決定是否訂閱 AWS Shield Advanced 並套用其他保護 - AWS WAFAWS Firewall Manager、 AWS Shield Advanced和 AWS Shield 網路安全主管

推出 的新主控台體驗 AWS WAF

您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱使用更新的主控台體驗

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

決定是否訂閱 AWS Shield Advanced 並套用其他保護

檢閱本節中的案例,以協助決定要訂閱哪些帳戶 AWS Shield Advanced 以及在何處套用其他保護。使用 Shield Advanced,您需要為合併帳單帳戶下建立的所有帳戶支付每月訂閱費,以及根據傳輸之 GB 資料的使用費。如需 Shield Advanced 定價的詳細資訊,請參閱 AWS Shield Advanced 定價

若要使用 Shield Advanced 保護應用程式及其資源,請將管理應用程式的帳戶訂閱至 Shield Advanced,然後將保護新增至應用程式的資源。如需訂閱帳戶和保護 資源的資訊,請參閱 設定 AWS Shield Advanced

Shield Advanced 訂閱和 AWS WAF 成本

Shield Advanced 訂閱涵蓋您使用 Shield Advanced 保護之資源使用標準 AWS WAF 功能的成本。Shield Advanced 保護涵蓋的標準 AWS WAF 費用是每個保護套件或 Web ACL 的成本、每個規則的成本,以及 Web 請求檢查每百萬請求的基本價格、最多 1,500 個 WCUs,以及最多預設內文大小。

啟用 Shield Advanced 自動應用程式層 DDoS 緩解措施會將規則群組新增至使用 150 個 Web ACL 容量單位 (WCUs) 的保護套件或 Web ACL。這些 WCUs會計入您保護套件或 Web ACL 中的 WCU 用量。如需詳細資訊,請參閱使用 Shield Advanced 自動化應用程式層 DDoS 緩解 使用 Shield Advanced 規則群組保護應用程式層中的 Web ACL 容量單位 WCUs) AWS WAF

您對 Shield Advanced 的訂閱不涵蓋對使用 Shield Advanced 時未保護之資源 AWS WAF 的 使用。它也不會涵蓋受保護資源的任何其他非標準 AWS WAF 成本。非標準 AWS WAF 成本的範例包括機器人控制、CAPTCHA規則動作、使用超過 1,500 個 WCUs ACLs,以及檢查超出預設內文大小的請求內文。 AWS WAF 定價頁面上提供完整清單。您對 Shield Advanced 的訂閱包括對 Layer 7 Anti-DDoS Amazon Managed Rule 群組的存取。作為訂閱的一部分,您在一個日曆月內最多會收到 500 億個 Shield Advanced 受保護 AWS WAF 資源的請求。超過 500 億的請求將根據 AWS Shield Advanced 定價頁面計費。

如需完整資訊和定價範例,請參閱 Shield 定價AWS WAF 定價

Shield Advanced 訂閱帳單

如果您是 AWS 通路經銷商,請洽詢您的客戶團隊以取得資訊和指導。此帳單資訊適用於非 AWS 通路經銷商的客戶。

對於所有其他 ,適用下列訂閱和帳單準則:

  • 對於屬於 AWS Organizations 組織成員的帳戶, 會根據組織的付款人帳戶來 AWS 計費 Shield Advanced 訂閱,無論付款人帳戶本身是否訂閱。

  • 當您訂閱同一AWS Organizations 合併帳單帳戶系列中的多個帳戶時,一個訂閱價格涵蓋該系列中所有訂閱的帳戶。組織必須擁有所有 AWS 帳戶 及其所有資源。

  • 當您為多個組織訂閱多個帳戶時,您仍然可以在所有組織、帳戶和資源中支付一筆訂閱費用,以為您提供所有這些帳戶。請聯絡您的客戶經理或 AWS 支援,並請求免除除其中一個組織以外的所有 AWS Shield Advanced 訂閱費用。

如需詳細的定價資訊和範例,請參閱 AWS Shield 定價

識別要保護的應用程式

考慮為需要下列任何一項的應用程式實作 Shield Advanced 保護:

  • 應用程式使用者的保證可用性。

  • 如果應用程式受到 DDoS 攻擊影響,可快速存取 DDoS 緩解專家。

  • AWS 了解應用程式可能會受到 DDoS 攻擊的影響,以及來自 AWS 和 的攻擊通知,並呈報給您的安全或營運團隊。

  • 雲端成本的可預測性,包括 DDoS 攻擊影響您使用 AWS 服務的情況。

如果應用程式或其資源需要上述任何項目,請考慮為相關帳戶建立訂閱。

識別要保護的資源

對於每個訂閱的帳戶,請考慮將 Shield Advanced 保護新增至具有下列任何特性的每個資源:

  • 資源為網際網路上的外部使用者提供服務。

  • 資源會公開至網際網路,也是關鍵應用程式的一部分。考慮每個公開的資源,無論您是否想要讓網際網路上的使用者存取它。

  • 資源受到 AWS WAF Web ACL 的保護。

若要進一步了解如何建立和管理 資源的保護,請參閱 中的資源保護 AWS Shield Advanced

此外,請遵循本指南中的建議,以協助確保您建構應用程式的 DDoS 彈性,並已正確設定 Shield Advanced 的功能,以獲得最佳保護。