Gestion de la protection des ressources dans AWS Shield Advanced - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Ajouter une protection à une ressourceConfiguration des protectionsSupprimer la protection d'une ressource

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion de la protection des ressources dans AWS Shield Advanced

Suivez les instructions de cette section pour gérer les protections Shield Advanced pour vos ressources.

Note

Shield Advanced protège uniquement les ressources que vous avez spécifiées soit dans Shield Advanced, soit par le biais d'une politique AWS Firewall Manager Shield Advanced. Il ne protège pas automatiquement vos ressources.

Si vous utilisez une politique AWS Firewall Manager Shield Advanced, vous n'avez pas besoin de gérer la protection des ressources couvertes par cette politique. Firewall Manager gère automatiquement les protections des comptes et des ressources concernés par une politique, conformément à la configuration de la politique. Pour plus d’informations, consultez AWS Shield Advanced politiques.

Ajouter AWS Shield Advanced une protection aux AWS ressources

Suivez les instructions de cette section pour ajouter la protection Shield Advanced à une ou plusieurs ressources.

Pour ajouter une protection à une AWS ressource

  1. Connectez-vous à la console AWS WAF & Shield AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/wafv2/.

  2. Dans le volet de navigation, sous AWS Shield Choisissez Ressources protégées.

  3. Choisissez Ajouter des ressources à protéger.

  4. Sur la page Choisissez les ressources à protéger avec Shield Advanced, dans Spécifiez la région et les types de ressources, indiquez les spécifications de région et de type de ressource pour les ressources que vous souhaitez protéger. Vous pouvez protéger les ressources de plusieurs régions en sélectionnant Toutes les régions et vous pouvez restreindre la sélection aux ressources mondiales en sélectionnant Global. Vous pouvez désélectionner les types de ressources que vous ne souhaitez pas protéger. Pour plus d'informations sur les protections de vos types de ressources, consultezAWS Shield Advanced protections par type de ressource.

  5. Choisissez Charger les ressources. Shield Advanced renseigne la section Select Resources avec les AWS ressources correspondant à vos critères.

  6. Dans la section Sélectionner les ressources, vous pouvez filtrer la liste des ressources en saisissant une chaîne à rechercher dans les listes de ressources.

    Sélectionnez les ressources que vous souhaitez protéger.

  7. Dans la section Tags, si vous souhaitez ajouter des balises aux protections Shield Advanced que vous créez, spécifiez-les. Pour plus d'informations sur le balisage AWS des ressources, consultez la section Utilisation de l'éditeur de balises.

  8. Choisissez Protect with Shield Advanced. Cela ajoute les protections Shield Advanced aux ressources.

Configuration des AWS Shield Advanced protections

Vous pouvez modifier les paramètres de vos AWS Shield Advanced protections à tout moment. Pour ce faire, parcourez les options correspondant aux protections que vous avez sélectionnées et modifiez les paramètres que vous devez modifier.

Pour gérer les ressources protégées

  1. Connectez-vous à la console AWS WAF & Shield AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/wafv2/.

  2. Dans le volet AWS Shield de navigation, sélectionnez Ressources protégées.

  3. Dans l'onglet Protections, sélectionnez les ressources que vous souhaitez protéger.

  4. Choisissez Configurer les protections et l'option de spécification des ressources que vous souhaitez.

  5. Passez en revue chacune des options de protection des ressources et apportez les modifications nécessaires.

Configuration des protections DDoS au niveau de la couche applicative

Pour vous protéger contre les attaques visant les ressources Amazon CloudFront et Application Load Balancer, vous pouvez ajouter des ACL AWS WAF Web et des règles basées sur le taux. Pour plus d'informations à ce sujet, consultezShield Advanced, couche applicative, règles basées AWS WAF sur ACLs le Web et les taux.

Vous pouvez également activer l'atténuation automatique des attaques DDoS au niveau de la couche d'application Shield Advanced. Pour plus d'informations sur le AWS WAF fonctionnement, voirAWS WAF. Pour plus d'informations sur la fonction d'atténuation automatique, consultezShield Advanced : atténuation automatique des attaques DDoS au niveau de la couche applicative.

Important

Si vous gérez vos protections Shield Advanced à AWS Firewall Manager l'aide d'une politique Shield Advanced, vous ne pouvez pas gérer les protections de la couche application ici. Pour toutes les autres ressources, nous vous recommandons d'associer au minimum une ACL Web à chaque ressource, même si l'ACL Web ne contient aucune règle.

Note

Lorsque vous activez l'atténuation automatique des attaques DDoS au niveau de la couche application pour une ressource, si nécessaire, l'opération ajoute automatiquement un rôle lié à un service à votre compte afin de donner à Shield Advanced les autorisations dont il a besoin pour gérer vos protections ACL Web. Pour plus d’informations, consultez Utilisation de rôles liés à un service pour Shield Advanced.

Pour configurer les protections DDoS de la couche application

  1. Sur la page Configurer les protections DDoS de la couche 7, si la ressource n'est pas déjà associée à une ACL Web, vous pouvez choisir une ACL Web existante ou créer la vôtre.

    Pour créer une liste ACL web, procédez comme suit :

    1. Sélectionnez Create web ACL.

    2. Entrez un nom. Vous ne pouvez pas modifier le nom une fois que vous créez la liste ACL web.

    3. Choisissez Créer.

    Note

    Si une ressource est déjà associée à une liste ACL web, vous ne pouvez pas passer à une autre liste ACL web. Si vous souhaitez modifier la liste ACL web, vous devez d'abord supprimer les listes ACL web associées à partir de la ressource. Pour plus d’informations, consultez Associer ou dissocier une ACL Web à une ressource AWS.

  2. Si aucune règle basée sur le taux n'est définie dans l'ACL Web, vous pouvez en ajouter une en choisissant Ajouter une règle de limite de débit, puis en effectuant les étapes suivantes :

    1. Entrez un nom.

    2. Entrez une limite de débit. Il s'agit du nombre maximum de demandes autorisées sur une période de cinq minutes à partir d'une adresse IP unique avant que l'action de la règle basée sur le taux ne soit appliquée à l'adresse IP. Lorsque les demandes provenant de l'adresse IP tombent en dessous de la limite, l'action est interrompue.

    3. Définissez l'action de règle pour compter ou bloquer les demandes provenant d'adresses IP lorsque le nombre de demandes dépasse la limite. L'action d'application et de suppression de la règle peut prendre effet une minute ou deux après la modification du taux de demandes d'adresse IP.

    4. Choisissez Ajouter une règle.

  3. Pour l'atténuation automatique des attaques DDoS au niveau de la couche application, choisissez si vous souhaitez que Shield Advanced atténue automatiquement les attaques DDoS en votre nom, comme suit :

    • Pour activer l'atténuation automatique, choisissez Enable, puis sélectionnez l'action de AWS WAF règle que Shield Advanced doit utiliser dans ses règles personnalisées. Vos choix sont Count etBlock. Pour plus d'informations sur ces actions liées aux AWS WAF règles, consultezAction de la règle. Pour plus d'informations sur la façon dont Shield Advanced gère ce paramètre d'action, consultezComment Shield Advanced gère le paramètre d'action des règles.

    • Pour désactiver l'atténuation automatique, choisissez Désactiver.

    • Pour que les paramètres d'atténuation automatique restent inchangés pour les ressources que vous gérez, laissez le choix par défaut Conserver les paramètres actuels.

    Pour plus d'informations sur l'atténuation automatique des attaques DDoS au niveau de la couche d'application Shield Advanced, consultezShield Advanced : atténuation automatique des attaques DDoS au niveau de la couche applicative.

  4. Choisissez Suivant.

Créez des alarmes et des notifications

La procédure suivante indique comment gérer les CloudWatch alarmes relatives aux ressources protégées.

Note

CloudWatch entraîne des coûts supplémentaires. Pour CloudWatch connaître les tarifs, consultez Amazon CloudWatch Pricing.

Pour créer des alarmes et des notifications

  1. Sur la page de protection Créer des alarmes et des notifications (facultatif), configurez les rubriques SNS pour les alarmes et les notifications que vous souhaitez recevoir. Pour les ressources pour lesquelles vous ne souhaitez pas de notifications, choisissez No topic (Aucune rubrique). Vous pouvez ajouter une rubrique Amazon SNS ou en créer une nouvelle.

  2. Pour créer une rubrique Amazon SNS, procédez comme suit :

    1. Dans la liste déroulante, choisissez Créer une rubrique SNS.

    2. Saisissez un nom de rubrique.

    3. Entrez éventuellement une adresse e-mail à laquelle les messages Amazon SNS seront envoyés, puis choisissez Ajouter un e-mail. Vous pouvez en saisir plusieurs.

    4. Choisissez Créer.

  3. Choisissez Suivant.

Supprimer AWS Shield Advanced la protection d'une AWS ressource

Vous pouvez supprimer AWS Shield Advanced la protection de n'importe laquelle de vos AWS ressources à tout moment.

Important

La suppression d'une AWS ressource n'entraîne pas la suppression de la ressource de AWS Shield Advanced. Vous devez également supprimer la protection de la ressource AWS Shield Advanced, comme décrit dans cette procédure.

Supprimer AWS Shield Advanced la protection d'une AWS ressource

  1. Connectez-vous à la console AWS WAF & Shield AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/wafv2/.

  2. Dans le volet AWS Shield de navigation, sélectionnez Ressources protégées.

  3. Dans l'onglet Protections, sélectionnez les ressources dont vous souhaitez supprimer les protections.

  4. Choisissez Supprimer les protections.

    1. Si une CloudWatch alarme Amazon est configurée pour une protection, vous avez la possibilité de supprimer l'alarme en même temps que la protection. Si vous choisissez de ne pas supprimer l'alarme à ce stade, vous pouvez la supprimer ultérieurement à l'aide de la CloudWatch console.

    Note

    Pour les protections pour lesquelles un bilan de santé Amazon Route 53 est configuré, si vous ajoutez à nouveau la protection ultérieurement, la protection inclut toujours le bilan de santé.

Les étapes précédentes suppriment AWS Shield Advanced la protection de AWS ressources spécifiques. Ils n'annulent pas votre AWS Shield Advanced abonnement. Le service continuera de vous être facturé. Pour plus d'informations sur votre AWS Shield Advanced abonnement, contactez le AWS Support Centre.

Supprimer une CloudWatch alarme de vos protections Shield Advanced

Pour supprimer une CloudWatch alarme de vos protections Shield Advanced, effectuez l'une des opérations suivantes :

  • Supprimer la protection comme décrit dans Supprimer AWS Shield Advanced la protection d'une AWS ressource. Veillez à sélectionner la case à cocher en regard de Also delete related DDoSDetection alarm (Supprimer également l'alarme DDoSDetection associée).

  • Supprimez l'alarme à l'aide de la CloudWatch console. Le nom de l'alarme à supprimer commence par DDoS DetectedAlarmForProtection.