**の新しいコンソールエクスペリエンスの紹介 AWS WAF**
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# セットアップ AWS Shield Advanced
このチュートリアルでは、Shield Advanced コンソール AWS Shield Advanced を使用した の開始方法について説明します。
**注記**
Shield Advanced にはサブスクリプションが必要ですが、そう AWS Shield Standard ではありません。Shield Standard で提供される保護は、すべての AWS のお客様に無料でご利用いただけます。
Shield Advanced では、ネットワークレイヤー (レイヤー 3)、トランスポートレイヤー (レイヤー 4)、およびアプリケーションレイヤー (レイヤー 7) 攻撃に対して、高度な DDoS 検出、緩和、保護が可能です。Shield Advanced の詳細については、「[AWS Shield Advanced の概要](ddos-advanced-summary.md)」を参照してください。
AWS 技術コミュニティは、Infrastructure as Code (IaC) ツール AWS CloudFormation と Terraform を使用して Shield Advanced を設定するための自動プロセスの例を公開しました。アカウントが の組織の一部であり AWS Organizations 、Amazon Route 53 または 以外のリソースタイプを保護している場合は、このソリューション AWS Firewall Manager で を使用できます AWS Global Accelerator。このオプションの詳細については、「[aws-samples / aws-shield-advanced-one-click-deployment](https://github.com/aws-samples/aws-shield-advanced-one-click-deployment)」のコードリポジトリと「[Shield Advanced のワンクリックデプロイ](https://youtu.be/LCA3FwMk_QE)」のチュートリアルを参照してください。
**注記**
Distributed Denial of Service (DDoS) イベントが発生する前に Shield Advanced の設定を完了することが重要です。設定を完了すると、アプリケーションが保護され、アプリケーションが DDoS 攻撃の影響を受けた場合に対応する準備ができているようにします。
Shield Advanced の使用を開始するには、次の手順を順番に実行します。
**Contents**
+ [へのサブスクライブ AWS Shield Advanced](enable-ddos-prem.md)
+ [Shield Advanced を使用したリソース保護の追加と設定](ddos-choose-resources.md)
+ [を使用したアプリケーションレイヤー (レイヤー 7) DDoS 保護の設定 AWS WAF](ddos-get-started-web-acl-rbr.md)
+ [Shield Advanced と Route 53 による保護のためのヘルスベースの検出の設定](ddos-get-started-health-checks.md)
+ [Shield Advanced と Amazon SNS を使用したアラームと通知の設定](ddos-get-started-create-alarms.md)
+ [Shield Advanced で保護構成の確認および終了](ddos-get-started-review-and-configure.md)
+ [DDoS AWS イベントレスポンスの Shield Response Team (SRT) サポートの設定](authorize-srt.md)
+ [CloudWatch で DDoS ダッシュボードを作成し、CloudWatch アラームを設定する](deploy-waf-dashboard.md)
# へのサブスクライブ AWS Shield Advanced
このページでは、Shield Advanced にアカウントをサブスクライブし、サービスの使用を開始する方法について説明します。
保護 AWS アカウント する ごとに Shield Advanced をサブスクライブする必要があります。Shield Standard に登録する必要はありません。
**Shield Advanced サブスクリプションの請求**
AWS チャネルリセラーの場合は、アカウントチームに情報とガイダンスを求めてください。この請求情報は、 AWS チャネルリセラーではないお客様を対象としています。
他のすべてについては、次のサブスクリプションと請求のガイドラインが適用されます。
+ AWS Organizations 組織のメンバーであるアカウントの場合、 は、支払者アカウント自体がサブスクライブされているかどうかにかかわらず、組織の支払者アカウントに対して Shield Advanced サブスクリプションを AWS 請求します。
+ 同じ [AWS Organizations 一括請求 (コンソリデーティッドビリング) アカウントファミリー](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html) に属する複数のアカウントをサブスクライブする場合、1 つのサブスクリプション料金はファミリー内のすべてのサブスクライブアカウントに対するものです。組織は、すべての AWS アカウント とそのすべてのリソースを所有している必要があります。
+ 複数の組織のために複数のアカウントをサブスクライブする場合でも、すべてを所有しているのであれば、すべての組織、アカウント、リソースのサブスクリプション料金の支払いを引き続き 1 回で行うことができます。アカウントマネージャーまたは AWS サポートに連絡して、組織の 1 つを除くすべての AWS Shield Advanced サブスクリプション料金の免除をリクエストしてください。
詳細な料金情報と例については、「[AWS Shield の料金表](https://aws.amazon.com/shield/pricing/)」を参照してください。
**でサブスクリプションを簡素化することを検討する AWS Firewall Manager**
アカウントが組織の一部である場合は、できればその組織のサブスクリプションと保護を自動化するために AWS Firewall Manager を使用することをおすすめします。Firewall Manager は、Amazon Route 53 および AWS Global Acceleratorを除くすべての保護されたリソースタイプをサポートします。Firewall Manager を使用するには、「[AWS Firewall Manager](fms-chapter.md)」と「[AWS Firewall Manager AWS Shield Advanced ポリシーの設定](getting-started-fms-shield.md)」を参照してください。
Firewall Manager を使用しない場合は、保護するリソースを持つアカウントごとに、次の手順を使用してサブスクライブし、保護を追加します。
**アカウントを にサブスクライブするには AWS Shield Advanced**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) で AWS WAF & Shield コンソールを開きます。
1. **AWS Shield** ナビゲーションバーで、**[Getting started]** (はじめに) を選択します。**[Subscribe to Shield Advanced]** (Shield Advanced をサブスクライブ) を選択します。
1. **[Subscribe to Shield Advanced]** (Shield Advanced をサブスクライブ) ページで、契約の各条件を読み、条件を承諾する意思を表示するために、すべてのチェックボックスを選択します。一括請求 (コンソリデーティッドビリング) ファミリーのアカウントについては、各アカウントの条件に同意する必要があります。
**重要**
サブスクライブされている場合、サブスクライブを解除するには、[AWS サポート](https://console.aws.amazon.com/support) に連絡する必要があります。
サブスクリプションの自動更新を無効にするには、Shield API オペレーション [UpdateSubscription](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_UpdateSubscription.html) または CLI コマンド [update-subscription](https://docs.aws.amazon.com/cli/latest/reference/shield/update-subscription.html) を使用する必要があります。
**[Subscribe to Shield Advanced]** (Shield Advanced をサブスクライブ) を選択します。これにより、アカウントが Shield Advanced にサブスクライブされ、サービスが有効になります。
お客様のアカウントはサブスクライブされています。次のステップを続行して、Shield Advanced でアカウントのリソースを保護します。
**注記**
サブスクライブ後、Shield Advanced はリソースを自動的に保護しません。Shield Advanced で保護するリソースを指定する必要があります。
# Shield Advanced を使用したリソース保護の追加と設定
このページでは、リソースの保護を追加および設定する手順を説明します。
Shield Advanced は、Shield Advanced を通じて、または Firewall Manager Shield Advanced ポリシーで指定したリソースのみを保護します。サブスクライブアカウントのリソースは自動的に保護されません。
**注記**
保護に Shield Advanced AWS Firewall Manager ポリシーを使用する場合は、このステップを実行する必要はありません。保護するリソースタイプを指定してポリシーを設定すると、Firewall Manager はポリシーの範囲内にあるリソースに自動的に保護を追加します。
Firewall Manager を使用しない場合は、保護するリソースを持つアカウントごとに次の手順を実行します。
**Shield Advanced を使用して保護するリソースを選択するには**
1. 前の手順のサブスクリプション確認ページから、または **[Protected resources]** (保護されたリソース) または **[Overview]** (概要) ページから、**[Add resources to protect]** (保護するリソースを追加) を選択します。
1. **[Choose resources to protect with Shield Advanced]** (Shield Advanced で保護するリソースの選択) ページの **[Specify the Region and resource types]** (リージョンとリソースタイプの指定) で、保護するリソースのリージョンとリソースタイプの仕様を指定します。**[All Regions]** (すべてのリージョン) を選択すると複数のリージョンのリソースを保護でき、**[Global]** (グローバル) を選択すると選択範囲をグローバルリソースに絞り込むことができます。保護しないリソースタイプは、すべて選択解除できます。リソースタイプの保護については、「[が AWS Shield Advanced 保護するリソースのリスト](ddos-protections-by-resource-type.md)」を参照してください。
1. **[Load resources]** (リソースをロード) を選択します。Shield Advanced は、**[Select Resources]** (リソースの選択) セクションに条件に一致する AWS リソースを入力します。
1. **[Select Resources]** (リソースの選択) セクションでは、リソースリストで検索する文字列を入力して、リソースのリストをフィルタリングできます。
保護するリソースを選択します。
1. 作成しようとしている Shield Advanced 保護にタグを追加する場合は、**[Tags]** (タグ) セクションでそれらを指定します。 AWS リソースのタグ付けの詳細については、「[タグエディタの使用](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)」を参照してください。
1. **[Protect with Shield Advanced]** (Shield Advanced で保護) を選択します。これにより、Shield Advanced 保護がリソースに追加されます。
コンソールウィザードの画面を続行して、リソース保護の設定を完了します。
**Topics**
+ [を使用したアプリケーションレイヤー (レイヤー 7) DDoS 保護の設定 AWS WAF](ddos-get-started-web-acl-rbr.md)
+ [Shield Advanced と Route 53 による保護のためのヘルスベースの検出の設定](ddos-get-started-health-checks.md)
+ [Shield Advanced と Amazon SNS を使用したアラームと通知の設定](ddos-get-started-create-alarms.md)
+ [Shield Advanced で保護構成の確認および終了](ddos-get-started-review-and-configure.md)
# を使用したアプリケーションレイヤー (レイヤー 7) DDoS 保護の設定 AWS WAF
このページでは、 AWS WAF ウェブ ACLs でアプリケーションレイヤー保護を設定する手順について説明します。
アプリケーションレイヤーリソースを保護するために、Shield Advanced はレートベースのルールを持つ AWS WAF ウェブ ACL を出発点として使用します。 AWS WAF は、アプリケーションレイヤーリソースに転送される HTTP および HTTPS リクエストをモニタリングし、リクエストの特性に基づいてコンテンツへのアクセスを制御できるウェブアプリケーションファイアウォールです。レートベースのルールは、リクエスト集約条件に基づいてトラフィックの量を制限し、アプリケーションに基本的な DDoS 防御を提供します。詳細については、「[の AWS WAF 仕組み](how-aws-waf-works.md)」および「[でのレートベースのルールステートメントの使用 AWS WAF](waf-rule-statement-type-rate-based.md)」を参照してください。
また、オプションで Shield Advanced の自動アプリケーションレイヤーの DDoS 談話を有効にして、既知の DDoS ソースから Shield Advanced レート制限リクエストを受け取り、インシデント固有の保護を自動的に提供することもできます。
**重要**
Shield Advanced ポリシー AWS Firewall Manager を使用して を通じて Shield Advanced 保護を管理する場合、ここではアプリケーションレイヤー保護を管理することはできません。Firewall Manager Shield Advanced ポリシーで管理する必要があります。
**Shield Advanced サブスクリプションと AWS WAF コスト**
Shield Advanced サブスクリプションは、Shield Advanced で保護するリソースに標準 AWS WAF 機能を使用するコストをカバーします。Shield Advanced 保護の対象となる標準 AWS WAF 料金は、保護パック (ウェブ ACL) あたりのコスト、ルールあたりのコスト、ウェブリクエスト検査の 100 万リクエストあたりの基本料金、最大 1,500 WCUs、デフォルトの本文サイズです。
Shield Advanced 自動アプリケーションレイヤー DDoS 緩和を有効にすると、150 個の保護パック (ウェブ ACL) キャパシティユニット (WCU) はルールグループに追加されます。これらの WCU は、保護パック (ウェブ ACL) 内の WCU の使用量に対してカウントされます。詳細については[Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和](ddos-automatic-app-layer-response.md)、[Shield Advanced ルールグループによるアプリケーションレイヤーの保護](ddos-automatic-app-layer-response-rg.md)、および[のウェブ ACL キャパシティユニット (WCUs) AWS WAF](aws-waf-capacity-units.md)を参照してください。
Shield Advanced へのサブスクリプションは、Shield Advanced を使用して保護しないリソース AWS WAF の の使用には適用されません。また、保護されたリソースの標準以外の追加 AWS WAF コストもカバーしません。標準以外の AWS WAF コストの例としては、Bot Control、CAPTCHAルールアクション、1,500 WCUs を超えるウェブ ACLs、およびデフォルトの本文サイズを超えるリクエスト本文の検査などがあります。完全なリストは AWS WAF 料金ページに記載されています。Shield Advanced へのサブスクリプションには、 Layer 7 Anti-DDoS Amazon Managed Rule グループへのアクセスが含まれます。サブスクリプションの一環として、Shield Advanced で保護された AWS WAF リソースに対するリクエストは 1 か月あたり最大 500 億件になります。500 億を超えるリクエストは、 AWS Shield Advanced 料金表ページに従って請求されます。
詳細情報および料金の例については、「[Shield の料金](https://aws.amazon.com/shield/pricing/)」および「[AWS WAF の料金](https://aws.amazon.com/waf/pricing/)」を参照してください。
**リージョン用にレイヤー 7 DDoS 保護を設定するには**
Shield Advanced では、選択したリソースが配置されている各リージョンについて、レイヤー 7 DDoS 緩和策を設定するオプションを使用できます。複数のリージョンに保護を追加する場合、ウィザードはリージョンごとに次の手順を説明します。
1. **[Configure layer 7 DDoS protections]** (レイヤー 7 DDoS 保護の設定) ページには、ウェブ ACL にまだ関連付けられていない各リソースが一覧表示されます。これらのそれぞれについて、既存のウェブ ACL を選択するか、新しいウェブ ACL を作成します。ウェブ ACL が既に関連付けられているリソースについては、まず現在のウェブ ACL の関連付けを解除することでウェブ ACLs を変更できます AWS WAF。詳細については、「[AWS リソースとの保護の関連付けまたは関連付け解除](web-acl-associating-aws-resource.md)」を参照してください。
レートベースのルールがまだないウェブ ACL の場合、設定ウィザードでルールを追加するよう求められます。レートベースのルールは、大量のリクエストを送信している IP アドレスからのトラフィックを制限します。レートベースのルールは、ウェブリクエストのフラッドからアプリケーションを保護するのに役立つとともに、DDoS 攻撃の可能性を示していることがあるトラフィックの急増についてアラートを出すことができます。**[Add rate limit rule]** (レート制限ルールを追加) を選択し、レート制限とルールアクションを指定して、レートベースのルールをウェブ ACL に追加します。を介してウェブ ACL で追加の保護を設定できます AWS WAF。
レートベースのルールの追加設定オプションを含む、Shield Advanced 保護でのウェブ ACL およびレートベースのルールの使用方法については、「[AWS WAF ウェブ ACLs と Shield Advanced によるアプリケーションレイヤーの保護](ddos-app-layer-web-ACL-and-rbr.md)」を参照してください。
1. **自動アプリケーションレイヤー DDoS 緩和**では、Shield Advanced がアプリケーションレイヤーリソースに対する DDoS 攻撃を自動的に軽減する場合は、**有効化**を選択し、Shield Advanced がカスタム AWS WAF ルールで使用するルールアクションを選択します。この設定は、このウィザードセッションで管理しているリソースのすべてのウェブ ACL に適用されます。
アプリケーションレイヤー DDoS 自動緩和により、Shield Advanced は、既知の DDoS ソースからのリクエストの量を制限するレートベースのルールをリソースの AWS WAF ウェブ ACL に維持します。さらに、Shield Advanced は、現在のトラフィックパターンと過去のトラフィックベースラインを比較して、DDoS 攻撃を示している可能性のある逸脱を検出します。Shield Advanced が DDoS 攻撃を検出すると、応答するカスタム AWS WAF ルールを作成、評価、デプロイして応答します。カスタムルールが、ユーザーに代わって攻撃に対してカウントまたはブロックするかどうかを指定します。
**注記**
自動アプリケーションレイヤー DDoS 緩和は、最新バージョンの (v2) を使用して作成された保護パック AWS WAF (ウェブ ACLs) でのみ機能します。
この機能を使用するための注意点やベストプラクティスなど、Shield Advanced 自動アプリケーションレイヤー DDoS 緩和の詳細については、[Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和](ddos-automatic-app-layer-response.md) を参照してください。
1. [**次へ**] を選択します。コンソールウィザードは、ヘルスベースの検出のページに進みます。
# Shield Advanced と Route 53 による保護のためのヘルスベースの検出の設定
このページでは、ヘルスベースの検出を使用するように Shield Advanced を設定する手順を説明します。これにより、攻撃の検出と緩和における応答性と精度を向上させることができます。
イベントを正確に検出するには、適切に設定されたヘルスチェックが不可欠です。Route 53 ホストゾーンを除くリソースタイプのために、ヘルスベースの検出を設定できます。
ヘルスベースの検出を使用するには、まず Route 53 でリソースのヘルスチェックを定義してから、ヘルスチェックを Shield Advanced の保護に関連する必要があります。設定するヘルスチェックがリソースの正常性を正確に反映していることが重要です。Shield Advanced で使用するヘルスチェックの設定に関する情報と例については、「[Shield Advanced と Route 53 を使用したヘルスチェックを使用したヘルスベースの検出](ddos-advanced-health-checks.md)」を参照してください。
Shield Response Team (SRT) のプロアクティブなエンゲージメントサポートには、ヘルスチェックが必要です。プロアクティブなエンゲージメントの詳細については、「[SRT が直接連絡するためのプロアクティブエンゲージメントの設定](ddos-srt-proactive-engagement.md)」を参照してください。
**注記**
ヘルスチェックを Shield Advanced 保護に関連付ける場合、正常であることが報告されている必要があります。
**ヘルスベースの検出を設定するには**
1. **[Associated Health Check]** (ヘルスチェックを関連付ける) で、保護に関連付けるヘルスチェックの ID を選択します。
**注記**
必要なヘルスチェックが表示されない場合は、Route 53 コンソールに移動して、ヘルスチェックとその ID を検証します。詳細については、「[ヘルスチェックの作成と更新](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html)」を参照してください。
1. **[Next]** (次へ) を選択します。コンソールウィザードは、アラームと通知のページに進みます。
# Shield Advanced と Amazon SNS を使用したアラームと通知の設定
このページでは、必要に応じて、検出された Amazon CloudWatch アラームとレートベースのルールアクティビティに対する Amazon Simple Notification Service 通知の設定について説明します。これらを使用すると、Shield が保護対象リソースでイベントを検出したとき、またはレートベースのルールで設定されたレート制限を超えたときに通知を受け取ることができます。
Shield Advanced CloudWatch のメトリクスについては、「[AWS Shield Advanced メトリクス](shield-metrics.md)」を参照してください。Amazon SNS の詳細については、「[Amazon Simple Notification Service デベロッパーガイド](https://docs.aws.amazon.com/sns/latest/dg/)」を参照してください。
**アラームと通知を設定するには**
1. 通知の対象となる Amazon SNS トピックを選択します。すべての保護されたリソースとレートベースのルールに単一の Amazon SNSトピックを使用することも、組織に合わせてカスタマイズされた異なるトピックを選択することもできます。例えば、特定のリソースセットのインシデント対応を担当するチームごとに SNS トピックを作成できます。
1. [**次へ**] を選択します。コンソールウィザードは、リソース保護の確認ページに進みます。
# Shield Advanced で保護構成の確認および終了
**設定を確認および終了するには**
1. **[Review and configure DDoS mitigation and visibility]** (DDoS の緩和と可視性を確認および設定) ページで、設定を確認します。変更するには、変更する部分で **[Edit]** (編集) を選択します。これにより、コンソールウィザードの関連するページに戻ります。変更を加えた後、**[Review and configure DDoS mitigation and visibility]** (DDoS の緩和と可視性を確認および設定) ページに戻るまで、後続のページで **[Next]** (次へ) を選択します。
1. **[Finish configuration]** (設定を終了) を選択します。**[Protected resources]** (保護されたリソース) ページには、新しく保護されたリソースが一覧表示されます。
# DDoS AWS イベントレスポンスの Shield Response Team (SRT) サポートの設定
このページでは、Shield Response Team (SRT) サポートを設定する手順について説明します。
SRT は DDoS イベントへの対応を専門とするセキュリティエンジニアの集団です。必要に応じて、DDoS イベント中に SRT がユーザーに代わってリソースを管理できるようにするアクセス許可を追加できます。さらに、保護対象リソースに関連する Route 53 ヘルスチェックが検出されたイベント中に異常が発生した場合に、事前に対処するように SRT を設定できます。この両方の保護機能を追加することで、DDoS イベントへの迅速な対応が可能になります。
**注記**
Shield Response Team (SRT) のサービスを使用するには、[ビジネスサポートプラン](https://aws.amazon.com/premiumsupport/business-support/)または[エンタープライズサポートプラン](https://aws.amazon.com/premiumsupport/enterprise-support/)をサブスクライブする必要があります。
SRT は、アプリケーションレイヤーイベント中に AWS WAF リクエストデータとログをモニタリングして、異常なトラフィックを特定できます。これらは、問題のあるトラフィックソースを軽減するためのカスタム AWS WAF ルールの作成に役立ちます。必要に応じて、SRT は、リソースをレコメンデーションとより適切に一致させるために、アーキテクチャに関するレコメンデ AWS ーションを作成する場合があります。
SRT 関数の詳細については、「[Shield Response Team (SRT) サポートによるマネージド DDoS イベントレスポンス](ddos-srt-support.md)」を参照してください。
**SRT にアクセス許可を付与するには**
1. AWS Shield コンソール**の概要**ページの**「SRT サポートの設定 AWS **」で、**「SRT アクセスの編集**」を選択します。**Edit AWS Shield Response Team (SRT) アクセス**ページが開きます。
1. **SRT アクセス設定**には、次のいずれかのオプションを選択します。
+ **アカウントへのアクセス権を SRT に付与しない** – Shield は、アカウントとリソースにアクセスするために以前に SRT に付与したすべての許可を削除します。
+ **[Create a new role for the SRT to access my account]** (SRT が自分のアカウントにアクセスするための新しいロールを作成する) — Shield は、SRT を表すサービスプリンシパル `drt.shield.amazonaws.com` を信頼するロールを作成し、マネージドポリシー `AWSShieldDRTAccessPolicy` をそれにアタッチします。管理ポリシーは、SRT がユーザーに代わって および AWS WAF API コールを行い AWS Shield Advanced 、ログにアクセスすることを許可します AWS WAF 。管理ポリシーの詳細については、「[AWS マネージドポリシー: AWSShieldDRTAccessPolicy](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)」を参照してください。
+ **SRT がアカウントにアクセスするための既存のロールを選択する** – このオプションでは、 AWS Identity and Access Management 次のように (IAM) でロールの設定を変更する必要があります。
+ マネージドポリシー `AWSShieldDRTAccessPolicy` をロールにアタッチします。この管理ポリシーにより、SRT はユーザーに代わって および AWS WAF API コールを行い AWS Shield Advanced 、ログにアクセスできるようになります AWS WAF 。管理ポリシーの詳細については、「[AWS マネージドポリシー: AWSShieldDRTAccessPolicy](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)」を参照してください。マネージドポリシーをロールにアタッチする方法については、「[Attaching and Detaching IAM Policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)」(IAM ポリシーのアタッチとデタッチ) を参照してください。
+ サービスプリンシパル `drt.shield.amazonaws.com` を信頼するようにロールを変更します。これは、SRT を表すサービスプリンシパルです。詳細については、「[IAM JSON ポリシーエレメント: プリンシパル](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)」を参照してください。
1. **[保存]** を選択して変更を保存します。
SRT に保護とデータへのアクセスを許可する方法の詳細については、「[SRT へのアクセスの許可](ddos-srt-access.md)」を参照してください。
**SRT のプロアクティブな関与を有効にするには**
1. AWS Shield コンソール**の概要**ページの**「プロアクティブエンゲージメントとコンタクト**」の「コンタクトエリア」で、**「編集**」を選択します。
**[Edit contacts]** (連絡先を編集) ページで、SRT がプロアクティブな関与のために連絡する担当者の連絡先情報を入力します。
複数の連絡先を提供する場合は、**[Notes]** (備考) に、各連絡先を使用する必要がある状況を記載してください。プライマリおよびセカンダリの連絡先指定を含めて、各連絡先の空き時間およびタイムゾーンを指定します。
問い合わせメモの例:
+ これは、24 時間年中無休でスタッフが対応するホットラインです。応答するアナリストにご協力ください。この担当者は、適切な担当者を呼び出します。
+ 5 分以内にホットラインが応答しない場合は、私までお問い合わせください。
1. **[Save]** (保存) を選択します。
**[Overview]** (概要) ページには、更新された連絡先情報が反映されます。
1. **[Edit proactive engagement feature]** (プロアクティブな関与機能を編集) を選択し、**[Enable]** (有効化) を選択してから、**[Save]** (保存) を選択してプロアクティブな関与を有効にします。
プロアクティブな関与の詳細については、「[SRT が直接連絡するためのプロアクティブエンゲージメントの設定](ddos-srt-proactive-engagement.md)」を参照してください。
# CloudWatch で DDoS ダッシュボードを作成し、CloudWatch アラームを設定する
このページでは、CloudWatch で DDoS ダッシュボードを作成し、CloudWatch アラームの設定について説明します。
Amazon CloudWatch を使用して潜在的な DDoS アクティビティをモニタリングすることで、Shield Advanced から未加工データを収集し、リアルタイムに近い読み取り可能なメトリクスとして加工できます。CloudWatch の統計を使用して、ウェブアプリケーションやサービスの動作状況を把握できます。CloudWatch の詳細については、「*Amazon CloudWatch ユーザーガイド*」の「[What is CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html)」(CloudWatch とは) を参照してください。
+ CloudWatch ダッシュボードを作成する手順については、「[Amazon CloudWatch によるモニタリング](monitoring-cloudwatch.md)」を参照してください。
+ ダッシュボードに追加できる Shield Advanced メトリクスの説明については、「[AWS Shield Advanced メトリクス](shield-metrics.md)」を参照してください。
Shield Advanced は、リソースメトリクスを、進行中のイベントがないときと比較して、DDoS イベント中により頻繁に CloudWatch にレポートします。Shield Advanced は、イベント中は 1 分ごとに、およびイベント終了直後に 1 回、メトリクスをレポートします。イベントが発生していない間、Shield Advanced は 1 日に 1 回、リソースに割り当てられた時間にメトリクスを報告します。この定期的なレポートにより、メトリクスをアクティブに保ち、ユーザーのカスタム CloudWatch アラームで使用できるようにします。
これで、Shield Advanced の開始方法のチュートリアルは完了です。選択した保護機能を最大限に活用するには、Shield Advanced の機能とオプションの検索を続けてください。まず、[Shield Advanced による DDoS イベントの可視性](ddos-viewing-events.md) および [での DDoS イベントへの対応 AWS](ddos-responding.md) でイベントを表示して対応するためのオプションをよく理解してください。