、これらのメトリクスを表示することはできません。詳細については、「[AWS WAF メトリクスとディメンション](waf-metrics.md)」を参照してください。
# リソースのアプリケーションレイヤー DDoS 自動緩和設定の表示
リソースのアプリケーションレイヤー DDoS 自動緩和設定は、**[保護リソース]** ページと個々の保護ページで表示できます。
**リソースのアプリケーションレイヤー DDoS 自動緩和設定を表示するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) で AWS WAF & Shield コンソールを開きます。
1. AWS Shield ナビゲーションペインで、**保護されたリソース**を選択します。保護対象リソースのリストの **[アプリケーションレイヤー DDoS 自動緩和]** 列は、自動緩和が有効になっているかどうか、また有効になっている場合は緩和で Shield Advanced が使用するアクションを示します。
任意のアプリケーションレイヤーリソースを選択することによっても、リソースの保護ページにリストされているのと同じ情報を表示することもできます。
# アプリケーションレイヤー DDoS 自動緩和の有効化と無効化
次の手順では、保護されたリソースのための自動対応を有効または無効にする方法を示しています。
**単一のリソースのアプリケーションレイヤー DDoS 自動緩和を有効または無効にするには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) で AWS WAF & Shield コンソールを開きます。
1. AWS Shield ナビゲーションペインで、**保護されたリソース**を選択します。
1. **[Protections]** (保護) タブで、自動緩和を有効にするアプリケーションレイヤーリソースを選択します。リソースの保護ページが開きます。
1. リソースの保護ページで、**[Edit]** (編集) を選択します。
1. **[グローバルリソース用のレイヤー 7 DDoS 緩和を設定 - *オプション*]** ページの **[アプリケーションレイヤー DDoS 自動緩和]** で、自動緩和に使用するオプションを選択します。コンソールのオプションを以下に示します。
+ **[Keep current settings]** (現在の設定を保持) — 保護されたリソースの自動緩和設定は変更されません。
+ **[Enable]** (有効化) — 保護されたリソースの自動緩和を有効にします。このオプションを選択する場合、ウェブ ACL ルールで使用するルールアクションも選択します。ルールアクションの設定については、「[でのルールアクションの使用 AWS WAF](waf-rule-action.md)」を参照してください。
保護されたリソースに通常のアプリケーショントラフィックの履歴がまだない場合は、Shield Advanced がベースラインを確立できるようになるまで、Count モードで自動緩和を有効にします。Shield Advanced は、ウェブ ACL を保護されたリソースに関連付けると、ベースラインの情報を収集し始めます。通常のトラフィックの適切なベースラインを確立するには 24 時間から 30 日間までかかる場合があります。
+ **[Disable]** (無効化) — 保護されたリソースの自動緩和を無効にします。
1. 残りのページを最後まで順を追って確認し、設定を保存します。
**[Protections]** (保護) ページで、リソースの自動軽減設定が更新されます。
# アプリケーションレイヤー DDoS 自動緩和に使用されるアクションの変更
コンソール内の複数の場所で、Shield Advanced がアプリケーションレイヤーの自動対応に使用するアクションを変更できます。
+ **[Automatic mitigation configuration]** (自動緩和設定) - リソースのための自動緩和を設定するときに、アクションを変更します。手順については、前のセクションの「[アプリケーションレイヤー DDoS 自動緩和の有効化と無効化](enable-disable-automatic-app-layer-response.md)」を参照してください。
+ **[Event details page]** (イベントの詳細ページ) – コンソールでイベント情報を表示しているときに、イベントの詳細ページでアクションを変更します。詳細については、「[AWS Shield Advanced イベントの詳細の表示](ddos-event-details.md)」を参照してください。
ウェブ ACL を共有する保護対象リソースが 2 つあり、一方のアクションを Count に、他方のアクションを Block に設定した場合、Shield Advanced はルールグループのレートベースのルール `ShieldKnownOffenderIPRateBasedRule` のアクションを Block に設定します。
# アプリケーションレイヤー DDoS 自動緩和 AWS CloudFormation での の使用
このページでは、 CloudFormation を使用して保護と AWS WAF ウェブ ACLs を管理する方法について説明します。
**アプリケーションレイヤー DDoS 自動緩和の有効化または無効化**
`AWS::Shield::Protection` リソースを使用して AWS CloudFormation、 を通じてアプリケーションレイヤー DDoS 自動緩和を有効または無効にできます。コンソールやその他のインターフェイスからでも、同じようにこの機能を有効または無効にできます。 CloudFormation リソースの詳細については、 *AWS CloudFormation ユーザーガイド*の[AWS::Shield::Protection](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-shield-protection.html)」を参照してください。
**自動緩和で使用されるウェブ ACL の管理**
Shield Advanced は、保護されたリソースの AWS WAF ウェブ ACL のルールグループルールを使用して、保護されたリソースの自動緩和を管理します。 AWS WAF コンソールと APIs を通じて、ウェブ ACL ルールに で始まる名前でリストされているルールが表示されます`ShieldMitigationRuleGroup`。このルールはアプリケーションレイヤー DDoS 自動緩和専用で、Shield Advanced と AWS WAFがユーザーに代わって管理します。詳細については、「[Shield Advanced ルールグループによるアプリケーションレイヤーの保護](ddos-automatic-app-layer-response-rg.md)」および「[Shield Advanced が自動緩和を管理する方法](ddos-automatic-app-layer-response-behavior.md)」を参照してください。
CloudFormation を使用してウェブ ACLs を管理する場合は、Shield Advanced ルールグループルールをウェブ ACL テンプレートに追加しないでください。自動緩和保護で使用されているウェブ ACL を更新すると、 はウェブ ACL のルールグループルール AWS WAF を自動的に管理します。
管理する他のウェブ ACLs と比較して、次の違いがあります CloudFormation。
+ CloudFormation は、Shield Advanced ルールグループルールを使用したウェブ ACL の実際の設定と、ルールを使用しないウェブ ACL テンプレートの間のスタックドリフトステータスのドリフトを報告しません。Shield Advanced ルールは、ドリフト詳細でリソースの実際のリストには表示されません。
Shield Advanced ルールグループルールは AWS WAF、コンソールや AWS WAF APIs など、 AWS WAF から取得したウェブ ACL リストで確認できます。
+ スタックでウェブ ACL テンプレートを変更 AWS WAF し、Shield Advanced が更新されたウェブ ACL で Shield Advanced 自動緩和ルールを自動的に維持する場合。Shield Advanced が提供する自動緩和保護は、ウェブ ACL を更新しても中断されることはありません。
CloudFormation ウェブ ACL テンプレートで Shield Advanced ルールを管理しないでください。ウェブ ACL テンプレートで Shield Advanced ルールを表示しないでください。「[アプリケーションレイヤー DDoS 自動緩和機能を使用するためのベストプラクティス。](ddos-automatic-app-layer-response-bp.md)」のウェブ ACL 管理のベストプラクティスに従ってください。