**引入全新的主机体验 AWS WAF** 现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 决定是否订阅 AWS Shield Advanced 和应用其他保护 请查看本节中的场景,以帮助决定哪些账户应订阅 AWS Shield Advanced 以及在何处应用其他保护。使用 Shield Advanced,您只需为整合账单账户下创建的所有账户支付月度订阅费,外加根据传出的数据量 GB 计算的使用费。有关 Shield Advanced 定价的信息,请参阅 [AWS Shield Advanced 定价](https://aws.amazon.com/shield/pricing/)。 要使用 Shield Advanced 保护应用程序及其资源,您需要将管理该应用程序的账户订阅到 Shield Advanced,然后为应用程序的资源添加保护。有关订阅账户和保护资源的信息,请参阅 [设置 AWS Shield Advanced](getting-started-ddos.md)。 **Shield 高级版订阅和 AWS WAF 费用** 您的 Shield Advanced 订阅可支付使用标准 AWS WAF 功能来保护您使用 Shield Advanced 保护的资源的费用。Shield Advanced 保护所涵盖的标准 AWS WAF 费用是每个保护包(Web ACL)的费用、每条规则的费用以及每百万个 Web 请求检查的基本价格,最多 1,500 WCUs 个,不超过默认的主体尺寸。 启用 Shield Advanced 自动应用层 DDo S 缓解会在您的保护包(Web ACL)中添加一个使用 150 个 Web ACL 容量单位的规则组(WCUs)。这些 WCUs 计入您的保护包(Web ACL)中的 WCU 使用量。有关更多信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)、[使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md) 和 [Web ACL 容量单位 (WCUs) AWS WAF](aws-waf-capacity-units.md)。 你对 Shield Advanced 的 AWS WAF 订阅不包括使用你无法使用 Shield Advanced 保护的资源。它也不包括受保护资源的任何额外非标准 AWS WAF 成本。非标准 AWS WAF 成本的示例包括 Bot Control、CAPTCHA规则操作、使用量超过 1,500 WCUs 的 Web ACLs 以及检查超出默认正文大小的请求正文。完整列表在 AWS WAF 定价页面上提供。您对 Shield Advanced 的订阅包括访问第 7 层 Anti-DDo S Amazon 托管规则群组的访问权限。作为订阅的一部分,您将在一个日历月内收到多达 500 亿个 Shield Advanced 受保护 AWS WAF 资源的请求。超过 500 亿的请求将根据 AWS Shield Advanced 定价页面进行计费。 有关完整信息和定价示例,请参阅 [Shield 定价](https://aws.amazon.com/shield/pricing/)和 [AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。 **Shield Advanced 订阅账单** 如果您是 AWS 渠道经销商,请咨询您的客户团队以获取信息和指导。此账单信息适用于非 AWS 渠道经销商的客户。 对于所有其他订阅和计费指南,则适用以下订阅和计费指南: + 对于属于 AWS Organizations 组织成员的账户,无论付款人账户本身是否已订阅,都要从该组织的付款人账户中扣除 Shield Advanced 订阅 AWS 费用。 + 当您订阅属于同一个[AWS Organizations 整合账单账户系列](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)的多个账户时,该系列中所有已订阅的账户适用一个订阅价格。组织必须拥有其所有 AWS 账户 和所有资源。 + 当您为多个组织订阅多个账户时,如果您拥有所有组织、账户和资源,您可以用一笔订阅费支付所有组织、账户和资源的费用。请联系您的客户经理或 AWS 支持人员,申请免除其中一个组织以外的所有组织的 AWS Shield Advanced 订阅费用。 有关定价信息和示例的详细信息,请参阅 [AWS Shield 定价](https://aws.amazon.com/shield/pricing/)。 **确定要保护的应用程序** 考虑为需要以下任何一项的应用程序实施 Shield Advanced 保护: + 保证应用程序用户的可用性。 + 如果应用程序受到 DDo S 攻击的影响,可以快速联系 DDo S 缓解专家。 + 意识到应用程序可能受 AWS 到 DDo S 攻击的影响,并通知您的安全或运营团队发出的攻击 AWS 并升级到您的安全或运营团队。 + 云成本的可预测性,包括 DDo S 攻击何时影响您对 AWS 服务的使用。 如果应用程序或其资源需要上述任何一项,请考虑为相关账户创建订阅。 **确定要保护的资源** 对于每个订阅的账户,可以考虑为每个具有以下任一特征的资源添加 Shield Advanced 保护: + 该资源为互联网上的外部用户提供服务。 + 该资源暴露在互联网上,也是关键应用程序的一部分。考虑每一个暴露的资源,无论您是否打算让互联网上的用户访问这些资源。 + 该资源受到 AWS WAF Web ACL 的保护。 要了解有关为资源创建和管理保护措施的更多信息,请参阅 [中的资源保护 AWS Shield Advanced](ddos-resource-protections.md) 此外,请按照本指南中的建议进行操作,以帮助确保您的应用程序架构符合 DDo S 弹性,并正确配置 Shield Advanced 的功能以获得最佳保护。