Activation de l'DDoSatténuation automatique de la couche d'application

Associer un site Web ACL à la ressource : cela est nécessaire pour toute protection de la couche d'application Shield Advanced. Vous pouvez utiliser le même site Web ACL pour plusieurs ressources. Nous vous recommandons de le faire uniquement pour les ressources ayant un trafic similaire. Pour plus d'informations sur le WebACLs, y compris les exigences relatives à son utilisation avec plusieurs ressources, consultezComment ? AWS WAF fonctionnement.

Activez et configurez l'DDoSatténuation automatique de la couche d'application de Shield Advanced : lorsque vous activez cette option, vous indiquez si vous souhaitez que Shield Advanced bloque ou compte automatiquement les requêtes Web considérées comme faisant partie d'une DDoS attaque. Shield Advanced ajoute un groupe de règles au site Web associé ACL et l'utilise pour gérer dynamiquement sa réponse aux DDoS attaques contre la ressource. Pour plus d'informations sur les options d'action des règles, consultezUtilisation des actions liées aux règles dans AWS WAF.

(Facultatif, mais recommandé) Ajoutez une règle basée sur le débit sur le Web ACL — Par défaut, la règle basée sur le débit fournit à votre ressource une protection de base contre DDoS les attaques en empêchant toute adresse IP individuelle d'envoyer trop de demandes en peu de temps. Pour plus d'informations sur les règles basées sur le taux, y compris les options d'agrégation de demandes personnalisées et des exemples, consultezUtilisation d'instructions de règles basées sur le taux dans AWS WAF.

Le cas échéant, ajoute un groupe de règles pour une utilisation dans Shield Advanced. Si le AWS WAF site Web ACL que vous avez associé à la ressource ne possède pas encore de AWS WAF règle de groupe de règles dédiée à l'DDoSatténuation automatique de la couche d'application, Shield Advanced en ajoute une.

Le nom de la règle du groupe de règles commence parShieldMitigationRuleGroup. Le groupe de règles contient toujours une règle basée sur le débit nomméeShieldKnownOffenderIPRateBasedRule, qui limite le volume de demandes provenant d'adresses IP connues pour être des sources d'DDoSattaques. Pour plus de détails sur le groupe de règles Shield Advanced et la ACL règle Web qui y fait référence, consultezProtection de la couche applicative avec le groupe de règles Shield Advanced.

Commence à répondre aux DDoS attaques contre la ressource — Shield Advanced répond automatiquement aux DDoS attaques visant la ressource protégée. Outre la règle basée sur le taux, qui est toujours présente, Shield Advanced utilise son groupe de AWS WAF règles pour déployer des règles personnalisées afin d'atténuer les DDoS attaques. Shield Advanced adapte ces règles à votre application et aux attaques qu'elle subit, et les teste par rapport au trafic historique de la ressource avant de les déployer.