AWS Shield Advanced 保護の編集 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
アプリケーションレイヤー DDoS 保護を設定する

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

AWS Shield Advanced 保護の編集

AWS Shield Advanced 保護の設定はいつでも変更できます。これを行うには、選択した保護のオプションを確認し、変更する必要がある設定を変更します。

保護されたリソースを管理するには

  1. AWS マネジメントコンソール にサインインし、AWS WAF & Shield コンソール (https://console.aws.amazon.com/wafv2/) を開きます。

  2. AWS Shield ナビゲーションペインで、[Protected resources] (保護されたリソース) を選択します。

  3. [Protections] (保護) タブで、保護するリソースを選択します。

  4. 必要な [Configure protections] (保護を設定) とリソース指定オプションを選択します。

  5. 各リソース保護オプションを順を追って確認し、必要に応じて変更を行います。

アプリケーションレイヤー DDoS 保護を設定する

Amazon CloudFront および Application Load Balancer のリソースに対する攻撃から保護するために、AWS WAF ウェブ ACL を追加し、レートベースのルールを追加できます。詳細については、「AWS WAF ウェブ ACL と Shield Advanced によるアプリケーションレイヤーの保護」を参照してください。

Shield Advanced アプリケーションレイヤー DDoS 自動緩和機能を有効にすることもできます。AWS WAF の仕組みについては、「AWS WAF」を参照してください。自動緩和機能の詳細については、「Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和」を参照してください。

重要

Shield Advanced ポリシーを使用して AWS Firewall Manager を通じて Shield Advanced 保護を管理する場合、ここでアプリケーションレイヤー保護を管理することはできません。他のすべてのリソースについては、ウェブ ACL にルールが含まれていない場合でも、少なくとも各リソースにウェブ ACL をアタッチすることをお勧めします。

注記

リソースのためにアプリケーションレイヤー DDoS 自動緩和を有効にすると、必要に応じて、オペレーションは、サービスにリンクされたロールをアカウントに自動的に追加し、ウェブ ACL 保護の管理に必要な許可を Shield Advanced に付与します。詳細については、「Shield Advanced のサービスにリンクされたロールの使用」を参照してください。

アプリケーションレイヤー DDoS 保護を設定するには

  1. [Configure layer 7 DDoS protections] (レイヤー 7 DDoS 保護を設定) ページで、リソースがまだウェブ ACL に関連付けられていない場合は、既存のウェブ ACL を選択するか、独自のウェブ ACL を作成できます。

    ウェブ ACL を作成するには、次のステップに従います。

    1. [Create web ACL] (ウェブ ACL の作成) を選択します。

    2. 名前を入力します。ウェブ ACL の作成後は、名前を変更することはできません。

    3. [Create] (作成) を選択します。

    注記

    リソースが既にウェブ ACL に関連付けられている場合、別のウェブ ACL に変更することはできません。ACL を変更する場合は、最初にリソースから関連するウェブ ACL を削除します。詳細については、「保護と AWS リソースの関連付けまたは関連付けの解除」を参照してください。

  2. ウェブ ACL にレートベースのルールが定義されていない場合は、[Add rate limit rule] (レート制限ルールを追加) を選択し、次のステップを実行してルールを追加できます。

    1. 名前を入力します。

    2. レート制限を入力します。これは、レートベースのルールアクションが IP アドレスに適用される前の任意の 5 分間に許可される、単一の IP アドレスからのリクエストの最大数です。IP アドレスからのリクエストが制限を下回ると、アクションは中止されます。

    3. リクエストの数が制限を超えている間に IP アドレスからのリクエストをカウントまたはブロックするルールアクションを設定します。ルールアクションの適用と削除は、IP アドレスのリクエストレートが変更されてから有効になるまでに 1 ~ 2 分かかる場合があります。

    4. [Add Rule] (ルールの追加) を選択します。

  3. [Automatic application layer DDoS mitigation] (アプリケーションレイヤー DDoS 自動緩和) の場合、次のように、Shield Advanced がユーザーのために DDoS 攻撃を自動的に緩和するかどうかを選択します。

    • 自動緩和を有効にするには、[Enable] (有効化) を選択してから、Shield Advanced がカスタムルールで使用する AWS WAF ルールアクションを選択します。選択内容は Count と Block です。AWS WAF ルールアクションの情報については、「AWS WAF でのルールアクションの使用」を参照してください。Shield Advanced がこのアクション設定を管理する方法については、「Shield Advanced がルールアクション設定を管理する方法」を参照してください。

    • 自動緩和を無効にするには、[Disable] (無効化) を選択します。

    • 管理しているリソースの自動緩和設定を変更しない場合は、デフォルトの選択である [Keep current settings] (現在の設定を保持) のままにします。

    Shield Advanced アプリケーションレイヤー DDoS 自動緩和の詳細については、「Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和」を参照してください。

  4. [次へ] を選択します。