**Memperkenalkan pengalaman konsol baru untuk AWS WAF**

Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat [Bekerja dengan konsol](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS Shield
<a name="shield-chapter"></a>

Perlindungan terhadap serangan Distributed Denial of Service (DDoS) sangat penting untuk aplikasi Anda yang menghadap ke internet. Ketika Anda membangun aplikasi Anda AWS, Anda dapat menggunakan perlindungan yang AWS menyediakan tanpa biaya tambahan. Selain itu, Anda dapat menggunakan layanan perlindungan ancaman AWS Shield Advanced terkelola untuk meningkatkan postur keamanan Anda dengan kemampuan deteksi, mitigasi, dan respons DDo S tambahan. 

AWS berkomitmen untuk memberi Anda alat, praktik terbaik, dan layanan untuk membantu memastikan ketersediaan, keamanan, dan ketahanan yang tinggi dalam pertahanan Anda terhadap aktor jahat di internet. Panduan ini disediakan untuk membantu pembuat keputusan TI dan teknisi keamanan memahami cara menggunakan Shield dan Shield Advanced untuk melindungi aplikasi mereka dari serangan DDo S dan ancaman eksternal lainnya dengan lebih baik. 

Saat Anda membangun aplikasi AWS, Anda menerima perlindungan otomatis AWS terhadap vektor serangan DDo S volumetrik umum, seperti serangan refleksi UDP dan banjir TCP SYN. Anda dapat memanfaatkan perlindungan ini untuk memastikan ketersediaan aplikasi yang Anda jalankan AWS dengan merancang dan mengonfigurasi arsitektur Anda untuk ketahanan DDo S. 

Panduan ini memberikan rekomendasi yang dapat membantu Anda merancang, membuat, dan mengonfigurasi arsitektur aplikasi Anda untuk ketahanan DDo S. Aplikasi yang mematuhi praktik terbaik yang disediakan dalam panduan ini dapat memperoleh manfaat dari peningkatan kontinuitas ketersediaan ketika ditargetkan oleh serangan DDo S yang lebih besar dan oleh rentang vektor serangan DDo S yang lebih luas. Selain itu, panduan ini menunjukkan cara menggunakan Shield Advanced untuk menerapkan postur perlindungan DDo S yang dioptimalkan untuk aplikasi penting Anda. Ini termasuk aplikasi yang telah Anda jamin tingkat ketersediaan tertentu untuk pelanggan Anda dan aplikasi yang memerlukan dukungan operasional AWS selama acara DDo S.

Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menggambarkan hal ini sebagai keamanan *dari* cloud dan keamanan *di* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Efektivitas keamanan kami diuji dan diverifikasi secara rutin oleh auditor pihak ketiga sebagai bagian dari [program kepatuhan AWS](https://aws.amazon.com/compliance/programs/). Untuk mempelajari tentang program kepatuhan yang berlaku untuk Shield Advanced, lihat [AWS Layanan dalam Lingkup menurut Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/).
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor-faktor lain termasuk sensitivitas data, kebutuhan organisasi, serta undang-undang dan peraturan yang berlaku. 

![\[Diagram menunjukkan persegi panjang yang terbagi secara horizontal. Bagian atas berjudul Pelanggan: Tanggung Jawab untuk keamanan 'di' cloud dan bagian bawah berjudul AWS: Tanggung jawab untuk keamanan 'dari' cloud. Setengah pelanggan teratas berisi empat tingkatan. Yang teratas adalah data Pelanggan. Yang kedua adalah Platform, aplikasi, identitas dan manajemen akses. Yang ketiga adalah Sistem operasi, jaringan dan konfigurasi firewall. Tingkat keempat dan bawah untuk area pelanggan dibagi menjadi tiga bagian yang berdampingan. Bagian kiri ini adalah data sisi klien, enkripsi dan integritas data, otentikasi. Yang tengah adalah enkripsi sisi server (data sistem and/or file). Yang benar adalah Networking traffic protection (enkripsi, integritas, identitas). Ini menyimpulkan isi dari setengah pelanggan teratas dari gambar tersebut. AWS Bagian bawah gambar, berisi tingkat berjudul Perangkat Lunak di bagian atas dan di bawahnya, tingkat berjudul AWS Hardware/infrastruktur global. Tingkat perangkat lunak dibagi menjadi empat subbagian yang berdampingan dan membaca Compute, Storage, Database, Networking. Tingkat perangkat keras dibagi menjadi tiga subbagian yang berdampingan dan membaca Wilayah, Zona Ketersediaan, lokasi tepi.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/shared-responsibility-model.png)


# Bagaimana AWS Shield dan Shield Advanced bekerja
<a name="ddos-overview"></a>

Halaman ini menjelaskan perbedaan antara AWS Shield Standard dan AWS Shield Advanced. Ini juga menggambarkan kelas serangan yang dideteksi Shield.

AWS Shield Standard dan AWS Shield Advanced memberikan perlindungan terhadap serangan Distributed Denial of Service (DDoS) untuk AWS sumber daya di jaringan dan lapisan transport (lapisan 3 dan 4) dan lapisan aplikasi (lapisan 7). Serangan DDo S adalah serangan di mana beberapa sistem yang dikompromikan mencoba membanjiri target dengan lalu lintas. Serangan DDo S dapat mencegah pengguna akhir yang sah mengakses layanan target dan dapat menyebabkan target crash karena volume lalu lintas yang luar biasa. 

AWS Shield memberikan perlindungan terhadap berbagai vektor serangan DDo S yang diketahui dan vektor serangan zero-day. Deteksi dan mitigasi Shield dirancang untuk memberikan cakupan terhadap ancaman bahkan jika mereka tidak secara eksplisit diketahui oleh layanan pada saat deteksi.

Shield Standard disediakan secara otomatis dan tanpa biaya tambahan saat Anda menggunakannya AWS. Untuk tingkat perlindungan yang lebih tinggi terhadap serangan, Anda dapat berlangganan AWS Shield Advanced.

Kelas serangan yang dideteksi Shield meliputi:
+ **Serangan volumetrik jaringan (lapisan 3)** — Ini adalah sub kategori vektor serangan lapisan infrastruktur. Vektor-vektor ini berusaha untuk memenuhi kapasitas jaringan atau sumber daya yang ditargetkan, untuk menolak layanan kepada pengguna yang sah.
+ **Serangan protokol jaringan (lapisan 4)** — Ini adalah sub kategori vektor serangan lapisan infrastruktur. Vektor-vektor ini menyalahgunakan protokol untuk menolak layanan ke sumber daya yang ditargetkan. Contoh umum dari serangan protokol jaringan adalah banjir TCP SYN, yang dapat menghabiskan status koneksi pada sumber daya seperti server, penyeimbang beban, atau firewall. Serangan protokol jaringan juga bisa bersifat volumetrik. Misalnya, banjir TCP SYN yang lebih besar mungkin bermaksud untuk menjenuhkan kapasitas jaringan sementara juga menghabiskan keadaan sumber daya yang ditargetkan atau sumber daya menengah.
+ **Serangan lapisan aplikasi (lapisan 7)** — Kategori vektor serangan ini mencoba untuk menolak layanan kepada pengguna yang sah dengan membanjiri aplikasi dengan kueri yang valid untuk target, seperti banjir permintaan web.

**Contents**
+ [AWS Shield Standard ikhtisar](ddos-standard-summary.md)
+ [AWS Shield Advanced ikhtisar](ddos-advanced-summary.md)
+ [Daftar sumber AWS daya yang AWS Shield Advanced melindungi](ddos-advanced-summary-protected-resources.md)
+ [AWS Shield Advanced kemampuan dan opsi](ddos-advanced-summary-capabilities.md)
+ [Memutuskan apakah akan berlangganan AWS Shield Advanced dan menerapkan perlindungan tambahan](ddos-advanced-summary-deciding.md)
+ [Contoh serangan DDo S](types-of-ddos-attacks.md)
+ [Bagaimana AWS Shield mendeteksi peristiwa](ddos-event-detection.md)
  + [AWS Shield logika deteksi untuk ancaman lapisan infrastruktur (lapisan 3 dan lapisan 4)](ddos-event-detection-infrastructure.md)
  + [Shield Logika deteksi lanjutan untuk ancaman lapisan aplikasi (lapisan 7)](ddos-event-detection-application.md)
  + [Shield Logika deteksi lanjutan untuk beberapa sumber daya dalam aplikasi](ddos-event-detection-multiple-resources.md)
+ [Bagaimana AWS Shield mengurangi peristiwa](ddos-event-mitigation.md)
  + [Daftar fitur mitigasi AWS Shield DDo S](ddos-event-mitigation-features.md)
  + [AWS Shield logika mitigasi untuk CloudFront dan Rute 53](ddos-event-mitigation-logic-continuous-inspection.md)
  + [AWS Shield logika mitigasi untuk Wilayah AWS](ddos-event-mitigation-logic-regions.md)
  + [AWS Shield logika mitigasi untuk AWS Global Accelerator akselerator standar](ddos-event-mitigation-logic-gax.md)
  + [AWS Shield Advanced logika mitigasi untuk Elastis IPs](ddos-event-mitigation-logic-adv-eip.md)
  + [AWS Shield Advanced logika mitigasi untuk aplikasi web](ddos-event-mitigation-logic-adv-web-app.md)

# AWS Shield Standard ikhtisar
<a name="ddos-standard-summary"></a>

AWS Shield adalah layanan perlindungan ancaman terkelola yang melindungi perimeter aplikasi Anda. Perimeter adalah titik masuk pertama untuk lalu lintas aplikasi yang datang dari luar AWS jaringan. 

Untuk menentukan letak perimeter aplikasi Anda, pertimbangkan bagaimana pengguna mengakses aplikasi Anda dari internet. Jika titik masuk pertama ada di AWS Wilayah, maka perimeter aplikasi adalah Amazon Virtual Private Cloud (VPC) Anda. Jika pengguna diarahkan ke aplikasi Anda oleh Amazon Route 53, dan pertama-tama mengakses aplikasi menggunakan Amazon CloudFront atau AWS Global Accelerator, maka perimeter aplikasi dimulai di tepi AWS jaringan. 

Shield memberikan manfaat deteksi dan mitigasi DDo S untuk semua aplikasi yang berjalan AWS, tetapi keputusan yang Anda buat saat mendesain arsitektur aplikasi akan memengaruhi tingkat ketahanan DDo S Anda. DDoS Resiliency adalah kemampuan aplikasi Anda untuk terus beroperasi dalam parameter yang diharapkan selama serangan. 

Semua AWS pelanggan mendapat manfaat dari perlindungan otomatis Shield Standard, tanpa biaya tambahan. Shield Standard bertahan terhadap serangan lapisan DDo S jaringan dan transport yang paling umum dan sering terjadi yang menargetkan situs web atau aplikasi Anda. Meskipun Shield Standard membantu melindungi semua AWS pelanggan, Anda mendapatkan manfaat khusus dengan zona yang dihosting Amazon Route 53, CloudFront distribusi Amazon, dan akselerator AWS Global Accelerator standar. Sumber daya ini menerima perlindungan ketersediaan komprehensif terhadap semua serangan jaringan dan lapisan transportasi yang diketahui.

# AWS Shield Advanced ikhtisar
<a name="ddos-advanced-summary"></a>

AWS Shield Advanced adalah layanan terkelola yang membantu Anda melindungi aplikasi Anda dari ancaman eksternal, seperti serangan DDo S, bot volumetrik, dan upaya eksploitasi kerentanan. Untuk tingkat perlindungan yang lebih tinggi terhadap serangan, Anda dapat berlangganan AWS Shield Advanced. 

Saat Anda berlangganan Shield Advanced dan menambahkan perlindungan ke sumber daya Anda, Shield Advanced menyediakan perlindungan serangan DDo S yang diperluas untuk sumber daya tersebut. Perlindungan yang Anda terima dari Shield Advanced dapat bervariasi tergantung pada pilihan arsitektur dan konfigurasi Anda. Gunakan informasi dalam panduan ini untuk membangun dan melindungi aplikasi tangguh menggunakan Shield Advanced, dan untuk meningkatkan ketika Anda membutuhkan bantuan ahli. 

**Langganan dan biaya Shield Advanced AWS WAF**  
Langganan Shield Advanced Anda menanggung biaya penggunaan AWS WAF kemampuan standar untuk sumber daya yang Anda lindungi dengan Shield Advanced. AWS WAF Biaya standar yang ditanggung oleh perlindungan Shield Advanced Anda adalah biaya per paket perlindungan (web ACL), biaya per aturan, dan harga dasar per juta permintaan untuk pemeriksaan permintaan web, hingga 1.500 WCUs dan hingga ukuran badan default.

Mengaktifkan mitigasi lapisan aplikasi DDo S otomatis Shield Advanced menambahkan grup aturan ke paket perlindungan Anda (web ACL) yang menggunakan 150 unit kapasitas ACL web (). WCUs Ini WCUs dihitung terhadap penggunaan WCU dalam paket perlindungan Anda (web ACL). Lihat informasi selengkapnya di [Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md), [Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md), dan [Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md).

Langganan Anda ke Shield Advanced tidak mencakup AWS WAF penggunaan sumber daya yang tidak Anda lindungi menggunakan Shield Advanced. Ini juga tidak mencakup AWS WAF biaya non-standar tambahan untuk sumber daya yang dilindungi. Contoh biaya non-standar adalah AWS WAF biaya untuk Kontrol Bot, untuk tindakan CAPTCHA aturan, untuk web ACLs yang menggunakan lebih dari 1.500 WCUs, dan untuk memeriksa badan permintaan di luar ukuran tubuh default. Daftar lengkap disediakan di halaman AWS WAF harga. Langganan Anda ke Shield Advanced mencakup akses ke grup Aturan Terkelola Amazon Anti- DDo S Layer 7. Sebagai bagian dari langganan Anda, Anda akan mendapatkan hingga 50 miliar permintaan ke AWS WAF sumber daya yang dilindungi Shield Advanced dalam satu bulan kalender. Permintaan di atas 50 miliar akan ditagih sesuai halaman AWS Shield Advanced harga.

Untuk informasi selengkapnya dan contoh harga, lihat [Harga dan [AWS WAF Harga](https://aws.amazon.com/waf/pricing/) Shield](https://aws.amazon.com/shield/pricing/).

**Penagihan langganan Shield Advanced**  
Jika Anda seorang Reseller AWS Saluran, bicarakan dengan tim akun Anda untuk informasi dan panduan. Informasi penagihan ini untuk pelanggan yang bukan AWS Channel Reseller. 

Untuk yang lainnya, pedoman berlangganan dan penagihan berikut berlaku:
+ Untuk akun yang merupakan anggota AWS Organizations organisasi, AWS menagih langganan Shield Advanced terhadap akun pembayar untuk organisasi, terlepas dari apakah akun pembayar itu sendiri berlangganan. 
+ Saat Anda berlangganan beberapa akun yang berada dalam [keluarga akun penagihan AWS Organizations konsolidasi](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html) yang sama, satu harga langganan mencakup semua akun berlangganan dalam keluarga. Organisasi harus memiliki semua Akun AWS dan semua sumber daya mereka. 
+ Saat Anda berlangganan beberapa akun untuk beberapa organisasi, Anda masih dapat membayar satu biaya berlangganan di semua organisasi, akun, dan sumber daya yang menyediakan Anda memiliki semuanya. Hubungi manajer akun atau AWS dukungan Anda dan minta pengabaian biaya pada biaya AWS Shield Advanced berlangganan untuk semua kecuali satu organisasi. 

Untuk informasi dan contoh harga terperinci, lihat [AWS Shield Harga](https://aws.amazon.com/shield/pricing/). 

**Topics**

# Daftar sumber AWS daya yang AWS Shield Advanced melindungi
<a name="ddos-advanced-summary-protected-resources"></a>

**catatan**  
Perlindungan Shield Advanced hanya diaktifkan untuk sumber daya yang telah Anda tentukan secara eksplisit di Shield Advanced atau yang Anda lindungi melalui kebijakan AWS Firewall Manager Shield Advanced. Shield Advanced tidak secara otomatis melindungi sumber daya Anda. 

Anda dapat menggunakan Shield Advanced untuk pemantauan dan perlindungan lanjutan dengan jenis sumber daya berikut:
+  CloudFront Distribusi Amazon. Untuk penerapan CloudFront berkelanjutan, Shield Advanced melindungi distribusi pementasan apa pun yang terkait dengan distribusi primer yang dilindungi. 
+ Amazon Route 53 zona yang dihosting.
+ AWS Global Accelerator akselerator standar.
+ Alamat IP Amazon EC2 Elastic. Shield Advanced melindungi sumber daya yang terkait dengan alamat IP Elastic yang dilindungi. 
+  EC2 Instans Amazon, melalui asosiasi ke alamat IP Amazon EC2 Elastic. 
+ Berikut ini penyeimbang beban Elastic Load Balancing (ELB):
  + Penyeimbang Beban Aplikasi.
  + Penyeimbang Beban Klasik.
  + Network Load Balancers, melalui asosiasi ke alamat IP Amazon EC2 Elastic. 

Untuk informasi tambahan tentang perlindungan untuk jenis sumber daya ini, lihat[Daftar sumber daya yang AWS Shield Advanced melindungi](ddos-protections-by-resource-type.md).

# AWS Shield Advanced kemampuan dan opsi
<a name="ddos-advanced-summary-capabilities"></a>

AWS Shield Advanced berlangganan mencakup kemampuan dan opsi berikut. Ini melengkapi kemampuan deteksi dan mitigasi DDo S yang sudah Anda terima. AWS
+ **AWS WAF integrasi** — Shield Advanced menggunakan AWS WAF web ACLs, aturan, dan grup aturan sebagai bagian dari perlindungan lapisan aplikasinya. Untuk informasi lebih lanjut tentang AWS WAF, lihat[Bagaimana cara AWS WAF kerja](how-aws-waf-works.md). 
**catatan**  
Langganan Shield Advanced Anda menanggung biaya penggunaan AWS WAF kemampuan standar untuk sumber daya yang Anda lindungi dengan Shield Advanced. AWS WAF Biaya standar yang ditanggung oleh perlindungan Shield Advanced Anda adalah biaya per paket perlindungan (web ACL), biaya per aturan, dan harga dasar per juta permintaan untuk pemeriksaan permintaan web, hingga 1.500 WCUs dan hingga ukuran badan default.  
Mengaktifkan mitigasi lapisan aplikasi DDo S otomatis Shield Advanced menambahkan grup aturan ke paket perlindungan Anda (web ACL) yang menggunakan 150 unit kapasitas ACL web (). WCUs Ini WCUs dihitung terhadap penggunaan WCU dalam paket perlindungan Anda (web ACL). Lihat informasi selengkapnya di [Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md), [Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md), dan [Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md).  
Langganan Anda ke Shield Advanced tidak mencakup AWS WAF penggunaan sumber daya yang tidak Anda lindungi menggunakan Shield Advanced. Ini juga tidak mencakup AWS WAF biaya non-standar tambahan untuk sumber daya yang dilindungi. Contoh biaya non-standar adalah AWS WAF biaya untuk Kontrol Bot, untuk tindakan CAPTCHA aturan, untuk web ACLs yang menggunakan lebih dari 1.500 WCUs, dan untuk memeriksa badan permintaan di luar ukuran tubuh default. Daftar lengkap disediakan di halaman AWS WAF harga. Langganan Anda ke Shield Advanced mencakup akses ke grup Aturan Terkelola Amazon Anti- DDo S Layer 7. Sebagai bagian dari langganan Anda, Anda akan mendapatkan hingga 50 miliar permintaan ke AWS WAF sumber daya yang dilindungi Shield Advanced dalam satu bulan kalender. Permintaan di atas 50 miliar akan ditagih sesuai halaman AWS Shield Advanced harga.  
Untuk informasi selengkapnya dan contoh harga, lihat [Harga dan [AWS WAF Harga](https://aws.amazon.com/waf/pricing/) Shield](https://aws.amazon.com/shield/pricing/).
+ **Mitigasi lapisan aplikasi DDo S otomatis** — Anda dapat mengonfigurasi Shield Advanced untuk merespons secara otomatis untuk mengurangi serangan lapisan aplikasi (lapisan 7) terhadap sumber daya yang dilindungi. Dengan mitigasi otomatis, Shield Advanced memberlakukan pembatasan AWS WAF tarif pada permintaan dari sumber DDo S yang diketahui, dan secara otomatis menambahkan dan mengelola AWS WAF perlindungan khusus sebagai respons terhadap serangan S yang terdeteksi. DDo Anda dapat mengonfigurasi mitigasi otomatis untuk menghitung atau memblokir permintaan web yang merupakan bagian dari serangan. 

  Untuk informasi selengkapnya, lihat [Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md).
+ **Deteksi berbasis kesehatan** — Anda dapat menggunakan pemeriksaan kesehatan Amazon Route 53 dengan Shield Advanced untuk menginformasikan deteksi dan mitigasi peristiwa. Pemeriksaan Kesehatan memantau aplikasi Anda sesuai dengan spesifikasi Anda, melaporkan sehat ketika spesifikasi Anda terpenuhi dan tidak sehat ketika tidak. Menggunakan pemeriksaan kesehatan dengan Shield Advanced membantu mencegah kesalahan positif dan memberikan deteksi dan mitigasi yang lebih cepat ketika sumber daya yang dilindungi tidak sehat. Anda dapat menggunakan deteksi berbasis kesehatan untuk semua jenis sumber daya kecuali zona yang dihosting Route 53. Keterlibatan proaktif Shield Advanced hanya tersedia untuk sumber daya yang mengaktifkan deteksi berbasis kesehatan. 

  Untuk informasi selengkapnya, lihat [Deteksi berbasis kesehatan menggunakan pemeriksaan kesehatan dengan Shield Advanced dan Route 53](ddos-advanced-health-checks.md).
+ **Grup perlindungan** — Anda dapat menggunakan grup perlindungan untuk membuat pengelompokan logis sumber daya yang dilindungi, untuk meningkatkan deteksi dan mitigasi grup secara keseluruhan. Anda dapat menentukan kriteria keanggotaan dalam grup perlindungan sehingga sumber daya yang baru dilindungi secara otomatis disertakan. Sumber daya yang dilindungi dapat menjadi milik beberapa kelompok perlindungan. 

  Untuk informasi selengkapnya, lihat [Mengelompokkan perlindungan Anda AWS Shield Advanced](ddos-protection-groups.md).
+ **Peningkatan visibilitas ke dalam peristiwa dan serangan DDo S** — Shield Advanced memberi Anda akses ke metrik dan laporan real-time lanjutan untuk visibilitas ekstensif ke dalam peristiwa dan serangan terhadap sumber daya Anda yang dilindungi. AWS Anda dapat mengakses informasi ini melalui Shield Advanced API dan konsol, dan melalui CloudWatch metrik Amazon. 

  Untuk informasi selengkapnya, lihat [Visibilitas ke acara DDo S dengan Shield Advanced](ddos-viewing-events.md).
+ **Manajemen terpusat perlindungan Shield Advanced oleh AWS Firewall Manager** — Anda dapat menggunakan Firewall Manager untuk secara otomatis menerapkan perlindungan Shield Advanced ke akun dan sumber daya baru Anda dan untuk menerapkan AWS WAF aturan ke web Anda. ACLs Firewall Manager Shield Kebijakan perlindungan lanjutan disertakan tanpa biaya tambahan untuk pelanggan Shield Advanced. Anda juga dapat memusatkan aktivitas pemantauan Shield Advanced untuk akun Anda dengan menggunakan Firewall Manager dengan topik Amazon Simple Notification Service (SNS) atau. AWS Security Hub CSPM

  Untuk informasi selengkapnya tentang menggunakan Firewall Manager untuk mengelola perlindungan Shield Advanced, lihat [AWS Firewall Manager](fms-chapter.md) dan[Menggunakan AWS Shield Advanced kebijakan di Firewall Manager](shield-policies.md). Untuk informasi tentang harga Firewall Manager, lihat [AWS Firewall Manager Harga](https://aws.amazon.com/firewall-manager/pricing/).
+ **AWS Shield Response Team (SRT)** — SRT memiliki pengalaman mendalam dalam melindungi AWS, Amazon.com, dan anak perusahaannya. Sebagai AWS Shield Advanced pelanggan, Anda dapat menghubungi SRT kapan saja untuk mendapatkan bantuan selama serangan DDo S yang memengaruhi ketersediaan aplikasi Anda. Anda juga dapat bekerja dengan SRT untuk membuat dan mengelola mitigasi kustom untuk sumber daya Anda. Untuk menggunakan layanan SRT, Anda juga harus berlangganan paket Business [Support atau paket Enterprise](https://aws.amazon.com/premiumsupport/business-support/) [Support](https://aws.amazon.com/premiumsupport/enterprise-support/).

  Untuk informasi selengkapnya, lihat [Respons acara DDo S terkelola dengan dukungan Shield Response Team (SRT)](ddos-srt-support.md).
+ **Keterlibatan proaktif** — Dengan keterlibatan proaktif, Tim Respons Shield (SRT) menghubungi Anda secara langsung jika pemeriksaan kesehatan Amazon Route 53 yang Anda kaitkan dengan sumber daya yang dilindungi menjadi tidak sehat selama acara yang terdeteksi oleh Shield Advanced. Ini memberi Anda keterlibatan yang lebih cepat dengan para ahli ketika ketersediaan aplikasi Anda mungkin terpengaruh oleh serangan yang dicurigai. 

  Untuk informasi selengkapnya, lihat [Menyiapkan keterlibatan proaktif untuk SRT untuk menghubungi Anda secara langsung](ddos-srt-proactive-engagement.md).
+ **Peluang perlindungan biaya** — Shield Advanced menawarkan beberapa perlindungan biaya terhadap lonjakan AWS tagihan Anda yang mungkin diakibatkan oleh serangan DDo S terhadap sumber daya Anda yang dilindungi. Ini dapat mencakup cakupan untuk lonjakan biaya penggunaan Shield Advanced data transfer out (DTO). Shield Advanced memberikan perlindungan biaya apa pun dalam bentuk kredit layanan Shield Advanced.

  Lihat informasi yang lebih lengkap di [Meminta kredit AWS Shield Advanced setelah serangan](ddos-request-service-credit.md). 

# Memutuskan apakah akan berlangganan AWS Shield Advanced dan menerapkan perlindungan tambahan
<a name="ddos-advanced-summary-deciding"></a>

Tinjau skenario di bagian ini untuk membantu menentukan akun mana yang akan berlangganan AWS Shield Advanced dan di mana menerapkan perlindungan tambahan. Dengan Shield Advanced, Anda membayar satu biaya berlangganan bulanan untuk semua akun yang dibuat di bawah akun penagihan gabungan, ditambah biaya penggunaan berdasarkan GB data yang ditransfer keluar. Untuk informasi tentang harga Shield Advanced, lihat [AWS Shield Advanced Harga](https://aws.amazon.com/shield/pricing/).

Untuk melindungi aplikasi dan sumber dayanya dengan Shield Advanced, Anda berlangganan akun yang mengelola aplikasi ke Shield Advanced dan kemudian Anda menambahkan perlindungan ke sumber daya aplikasi. Untuk informasi tentang berlangganan akun dan melindungi sumber daya, lihat[Menyiapkan AWS Shield Advanced](getting-started-ddos.md).

**Langganan dan biaya Shield Advanced AWS WAF**  
Langganan Shield Advanced Anda menanggung biaya penggunaan AWS WAF kemampuan standar untuk sumber daya yang Anda lindungi dengan Shield Advanced. AWS WAF Biaya standar yang ditanggung oleh perlindungan Shield Advanced Anda adalah biaya per paket perlindungan (web ACL), biaya per aturan, dan harga dasar per juta permintaan untuk pemeriksaan permintaan web, hingga 1.500 WCUs dan hingga ukuran badan default.

Mengaktifkan mitigasi lapisan aplikasi DDo S otomatis Shield Advanced menambahkan grup aturan ke paket perlindungan Anda (web ACL) yang menggunakan 150 unit kapasitas ACL web (). WCUs Ini WCUs dihitung terhadap penggunaan WCU dalam paket perlindungan Anda (web ACL). Lihat informasi selengkapnya di [Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md), [Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md), dan [Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md).

Langganan Anda ke Shield Advanced tidak mencakup AWS WAF penggunaan sumber daya yang tidak Anda lindungi menggunakan Shield Advanced. Ini juga tidak mencakup AWS WAF biaya non-standar tambahan untuk sumber daya yang dilindungi. Contoh biaya non-standar adalah AWS WAF biaya untuk Kontrol Bot, untuk tindakan CAPTCHA aturan, untuk web ACLs yang menggunakan lebih dari 1.500 WCUs, dan untuk memeriksa badan permintaan di luar ukuran tubuh default. Daftar lengkap disediakan di halaman AWS WAF harga. Langganan Anda ke Shield Advanced mencakup akses ke grup Aturan Terkelola Amazon Anti- DDo S Layer 7. Sebagai bagian dari langganan Anda, Anda akan mendapatkan hingga 50 miliar permintaan ke AWS WAF sumber daya yang dilindungi Shield Advanced dalam satu bulan kalender. Permintaan di atas 50 miliar akan ditagih sesuai halaman AWS Shield Advanced harga.

Untuk informasi selengkapnya dan contoh harga, lihat [Harga dan [AWS WAF Harga](https://aws.amazon.com/waf/pricing/) Shield](https://aws.amazon.com/shield/pricing/).

**Penagihan langganan Shield Advanced**  
Jika Anda seorang Reseller AWS Saluran, bicarakan dengan tim akun Anda untuk informasi dan panduan. Informasi penagihan ini untuk pelanggan yang bukan AWS Channel Reseller. 

Untuk yang lainnya, pedoman berlangganan dan penagihan berikut berlaku:
+ Untuk akun yang merupakan anggota AWS Organizations organisasi, AWS menagih langganan Shield Advanced terhadap akun pembayar untuk organisasi, terlepas dari apakah akun pembayar itu sendiri berlangganan. 
+ Saat Anda berlangganan beberapa akun yang berada dalam [keluarga akun penagihan AWS Organizations konsolidasi](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html) yang sama, satu harga langganan mencakup semua akun berlangganan dalam keluarga. Organisasi harus memiliki semua Akun AWS dan semua sumber daya mereka. 
+ Saat Anda berlangganan beberapa akun untuk beberapa organisasi, Anda masih dapat membayar satu biaya berlangganan di semua organisasi, akun, dan sumber daya yang menyediakan Anda memiliki semuanya. Hubungi manajer akun atau AWS dukungan Anda dan minta pengabaian biaya pada biaya AWS Shield Advanced berlangganan untuk semua kecuali satu organisasi. 

Untuk informasi dan contoh harga terperinci, lihat [AWS Shield Harga](https://aws.amazon.com/shield/pricing/). 

**Mengidentifikasi aplikasi untuk melindungi**  
Pertimbangkan untuk menerapkan perlindungan Shield Advanced untuk aplikasi di mana Anda memerlukan salah satu dari berikut ini: 
+ Ketersediaan terjamin untuk pengguna aplikasi. 
+ Akses cepat ke ahli mitigasi DDo S jika aplikasi dipengaruhi oleh serangan DDo S.
+ Kesadaran AWS bahwa aplikasi mungkin terpengaruh oleh serangan DDo S dan pemberitahuan serangan dari AWS dan eskalasi ke tim keamanan atau operasi Anda.
+ Prediktabilitas dalam biaya cloud Anda, termasuk ketika serangan DDo S memengaruhi penggunaan AWS layanan Anda.

Jika aplikasi atau sumber dayanya memerlukan salah satu hal di atas, pertimbangkan untuk membuat langganan untuk akun terkait. 

**Mengidentifikasi sumber daya untuk melindungi**  
Untuk setiap akun berlangganan, pertimbangkan untuk menambahkan perlindungan Shield Advanced ke setiap sumber daya yang memiliki karakteristik berikut:
+ Sumber daya melayani pengguna eksternal di internet. 
+ Sumber daya terpapar ke internet dan juga merupakan bagian dari aplikasi penting. Pertimbangkan setiap sumber daya yang terbuka, terlepas dari apakah Anda berniat untuk diakses oleh pengguna di internet. 
+ Sumber daya dilindungi oleh ACL AWS WAF web.

Untuk mempelajari lebih lanjut tentang membuat dan mengelola perlindungan untuk sumber daya Anda, lihat[Perlindungan sumber daya di AWS Shield Advanced](ddos-resource-protections.md). 

Selain itu, ikuti rekomendasi dalam panduan ini untuk membantu memastikan bahwa Anda merancang aplikasi Anda untuk ketahanan DDo S dan bahwa Anda telah mengonfigurasi fitur Shield Advanced dengan benar untuk perlindungan optimal. 

# Contoh serangan DDo S
<a name="types-of-ddos-attacks"></a>

AWS Shield Advanced memberikan perlindungan yang diperluas terhadap berbagai jenis serangan. 

Daftar berikut menjelaskan beberapa jenis serangan umum:



**Serangan refleksi User Datagram Protocol (UDP)**  
Dalam serangan refleksi UDP, penyerang dapat menipu sumber permintaan dan menggunakan UDP untuk mendapatkan respons besar dari server. Lalu lintas jaringan tambahan yang diarahkan ke alamat IP palsu dan diserang dapat memperlambat server yang ditargetkan dan mencegah pengguna akhir yang sah mengakses sumber daya yang dibutuhkan.

**Banjir TCP SYN**  
Tujuan dari serangan banjir TCP SYN adalah untuk menghabiskan sumber daya yang tersedia dari sistem dengan meninggalkan koneksi dalam keadaan setengah terbuka. Ketika pengguna terhubung ke layanan TCP seperti server web, klien mengirimkan paket TCP SYN. Server mengembalikan pengakuan, dan klien mengembalikan pengakuannya sendiri, menyelesaikan jabat tangan tiga arah. Dalam banjir TCP SYN, pengakuan ketiga tidak pernah dikembalikan, dan server dibiarkan menunggu respons. Ini dapat mencegah pengguna lain terhubung ke server. 

**Banjir kueri DNS**  
Dalam banjir kueri DNS, penyerang menggunakan beberapa kueri DNS untuk menghabiskan sumber daya server DNS. AWS Shield Advanced dapat membantu memberikan perlindungan terhadap serangan banjir kueri DNS pada server DNS Route 53.

**Serangan banjir HTTP /cache-busting (lapisan 7)**  
Dengan banjir HTTP, termasuk `GET` dan `POST` banjir, penyerang mengirimkan beberapa permintaan HTTP yang tampaknya berasal dari pengguna nyata aplikasi web. Serangan penghilang cache adalah jenis banjir HTTP yang menggunakan variasi dalam string kueri permintaan HTTP yang mencegah penggunaan konten cache yang terletak di tepi dan memaksa konten untuk disajikan dari server web asal, menyebabkan ketegangan tambahan dan berpotensi merusak pada server web asal. 

# Bagaimana AWS Shield mendeteksi peristiwa
<a name="ddos-event-detection"></a>

AWS mengoperasikan sistem deteksi tingkat layanan untuk AWS jaringan dan AWS layanan individu, untuk memastikan bahwa mereka tetap tersedia selama serangan DDo S. Selain itu, sistem deteksi tingkat sumber daya memantau setiap AWS sumber daya individu untuk memastikan bahwa lalu lintas menuju sumber daya tetap dalam parameter yang diharapkan. Kombinasi ini melindungi AWS sumber daya dan AWS layanan yang ditargetkan, dengan menerapkan mitigasi yang menjatuhkan paket buruk yang diketahui, menyoroti lalu lintas yang berpotensi berbahaya, dan memprioritaskan lalu lintas dari pengguna akhir.

Peristiwa yang terdeteksi muncul di ringkasan peristiwa Shield Advanced, detail serangan, dan CloudWatch metrik Amazon sebagai nama vektor serangan DDo S atau `Volumetric` seolah-olah evaluasi didasarkan pada volume lalu lintas, bukan tanda tangan. Untuk informasi lebih lanjut tentang dimensi vektor serangan yang tersedia dalam `DDoSDetected` CloudWatch metrik, lihat[AWS Shield Advanced metrik](shield-metrics.md).

**Topics**
+ [AWS Shield logika deteksi untuk ancaman lapisan infrastruktur (lapisan 3 dan lapisan 4)](ddos-event-detection-infrastructure.md)
+ [Shield Logika deteksi lanjutan untuk ancaman lapisan aplikasi (lapisan 7)](ddos-event-detection-application.md)
+ [Shield Logika deteksi lanjutan untuk beberapa sumber daya dalam aplikasi](ddos-event-detection-multiple-resources.md)

# AWS Shield logika deteksi untuk ancaman lapisan infrastruktur (lapisan 3 dan lapisan 4)
<a name="ddos-event-detection-infrastructure"></a>

Halaman ini menjelaskan cara kerja deteksi peristiwa untuk lapisan infrastruktur (jaringan dan transportasi).

Logika deteksi yang digunakan untuk melindungi AWS sumber daya yang ditargetkan terhadap serangan DDo S di lapisan infrastruktur (lapisan 3 dan lapisan 4) tergantung pada jenis sumber daya dan apakah sumber daya dilindungi AWS Shield Advanced. 

**Deteksi untuk Amazon CloudFront dan Amazon Route 53**  
Saat Anda melayani aplikasi web Anda dengan CloudFront dan Route 53, semua paket ke aplikasi diperiksa oleh sistem mitigasi DDo S sebaris penuh, yang tidak memperkenalkan latensi yang dapat diamati. DDoSerangan S terhadap CloudFront distribusi dan zona host Route 53 dikurangi secara real time. Perlindungan ini berlaku terlepas dari apakah Anda menggunakannya AWS Shield Advanced.

Ikuti praktik terbaik penggunaan CloudFront dan Route 53 sebagai titik masuk aplikasi web Anda sedapat mungkin untuk deteksi dan mitigasi peristiwa DDo S tercepat.

**Deteksi untuk AWS Global Accelerator dan layanan regional**  
Deteksi tingkat sumber daya melindungi akselerator dan sumber daya AWS Global Accelerator standar yang diluncurkan di AWS Wilayah, seperti Classic Load Balancer, Application Load Balancer, dan alamat IP Elastis (). EIPs Jenis sumber daya ini dipantau untuk ketinggian lalu lintas yang mungkin menunjukkan adanya serangan DDo S yang memerlukan mitigasi. Setiap menit, lalu lintas ke setiap AWS sumber daya dievaluasi. Jika lalu lintas ke sumber daya meningkat, pemeriksaan tambahan dilakukan untuk mengukur kapasitas sumber daya. 

Shield melakukan pemeriksaan standar berikut: 
+ Instans **Amazon Elastic Compute Cloud (Amazon EC2), EIP yang dilampirkan ke instans Amazon EC2 — Shield mengambil kapasitas dari sumber daya yang dilindungi**. Kapasitas tergantung pada jenis instans target, ukuran instans, dan faktor lain seperti apakah instance menggunakan jaringan yang disempurnakan.
+ **Classic Load Balancers dan Application Load Balancers — Shield mengambil kapasitas dari node load balancer** yang ditargetkan.
+ **EIPs melekat pada Network Load Balancers** - Shield mengambil kapasitas dari penyeimbang beban yang ditargetkan. Kapasitas tidak tergantung pada konfigurasi grup penyeimbang beban target.
+ **AWS Global Accelerator akselerator standar** - Shield mengambil kapasitas, yang didasarkan pada konfigurasi titik akhir.

Evaluasi ini terjadi di berbagai dimensi lalu lintas jaringan, seperti port dan protokol. Jika kapasitas sumber daya yang ditargetkan terlampaui, Shield menempatkan mitigasi DDo S. Mitigasi yang ditempatkan oleh Shield akan mengurangi lalu lintas DDo S, tetapi mungkin tidak menghilangkannya. Shield juga dapat menempatkan mitigasi jika sebagian kecil dari kapasitas sumber daya terlampaui pada dimensi lalu lintas yang konsisten dengan vektor serangan S yang diketahui DDo. Shield menempatkan mitigasi ini dengan waktu terbatas untuk hidup (TTL), yang diperpanjang selama serangan sedang berlangsung.

**catatan**  
Mitigasi yang ditempatkan oleh Shield akan mengurangi lalu lintas DDo S, tetapi mungkin tidak menghilangkannya. Anda dapat menambahkan Shield dengan solusi seperti AWS Network Firewall atau firewall on-host seperti iptables untuk mencegah aplikasi Anda memproses lalu lintas yang tidak valid untuk aplikasi Anda atau tidak dihasilkan oleh pengguna akhir yang sah.

Perlindungan Shield Advanced menambahkan hal berikut ke aktivitas deteksi Shield yang ada: 
+ **Ambang batas deteksi yang lebih rendah** — Shield Advanced menempatkan mitigasi pada setengah dari kapasitas yang dihitung. Ini dapat memberikan mitigasi yang lebih cepat untuk serangan yang meningkat perlahan dan mitigasi serangan yang memiliki tanda tangan volumetrik yang lebih ambigu. 
+ **Perlindungan serangan intermiten** — Shield Advanced menempatkan mitigasi dengan waktu hidup yang meningkat secara eksponensial (TTL), berdasarkan frekuensi dan durasi serangan. Ini membuat mitigasi di tempat lebih lama ketika sumber daya sering ditargetkan dan ketika serangan terjadi dalam ledakan singkat. 
+ **Deteksi berbasis kesehatan** — Saat Anda mengaitkan pemeriksaan kesehatan Route 53 dengan sumber daya yang dilindungi Shield Advanced, status pemeriksaan kesehatan digunakan dalam logika deteksi. Selama peristiwa yang terdeteksi, jika pemeriksaan kesehatan sehat, Shield Advanced membutuhkan keyakinan yang lebih besar bahwa acara tersebut adalah serangan sebelum melakukan mitigasi. Jika sebaliknya pemeriksaan kesehatan tidak sehat, Shield Advanced mungkin menempatkan mitigasi bahkan sebelum kepercayaan telah ditetapkan. Fitur ini membantu menghindari kesalahan positif dan memberikan reaksi lebih cepat terhadap serangan yang memengaruhi aplikasi Anda. Untuk informasi tentang pemeriksaan kesehatan dengan Shield Advanced, lihat[Deteksi berbasis kesehatan menggunakan pemeriksaan kesehatan dengan Shield Advanced dan Route 53](ddos-advanced-health-checks.md).

# Shield Logika deteksi lanjutan untuk ancaman lapisan aplikasi (lapisan 7)
<a name="ddos-event-detection-application"></a>

Halaman ini menjelaskan cara kerja deteksi peristiwa untuk lapisan aplikasi.

AWS Shield Advanced menyediakan deteksi lapisan aplikasi web untuk CloudFront distribusi Amazon yang dilindungi dan Application Load Balancer. Saat Anda melindungi jenis sumber daya ini dengan Shield Advanced, Anda dapat mengaitkan ACL AWS WAF web dengan perlindungan Anda untuk mengaktifkan deteksi lapisan aplikasi web. Shield Advanced menggunakan data permintaan untuk ACL web terkait dan membuat garis dasar lalu lintas untuk aplikasi Anda. Deteksi lapisan aplikasi web bergantung pada integrasi asli antara Shield Advanced dan AWS WAF. Untuk mempelajari lebih lanjut tentang perlindungan lapisan aplikasi, termasuk mengaitkan ACL AWS WAF web ke sumber daya yang dilindungi Shield Advanced, lihat. [Melindungi lapisan aplikasi (layer 7) dengan AWS Shield Advanced dan AWS WAF](ddos-app-layer-protections.md) 

Untuk deteksi lapisan aplikasi web, Shield Advanced memantau lalu lintas aplikasi dan membandingkannya dengan baseline bersejarah yang mencari anomali. Pemantauan ini mencakup total volume dan komposisi lalu lintas. Selama serangan DDo S, kami mengharapkan volume dan komposisi lalu lintas berubah, dan Shield Advanced membutuhkan penyimpangan yang signifikan secara statistik di keduanya untuk menyatakan suatu peristiwa. 

Shield Advanced melakukan pengukurannya terhadap jendela waktu historis. Pendekatan ini mengurangi pemberitahuan positif palsu dari perubahan volume lalu lintas yang sah atau dari perubahan lalu lintas yang sesuai dengan pola yang diharapkan, seperti penjualan yang ditawarkan pada waktu yang sama setiap hari. 

**catatan**  
Hindari kesalahan positif dalam perlindungan Shield Advanced Anda dengan memberikan waktu kepada Shield Advanced untuk menetapkan garis dasar yang mewakili pola lalu lintas normal dan sah. Shield Advanced mulai mengumpulkan informasi untuk baseline saat Anda mengaitkan ACL web dengan sumber daya yang dilindungi. Kaitkan ACL web dengan sumber daya terlindungi Anda setidaknya 24 jam sebelum acara yang direncanakan yang dapat menyebabkan pola yang tidak biasa dalam lalu lintas web Anda. Deteksi lapisan aplikasi web Shield Advanced paling akurat ketika telah mengamati 30 hari lalu lintas normal.

Waktu yang dibutuhkan Shield Advanced untuk mendeteksi suatu peristiwa dipengaruhi oleh seberapa banyak perubahan yang diamati dalam volume lalu lintas. Untuk perubahan volume yang lebih rendah, Shield Advanced mengamati lalu lintas untuk jangka waktu yang lebih lama, untuk membangun keyakinan bahwa suatu peristiwa sedang terjadi. Untuk perubahan volume yang lebih tinggi, Shield Advanced mendeteksi dan melaporkan peristiwa dengan lebih cepat. 

Aturan berbasis kecepatan di ACL web Anda, baik yang ditambahkan oleh Anda atau oleh fitur mitigasi lapisan aplikasi otomatis Shield Advanced, dapat mengurangi serangan sebelum mencapai tingkat yang dapat dideteksi. Untuk informasi selengkapnya tentang mitigasi lapisan DDo S aplikasi otomatis, lihat. [Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md)

**catatan**  
Anda dapat merancang aplikasi Anda untuk skala dalam menanggapi peningkatan lalu lintas atau beban untuk memastikan bahwa itu tidak terpengaruh oleh banjir permintaan yang lebih kecil. Dengan Shield Advanced, sumber daya Anda yang dilindungi dilindungi oleh perlindungan biaya. Ini membantu melindungi Anda dari kenaikan tak terduga dalam tagihan cloud Anda yang mungkin terjadi sebagai akibat dari serangan DDo S. Untuk mempelajari lebih lanjut tentang perlindungan biaya Shield Advanced, lihat[Meminta kredit AWS Shield Advanced setelah serangan](ddos-request-service-credit.md).

# Shield Logika deteksi lanjutan untuk beberapa sumber daya dalam aplikasi
<a name="ddos-event-detection-multiple-resources"></a>

Halaman ini menjelaskan cara kerja deteksi peristiwa untuk beberapa sumber daya dalam aplikasi. 

Anda dapat menggunakan grup AWS Shield Advanced perlindungan untuk membuat koleksi sumber daya yang dilindungi yang merupakan bagian dari aplikasi yang sama. Anda dapat memilih sumber daya yang dilindungi untuk ditempatkan dalam grup atau menunjukkan bahwa semua sumber daya dari jenis yang sama harus diperlakukan sebagai satu grup. Misalnya, Anda dapat membuat grup dari semua Application Load Balancers. Saat Anda membuat grup perlindungan, deteksi Shield Advanced mengumpulkan semua lalu lintas untuk sumber daya yang dilindungi dalam grup. Ini berguna jika Anda memiliki banyak sumber daya yang masing-masing memiliki sejumlah kecil lalu lintas, tetapi dengan volume agregat yang besar. Anda juga dapat menggunakan grup perlindungan untuk mempertahankan baseline aplikasi, untuk kasus penyebaran biru-hijau di mana lalu lintas ditransfer antara sumber daya yang dilindungi. 

Anda dapat memilih untuk mengumpulkan lalu lintas dalam grup perlindungan Anda dengan salah satu cara berikut: 
+ **Jumlah** — Agregasi ini menggabungkan semua lalu lintas lintas di seluruh sumber daya dalam grup perlindungan. Anda dapat menggunakan agregasi ini untuk memastikan bahwa sumber daya yang baru dibuat memiliki garis dasar yang ada dan untuk mengurangi sensitivitas deteksi, yang dapat membantu mencegah positif palsu.
+ **Mean** — Agregasi ini menggunakan rata-rata semua lalu lintas di seluruh grup perlindungan. Anda dapat menggunakan agregasi ini untuk aplikasi di mana lalu lintas lintas sumber daya seragam, seperti penyeimbang beban.
+ **Max** — Agregasi ini menggunakan lalu lintas tertinggi dari sumber daya apa pun dalam grup perlindungan. Anda dapat menggunakan agregasi ini ketika ada beberapa tingkatan aplikasi dalam grup perlindungan. Misalnya, Anda mungkin memiliki grup perlindungan yang menyertakan CloudFront distribusi, asal Application Load Balancer-nya, dan target instans Amazon EC2 Application Load Balancer.

Anda juga dapat menggunakan grup perlindungan untuk meningkatkan kecepatan di mana Shield Advanced menempatkan mitigasi, untuk serangan yang menargetkan beberapa akselerator Elastis atau standar yang menghadap ke internet. IPs AWS Global Accelerator Ketika satu sumber daya dalam grup perlindungan ditargetkan, Shield Advanced membangun kepercayaan untuk sumber daya lain dalam grup. Ini menempatkan deteksi Shield Advanced dalam keadaan waspada dan dapat mengurangi waktu yang diperlukan untuk membuat mitigasi tambahan.

Untuk mempelajari lebih lanjut tentang kelompok perlindungan, lihat[Mengelompokkan perlindungan Anda AWS Shield Advanced](ddos-protection-groups.md).

# Bagaimana AWS Shield mengurangi peristiwa
<a name="ddos-event-mitigation"></a>

Halaman ini memperkenalkan cara kerja mitigasi AWS Shield acara. 

Logika mitigasi yang melindungi aplikasi Anda dapat bervariasi tergantung pada arsitektur aplikasi Anda. Saat Anda melindungi aplikasi web dengan Amazon CloudFront dan Amazon Route 53, Anda mendapat manfaat dari mitigasi yang khusus untuk kasus penggunaan web dan DNS dan yang melindungi semua lalu lintas untuk layanan. Jika titik masuk aplikasi Anda adalah sumber daya yang berjalan di AWS Region, logika mitigasi bervariasi tergantung pada layanan, jenis sumber daya, dan penggunaan Anda. AWS Shield Advanced

AWS DDoSistem mitigasi S dikembangkan oleh para insinyur Shield dan terintegrasi erat dengan AWS layanan. Para insinyur mempertimbangkan aspek arsitektur Anda seperti kapasitas dan kesehatan sumber daya yang ditargetkan. Shield engineer terus memantau kemanjuran dan kinerja sistem mitigasi DDo S dan mampu merespons dengan cepat ketika ancaman baru ditemukan atau diantisipasi. 

Anda dapat merancang aplikasi Anda untuk skala dalam menanggapi peningkatan lalu lintas atau beban, untuk membantu memastikan bahwa itu tidak terpengaruh oleh banjir permintaan yang lebih kecil. Jika Anda menggunakan Shield Advanced untuk melindungi sumber daya Anda, Anda menerima cakupan terhadap kenaikan tak terduga dalam tagihan cloud Anda yang mungkin terjadi sebagai akibat dari serangan DDo S. 

**Mitigasi infrastruktur**  
Untuk serangan lapisan infrastruktur, sistem mitigasi AWS Shield DDo S hadir di perbatasan AWS jaringan dan di lokasi AWS tepi. Penempatan berbagai tingkat kontrol keamanan di seluruh AWS infrastruktur menyediakan defense-in-depth untuk aplikasi cloud Anda. 

Shield memelihara sistem mitigasi DDo S di semua titik masuknya dari internet. Ketika Shield mendeteksi serangan DDo S, untuk setiap titik masuknya, ia mengalihkan lalu lintas melalui sistem mitigasi DDo S di lokasi yang sama. Ini tidak memperkenalkan latensi tambahan yang dapat diamati, dan menyediakan kapasitas mitigasi lebih dari 100 TeraBits Per Detik (Tbps) di semua AWS Wilayah dan semua lokasi tepi. Shield melindungi ketersediaan sumber daya Anda tanpa mengalihkan lalu lintas ke pusat scrubbing eksternal atau jarak jauh, yang dapat meningkatkan latensi. 
+ Di perbatasan AWS jaringan, untuk AWS layanan atau sumber daya apa pun, sistem mitigasi DDo S mengurangi serangan lapisan infrastruktur yang berasal dari internet. Sistem melakukan mitigasi ketika diberi sinyal oleh deteksi Shield atau oleh seorang insinyur di Tim Respons Shield (SRT). 
+ Di lokasi AWS tepi, sistem mitigasi DDo S terus memeriksa setiap paket yang diteruskan ke distribusi Amazon CloudFront dan zona host Amazon Route 53, terlepas dari asalnya. Bila diperlukan, sistem menerapkan mitigasi yang dirancang khusus untuk lalu lintas web dan DNS. Manfaat tambahan menggunakan Amazon CloudFront dan Amazon Route 53 untuk melindungi aplikasi web Anda adalah serangan DDo S segera dikurangi, tanpa memerlukan sinyal dari deteksi Shield. 

**Mitigasi lapisan aplikasi**  
Shield Advanced menyediakan mitigasi lapisan aplikasi web untuk CloudFront distribusi Amazon dan Application Load Balancer di mana Anda telah mengaktifkan perlindungan Shield Advanced. Ketika Anda mengaktifkan perlindungan, Anda mengaitkan ACL AWS WAF web dengan sumber daya, untuk mengaktifkan deteksi lapisan aplikasi web. Selain itu, Anda memiliki opsi untuk mengaktifkan mitigasi lapisan aplikasi otomatis, yang menginstruksikan Shield Advanced untuk mengelola perlindungan untuk Anda selama serangan S. DDo 

Shield hanya menyediakan mitigasi khusus untuk serangan lapisan aplikasi pada sumber daya yang telah Anda aktifkan Shield Advanced dan mitigasi lapisan aplikasi otomatis. Dengan mitigasi otomatis, Shield Advanced memberlakukan pembatasan AWS WAF tarif pada permintaan dari sumber DDo S yang diketahui, dan secara otomatis menambahkan dan mengelola AWS WAF perlindungan khusus sebagai respons terhadap serangan S yang terdeteksi. DDo Untuk informasi rinci tentang mitigasi jenis ini, lihat. [Bagaimana Shield Advanced mengelola mitigasi otomatis](ddos-automatic-app-layer-response-behavior.md) 

Aturan berbasis kecepatan di ACL web Anda, baik yang ditambahkan oleh Anda atau ditambahkan oleh fitur mitigasi lapisan aplikasi otomatis Shield Advanced, dapat mengurangi serangan sebelum mencapai tingkat yang dapat dideteksi. Untuk informasi lebih lanjut tentang deteksi, lihat[Shield Logika deteksi lanjutan untuk ancaman lapisan aplikasi (lapisan 7)](ddos-event-detection-application.md).

**Topics**
+ [Daftar fitur mitigasi AWS Shield DDo S](ddos-event-mitigation-features.md)
+ [AWS Shield logika mitigasi untuk CloudFront dan Rute 53](ddos-event-mitigation-logic-continuous-inspection.md)
+ [AWS Shield logika mitigasi untuk Wilayah AWS](ddos-event-mitigation-logic-regions.md)
+ [AWS Shield logika mitigasi untuk AWS Global Accelerator akselerator standar](ddos-event-mitigation-logic-gax.md)
+ [AWS Shield Advanced logika mitigasi untuk Elastis IPs](ddos-event-mitigation-logic-adv-eip.md)
+ [AWS Shield Advanced logika mitigasi untuk aplikasi web](ddos-event-mitigation-logic-adv-web-app.md)

# Daftar fitur mitigasi AWS Shield DDo S
<a name="ddos-event-mitigation-features"></a>

Fitur utama mitigasi AWS Shield DDo S adalah sebagai berikut:
+ **Validasi paket** — Ini memastikan bahwa setiap paket yang diperiksa sesuai dengan struktur yang diharapkan dan valid untuk protokolnya. Validasi protokol yang didukung termasuk IP, TCP (termasuk header dan opsi), UDP, ICMP, DNS, dan NTP.
+ **Access Control Lists (ACLs) dan shapers** — ACL mengevaluasi lalu lintas terhadap atribut tertentu dan menjatuhkan lalu lintas yang cocok atau memetakannya ke pembentuk. Pembentuk membatasi laju paket untuk lalu lintas yang cocok, menjatuhkan paket berlebih untuk memuat volume yang mencapai tujuan. AWS Shield Deteksi dan Shield Response Team (SRT) teknisi dapat menyediakan alokasi tarif khusus untuk lalu lintas yang diharapkan dan alokasi tingkat yang lebih ketat untuk lalu lintas dengan atribut yang cocok dengan vektor serangan S yang diketahui DDo. Atribut yang ACL dapat cocok termasuk port, protokol, bendera TCP, alamat tujuan, negara sumber, dan pola arbitrer dalam payload paket. 
+ **Skor kecurigaan** — Ini menggunakan pengetahuan bahwa Shield memiliki lalu lintas yang diharapkan untuk menerapkan skor ke setiap paket. Paket yang lebih dekat dengan pola lalu lintas yang diketahui baik diberi skor kecurigaan yang lebih rendah. Pengamatan atribut lalu lintas buruk yang diketahui dapat meningkatkan skor kecurigaan untuk sebuah paket. Ketika perlu untuk menilai paket batas, Shield menjatuhkan paket dengan skor kecurigaan yang lebih tinggi terlebih dahulu. Ini membantu Shield untuk mengurangi serangan DDo S yang diketahui dan zero-day sambil menghindari positif palsu.
+ **Proxy TCP SYN** — Ini memberikan perlindungan terhadap banjir TCP SYN dengan mengirimkan cookie TCP SYN untuk menantang koneksi baru sebelum mengizinkannya lolos ke layanan yang dilindungi. Proksi TCP SYN yang disediakan oleh mitigasi Shield DDo S adalah tanpa kewarganegaraan, yang memungkinkannya untuk mengurangi serangan banjir TCP SYN terbesar yang diketahui tanpa mencapai kelelahan status. Ini dicapai dengan mengintegrasikan dengan AWS layanan untuk menyerahkan status koneksi alih-alih mempertahankan proxy berkelanjutan antara klien dan layanan yang dilindungi. Proxy TCP SYN saat ini tersedia di Amazon dan CloudFront Amazon Route 53. 
+ **Distribusi tingkat** — Ini terus menyesuaikan nilai pembentuk per lokasi berdasarkan pola masuknya lalu lintas ke sumber daya yang dilindungi. Ini mencegah pembatasan laju lalu lintas pelanggan yang mungkin tidak masuk ke AWS jaringan secara merata.

# AWS Shield logika mitigasi untuk CloudFront dan Rute 53
<a name="ddos-event-mitigation-logic-continuous-inspection"></a>

Halaman ini menjelaskan bagaimana mitigasi Shield DDo S terus memeriksa lalu lintas untuk CloudFront dan Route 53. Layanan ini beroperasi dari jaringan lokasi AWS edge yang didistribusikan secara global yang memberi Anda akses luas ke kapasitas mitigasi DDo S Shield dan mengirimkan aplikasi Anda dari infrastruktur yang lebih dekat dengan pengguna akhir Anda. 

**penting**  
AWS Shield Advanced tidak mendukung CloudFront penyewa.
+ **CloudFront**— Mitigasi Shield DDo S hanya memungkinkan lalu lintas yang valid untuk aplikasi web untuk melewati layanan. Ini memberikan perlindungan otomatis terhadap banyak vektor DDo S umum, seperti serangan refleksi UDP. 

  CloudFront mempertahankan koneksi persisten ke asal aplikasi Anda, banjir TCP SYN secara otomatis dikurangi melalui integrasi dengan fitur proxy Shield TCP SYN, dan Transport Layer Security (TLS) dihentikan di edge. Fitur gabungan ini memastikan bahwa asal aplikasi Anda hanya menerima permintaan web yang terbentuk dengan baik dan dilindungi dari serangan DDo S lapisan bawah, banjir koneksi, dan penyalahgunaan TLS.

  CloudFront menggunakan kombinasi arah lalu lintas DNS dan perutean anycast. Teknik-teknik ini meningkatkan ketahanan aplikasi Anda dengan mengurangi serangan yang dekat dengan sumbernya, memberikan isolasi kesalahan, dan memastikan akses ke kapasitas untuk mengurangi serangan terbesar yang diketahui. 
+ **Route 53** — Mitigasi Shield hanya memungkinkan permintaan DNS yang valid untuk mencapai layanan. Shield mengurangi banjir kueri DNS menggunakan penilaian kecurigaan yang memprioritaskan kueri baik yang diketahui dan tidak memprioritaskan kueri yang mengandung atribut serangan S yang mencurigakan atau diketahui. DDo 

  Route 53 menggunakan sharding shuffle untuk menyediakan satu set unik dari empat alamat IP resolver ke setiap zona yang dihosting, untuk keduanya dan. IPv4 IPv6 Setiap alamat IP sesuai dengan subset yang berbeda dari lokasi Route 53. Setiap subset lokasi terdiri dari server DNS otoritatif yang hanya sebagian tumpang tindih dengan infrastruktur di subset lainnya. Ini memastikan bahwa jika kueri pengguna gagal karena alasan apa pun, itu akan berhasil disajikan pada percobaan ulang.

  Route 53 menggunakan perutean anycast untuk mengarahkan kueri DNS ke lokasi tepi terdekat, berdasarkan kedekatan jaringan. Anycast juga DDo menggemari lalu lintas S ke banyak lokasi tepi, yang mencegah serangan berfokus pada satu lokasi. 

Selain kecepatan mitigasi, CloudFront dan Route 53 menyediakan akses luas ke kapasitas Shield yang didistribusikan secara global. Untuk memanfaatkan kemampuan ini, gunakan layanan ini sebagai titik masuk aplikasi web dinamis atau statis Anda. 

Untuk mempelajari lebih lanjut tentang menggunakan CloudFront dan Route 53 untuk melindungi aplikasi web, lihat [Cara Membantu Melindungi Aplikasi Web Dinamis Terhadap Serangan DDo S dengan Menggunakan Amazon CloudFront dan Amazon Route 53](https://aws.amazon.com/blogs/security/how-to-protect-dynamic-web-applications-against-ddos-attacks-by-using-amazon-cloudfront-and-amazon-route-53/). Untuk mempelajari lebih lanjut tentang isolasi kesalahan pada Rute 53, lihat [Studi Kasus dalam Isolasi Kesalahan Global](https://aws.amazon.com/blogs/architecture/a-case-study-in-global-fault-isolation/).

# AWS Shield logika mitigasi untuk Wilayah AWS
<a name="ddos-event-mitigation-logic-regions"></a>

Halaman ini menjelaskan cara kerja logika mitigasi peristiwa Shield di AWS Wilayah.

Sumber daya yang diluncurkan di AWS Wilayah dilindungi oleh sistem mitigasi AWS Shield DDo S yang ditempatkan oleh deteksi tingkat sumber daya Shield. Sumber daya regional meliputi Elastic IPs (EIPs), Classic Load Balancer, dan Application Load Balancer.

Sebelum menempatkan mitigasi, Shield mengidentifikasi sumber daya yang ditargetkan dan kapasitasnya. Shield menggunakan kapasitas untuk menentukan total lalu lintas maksimum yang mitigasi harus memungkinkan untuk diteruskan ke sumber daya. Access control lists (ACLs) dan pembentuk lain dalam mitigasi dapat mengurangi volume yang diizinkan untuk beberapa lalu lintas, misalnya lalu lintas yang cocok dengan vektor serangan DDo S yang diketahui atau yang tidak diharapkan datang dalam volume besar. Ini selanjutnya membatasi jumlah lalu lintas yang memungkinkan mitigasi untuk serangan refleksi UDP atau untuk lalu lintas TCP yang memiliki bendera TCP SYN atau FIN.

Shield menentukan kapasitas dan menempatkan mitigasi secara berbeda untuk setiap jenis sumber daya. 
+ Untuk instans Amazon EC2, atau EIP yang dilampirkan ke instans Amazon EC2, Shield menghitung kapasitas berdasarkan jenis instans dan atribut instans lainnya, seperti apakah instans telah mengaktifkan jaringan yang ditingkatkan. 
+ Untuk Application Load Balancer atau Classic Load Balancer, Shield menghitung kapasitas secara individual untuk setiap node yang ditargetkan dari load balancer. DDoMitigasi serangan S untuk sumber daya ini disediakan oleh kombinasi mitigasi Shield DDo S dan penskalaan otomatis oleh penyeimbang beban. Ketika Shield Response Team (SRT) terlibat dalam serangan terhadap Application Load Balancer atau sumber daya Classic Load Balancer Klasik, mereka mungkin mempercepat penskalaan sebagai tindakan perlindungan tambahan. 
+ Shield menghitung kapasitas untuk beberapa AWS sumber daya didasarkan pada kapasitas yang tersedia dari AWS infrastruktur yang mendasarinya. Jenis sumber daya ini termasuk Network Load Balancers (NLBs) dan sumber daya yang merutekan lalu lintas melalui Gateway Load Balancers atau. AWS Network Firewall

**catatan**  
Lindungi Network Load Balancer Anda dengan melampirkan EIPs yang dilindungi oleh Shield Advanced. Anda dapat bekerja dengan SRT untuk membangun mitigasi kustom yang didasarkan pada lalu lintas yang diharapkan dan kapasitas aplikasi yang mendasarinya. 

Ketika Shield menempatkan mitigasi, batas tarif awal yang ditentukan Shield dalam logika mitigasi diterapkan secara merata ke setiap sistem mitigasi Shield S. DDo Misalnya, jika Shield menempatkan mitigasi dengan batas 100.000 paket per detik (pps), awalnya akan memungkinkan 100.000 pps di setiap lokasi. Kemudian, Shield terus mengumpulkan metrik mitigasi untuk menentukan rasio lalu lintas yang sebenarnya, dan menggunakan rasio untuk menyesuaikan batas tarif untuk setiap lokasi. Ini mencegah positif palsu dan memastikan bahwa mitigasi tidak terlalu permisif. 

# AWS Shield logika mitigasi untuk AWS Global Accelerator akselerator standar
<a name="ddos-event-mitigation-logic-gax"></a>

Halaman ini menjelaskan cara kerja logika mitigasi peristiwa Shield untuk akselerator AWS Global Accelerator standar. Mitigasi Shield hanya mengizinkan lalu lintas yang valid untuk mencapai titik akhir pendengar akselerator standar Global Accelerator.

Akselerator standar digunakan secara global, dan mereka memberi Anda alamat IP yang dapat Anda gunakan untuk merutekan lalu lintas ke AWS sumber daya di Wilayah mana pun AWS . Batas tarif yang diberlakukan Shield untuk mitigasi Akselerator Global didasarkan pada kapasitas sumber daya tempat akselerator standar mengarahkan lalu lintas. Shield menempatkan mitigasi ketika total lalu lintas melebihi tingkat yang ditentukan, dan juga ketika sebagian kecil dari tingkat itu terlampaui untuk vektor S yang diketahui. DDo 

Saat mengonfigurasi akselerator standar, Anda menentukan grup titik akhir untuk setiap AWS Wilayah tempat Anda akan merutekan lalu lintas untuk aplikasi Anda. Ketika Shield menempatkan mitigasi, Shield menghitung kapasitas setiap grup endpoint dan memperbarui batas tarif di setiap sistem mitigasi Shield DDo S yang sesuai. Tarif bervariasi untuk setiap lokasi, berdasarkan asumsi yang dibuat oleh Shield tentang bagaimana lalu lintas akan merutekan dari internet ke AWS sumber daya Anda. Kapasitas untuk grup endpoint dihitung sebagai jumlah sumber daya dalam grup dikalikan dengan kapasitas terendah untuk sumber daya apa pun dalam grup. Secara berkala, Shield menghitung ulang kapasitas aplikasi Anda dan memperbarui batas tarif sesuai kebutuhan. 

**catatan**  
Menggunakan panggilan lalu lintas untuk mengubah persentase lalu lintas yang diarahkan ke grup titik akhir tidak mengubah cara Shield menghitung atau mendistribusikan batas tarif ke sistem mitigasi S-nya DDo. Jika Anda menggunakan panggilan lalu lintas, konfigurasikan grup titik akhir Anda untuk mencerminkan satu sama lain dalam hal jenis dan kuantitas sumber daya. Ini membantu memastikan bahwa kapasitas yang dihitung oleh Shield mewakili sumber daya yang melayani lalu lintas untuk aplikasi Anda.

Untuk informasi selengkapnya tentang grup titik akhir dan panggilan lalu lintas di Global Accelerator, lihat [Grup titik akhir](https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoint-groups.html) dalam akselerator standar. AWS Global Accelerator 

# AWS Shield Advanced logika mitigasi untuk Elastis IPs
<a name="ddos-event-mitigation-logic-adv-eip"></a>

Halaman ini menjelaskan cara kerja logika mitigasi peristiwa Shield untuk Elastic IPs with. AWS Shield Advanced Saat Anda melindungi Elastic IP (EIP) AWS Shield Advanced, Shield Advanced meningkatkan mitigasi yang ditempatkan Shield selama acara S. DDo

Sistem mitigasi Shield Advanced DDo S mereplikasi konfigurasi Network ACL (NACL) untuk subnet publik yang terkait dengan EIP. Misalnya, jika NACL Anda dikonfigurasi untuk memblokir semua lalu lintas UDP, Shield Advanced menggabungkan aturan tersebut ke dalam mitigasi yang ditempatkan Shield. 

Fungsionalitas tambahan ini dapat membantu Anda menghindari risiko ketersediaan karena lalu lintas yang tidak valid untuk aplikasi Anda. Anda juga dapat menggunakan NACLs untuk memblokir alamat IP sumber individual atau rentang CIDR alamat IP sumber. Ini bisa menjadi alat mitigasi yang berguna untuk serangan DDo S yang tidak didistribusikan. Ini juga memungkinkan Anda dengan mudah mengelola daftar izin Anda sendiri atau untuk memblokir alamat IP yang seharusnya tidak berkomunikasi dengan aplikasi Anda, tanpa bergantung pada intervensi oleh AWS para insinyur.

# AWS Shield Advanced logika mitigasi untuk aplikasi web
<a name="ddos-event-mitigation-logic-adv-web-app"></a>

AWS Shield Advanced digunakan AWS WAF untuk mengurangi serangan lapisan aplikasi web. AWS WAF sudah termasuk dengan Shield Advanced tanpa biaya tambahan. 

**Perlindungan lapisan aplikasi standar**  
Bila Anda melindungi CloudFront distribusi Amazon atau Application Load Balancer dengan Shield Advanced, Anda dapat menggunakan Shield Advanced untuk mengaitkan ACL AWS WAF web dengan sumber daya yang dilindungi, jika Anda belum memiliki salah satu yang terkait. Jika Anda belum mengonfigurasi ACL web, Anda dapat menggunakan wizard konsol Shield Advanced untuk membuatnya dan menambahkan aturan berbasis kecepatan ke dalamnya. Aturan berbasis tarif membatasi jumlah permintaan per jendela waktu lima menit untuk setiap alamat IP, memberikan perlindungan dasar terhadap banjir permintaan lapisan aplikasi web. Anda dapat mengonfigurasi tarif, mulai serendah 10. Untuk informasi selengkapnya, lihat [Melindungi lapisan aplikasi dengan AWS WAF web ACLs dan Shield Advanced](ddos-app-layer-web-ACL-and-rbr.md).

Anda juga dapat menggunakan AWS WAF layanan ini untuk mengelola web ACL. Melalui AWS WAF, Anda dapat memperluas konfigurasi ACL web untuk melakukan hal-hal seperti memeriksa komponen permintaan web tertentu untuk kecocokan atau pola string, menambahkan permintaan kustom dan penanganan respons, dan mencocokkan dengan geolokasi asal permintaan. Untuk informasi selengkapnya tentang AWS WAF aturan, lihat[AWS WAF aturan](waf-rules.md). 

**Mitigasi lapisan aplikasi otomatis**  
Untuk perlindungan yang ditingkatkan, aktifkan mitigasi lapisan aplikasi otomatis Shield Advanced. Dengan opsi ini, Shield Advanced mempertahankan aturan pembatasan AWS WAF laju untuk permintaan dari sumber DDo S yang diketahui dan menyediakan mitigasi khusus untuk serangan S yang terdeteksi DDo. 

Ketika Shield Advanced mendeteksi serangan terhadap sumber daya yang dilindungi, ia mencoba mengidentifikasi tanda tangan serangan yang mengisolasi lalu lintas serangan dari lalu lintas normal ke aplikasi Anda. Shield Advanced mengevaluasi tanda tangan serangan yang diidentifikasi terhadap pola lalu lintas historis untuk sumber daya yang diserang, serta untuk sumber daya lain yang terkait dengan ACL web yang sama.

Jika Shield Advanced menentukan bahwa tanda tangan serangan hanya mengisolasi lalu lintas yang terlibat dalam serangan DDo S, itu mengimplementasikan tanda tangan dalam AWS WAF aturan di dalam ACL web terkait. Anda dapat menginstruksikan Shield Advanced untuk menempatkan mitigasi yang hanya menghitung lalu lintas yang cocok dengannya, atau yang memblokirnya, dan Anda dapat mengubah pengaturan kapan saja. Ketika Shield Advanced menentukan bahwa aturan mitigasi tidak lagi diperlukan, ia menghapusnya dari ACL web. Untuk informasi selengkapnya tentang mitigasi peristiwa lapisan aplikasi, lihat. [Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md) 

Untuk informasi selengkapnya tentang mitigasi lapisan aplikasi Shield Advanced, lihat. [Melindungi lapisan aplikasi (layer 7) dengan AWS Shield Advanced dan AWS WAF](ddos-app-layer-protections.md) 

# Membangun arsitektur tangguh DDo S dasar dengan Shield Advanced
<a name="ddos-resiliency"></a>

Halaman ini menjelaskan ketahanan Distributed Denial of Service (DDoS) dan memperkenalkan dua contoh arsitektur.

DDoKetahanan S adalah kemampuan arsitektur aplikasi Anda untuk menahan serangan DDo S sambil terus melayani pengguna akhir yang sah. Aplikasi yang sangat tangguh dapat tetap tersedia selama serangan dengan dampak minimal pada metrik kinerja seperti kesalahan atau latensi. Bagian ini menunjukkan beberapa contoh arsitektur umum dan menjelaskan cara menggunakan kemampuan deteksi dan mitigasi DDo S yang disediakan oleh dan AWS Shield Advanced untuk meningkatkan ketahanan S mereka DDo. 

Contoh arsitektur di bagian ini menyoroti AWS layanan yang memberikan manfaat ketahanan DDo S terbesar untuk aplikasi yang Anda gunakan. Manfaat dari layanan yang disorot meliputi:
+ **Akses ke kapasitas jaringan terdistribusi secara global** — Layanan Amazon CloudFront, AWS Global Accelerator, dan Amazon Route 53 memberi Anda akses ke internet dan kapasitas mitigasi DDo S di seluruh jaringan edge AWS global. Ini berguna dalam mengurangi serangan volumetrik yang lebih besar, yang dapat mencapai skala terabit. Anda dapat menjalankan aplikasi Anda di AWS Wilayah mana pun dan menggunakan layanan ini untuk melindungi ketersediaan dan mengoptimalkan kinerja untuk pengguna sah Anda.
+ **Perlindungan terhadap vektor serangan lapisan DDo S** aplikasi web — Serangan lapisan DDo S aplikasi web paling baik dikurangi menggunakan kombinasi skala aplikasi dan firewall aplikasi web (WAF). Shield Advanced menggunakan log inspeksi permintaan web AWS WAF untuk mendeteksi anomali yang dapat dikurangi secara otomatis atau melalui keterlibatan dengan Tim Respons AWS Shield (SRT). Mitigasi otomatis tersedia melalui aturan AWS WAF berbasis tarif yang diterapkan dan juga melalui mitigasi lapisan aplikasi S otomatis Shield Advanced. DDo

Selain meninjau contoh-contoh ini, tinjau dan ikuti praktik terbaik yang berlaku di Praktik [AWS Terbaik untuk Ketahanan DDo S](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency).

**Topics**
+ [Contoh arsitektur ketahanan Shield Advanced DDo S untuk aplikasi web umum](ddos-resiliency-example-web.md)
+ [Contoh arsitektur ketahanan Shield Advanced DDo S untuk aplikasi TCP dan UDP](ddos-resiliency-example-tcp-udp.md)

# Contoh arsitektur ketahanan Shield Advanced DDo S untuk aplikasi web umum
<a name="ddos-resiliency-example-web"></a>

Halaman ini memberikan contoh arsitektur untuk memaksimalkan ketahanan terhadap serangan DDo S dengan AWS aplikasi web. 

Anda dapat membangun aplikasi web di AWS Wilayah mana pun dan menerima perlindungan DDo S otomatis dari kemampuan deteksi dan mitigasi yang AWS disediakan di Wilayah. 

Contoh ini adalah untuk arsitektur yang mengarahkan pengguna ke aplikasi web menggunakan sumber daya seperti Classic Load Balancers, Application Load Balancers, Network Load Balancers, solusi AWS Marketplace, atau lapisan proxy Anda sendiri. Anda dapat meningkatkan ketahanan DDo S dengan memasukkan zona yang dihosting Amazon Route 53, distribusi CloudFront Amazon, AWS WAF dan ACLs web antara sumber daya aplikasi web ini dan pengguna Anda. Penyisipan ini dapat mengaburkan asal aplikasi, melayani permintaan lebih dekat ke pengguna akhir Anda, dan mendeteksi dan mengurangi banjir permintaan lapisan aplikasi. Aplikasi yang menyajikan konten statis atau dinamis kepada pengguna Anda dengan CloudFront dan Route 53 dilindungi oleh sistem mitigasi DDo S terintegrasi dan sepenuhnya inline yang mengurangi serangan lapisan infrastruktur secara real time.

Dengan peningkatan arsitektur ini, Anda kemudian dapat melindungi zona yang dihosting Route 53 dan CloudFront distribusi Anda dengan Shield Advanced. Saat Anda melindungi CloudFront distribusi, Shield Advanced meminta Anda untuk mengaitkan AWS WAF web ACLs dan membuat aturan berbasis kecepatan untuk mereka, dan memberi Anda opsi untuk mengaktifkan mitigasi lapisan DDo S aplikasi otomatis atau keterlibatan proaktif. Keterlibatan proaktif dan mitigasi lapisan aplikasi DDo S otomatis menggunakan pemeriksaan kesehatan Route 53 yang Anda kaitkan dengan sumber daya. Untuk mempelajari selengkapnya tentang opsi ini, lihat [Perlindungan sumber daya di AWS Shield Advanced](ddos-resource-protections.md). 

Diagram referensi berikut menggambarkan arsitektur tangguh DDo S ini untuk aplikasi web.

![\[Diagram menunjukkan persegi panjang berjudulAWS cloud, dengan sekelompok pengguna di sebelah kirinya. Di dalam persegi panjang awan ada dua persegi panjang lainnya, berdampingan. Persegi panjang kiri diberi judul AWS Shield Advanced dan persegi panjang kanan diberi judul. VPC Kiri, AWS Shield Advanced segitiga berisi tiga AWS ikon, ditumpuk secara vertikal. Dari atas ke bawah, ikonnya adalah Amazon Route 53, Amazon CloudFront, dan AWS WAF. Ikon untuk CloudFront memiliki panah yang masuk ke dan dari ikon untuk AWS WAF. Grup pengguna memiliki panah yang keluar secara horizontal ke kanannya yang membelah untuk menunjuk ke ikon untuk Route 53 dan. CloudFront Di sebelah kanan persegi panjang Shield Advanced, persegi panjang VPC berisi dua ikon yang berdampingan. Dari kiri ke kanan, ikon-ikon ini adalah Elastic Load Balancing dan Amazon Elastic Compute Cloud. CloudFront Ikon memiliki panah yang keluar secara horizontal ke kanannya yang menuju ke ikon Elastic Load Balancing. Ikon Elastic Load Balancing memiliki panah yang keluar secara horizontal di sebelah kanannya yang menuju ke ikon Amazon EC2. Jadi permintaan pengguna dikirim ke Route 53 dan CloudFront. CloudFront berinteraksi dengan AWS WAF dan juga mengirimkan permintaan ke penyeimbang beban, yang pada gilirannya mengirimkan permintaan di Amazon EC2.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/shield-resilient-web-app-arch.png)


Manfaat yang diberikan pendekatan ini untuk aplikasi web Anda meliputi:
+ Perlindungan terhadap serangan lapisan infrastruktur yang sering digunakan (lapisan 3 dan lapisan 4) DDo S, tanpa penundaan deteksi. Selain itu, jika sumber daya sering ditargetkan, Shield Advanced menempatkan mitigasi untuk jangka waktu yang lebih lama. Shield Advanced juga menggunakan konteks aplikasi yang disimpulkan dari Network ACLs (NACLs) untuk memblokir lalu lintas yang tidak diinginkan di hulu. Ini mengisolasi kegagalan lebih dekat ke sumbernya, meminimalkan efek pada pengguna yang sah. 
+ Perlindungan terhadap banjir TCP SYN. Sistem mitigasi DDo S yang terintegrasi denganCloudFront, Route 53, dan AWS Global Accelerator menyediakan kemampuan proxy TCP SYN yang menantang upaya koneksi baru dan hanya melayani pengguna yang sah.
+ Perlindungan terhadap serangan lapisan aplikasi DNS, karena Route 53 bertanggung jawab untuk melayani tanggapan DNS otoritatif. 
+ Perlindungan terhadap banjir permintaan lapisan aplikasi web. Aturan berbasis tarif yang Anda konfigurasikan di ACL AWS WAF web Anda memblokir sumber IPs saat mereka mengirim lebih banyak permintaan daripada yang diizinkan aturan. 
+ Mitigasi lapisan aplikasi DDo S otomatis untuk CloudFront distribusi Anda, jika Anda memilih untuk mengaktifkan opsi ini. Dengan mitigasi DDo S otomatis, Shield Advanced mempertahankan aturan berbasis tarif di ACL AWS WAF web terkait distribusi yang membatasi volume permintaan dari sumber S yang diketahui. DDo Selain itu, ketika Shield Advanced mendeteksi peristiwa yang memengaruhi kesehatan aplikasi Anda, secara otomatis akan membuat, menguji, dan mengelola aturan mitigasi di ACL web. 
+ Keterlibatan proaktif dengan Tim Respons Shield (SRT), jika Anda memilih untuk mengaktifkan opsi ini. Ketika Shield Advanced mendeteksi peristiwa yang memengaruhi kesehatan aplikasi Anda, SRT merespons dan secara proaktif terlibat dengan tim keamanan atau operasi Anda menggunakan informasi kontak yang Anda berikan. SRT menganalisis pola dalam lalu lintas Anda dan dapat memperbarui AWS WAF aturan Anda untuk memblokir serangan.

# Contoh arsitektur ketahanan Shield Advanced DDo S untuk aplikasi TCP dan UDP
<a name="ddos-resiliency-example-tcp-udp"></a>

Contoh ini menunjukkan arsitektur tangguh DDo S untuk aplikasi TCP dan UDP di Wilayah AWS yang menggunakan instans Amazon Elastic Compute Cloud (Amazon EC2) atau alamat Elastic IP (EIP). 

Anda dapat mengikuti contoh umum ini untuk meningkatkan ketahanan DDo S untuk jenis aplikasi berikut: 
+ Aplikasi TCP atau UDP. Misalnya, aplikasi yang digunakan untuk game, IoT, dan voice over IP.
+ Aplikasi web yang memerlukan alamat IP statis atau yang menggunakan protokol yang CloudFront tidak didukung Amazon. Misalnya, aplikasi Anda mungkin memerlukan alamat IP yang dapat ditambahkan pengguna ke daftar izin firewall mereka, dan yang tidak digunakan oleh AWS pelanggan lain.

Anda dapat meningkatkan ketahanan DDo S untuk jenis aplikasi ini dengan memperkenalkan Amazon Route 53 dan. AWS Global Accelerator Layanan ini dapat mengarahkan pengguna ke aplikasi Anda dan mereka dapat menyediakan aplikasi Anda dengan alamat IP statis yang dirutekan di seluruh jaringan edge AWS global. Akselerator standar Global Accelerator dapat meningkatkan latensi pengguna hingga 60%. Jika Anda memiliki aplikasi web, Anda dapat mendeteksi dan mengurangi banjir permintaan lapisan aplikasi web dengan menjalankan aplikasi pada Application Load Balancer, dan kemudian melindungi Application Load Balancer dengan ACL web. AWS WAF 

Setelah membuat aplikasi, lindungi zona yang dihosting Route 53, akselerator standar Akselerator Global, dan Penyeimbang Beban Aplikasi apa pun dengan Shield Advanced. Ketika Anda melindungi Application Load Balancers, Anda dapat mengaitkan AWS WAF web ACLs dan membuat aturan berbasis tarif untuk mereka. Anda dapat mengonfigurasi keterlibatan proaktif dengan SRT untuk akselerator standar Akselerator Global dan Penyeimbang Beban Aplikasi Anda dengan mengaitkan pemeriksaan kesehatan Route 53 yang baru atau yang sudah ada. Untuk mempelajari lebih lanjut tentang opsi, lihat[Perlindungan sumber daya di AWS Shield Advanced](ddos-resource-protections.md). 

Diagram referensi berikut menggambarkan contoh arsitektur tangguh DDo S untuk aplikasi TCP dan UDP.

![\[Diagram menunjukkan pengguna terhubung ke Route 53 dan ke file AWS Global Accelerator. Akselerator terhubung ke ikon Elastic Load Balancing yang dilindungi oleh AWS Shield Advanced dan. AWS WAF Elastic Load Balancing sendiri terhubung ke instans Amazon EC2. Instans Elastic Load Balancing dan instans Amazon EC2 ini ada di Wilayah 1. AWS Global Accelerator Ini juga terhubung langsung ke instans Amazon EC2 lainnya, yang tidak berada di belakang intsance Elastic Load Balancing yang dilindungi. Instans Amazon EC2 kedua ini ada di Wilayah n.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/shield-resilient-tcp-udp-app-arch.png)


Manfaat yang diberikan pendekatan ini untuk aplikasi Anda meliputi:
+ Perlindungan terhadap serangan lapisan infrastruktur terbesar yang diketahui (lapisan 3 dan lapisan 4) DDo S. Jika volume serangan menyebabkan kemacetan di hulu AWS, kegagalan akan diisolasi lebih dekat ke sumbernya dan akan memiliki efek yang diminimalkan pada pengguna sah Anda.
+ Perlindungan terhadap serangan lapisan aplikasi DNS, karena Route 53 bertanggung jawab untuk melayani tanggapan DNS otoritatif. 
+ Jika Anda memiliki aplikasi web, pendekatan ini memberikan perlindungan terhadap banjir permintaan lapisan aplikasi web. Aturan berbasis tarif yang Anda konfigurasikan di ACL AWS WAF web Anda memblokir sumber IPs saat mereka mengirim lebih banyak permintaan daripada yang diizinkan aturan. 
+ Keterlibatan proaktif dengan Tim Respons Shield (SRT), jika Anda memilih untuk mengaktifkan opsi ini untuk sumber daya yang memenuhi syarat. Ketika Shield Advanced mendeteksi peristiwa yang memengaruhi kesehatan aplikasi Anda, SRT merespons dan secara proaktif terlibat dengan tim keamanan atau operasi Anda menggunakan informasi kontak yang Anda berikan. 

# Menggabungkan Shield Advanced dengan lainnya Layanan AWS
<a name="aws-shield-use-case"></a>

Anda dapat menggunakan Shield Advanced untuk melindungi sumber daya Anda dalam berbagai jenis skenario. Namun, dalam beberapa kasus Anda harus menggunakan layanan lain atau menggabungkan layanan lain dengan Shield Advanced untuk menawarkan perlindungan terbaik. Berikut ini adalah contoh cara menggunakan Shield Advanced atau AWS layanan lain untuk membantu melindungi sumber daya Anda.


| Tujuan | Layanan yang disarankan | Dokumentasi layanan terkait | 
| --- | --- | --- | 
| Melindungi aplikasi web dan RESTful APIs melawan serangan DDo S | Shield Advanced melindungi CloudFront distribusi Amazon dan Application Load Balancer | [Dokumentasi [Elastic Load Balancing, Dokumentasi](https://docs.aws.amazon.com/elasticloadbalancing/) Amazon CloudFront ](https://docs.aws.amazon.com/cloudfront/) | 
| Melindungi aplikasi berbasis TCP terhadap serangan S DDo | Shield Advanced melindungi akselerator AWS Global Accelerator standar; dilampirkan ke alamat IP Elastis | [AWS Global Accelerator Dokumentasi, dokumentasi](https://docs.aws.amazon.com/global-accelerator/) [Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/) | 
| Lindungi server game berbasis UDP terhadap serangan S DDo | Shield Advanced melindungi EC2 instans Amazon yang dilampirkan ke alamat IP Elastis | [Dokumentasi Cloud Komputasi Elastis Amazon](https://docs.aws.amazon.com/ec2/) | 

Misalnya, jika Anda menggunakan Shield Advanced untuk melindungi alamat IP Elastis, Shield Advanced melindungi sumber daya apa pun yang terkait dengannya. Selama serangan, Shield Advanced secara otomatis menyebarkan jaringan Anda ACLs ke perbatasan AWS jaringan. Ketika jaringan Anda ACLs berada di perbatasan jaringan, Shield Advanced dapat memberikan perlindungan terhadap peristiwa DDo S yang lebih besar. Biasanya, jaringan ACLs diterapkan di dekat EC2 instans Amazon Anda dalam VPC Amazon Anda. ACL jaringan dapat mengurangi serangan hanya sebesar yang dapat ditangani oleh VPC dan instans Amazon Anda. Jika antarmuka jaringan yang dilampirkan ke EC2 instans Amazon Anda dapat memproses hingga 10 Gbps, volume lebih dari 10 Gbps melambat dan mungkin memblokir lalu lintas ke instance itu. Selama serangan, Shield Advanced mempromosikan ACL jaringan Anda ke AWS perbatasan, yang dapat memproses beberapa terabyte lalu lintas. ACL jaringan Anda mampu memberikan perlindungan untuk sumber daya Anda jauh di luar kapasitas tipikal jaringan Anda. Untuk informasi selengkapnya tentang jaringan ACLs, lihat [Jaringan ACLs](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html). 

# Menyiapkan AWS Shield Advanced
<a name="getting-started-ddos"></a>

Tutorial ini memandu Anda untuk memulai AWS Shield Advanced menggunakan konsol Shield Advanced. 

**catatan**  
Shield Advanced membutuhkan langganan, sementara AWS Shield Standard tidak. Perlindungan yang disediakan oleh Shield Standard tersedia gratis untuk semua AWS pelanggan.

Shield Advanced menyediakan deteksi DDo S tingkat lanjut dan perlindungan mitigasi untuk serangan lapisan jaringan (lapisan 3), lapisan transport (lapisan 4), dan lapisan aplikasi (lapisan 7). Untuk informasi selengkapnya tentang Shield Advanced, lihat[AWS Shield Advanced ikhtisar](ddos-advanced-summary.md).

Komunitas AWS teknis telah menerbitkan contoh proses otomatis untuk mengonfigurasi Shield Advanced menggunakan infrastruktur sebagai alat kode (IAc), AWS CloudFormation dan Terraform. Anda dapat menggunakan AWS Firewall Manager solusi ini jika akun Anda adalah bagian dari organisasi di AWS Organizations dan jika Anda melindungi jenis sumber daya apa pun kecuali Amazon Route 53 atau AWS Global Accelerator. [Untuk menjelajahi opsi ini, lihat repositori kode di [aws-samples/ aws-shield-advanced-one-click-deployment dan tutorial di One-click deployment dari Shield](https://github.com/aws-samples/aws-shield-advanced-one-click-deployment) Advanced.](https://youtu.be/LCA3FwMk_QE) 

**catatan**  
Penting bagi Anda untuk mengonfigurasi sepenuhnya Shield Advanced sebelum peristiwa Distributed Denial of Service (DDoS). Selesaikan konfigurasi untuk membantu memastikan bahwa aplikasi Anda dilindungi dan bahwa Anda siap untuk merespons jika aplikasi Anda dipengaruhi oleh serangan DDo S.

Lakukan langkah-langkah berikut secara berurutan untuk memulai menggunakan Shield Advanced. 

**Contents**
+ [Berlangganan AWS Shield Advanced](enable-ddos-prem.md)
+ [Menambahkan dan mengonfigurasi perlindungan sumber daya dengan Shield Advanced](ddos-choose-resources.md)
  + [Mengkonfigurasi perlindungan lapisan aplikasi (lapisan 7) DDo S dengan AWS WAF](ddos-get-started-web-acl-rbr.md)
  + [Mengkonfigurasi deteksi berbasis kesehatan untuk perlindungan Anda dengan Shield Advanced dan Route 53](ddos-get-started-health-checks.md)
  + [Mengonfigurasi alarm dan notifikasi dengan Shield Advanced dan Amazon SNS](ddos-get-started-create-alarms.md)
  + [Meninjau dan menyelesaikan konfigurasi perlindungan Anda di Shield Advanced](ddos-get-started-review-and-configure.md)
+ [Menyiapkan dukungan AWS Shield Response Team (SRT) untuk respons acara DDo S](authorize-srt.md)
+ [Membuat dasbor DDo S CloudWatch dan mengatur CloudWatch alarm](deploy-waf-dashboard.md)

# Berlangganan AWS Shield Advanced
<a name="enable-ddos-prem"></a>

Halaman ini menjelaskan cara berlangganan akun Anda ke Shield Advanced, untuk mulai menggunakan layanan.

Anda harus berlangganan Shield Advanced untuk setiap Akun AWS yang ingin Anda lindungi. Anda tidak perlu berlangganan Shield Standard.

**Penagihan langganan Shield Advanced**  
Jika Anda seorang Reseller AWS Saluran, bicarakan dengan tim akun Anda untuk informasi dan panduan. Informasi penagihan ini untuk pelanggan yang bukan AWS Channel Reseller. 

Untuk yang lainnya, pedoman berlangganan dan penagihan berikut berlaku:
+ Untuk akun yang merupakan anggota AWS Organizations organisasi, AWS menagih langganan Shield Advanced terhadap akun pembayar untuk organisasi, terlepas dari apakah akun pembayar itu sendiri berlangganan. 
+ Saat Anda berlangganan beberapa akun yang berada dalam [keluarga akun penagihan AWS Organizations konsolidasi](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html) yang sama, satu harga langganan mencakup semua akun berlangganan dalam keluarga. Organisasi harus memiliki semua Akun AWS dan semua sumber daya mereka. 
+ Saat Anda berlangganan beberapa akun untuk beberapa organisasi, Anda masih dapat membayar satu biaya berlangganan di semua organisasi, akun, dan sumber daya yang menyediakan Anda memiliki semuanya. Hubungi manajer akun atau AWS dukungan Anda dan minta pengabaian biaya pada biaya AWS Shield Advanced berlangganan untuk semua kecuali satu organisasi. 

Untuk informasi dan contoh harga terperinci, lihat [AWS Shield Harga](https://aws.amazon.com/shield/pricing/). 

**Pertimbangkan untuk menyederhanakan langganan dengan AWS Firewall Manager**  
Jika akun Anda adalah bagian dari organisasi, kami sarankan Anda menggunakan AWS Firewall Manager jika Anda bisa, untuk mengotomatiskan langganan dan perlindungan Anda untuk organisasi. Firewall Manager mendukung semua jenis sumber daya yang dilindungi kecuali untuk Amazon Route 53 dan AWS Global Accelerator. Untuk menggunakan Firewall Manager, lihat [AWS Firewall Manager](fms-chapter.md) dan[Menyiapkan AWS Firewall Manager AWS Shield Advanced kebijakan](getting-started-fms-shield.md). 

Jika Anda tidak menggunakan Firewall Manager, untuk setiap akun dengan sumber daya untuk melindungi, berlangganan, dan menambahkan perlindungan menggunakan prosedur berikut. 

**Untuk berlangganan akun ke AWS Shield Advanced**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di bilah **AWS Shield**navigasi, pilih **Memulai**. Pilih **Berlangganan ke Shield Advanced**. 

1. Di halaman **Berlangganan Shield Advanced**, baca setiap ketentuan perjanjian, lalu pilih semua kotak centang untuk menunjukkan bahwa Anda menerima persyaratan. Untuk akun dalam keluarga penagihan konsolidasi, Anda harus menyetujui persyaratan untuk setiap akun. 
**penting**  
Ketika Anda berlangganan, untuk berhenti berlangganan Anda harus menghubungi. [AWS Dukungan](https://console.aws.amazon.com/support)   
[Untuk menonaktifkan autorenewal untuk langganan Anda, Anda harus menggunakan operasi Shield API atau perintah CLI [UpdateSubscription](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_UpdateSubscription.html)update-subscription.](https://docs.aws.amazon.com/cli/latest/reference/shield/update-subscription.html)

   Pilih **Berlangganan ke Shield Advanced**. Ini berlangganan akun Anda ke Shield Advanced dan mengaktifkan layanan.

Akun Anda berlangganan. Lanjutkan melalui langkah-langkah berikut untuk melindungi sumber daya akun Anda dengan Shield Advanced. 

**catatan**  
Shield Advanced tidak secara otomatis melindungi sumber daya Anda setelah berlangganan. Anda harus menentukan sumber daya yang ingin dilindungi oleh Shield Advanced. 

# Menambahkan dan mengonfigurasi perlindungan sumber daya dengan Shield Advanced
<a name="ddos-choose-resources"></a>

Halaman ini memberikan petunjuk untuk menambahkan dan mengonfigurasi perlindungan untuk sumber daya Anda. 

Shield Advanced hanya melindungi sumber daya yang Anda tentukan, baik melalui Shield Advanced atau dalam kebijakan Firewall Manager Shield Advanced. Itu tidak secara otomatis melindungi sumber daya akun berlangganan. 

**catatan**  
Jika Anda menggunakan kebijakan AWS Firewall Manager Shield Advanced untuk perlindungan, Anda tidak perlu melakukan langkah ini. Anda mengonfigurasi kebijakan dengan jenis sumber daya yang akan dilindungi, dan Firewall Manager secara otomatis menambahkan perlindungan ke sumber daya yang berada dalam cakupan kebijakan. 

Jika Anda tidak menggunakan Firewall Manager, ikuti prosedur berikut untuk setiap akun yang memiliki sumber daya untuk dilindungi.

**Untuk memilih sumber daya yang akan dilindungi menggunakan Shield Advanced**

1. Pilih **Tambahkan sumber daya untuk melindungi** dari halaman konfirmasi langganan prosedur sebelumnya, atau dari halaman **Sumber daya atau **Ikhtisar** yang dilindungi**. 

1. Di halaman **Pilih sumber daya untuk dilindungi dengan Shield Advanced**, **di Tentukan Wilayah dan jenis sumber daya**, berikan spesifikasi Region dan tipe sumber daya untuk sumber daya yang ingin Anda lindungi. Anda dapat melindungi sumber daya di beberapa Wilayah dengan memilih **Semua Wilayah** dan Anda dapat mempersempit pilihan ke sumber daya global dengan memilih **Global**. Anda dapat membatalkan pilihan jenis sumber daya apa pun yang tidak ingin Anda lindungi. Untuk informasi tentang perlindungan untuk jenis sumber daya Anda, lihat[Daftar sumber daya yang AWS Shield Advanced melindungi](ddos-protections-by-resource-type.md).

1. Pilih **Muat sumber daya**. Shield Advanced mengisi bagian **Pilih Sumber Daya** dengan AWS sumber daya yang sesuai dengan kriteria Anda. 

1. Di bagian **Pilih Sumber Daya**, Anda dapat memfilter daftar sumber daya dengan memasukkan string untuk dicari di daftar sumber daya. 

   Pilih sumber daya yang ingin Anda lindungi.

1. Di bagian **Tag**, jika Anda ingin menambahkan tag ke perlindungan Shield Advanced yang Anda buat, tentukan tag tersebut. Untuk informasi tentang menandai AWS sumber daya, lihat [Bekerja dengan Editor Tag](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html). 

1. Pilih **Lindungi dengan Shield Advanced**. Ini menambahkan perlindungan Shield Advanced ke sumber daya.

Lanjutkan melalui layar wizard konsol untuk menyelesaikan konfigurasi perlindungan sumber daya Anda. 

**Topics**
+ [Mengkonfigurasi perlindungan lapisan aplikasi (lapisan 7) DDo S dengan AWS WAF](ddos-get-started-web-acl-rbr.md)
+ [Mengkonfigurasi deteksi berbasis kesehatan untuk perlindungan Anda dengan Shield Advanced dan Route 53](ddos-get-started-health-checks.md)
+ [Mengonfigurasi alarm dan notifikasi dengan Shield Advanced dan Amazon SNS](ddos-get-started-create-alarms.md)
+ [Meninjau dan menyelesaikan konfigurasi perlindungan Anda di Shield Advanced](ddos-get-started-review-and-configure.md)

# Mengkonfigurasi perlindungan lapisan aplikasi (lapisan 7) DDo S dengan AWS WAF
<a name="ddos-get-started-web-acl-rbr"></a>

Halaman ini memberikan instruksi untuk mengkonfigurasi perlindungan lapisan aplikasi dengan AWS WAF web. ACLs 

Untuk melindungi sumber daya lapisan aplikasi, Shield Advanced menggunakan ACL AWS WAF web dengan aturan berbasis kecepatan sebagai titik awal. AWS WAF adalah firewall aplikasi web yang memungkinkan Anda memantau permintaan HTTP dan HTTPS yang diteruskan ke sumber daya lapisan aplikasi Anda, dan memungkinkan Anda mengontrol akses ke konten Anda berdasarkan karakteristik permintaan. Aturan berbasis tarif membatasi volume lalu lintas berdasarkan kriteria agregasi permintaan Anda, memberikan perlindungan DDo S dasar untuk aplikasi Anda. Untuk informasi selengkapnya, lihat [Bagaimana cara AWS WAF kerja](how-aws-waf-works.md) dan [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md).

Anda juga dapat secara opsional mengaktifkan mitigasi lapisan DDo S aplikasi otomatis Shield Advanced, untuk memiliki permintaan batas tarif Shield Advanced dari sumber DDo S yang diketahui dan secara otomatis memberikan perlindungan khusus insiden untuk Anda. 

**penting**  
Jika Anda mengelola perlindungan Shield Advanced AWS Firewall Manager dengan menggunakan kebijakan Shield Advanced, Anda tidak dapat mengelola perlindungan lapisan aplikasi di sini. Anda harus mengelolanya dalam kebijakan Firewall Manager Shield Advanced Anda.

**Langganan dan biaya Shield Advanced AWS WAF**  
Langganan Shield Advanced Anda menanggung biaya penggunaan AWS WAF kemampuan standar untuk sumber daya yang Anda lindungi dengan Shield Advanced. AWS WAF Biaya standar yang ditanggung oleh perlindungan Shield Advanced Anda adalah biaya per paket perlindungan (web ACL), biaya per aturan, dan harga dasar per juta permintaan untuk pemeriksaan permintaan web, hingga 1.500 WCUs dan hingga ukuran badan default.

Mengaktifkan mitigasi lapisan aplikasi DDo S otomatis Shield Advanced menambahkan grup aturan ke paket perlindungan Anda (web ACL) yang menggunakan 150 unit kapasitas ACL web (). WCUs Ini WCUs dihitung terhadap penggunaan WCU dalam paket perlindungan Anda (web ACL). Lihat informasi selengkapnya di [Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md), [Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md), dan [Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md).

Langganan Anda ke Shield Advanced tidak mencakup AWS WAF penggunaan sumber daya yang tidak Anda lindungi menggunakan Shield Advanced. Ini juga tidak mencakup AWS WAF biaya non-standar tambahan untuk sumber daya yang dilindungi. Contoh biaya non-standar adalah AWS WAF biaya untuk Kontrol Bot, untuk tindakan CAPTCHA aturan, untuk web ACLs yang menggunakan lebih dari 1.500 WCUs, dan untuk memeriksa badan permintaan di luar ukuran tubuh default. Daftar lengkap disediakan di halaman AWS WAF harga. Langganan Anda ke Shield Advanced mencakup akses ke grup Aturan Terkelola Amazon Anti- DDo S Layer 7. Sebagai bagian dari langganan Anda, Anda akan mendapatkan hingga 50 miliar permintaan ke AWS WAF sumber daya yang dilindungi Shield Advanced dalam satu bulan kalender. Permintaan di atas 50 miliar akan ditagih sesuai halaman AWS Shield Advanced harga.

Untuk informasi selengkapnya dan contoh harga, lihat [Harga dan [AWS WAF Harga](https://aws.amazon.com/waf/pricing/) Shield](https://aws.amazon.com/shield/pricing/).

**Untuk mengonfigurasi perlindungan lapisan 7 DDo S untuk Wilayah**

Shield Advanced memberi Anda opsi untuk mengonfigurasi mitigasi lapisan 7 DDo S untuk setiap Wilayah tempat sumber daya pilihan Anda berada. Jika Anda menambahkan perlindungan di beberapa wilayah, wizard memandu Anda melalui prosedur berikut untuk setiap Wilayah. 

1. Halaman **Configure layer 7 DDo S protections** mencantumkan setiap sumber daya yang belum terkait dengan ACL web. Untuk masing-masing, pilih ACL web yang ada atau buat ACL web baru. Untuk sumber daya apa pun yang sudah memiliki ACL web terkait, Anda dapat mengubah web ACLs dengan terlebih dahulu memisahkan yang sekarang. AWS WAF Untuk informasi selengkapnya, lihat [Mengaitkan atau memisahkan perlindungan dengan sumber daya AWS](web-acl-associating-aws-resource.md).

   Untuk web ACLs yang belum memiliki aturan berbasis tarif, wizard konfigurasi meminta Anda untuk menambahkannya. Aturan berbasis tarif membatasi lalu lintas dari alamat IP ketika mereka mengirim permintaan volume tinggi. Aturan berbasis tarif membantu melindungi aplikasi Anda dari banjir permintaan web dan dapat memberikan peringatan tentang lonjakan lalu lintas mendadak yang mungkin mengindikasikan potensi serangan S. DDo Tambahkan aturan berbasis tarif ke ACL web dengan memilih **Tambahkan aturan batas tingkat** dan kemudian berikan batas tarif dan tindakan aturan. Anda dapat mengonfigurasi perlindungan tambahan di ACL web melalui. AWS WAF

   Untuk informasi tentang penggunaan aturan berbasis web ACLs dan tarif dalam perlindungan Shield Advanced Anda, termasuk opsi konfigurasi tambahan untuk aturan berbasis tarif, lihat. [Melindungi lapisan aplikasi dengan AWS WAF web ACLs dan Shield Advanced](ddos-app-layer-web-ACL-and-rbr.md)

1. Untuk **mitigasi lapisan DDo S aplikasi Otomatis**, jika Anda ingin Shield Advanced secara otomatis mengurangi serangan DDo S terhadap sumber daya lapisan aplikasi Anda, pilih **Aktifkan** dan kemudian pilih tindakan AWS WAF aturan yang Anda inginkan untuk digunakan Shield Advanced dalam aturan kustomnya. Pengaturan ini berlaku untuk semua web ACLs untuk sumber daya yang Anda kelola dalam sesi wizard ini. 

   Dengan mitigasi lapisan DDo S aplikasi otomatis, Shield Advanced mempertahankan aturan berbasis kecepatan di ACL AWS WAF web sumber daya yang membatasi volume permintaan dari sumber S yang diketahui. DDo Selain itu, Shield Advanced membandingkan pola lalu lintas saat ini dengan garis dasar lalu lintas bersejarah untuk mendeteksi penyimpangan yang mungkin mengindikasikan serangan S. DDo Ketika Shield Advanced mendeteksi serangan DDo S, ia merespons dengan membuat, mengevaluasi, dan menerapkan aturan khusus AWS WAF untuk merespons. Anda menentukan apakah aturan kustom menghitung atau memblokir serangan atas nama Anda. 
**catatan**  
Mitigasi lapisan aplikasi DDo S otomatis hanya berfungsi dengan paket perlindungan (web ACLs) yang dibuat menggunakan versi terbaru AWS WAF (v2). 

   Untuk informasi selengkapnya tentang mitigasi lapisan DDo S aplikasi otomatis Shield Advanced, termasuk peringatan dan praktik terbaik untuk menggunakan fitur ini, lihat. [Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md)

1. Pilih **Berikutnya**. Wisaya konsol maju ke halaman deteksi berbasis kesehatan. 

# Mengkonfigurasi deteksi berbasis kesehatan untuk perlindungan Anda dengan Shield Advanced dan Route 53
<a name="ddos-get-started-health-checks"></a>

Halaman ini memberikan petunjuk untuk mengonfigurasi Shield Advanced untuk menggunakan deteksi berbasis kesehatan. Ini dapat membantu meningkatkan daya tanggap dan akurasi dalam deteksi dan mitigasi serangan.

Pemeriksaan kesehatan yang dikonfigurasi dengan baik sangat penting untuk deteksi kejadian yang akurat. Anda dapat mengonfigurasi deteksi berbasis kesehatan untuk semua jenis sumber daya kecuali untuk zona yang dihosting Route 53. 

Untuk menggunakan deteksi berbasis kesehatan, tentukan pemeriksaan kesehatan untuk sumber daya Anda di Route 53, lalu kaitkan pemeriksaan kesehatan dengan perlindungan Shield Advanced Anda. Penting bahwa pemeriksaan kesehatan yang Anda konfigurasikan secara akurat mencerminkan kesehatan sumber daya. Untuk informasi dan contoh untuk mengonfigurasi pemeriksaan kesehatan yang akan digunakan dengan Shield Advanced, lihat[Deteksi berbasis kesehatan menggunakan pemeriksaan kesehatan dengan Shield Advanced dan Route 53](ddos-advanced-health-checks.md). 

Pemeriksaan kesehatan diperlukan untuk dukungan keterlibatan proaktif Shield Response Team (SRT). Untuk informasi tentang keterlibatan proaktif, lihat[Menyiapkan keterlibatan proaktif untuk SRT untuk menghubungi Anda secara langsung](ddos-srt-proactive-engagement.md).

**catatan**  
Pemeriksaan kesehatan harus dilaporkan sehat saat Anda mengaitkannya dengan perlindungan Shield Advanced Anda.

**Untuk mengonfigurasi deteksi berbasis kesehatan**

1. Di bawah **Pemeriksaan Kesehatan Terkait**, pilih ID pemeriksaan kesehatan yang ingin Anda kaitkan dengan perlindungan. 
**catatan**  
Jika Anda tidak melihat pemeriksaan kesehatan yang Anda butuhkan, buka konsol Route 53 dan verifikasi pemeriksaan kesehatan dan ID-nya. Untuk selengkapnya, lihat [Membuat dan Memperbarui Pemeriksaan Kesehatan](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html).

1. Pilih **Berikutnya**. Wisaya konsol maju ke halaman alarm dan notifikasi. 

# Mengonfigurasi alarm dan notifikasi dengan Shield Advanced dan Amazon SNS
<a name="ddos-get-started-create-alarms"></a>

Halaman ini memberikan petunjuk untuk mengonfigurasi notifikasi Amazon Simple Notification Service secara opsional untuk CloudWatch alarm Amazon yang terdeteksi dan aktivitas aturan berbasis tarif. Anda dapat menggunakannya untuk menerima pemberitahuan saat Shield mendeteksi peristiwa pada sumber daya yang dilindungi atau ketika batas kecepatan yang dikonfigurasi dalam aturan berbasis laju terlampaui. 

Untuk informasi tentang CloudWatch metrik Shield Advanced, lihat[AWS Shield Advanced metrik](shield-metrics.md). Untuk informasi tentang Amazon SNS, lihat Panduan [Pengembang Layanan Pemberitahuan Sederhana Amazon](https://docs.aws.amazon.com/sns/latest/dg/). 

**Untuk mengkonfigurasi alarm dan notifikasi**

1. Pilih topik Amazon SNS yang ingin Anda notifikasi. Anda dapat menggunakan satu topik Amazon SNS untuk semua sumber daya yang dilindungi dan aturan berbasis tarif, atau Anda dapat memilih topik yang berbeda, yang disesuaikan dengan organisasi Anda. Misalnya, Anda dapat membuat topik SNS untuk setiap tim yang bertanggung jawab atas respons insiden untuk kumpulan sumber daya tertentu.

1. Pilih **Berikutnya**. Panduan konsol maju ke halaman tinjauan perlindungan sumber daya.

# Meninjau dan menyelesaikan konfigurasi perlindungan Anda di Shield Advanced
<a name="ddos-get-started-review-and-configure"></a>

**Untuk meninjau dan menyelesaikan pengaturan Anda**

1. Di halaman **Tinjau dan konfigurasikan mitigasi dan visibilitas DDo S**, tinjau pengaturan Anda. Untuk melakukan modifikasi, pilih **Edit** di area yang ingin Anda modifikasi. Ini akan membawa Anda kembali ke halaman terkait di wizard konsol. Buat perubahan, lalu pilih **Berikutnya** di halaman berikutnya hingga Anda kembali ke halaman **Tinjauan dan konfigurasikan mitigasi dan visibilitas DDo S**.

1. Pilih **Selesai konfigurasi**. Halaman **Sumber daya yang dilindungi** mencantumkan sumber daya Anda yang baru dilindungi.

# Menyiapkan dukungan AWS Shield Response Team (SRT) untuk respons acara DDo S
<a name="authorize-srt"></a>

Halaman ini memberikan petunjuk untuk menyiapkan dukungan Shield Response Team (SRT).

SRT mencakup insinyur keamanan yang berspesialisasi dalam respons acara DDo S. Anda secara opsional dapat menambahkan izin yang memungkinkan SRT mengelola sumber daya atas nama Anda selama acara S. DDo Selain itu, Anda dapat mengonfigurasi SRT untuk terlibat secara proaktif dengan Anda jika pemeriksaan kesehatan Route 53 yang terkait dengan sumber daya yang dilindungi tidak sehat selama peristiwa yang terdeteksi. Kedua penambahan ini pada perlindungan Anda memungkinkan respons yang lebih cepat terhadap DDo peristiwa S. 

**catatan**  
Untuk menggunakan layanan dari Shield Response Team (SRT), Anda harus berlangganan paket Business [Support atau paket Enterprise](https://aws.amazon.com/premiumsupport/business-support/) [Support](https://aws.amazon.com/premiumsupport/enterprise-support/). 

SRT dapat memantau data AWS WAF permintaan dan log selama peristiwa lapisan aplikasi untuk mengidentifikasi lalu lintas anomali. Mereka dapat membantu menyusun AWS WAF aturan khusus untuk mengurangi sumber lalu lintas yang menyinggung. Sesuai kebutuhan, SRT mungkin membuat rekomendasi arsitektur untuk membantu Anda menyelaraskan sumber daya Anda dengan rekomendasi dengan AWS lebih baik. 

Untuk informasi lebih lanjut tentang SRT, lihat[Respons acara DDo S terkelola dengan dukungan Shield Response Team (SRT)](ddos-srt-support.md).

**Untuk memberikan izin ke SRT**

1. Di halaman **Ikhtisar AWS Shield ** konsol, di bawah **Konfigurasi dukungan AWS SRT**, pilih **Edit akses SRT**. Halaman **akses Edit AWS Shield Response Team (SRT)** terbuka.

1. Untuk **pengaturan akses SRT** pilih salah satu opsi: 
   + **Jangan berikan SRT akses ke akun saya** — Shield menghapus izin yang sebelumnya Anda berikan kepada SRT untuk mengakses akun dan sumber daya Anda.
   + **Buat peran baru bagi SRT untuk mengakses akun saya** — Shield membuat peran yang mempercayai prinsip layanan`drt.shield.amazonaws.com`, yang mewakili SRT, dan melampirkan kebijakan terkelola padanya. `AWSShieldDRTAccessPolicy` Kebijakan terkelola memungkinkan SRT melakukan AWS Shield Advanced dan panggilan AWS WAF API atas nama Anda dan mengakses AWS WAF log Anda. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [AWS kebijakan terkelola: AWSShield DRTAccess Kebijakan](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy).
   + **Pilih peran yang ada untuk SRT untuk mengakses akun saya** — Untuk opsi ini, Anda harus mengubah konfigurasi peran di AWS Identity and Access Management (IAM) sebagai berikut: 
     + Lampirkan kebijakan yang dikelola `AWSShieldDRTAccessPolicy` ke peran. Kebijakan terkelola ini memungkinkan SRT melakukan AWS Shield Advanced dan panggilan AWS WAF API atas nama Anda dan mengakses AWS WAF log Anda. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [AWS kebijakan terkelola: AWSShield DRTAccess Kebijakan](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy). Untuk informasi tentang melampirkan kebijakan terkelola ke peran Anda, lihat [Melampirkan dan Melepaskan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) Kebijakan IAM. 
     + Ubah peran untuk mempercayai kepala layanan`drt.shield.amazonaws.com`. Ini adalah prinsip layanan yang mewakili SRT. Untuk informasi selengkapnya, lihat [IAM JSON Policy Elements:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) Principal. 

1. Pilih **Simpan** untuk menyimpan perubahan Anda. 

Untuk informasi selengkapnya tentang memberikan SRT akses ke perlindungan dan data Anda, lihat. [Memberikan akses untuk SRT](ddos-srt-access.md) 

**Untuk mengaktifkan keterlibatan proaktif SRT**

1. Di halaman **Ikhtisar AWS Shield ** konsol, di bawah **Keterlibatan proaktif dan kontak**, di area kontak, pilih **Edit**.

   Di halaman **Edit kontak**, berikan informasi kontak untuk orang yang Anda ingin SRT hubungi untuk keterlibatan proaktif. 

   Jika Anda memberikan lebih dari satu kontak, dalam **Catatan**, tunjukkan keadaan di mana setiap kontak harus digunakan. Sertakan penunjukan kontak primer dan sekunder, dan berikan jam ketersediaan dan zona waktu untuk setiap kontak. 

   Contoh catatan kontak: 
   + Ini adalah hotline yang memiliki staf 24x7x365. Silakan bekerja dengan analis yang merespons dan mereka akan mendapatkan orang yang tepat pada panggilan. 
   + Silakan hubungi saya jika hotline tidak merespons dalam 5 menit.

1. Pilih **Simpan**. 

   Halaman **Ikhtisar** mencerminkan informasi kontak yang diperbarui.

1. Pilih **Edit fitur keterlibatan proaktif**, pilih **Aktifkan**, lalu pilih **Simpan** untuk mengaktifkan keterlibatan proaktif. 

Untuk informasi selengkapnya tentang keterlibatan proaktif, lihat[Menyiapkan keterlibatan proaktif untuk SRT untuk menghubungi Anda secara langsung](ddos-srt-proactive-engagement.md).

# Membuat dasbor DDo S CloudWatch dan mengatur CloudWatch alarm
<a name="deploy-waf-dashboard"></a>

Halaman ini memberikan instruksi untuk membuat dasbor DDo S CloudWatch dan mengatur CloudWatch alarm.

Anda dapat memantau potensi aktivitas DDo S menggunakan Amazon CloudWatch, yang mengumpulkan data mentah dari Shield Advanced dan memprosesnya menjadi metrik yang hampir real-time yang dapat dibaca. Anda dapat menggunakan statistik CloudWatch untuk mendapatkan perspektif tentang kinerja aplikasi atau layanan web Anda. Untuk informasi selengkapnya tentang penggunaan CloudWatch, lihat [Apa yang ada CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) di *Panduan CloudWatch Pengguna Amazon*.
+ Untuk instruksi untuk membuat CloudWatch dasbor, lihat[Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md). 
+ Untuk deskripsi metrik Shield Advanced yang dapat ditambahkan ke dasbor, lihat. [AWS Shield Advanced metrik](shield-metrics.md) 

Shield Advanced melaporkan metrik sumber daya CloudWatch lebih sering selama peristiwa DDo S daripada saat tidak ada acara yang sedang berlangsung. Shield Advanced melaporkan metrik satu menit sekali selama acara, dan kemudian sekali tepat setelah acara berakhir. Meskipun tidak ada peristiwa yang sedang berlangsung, Shield Advanced melaporkan metrik sekali sehari, pada waktu yang ditetapkan ke sumber daya. Laporan berkala ini membuat metrik tetap aktif dan tersedia untuk digunakan di CloudWatch alarm khusus Anda. 

Ini melengkapi tutorial untuk memulai dengan Shield Advanced. Untuk memanfaatkan sepenuhnya perlindungan yang Anda pilih, lanjutkan menjelajahi fitur dan opsi Shield Advanced. Untuk memulai, biasakan diri Anda dengan opsi Anda untuk melihat dan menanggapi acara di [Visibilitas ke acara DDo S dengan Shield Advanced](ddos-viewing-events.md) dan[Menanggapi peristiwa DDo S di AWS](ddos-responding.md).

# Respons acara DDo S terkelola dengan dukungan Shield Response Team (SRT)
<a name="ddos-srt-support"></a>

Halaman ini menjelaskan fungsi dari Shield Response Team (SRT).

SRT menyediakan dukungan tambahan untuk pelanggan Shield Advanced. SRT adalah insinyur keamanan yang berspesialisasi dalam respons acara DDo S. Sebagai lapisan dukungan tambahan untuk AWS Dukungan rencana Anda, Anda dapat bekerja secara langsung dengan SRT, memanfaatkan keahlian mereka sebagai bagian dari alur kerja respons acara Anda. Untuk informasi tentang opsi dan panduan konfigurasi, lihat topik berikut.

**catatan**  
Untuk menggunakan layanan dari Shield Response Team (SRT), Anda harus berlangganan paket Business [Support atau paket Enterprise](https://aws.amazon.com/premiumsupport/business-support/) [Support](https://aws.amazon.com/premiumsupport/enterprise-support/).
Shield Response Team (SRT) menyediakan layanan di wilayah di mana Shield Advanced tersedia, dan untuk pelanggan di GovCloud wilayah, AWS GovCloud (AS-Timur) dan AWS GovCloud (AS-Barat).

**Kegiatan dukungan SRT**  
Tujuan utama dalam keterlibatan dengan SRT adalah untuk melindungi ketersediaan dan kinerja aplikasi Anda. Bergantung pada jenis peristiwa DDo S dan arsitektur aplikasi Anda, SRT dapat mengambil satu atau beberapa tindakan berikut: 
+ **AWS WAF analisis log dan aturan** — Untuk sumber daya yang menggunakan ACL AWS WAF web, SRT dapat menganalisis AWS WAF log Anda untuk mengidentifikasi karakteristik serangan dalam permintaan web aplikasi Anda. Dengan persetujuan Anda selama keterlibatan, SRT dapat menerapkan perubahan pada ACL web Anda untuk memblokir serangan yang telah mereka identifikasi. 
+ **Membangun mitigasi jaringan kustom** — SRT dapat menulis mitigasi kustom untuk Anda untuk serangan lapisan infrastruktur. SRT dapat bekerja dengan Anda untuk memahami lalu lintas yang diharapkan untuk aplikasi Anda, untuk memblokir lalu lintas yang tidak terduga, dan untuk mengoptimalkan batas tarif paket per detik. Untuk informasi selengkapnya, lihat [Menyiapkan mitigasi khusus terhadap serangan DDo S dengan SRT](ddos-srt-custom-mitigations.md).
+ **Rekayasa lalu lintas jaringan** — SRT bekerja sama dengan tim AWS jaringan untuk melindungi pelanggan Shield Advanced. Bila diperlukan, AWS dapat mengubah bagaimana lalu lintas internet tiba di AWS jaringan untuk mengalokasikan lebih banyak kapasitas mitigasi untuk aplikasi Anda. 
+ **Rekomendasi arsitektur** — SRT dapat menentukan bahwa mitigasi terbaik untuk serangan memerlukan perubahan arsitektur agar lebih selaras dengan praktik AWS terbaik, dan mereka akan membantu mendukung penerapan praktik ini. Untuk informasi, lihat [Praktik AWS Terbaik untuk Ketahanan DDo S](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency). 

Bagian berikut memberikan instruksi untuk terlibat dengan SRT

**Topics**
+ [Memberikan akses untuk SRT](ddos-srt-access.md)
+ [Menyiapkan keterlibatan proaktif untuk SRT untuk menghubungi Anda secara langsung](ddos-srt-proactive-engagement.md)
+ [Menghubungi SRT untuk bantuan dengan dugaan peristiwa DDo S](ddos-srt-contacting.md)
+ [Menyiapkan mitigasi khusus terhadap serangan DDo S dengan SRT](ddos-srt-custom-mitigations.md)

# Memberikan akses untuk SRT
<a name="ddos-srt-access"></a>

Halaman ini memberikan instruksi untuk memberikan izin kepada SRT untuk bertindak atas nama Anda, sehingga mereka dapat mengakses AWS WAF log Anda dan melakukan panggilan ke AWS Shield Advanced dan AWS WAF APIs untuk mengelola perlindungan. 

 Selama peristiwa lapisan DDo S aplikasi, SRT dapat memantau AWS WAF permintaan untuk mengidentifikasi lalu lintas anomali dan membantu menyusun AWS WAF aturan khusus untuk mengurangi sumber lalu lintas yang menyinggung. 

Selain itu, Anda dapat memberikan SRT akses ke data lain yang telah Anda simpan di bucket Amazon S3, seperti tangkapan paket atau log dari Application Load Balancer, CloudFront Amazon, atau dari sumber pihak ketiga.

**catatan**  
Untuk menggunakan layanan dari Shield Response Team (SRT), Anda harus berlangganan paket Business [Support atau paket Enterprise](https://aws.amazon.com/premiumsupport/business-support/) [Support](https://aws.amazon.com/premiumsupport/enterprise-support/). 

**Untuk mengelola izin untuk SRT**

1. Di halaman **Ikhtisar AWS Shield ** konsol, di bawah **Konfigurasi dukungan AWS SRT**, pilih **Edit akses SRT**. Halaman **akses Edit AWS Shield Response Team (SRT)** terbuka.

1. Untuk **pengaturan akses SRT** pilih salah satu opsi: 
   + **Jangan berikan SRT akses ke akun saya** — Shield menghapus izin apa pun yang sebelumnya Anda berikan kepada SRT untuk mengakses akun dan sumber daya Anda.
   + **Buat peran baru bagi SRT untuk mengakses akun saya** — Shield membuat peran yang mempercayai prinsip layanan`drt.shield.amazonaws.com`, yang mewakili SRT, dan melampirkan kebijakan terkelola padanya. `AWSShieldDRTAccessPolicy` Kebijakan terkelola memungkinkan SRT melakukan AWS Shield Advanced dan panggilan AWS WAF API atas nama Anda dan mengakses AWS WAF log Anda. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [AWS kebijakan terkelola: AWSShield DRTAccess Kebijakan](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy).
   + **Pilih peran yang ada untuk SRT untuk mengakses akun saya** — Untuk opsi ini, Anda harus mengubah konfigurasi peran di AWS Identity and Access Management (IAM) sebagai berikut: 
     + Lampirkan kebijakan yang dikelola `AWSShieldDRTAccessPolicy` ke peran. Kebijakan terkelola ini memungkinkan SRT melakukan AWS Shield Advanced dan panggilan AWS WAF API atas nama Anda dan mengakses AWS WAF log Anda. Untuk informasi selengkapnya tentang kebijakan terkelola, lihat [AWS kebijakan terkelola: AWSShield DRTAccess Kebijakan](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy). Untuk informasi tentang melampirkan kebijakan terkelola ke peran Anda, lihat [Melampirkan dan Melepaskan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) Kebijakan IAM. 
     + Memodifikasi peran untuk mempercayai kepala layanan`drt.shield.amazonaws.com`. Ini adalah prinsip layanan yang mewakili SRT. Untuk informasi selengkapnya, lihat [IAM JSON Policy Elements:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) Principal. 

1. Untuk **(Opsional): Berikan akses SRT ke bucket Amazon S3**, jika Anda perlu berbagi data yang tidak ada di log ACL web AWS WAF Anda, konfigurasikan ini. Misalnya, Application Load Balancer mengakses log, log Amazon CloudFront , atau log dari sumber pihak ketiga. 
**catatan**  
Anda tidak perlu melakukan ini untuk log ACL AWS WAF web Anda. SRT mendapatkan akses ke mereka ketika Anda memberikan akses ke akun Anda. 

   1. Konfigurasikan bucket Amazon S3 sesuai dengan pedoman berikut: 
      + Lokasi bucket harus Akun AWS sama dengan yang Anda berikan kepada SRT akses umum, pada langkah sebelumnya akses **AWS Shield Response Team (SRT)**. 
      + Ember dapat berupa plaintext atau SSE-S3 dienkripsi. Untuk informasi selengkapnya tentang enkripsi Amazon S3 SSE-S3, lihat [Melindungi Data Menggunakan Enkripsi Sisi Server dengan Kunci Enkripsi Terkelola Amazon S3 (SSE-S3) di Panduan Pengguna Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html).

        SRT tidak dapat melihat atau memproses log yang disimpan dalam bucket yang dienkripsi dengan kunci yang disimpan di (). AWS Key Management Service AWS KMS

   1. **Di Shield Advanced **(Opsional): Berikan akses SRT ke bagian bucket Amazon S3**, untuk setiap bucket Amazon S3 tempat data atau log Anda disimpan, masukkan nama bucket dan pilih Tambahkan Bucket.** Anda dapat menambahkan hingga 10 ember.

      Ini memberi SRT izin berikut pada setiap bucket:`s3:GetBucketLocation`,, `s3:GetObject` dan. `s3:ListBucket`

      Jika Anda ingin memberikan izin SRT untuk mengakses lebih dari 10 bucket, Anda dapat melakukannya dengan mengedit kebijakan bucket tambahan dan secara manual memberikan izin yang tercantum di sini untuk SRT.

      Berikut ini menunjukkan contoh daftar kebijakan.

      ```
      {
          "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
          "Effect": "Allow",
          "Principal": {
              "Service": "drt.shield.amazonaws.com"
          },
          "Action": [
              "s3:GetBucketLocation",
              "s3:GetObject",
              "s3:ListBucket"
          ],
          "Resource": [
              "arn:aws:s3:::bucket-name",
              "arn:aws:s3:::bucket-name/*"
          ]
      }
      ```

1. Pilih **Simpan** untuk menyimpan perubahan Anda.

[Anda juga dapat mengotorisasi SRT melalui API dengan membuat peran IAM, melampirkan Kebijakan AWSShield DRTAccess kebijakan padanya, dan kemudian meneruskan peran tersebut ke Associate operasi. DRTRole](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AssociateDRTRole.html) 

# Menyiapkan keterlibatan proaktif untuk SRT untuk menghubungi Anda secara langsung
<a name="ddos-srt-proactive-engagement"></a>

Halaman ini memberikan instruksi untuk menyiapkan keterlibatan proaktif dengan SRT.

Dengan keterlibatan proaktif, SRT menghubungi Anda secara langsung ketika ketersediaan atau kinerja aplikasi Anda terpengaruh karena kemungkinan serangan. Kami merekomendasikan model keterlibatan ini karena memberikan respons SRT tercepat dan memungkinkan SRT untuk memulai pemecahan masalah bahkan sebelum mereka menjalin kontak dengan Anda. 

Keterlibatan proaktif tersedia untuk kejadian lapisan jaringan dan lapisan transportasi pada alamat IP Elastis dan akselerator AWS Global Accelerator standar, dan untuk banjir permintaan web pada distribusi Amazon dan Application Load Balancer. CloudFront Keterlibatan proaktif hanya tersedia untuk perlindungan sumber daya Shield Advanced yang memiliki pemeriksaan kesehatan Amazon Route 53 terkait. Untuk informasi tentang mengelola dan menggunakan pemeriksaan kesehatan, lihat[Deteksi berbasis kesehatan menggunakan pemeriksaan kesehatan dengan Shield Advanced dan Route 53](ddos-advanced-health-checks.md).

Selama acara yang terdeteksi oleh Shield Advanced, SRT menggunakan status pemeriksaan kesehatan Anda untuk menentukan apakah acara tersebut memenuhi syarat untuk keterlibatan proaktif. Jika demikian, SRT akan menghubungi Anda sesuai dengan panduan kontak yang Anda berikan dalam konfigurasi keterlibatan proaktif Anda. 

Anda dapat mengonfigurasi hingga sepuluh kontak untuk keterlibatan proaktif, dan Anda dapat memberikan catatan untuk memandu SRT dalam menjangkau Anda. Kontak keterlibatan proaktif Anda harus tersedia untuk terlibat dengan SRT selama acara. Jika Anda tidak memiliki pusat operasi 24/7, Anda dapat memberikan kontak pager dan menunjukkan preferensi kontak ini di catatan kontak Anda.

Keterlibatan proaktif mengharuskan Anda melakukan hal berikut: 
+ Anda harus berlangganan paket [Business Support atau paket](https://aws.amazon.com/premiumsupport/business-support/) [Enterprise Support](https://aws.amazon.com/premiumsupport/enterprise-support/).
+ Anda harus mengaitkan pemeriksaan kesehatan Amazon Route 53 dengan sumber daya apa pun yang ingin Anda lindungi dengan keterlibatan proaktif. SRT menggunakan status pemeriksaan kesehatan Anda untuk membantu menentukan apakah suatu peristiwa memerlukan keterlibatan proaktif, jadi penting bahwa pemeriksaan kesehatan Anda secara akurat mencerminkan keadaan sumber daya Anda yang dilindungi. Untuk informasi dan panduan lebih lanjut, lihat[Deteksi berbasis kesehatan menggunakan pemeriksaan kesehatan dengan Shield Advanced dan Route 53](ddos-advanced-health-checks.md).
+ Untuk sumber daya yang terkait dengan ACL AWS WAF web, Anda harus membuat ACL web menggunakan AWS WAF (v2), yang merupakan versi terbaru dari. AWS WAF
+ Anda harus menyediakan setidaknya satu kontak untuk SRT untuk digunakan untuk keterlibatan proaktif selama acara. Jaga informasi kontak Anda lengkap dan up to date. 

**Untuk mengaktifkan keterlibatan proaktif SRT**

1. Di halaman **Ikhtisar AWS Shield ** konsol, di bawah **Keterlibatan proaktif dan kontak**, di area kontak, pilih **Edit**.

   Di halaman **Edit kontak**, berikan informasi kontak untuk orang yang Anda ingin SRT hubungi untuk keterlibatan proaktif. 

   Jika Anda memberikan lebih dari satu kontak, dalam **Catatan**, tunjukkan keadaan di mana setiap kontak harus digunakan. Sertakan penunjukan kontak primer dan sekunder, dan berikan jam ketersediaan dan zona waktu untuk setiap kontak. 

   Contoh catatan kontak: 
   + Ini adalah hotline yang memiliki staf 24x7x365. Silakan bekerja dengan analis yang merespons dan mereka akan mendapatkan orang yang tepat pada panggilan. 
   + Silakan hubungi saya jika hotline tidak merespons dalam waktu 5 menit.

1. Pilih **Simpan**. 

   Halaman **Ikhtisar** mencerminkan informasi kontak yang diperbarui.

1. Pilih **Edit fitur keterlibatan proaktif**, pilih **Aktifkan**, lalu pilih **Simpan** untuk mengaktifkan keterlibatan proaktif. 

# Menghubungi SRT untuk bantuan dengan dugaan peristiwa DDo S
<a name="ddos-srt-contacting"></a>

Anda dapat menghubungi SRT dengan salah satu cara berikut: 

**Kasus Support**  
Anda dapat membuka kasing di bawah **AWS Shield**di konsol **AWS Support Center**. 

Untuk panduan cara membuat kasus dukungan, lihat [AWS Dukungan Pusat](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html). 

Pilih tingkat keparahan yang sesuai dengan situasi Anda dan berikan detail kontak Anda. Dalam deskripsi, berikan sedetail mungkin. Berikan informasi tentang sumber daya yang dilindungi yang menurut Anda mungkin terpengaruh, dan kondisi pengalaman pengguna akhir Anda saat ini. Misalnya, jika pengalaman pengguna Anda terdegradasi atau bagian dari aplikasi Anda saat ini tidak tersedia, berikan informasi tersebut.
+ **Untuk dugaan serangan DDo S** — Jika ketersediaan atau kinerja aplikasi Anda saat ini dipengaruhi oleh kemungkinan serangan DDo S, pilih tingkat keparahan dan opsi kontak berikut: 
  + Untuk tingkat keparahan, pilih tingkat keparahan tertinggi yang tersedia untuk paket dukungan Anda:
    + Untuk dukungan Bisnis ini adalah **Sistem produksi turun: < 1 jam**. 
    + Untuk dukungan Enterprise, ini adalah **sistem penting Bisnis turun: < 15 menit**. 
  + Untuk opsi kontak, pilih **Telepon** atau **Obrolan** dan berikan detail Anda. Menggunakan metode kontak langsung memberikan respons tercepat.

**Keterlibatan proaktif**  
Dengan keterlibatan AWS Shield Advanced proaktif, SRT menghubungi Anda secara langsung jika pemeriksaan kesehatan Amazon Route 53 yang terkait dengan sumber daya yang dilindungi menjadi tidak sehat selama peristiwa yang terdeteksi. Untuk informasi selengkapnya tentang metrik ini, lihat [Menyiapkan keterlibatan proaktif untuk SRT untuk menghubungi Anda secara langsung](ddos-srt-proactive-engagement.md).

# Menyiapkan mitigasi khusus terhadap serangan DDo S dengan SRT
<a name="ddos-srt-custom-mitigations"></a>

Halaman ini memberikan instruksi untuk bekerja dengan SRT untuk membangun mitigasi khusus terhadap serangan S. DDo

Untuk Elastic IPs (EIPs) dan akselerator AWS Global Accelerator standar Anda, Anda dapat bekerja dengan SRT untuk mengonfigurasi mitigasi kustom. Ini berguna jika Anda mengetahui logika spesifik yang harus ditegakkan ketika mitigasi ditempatkan. Misalnya, Anda mungkin ingin hanya mengizinkan lalu lintas dari negara tertentu, menerapkan batas tarif tertentu, mengonfigurasi validasi opsional, melarang fragmen, atau hanya mengizinkan lalu lintas yang cocok dengan pola tertentu dalam muatan paket. 

Contoh mitigasi kustom umum meliputi yang berikut:
+ **Pencocokan pola** — Jika Anda mengoperasikan layanan yang berinteraksi dengan aplikasi sisi klien, Anda dapat memilih untuk mencocokkan pola yang diketahui yang unik untuk aplikasi tersebut. Misalnya, Anda dapat mengoperasikan layanan game atau komunikasi yang mengharuskan pengguna akhir untuk menginstal perangkat lunak tertentu yang Anda distribusikan. Anda dapat memasukkan angka ajaib di setiap paket yang dikirim oleh aplikasi ke layanan Anda. Anda dapat mencocokkan hingga 128 byte (terpisah atau bersebelahan) dari muatan dan header paket TCP atau UDP yang tidak terfragmentasi. Pertandingan dapat dinyatakan dalam notasi heksadesimal sebagai offset spesifik dari awal payload paket atau offset dinamis mengikuti nilai yang diketahui. Misalnya, mitigasi dapat mencari byte `0x01` dan kemudian mengharapkan `0x12345678` sebagai empat byte berikutnya.
+ **Khusus DNS** - Jika Anda mengoperasikan layanan DNS otoritatif Anda sendiri menggunakan layanan seperti Global Accelerator atau Amazon Elastic Compute Cloud ( EC2Amazon), Anda dapat meminta mitigasi khusus yang memvalidasi paket untuk memastikan bahwa mereka adalah kueri DNS yang valid dan menerapkan penilaian kecurigaan yang mengevaluasi atribut yang spesifik untuk lalu lintas DNS. 

Untuk menanyakan tentang bekerja dengan SRT untuk membangun mitigasi khusus, buat kasus dukungan di bawah. AWS Shield Untuk mempelajari lebih lanjut tentang membuat AWS Dukungan kasus, lihat [Memulai dengan AWS Dukungan](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html). 

# Perlindungan sumber daya di AWS Shield Advanced
<a name="ddos-resource-protections"></a>

Anda dapat menambahkan dan mengonfigurasi AWS Shield Advanced perlindungan untuk sumber daya Anda. Anda dapat mengelola perlindungan untuk satu sumber daya dan Anda dapat mengelompokkan sumber daya yang dilindungi ke dalam koleksi logis untuk manajemen acara yang lebih baik. Anda juga dapat melacak perubahan pada perlindungan Shield Advanced Anda menggunakan AWS Config. 

**catatan**  
Shield Advanced hanya melindungi sumber daya yang telah Anda tentukan di Shield Advanced atau melalui kebijakan AWS Firewall Manager Shield Advanced. Itu tidak secara otomatis melindungi sumber daya Anda.

Jika Anda menggunakan kebijakan AWS Firewall Manager Shield Advanced, Anda tidak perlu mengelola perlindungan untuk sumber daya yang berada dalam cakupan kebijakan. Firewall Manager secara otomatis mengelola perlindungan untuk akun dan sumber daya yang berada dalam cakupan kebijakan, sesuai dengan konfigurasi kebijakan. Lihat informasi yang lebih lengkap di [Menggunakan AWS Shield Advanced kebijakan di Firewall Manager](shield-policies.md).

**Topics**
+ [Daftar sumber daya yang AWS Shield Advanced melindungi](ddos-protections-by-resource-type.md)
+ [Melindungi EC2 instans Amazon dan Network Load Balancer dengan Shield Advanced](ddos-protections-ec2-nlb.md)
+ [Melindungi lapisan aplikasi (layer 7) dengan AWS Shield Advanced dan AWS WAF](ddos-app-layer-protections.md)
+ [Deteksi berbasis kesehatan menggunakan pemeriksaan kesehatan dengan Shield Advanced dan Route 53](ddos-advanced-health-checks.md)
+ [Menambahkan AWS Shield Advanced perlindungan ke AWS sumber daya](configure-new-protection.md)
+ [AWS Shield Advanced Perlindungan pengeditan](manage-protection.md)
+ [Membuat alarm dan notifikasi untuk sumber daya yang dilindungi oleh Shield Advanced](add-alarm-ddos.md)
+ [Menghapus AWS Shield Advanced perlindungan dari sumber AWS daya](remove-protection.md)
+ [Mengelompokkan perlindungan Anda AWS Shield Advanced](ddos-protection-groups.md)
+ [Tracking Shield Perubahan perlindungan sumber daya tingkat lanjut di AWS Config](ddos-add-config.md)

# Daftar sumber daya yang AWS Shield Advanced melindungi
<a name="ddos-protections-by-resource-type"></a>

Bagian ini memberikan informasi tentang perlindungan Shield Advanced untuk setiap jenis sumber daya. 

Shield Advanced melindungi AWS sumber daya di jaringan dan lapisan transportasi (lapisan 3 dan 4) dan di lapisan aplikasi (lapisan 7). Anda dapat melindungi beberapa sumber daya secara langsung dan lainnya melalui asosiasi dengan sumber daya yang dilindungi. Shield Advanced mendukung IPv4, dan tidak mendukung IPv6.

**catatan**  
Shield Advanced hanya melindungi sumber daya yang telah Anda tentukan di Shield Advanced atau melalui kebijakan AWS Firewall Manager Shield Advanced. Itu tidak secara otomatis melindungi sumber daya Anda.

Anda dapat menggunakan Shield Advanced untuk pemantauan dan perlindungan lanjutan dengan jenis sumber daya berikut:
+  CloudFront Distribusi Amazon. Untuk penerapan CloudFront berkelanjutan, Shield Advanced melindungi distribusi pementasan apa pun yang terkait dengan distribusi primer yang dilindungi. 
+ Amazon Route 53 zona yang dihosting.
+ AWS Global Accelerator akselerator standar.
+ Alamat IP Amazon EC2 Elastic. Shield Advanced melindungi sumber daya yang terkait dengan alamat IP Elastic yang dilindungi. 
+  EC2 Instans Amazon, melalui asosiasi ke alamat IP Amazon EC2 Elastic. 
+ Berikut ini penyeimbang beban Elastic Load Balancing (ELB):
  + Penyeimbang Beban Aplikasi.
  + Penyeimbang Beban Klasik.
  + Network Load Balancers, melalui asosiasi ke alamat IP Amazon EC2 Elastic. 

**catatan**  
Anda tidak dapat menggunakan Shield Advanced untuk melindungi jenis sumber daya lainnya. Misalnya, Anda tidak dapat melindungi akselerator perutean AWS Global Accelerator khusus atau Gateway Load Balancer.

**catatan**  
NAT Gateways hanya menangani lalu lintas keluar, sedangkan Shield Advanced melindungi terhadap inbound S. DDo Untuk perlindungan lalu lintas keluar, gunakan [AWS Network Firewall](https://docs.aws.amazon.com//network-firewall/latest/developerguide/what-is-aws-network-firewall.html).

Anda dapat memantau dan melindungi hingga 1.000 sumber daya untuk setiap jenis sumber daya per Akun AWS. Misalnya, dalam satu akun, Anda dapat melindungi 1.000 alamat IP Amazon EC2 Elastic, 1.000 CloudFront distribusi, dan 1.000 Application Load Balancer. Anda dapat meminta peningkatan jumlah sumber daya yang dapat Anda lindungi dengan Shield Advanced melalui konsol Service Quotas di. [https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/)

# Melindungi EC2 instans Amazon dan Network Load Balancer dengan Shield Advanced
<a name="ddos-protections-ec2-nlb"></a>

Halaman ini menjelaskan cara menggunakan AWS Shield Advanced proteksi untuk EC2 instans Amazon dan Network Load Balancer.

Anda dapat melindungi EC2 instans Amazon dan Network Load Balancer dengan terlebih dahulu melampirkan sumber daya ini ke alamat IP Elastic, lalu melindungi alamat IP Elastis di Shield Advanced.

Saat Anda melindungi alamat IP Elastic, Shield Advanced mengidentifikasi dan melindungi sumber daya yang dilampirkan. Shield Advanced secara otomatis mengidentifikasi jenis sumber daya yang dilampirkan ke alamat IP Elastis dan menerapkan deteksi dan mitigasi yang sesuai untuk sumber daya tersebut. Ini termasuk mengonfigurasi jaringan ACLs yang khusus untuk alamat IP Elastis. Untuk informasi selengkapnya tentang penggunaan alamat IP Elastis dengan AWS sumber daya Anda, lihat panduan berikut: Dokumentasi [Amazon Elastic Compute Cloud atau dokumentasi](https://docs.aws.amazon.com/ec2/) [Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/).

Selama serangan, Shield Advanced secara otomatis menyebarkan jaringan Anda ACLs ke perbatasan AWS jaringan. Ketika jaringan Anda ACLs berada di perbatasan jaringan, Shield Advanced dapat memberikan perlindungan terhadap peristiwa DDo S yang lebih besar. Biasanya, jaringan ACLs diterapkan di dekat EC2 instans Amazon Anda dalam VPC Amazon Anda. ACL jaringan dapat mengurangi serangan hanya sebesar yang dapat ditangani oleh VPC dan instans Amazon Anda. Misalnya, jika antarmuka jaringan yang dilampirkan ke EC2 instans Amazon Anda dapat memproses hingga 10 Gbps, maka volume lebih dari 10 Gbps akan melambat dan mungkin memblokir lalu lintas ke instance itu. Selama serangan, Shield Advanced mempromosikan ACL jaringan Anda ke AWS perbatasan, yang dapat memproses beberapa terabyte lalu lintas. ACL jaringan Anda mampu memberikan perlindungan untuk sumber daya Anda jauh di luar kapasitas tipikal jaringan Anda. Untuk informasi selengkapnya tentang jaringan ACLs, lihat [Jaringan ACLs](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html). 

Beberapa alat penskalaan, seperti AWS Elastic Beanstalk, tidak membiarkan Anda secara otomatis melampirkan alamat IP Elastis ke Network Load Balancer. Untuk kasus-kasus tersebut, Anda perlu melampirkan alamat IP Elastis secara manual.

# Melindungi lapisan aplikasi (layer 7) dengan AWS Shield Advanced dan AWS WAF
<a name="ddos-app-layer-protections"></a>

Halaman ini menjelaskan bagaimana Shield Advanced dan AWS WAF bekerja sama untuk melindungi sumber daya pada lapisan aplikasi (lapisan 7).

Untuk melindungi sumber daya lapisan aplikasi Anda dengan Shield Advanced, Anda mulai dengan mengaitkan ACL AWS WAF web dengan sumber daya dan menambahkan satu atau beberapa aturan berbasis kecepatan ke dalamnya. Anda juga dapat mengaktifkan mitigasi lapisan DDo S aplikasi otomatis, yang menyebabkan Shield Advanced secara otomatis membuat dan mengelola aturan ACL web atas nama Anda sebagai respons terhadap DDo serangan S. 

Saat Anda melindungi sumber daya lapisan aplikasi dengan Shield Advanced, Shield Advanced menganalisis lalu lintas dari waktu ke waktu untuk menetapkan dan mempertahankan garis dasar. Shield Advanced menggunakan garis dasar ini untuk mendeteksi anomali dalam pola lalu lintas yang mungkin mengindikasikan serangan S. DDo Titik di mana Shield Advanced mendeteksi serangan tergantung pada lalu lintas yang dapat diamati oleh Shield Advanced sebelum serangan dan pada arsitektur yang Anda gunakan untuk aplikasi web Anda. Variasi arsitektur yang dapat memengaruhi perilaku Shield Advanced mencakup jenis instance yang Anda gunakan, ukuran instans, dan apakah jenis instans mendukung jaringan yang disempurnakan. Anda juga dapat mengonfigurasi Shield Advanced untuk secara otomatis menempatkan mitigasi untuk serangan lapisan aplikasi.

**Langganan dan biaya Shield Advanced AWS WAF**  
Langganan Shield Advanced Anda menanggung biaya penggunaan AWS WAF kemampuan standar untuk sumber daya yang Anda lindungi dengan Shield Advanced. AWS WAF Biaya standar yang ditanggung oleh perlindungan Shield Advanced Anda adalah biaya per paket perlindungan (web ACL), biaya per aturan, dan harga dasar per juta permintaan untuk pemeriksaan permintaan web, hingga 1.500 WCUs dan hingga ukuran badan default.

Mengaktifkan mitigasi lapisan aplikasi DDo S otomatis Shield Advanced menambahkan grup aturan ke paket perlindungan Anda (web ACL) yang menggunakan 150 unit kapasitas ACL web (). WCUs Ini WCUs dihitung terhadap penggunaan WCU dalam paket perlindungan Anda (web ACL). Lihat informasi selengkapnya di [Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md), [Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md), dan [Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md).

Langganan Anda ke Shield Advanced tidak mencakup AWS WAF penggunaan sumber daya yang tidak Anda lindungi menggunakan Shield Advanced. Ini juga tidak mencakup AWS WAF biaya non-standar tambahan untuk sumber daya yang dilindungi. Contoh biaya non-standar adalah AWS WAF biaya untuk Kontrol Bot, untuk tindakan CAPTCHA aturan, untuk web ACLs yang menggunakan lebih dari 1.500 WCUs, dan untuk memeriksa badan permintaan di luar ukuran tubuh default. Daftar lengkap disediakan di halaman AWS WAF harga. Langganan Anda ke Shield Advanced mencakup akses ke grup Aturan Terkelola Amazon Anti- DDo S Layer 7. Sebagai bagian dari langganan Anda, Anda akan mendapatkan hingga 50 miliar permintaan ke AWS WAF sumber daya yang dilindungi Shield Advanced dalam satu bulan kalender. Permintaan di atas 50 miliar akan ditagih sesuai halaman AWS Shield Advanced harga.

Untuk informasi selengkapnya dan contoh harga, lihat [Harga dan [AWS WAF Harga](https://aws.amazon.com/waf/pricing/) Shield](https://aws.amazon.com/shield/pricing/).

**Topics**
+ [Daftar faktor yang memengaruhi deteksi dan mititgasi peristiwa lapisan aplikasi dengan Shield Advanced](ddos-app-layer-detection-mitigation.md)
+ [Melindungi lapisan aplikasi dengan AWS WAF web ACLs dan Shield Advanced](ddos-app-layer-web-ACL-and-rbr.md)
+ [Melindungi lapisan aplikasi dengan aturan AWS WAF berbasis kecepatan dan Shield Advanced](ddos-app-layer-rbr.md)
+ [Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md)

# Daftar faktor yang memengaruhi deteksi dan mititgasi peristiwa lapisan aplikasi dengan Shield Advanced
<a name="ddos-app-layer-detection-mitigation"></a>

Bagian ini menjelaskan faktor-faktor yang mempengaruhi deteksi dan mitigasi peristiwa lapisan aplikasi oleh Shield Advanced. 

**Pemeriksaan kondisi**  
Pemeriksaan kesehatan yang secara akurat melaporkan kesehatan keseluruhan aplikasi Anda memberi Shield Advanced informasi tentang kondisi lalu lintas yang dialami aplikasi Anda. Shield Advanced membutuhkan lebih sedikit informasi yang menunjuk ke potensi serangan ketika aplikasi Anda melaporkan tidak sehat dan memerlukan lebih banyak bukti serangan jika aplikasi Anda melaporkan sehat. 

Sangat penting untuk mengkonfigurasi pemeriksaan kesehatan Anda sehingga mereka secara akurat melaporkan kesehatan aplikasi. Untuk informasi dan panduan lebih lanjut, lihat[Deteksi berbasis kesehatan menggunakan pemeriksaan kesehatan dengan Shield Advanced dan Route 53](ddos-advanced-health-checks.md).

**Garis dasar lalu lintas**  
Garis dasar lalu lintas memberikan informasi Shield Advanced tentang karakteristik lalu lintas normal untuk aplikasi Anda. Shield Advanced menggunakan garis dasar ini untuk mengenali kapan aplikasi Anda tidak menerima lalu lintas normal, sehingga dapat memberi tahu Anda dan, seperti yang dikonfigurasi, mulai merancang dan menguji opsi mitigasi untuk melawan potensi serangan. Untuk informasi tambahan tentang cara Shield Advanced menggunakan garis dasar lalu lintas untuk mendeteksi potensi peristiwa, lihat bagian ikhtisar. [Shield Logika deteksi lanjutan untuk ancaman lapisan aplikasi (lapisan 7)](ddos-event-detection-application.md)

Shield Advanced membuat garis dasarnya dari informasi yang disediakan oleh ACL web yang terkait dengan sumber daya yang dilindungi. ACL web harus dikaitkan dengan sumber daya setidaknya selama 24 jam dan hingga 30 hari sebelum Shield Advanced dapat menentukan baseline aplikasi dengan andal. Waktu yang diperlukan dimulai saat Anda mengaitkan ACL web, baik melalui Shield Advanced atau melalui AWS WAF. 

Untuk informasi selengkapnya tentang menggunakan ACL web dengan perlindungan lapisan aplikasi Shield Advanced, lihat. [Melindungi lapisan aplikasi dengan AWS WAF web ACLs dan Shield Advanced](ddos-app-layer-web-ACL-and-rbr.md)

**Aturan berbasis tarif**  
Aturan berbasis tarif dapat membantu mengurangi serangan. Mereka juga dapat mengaburkan serangan, dengan menguranginya sebelum menjadi masalah yang cukup besar untuk muncul melawan garis dasar lalu lintas normal atau dalam pelaporan status pemeriksaan kesehatan. 

Sebaiknya gunakan aturan berbasis tarif di ACL web Anda saat Anda melindungi sumber daya aplikasi dengan Shield Advanced. Meskipun mitigasi mereka dapat mengaburkan serangan potensial, mereka adalah garis pertahanan pertama yang berharga, membantu memastikan bahwa aplikasi Anda tetap tersedia untuk pelanggan sah Anda. Lalu lintas yang dideteksi oleh aturan berbasis tarif dan batas tarif terlihat dalam metrik Anda AWS WAF . 

Selain aturan berbasis tarif Anda sendiri, jika Anda mengaktifkan mitigasi lapisan DDo S aplikasi otomatis, Shield Advanced menambahkan grup aturan ke ACL web Anda yang digunakan untuk mengurangi serangan. Dalam grup aturan ini, Shield Advanced selalu memiliki aturan berbasis kecepatan yang membatasi volume permintaan dari alamat IP yang dikenal sebagai sumber serangan DDo S. Metrik untuk lalu lintas yang dikurangi aturan Shield Advanced tidak tersedia untuk Anda lihat. 

Untuk informasi selengkapnya tentang aturan berbasis tarif, lihat. [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md) Untuk informasi tentang aturan berbasis tarif yang digunakan Shield Advanced untuk mitigasi lapisan DDo S aplikasi otomatis, lihat. [Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md)

Untuk informasi selengkapnya tentang Shield Advanced dan AWS WAF metrik, lihat[Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md).

# Melindungi lapisan aplikasi dengan AWS WAF web ACLs dan Shield Advanced
<a name="ddos-app-layer-web-ACL-and-rbr"></a>

Halaman ini menjelaskan bagaimana AWS WAF web ACLs dan Shield Advanced bekerja sama untuk membuat perlindungan lapisan aplikasi dasar.

Untuk melindungi sumber daya lapisan aplikasi dengan Shield Advanced, Anda mulai dengan mengaitkan ACL AWS WAF web dengan sumber daya. AWS WAF adalah firewall aplikasi web yang memungkinkan Anda memantau permintaan HTTP dan HTTPS yang diteruskan ke sumber daya lapisan aplikasi Anda, dan memungkinkan Anda mengontrol akses ke konten Anda berdasarkan karakteristik permintaan. Anda dapat mengonfigurasi ACL web untuk memantau dan mengelola permintaan berdasarkan faktor-faktor seperti di mana permintaan berasal, isi string kueri dan cookie, dan tingkat permintaan yang berasal dari satu alamat IP. Minimal, perlindungan Shield Advanced Anda mengharuskan Anda untuk mengaitkan ACL web dengan aturan berbasis tarif, yang membatasi tingkat permintaan untuk setiap alamat IP. 

Jika ACL web terkait tidak memiliki aturan berbasis kecepatan yang ditentukan, Shield Advanced akan meminta Anda untuk menentukan setidaknya satu. Aturan berbasis tarif secara otomatis memblokir lalu lintas dari sumber IPs ketika melebihi ambang batas yang Anda tentukan. Mereka membantu melindungi aplikasi Anda dari banjir permintaan web dan dapat memberikan peringatan tentang lonjakan lalu lintas yang tiba-tiba yang mungkin mengindikasikan potensi serangan S. DDo 

**catatan**  
Aturan berbasis tarif merespons dengan sangat cepat lonjakan lalu lintas yang dipantau oleh aturan tersebut. Karena itu, aturan berbasis kecepatan dapat mencegah tidak hanya serangan, tetapi juga deteksi serangan potensial oleh deteksi Shield Advanced. Trade off ini mendukung pencegahan daripada visibilitas lengkap ke dalam pola serangan. Sebaiknya gunakan aturan berbasis kecepatan sebagai garis pertahanan pertama Anda terhadap serangan. 

Dengan ACL web Anda di tempat, jika serangan DDo S terjadi, Anda menerapkan mitigasi dengan menambahkan dan mengelola aturan di ACL web. Anda dapat melakukan ini secara langsung, dengan bantuan dari Shield Response Team (SRT), atau secara otomatis melalui mitigasi lapisan DDo S aplikasi otomatis. 

**penting**  
Jika Anda juga menggunakan mitigasi lapisan DDo S aplikasi otomatis, lihat praktik terbaik untuk mengelola ACL web Anda di. [Praktik terbaik untuk menggunakan mitigasi lapisan DDo S aplikasi otomatis](ddos-automatic-app-layer-response-bp.md) 

Untuk informasi tentang penggunaan AWS WAF untuk mengelola pemantauan permintaan web dan aturan manajemen, lihat[Membuat paket perlindungan (web ACL) di AWS WAF](web-acl-creating.md). 

# Melindungi lapisan aplikasi dengan aturan AWS WAF berbasis kecepatan dan Shield Advanced
<a name="ddos-app-layer-rbr"></a>

Halaman ini menjelaskan bagaimana aturan AWS WAF berbasis kecepatan dan Shield Advanced bekerja sama untuk membuat perlindungan lapisan aplikasi dasar.

Saat Anda menggunakan aturan berbasis tarif dengan konfigurasi defaultnya, evaluasi lalu lintas AWS WAF secara berkala untuk jendela waktu 5 menit sebelumnya. AWS WAF memblokir permintaan dari alamat IP apa pun yang melebihi ambang batas aturan hingga tingkat permintaan turun ke tingkat yang dapat diterima. Saat Anda mengonfigurasi aturan berbasis tarif melalui Shield Advanced, konfigurasikan ambang batas tarifnya ke nilai yang lebih besar dari tingkat lalu lintas normal yang Anda harapkan dari satu IP sumber dalam jangka waktu lima menit. 

Anda mungkin ingin menggunakan lebih dari satu aturan berbasis tarif di ACL web. Misalnya, Anda dapat memiliki satu aturan berbasis tarif untuk semua lalu lintas yang memiliki ambang batas tinggi ditambah satu atau lebih aturan tambahan yang dikonfigurasi agar sesuai dengan bagian tertentu dari aplikasi web Anda dan yang memiliki ambang batas yang lebih rendah. Misalnya, Anda mungkin mencocokkan URI `/login.html` dengan ambang batas yang lebih rendah, untuk mengurangi penyalahgunaan terhadap halaman login. 

Anda dapat mengonfigurasi aturan berbasis laju untuk menggunakan jendela waktu evaluasi yang berbeda dan untuk menggabungkan permintaan dengan sejumlah komponen permintaan, seperti nilai header, label, dan argumen kueri. Untuk informasi selengkapnya, lihat [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md). 

Untuk informasi dan panduan tambahan, lihat posting blog keamanan [Tiga aturan AWS WAF berbasis tarif yang paling penting](https://aws.amazon.com/blogs/security/three-most-important-aws-waf-rate-based-rules/).

**Opsi konfigurasi yang diperluas melalui AWS WAF**  
Konsol Shield Advanced memungkinkan Anda menambahkan aturan berbasis tarif dan mengonfigurasinya dengan pengaturan dasar dan default. Anda dapat menentukan opsi konfigurasi tambahan dengan mengelola aturan berbasis tarif Anda. AWS WAF Misalnya, Anda dapat mengonfigurasi aturan untuk mengumpulkan permintaan berdasarkan kunci seperti alamat IP yang diteruskan, string kueri, dan label. Anda juga dapat menambahkan pernyataan cakupan ke bawah aturan untuk menyaring beberapa permintaan dari evaluasi dan pembatasan tarif. Lihat informasi yang lebih lengkap di [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md). 

# Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced
<a name="ddos-automatic-app-layer-response"></a>

**catatan**  
Mulai 26 Maret 2026, Grup Aturan Terkelola Anti DDo S (anti-DDoS AMR) untuk AWS WAF menjadi solusi default untuk perlindungan terhadap serangan banjir permintaan HTTP (lihat blog peluncuran [Anti- DDo S AMR](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-the-aws-waf-application-layer-ddos-protection/)). Ini menggantikan fitur Layer 7 Auto Mitigation (L7AM). Jika Anda adalah pelanggan Shield Advanced yang sudah ada, Anda dapat terus menggunakan solusi lama dengan AWS akun yang ada atau yang baru. Namun, kami mendorong Anda untuk mengadopsi Grup Aturan Terkelola Anti DDo S. Grup Aturan Terkelola Anti DDo S mendeteksi dan mengurangi serangan dalam hitungan detik, bukan menit. Jika Anda adalah pelanggan baru Shield Advanced dan memerlukan akses ke solusi lama, hubungi AWS Support.

Halaman ini memperkenalkan topik mitigasi lapisan aplikasi DDo S otomatis dan daftar peringatan terkait.

Anda dapat mengonfigurasi Shield Advanced untuk merespons secara otomatis untuk mengurangi serangan lapisan aplikasi (lapisan 7) terhadap sumber daya lapisan aplikasi Anda yang dilindungi, dengan menghitung atau memblokir permintaan web yang merupakan bagian dari serangan. Opsi ini merupakan tambahan untuk perlindungan lapisan aplikasi yang Anda tambahkan melalui Shield Advanced dengan ACL AWS WAF web dan aturan berbasis tarif Anda sendiri. 

Saat mitigasi otomatis diaktifkan untuk sumber daya, Shield Advanced mempertahankan grup aturan di ACL web terkait sumber daya tempat ia mengelola aturan mitigasi atas nama sumber daya. Grup aturan berisi aturan berbasis tarif yang melacak volume permintaan dari alamat IP yang dikenal sebagai sumber serangan DDo S. 

Selain itu, Shield Advanced membandingkan pola lalu lintas saat ini dengan garis dasar lalu lintas bersejarah untuk mendeteksi penyimpangan yang mungkin mengindikasikan serangan S. DDo Shield Advanced merespons serangan DDo S yang terdeteksi dengan membuat, mengevaluasi, dan menerapkan AWS WAF aturan khusus tambahan dalam grup aturan. 

## Peringatan untuk menggunakan mitigasi lapisan DDo S aplikasi otomatis
<a name="ddos-automatic-app-layer-response-caveats"></a>

Daftar berikut menjelaskan peringatan mitigasi lapisan DDo S aplikasi otomatis Shield Advanced, dan menjelaskan langkah-langkah yang mungkin ingin Anda ambil sebagai tanggapan.
+ Mitigasi lapisan aplikasi DDo S otomatis hanya berfungsi dengan paket perlindungan (web ACLs) yang dibuat menggunakan versi terbaru AWS WAF (v2). 
+ Shield Advanced membutuhkan waktu untuk menetapkan garis dasar lalu lintas normal dan historis aplikasi Anda, yang dimanfaatkannya untuk mendeteksi dan mengisolasi lalu lintas serangan dari lalu lintas normal, untuk mengurangi lalu lintas serangan. Waktu untuk menetapkan baseline adalah antara 24 jam dan 30 hari sejak Anda mengaitkan ACL web dengan sumber daya aplikasi yang dilindungi. Untuk informasi tambahan tentang garis dasar lalu lintas, lihat. [Daftar faktor yang memengaruhi deteksi dan mititgasi peristiwa lapisan aplikasi dengan Shield Advanced](ddos-app-layer-detection-mitigation.md)
+ Mengaktifkan mitigasi lapisan aplikasi DDo S otomatis menambahkan grup aturan ke paket perlindungan Anda (web ACL) yang menggunakan 150 unit kapasitas ACL web (). WCUs Ini WCUs dihitung terhadap penggunaan WCU dalam paket perlindungan Anda (web ACL). Untuk informasi selengkapnya, lihat [Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md), dan [Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md).
+ Grup aturan Shield Advanced menghasilkan AWS WAF metrik, tetapi tidak tersedia untuk dilihat. Ini sama dengan grup aturan lain yang Anda gunakan dalam paket perlindungan (web ACL) tetapi tidak dimiliki, seperti grup aturan Aturan AWS Terkelola. Untuk informasi selengkapnya tentang AWS WAF metrik, lihat[AWS WAF metrik dan dimensi](waf-metrics.md). Untuk informasi tentang opsi perlindungan Shield Advanced ini, lihat[Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](#ddos-automatic-app-layer-response). 
+ Untuk web ACLs yang melindungi banyak sumber daya, mitigasi otomatis hanya menerapkan mitigasi khusus yang tidak berdampak negatif terhadap sumber daya yang dilindungi. 
+ Waktu antara dimulainya serangan DDo S dan ketika Shield Advanced menempatkan aturan mitigasi otomatis kustom bervariasi dengan setiap peristiwa. Beberapa serangan DDo S mungkin berakhir sebelum aturan khusus diterapkan. Serangan lain mungkin terjadi ketika mitigasi sudah ada, dan mungkin dikurangi dengan aturan tersebut sejak awal acara. Selain itu, aturan berbasis tarif di grup aturan ACL dan Shield Advanced web dapat mengurangi lalu lintas serangan sebelum terdeteksi sebagai peristiwa yang mungkin terjadi. 
+ Untuk Application Load Balancer yang menerima lalu lintas apa pun melalui jaringan pengiriman konten (CDN), seperti Amazon CloudFront, kemampuan mitigasi otomatis lapisan aplikasi dari Shield Advanced untuk sumber daya Application Load Balancer tersebut akan berkurang. Shield Advanced menggunakan atribut lalu lintas klien untuk mengidentifikasi dan mengisolasi lalu lintas serangan dari lalu lintas normal ke aplikasi Anda, dan CDNs mungkin tidak mempertahankan atau meneruskan atribut lalu lintas klien asli. Jika Anda menggunakan CloudFront, kami sarankan mengaktifkan mitigasi otomatis pada distribusi. CloudFront 
+ Mitigasi lapisan aplikasi DDo S otomatis tidak berinteraksi dengan kelompok perlindungan. Anda dapat mengaktifkan mitigasi otomatis untuk sumber daya yang ada di grup perlindungan, tetapi Shield Advanced tidak secara otomatis menerapkan mitigasi serangan berdasarkan temuan kelompok perlindungan. Shield Advanced menerapkan mitigasi serangan otomatis untuk sumber daya individu.

**Contents**
+ [Peringatan untuk menggunakan mitigasi lapisan DDo S aplikasi otomatis](#ddos-automatic-app-layer-response-caveats)
+ [Praktik terbaik untuk menggunakan mitigasi lapisan DDo S aplikasi otomatis](ddos-automatic-app-layer-response-bp.md)
+ [Mengaktifkan mitigasi lapisan DDo S aplikasi otomatis](ddos-automatic-app-layer-response-config.md)
  + [Apa yang terjadi ketika Anda mengaktifkan mitigasi otomatis](ddos-automatic-app-layer-response-config.md#ddos-automatic-app-layer-response-enable)
+ [Bagaimana Shield Advanced mengelola mitigasi otomatis](ddos-automatic-app-layer-response-behavior.md)
  + [Bagaimana Shield Advanced merespons serangan DDo S dengan mitigasi otomatis](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-ddos-attack)
  + [Bagaimana Shield Advanced mengelola pengaturan tindakan aturan](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)
  + [Bagaimana Shield Advanced mengelola mitigasi saat serangan mereda](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-after-attack)
  + [Apa yang terjadi ketika Anda menonaktifkan mitigasi otomatis](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-disable)
+ [Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md)
+ [Melihat konfigurasi mitigasi lapisan aplikasi DDo S otomatis untuk sumber daya](view-automatic-app-layer-response-configuration.md)
+ [Mengaktifkan dan menonaktifkan mitigasi lapisan aplikasi S otomatis DDo](enable-disable-automatic-app-layer-response.md)
+ [Mengubah tindakan yang digunakan untuk mitigasi lapisan DDo S aplikasi otomatis](change-action-of-automatic-app-layer-response.md)
+ [Menggunakan AWS CloudFormation dengan mitigasi lapisan DDo S aplikasi otomatis](manage-automatic-mitigation-in-cfn.md)

# Praktik terbaik untuk menggunakan mitigasi lapisan DDo S aplikasi otomatis
<a name="ddos-automatic-app-layer-response-bp"></a>

Patuhi panduan yang disediakan di bagian ini saat Anda menggunakan mitigasi otomatis.

**Manajemen perlindungan umum**  
Ikuti panduan ini untuk merencanakan dan menerapkan perlindungan mitigasi otomatis Anda.
+ Kelola semua perlindungan mitigasi otomatis Anda baik melalui Shield Advanced atau, jika Anda menggunakannya AWS Firewall Manager untuk mengelola pengaturan mitigasi otomatis Shield Advanced, melalui Firewall Manager. Jangan mencampur penggunaan Shield Advanced dan Firewall Manager untuk mengelola perlindungan ini.
+ Kelola sumber daya serupa menggunakan pengaturan web ACLs dan perlindungan yang sama, dan kelola sumber daya yang berbeda menggunakan web ACLs yang berbeda. Ketika Shield Advanced mengurangi serangan DDo S pada sumber daya yang dilindungi, ia mendefinisikan aturan untuk ACL web yang terkait dengan sumber daya dan kemudian menguji aturan terhadap lalu lintas semua sumber daya yang terkait dengan ACL web. Shield Advanced hanya akan menerapkan aturan jika aturan tersebut tidak berdampak negatif terhadap sumber daya terkait. Untuk informasi selengkapnya, lihat [Bagaimana Shield Advanced mengelola mitigasi otomatis](ddos-automatic-app-layer-response-behavior.md).
+ Untuk Application Load Balancer yang memiliki semua lalu lintas internet mereka diproksi melalui CloudFront distribusi Amazon, hanya aktifkan mitigasi otomatis pada distribusi. CloudFront CloudFront Distribusi akan selalu memiliki jumlah atribut lalu lintas asli terbesar, yang dimanfaatkan Shield Advanced untuk mengurangi serangan. 

**Pengoptimalan deteksi dan mitigasi**  
Ikuti panduan ini untuk mengoptimalkan perlindungan yang diberikan mitigasi otomatis terhadap sumber daya yang dilindungi. Untuk ikhtisar deteksi dan mitigasi lapisan aplikasi, lihat. [Daftar faktor yang memengaruhi deteksi dan mititgasi peristiwa lapisan aplikasi dengan Shield Advanced](ddos-app-layer-detection-mitigation.md)
+ Konfigurasikan pemeriksaan kesehatan untuk sumber daya yang dilindungi dan gunakan untuk mengaktifkan deteksi berbasis kesehatan di perlindungan Shield Advanced Anda. Untuk panduan, lihat [Deteksi berbasis kesehatan menggunakan pemeriksaan kesehatan dengan Shield Advanced dan Route 53](ddos-advanced-health-checks.md).
+ Aktifkan mitigasi otomatis dalam Count mode hingga Shield Advanced menetapkan garis dasar untuk lalu lintas normal dan bersejarah. Shield Advanced membutuhkan dari 24 jam hingga 30 hari untuk menetapkan baseline. 

  Menetapkan dasar pola lalu lintas normal membutuhkan hal-hal berikut: 
  + Asosiasi ACL web dengan sumber daya yang dilindungi. Anda dapat menggunakan AWS WAF langsung untuk mengaitkan ACL web Anda atau Anda dapat meminta Shield Advanced mengaitkannya saat Anda mengaktifkan perlindungan lapisan aplikasi Shield Advanced dan menentukan ACL web yang akan digunakan. 
  + Arus lalu lintas normal ke aplikasi Anda yang dilindungi. Jika aplikasi Anda tidak mengalami lalu lintas normal, seperti sebelum aplikasi diluncurkan atau jika tidak memiliki lalu lintas produksi untuk jangka waktu yang lama, data historis tidak dapat dikumpulkan.

**Manajemen ACL web**  
Ikuti panduan ini untuk mengelola web ACLs yang Anda gunakan dengan mitigasi otomatis.
+ Jika Anda perlu mengganti ACL web yang terkait dengan sumber daya yang dilindungi, buat perubahan berikut secara berurutan: 

  1. Di Shield Advanced, nonaktifkan mitigasi otomatis. 

  1. Di AWS WAF, pisahkan ACL web lama dan kaitkan ACL web baru. 

  1. Di Shield Advanced, aktifkan mitigasi otomatis. 

  Shield Advanced tidak secara otomatis mentransfer mitigasi otomatis dari ACL web lama ke yang baru. 
+ Jangan hapus aturan grup aturan apa pun dari web Anda ACLs yang namanya dimulai`ShieldMitigationRuleGroup`. Jika Anda menghapus grup aturan ini, Anda menonaktifkan perlindungan yang disediakan oleh mitigasi otomatis Shield Advanced untuk setiap sumber daya yang terkait dengan ACL web. Selain itu, diperlukan Shield Advanced beberapa waktu untuk menerima pemberitahuan perubahan dan memperbarui pengaturannya. Selama waktu ini, halaman konsol Shield Advanced akan memberikan informasi yang salah. 

  Untuk informasi selengkapnya tentang grup aturan, lihat[Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md). 
+ Jangan mengubah nama aturan grup aturan yang namanya dimulai dengan`ShieldMitigationRuleGroup`. Melakukannya dapat mengganggu perlindungan yang diberikan oleh mitigasi otomatis Shield Advanced melalui ACL web. 
+ Saat Anda membuat aturan dan grup aturan, jangan gunakan nama yang dimulai dengan`ShieldMitigationRuleGroup`. String ini digunakan oleh Shield Advanced untuk mengelola mitigasi otomatis Anda. 
+ Dalam pengelolaan aturan ACL web Anda, jangan tetapkan pengaturan prioritas 10.000.000. Shield Advanced menetapkan pengaturan prioritas ini ke aturan grup aturan mitigasi otomatis saat menambahkannya. 
+ Pertahankan `ShieldMitigationRuleGroup` aturan yang diprioritaskan sehingga berjalan ketika Anda menginginkannya sehubungan dengan aturan lain di ACL web Anda. Shield Advanced menambahkan aturan grup aturan ke ACL web dengan prioritas 10.000.000, untuk menjalankan aturan Anda yang lain. Jika Anda menggunakan wizard AWS WAF konsol untuk mengelola ACL web Anda, sesuaikan pengaturan prioritas sesuai kebutuhan setelah Anda menambahkan aturan ke ACL web. 
+ Jika Anda menggunakan AWS CloudFormation untuk mengelola web Anda ACLs, Anda tidak perlu mengelola `ShieldMitigationRuleGroup` aturan grup aturan. Ikuti bimbingan di[Menggunakan AWS CloudFormation dengan mitigasi lapisan DDo S aplikasi otomatis](manage-automatic-mitigation-in-cfn.md).

# Mengaktifkan mitigasi lapisan DDo S aplikasi otomatis
<a name="ddos-automatic-app-layer-response-config"></a>

Halaman ini menjelaskan cara mengkonfigurasi Shield Advanced untuk secara otomatis merespons serangan lapisan aplikasi.

Anda mengaktifkan mitigasi otomatis Shield Advanced sebagai bagian dari perlindungan lapisan aplikasi DDo S untuk sumber daya Anda. Untuk informasi tentang melakukan ini melalui konsol, lihat[Konfigurasikan perlindungan lapisan DDo S aplikasi](manage-protection.md#configure-app-layer-protection).

Fungsionalitas mitigasi otomatis mengharuskan Anda melakukan hal berikut:
+ **Kaitkan ACL web dengan sumber daya** — Ini diperlukan untuk perlindungan lapisan aplikasi Shield Advanced. Anda dapat menggunakan ACL web yang sama untuk beberapa sumber daya. Kami merekomendasikan melakukan ini hanya untuk sumber daya yang memiliki lalu lintas serupa. Untuk informasi tentang webACLs, termasuk persyaratan untuk menggunakannya dengan beberapa sumber daya, lihat[Bagaimana cara AWS WAF kerja](how-aws-waf-works.md).
+ **Aktifkan dan konfigurasikan mitigasi DDo S lapisan aplikasi otomatis Shield Advanced** — Saat Anda mengaktifkan ini, Anda menentukan apakah Anda ingin Shield Advanced memblokir atau menghitung permintaan web secara otomatis yang ditentukan sebagai bagian dari serangan DDo S. Shield Advanced menambahkan grup aturan ke ACL web terkait dan menggunakannya untuk mengelola responsnya secara dinamis terhadap serangan DDo S pada sumber daya. Untuk informasi tentang opsi tindakan aturan, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md).
+ **(Opsional, tetapi disarankan) Tambahkan aturan berbasis tarif ke ACL web** — Secara default, aturan berbasis tarif menyediakan sumber daya Anda dengan perlindungan dasar terhadap serangan DDo S dengan mencegah alamat IP individual mengirim terlalu banyak permintaan dalam waktu singkat. Untuk informasi tentang aturan berbasis tarif, termasuk opsi dan contoh agregasi permintaan kustom, lihat. [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md)

## Apa yang terjadi ketika Anda mengaktifkan mitigasi otomatis
<a name="ddos-automatic-app-layer-response-enable"></a>

Shield Advanced melakukan hal berikut ketika Anda mengaktifkan mitigasi otomatis: 
+ Jika **diperlukan, tambahkan grup aturan untuk penggunaan Shield Advanced** — Jika ACL AWS WAF web yang Anda kaitkan dengan sumber daya belum memiliki AWS WAF aturan grup aturan yang didedikasikan untuk mitigasi lapisan DDo S aplikasi otomatis, Shield Advanced menambahkannya. 

  Nama aturan grup aturan dimulai dengan`ShieldMitigationRuleGroup`. Grup aturan selalu berisi aturan berbasis tingkat bernama`ShieldKnownOffenderIPRateBasedRule`, yang membatasi volume permintaan dari alamat IP yang dikenal sebagai sumber serangan DDo S. Untuk detail tambahan tentang grup aturan Shield Advanced dan aturan ACL web yang mereferensikannya, lihat[Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md).
+ **Mulai merespons serangan DDo S terhadap sumber daya** — Shield Advanced secara otomatis merespons serangan DDo S untuk sumber daya yang dilindungi. Selain aturan berbasis tarif, yang selalu ada, Shield Advanced menggunakan grup aturannya untuk menerapkan AWS WAF aturan khusus untuk mitigasi serangan DDo S. Shield Advanced menyesuaikan aturan ini dengan aplikasi Anda dan serangan yang dialami aplikasi Anda, dan mengujinya terhadap lalu lintas historis sumber daya sebelum menerapkannya. 

Shield Advanced menggunakan aturan grup aturan tunggal di ACL web apa pun yang Anda gunakan untuk mitigasi otomatis. Jika Shield Advanced telah menambahkan grup aturan untuk sumber daya lain yang dilindungi, itu tidak menambahkan grup aturan lain ke ACL web. 

Mitigasi lapisan aplikasi DDo S otomatis tergantung pada keberadaan kelompok aturan untuk mengurangi serangan. Jika grup aturan dihapus dari ACL AWS WAF web karena alasan apa pun, penghapusan menonaktifkan mitigasi otomatis untuk semua sumber daya yang terkait dengan ACL web.

# Bagaimana Shield Advanced mengelola mitigasi otomatis
<a name="ddos-automatic-app-layer-response-behavior"></a>

Topik di bagian ini menjelaskan bagaimana Shield Advanced menangani perubahan konfigurasi Anda untuk mitigasi lapisan DDo S aplikasi otomatis dan cara menangani serangan DDo S saat mitigasi otomatis diaktifkan. 

**Topics**
+ [Bagaimana Shield Advanced merespons serangan DDo S dengan mitigasi otomatis](#ddos-automatic-app-layer-response-ddos-attack)
+ [Bagaimana Shield Advanced mengelola pengaturan tindakan aturan](#ddos-automatic-app-layer-response-rule-action)
+ [Bagaimana Shield Advanced mengelola mitigasi saat serangan mereda](#ddos-automatic-app-layer-response-after-attack)
+ [Apa yang terjadi ketika Anda menonaktifkan mitigasi otomatis](#ddos-automatic-app-layer-response-disable)

## Bagaimana Shield Advanced merespons serangan DDo S dengan mitigasi otomatis
<a name="ddos-automatic-app-layer-response-ddos-attack"></a>

Bila Anda mengaktifkan mitigasi otomatis pada sumber daya yang dilindungi, aturan berbasis laju di `ShieldKnownOffenderIPRateBasedRule` grup aturan Shield Advanced merespons secara otomatis volume lalu lintas yang meningkat dari sumber S yang diketahui. DDo Pembatasan kecepatan ini diterapkan dengan cepat dan bertindak sebagai pertahanan garis depan terhadap serangan. 

Ketika Shield Advanced mendeteksi serangan, ia melakukan hal berikut:

1. Mencoba mengidentifikasi tanda tangan serangan yang mengisolasi lalu lintas serangan dari lalu lintas normal ke aplikasi Anda. Tujuannya adalah untuk menghasilkan aturan mitigasi DDo S berkualitas tinggi yang, ketika ditempatkan, hanya memengaruhi lalu lintas serangan dan tidak memengaruhi lalu lintas normal ke aplikasi Anda.

1. Mengevaluasi tanda tangan serangan yang diidentifikasi terhadap pola lalu lintas historis untuk sumber daya yang diserang serta untuk sumber daya lain yang terkait dengan ACL web yang sama. Shield Advanced melakukan ini sebelum menerapkan aturan apa pun sebagai respons terhadap acara tersebut. 

   Bergantung pada hasil evaluasi, Shield Advanced melakukan salah satu hal berikut: 
   + Jika Shield Advanced menentukan bahwa tanda tangan serangan hanya mengisolasi lalu lintas yang terlibat dalam serangan DDo S, itu mengimplementasikan tanda tangan dalam AWS WAF aturan dalam grup aturan mitigasi Shield Advanced di ACL web. Shield Advanced memberikan aturan ini setelan tindakan yang telah Anda konfigurasikan untuk mitigasi otomatis sumber daya - salah satu atauCount. Block
   + Jika tidak, Shield Advanced tidak menempatkan mitigasi.

Selama serangan, Shield Advanced mengirimkan notifikasi yang sama dan memberikan informasi acara yang sama seperti untuk perlindungan lapisan aplikasi Shield Advanced dasar. Anda dapat melihat informasi tentang peristiwa dan serangan DDo S, dan tentang mitigasi Shield Advanced untuk serangan, di konsol acara Shield Advanced. Untuk informasi, lihat [Visibilitas ke acara DDo S dengan Shield Advanced](ddos-viewing-events.md). 

Jika Anda telah mengonfigurasi mitigasi otomatis untuk menggunakan tindakan Block aturan dan Anda mengalami kesalahan positif dari aturan mitigasi yang telah diterapkan Shield Advanced, Anda dapat mengubah tindakan aturan menjadi. Count Untuk informasi tentang cara ini, lihat[Mengubah tindakan yang digunakan untuk mitigasi lapisan DDo S aplikasi otomatis](change-action-of-automatic-app-layer-response.md). 

## Bagaimana Shield Advanced mengelola pengaturan tindakan aturan
<a name="ddos-automatic-app-layer-response-rule-action"></a>

Anda dapat mengatur tindakan aturan untuk mitigasi otomatis Anda ke atau. Block Count 

Saat Anda mengubah setelan tindakan aturan mitigasi otomatis untuk sumber daya yang dilindungi, Shield Advanced memperbarui semua setelan aturan untuk sumber daya. Ini memperbarui aturan apa pun yang saat ini ada untuk sumber daya di grup aturan Shield Advanced dan menggunakan setelan tindakan baru saat membuat aturan baru. 

Untuk sumber daya yang menggunakan ACL web yang sama, jika Anda menentukan tindakan yang berbeda, Shield Advanced menggunakan setelan Block tindakan untuk aturan berbasis laju grup aturan. `ShieldKnownOffenderIPRateBasedRule` Shield Advanced membuat dan mengelola aturan lain dalam grup aturan atas nama sumber daya tertentu yang dilindungi, dan menggunakan setelan tindakan yang telah Anda tentukan untuk sumber daya tersebut. Semua aturan dalam grup aturan Shield Advanced di ACL web diterapkan pada lalu lintas web dari semua sumber daya terkait. 

Mengubah pengaturan tindakan dapat memakan waktu beberapa detik untuk menyebar. Selama waktu ini, Anda mungkin melihat pengaturan lama di beberapa tempat di mana grup aturan sedang digunakan, dan pengaturan baru di tempat lain. 

Anda dapat mengubah pengaturan tindakan aturan untuk konfigurasi mitigasi otomatis di halaman peristiwa konsol, dan melalui halaman konfigurasi lapisan aplikasi. Untuk informasi tentang halaman acara, lihat[Menanggapi peristiwa DDo S di AWS](ddos-responding.md). Untuk informasi tentang halaman konfigurasi, lihat[Konfigurasikan perlindungan lapisan DDo S aplikasi](manage-protection.md#configure-app-layer-protection).

## Bagaimana Shield Advanced mengelola mitigasi saat serangan mereda
<a name="ddos-automatic-app-layer-response-after-attack"></a>

Ketika Shield Advanced menentukan bahwa aturan mitigasi yang digunakan untuk serangan tertentu tidak lagi diperlukan, itu akan menghapusnya dari grup aturan mitigasi Shield Advanced. 

Penghapusan aturan mitigasi tidak selalu bertepatan dengan akhir serangan. Shield Advanced memantau pola serangan yang dideteksi pada sumber daya Anda yang dilindungi. Ini mungkin secara proaktif bertahan terhadap terulangnya serangan dengan tanda tangan tertentu dengan menjaga aturan yang telah dikerahkan terhadap kejadian awal serangan itu di tempat. Sesuai kebutuhan, Shield Advanced meningkatkan jendela waktu agar aturan tetap berlaku. Dengan cara ini, Shield Advanced dapat mengurangi serangan berulang dengan tanda tangan tertentu sebelum memengaruhi sumber daya Anda yang dilindungi. 

Shield Advanced tidak pernah menghapus aturan berbasis kecepatan`ShieldKnownOffenderIPRateBasedRule`, yang membatasi volume permintaan dari alamat IP yang dikenal sebagai sumber serangan DDo S. 

## Apa yang terjadi ketika Anda menonaktifkan mitigasi otomatis
<a name="ddos-automatic-app-layer-response-disable"></a>

Shield Advanced melakukan hal berikut saat Anda menonaktifkan mitigasi otomatis untuk sumber daya: 
+ **Berhenti merespons serangan DDo S secara otomatis** — Shield Advanced menghentikan aktivitas respons otomatisnya untuk sumber daya.
+ **Menghapus aturan yang tidak diperlukan dari grup aturan Shield Advanced** — Jika Shield Advanced mempertahankan aturan apa pun dalam grup aturan terkelolanya atas nama sumber daya yang dilindungi, aturan tersebut akan menghapusnya. 
+ **Menghapus grup aturan Shield Advanced, jika tidak lagi digunakan** — Jika ACL web yang Anda kaitkan dengan sumber daya tidak terkait dengan sumber daya lain yang mengaktifkan mitigasi otomatis, Shield Advanced menghapus aturan grup aturannya dari ACL web. 

# Melindungi layer aplikasi dengan grup aturan Shield Advanced
<a name="ddos-automatic-app-layer-response-rg"></a>

Halaman ini menjelaskan cara kerja grup aturan Shield Advanced di ACL web Anda.

Shield Advanced mengelola aktivitas mitigasi otomatis menggunakan aturan dalam grup aturan yang dimiliki dan dikelola untuk Anda. Shield Advanced mereferensikan grup aturan dengan aturan di ACL web yang telah Anda kaitkan dengan sumber daya yang dilindungi. 

**Aturan grup aturan di ACL web Anda**  
Aturan grup aturan Shield Advanced di ACL web Anda memiliki properti berikut:
+ **Nama** – `ShieldMitigationRuleGroup``_account-id_web-acl-id_unique-identifier`
+ **Unit kapasitas ACL Web (WCU) - 150**. Ini WCUs dihitung terhadap penggunaan WCU di ACL web Anda. 

Shield Advanced membuat aturan ini di ACL web Anda dengan pengaturan prioritas 10.000.000, sehingga berjalan setelah aturan dan grup aturan Anda yang lain di ACL web. AWS WAF menjalankan aturan di ACL web dari pengaturan prioritas numerik terendah di atas. Selama pengelolaan ACL web Anda, pengaturan prioritas ini mungkin berubah. 

Fungsionalitas mitigasi otomatis tidak menggunakan AWS WAF sumber daya tambahan apa pun di akun Anda, selain yang WCUs digunakan oleh grup aturan di ACL web Anda. Misalnya, grup aturan Shield Advanced tidak dihitung sebagai salah satu grup aturan akun Anda. Untuk informasi tentang batas akun di AWS WAF, lihat[AWS WAF kuota](limits.md).

**Aturan dalam kelompok aturan**  
Dalam grup aturan Shield Advanced yang direferensikan, Shield Advanced mempertahankan aturan berbasis kecepatan`ShieldKnownOffenderIPRateBasedRule`, yang membatasi volume permintaan dari alamat IP yang dikenal sebagai sumber serangan S. DDo Aturan ini berfungsi sebagai garis pertahanan pertama terhadap serangan apa pun, karena selalu ada dalam kelompok aturan dan tidak bergantung pada analisis pola lalu lintas untuk menahan serangan. Tindakan aturan ini diatur ke tindakan yang Anda pilih untuk mitigasi otomatis, seperti aturan lain dalam grup aturan. Untuk informasi tentang aturan berbasis tarif, lihat. [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md)

**catatan**  
Aturan berbasis tarif `ShieldKnownOffenderIPRateBasedRule` beroperasi secara independen dari deteksi peristiwa Shield Advanced. Sementara mitigasi otomatis diaktifkan, tingkat aturan ini membatasi alamat IP yang dikenal sebagai sumber serangan DDo S. Untuk alamat IP ini, pembatasan laju aturan dapat mencegah serangan dan juga mencegah serangan muncul di informasi deteksi Shield Advanced. Trade off ini mendukung pencegahan daripada visibilitas lengkap ke dalam pola serangan. 

Selain aturan berbasis tarif permanen yang dijelaskan di atas, grup aturan berisi aturan apa pun yang saat ini digunakan Shield Advanced untuk mengurangi serangan S DDo. Shield Advanced menambahkan, memodifikasi, dan menghapus aturan ini sesuai kebutuhan. Untuk informasi, lihat [Bagaimana Shield Advanced mengelola mitigasi otomatis](ddos-automatic-app-layer-response-behavior.md).

**Metrik-metrik**  
Grup aturan menghasilkan AWS WAF metrik, tetapi karena grup aturan ini dimiliki oleh Shield Advanced, metrik ini tidak tersedia untuk dilihat. Lihat informasi yang lebih lengkap di [AWS WAF metrik dan dimensi](waf-metrics.md).

# Melihat konfigurasi mitigasi lapisan aplikasi DDo S otomatis untuk sumber daya
<a name="view-automatic-app-layer-response-configuration"></a>

Anda dapat melihat konfigurasi mitigasi lapisan aplikasi DDo S otomatis untuk sumber daya di halaman Sumber **daya yang dilindungi** dan di halaman perlindungan individual. 

**Untuk melihat konfigurasi mitigasi lapisan aplikasi DDo S otomatis**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Sumber daya yang dilindungi**. Dalam daftar sumber daya yang dilindungi, kolom Mitigasi **lapisan aplikasi otomatis DDo S menunjukkan apakah mitigasi** otomatis diaktifkan dan, jika diaktifkan, tindakan yang akan digunakan Shield Advanced dalam mitigasinya. 

   Anda juga dapat memilih sumber daya lapisan aplikasi apa pun untuk melihat informasi yang sama yang tercantum di halaman perlindungan untuk sumber daya. 

# Mengaktifkan dan menonaktifkan mitigasi lapisan aplikasi S otomatis DDo
<a name="enable-disable-automatic-app-layer-response"></a>

Prosedur berikut menunjukkan cara mengaktifkan atau menonaktifkan respons otomatis untuk sumber daya yang dilindungi. 

**Untuk mengaktifkan atau menonaktifkan mitigasi lapisan aplikasi DDo S otomatis untuk satu sumber daya**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Sumber daya yang dilindungi**.

1. Di tab **Protections**, pilih sumber daya lapisan aplikasi yang ingin Anda aktifkan mitigasi otomatis. Halaman perlindungan terbuka untuk sumber daya. 

1. Di halaman perlindungan sumber daya, pilih **Edit**. 

1. Di halaman **Konfigurasikan mitigasi lapisan 7 DDo S untuk sumber daya global - *opsional***, untuk **Mitigasi lapisan aplikasi DDo S otomatis**, pilih opsi yang ingin Anda gunakan untuk mitigasi otomatis. Opsi di konsol adalah sebagai berikut: 
   + **Pertahankan pengaturan saat ini** — Jangan membuat perubahan pada pengaturan mitigasi otomatis dari sumber daya yang dilindungi. 
   + **Aktifkan** - Aktifkan mitigasi otomatis untuk sumber daya yang dilindungi. Saat Anda memilih ini, pilih juga tindakan aturan yang Anda inginkan untuk digunakan mitigasi otomatis dalam aturan ACL web. Untuk informasi tentang pengaturan tindakan aturan, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md).

     Jika sumber daya yang dilindungi belum memiliki riwayat lalu lintas aplikasi normal, aktifkan mitigasi otomatis dalam Count mode hingga Shield Advanced dapat membuat baseline. Shield Advanced mulai mengumpulkan informasi untuk baseline ketika Anda mengaitkan ACL web dengan sumber daya yang dilindungi, dan dapat memakan waktu 24 jam hingga 30 hari untuk menetapkan garis dasar lalu lintas normal yang baik.
   + **Nonaktifkan** - Nonaktifkan mitigasi otomatis untuk sumber daya yang dilindungi. 

1. Berjalanlah melalui sisa halaman sampai Anda selesai dan simpan konfigurasi. 

Di halaman **Perlindungan**, pengaturan mitigasi otomatis diperbarui untuk sumber daya.

# Mengubah tindakan yang digunakan untuk mitigasi lapisan DDo S aplikasi otomatis
<a name="change-action-of-automatic-app-layer-response"></a>

Anda dapat mengubah tindakan yang digunakan Shield Advanced untuk respons otomatis lapisan aplikasinya di beberapa lokasi di konsol:
+ **Konfigurasi mitigasi otomatis** — Ubah tindakan saat Anda mengonfigurasi mitigasi otomatis untuk sumber daya Anda. Untuk prosedurnya, lihat bagian sebelumnya. [Mengaktifkan dan menonaktifkan mitigasi lapisan aplikasi S otomatis DDo](enable-disable-automatic-app-layer-response.md)
+ **Halaman detail acara** — Ubah tindakan di halaman detail acara, saat Anda melihat informasi acara di konsol. Untuk informasi, lihat [Melihat detail AWS Shield Advanced acara](ddos-event-details.md).

Jika Anda memiliki dua sumber daya terlindungi yang berbagi ACL web, dan Anda menetapkan tindakan Count untuk satu dan Block yang lain, Shield Advanced akan menetapkan tindakan untuk aturan berbasis laju grup aturan. `ShieldKnownOffenderIPRateBasedRule` Block

# Menggunakan AWS CloudFormation dengan mitigasi lapisan DDo S aplikasi otomatis
<a name="manage-automatic-mitigation-in-cfn"></a>

Halaman ini menjelaskan cara menggunakan CloudFormation untuk mengelola perlindungan dan AWS WAF web ACLs Anda. 

**Mengaktifkan atau menonaktifkan mitigasi lapisan aplikasi S otomatis DDo**  
Anda dapat mengaktifkan dan menonaktifkan mitigasi lapisan aplikasi DDo S otomatis melalui AWS CloudFormation, menggunakan sumber daya. `AWS::Shield::Protection` Efeknya sama seperti ketika Anda mengaktifkan atau menonaktifkan fitur melalui konsol atau antarmuka lainnya. Untuk informasi tentang CloudFormation sumber daya, lihat [AWS::Shield::Protection](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-shield-protection.html)di *panduan AWS CloudFormation pengguna*.

**Mengelola web ACLs yang digunakan dengan mitigasi otomatis**  
Shield Advanced mengelola mitigasi otomatis untuk sumber daya yang dilindungi menggunakan aturan grup aturan di ACL AWS WAF web sumber daya yang dilindungi. Melalui AWS WAF konsol dan APIs, Anda akan melihat aturan yang tercantum dalam aturan ACL web Anda, dengan nama yang dimulai dengan`ShieldMitigationRuleGroup`. Aturan ini didedikasikan untuk mitigasi lapisan DDo S aplikasi otomatis Anda dan dikelola untuk Anda oleh Shield Advanced dan. AWS WAF Untuk informasi selengkapnya, lihat [Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md) dan [Bagaimana Shield Advanced mengelola mitigasi otomatis](ddos-automatic-app-layer-response-behavior.md).

Jika Anda menggunakannya CloudFormation untuk mengelola web ACLs, jangan tambahkan aturan grup aturan Shield Advanced ke template ACL web Anda. Saat Anda memperbarui ACL web yang digunakan dengan perlindungan mitigasi otomatis, AWS WAF secara otomatis mengelola aturan grup aturan di ACL web. 

Anda akan melihat perbedaan berikut dibandingkan dengan web lain ACLs yang Anda kelola melalui CloudFormation:
+ CloudFormation tidak akan melaporkan penyimpangan apa pun dalam status stack drift antara konfigurasi ACL web yang sebenarnya, dengan aturan grup aturan Shield Advanced, dan template ACL web Anda, tanpa aturan. Aturan Shield Advanced tidak akan muncul di daftar sebenarnya untuk sumber daya dalam detail drift. 

  Anda akan dapat melihat aturan grup aturan Shield Advanced dalam daftar ACL web yang Anda ambil AWS WAF, seperti melalui AWS WAF konsol atau. AWS WAF APIs
+ Jika Anda memodifikasi template ACL web dalam tumpukan, AWS WAF dan Shield Advanced secara otomatis mempertahankan aturan mitigasi otomatis Shield Advanced di ACL web yang diperbarui. Perlindungan mitigasi otomatis yang disediakan oleh Shield Advanced tidak terganggu oleh pembaruan Anda ke ACL web.

Jangan mengelola aturan Shield Advanced di template ACL CloudFormation web Anda. Template ACL web tidak boleh mencantumkan aturan Shield Advanced. Ikuti praktik terbaik untuk manajemen ACL web di[Praktik terbaik untuk menggunakan mitigasi lapisan DDo S aplikasi otomatis](ddos-automatic-app-layer-response-bp.md).

# Deteksi berbasis kesehatan menggunakan pemeriksaan kesehatan dengan Shield Advanced dan Route 53
<a name="ddos-advanced-health-checks"></a>

Anda dapat mengonfigurasi Shield Advanced untuk menggunakan deteksi berbasis kesehatan untuk meningkatkan respons dan akurasi dalam deteksi dan mitigasi serangan. Anda dapat menggunakan opsi ini dengan jenis sumber daya apa pun kecuali untuk zona yang dihosting Route 53. 

Untuk mengonfigurasi deteksi berbasis kesehatan, Anda menentukan pemeriksaan kesehatan untuk sumber daya Anda di Route 53, memverifikasi bahwa pelaporan tersebut sehat, dan kemudian mengaitkannya dengan perlindungan Shield Advanced Anda. Untuk informasi tentang pemeriksaan kesehatan Route 53, lihat [Cara Amazon Route 53 memeriksa kesehatan sumber daya Anda](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-health-checks.html) dan [Membuat, memperbarui, dan menghapus pemeriksaan kesehatan](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html) di Panduan Pengembang Amazon Route 53. 

**catatan**  
Pemeriksaan kesehatan diperlukan untuk dukungan keterlibatan proaktif Shield Response Team (SRT). Untuk informasi tentang keterlibatan proaktif, lihat[Menyiapkan keterlibatan proaktif untuk SRT untuk menghubungi Anda secara langsung](ddos-srt-proactive-engagement.md).

Pemeriksaan Kesehatan mengukur kesehatan sumber daya Anda berdasarkan persyaratan yang Anda tentukan. Status pemeriksaan kesehatan memberikan masukan penting ke mekanisme deteksi Shield Advanced, memberi mereka sensitivitas yang lebih besar terhadap status aplikasi spesifik Anda saat ini. 

Anda dapat mengaktifkan deteksi berbasis kesehatan untuk semua jenis sumber daya kecuali untuk zona yang dihosting Route 53.
+ **Sumber daya lapisan jaringan dan transport (lapisan 3/lapisan 4)** - Deteksi berbasis kesehatan meningkatkan akurasi deteksi dan mitigasi peristiwa lapisan jaringan dan lapisan transportasi untuk Network Load Balancer, alamat IP Elastis, dan akselerator standar Global Accelerator. Saat Anda melindungi jenis sumber daya ini dengan Shield Advanced, Shield Advanced dapat memberikan mitigasi untuk serangan yang lebih kecil dan mitigasi serangan yang lebih cepat, bahkan ketika lalu lintas berada dalam kapasitas aplikasi.

  Ketika Anda menambahkan deteksi berbasis kesehatan, selama periode ketika pemeriksaan kesehatan terkait tidak sehat, Shield Advanced dapat menempatkan mitigasi lebih cepat dan bahkan pada ambang batas yang lebih rendah.
+ **Sumber daya lapisan aplikasi (lapisan 7)** — Deteksi berbasis kesehatan meningkatkan akurasi deteksi banjir permintaan web untuk CloudFront distribusi dan Application Load Balancer. Ketika Anda melindungi jenis sumber daya ini dengan Shield Advanced, Anda menerima peringatan deteksi banjir permintaan web ketika ada penyimpangan signifikan secara statistik dalam volume lalu lintas yang dikombinasikan dengan perubahan signifikan dalam pola lalu lintas, berdasarkan karakteristik permintaan. 

  Dengan deteksi berbasis kesehatan, ketika pemeriksaan kesehatan Route 53 terkait tidak sehat, Shield Advanced membutuhkan penyimpangan yang lebih kecil untuk mengingatkan dan melaporkan kejadian lebih cepat. Sebaliknya, ketika pemeriksaan kesehatan Route 53 terkait sehat, Shield Advanced membutuhkan penyimpangan yang lebih besar untuk waspada. 

Anda akan mendapat manfaat maksimal dari menggunakan pemeriksaan kesehatan dengan Shield Advanced jika pemeriksaan kesehatan hanya melaporkan sehat ketika aplikasi Anda berjalan dalam parameter yang dapat diterima dan hanya melaporkan tidak sehat jika tidak. Gunakan panduan di bagian ini untuk mengelola asosiasi pemeriksaan kesehatan Anda di Shield Advanced. 

**catatan**  
Shield Advanced tidak secara otomatis mengelola pemeriksaan kesehatan Anda. 

Berikut ini diperlukan untuk menggunakan pemeriksaan kesehatan dengan Shield Advanced: 
+ Pemeriksaan kesehatan harus dilaporkan sehat saat Anda mengaitkannya dengan perlindungan Shield Advanced Anda. 
+ Pemeriksaan kesehatan harus relevan dengan kesehatan sumber daya Anda yang dilindungi. Anda bertanggung jawab untuk menentukan dan memelihara pemeriksaan kesehatan yang secara akurat melaporkan kesehatan aplikasi Anda, berdasarkan persyaratan spesifik aplikasi Anda. 
+ Pemeriksaan kesehatan harus tetap tersedia untuk digunakan oleh perlindungan Shield Advanced. Jangan menghapus pemeriksaan kesehatan di Route 53 yang Anda gunakan untuk perlindungan Shield Advanced.

**Contents**
+ [Praktik terbaik untuk menggunakan pemeriksaan kesehatan dengan Shield Advanced](health-checks-best-practices.md)
+ [CloudWatch metrik yang biasa digunakan untuk pemeriksaan kesehatan dengan Shield Advanced](health-checks-metrics.md)
  + [Metrik digunakan untuk memantau kesehatan aplikasi](health-checks-metrics.md#health-checks-metrics-common)
  + [CloudWatch Metrik Amazon untuk setiap jenis sumber daya](health-checks-metrics.md#health-checks-protected-resource-metrics)
+ [Mengaitkan pemeriksaan kesehatan dengan sumber daya Anda yang dilindungi oleh Shield Advanced](associate-health-check.md)
+ [Memutuskan pemeriksaan kesehatan dari sumber daya Anda yang dilindungi oleh Shield Advanced](disassociate-health-check.md)
+ [Melihat status asosiasi pemeriksaan kesehatan di Shield Advanced](health-check-association-status.md)
+ [Contoh pemeriksaan kesehatan untuk Shield Advanced](health-checks-examples.md)
  + [CloudFront Distribusi Amazon](health-checks-examples.md#health-checks-example-cloudfront)
  + [Penyeimbang beban](health-checks-examples.md#health-checks-example-load-balancer)
  + [Alamat IP EC2 elastis Amazon (EIP)](health-checks-examples.md#health-checks-example-elastic-ip)

# Praktik terbaik untuk menggunakan pemeriksaan kesehatan dengan Shield Advanced
<a name="health-checks-best-practices"></a>

Ikuti praktik terbaik di bagian ini saat Anda membuat dan menggunakan pemeriksaan kesehatan dengan Shield Advanced.
+ Rencanakan pemeriksaan kesehatan Anda dengan mengidentifikasi komponen infrastruktur yang ingin Anda pantau. Pertimbangkan jenis sumber daya berikut untuk pemeriksaan kesehatan: 
  + Sumber daya kritis.
  + Sumber daya apa pun yang Anda inginkan sensitivitas lebih tinggi dalam deteksi dan mitigasi Shield Advanced.
  + Sumber daya yang Anda inginkan untuk Shield Advanced menjangkau Anda secara proaktif. Keterlibatan proaktif diinformasikan oleh status pemeriksaan kesehatan Anda.

  Contoh sumber daya yang mungkin ingin Anda pantau termasuk CloudFront distribusi Amazon, penyeimbang beban yang menghadap ke internet, dan instans Amazon EC2. 
+ Tentukan pemeriksaan kesehatan yang secara akurat mencerminkan kesehatan asal aplikasi Anda dengan pemberitahuan sesedikit mungkin. 
  + Tulis pemeriksaan kesehatan sehingga hanya tidak sehat ketika aplikasi Anda tidak tersedia atau tidak berkinerja dalam parameter yang dapat diterima. Anda bertanggung jawab untuk menentukan dan memelihara pemeriksaan kesehatan berdasarkan persyaratan spesifik aplikasi Anda. 
  + Gunakan pemeriksaan kesehatan sesedikit mungkin sambil tetap melaporkan kesehatan aplikasi Anda secara akurat. Misalnya, beberapa alarm dari beberapa area aplikasi Anda yang semuanya melaporkan masalah yang sama dapat menambah overhead ke aktivitas respons Anda tanpa menambahkan nilai informasi. 
  + Gunakan pemeriksaan kesehatan terhitung untuk memantau kesehatan aplikasi menggunakan kombinasi CloudWatch metrik Amazon. Misalnya, Anda dapat menghitung kesehatan gabungan berdasarkan latensi server aplikasi Anda dan tingkat kesalahan 5xx mereka, yang menunjukkan bahwa server asal tidak memenuhi permintaan. 
  + Buat dan publikasikan indikator kesehatan aplikasi Anda sendiri ke metrik CloudWatch khusus sesuai kebutuhan dan gunakan dalam pemeriksaan kesehatan yang dihitung.
+ Terapkan dan kelola pemeriksaan kesehatan Anda untuk meningkatkan deteksi dan mengurangi aktivitas pemeliharaan yang tidak perlu.
  + Sebelum Anda mengaitkan pemeriksaan kesehatan dengan perlindungan Shield Advanced, pastikan itu dalam keadaan sehat. Mengaitkan pemeriksaan kesehatan yang melaporkan tidak sehat dapat mengubah mekanisme deteksi Shield Advanced untuk sumber daya Anda yang dilindungi.
  + Pastikan pemeriksaan kesehatan Anda tersedia untuk digunakan oleh Shield Advanced. Jangan menghapus pemeriksaan kesehatan di Route 53 yang Anda gunakan untuk perlindungan Shield Advanced.
  + Gunakan lingkungan pementasan dan pengujian hanya untuk menguji pemeriksaan kesehatan Anda. Hanya pertahankan asosiasi pemeriksaan kesehatan untuk lingkungan yang memerlukan kinerja dan ketersediaan tingkat produksi. Jangan menjaga asosiasi pemeriksaan kesehatan di Shield Advanced untuk lingkungan pementasan dan pengujian. 

# CloudWatch metrik yang biasa digunakan untuk pemeriksaan kesehatan dengan Shield Advanced
<a name="health-checks-metrics"></a>

Bagian ini mencantumkan CloudWatch metrik Amazon yang biasa digunakan dalam pemeriksaan kesehatan untuk mengukur kesehatan aplikasi selama peristiwa penolakan layanan terdistribusi. DDo Untuk informasi selengkapnya tentang CloudWatch metrik untuk setiap jenis sumber daya, lihat daftar yang mengikuti tabel. 

**Topics**
+ [Metrik digunakan untuk memantau kesehatan aplikasi](#health-checks-metrics-common)
+ [CloudWatch Metrik Amazon untuk setiap jenis sumber daya](#health-checks-protected-resource-metrics)

## Metrik digunakan untuk memantau kesehatan aplikasi
<a name="health-checks-metrics-common"></a>


| Sumber daya | Metrik | Deskripsi | 
| --- | --- | --- | 
| Route 53 | `HealthCheckStatus` | Status titik akhir pemeriksaan kesehatan. | 
| CloudFront | `5xxErrorRate` | Persentase semua permintaan yang kode status HTTP adalah 5xx. Ini menunjukkan serangan yang memengaruhi aplikasi. | 
| Penyeimbang Beban Aplikasi | `HTTPCode_ELB_5XX_Count` | Jumlah kode kesalahan klien HTTP 5xx yang dihasilkan oleh penyeimbang beban.  | 
| Penyeimbang Beban Aplikasi | `RejectedConnectionCount` | Jumlah koneksi yang ditolak karena load balancer mencapai jumlah koneksi maksimumnya. | 
| Penyeimbang Beban Aplikasi | `TargetConnectionErrorCount` | Jumlah koneksi yang tidak berhasil dibuat antara penyeimbang beban dan target. | 
| Penyeimbang Beban Aplikasi | `TargetResponseTime` |  Waktu berlalu dalam hitungan detik setelah permintaan meninggalkan penyeimbang beban dan ketika menerima respons dari target.  | 
| Penyeimbang Beban Aplikasi | `UnHealthyHostCount` | Jumlah target yang dianggap tidak sehat. | 
| Amazon EC2 | `CPUUtilization` | Persentase unit EC2 komputasi yang dialokasikan yang saat ini digunakan. | 

## CloudWatch Metrik Amazon untuk setiap jenis sumber daya
<a name="health-checks-protected-resource-metrics"></a>

Untuk informasi tambahan tentang metrik yang tersedia untuk sumber daya yang dilindungi, lihat bagian berikut di panduan sumber daya: 
+ Amazon Route 53 - [Memantau sumber daya Anda dengan pemeriksaan kesehatan Amazon Route 53 dan Amazon CloudWatch](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-cloudwatch.html) di Panduan Pengembang Amazon Route 53.
+ Amazon CloudFront - [Pemantauan CloudFront dengan Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/monitoring-using-cloudwatch.html) di Panduan CloudFront Pengembang Amazon.
+ Application Load Balancer — [CloudWatch metrik untuk Application Load Balancer Anda di Panduan Pengguna untuk Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html) Balancer.
+ Network Load Balancer — [CloudWatch metrik untuk Network Load Balancer Anda di Panduan Pengguna untuk Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html) Balancer.
+ AWS Global Accelerator — [Menggunakan Amazon CloudWatch dengan AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/cloudwatch-monitoring.html) di Panduan AWS Global Accelerator Pengembang.
+ Amazon Elastic Compute Cloud — [Buat daftar CloudWatch metrik yang tersedia untuk instans Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/viewing_metrics_with_cloudwatch.html) di terbaru/ /. https://docs.aws.amazon.com/AWSEC2/ UserGuide
+ Amazon EC2 Auto Scaling — [ CloudWatch Metrik pemantauan untuk grup dan instans Auto Scaling di Panduan Pengguna Amazon](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-monitoring.html) Auto Scaling. EC2 

# Mengaitkan pemeriksaan kesehatan dengan sumber daya Anda yang dilindungi oleh Shield Advanced
<a name="associate-health-check"></a>

Prosedur berikut menunjukkan cara mengaitkan pemeriksaan kesehatan Amazon Route 53 dengan sumber daya yang dilindungi. 

**catatan**  
Sebelum Anda mengaitkan pemeriksaan kesehatan dengan perlindungan Shield Advanced, pastikan itu dalam keadaan sehat. Untuk selengkapnya, lihat [Memantau status pemeriksaan kesehatan dan mendapatkan notifikasi](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-monitor-view-status.html) di Panduan Pengembang Amazon Route 53. 

**Untuk mengaitkan pemeriksaan kesehatan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Sumber daya yang dilindungi**.

1. Pada tab **Perlindungan**, pilih sumber daya yang ingin Anda kaitkan dengan pemeriksaan kesehatan. 

1. Pilih **Konfigurasi perlindungan.**

1. Pilih **Berikutnya** hingga Anda masuk ke halaman **Konfigurasikan deteksi DDo S berbasis pemeriksaan kesehatan - *opsional***.

1. Di bawah **Pemeriksaan Kesehatan Terkait**, pilih ID pemeriksaan kesehatan yang ingin Anda kaitkan dengan perlindungan. 
**catatan**  
Jika Anda tidak melihat pemeriksaan kesehatan yang Anda butuhkan, buka konsol Route 53 dan verifikasi pemeriksaan kesehatan dan ID-nya. Untuk selengkapnya, lihat [Membuat dan Memperbarui Pemeriksaan Kesehatan](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html).

1. Berjalanlah melalui sisa halaman sampai Anda menyelesaikan konfigurasi. Pada halaman **Perlindungan**, asosiasi pemeriksaan kesehatan Anda yang diperbarui terdaftar untuk sumber daya.

1. Pada halaman **Perlindungan**, periksa apakah pemeriksaan kesehatan Anda yang baru terkait dilaporkan sehat. 

   Anda tidak dapat berhasil mulai menggunakan pemeriksaan kesehatan di Shield Advanced saat pemeriksaan kesehatan melaporkan tidak sehat. Melakukan hal itu menyebabkan Shield Advanced mendeteksi positif palsu pada ambang batas yang sangat rendah dan juga dapat berdampak negatif pada kemampuan Tim Respons Shield (SRT) untuk menyediakan keterlibatan proaktif untuk sumber daya. 

   Jika pemeriksaan kesehatan yang baru terkait melaporkan tidak sehat, lakukan hal berikut: 

   1. Lepaskan pemeriksaan kesehatan dari perlindungan Anda di Shield Advanced.

   1. Kunjungi kembali spesifikasi pemeriksaan kesehatan Anda di Amazon Route 53 dan verifikasi kinerja dan ketersediaan aplikasi Anda secara keseluruhan. 

   1. Ketika aplikasi Anda bekerja dalam parameter Anda untuk kesehatan yang baik dan pemeriksaan kesehatan Anda dilaporkan sehat, coba lagi untuk mengaitkan pemeriksaan kesehatan di Shield Advanced.

Prosedur asosiasi pemeriksaan kesehatan selesai ketika Anda telah membentuk asosiasi pemeriksaan kesehatan baru Anda dan dilaporkan sehat di Shield Advanced.

# Memutuskan pemeriksaan kesehatan dari sumber daya Anda yang dilindungi oleh Shield Advanced
<a name="disassociate-health-check"></a>

Prosedur berikut menunjukkan cara memisahkan pemeriksaan kesehatan Amazon Route 53 dari sumber daya yang dilindungi. 

**Untuk memisahkan pemeriksaan kesehatan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Sumber daya yang dilindungi**.

1. Pada tab **Proteksi**, pilih sumber daya yang ingin Anda putuskan dari pemeriksaan kesehatan. 

1. Pilih **Konfigurasikan perlindungan.**

1. Pilih **Berikutnya** hingga Anda masuk ke halaman **Konfigurasikan deteksi DDo S berbasis pemeriksaan kesehatan - *opsional***.

1. Di bawah **Pemeriksaan Kesehatan Terkait**, pilih opsi kosong, terdaftar sebagai **-**. 

1. Berjalanlah melalui sisa halaman sampai Anda menyelesaikan konfigurasi. 

Pada halaman **Proteksi**, bidang pemeriksaan kesehatan untuk sumber daya Anda diatur ke **-**, yang menunjukkan tidak ada asosiasi pemeriksaan kesehatan.

# Melihat status asosiasi pemeriksaan kesehatan di Shield Advanced
<a name="health-check-association-status"></a>

Anda dapat melihat status pemeriksaan kesehatan yang terkait dengan perlindungan di halaman **sumber daya yang Dilindungi** konsol AWS WAF & Shield dan pada halaman detail setiap sumber daya. 
+ **Sehat** — Pemeriksaan kesehatan tersedia dan dilaporkan sehat.
+ **Tidak sehat** — Pemeriksaan kesehatan tersedia dan melaporkan tidak sehat.
+ **Tidak tersedia** — Pemeriksaan kesehatan tidak tersedia untuk digunakan oleh Shield Advanced. 

**Untuk menyelesaikan pemeriksaan kesehatan **yang tidak tersedia****

Buat dan gunakan pemeriksaan kesehatan baru. Jangan mencoba mengaitkan pemeriksaan kesehatan lagi setelah status tidak tersedia di Shield Advanced. 

Untuk panduan terperinci tentang mengikuti langkah-langkah ini, lihat topik sebelumnya. 

1. Di Shield Advanced, lepaskan pemeriksaan kesehatan dari sumber daya. 

1. Di Route 53, buat pemeriksaan kesehatan baru untuk sumber daya dan catat ID-nya. Untuk selengkapnya, lihat [Membuat dan Memperbarui Pemeriksaan Kesehatan](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html) di Panduan Pengembang Amazon Route 53.

1. Di Shield Advanced, kaitkan pemeriksaan kesehatan baru dengan sumber daya. 

# Contoh pemeriksaan kesehatan untuk Shield Advanced
<a name="health-checks-examples"></a>

Bagian ini menunjukkan contoh pemeriksaan kesehatan yang dapat Anda gunakan dalam pemeriksaan kesehatan yang dihitung. Pemeriksaan kesehatan yang dihitung menggunakan sejumlah pemeriksaan kesehatan individu untuk menentukan status gabungan. Status setiap pemeriksaan kesehatan individu didasarkan pada kesehatan titik akhir atau pada keadaan CloudWatch metrik Amazon. Anda menggabungkan pemeriksaan kesehatan ke dalam pemeriksaan kesehatan yang dihitung dan kemudian mengkonfigurasi pemeriksaan kesehatan Anda yang dihitung untuk melaporkan kesehatan berdasarkan status kesehatan gabungan dari pemeriksaan kesehatan individu. Sesuaikan sensitivitas pemeriksaan kesehatan yang Anda hitung sesuai dengan kebutuhan Anda untuk kinerja dan ketersediaan aplikasi. 

Untuk informasi tentang pemeriksaan kesehatan yang dihitung, lihat [Memantau pemeriksaan kesehatan lainnya (pemeriksaan kesehatan terhitung)](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-values.html#health-checks-creating-values-calculated) di Panduan Pengembang Amazon Route 53. Untuk informasi tambahan, lihat posting blog [Perbaikan Route 53 — Pemeriksaan Kesehatan Terhitung dan Pemeriksaan Latensi](https://aws.amazon.com/blogs/aws/route-53-improvements-calculated-health-checks-and-latency-checks/).

**Topics**
+ [CloudFront Distribusi Amazon](#health-checks-example-cloudfront)
+ [Penyeimbang beban](#health-checks-example-load-balancer)
+ [Alamat IP EC2 elastis Amazon (EIP)](#health-checks-example-elastic-ip)

## CloudFront Distribusi Amazon
<a name="health-checks-example-cloudfront"></a>

Contoh berikut menjelaskan pemeriksaan kesehatan yang dapat digabungkan menjadi pemeriksaan kesehatan yang dihitung untuk CloudFront distribusi: 
+ Pantau titik akhir dengan menentukan nama domain ke jalur distribusi yang menyajikan konten dinamis. Respons yang sehat akan mencakup kode respons HTTP 2xx dan 3xx.
+ Pantau keadaan CloudWatch alarm yang mengukur kesehatan CloudFront asal. Misalnya, Anda dapat mempertahankan CloudWatch alarm pada metrik Application Load Balancer`TargetResponseTime`, dan membuat pemeriksaan kesehatan yang mencerminkan status alarm. Pemeriksaan kesehatan bisa menjadi tidak sehat ketika waktu respons, antara permintaan meninggalkan penyeimbang beban dan ketika penyeimbang beban menerima respons dari target, melebihi ambang batas yang dikonfigurasi dalam alarm.
+ Pantau status CloudWatch alarm yang mengukur persentase permintaan yang kode status HTTP responsnya adalah 5xx. Jika tingkat kesalahan 5xx CloudFront distribusi lebih tinggi dari ambang batas yang ditentukan dalam CloudWatch alarm, status pemeriksaan kesehatan ini akan beralih ke tidak sehat. 

## Penyeimbang beban
<a name="health-checks-example-load-balancer"></a>

Contoh berikut menjelaskan pemeriksaan kesehatan yang dapat digunakan dalam pemeriksaan kesehatan yang dihitung untuk Application Load Balancer, Network Load Balancer, atau akselerator standar Global Accelerator. 
+ Pantau keadaan CloudWatch alarm yang mengukur jumlah koneksi baru yang dibuat oleh klien ke penyeimbang beban. Anda dapat mengatur ambang alarm untuk jumlah rata-rata koneksi baru pada tingkat tertentu lebih tinggi dari rata-rata harian Anda. Metrik untuk setiap jenis sumber daya adalah sebagai berikut: 
  + Application Load Balancer: `NewConnectionCount`
  + Network Load Balancer: `ActiveFlowCount`
  + Akselerator Global: `NewFlowCount`
+ Untuk Application Load Balancer dan Network Load Balancer, pantau keadaan alarm CloudWatch yang mengukur jumlah load balancer yang dianggap sehat. Anda dapat mengatur ambang alarm baik di Availability Zone atau pada jumlah minimum host sehat yang dibutuhkan penyeimbang beban Anda. Metrik yang tersedia untuk sumber daya penyeimbang beban adalah sebagai berikut: 
  + Application Load Balancer: `HealthyHostCount`
  + Network Load Balancer: `HealthyHostCount`
+ Untuk Application Load Balancer, pantau status CloudWatch alarm yang mengukur jumlah kode respons HTTP 5xx yang dihasilkan oleh target penyeimbang beban. Untuk Application Load Balancer, Anda dapat menggunakan metrik `HTTPCode_Target_5XX_Count` dan mendasarkan ambang alarm pada jumlah semua kesalahan 5xx untuk penyeimbang beban. 

## Alamat IP EC2 elastis Amazon (EIP)
<a name="health-checks-example-elastic-ip"></a>

Contoh pemeriksaan kesehatan berikut dapat digabungkan menjadi pemeriksaan kesehatan yang dihitung untuk alamat IP EC2 elastis Amazon: 
+ Pantau titik akhir dengan menentukan alamat IP ke alamat IP Elastis. Pemeriksaan kesehatan akan tetap sehat selama koneksi TCP dapat dibuat dengan sumber daya di belakang alamat IP.
+ Pantau status CloudWatch alarm yang mengukur persentase unit EC2 komputasi Amazon yang dialokasikan yang saat ini digunakan pada instance. Anda dapat menggunakan EC2 metrik Amazon `CPUUtilization` dan mendasarkan ambang alarm pada apa yang Anda anggap sebagai tingkat pemanfaatan CPU yang tinggi untuk aplikasi Anda, seperti 90%.

# Menambahkan AWS Shield Advanced perlindungan ke AWS sumber daya
<a name="configure-new-protection"></a>

Ikuti panduan di bagian ini untuk menambahkan perlindungan Shield Advanced ke satu atau beberapa sumber daya.

**Untuk menambahkan perlindungan untuk sumber AWS daya**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel navigasi, di bawah AWS Shield pilih **Sumber daya yang dilindungi**. 

1. Pilih **Tambahkan sumber daya untuk dilindungi**.

1. Di halaman **Pilih sumber daya untuk dilindungi dengan Shield Advanced**, **di Tentukan Wilayah dan jenis sumber daya**, berikan spesifikasi Wilayah dan tipe sumber daya untuk sumber daya yang ingin Anda lindungi. Anda dapat melindungi sumber daya di beberapa Wilayah dengan memilih **Semua Wilayah** dan Anda dapat mempersempit pilihan ke sumber daya global dengan memilih **Global**. Anda dapat membatalkan pilihan jenis sumber daya apa pun yang tidak ingin Anda lindungi. Untuk informasi tentang perlindungan untuk jenis sumber daya Anda, lihat[Daftar sumber daya yang AWS Shield Advanced melindungi](ddos-protections-by-resource-type.md).

1. Pilih **Muat sumber daya**. Shield Advanced mengisi bagian **Pilih Sumber Daya** dengan AWS sumber daya yang sesuai dengan kriteria Anda. 

1. Di bagian **Pilih Sumber Daya**, Anda dapat memfilter daftar sumber daya dengan memasukkan string untuk dicari di daftar sumber daya. 

   Pilih sumber daya yang ingin Anda lindungi.

1. Di bagian **Tag**, jika Anda ingin menambahkan tag ke perlindungan Shield Advanced yang Anda buat, tentukan tag tersebut. Untuk informasi tentang menandai AWS sumber daya, lihat [Bekerja dengan Editor Tag](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html). 

1. Pilih **Lindungi dengan Shield Advanced**. Ini menambahkan perlindungan Shield Advanced ke sumber daya.

# AWS Shield Advanced Perlindungan pengeditan
<a name="manage-protection"></a>

Anda dapat mengubah pengaturan untuk AWS Shield Advanced perlindungan Anda kapan saja. Untuk melakukan ini, telusuri opsi untuk perlindungan yang Anda pilih dan ubah pengaturan yang perlu Anda ubah. 

**Untuk mengelola sumber daya yang dilindungi**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Sumber daya yang dilindungi**.

1. Di tab **Proteksi**, pilih sumber daya yang ingin Anda lindungi. 

1. Pilih **Konfigurasi perlindungan** dan opsi spesifikasi sumber daya yang Anda inginkan.

1. Berjalanlah melalui setiap opsi perlindungan sumber daya, buat perubahan sesuai kebutuhan. 

## Konfigurasikan perlindungan lapisan DDo S aplikasi
<a name="configure-app-layer-protection"></a>

Untuk perlindungan terhadap serangan terhadap Amazon CloudFront dan sumber daya Application Load Balancer, Anda dapat menambahkan AWS WAF web ACLs dan menambahkan aturan berbasis kecepatan. Untuk informasi tentang ini, lihat[Melindungi lapisan aplikasi dengan AWS WAF web ACLs dan Shield Advanced](ddos-app-layer-web-ACL-and-rbr.md).

Anda juga dapat mengaktifkan mitigasi lapisan aplikasi otomatis Shield Advanced DDo S. Untuk informasi tentang cara AWS WAF kerja, lihat[AWS WAF](waf-chapter.md). Untuk informasi tentang fitur mitigasi otomatis, lihat. [Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md)

**penting**  
Jika Anda mengelola perlindungan Shield Advanced dengan AWS Firewall Manager menggunakan kebijakan Shield Advanced, Anda tidak dapat mengelola perlindungan lapisan aplikasi di sini. Untuk semua sumber daya lainnya, kami menyarankan agar, setidaknya, Anda melampirkan ACL web ke setiap sumber daya, bahkan jika ACL web tidak berisi aturan apa pun.

**catatan**  
Ketika Anda mengaktifkan mitigasi lapisan DDo S aplikasi otomatis untuk sumber daya, jika diperlukan, operasi secara otomatis menambahkan peran terkait layanan ke akun Anda untuk memberi Shield Advanced izin yang diperlukan untuk mengelola perlindungan ACL web Anda. Untuk informasi, lihat [Menggunakan peran terkait layanan untuk Shield Advanced](shd-using-service-linked-roles.md).

**Untuk mengkonfigurasi perlindungan lapisan DDo S aplikasi**

1. Di halaman **Configure layer 7 DDo S protections**, jika sumber daya belum dikaitkan dengan ACL web, Anda dapat memilih ACL web yang ada atau membuat sendiri. 

   Untuk membuat ACL web, ikuti langkah-langkah berikut:

   1. Pilih **Buat web ACL**.

   1. Masukkan nama. Anda tidak dapat mengubah nama setelah membuat ACL web.

   1. Pilih **Buat**.
**catatan**  
Jika sumber daya sudah dikaitkan dengan ACL web, Anda tidak dapat mengubah ke ACL web yang berbeda. Jika Anda ingin mengubah ACL web, Anda harus terlebih dahulu menghapus web terkait ACLs dari sumber daya. Untuk informasi selengkapnya, lihat [Mengaitkan atau memisahkan perlindungan dengan sumber daya AWS](web-acl-associating-aws-resource.md).

1. Jika ACL web tidak memiliki aturan berbasis tarif yang ditentukan, Anda dapat menambahkannya dengan memilih **aturan Tambah batas tingkat** dan kemudian melakukan langkah-langkah berikut:

   1. Masukkan nama.

   1. Masukkan batas tarif. Ini adalah jumlah maksimum permintaan yang diizinkan dalam periode lima menit dari alamat IP tunggal sebelum tindakan aturan berbasis tarif diterapkan ke alamat IP. Ketika permintaan dari alamat IP jatuh di bawah batas, tindakan dihentikan. 

   1. Tetapkan tindakan aturan untuk menghitung atau memblokir permintaan dari alamat IP saat jumlah permintaannya melebihi batas. Aplikasi dan penghapusan tindakan aturan mungkin berlaku satu atau dua menit setelah tingkat permintaan alamat IP berubah. 

   1. Pilih **Tambahkan aturan**.

1. Untuk **mitigasi lapisan DDo S aplikasi Otomatis**, pilih apakah Anda ingin Shield Advanced untuk secara otomatis mengurangi serangan DDo S atas nama Anda, sebagai berikut: 
   + Untuk mengaktifkan mitigasi otomatis, pilih **Aktifkan**, lalu pilih tindakan AWS WAF aturan yang ingin digunakan Shield Advanced dalam aturan kustomnya. Pilihan Anda adalah Count danBlock. Untuk informasi tentang tindakan AWS WAF aturan ini, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md). Untuk informasi tentang cara Shield Advanced mengelola setelan tindakan ini, lihat[Bagaimana Shield Advanced mengelola pengaturan tindakan aturan](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action).
   + **Untuk menonaktifkan mitigasi otomatis, pilih Nonaktifkan.** 
   + Agar pengaturan mitigasi otomatis tidak berubah untuk sumber daya yang Anda kelola, biarkan pilihan default **Simpan** pengaturan saat ini. 

   Untuk informasi tentang mitigasi lapisan DDo S aplikasi otomatis Shield Advanced, lihat. [Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md)

1. Pilih **Berikutnya**. 

# Membuat alarm dan notifikasi untuk sumber daya yang dilindungi oleh Shield Advanced
<a name="add-alarm-ddos"></a>

Prosedur berikut menunjukkan cara mengelola CloudWatch alarm untuk sumber daya yang dilindungi. 

**catatan**  
CloudWatch menimbulkan biaya tambahan. Untuk CloudWatch harga, lihat [ CloudWatch Harga Amazon](https://aws.amazon.com/cloudwatch/pricing/).

**Untuk membuat alarm dan notifikasi**

1. Di halaman perlindungan **Buat alarm dan pemberitahuan - *opsional***, konfigurasikan topik SNS untuk alarm dan pemberitahuan yang ingin Anda terima. Untuk sumber daya yang tidak Anda inginkan notifikasi, pilih **Tidak ada topik**. Anda dapat menambahkan topik Amazon SNS atau membuat topik baru. 

1. Untuk membuat topik Amazon SNS, ikuti langkah-langkah ini:

   1. Dalam daftar dropdown, pilih **Buat topik SNS**.

   1. Masukkan nama topik. 

   1. Secara opsional masukkan alamat email tempat pesan Amazon SNS akan dikirim, lalu **pilih** Tambahkan email. Anda dapat memasukkan lebih dari satu.

   1. Pilih **Buat**.

1. Pilih **Berikutnya**.

# Menghapus AWS Shield Advanced perlindungan dari sumber AWS daya
<a name="remove-protection"></a>

Anda dapat menghapus AWS Shield Advanced perlindungan dari AWS sumber daya Anda kapan saja. 

**penting**  
Menghapus sumber AWS daya tidak menghapus sumber daya dari AWS Shield Advanced. Anda juga harus menghapus perlindungan pada sumber daya dari AWS Shield Advanced, seperti yang dijelaskan dalam prosedur ini.

**Hapus AWS Shield Advanced perlindungan dari sumber AWS daya**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Sumber daya yang dilindungi**.

1. Di tab **Perlindungan**, pilih sumber daya yang perlindungannya ingin Anda hapus. 

1. Pilih **Hapus perlindungan.**

   1. Jika Anda memiliki CloudWatch alarm Amazon yang dikonfigurasi untuk perlindungan, Anda diberi opsi untuk menghapus alarm bersama dengan perlindungannya. Jika Anda memilih untuk tidak menghapus alarm pada saat ini, Anda dapat menghapusnya nanti menggunakan CloudWatch konsol.
**catatan**  
Untuk perlindungan yang memiliki pemeriksaan kesehatan Amazon Route 53 yang dikonfigurasi, jika Anda menambahkan perlindungan lagi nanti, perlindungan masih termasuk pemeriksaan kesehatan. 

Langkah-langkah sebelumnya menghapus AWS Shield Advanced perlindungan dari sumber daya tertentu AWS . Mereka tidak membatalkan AWS Shield Advanced langganan Anda. Anda akan terus dikenakan biaya untuk layanan ini. Untuk informasi tentang AWS Shield Advanced langganan Anda, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/).

## Menghapus CloudWatch alarm dari perlindungan Shield Advanced
<a name="remove-cloudwatch-ddos"></a>

Untuk menghapus CloudWatch alarm dari perlindungan Shield Advanced, lakukan salah satu hal berikut:
+ Hapus perlindungan seperti yang dijelaskan dalam[Menghapus AWS Shield Advanced perlindungan dari sumber AWS daya](#remove-protection). Pastikan untuk memilih kotak centang di samping **Hapus juga DDo SDetection alarm terkait**.
+ Hapus alarm menggunakan CloudWatch konsol. Nama alarm yang akan dihapus dimulai dengan **DDoSDetectedAlarmForProtection**.

# Mengelompokkan perlindungan Anda AWS Shield Advanced
<a name="ddos-protection-groups"></a>

Gunakan grup perlindungan untuk membuat koleksi logis dari sumber daya Anda yang dilindungi dan mengelola perlindungan mereka sebagai grup. Untuk informasi tentang mengelola perlindungan sumber daya, lihat[AWS Shield Advanced Perlindungan pengeditan](manage-protection.md). 

**catatan**  
Mitigasi lapisan aplikasi DDo S otomatis tidak berinteraksi dengan kelompok perlindungan. Anda dapat mengaktifkan mitigasi otomatis untuk sumber daya yang ada di grup perlindungan, tetapi Shield Advanced tidak secara otomatis menerapkan mitigasi serangan berdasarkan temuan kelompok perlindungan. Shield Advanced menerapkan mitigasi serangan otomatis untuk sumber daya individu.

AWS Shield Advanced kelompok perlindungan memberi Anda cara swalayan untuk menyesuaikan ruang lingkup deteksi dan mitigasi dengan memperlakukan beberapa sumber daya yang dilindungi sebagai satu unit. Pengelompokan sumber daya dapat memberikan sejumlah manfaat. 
+ Meningkatkan akurasi deteksi. 
+ Kurangi pemberitahuan acara yang tidak dapat ditindaklanjuti. 
+ Meningkatkan cakupan tindakan mitigasi untuk memasukkan sumber daya yang dilindungi yang juga mungkin terpengaruh selama suatu acara. 
+ Mempercepat waktu untuk mitigasi serangan dengan beberapa target serupa. 
+ Memfasilitasi perlindungan otomatis sumber daya yang dilindungi yang baru dibuat. 

Kelompok perlindungan dapat membantu mengurangi positif palsu dalam situasi seperti blue/green swap, di mana sumber daya bergantian antara mendekati nol beban dan terisi penuh. Contoh lain adalah ketika Anda sering membuat dan menghapus sumber daya sambil mempertahankan tingkat beban yang dibagikan di antara anggota grup. Untuk situasi seperti ini, pemantauan sumber daya individu dapat menyebabkan positif palsu, sementara memantau kesehatan kelompok sumber daya tidak. 

Anda dapat mengonfigurasi grup perlindungan untuk menyertakan semua sumber daya yang dilindungi, semua sumber daya dari jenis sumber daya tertentu, atau sumber daya yang ditentukan secara individual. Sumber daya yang baru dilindungi yang memenuhi kriteria kelompok perlindungan Anda secara otomatis disertakan dalam grup perlindungan Anda. Sumber daya yang dilindungi dapat menjadi milik beberapa kelompok perlindungan. 

# Membuat grup perlindungan Shield Advanced
<a name="protection-group-creating"></a>

**Untuk membuat grup perlindungan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Sumber daya yang dilindungi**.

1. Pilih tab **Grup perlindungan**, lalu pilih **Buat grup perlindungan**. 

1. Di halaman **Buat grup perlindungan**, berikan nama untuk grup Anda. Anda akan menggunakan nama ini untuk mengidentifikasi grup dalam daftar sumber daya yang dilindungi. Anda tidak dapat mengubah nama grup perlindungan setelah Anda membuatnya. 

1. Untuk **kriteria pengelompokan Perlindungan**, pilih kriteria yang Anda inginkan untuk digunakan Shield Advanced untuk mengidentifikasi sumber daya yang dilindungi untuk disertakan dalam grup. Buat pilihan tambahan Anda berdasarkan kriteria yang Anda pilih.

1. Untuk **Agregasi**, pilih cara Anda ingin Shield Advanced menggabungkan data sumber daya untuk grup untuk mendeteksi, mengurangi, dan melaporkan peristiwa.
   + **Jumlah** — Gunakan total lalu lintas di seluruh grup. Ini adalah pilihan yang baik untuk kebanyakan kasus. Contohnya termasuk alamat IP Elastis untuk EC2 instans Amazon yang menskalakan secara manual atau otomatis. 
   + **Mean** — Gunakan rata-rata lalu lintas di seluruh grup. Ini adalah pilihan yang baik untuk sumber daya yang berbagi lalu lintas secara seragam. Contohnya termasuk akselerator dan penyeimbang beban. 
   + **Maks** — Gunakan lalu lintas tertinggi dari setiap sumber daya. Ini berguna untuk sumber daya yang tidak berbagi lalu lintas, dan untuk sumber daya yang berbagi lalu lintas dengan cara yang tidak seragam. Contohnya termasuk CloudFront distribusi Amazon dan sumber daya asal untuk CloudFront distribusi. 

1. Pilih **Simpan** untuk menyimpan grup perlindungan Anda dan kembali ke halaman **Sumber daya yang dilindungi**.

Di halaman **Shield** **Events**, Anda dapat melihat peristiwa untuk grup perlindungan dan menelusuri untuk melihat informasi tambahan untuk sumber daya yang dilindungi yang ada di grup. 

# Memperbarui grup perlindungan Shield Advanced
<a name="protection-group-updating"></a>

**Untuk memperbarui grup perlindungan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Sumber daya yang dilindungi**.

1. Di tab **Grup perlindungan**, pilih kotak centang di samping grup perlindungan yang ingin Anda ubah. 

1. Di halaman grup perlindungan, pilih **Edit**. Buat perubahan pada pengaturan grup perlindungan. 

1. Pilih **Simpan** untuk menyimpan perubahan Anda.

# Menghapus grup perlindungan Shield Advanced
<a name="protection-group-deleting"></a>

**Untuk menghapus grup perlindungan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Sumber daya yang dilindungi**.

1. Di tab **Grup perlindungan**, pilih kotak centang di samping grup perlindungan yang ingin Anda hapus. 

1. Di halaman grup perlindungan, pilih **Hapus** dan konfirmasikan tindakan. 

# Tracking Shield Perubahan perlindungan sumber daya tingkat lanjut di AWS Config
<a name="ddos-add-config"></a>

Halaman ini menjelaskan cara merekam perubahan pada AWS Shield Advanced perlindungan sumber daya Anda menggunakan AWS Config. Anda kemudian dapat menggunakan informasi ini untuk mempertahankan riwayat perubahan konfigurasi untuk tujuan audit dan pemecahan masalah.

Untuk merekam perubahan perlindungan, aktifkan AWS Config untuk setiap sumber daya yang ingin Anda lacak. Untuk informasi selengkapnya, lihat [Memulai AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html) di *Panduan Pengguna AWS Config *.

Anda harus mengaktifkan AWS Config untuk setiap Wilayah AWS yang berisi sumber daya yang dilacak. Anda dapat mengaktifkan AWS Config secara manual, atau Anda dapat menggunakan CloudFormation templat “Aktifkan AWS Config” di [Template CloudFormation StackSets Sampel](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) di *Panduan CloudFormation Pengguna*.

Jika Anda mengaktifkan AWS Config, Anda akan dikenakan biaya seperti yang dijelaskan pada halaman [AWS Config Harga](https://aws.amazon.com/config/pricing/).

**catatan**  
Jika Anda sudah AWS Config mengaktifkan Wilayah dan sumber daya yang diperlukan, Anda tidak perlu melakukan apa pun. AWS Config log mengenai perubahan perlindungan pada sumber daya Anda mulai terisi secara otomatis.

Setelah mengaktifkan AWS Config, gunakan Wilayah AS Timur (Virginia N.) di AWS Config konsol untuk melihat riwayat perubahan konfigurasi untuk sumber daya AWS Shield Advanced global. 

Lihat sejarah perubahan untuk sumber daya AWS Shield Advanced regional melalui AWS Config konsol di AS Timur (Virginia N.), AS Timur (Ohio), AS Barat (Oregon), AS Barat (California N.), Eropa (Irlandia), Eropa (Frankfurt), Asia Pasifik (Tokyo), dan Wilayah Asia Pasifik (Sydney).

# Visibilitas ke acara DDo S dengan Shield Advanced
<a name="ddos-viewing-events"></a>

AWS Shield memberikan visibilitas ke dalam kategori acara dan kegiatan acara berikut: 
+ **Global** — Semua pelanggan dapat mengakses pandangan agregat dari aktivitas ancaman global selama dua minggu terakhir. Anda dapat melihat informasi ini di bawah halaman **dasbor **Memulai** dan Ancaman Global** AWS Shield konsol. Untuk informasi selengkapnya, lihat [Melihat aktivitas AWS Shield global dan akun](ddos-standard-event-visibility.md).
+ **Akun** — Semua pelanggan dapat mengakses ringkasan acara untuk akun mereka selama tahun sebelumnya. Anda dapat melihat informasi ini di bawah halaman **Memulai** AWS Shield konsol. Untuk informasi selengkapnya, lihat [Melihat aktivitas AWS Shield global dan akun](ddos-standard-event-visibility.md).

Saat Anda berlangganan Shield Advanced dan menambahkan perlindungan ke sumber daya Anda, Anda mendapatkan akses ke informasi tambahan tentang peristiwa dan serangan DDo S pada sumber daya yang dilindungi:
+ **Acara pada sumber daya yang dilindungi** — Shield Advanced memberikan informasi terperinci untuk setiap **acara melalui halaman Acara** AWS Shield konsol. Untuk informasi selengkapnya, lihat [Melihat AWS Shield Advanced acara](ddos-events.md).
+ **Metrik peristiwa untuk sumber daya yang dilindungi** — Shield Advanced menerbitkan CloudWatch metrik Amazon deteksi, mitigasi, dan kontributor teratas untuk semua sumber daya yang dilindunginya. Anda dapat menggunakan metrik ini untuk mengonfigurasi CloudWatch dasbor dan alarm. Untuk informasi selengkapnya, lihat [AWS Shield Advanced metrik](shield-metrics.md).
+ **Visibilitas peristiwa lintas akun untuk sumber daya yang dilindungi** — Jika Anda menggunakannya AWS Firewall Manager untuk mengelola perlindungan Shield Advanced, Anda dapat mengaktifkan visibilitas ke dalam perlindungan di beberapa akun dengan menggunakan Firewall Manager yang digabungkan dengannya. AWS Security Hub CSPM Untuk informasi selengkapnya, lihat [Melihat acara Shield Advanced di beberapa acara Akun AWS dengan AWS Firewall Manager dan AWS Security Hub CSPM](ddos-viewing-multiple-accounts.md).

Jika Anda mengaktifkan mitigasi lapisan DDo S aplikasi otomatis untuk perlindungan lapisan aplikasi, Shield Advanced menambahkan grup aturan ke paket perlindungan Anda (web ACL) yang digunakan untuk mengelola perlindungan otomatis. Grup aturan ini menghasilkan AWS WAF metrik, tetapi tidak tersedia untuk dilihat. Ini sama dengan grup aturan lain yang Anda gunakan dalam paket perlindungan (web ACL) tetapi tidak dimiliki, seperti grup aturan Aturan AWS Terkelola. Untuk informasi selengkapnya tentang AWS WAF metrik, lihat[AWS WAF metrik dan dimensi](waf-metrics.md). Untuk informasi tentang opsi perlindungan Shield Advanced ini, lihat[Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md). 

**Topics**
+ [Melihat aktivitas AWS Shield global dan akun](ddos-standard-event-visibility.md)
+ [Melihat AWS Shield Advanced acara](ddos-events.md)
+ [Melihat acara Shield Advanced di beberapa acara Akun AWS dengan AWS Firewall Manager dan AWS Security Hub CSPM](ddos-viewing-multiple-accounts.md)

# Melihat aktivitas AWS Shield global dan akun
<a name="ddos-standard-event-visibility"></a>

Halaman ini memberikan petunjuk untuk mengakses tampilan agregat aktivitas ancaman global dan ringkasan peristiwa per akun di halaman dasbor **Memulai** dan ancaman **global AWS Shield ** konsol. 

Screenshot berikut menunjukkan contoh halaman **Memulai**. 

![\[AWS Shield Konsol menampilkan halaman Memulai, yang berisi ancaman global dan panel ringkasan peristiwa akun.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/shield-console-global-account.png)


**Untuk mengakses AWS Shield konsol**
+ Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

Anda tidak perlu berlangganan Shield Advanced untuk mengakses aktivitas global dan informasi ringkasan acara akun. 

**Aktivitas global**  
 Informasi ini tersedia melalui AWS Shield konsol **Dasbor ancaman global** dan halaman **Memulai**. Screenshot berikut menunjukkan contoh panel aktivitas global. 

![\[Panel AWS Shield konsol berjudul Aktivitas global yang terdeteksi oleh Shield menunjukkan peta dunia yang ditumpangkan oleh tanda peta panas untuk area di mana ancaman global telah terdeteksi dalam dua minggu terakhir.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/shield-console-global-activity.png)


Aktivitas global menggambarkan peristiwa DDo S yang diamati di semua AWS pelanggan. Sekali per jam, AWS perbarui informasi untuk dua minggu sebelumnya. Di panel konsol, Anda dapat melihat hasilnya, dipartisi berdasarkan AWS Wilayah dan ditampilkan pada peta panas dunia. Di sebelah peta, Shield menampilkan informasi ringkasan seperti serangan paket terbesar, bit rate terbesar, vektor paling umum, jumlah total serangan, dan tingkat ancaman. Tingkat ancaman adalah penilaian aktivitas global saat ini dibandingkan dengan apa yang AWS biasanya diamati. Nilai tingkat ancaman default adalah **Normal**. AWS secara otomatis memperbarui nilai ke **Tinggi** untuk aktivitas DDo S yang ditinggikan. 

**Dasbor ancaman Global** juga menyediakan metrik deret waktu dan memberi Anda kemampuan untuk mengubah antara durasi waktu. Untuk melihat riwayat serangan DDo S yang signifikan, Anda dapat menyesuaikan dasbor untuk tampilan dari hari terakhir hingga dua minggu terakhir. Metrik deret waktu memberikan tampilan bit rate, laju paket, atau tingkat permintaan terbesar untuk semua peristiwa yang terdeteksi oleh AWS Shield untuk aplikasi yang berjalan AWS selama jendela waktu yang Anda pilih. 

**Aktivitas akun**  
Informasi ini tersedia di halaman **Memulai AWS Shield ** konsol. 

Screenshot berikut menunjukkan contoh panel aktivitas akun. 

![\[Panel AWS Shield konsol berjudul Aktivitas akun yang terdeteksi oleh Shield mencantumkan ringkasan peristiwa selama setahun terakhir, dengan informasi seperti jumlah total peristiwa dan tingkat paket dan tingkat permintaan terbesar.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/shield-console-account-activity.png)


Aktivitas akun menjelaskan peristiwa DDo S yang terdeteksi Shield untuk sumber daya Anda yang memenuhi syarat untuk perlindungan oleh Shield Advanced. Setiap hari, Shield membuat metrik ringkasan untuk tahun yang berakhir pada pukul 00:00 UTC pada hari sebelumnya, dan kemudian menampilkan total peristiwa, bit rate terbesar, tarif paket terbesar, dan tingkat permintaan terbesar. 
+ Metrik peristiwa total mencerminkan setiap kali Shield mengamati atribut mencurigakan dalam lalu lintas yang ditujukan untuk aplikasi Anda. Atribut mencurigakan dapat mencakup lalu lintas yang lebih tinggi dari volume normal, lalu lintas yang tidak sesuai dengan profil historis aplikasi Anda, atau lalu lintas yang tidak cocok dengan heuristik yang ditentukan oleh Shield untuk lalu lintas aplikasi yang valid. 
+ Bit rate terbesar dan statistik laju paket terbesar tersedia untuk setiap sumber daya. 
+ Statistik tingkat permintaan terbesar hanya tersedia untuk CloudFront distribusi Amazon dan Application Load Balancer yang memiliki ACL web terkait AWS WAF .

**catatan**  
Anda juga dapat mengakses ringkasan peristiwa tingkat akun melalui operasi AWS Shield API [DescribeAttackStatistics](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DescribeAttack.html).

# Melihat AWS Shield Advanced acara
<a name="ddos-events"></a>

Halaman ini memberikan petunjuk untuk mengakses informasi tentang peristiwa di Shield Advanced.

Saat berlangganan Shield Advanced, dan melindungi sumber daya, Anda mendapatkan akses ke fitur visibilitas tambahan untuk sumber daya tersebut. Ini termasuk pemberitahuan peristiwa yang hampir real-time yang terdeteksi oleh Shield Advanced dan informasi tambahan tentang peristiwa dan mitigasi yang terdeteksi. 

**catatan**  
Informasi acara Anda di konsol Shield Advanced didasarkan pada metrik Shield Advanced. Untuk informasi tentang metrik Shield Advanced, lihat [AWS Shield Advanced metrik](shield-metrics.md) 

AWS Shield mengevaluasi lalu lintas ke sumber daya terlindungi Anda di berbagai dimensi. Ketika anomali terdeteksi, Shield Advanced membuat peristiwa terpisah untuk setiap sumber daya yang terpengaruh. 

Anda dapat mengakses ringkasan dan detail acara melalui halaman **Acara** di konsol Shield. Halaman **Acara** tingkat atas memberikan ikhtisar peristiwa saat ini dan masa lalu. 

Tangkapan layar berikut menunjukkan contoh halaman **Acara** dengan satu acara yang sedang berlangsung. Acara aktif ini juga ditandai di panel navigasi kiri. 

![\[Panel navigasi kiri AWS Shield konsol memiliki pilihan Acara yang disorot dengan warna merah, dengan angka 1 di sampingnya, di dalam lingkaran merah. Halaman Acara terbuka, dan menampilkan satu baris dalam daftar acara. Baris mencantumkan AWS sumber daya CloudFront distribusi tipe. Bidang status saat ini berisi ikon merah segitiga di sebelah kata Mitigasi yang sedang berlangsung. Bidang status vektor Serangan berisi lalu lintas UDP. Bidang waktu mulai berisi 16 Sep 2020, 14:43:00 SAST. Bidang Durasi berisi 6 menit.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/shield-console-event-summary1.png)


Shield Advanced mungkin juga secara otomatis menempatkan mitigasi terhadap serangan, tergantung pada jenis lalu lintas dan perlindungan yang dikonfigurasi. Mitigasi ini dapat melindungi sumber daya Anda dari menerima kelebihan lalu lintas atau lalu lintas yang cocok dengan tanda tangan serangan DDo S yang dikenal.

Tangkapan layar berikut menunjukkan contoh daftar **Acara** di mana semua peristiwa telah dikurangi oleh Shield Advanced atau telah mereda dengan sendirinya. 

![\[Halaman AWS Shield konsol berjudul Peristiwa mencantumkan peristiwa yang telah terdeteksi baru-baru ini dan statusnya saat ini.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/shield-console-events.png)


**Lindungi sumber daya Anda sebelum acara**  
Tingkatkan akurasi deteksi peristiwa dengan melindungi sumber daya dengan Shield Advanced saat mereka menerima lalu lintas normal yang diharapkan, sebelum mereka terkena serangan DDo S.

Untuk melaporkan peristiwa secara akurat untuk sumber daya yang dilindungi, Shield Advanced harus terlebih dahulu menetapkan dasar pola lalu lintas yang diharapkan untuk itu.
+ Shield Advanced melaporkan peristiwa lapisan infrastruktur untuk sumber daya setelah dilindungi setidaknya selama 15 menit.
+ Shield Advanced melaporkan peristiwa lapisan aplikasi web untuk sumber daya setelah dilindungi setidaknya selama 24 jam. Keakuratan deteksi untuk peristiwa lapisan aplikasi adalah yang terbaik setelah Shield Advanced mengamati lalu lintas yang diharapkan selama 30 hari. 

**Untuk mengakses informasi peristiwa di AWS Shield konsol**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Acara**. Konsol menampilkan halaman **Acara**. 

1. Dari halaman **Acara**, Anda dapat memilih acara apa pun dalam daftar untuk melihat informasi ringkasan dan detail tambahan untuk acara tersebut. 

**Topics**
+ [Daftar bidang dalam ringkasan AWS Shield Advanced acara](ddos-event-summaries.md)
+ [Melihat detail AWS Shield Advanced acara](ddos-event-details.md)

# Daftar bidang dalam ringkasan AWS Shield Advanced acara
<a name="ddos-event-summaries"></a>

Halaman ini mencantumkan dan mendefinisikan bidang dalam ringkasan acara Shield Advanced.

Anda dapat melihat ringkasan dan informasi detail untuk suatu acara di halaman konsol acara. Untuk membuka halaman acara, pilih nama AWS sumber dayanya dari daftar halaman **Acara**. 

Tangkapan layar berikut menunjukkan contoh ringkasan acara untuk acara lapisan jaringan. 

![\[Panel ringkasan halaman acara AWS Shield konsol mencantumkan informasi untuk suatu peristiwa dan menyertakan AWS sumber daya yang terpengaruh, vektor serangan, waktu mulai dan berakhir, serta informasi mitigasi dan status.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/shield-console-event-summary2.png)


Informasi ringkasan halaman acara mencakup yang berikut ini. 
+ **Status saat ini** — Nilai yang menunjukkan status acara dan tindakan yang dilakukan Shield Advanced pada acara tersebut. Nilai status berlaku untuk lapisan infrastruktur (lapisan 3 atau 4) dan lapisan aplikasi (lapisan 7) peristiwa. 
  + **Diidentifikasi (sedang berlangsung)** dan **Diidentifikasi (mereda)** — Ini menunjukkan bahwa Shield Advanced mendeteksi suatu peristiwa, tetapi sejauh ini belum mengambil tindakan terhadapnya. **Diidentifikasi (mereda)** menunjukkan bahwa lalu lintas mencurigakan yang terdeteksi Shield telah berhenti tanpa intervensi. 
  + **Mitigasi sedang berlangsung** dan **Dimitigasi** — Ini menunjukkan bahwa Shield Advanced mendeteksi suatu peristiwa dan telah mengambil tindakan terhadapnya. **Mitigated** juga digunakan ketika sumber daya yang ditargetkan adalah CloudFront distribusi Amazon atau zona yang dihosting Amazon Route 53, yang memiliki mitigasi inline otomatis mereka sendiri.
+ **Vektor serangan — Vektor** serangan DDo S seperti banjir TCP SYN dan heuristik deteksi Shield Advanced seperti banjir permintaan. Ini bisa menjadi indikator serangan DDo S. 
+ **Waktu mulai** - Tanggal dan waktu titik data lalu lintas anomali pertama terdeteksi. 
+ **Durasi atau waktu akhir** — Menunjukkan waktu yang telah berlalu antara waktu mulai peristiwa dan titik data anomali terakhir yang diamati yang diamati Shield Advanced. Sementara sebuah acara sedang berlangsung, nilai-nilai ini akan terus meningkat.
+ **Perlindungan** — Menamai perlindungan Shield Advanced yang terkait dengan sumber daya, dan menyediakan tautan ke halaman perlindungannya. Ini tersedia di halaman acara individu.
+ **Mitigasi lapisan aplikasi DDo S otomatis** — Digunakan untuk perlindungan lapisan aplikasi, untuk menunjukkan apakah mitigasi lapisan aplikasi DDo S otomatis Shield Advanced diaktifkan untuk sumber daya. Jika diaktifkan, ini menyediakan tautan untuk mengakses dan mengelola konfigurasi. Ini tersedia di halaman acara individu.
+ **Mitigasi otomatis lapisan jaringan** - Menunjukkan apakah sumber daya memiliki mitigasi otomatis pada lapisan jaringan. Jika sumber daya memiliki komponen lapisan jaringan, itu akan mengaktifkan ini. Informasi ini tersedia di halaman acara individu.

Untuk sumber daya yang sering ditargetkan, Shield dapat meninggalkan mitigasi di tempat setelah kelebihan lalu lintas telah mereda, untuk mencegah kejadian berulang lebih lanjut. 

**catatan**  
Anda juga dapat mengakses ringkasan peristiwa untuk sumber daya yang dilindungi melalui operasi AWS Shield API. [ListAttacks](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_ListAttacks.html)

# Melihat detail AWS Shield Advanced acara
<a name="ddos-event-details"></a>

Anda dapat melihat detail tentang deteksi, mitigasi, dan kontributor teratas peristiwa di bagian bawah halaman konsol untuk acara tersebut. Bagian ini dapat mencakup campuran lalu lintas yang sah dan berpotensi tidak diinginkan, dan dapat mewakili lalu lintas yang diteruskan ke sumber daya yang dilindungi dan lalu lintas yang diblokir oleh mitigasi Shield.
+ **Deteksi dan mitigasi** — Memberikan informasi tentang peristiwa yang diamati dan mitigasi yang diterapkan terhadapnya. Untuk informasi tentang mitigasi acara, lihat. [Menanggapi peristiwa DDo S di AWS](ddos-responding.md)
+ **Kontributor teratas** — Mengkategorikan lalu lintas yang terlibat dalam acara tersebut, dan mencantumkan sumber utama lalu lintas yang telah diidentifikasi Shield untuk setiap kategori. Untuk peristiwa lapisan aplikasi, gunakan informasi kontributor teratas untuk mendapatkan gambaran umum tentang sifat suatu peristiwa, tetapi gunakan AWS WAF log untuk keputusan keamanan Anda. Untuk informasi selengkapnya, lihat bagian berikut.

Informasi acara Anda di konsol Shield Advanced didasarkan pada metrik Shield Advanced. Untuk informasi tentang metrik Shield Advanced, lihat [AWS Shield Advanced metrik](shield-metrics.md) 

Metrik mitigasi tidak disertakan untuk sumber daya Amazon atau CloudFront Amazon Route 53, karena layanan ini dilindungi oleh sistem mitigasi yang selalu diaktifkan dan tidak memerlukan mitigasi untuk sumber daya individual. 

Bagian detail bervariasi sesuai dengan apakah informasi tersebut untuk lapisan infrastruktur atau peristiwa lapisan aplikasi. 

**Topics**
+ [Melihat detail acara layer aplikasi (layer 7) di Shield Advanced](ddos-event-details-application-layer.md)
+ [Melihat detail peristiwa lapisan infrastruktur (lapisan 3 atau 4) di Shield Advanced](ddos-event-details-infrastructure-layer.md)

# Melihat detail acara layer aplikasi (layer 7) di Shield Advanced
<a name="ddos-event-details-application-layer"></a>

Anda dapat melihat detail tentang deteksi, mitigasi, dan kontributor teratas peristiwa lapisan aplikasi di bagian bawah halaman konsol untuk acara tersebut. Bagian ini dapat mencakup campuran lalu lintas yang sah dan berpotensi tidak diinginkan, dan dapat mewakili lalu lintas yang diteruskan ke sumber daya yang dilindungi dan lalu lintas yang diblokir oleh mitigasi Shield Advanced. 

Detail mitigasi adalah untuk setiap aturan di ACL web yang terkait dengan sumber daya, termasuk aturan yang diterapkan secara khusus sebagai respons terhadap serangan dan aturan berbasis tingkat yang didefinisikan dalam ACL web. Jika Anda mengaktifkan mitigasi lapisan DDo S aplikasi otomatis untuk aplikasi, metrik mitigasi menyertakan metrik untuk aturan tambahan tersebut. Untuk informasi tentang perlindungan lapisan aplikasi ini, lihat[Melindungi lapisan aplikasi (layer 7) dengan AWS Shield Advanced dan AWS WAF](ddos-app-layer-protections.md).

## Deteksi dan mitigasi
<a name="ddos-event-details-application-layer-detection-mitigation"></a>

Untuk peristiwa lapisan aplikasi (lapisan 7), tab **Deteksi dan mitigasi** menunjukkan metrik deteksi yang didasarkan pada informasi yang diperoleh dari log. AWS WAF Metrik mitigasi didasarkan pada AWS WAF aturan di ACL web terkait yang dikonfigurasi untuk memblokir lalu lintas yang tidak diinginkan. 

Untuk CloudFront distribusi Amazon, Anda dapat mengonfigurasi Shield Advanced untuk menerapkan mitigasi otomatis untuk Anda. Dengan sumber daya lapisan aplikasi apa pun, Anda dapat memilih untuk menentukan aturan mitigasi Anda sendiri di ACL web Anda dan Anda dapat meminta bantuan dari Tim Respons Shield (SRT). Untuk informasi tentang opsi ini, lihat [Menanggapi peristiwa DDo S di AWS](ddos-responding.md).

Tangkapan layar berikut menunjukkan contoh metrik deteksi untuk peristiwa lapisan aplikasi yang mereda setelah beberapa jam. 

![\[Grafik metrik deteksi menunjukkan deteksi lalu lintas banjir permintaan dari pukul 11:30 hingga mereda pada pukul 16:00.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/shield-app-detection-metrics.png)


Lalu lintas peristiwa yang mereda sebelum aturan mitigasi berlaku tidak direpresentasikan dalam metrik mitigasi. Hal ini dapat menyebabkan perbedaan antara lalu lintas permintaan web yang ditampilkan dalam grafik deteksi dan metrik izinkan dan blok yang ditunjukkan dalam grafik mitigasi. 

## Kontributor teratas
<a name="ddos-event-details-application-layer-top-contributors"></a>

Tab **kontributor teratas** untuk peristiwa lapisan aplikasi menampilkan 5 kontributor teratas yang telah diidentifikasi Shield untuk acara tersebut, berdasarkan log AWS WAF yang telah diambil. Shield mengkategorikan informasi kontributor teratas berdasarkan dimensi seperti IP sumber, negara sumber, dan URL tujuan.

**catatan**  
Untuk informasi paling akurat tentang lalu lintas yang berkontribusi pada peristiwa lapisan aplikasi, gunakan AWS WAF log. 

Gunakan informasi kontributor teratas lapisan aplikasi Shield hanya untuk mendapatkan gambaran umum tentang sifat serangan, dan jangan mendasarkan keputusan keamanan Anda padanya. Untuk peristiwa lapisan aplikasi, AWS WAF log adalah sumber informasi terbaik untuk memahami kontributor serangan dan untuk merancang strategi mitigasi Anda. 

Informasi kontributor teratas Shield tidak selalu sepenuhnya mencerminkan data dalam log. AWS WAF Saat menyerap log, Shield memprioritaskan pengurangan dampak terhadap kinerja sistem daripada mengambil kumpulan data lengkap dari log. Hal ini dapat mengakibatkan hilangnya granularitas dalam data yang tersedia untuk Shield untuk analisis. Dalam kebanyakan kasus, sebagian besar informasi tersedia, tetapi mungkin saja data kontributor teratas condong ke tingkat tertentu untuk serangan apa pun. 

Tangkapan layar berikut menunjukkan contoh tab **Kontributor teratas** untuk acara lapisan aplikasi. 

![\[Tab kontributor teratas untuk peristiwa lapisan aplikasi menjelaskan 5 kontributor teratas untuk sejumlah karakteristik permintaan web. Layar menampilkan 5 alamat IP sumber teratas, 5 tujuan teratas URLs, 5 negara sumber teratas, dan 5 agen pengguna teratas.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/shield-app-event-top-contributors.png)


Informasi kontributor didasarkan pada permintaan untuk lalu lintas yang sah dan berpotensi tidak diinginkan. Peristiwa volume yang lebih besar dan peristiwa di mana sumber permintaan tidak didistribusikan secara tinggi cenderung memiliki kontributor teratas yang dapat diidentifikasi. Serangan yang didistribusikan secara signifikan dapat memiliki sejumlah sumber, sehingga sulit untuk mengidentifikasi kontributor utama serangan tersebut. Jika Shield Advanced tidak mengidentifikasi kontributor signifikan untuk kategori tertentu, maka akan menampilkan data sebagai tidak tersedia. 

# Melihat detail peristiwa lapisan infrastruktur (lapisan 3 atau 4) di Shield Advanced
<a name="ddos-event-details-infrastructure-layer"></a>

Anda dapat melihat detail tentang deteksi, mitigasi, dan kontributor teratas peristiwa lapisan infrastruktur di bagian bawah halaman konsol untuk acara tersebut. Bagian ini dapat mencakup campuran lalu lintas yang sah dan berpotensi tidak diinginkan, dan dapat mewakili lalu lintas yang diteruskan ke sumber daya yang dilindungi dan lalu lintas yang diblokir oleh mitigasi Shield. 

## Deteksi dan mitigasi
<a name="ddos-event-details-infrastructure-layer-detection-mitigation"></a>

Untuk peristiwa lapisan infrastruktur (lapisan 3 atau 4), tab **Deteksi dan mitigasi** menunjukkan metrik deteksi yang didasarkan pada aliran jaringan sampel dan metrik mitigasi yang didasarkan pada lalu lintas yang diamati oleh sistem mitigasi. Metrik mitigasi adalah pengukuran lalu lintas yang lebih tepat ke sumber daya Anda. 

Shield secara otomatis membuat mitigasi untuk jenis sumber daya yang dilindungi Elastic IP (EIP), Classic Load Balancer (CLB), Application Load Balancer (ALB), dan akselerator standar. AWS Global Accelerator Metrik mitigasi untuk alamat EIP dan akselerator AWS Global Accelerator standar menunjukkan jumlah paket yang dilewatkan dan dijatuhkan. 

Tangkapan layar berikut menunjukkan contoh **Deteksi dan mitigasi** tab untuk peristiwa lapisan infrastruktur. 

![\[Grafik deteksi dan mitigasi untuk acara jaringan menunjukkan peningkatan banjir SYN dan lalu lintas banjir paket dalam metrik deteksi, dicocokkan dengan peningkatan mitigasi yang menurunkan lalu lintas beberapa detik kemudian, dalam metrik mitigasi. Setelah sekitar tiga puluh detik peningkatan mitigasi, banjir lalu lintas berhenti.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/shield-network-event-detection-mitigation.png)


Lalu lintas peristiwa yang mereda sebelum Shield menempatkan mitigasi tidak direpresentasikan dalam metrik mitigasi. Hal ini dapat mengakibatkan perbedaan antara lalu lintas yang ditunjukkan dalam grafik deteksi dan metrik pass and drop yang ditunjukkan dalam grafik mitigasi. 

## Kontributor teratas
<a name="ddos-event-details-infrastructure-layer-top-contributors"></a>

Tab **kontributor teratas** untuk peristiwa lapisan infrastruktur mencantumkan metrik hingga 100 kontributor teratas pada beberapa dimensi lalu lintas. Rinciannya mencakup properti lapisan jaringan untuk dimensi apa pun di mana setidaknya lima sumber lalu lintas yang signifikan dapat diidentifikasi. Contoh sumber lalu lintas adalah sumber IP dan sumber ASN. 

Tangkapan layar berikut menunjukkan contoh tab **Kontributor teratas** untuk peristiwa lapisan infrastruktur. 

![\[Tab kontributor teratas untuk acara jaringan menunjukkan kategori lalu lintas yang paling berkontribusi pada acara tersebut. Kategori dalam hal ini termasuk volume berdasarkan protokol, volume berdasarkan protokol dan port tujuan, volume berdasarkan protokol dan sumber ASN, dan volume oleh bendera TCP.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/shield-network-event-top-contributors.png)


Metrik kontributor didasarkan pada aliran jaringan sampel untuk lalu lintas yang sah dan berpotensi tidak diinginkan. Peristiwa volume yang lebih besar dan peristiwa di mana sumber lalu lintas tidak didistribusikan sangat mungkin memiliki kontributor teratas yang dapat diidentifikasi. Serangan yang didistribusikan secara signifikan dapat memiliki sejumlah sumber, sehingga sulit untuk mengidentifikasi kontributor utama serangan tersebut. Jika Shield tidak mengidentifikasi kontributor signifikan untuk metrik atau kategori tertentu, Shield akan menampilkan data sebagai tidak tersedia. 

Dalam serangan lapisan infrastruktur DDo S, sumber lalu lintas mungkin dipalsukan atau dipantulkan. Sumber palsu sengaja dipalsukan oleh penyerang. Sumber yang dipantulkan adalah sumber nyata dari lalu lintas yang terdeteksi, tetapi itu bukan peserta yang bersedia dalam serangan itu. Misalnya, penyerang mungkin menghasilkan banjir lalu lintas yang besar dan diperkuat ke target dengan mencerminkan serangan layanan di internet yang biasanya sah. Dalam hal ini, informasi sumber mungkin valid sementara itu bukan sumber serangan yang sebenarnya. Faktor-faktor ini dapat membatasi kelangsungan hidup teknik mitigasi yang memblokir sumber berdasarkan header paket.

# Melihat acara Shield Advanced di beberapa acara Akun AWS dengan AWS Firewall Manager dan AWS Security Hub CSPM
<a name="ddos-viewing-multiple-accounts"></a>

Anda dapat menggunakan AWS Firewall Manager dan AWS Security Hub CSPM mengelola dan memantau sumber daya yang AWS Shield Advanced dilindungi di beberapa akun. 

Dengan Firewall Manager, Anda dapat membuat kebijakan keamanan Shield Advanced yang melaporkan dan memberlakukan kepatuhan perlindungan DDo S di semua akun Anda. Firewall Manager memantau sumber daya Anda yang dilindungi, termasuk menambahkan perlindungan ke sumber daya baru yang masuk ke dalam cakupan kebijakan Shield Advanced. 

Anda dapat mengintegrasikan Firewall Manager AWS Security Hub CSPM untuk mendapatkan satu dasbor yang melaporkan peristiwa DDo S yang terdeteksi oleh temuan kepatuhan Shield Advanced dan Firewall Manager, saat Firewall Manager mengidentifikasi sumber daya yang tidak sesuai dengan kebijakan keamanan Shield Advanced Anda. 

Gambar berikut menggambarkan arsitektur khas untuk memantau sumber daya yang dilindungi Shield Advanced dengan Firewall Manager dan Security Hub CSPM. 

![\[Di bagian atas gambar adalah AWS Organizations ikon. Ini memiliki panah menunjuk ke bawah yang membelah untuk menunjuk ke dua ikon yang berdampingan. Ikon kiri memiliki judul Production OU dan ikon kanan memiliki judulSecurity OU. Di bawah ikon ini terdapat tiga ikon, berjudul dari kiri ke kanan: AWS Shield Advanced, AWS Firewall Manager, dan AWS Security Hub CSPM. Ikon OU produksi memiliki panah yang mengarah ke ikon Shield Advanced. Ikon keamanan OU memiliki panah yang mengarah ke bawah yang membelah untuk menunjuk ke ikon Firewall Manager dan Security Hub CSPM. Ikon Shield Advanced memiliki panah yang menunjuk ke bawah ke persegi panjang dengan judul. Shield Advanced protected resources Di dalam persegi panjang terdapat ikon untuk Application Load Balancer CloudFront, distribusi, dan alamat IP Elastis. Ikon Firewall Manager juga memiliki panah yang mengarah ke Shield Advanced protected resources persegi panjang, dan diberi label. Enforces compliance of protected resources Ikon Shield Advanced memiliki panah horizontal yang menunjuk ke ikon Firewall Manager yang diberi labelDDoS alarm. Ikon Firewall Manager memiliki panah horizontal yang mengarah ke kanannya, ke ikon CSPM Security Hub yang diberi label. DDoS alarm and compliance findings\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/shield-arch-fms-ash-integration.png)


Saat mengintegrasikan Firewall Manager dengan Security Hub CSPM, Anda dapat melihat temuan keamanan di satu tempat, di samping peringatan dan informasi status kepatuhan lainnya untuk aplikasi yang Anda jalankan. AWS

Tangkapan layar berikut menyoroti informasi yang dapat Anda lihat untuk acara Shield Advanced di dalam konsol CSPM Security Hub saat Anda memiliki integrasi jenis ini. 

![\[Tangkapan layar menunjukkan halaman Temuan konsol CSPM Security Hub, dengan subjudul Temuan adalah masalah keamanan atau pemeriksaan keamanan yang gagal. . Bagian ini memiliki garis merah yang menyoroti string: Judul EQUALS Shield Advanced mendeteksi serangan terhadap sumber daya yang dipantau dan nama Produk EQUAL Firewall Manager. Layar menunjukkan serangkaian detail tentang serangan spesifik dan statusnya.\]](http://docs.aws.amazon.com/id_id/waf/latest/developerguide/images/shield-console-security-hub-event.png)


Untuk mempelajari cara mengintegrasikan Firewall Manager dan Security Hub CSPM dengan Shield Advanced untuk memusatkan acara dan pemantauan kepatuhan di seluruh akun Anda yang dilindungi, lihat blog AWS keamanan [Mengatur pemantauan terpusat untuk peristiwa DDo S dan](https://aws.amazon.com/blogs/security/set-up-centralized-monitoring-for-ddos-events-and-auto-remediate-noncompliant-resources/) memulihkan sumber daya yang tidak sesuai secara otomatis. 

# Menanggapi peristiwa DDo S di AWS
<a name="ddos-responding"></a>

Halaman ini menjelaskan bagaimana AWS merespons serangan DDo S, dan menyediakan opsi untuk bagaimana Anda dapat merespons lebih lanjut.

AWS secara otomatis mengurangi serangan jaringan dan transport layer (layer 3 dan layer 4) DDo S. Jika Anda menggunakan Shield Advanced untuk melindungi EC2 instans Amazon Anda, selama serangan Shield Advanced secara otomatis menyebarkan jaringan VPC Amazon Anda ACLs ke perbatasan jaringan. AWS Hal ini memungkinkan Shield Advanced untuk memberikan perlindungan terhadap peristiwa DDo S yang lebih besar. Untuk informasi selengkapnya tentang jaringan ACLs, lihat [Jaringan ACLs](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html).

Untuk serangan lapisan aplikasi (lapisan 7) DDo S, AWS upaya untuk mendeteksi dan memberi tahu AWS Shield Advanced pelanggan melalui CloudWatch alarm. Secara default, itu tidak secara otomatis menerapkan mitigasi, untuk menghindari pemblokiran lalu lintas pengguna yang valid secara tidak sengaja. 

Untuk sumber daya lapisan aplikasi (lapisan 7), Anda memiliki opsi berikut yang tersedia untuk merespons serangan. 
+ **Berikan mitigasi Anda sendiri** — Anda dapat menyelidiki dan mengurangi serangan Anda sendiri. Untuk informasi, lihat [Memitigasi serangan lapisan S aplikasi secara manual DDo](ddos-responding-manual.md). 
+ **Hubungi dukungan** — Jika Anda adalah pelanggan Shield Advanced, Anda dapat menghubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/) untuk mendapatkan bantuan terkait mitigasi. Kasus kritis dan mendesak diarahkan langsung ke para ahli DDo S. Untuk informasi, lihat [Menghubungi pusat dukungan selama serangan lapisan DDo S aplikasi](ddos-responding-contact-support.md). 

Selain itu, sebelum serangan terjadi, Anda dapat secara proaktif mengaktifkan opsi mitigasi berikut: 
+ **Mitigasi otomatis pada CloudFront distribusi Amazon** — Dengan opsi ini, Shield Advanced mendefinisikan dan mengelola aturan mitigasi untuk Anda di ACL web Anda. Untuk informasi tentang mitigasi lapisan aplikasi otomatis, lihat. [Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md) 
+ **Keterlibatan proaktif** — Ketika AWS Shield Advanced mendeteksi serangan lapisan aplikasi besar terhadap salah satu aplikasi Anda, SRT dapat secara proaktif menghubungi Anda. SRT melakukan triase acara DDo S dan menciptakan AWS WAF mitigasi. SRT menghubungi Anda dan, dengan persetujuan Anda, dapat menerapkan AWS WAF aturan. Untuk informasi selengkapnya tentang metrik ini, lihat [Menyiapkan keterlibatan proaktif untuk SRT untuk menghubungi Anda secara langsung](ddos-srt-proactive-engagement.md).

# Menghubungi pusat dukungan selama serangan lapisan DDo S aplikasi
<a name="ddos-responding-contact-support"></a>

Halaman ini memberikan instruksi untuk menghubungi pusat dukungan selama serangan lapisan DDo S aplikasi.

Jika Anda seorang AWS Shield Advanced pelanggan, Anda dapat menghubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/) untuk mendapatkan bantuan terkait mitigasi. Kasus kritis dan mendesak diarahkan langsung ke para ahli DDo S. Dengan AWS Shield Advanced, kasus kompleks dapat ditingkatkan ke AWS Shield Response Team (SRT), yang memiliki pengalaman mendalam dalam melindungi, Amazon.com AWS, dan anak perusahaannya. Untuk informasi lebih lanjut tentang SRT, lihat[Respons acara DDo S terkelola dengan dukungan Shield Response Team (SRT)](ddos-srt-support.md).

Untuk mendapatkan dukungan Shield Response Team (SRT), hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). Waktu respons untuk kasus Anda bergantung pada tingkat keparahan yang Anda pilih dan waktu respons, yang didokumentasikan pada halaman [AWS Dukungan Paket](https://aws.amazon.com/premiumsupport/compare-plans/).

Pilih opsi berikut:
+ Jenis kasus: Technical Support
+ Layanan: Penolakan Layanan Terdistribusi (DDoS)
+ Kategori: Inbound ke AWS
+ Keparahan: *Pilih opsi yang sesuai*

Saat berdiskusi dengan perwakilan kami, jelaskan bahwa Anda adalah AWS Shield Advanced pelanggan yang mengalami kemungkinan serangan DDo S. Perwakilan kami akan mengarahkan panggilan Anda ke ahli DDo S yang sesuai. Jika Anda membuka kasus dengan [AWS Dukungan Center](https://console.aws.amazon.com/support/home#/) menggunakan jenis layanan **Distributed Denial of Service (DDoS)**, Anda dapat berbicara langsung dengan pakar DDo S melalui obrolan atau telepon. DDoInsinyur dukungan S dapat membantu Anda mengidentifikasi serangan, merekomendasikan perbaikan pada AWS arsitektur Anda, dan memberikan panduan dalam penggunaan AWS layanan untuk mitigasi serangan DDo S.

Untuk serangan lapisan aplikasi, SRT dapat membantu Anda menganalisis aktivitas yang mencurigakan. Jika Anda mengaktifkan mitigasi otomatis untuk sumber daya Anda, SRT dapat meninjau mitigasi yang secara otomatis ditempatkan Shield Advanced terhadap serangan tersebut. Bagaimanapun, SRT dapat membantu Anda meninjau dan mengurangi masalah. Mitigasi yang direkomendasikan SRT sering memerlukan SRT untuk membuat atau memperbarui daftar kontrol akses AWS WAF web (web ACLs) di akun Anda. SRT akan membutuhkan izin Anda untuk melakukan pekerjaan ini. 

**penting**  
Kami menyarankan bahwa sebagai bagian dari mengaktifkan AWS Shield Advanced, Anda mengikuti langkah-langkah [Memberikan akses untuk SRT](ddos-srt-access.md) untuk secara proaktif memberikan SRT dengan izin yang mereka butuhkan untuk membantu Anda selama serangan. Memberikan izin sebelumnya membantu mencegah penundaan jika terjadi serangan yang sebenarnya.

SRT membantu Anda melakukan triase serangan DDo S untuk mengidentifikasi tanda tangan dan pola serangan. Dengan persetujuan Anda, SRT membuat dan menyebarkan AWS WAF aturan untuk mengurangi serangan.

Anda juga dapat menghubungi SRT sebelum atau selama kemungkinan serangan untuk meninjau mitigasi dan mengembangkan dan menerapkan mitigasi khusus. Misalnya, jika Anda menjalankan aplikasi web dan hanya membutuhkan port 80 dan 443 terbuka, Anda dapat bekerja dengan SRT untuk mengkonfigurasi ACL web untuk “mengizinkan” hanya port 80 dan 443.

Anda mengotorisasi dan menghubungi SRT di tingkat akun. Artinya, jika Anda menggunakan Shield Advanced dalam kebijakan Firewall Manager Shield Advanced, pemilik akun, bukan administrator Firewall Manager, harus menghubungi SRT untuk mendapatkan dukungan. Administrator Firewall Manager dapat menghubungi SRT hanya untuk akun yang mereka miliki.

# Memitigasi serangan lapisan S aplikasi secara manual DDo
<a name="ddos-responding-manual"></a>

Halaman ini memberikan instruksi untuk mengurangi serangan lapisan DDo S aplikasi secara manual.

Jika Anda menentukan bahwa aktivitas di halaman peristiwa untuk sumber daya Anda mewakili serangan DDo S, Anda dapat membuat AWS WAF aturan sendiri di ACL web Anda untuk mengurangi serangan. Ini adalah satu-satunya pilihan yang tersedia jika Anda bukan pelanggan Shield Advanced. AWS WAF sudah termasuk tanpa AWS Shield Advanced biaya tambahan. Untuk informasi tentang membuat aturan di ACL web Anda, lihat[Mengkonfigurasi perlindungan di AWS WAF](web-acl.md).

Jika Anda menggunakan AWS Firewall Manager, Anda dapat menambahkan AWS WAF aturan Anda ke AWS WAF kebijakan Firewall Manager.

**Untuk secara manual mengurangi potensi serangan lapisan DDo aplikasi S**

1. Buat pernyataan aturan di ACL web Anda dengan kriteria yang cocok dengan perilaku yang tidak biasa. Untuk memulainya, konfigurasikan mereka untuk menghitung permintaan yang cocok. Untuk informasi tentang mengonfigurasi ACL web dan pernyataan aturan, lihat [Menggunakan paket perlindungan (web ACLs) dengan aturan dan grup aturan di AWS WAF](web-acl-processing.md) dan. [Menguji dan menyetel perlindungan Anda AWS WAF](web-acl-testing.md)
**catatan**  
Selalu uji aturan Anda terlebih dahulu dengan awalnya menggunakan tindakan aturan Count alih-alihBlock. Setelah Anda merasa nyaman bahwa aturan baru Anda mengidentifikasi permintaan yang benar, Anda dapat memodifikasinya untuk memblokir permintaan. 

1. Pantau jumlah permintaan untuk menentukan apakah Anda ingin memblokir permintaan yang cocok. Jika volume permintaan terus sangat tinggi dan Anda yakin bahwa aturan Anda menangkap permintaan yang menyebabkan volume tinggi, ubah aturan di ACL web Anda untuk memblokir permintaan. 

1. Lanjutkan memantau halaman acara untuk memastikan bahwa lalu lintas Anda ditangani seperti yang Anda inginkan. 

AWS menyediakan template yang telah dikonfigurasi untuk membantu Anda memulai dengan cepat. Template mencakup seperangkat AWS WAF aturan yang dapat Anda sesuaikan dan gunakan untuk memblokir serangan berbasis web yang umum. Untuk informasi selengkapnya, lihat [Otomasi AWS WAF Keamanan](https://aws.amazon.com/solutions/aws-waf-security-automations/).

# Meminta kredit AWS Shield Advanced setelah serangan
<a name="ddos-request-service-credit"></a>

Jika Anda berlangganan AWS Shield Advanced dan mengalami serangan DDo S yang meningkatkan pemanfaatan sumber daya yang dilindungi Shield Advanced, Anda dapat meminta kredit layanan Shield Advanced untuk biaya yang terkait dengan peningkatan pemanfaatan, sejauh tidak dikurangi oleh Shield Advanced. 

**catatan**  
Anda dapat menerapkan kredit apa pun yang diterima melalui proses ini hanya untuk penggunaan Shield Advanced. Kredit Shield Advanced tidak tersedia untuk digunakan dengan layanan lain.

Kredit hanya tersedia untuk jenis biaya berikut: 
+ Shield Transfer data lanjutan 
+ Permintaan Amazon CloudFront HTTP/HTTPS 
+ CloudFront transfer data keluar 
+ Kueri Amazon Route 53 
+ AWS Global Accelerator transfer data akselerator standar 
+ Unit kapasitas penyeimbang beban untuk Application Load Balancer 
+ Biaya instans untuk instans Amazon Elastic Compute Cloud (Amazon EC2) yang dilindungi yang dibuat oleh kebijakan auto-scaling sebagai respons terhadap serangan

**Prasyarat untuk meminta kredit**  
Agar memenuhi syarat untuk menerima kredit, sebelum serangan dimulai, Anda harus melakukan hal berikut: 
+ Anda harus telah menambahkan perlindungan Shield Advanced ke sumber daya yang ingin Anda minta kreditnya. Sumber daya yang dilindungi yang ditambahkan selama serangan tidak memenuhi syarat untuk perlindungan biaya. 
**catatan**  
Mengaktifkan Shield Advanced pada Anda Akun AWS tidak secara otomatis mengaktifkan perlindungan Shield Advanced untuk sumber daya individu. 

  Untuk informasi selengkapnya tentang cara melindungi AWS sumber daya menggunakan Shield Advanced, lihat[Menambahkan AWS Shield Advanced perlindungan ke AWS sumber daya](configure-new-protection.md).
+ Untuk sumber daya yang berlaku CloudFront dan Application Load Balancer yang dilindungi, Anda harus mengaitkan ACL AWS WAF web dan menerapkan aturan berbasis tarif di ACL web dalam mode. Block Untuk informasi tentang AWS WAF aturan berbasis tarif, lihat. [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md) Untuk informasi tentang cara mengaitkan web ACLs dengan AWS sumber daya, lihat[Mengkonfigurasi perlindungan di AWS WAF](web-acl.md). 
+ Anda harus telah menerapkan praktik terbaik yang sesuai dalam [Praktik AWS Terbaik untuk Ketahanan DDo S](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency) untuk mengonfigurasi aplikasi Anda dengan cara yang meminimalkan biaya selama serangan S. DDo 

**Cara mengajukan kredit**  
Agar memenuhi syarat untuk kredit, Anda harus mengirimkan permintaan kredit Anda dalam jangka waktu 15 hari segera setelah bulan penagihan di mana serangan terjadi.

Untuk mengajukan kredit, kirimkan kasus penagihan melalui [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/). Sertakan yang berikut ini dalam permintaan Anda: 
+ Kata-kata "DDoS Concession” di baris subjek
+ Tanggal dan waktu setiap acara atau gangguan ketersediaan yang Anda minta kredit
+  AWS Layanan dan sumber daya spesifik yang terpengaruh 

Setelah Anda mengirimkan permintaan, Tim Respons AWS Shield (SRT) akan memvalidasi apakah serangan DDo S terjadi dan, jika demikian, apakah ada sumber daya yang dilindungi yang diskalakan untuk menyerap serangan S. DDo Jika AWS menentukan bahwa sumber daya yang dilindungi diskalakan untuk menyerap serangan DDo S, AWS akan mengeluarkan kredit untuk bagian lalu lintas yang AWS menentukan disebabkan oleh serangan DDo S. Kredit berlaku selama 12 bulan.

# Keamanan dalam penggunaan AWS Shield layanan Anda
<a name="shd-security"></a>

Bagian ini menjelaskan bagaimana model tanggung jawab bersama berlaku AWS Shield.

Keamanan cloud di AWS adalah prioritas tertinggi. Sebagai AWS pelanggan, Anda mendapat manfaat dari pusat data dan arsitektur jaringan yang dibangun untuk memenuhi persyaratan organisasi yang paling sensitif terhadap keamanan.

**catatan**  
Bagian ini memberikan panduan AWS keamanan standar untuk penggunaan Anda atas AWS Shield layanan dan AWS sumber dayanya, seperti perlindungan Shield Advanced.   
Untuk informasi tentang melindungi AWS sumber daya Anda menggunakan Shield dan Shield Advanced, lihat AWS Shield panduan lainnya. 

Keamanan adalah tanggung jawab bersama antara Anda AWS dan Anda. [Model tanggung jawab bersama](https://aws.amazon.com/compliance/shared-responsibility-model/) menggambarkan hal ini sebagai keamanan *dari* cloud dan keamanan *di* cloud:
+ **Keamanan cloud** — AWS bertanggung jawab untuk melindungi infrastruktur yang menjalankan AWS layanan di AWS Cloud. AWS juga memberi Anda layanan yang dapat Anda gunakan dengan aman. Efektivitas keamanan kami diuji dan diverifikasi secara rutin oleh auditor pihak ketiga sebagai bagian dari [program kepatuhan AWS](https://aws.amazon.com/compliance/programs/). Untuk mempelajari tentang program kepatuhan yang berlaku untuk Shield, lihat [AWS Layanan dalam Lingkup berdasarkan Program Kepatuhan](https://aws.amazon.com/compliance/services-in-scope/).
+ **Keamanan di cloud** — Tanggung jawab Anda ditentukan oleh AWS layanan yang Anda gunakan. Anda juga bertanggung jawab atas faktor-faktor lain termasuk sensitivitas data, kebutuhan organisasi, serta undang-undang dan peraturan yang berlaku. 

Dokumentasi ini membantu Anda memahami cara menerapkan model tanggung jawab bersama saat menggunakan Shield. Topik berikut menunjukkan cara mengonfigurasi Shield untuk memenuhi tujuan keamanan dan kepatuhan Anda. Anda juga mempelajari cara menggunakan AWS layanan lain yang membantu Anda memantau dan mengamankan sumber daya Shield Anda. 

**Topics**
+ [Melindungi data Anda di Shield](shd-data-protection.md)
+ [Menggunakan IAM dengan AWS Shield](shd-security-iam.md)
+ [Pencatatan dan pemantauan di Shield](shd-incident-response.md)
+ [Memvalidasi kepatuhan di Shield](shd-security-compliance.md)
+ [Membangun ketahanan di Shield](shd-disaster-recovery-resiliency.md)
+ [Keamanan infrastruktur di AWS Shield](shd-infrastructure-security.md)

# Melindungi data Anda di Shield
<a name="shd-data-protection"></a>

Bagian ini menjelaskan bagaimana model tanggung jawab AWS bersama berlaku untuk perlindungan data di Shield.

[Model tanggung jawab AWS bersama model](https://aws.amazon.com/compliance/shared-responsibility-model/) berlaku untuk perlindungan data di AWS Shield. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam [Pertanyaan Umum Privasi Data](https://aws.amazon.com/compliance/data-privacy-faq/). Lihat informasi tentang perlindungan data di Eropa di pos blog [Model Tanggung Jawab Bersama dan GDPR AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) di *Blog Keamanan AWS *.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
+ Gunakan autentikasi multi-faktor (MFA) pada setiap akun.
+ Gunakan SSL/TLS untuk berkomunikasi dengan AWS sumber daya. Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat [Bekerja dengan CloudTrail jejak](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) di *AWS CloudTrail Panduan Pengguna*.
+ Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
+ Gunakan layanan keamanan terkelola tingkat lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
+ Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-3 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi selengkapnya tentang titik akhir FIPS yang tersedia di [Standar Pemrosesan Informasi Federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang **Nama**. Ini termasuk saat Anda bekerja dengan Shield atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.

Entitas Shield — seperti perlindungan — dienkripsi saat istirahat, kecuali di Wilayah tertentu di mana enkripsi tidak tersedia, termasuk Tiongkok (Beijing) dan Tiongkok (Ningxia). Kunci enkripsi unik digunakan untuk setiap Wilayah. 

# Menggunakan IAM dengan AWS Shield
<a name="shd-security-iam"></a>

Bagian ini menjelaskan cara menggunakan IAM dengan AWS Shield.



AWS Identity and Access Management (IAM) adalah Layanan AWS yang membantu administrator mengontrol akses ke AWS sumber daya dengan aman. Administrator IAM mengontrol siapa yang dapat *diautentikasi* (masuk) dan *diberi wewenang* (memiliki izin) untuk menggunakan sumber daya Shield. IAM adalah Layanan AWS yang dapat Anda gunakan tanpa biaya tambahan.

**Topics**
+ [Audiens](#security_iam_audience)
+ [Mengautentikasi dengan identitas](#security_iam_authentication)
+ [Mengelola akses menggunakan kebijakan](#security_iam_access-manage)
+ [Bagaimana AWS Shield bekerja dengan IAM](shd-security_iam_service-with-iam.md)
+ [Contoh kebijakan berbasis identitas untuk AWS Shield](shd-security_iam_id-based-policy-examples.md)
+ [AWS kebijakan terkelola untuk AWS Shield](shd-security-iam-awsmanpol.md)
+ [Memecahkan masalah AWS Shield identitas dan akses](shd-security_iam_troubleshoot.md)
+ [Menggunakan peran terkait layanan untuk Shield Advanced](shd-using-service-linked-roles.md)

## Audiens
<a name="security_iam_audience"></a>

Cara Anda menggunakan AWS Identity and Access Management (IAM) berbeda, tergantung pada pekerjaan yang Anda lakukan di Shield.

**Pengguna layanan** — Jika Anda menggunakan layanan Shield untuk melakukan pekerjaan Anda, administrator Anda memberi Anda kredensi dan izin yang Anda butuhkan. Saat Anda menggunakan lebih banyak fitur Shield untuk melakukan pekerjaan Anda, Anda mungkin memerlukan izin tambahan. Memahami cara akses dikelola dapat membantu Anda meminta izin yang tepat dari administrator Anda. Jika Anda tidak dapat mengakses fitur di Shield, lihat[Memecahkan masalah AWS Shield identitas dan akses](shd-security_iam_troubleshoot.md).

**Administrator layanan** — Jika Anda bertanggung jawab atas sumber daya Shield di perusahaan Anda, Anda mungkin memiliki akses penuh ke Shield. Tugas Anda adalah menentukan fitur dan sumber daya Shield mana yang harus diakses pengguna layanan Anda. Kemudian, Anda harus mengirimkan permintaan kepada administrator IAM untuk mengubah izin pengguna layanan Anda. Tinjau informasi di halaman ini untuk memahami konsep dasar IAM. Untuk mempelajari lebih lanjut tentang bagaimana perusahaan Anda dapat menggunakan IAM dengan Shield, lihat[Bagaimana AWS Shield bekerja dengan IAM](shd-security_iam_service-with-iam.md).

**Administrator IAM** - Jika Anda administrator IAM, Anda mungkin ingin mempelajari detail tentang cara menulis kebijakan untuk mengelola akses ke Shield. Untuk melihat contoh kebijakan berbasis identitas Shield yang dapat Anda gunakan di IAM, lihat. [Contoh kebijakan berbasis identitas untuk AWS Shield](shd-security_iam_id-based-policy-examples.md)

## Mengautentikasi dengan identitas
<a name="security_iam_authentication"></a>

Otentikasi adalah cara Anda masuk AWS menggunakan kredensi identitas Anda. Anda harus diautentikasi sebagai Pengguna root akun AWS, pengguna IAM, atau dengan mengasumsikan peran IAM.

Anda dapat masuk sebagai identitas federasi menggunakan kredensil dari sumber identitas seperti AWS IAM Identity Center (Pusat Identitas IAM), autentikasi masuk tunggal, atau kredensional. Google/Facebook Untuk informasi selengkapnya tentang cara masuk, lihat [Cara masuk ke Akun AWS Anda](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dalam *Panduan Pengguna AWS Sign-In *.

Untuk akses terprogram, AWS sediakan SDK dan CLI untuk menandatangani permintaan secara kriptografis. Untuk informasi selengkapnya, lihat [AWS Signature Version 4 untuk permintaan API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dalam *Panduan Pengguna IAM*.

### Akun AWS pengguna root
<a name="security_iam_authentication-rootuser"></a>

 Saat Anda membuat Akun AWS, Anda mulai dengan satu identitas masuk yang disebut *pengguna Akun AWS root* yang memiliki akses lengkap ke semua Layanan AWS dan sumber daya. Kami sangat menyarankan agar Anda tidak menggunakan pengguna root untuk tugas sehari-hari. Untuk tugas yang memerlukan kredensial pengguna root, lihat [Tugas yang memerlukan kredensial pengguna root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dalam *Panduan Pengguna IAM*. 

### Identitas terfederasi
<a name="security_iam_authentication-federated"></a>

Sebagai praktik terbaik, mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses Layanan AWS menggunakan kredensi sementara.

*Identitas federasi* adalah pengguna dari direktori perusahaan Anda, penyedia identitas web, atau Directory Service yang mengakses Layanan AWS menggunakan kredensil dari sumber identitas. Identitas terfederasi mengambil peran yang memberikan kredensial sementara.

Untuk manajemen akses terpusat, kami menyarankan AWS IAM Identity Center. Untuk informasi selengkapnya, lihat [Apa itu Pusat Identitas IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dalam *Panduan Pengguna AWS IAM Identity Center *.

### Pengguna dan grup IAM
<a name="security_iam_authentication-iamuser"></a>

*[Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* adalah identitas dengan izin khusus untuk satu orang atau aplikasi. Sebaiknya gunakan kredensial sementara alih-alih pengguna IAM dengan kredensial jangka panjang. Untuk informasi selengkapnya, lihat [Mewajibkan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS menggunakan kredensi sementara](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) di Panduan Pengguna *IAM*.

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) menentukan kumpulan pengguna IAM dan mempermudah pengelolaan izin untuk pengguna dalam jumlah besar. Untuk mempelajari selengkapnya, lihat [Kasus penggunaan untuk pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dalam *Panduan Pengguna IAM*.

### Peran IAM
<a name="security_iam_authentication-iamrole"></a>

*[Peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* adalah identitas dengan izin khusus yang menyediakan kredensial sementara. Anda dapat mengambil peran dengan [beralih dari pengguna ke peran IAM (konsol)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) atau dengan memanggil operasi AWS CLI atau AWS API. Untuk informasi selengkapnya, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.

Peran IAM berguna untuk akses pengguna terfederasi, izin pengguna IAM sementara, akses lintas akun, akses lintas layanan, dan aplikasi yang berjalan di Amazon EC2. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

## Mengelola akses menggunakan kebijakan
<a name="security_iam_access-manage"></a>

Anda mengontrol akses AWS dengan membuat kebijakan dan melampirkannya ke AWS identitas atau sumber daya. Kebijakan menentukan izin saat dikaitkan dengan identitas atau sumber daya. AWS mengevaluasi kebijakan ini ketika kepala sekolah membuat permintaan. Sebagian besar kebijakan disimpan AWS sebagai dokumen JSON. Untuk informasi selengkapnya tentang dokumen kebijakan JSON, lihat [Gambaran umum kebijakan JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dalam *Panduan Pengguna IAM*.

Menggunakan kebijakan, administrator menentukan siapa yang memiliki akses ke apa dengan mendefinisikan **principal** mana yang dapat melakukan **tindakan** pada **sumber daya** apa, dan dalam **kondisi** apa.

Secara default, pengguna dan peran tidak memiliki izin. Administrator IAM membuat kebijakan IAM dan menambahkannya ke peran, yang kemudian dapat diambil oleh pengguna. Kebijakan IAM mendefinisikan izin terlepas dari metode yang Anda gunakan untuk melakukan operasinya.

### Kebijakan berbasis identitas
<a name="security_iam_access-manage-id-based-policies"></a>

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang Anda lampirkan ke identitas (pengguna, grup, atau peran). Kebijakan ini mengontrol tindakan apa yang bisa dilakukan oleh identitas tersebut, terhadap sumber daya yang mana, dan dalam kondisi apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.

Kebijakan berbasis identitas dapat berupa *kebijakan inline* (disematkan langsung ke dalam satu identitas) atau *kebijakan terkelola* (kebijakan mandiri yang dilampirkan pada banyak identitas). Untuk mempelajari cara memilih antara kebijakan terkelola dan kebijakan inline, lihat [Pilih antara kebijakan terkelola dan kebijakan inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dalam *Panduan Pengguna IAM*.

### Kebijakan berbasis sumber daya
<a name="security_iam_access-manage-resource-based-policies"></a>

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contohnya termasuk *kebijakan kepercayaan peran IAM* dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya.

Kebijakan berbasis sumber daya merupakan kebijakan inline yang terletak di layanan tersebut. Anda tidak dapat menggunakan kebijakan AWS terkelola dari IAM dalam kebijakan berbasis sumber daya.

### Daftar kontrol akses (ACLs)
<a name="security_iam_access-manage-acl"></a>

Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.

Amazon S3, AWS WAF, dan Amazon VPC adalah contoh layanan yang mendukung. ACLs Untuk mempelajari selengkapnya ACLs, lihat [Ringkasan daftar kontrol akses (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) di *Panduan Pengembang Layanan Penyimpanan Sederhana Amazon*.

### Jenis-jenis kebijakan lain
<a name="security_iam_access-manage-other-policies"></a>

AWS mendukung jenis kebijakan tambahan yang dapat menetapkan izin maksimum yang diberikan oleh jenis kebijakan yang lebih umum:
+ **Batasan izin** – Menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas IAM. Untuk informasi selengkapnya, lihat [Batasan izin untuk entitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dalam *Panduan Pengguna IAM*.
+ **Kebijakan kontrol layanan (SCPs)** — Tentukan izin maksimum untuk organisasi atau unit organisasi di AWS Organizations. Untuk informasi selengkapnya, lihat [Kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dalam *Panduan Pengguna AWS Organizations *.
+ **Kebijakan kontrol sumber daya (RCPs)** — Tetapkan izin maksimum yang tersedia untuk sumber daya di akun Anda. Untuk informasi selengkapnya, lihat [Kebijakan kontrol sumber daya (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) di *Panduan AWS Organizations Pengguna*.
+ **Kebijakan sesi** – Kebijakan lanjutan yang diteruskan sebagai parameter saat membuat sesi sementara untuk peran atau pengguna terfederasi. Untuk informasi selengkapnya, lihat [Kebijakan sesi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dalam *Panduan Pengguna IAM*.

### Berbagai jenis kebijakan
<a name="security_iam_access-manage-multiple-policies"></a>

Ketika beberapa jenis kebijakan berlaku pada suatu permintaan, izin yang dihasilkan lebih rumit untuk dipahami. Untuk mempelajari cara AWS menentukan apakah akan mengizinkan permintaan saat beberapa jenis kebijakan terlibat, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.

# Bagaimana AWS Shield bekerja dengan IAM
<a name="shd-security_iam_service-with-iam"></a>

Bagian ini menjelaskan cara menggunakan fitur IAM dengan AWS Shield.

Sebelum Anda menggunakan IAM untuk mengelola akses ke Shield, pelajari fitur IAM yang tersedia untuk digunakan dengan Shield.






**Fitur IAM yang dapat Anda gunakan AWS Shield**  

| Fitur IAM | Dukungan Shield | 
| --- | --- | 
|  [Kebijakan berbasis identitas](#shd-security_iam_service-with-iam-id-based-policies)  |   Ya  | 
|  [Kebijakan berbasis sumber daya](#shd-security_iam_service-with-iam-resource-based-policies)  |   Tidak   | 
|  [Tindakan kebijakan](#shd-security_iam_service-with-iam-id-based-policies-actions)  |   Ya  | 
|  [Sumber daya kebijakan](#shd-security_iam_service-with-iam-id-based-policies-resources)  |   Ya  | 
|  [kunci-kunci persyaratan kebijakan (spesifik layanan)](#shd-security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Ya  | 
|  [ACLs](#shd-security_iam_service-with-iam-acls)  |   Tidak   | 
|  [ABAC (tanda dalam kebijakan)](#shd-security_iam_service-with-iam-tags)  |   Parsial  | 
|  [Kredensial sementara](#shd-security_iam_service-with-iam-roles-tempcreds)  |   Ya  | 
|  [Sesi akses teruskan (FAS)](#shd-security_iam_service-with-iam-principal-permissions)  |   Ya  | 
|  [Peran layanan](#shd-security_iam_service-with-iam-roles-service)  |   Ya  | 
|  [Peran terkait layanan](#shd-security_iam_service-with-iam-roles-service-linked)  |   Ya  | 

Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja Shield dan AWS layanan lainnya dengan sebagian besar fitur IAM, lihat [AWS layanan yang bekerja dengan IAM di Panduan Pengguna *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).

## Kebijakan berbasis identitas untuk Shield
<a name="shd-security_iam_service-with-iam-id-based-policies"></a>

Bagian ini memberikan contoh kebijakan berbasis identitas untuk. AWS Shield

**Mendukung kebijakan berbasis identitas**: Ya

Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.

Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.

Untuk melihat contoh kebijakan berbasis identitas Shield, lihat. [Contoh kebijakan berbasis identitas untuk AWS Shield](shd-security_iam_id-based-policy-examples.md)

## Kebijakan berbasis sumber daya dalam Shield
<a name="shd-security_iam_service-with-iam-resource-based-policies"></a>

**Mendukung kebijakan berbasis sumber daya:** Tidak 

Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah *kebijakan kepercayaan peran* IAM dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau. Layanan AWS

Untuk mengaktifkan akses lintas akun, Anda dapat menentukan secara spesifik seluruh akun atau entitas IAM di akun lain sebagai principal dalam kebijakan berbasis sumber daya. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.

## Tindakan kebijakan untuk Shield
<a name="shd-security_iam_service-with-iam-id-based-policies-actions"></a>

**Mendukung tindakan kebijakan:** Ya

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.



Untuk melihat daftar tindakan Shield, lihat [Tindakan yang ditentukan oleh AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-actions-as-permissions) dalam *Referensi Otorisasi Layanan*.

Tindakan kebijakan di Shield menggunakan awalan berikut sebelum tindakan:

```
shield
```

Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.

```
"Action": [
      "shield:action1",
      "shield:action2"
         ]
```



Anda juga dapat menentukan beberapa tindakan menggunakan wildcard (\$1). Misalnya, untuk menentukan semua tindakan di Shield yang dimulai`List`, sertakan tindakan berikut:

```
"Action": "shield:List*"
```

Untuk melihat contoh kebijakan berbasis identitas Shield, lihat. [Contoh kebijakan berbasis identitas untuk AWS Shield](shd-security_iam_id-based-policy-examples.md)

## Sumber daya kebijakan untuk Shield
<a name="shd-security_iam_service-with-iam-id-based-policies-resources"></a>

**Mendukung sumber daya kebijakan:** Ya

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.

Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.

```
"Resource": "*"
```

Untuk melihat daftar jenis sumber daya Shield dan jenisnya ARNs, lihat [Sumber daya yang ditentukan oleh AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-resources-for-iam-policies) dalam *Referensi Otorisasi Layanan*. Untuk mempelajari dengan tindakan mana Anda dapat menentukan ARN setiap sumber daya, lihat [Tindakan yang ditentukan oleh AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-actions-as-permissions). Untuk mengizinkan atau menolak akses ke subset sumber daya Shield, sertakan ARN sumber daya dalam elemen `resource` kebijakan Anda.

Di AWS Shield, sumber daya adalah *perlindungan* dan *serangan*. Sumber daya ini memiliki Nama Sumber Daya Amazon (ARNs) unik yang terkait dengannya, seperti yang ditunjukkan pada tabel berikut. 


****  

| Nama di AWS Shield Konsol | Nama dalam AWS Shield SDK/CLI | Format ARN  | 
| --- | --- | --- | 
| Peristiwa atau serangan | AttackDetail |  `arn:aws:shield::account:attack/ID`  | 
| Perlindungan | Protection |  `arn:aws:shield::account:protection/ID`  | 

Untuk mengizinkan atau menolak akses ke subset sumber daya Shield, sertakan ARN sumber daya dalam elemen `resource` kebijakan Anda. The ARNs for Shield memiliki format sebagai berikut:

```
arn:partition:shield::account:resource/ID
```

Ganti*account*,*resource*, dan *ID* variabel dengan nilai yang valid. Nilai yang valid dapat berupa sebagai berikut:
+ *account*: ID Anda Akun AWS. Anda harus menentukan nilai.
+ *resource*: Jenis sumber daya Shield, salah satu `attack` atau`protection`. 
+ *ID*: ID sumber daya Shield, atau wildcard (`*`) untuk menunjukkan semua sumber daya dari jenis tertentu yang terkait dengan yang ditentukan Akun AWS.

Misalnya, ARN berikut menentukan semua perlindungan untuk akun: `111122223333`

```
arn:aws:shield::111122223333:protection/*
```

Sumber ARNs daya Shield memiliki format berikut:

```
arn:partition:shield:region:account-id:scope/resource-type/resource-name/resource-id
```

Untuk informasi umum tentang spesifikasi ARN, lihat [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) di. Referensi Umum Amazon Web Services

Berikut daftar persyaratan yang khusus untuk ARNs sumber `wafv2` daya: 
+ *region*: Untuk sumber daya Shield yang Anda gunakan untuk melindungi CloudFront distribusi Amazon, setel ini ke`us-east-1`. Jika tidak, setel ini ke Wilayah yang Anda gunakan dengan sumber daya regional yang dilindungi. 
+ *scope*: Tetapkan cakupan `global` untuk digunakan dengan CloudFront distribusi Amazon atau `regional` untuk digunakan dengan sumber daya regional mana pun yang AWS WAF mendukung. Sumber daya regional adalah Amazon API Gateway REST API, Application Load Balancer, GraphQL API AWS AppSync , kumpulan pengguna Amazon Cognito, layanan, dan instance Akses Terverifikasi. AWS App Runner AWS 
+ *resource-type*: Tentukan salah satu nilai berikut: `attack` untuk acara atau serangan, `protection` untuk perlindungan. 
+ *resource-name*: Tentukan nama yang Anda berikan pada sumber daya Shield, atau tentukan wildcard (`*`) untuk menunjukkan semua sumber daya yang memenuhi spesifikasi lain di ARN. Anda harus menentukan nama sumber daya dan ID sumber daya atau menentukan wildcard untuk keduanya. 
+ *resource-id*: Tentukan ID sumber daya Shield, atau tentukan wildcard (`*`) untuk menunjukkan semua sumber daya yang memenuhi spesifikasi lain di ARN. Anda harus menentukan nama sumber daya dan ID sumber daya atau menentukan wildcard untuk keduanya.

Misalnya, ARN berikut menentukan semua web ACLs dengan cakupan regional untuk akun `111122223333` di Wilayah: `us-west-1`

```
arn:aws:wafv2:us-west-1:111122223333:regional/webacl/*/*
```

ARN berikut menentukan grup aturan bernama `MyIPManagementRuleGroup` dengan cakupan global untuk akun `111122223333` di Wilayah: `us-east-1`

```
arn:aws:wafv2:us-east-1:111122223333:global/rulegroup/MyIPManagementRuleGroup/1111aaaa-bbbb-cccc-dddd-example-id
```

Untuk melihat contoh kebijakan berbasis identitas Shield, lihat. [Contoh kebijakan berbasis identitas untuk AWS Shield](shd-security_iam_id-based-policy-examples.md)

## Kunci kondisi kebijakan untuk Shield
<a name="shd-security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Mendukung kunci kondisi kebijakan khusus layanan:** Yes

Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.

Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.

Untuk melihat daftar kunci kondisi Shield, lihat [Kunci kondisi untuk AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-policy-keys) *Referensi Otorisasi Layanan*. Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-actions-as-permissions).

Untuk melihat contoh kebijakan berbasis identitas Shield, lihat. [Contoh kebijakan berbasis identitas untuk AWS Shield](shd-security_iam_id-based-policy-examples.md)

## ACLs di Shield
<a name="shd-security_iam_service-with-iam-acls"></a>

**Mendukung ACLs:** Tidak 

Access control lists (ACLs) mengontrol prinsipal mana (anggota akun, pengguna, atau peran) yang memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.

## ABAC dengan Shield
<a name="shd-security_iam_service-with-iam-tags"></a>

**Mendukung ABAC (tag dalam kebijakan): Sebagian**

Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tag ke entitas dan AWS sumber daya IAM, lalu merancang kebijakan ABAC untuk mengizinkan operasi saat tag prinsipal cocok dengan tag pada sumber daya.

Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.

Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.

Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial yang menguraikan langkah-langkah pengaturan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.

## Menggunakan kredensi sementara dengan Shield
<a name="shd-security_iam_service-with-iam-roles-tempcreds"></a>

**Mendukung kredensial sementara:** Ya

Kredensi sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensi sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.

## Teruskan sesi akses untuk Shield
<a name="shd-security_iam_service-with-iam-principal-permissions"></a>

**Mendukung sesi akses terusan (FAS):** Ya

 Sesi akses teruskan (FAS) menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Peran layanan untuk Shield
<a name="shd-security_iam_service-with-iam-roles-service"></a>

**Mendukung peran layanan:** Ya

 Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*. 

**Awas**  
Mengubah izin untuk peran layanan dapat merusak fungsionalitas Shield. Edit peran layanan hanya jika Shield memberikan panduan untuk melakukannya.

## Peran terkait layanan untuk Shield
<a name="shd-security_iam_service-with-iam-roles-service-linked"></a>

**Mendukung peran terkait layanan**: Ya

 Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan. 

Untuk detail tentang membuat atau mengelola peran terkait layanan Shield, lihat. [Menggunakan peran terkait layanan untuk Shield Advanced](shd-using-service-linked-roles.md)

# Contoh kebijakan berbasis identitas untuk AWS Shield
<a name="shd-security_iam_id-based-policy-examples"></a>

Secara default, pengguna dan peran tidak memiliki izin untuk membuat atau memodifikasi sumber daya Shield. Untuk memberikan izin kepada pengguna untuk melakukan tindakan di sumber daya yang mereka perlukan, administrator IAM dapat membuat kebijakan IAM.

*Untuk mempelajari cara membuat kebijakan berbasis identitas IAM dengan menggunakan contoh dokumen kebijakan JSON ini, lihat [Membuat kebijakan IAM (konsol) di Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html).*

Untuk detail tentang tindakan dan jenis sumber daya yang ditentukan oleh Shield, termasuk format ARNs untuk setiap jenis sumber daya, lihat [Kunci tindakan, sumber daya, dan kondisi AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html) di *Referensi Otorisasi Layanan*.

**Topics**
+ [Praktik terbaik kebijakan](#shd-security_iam_service-with-iam-policy-best-practices)
+ [Menggunakan konsol Shield](#shd-security_iam_id-based-policy-examples-console)
+ [Mengizinkan pengguna melihat izin mereka sendiri](#shd-security_iam_id-based-policy-examples-view-own-permissions)
+ [Berikan akses baca ke perlindungan Shield Advanced Anda](#shd-example0)
+ [Berikan akses hanya-baca ke Shield,, dan CloudFront CloudWatch](#shd-example1)
+ [Berikan akses penuh ke Shield, CloudFront, dan CloudWatch](#shd-example2)

## Praktik terbaik kebijakan
<a name="shd-security_iam_service-with-iam-policy-best-practices"></a>

Kebijakan berbasis identitas menentukan apakah seseorang dapat membuat, mengakses, atau menghapus sumber daya Shield di akun Anda. Tindakan ini membuat Akun AWS Anda dikenai biaya. Ketika Anda membuat atau mengedit kebijakan berbasis identitas, ikuti panduan dan rekomendasi ini:
+ **Mulailah dengan kebijakan AWS terkelola dan beralih ke izin hak istimewa paling sedikit — Untuk mulai memberikan izin** kepada pengguna dan beban kerja Anda, gunakan *kebijakan AWS terkelola* yang memberikan izin untuk banyak kasus penggunaan umum. Mereka tersedia di Anda Akun AWS. Kami menyarankan Anda mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola AWS pelanggan yang khusus untuk kasus penggunaan Anda. Untuk informasi selengkapnya, lihat [Kebijakan yang dikelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) atau [Kebijakan yang dikelola AWS untuk fungsi tugas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dalam *Panduan Pengguna IAM*.
+ **Menerapkan izin dengan hak akses paling rendah** – Ketika Anda menetapkan izin dengan kebijakan IAM, hanya berikan izin yang diperlukan untuk melakukan tugas. Anda melakukannya dengan mendefinisikan tindakan yang dapat diambil pada sumber daya tertentu dalam kondisi tertentu, yang juga dikenal sebagai *izin dengan hak akses paling rendah*. Untuk informasi selengkapnya tentang cara menggunakan IAM untuk mengajukan izin, lihat [Kebijakan dan izin dalam IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan kondisi dalam kebijakan IAM untuk membatasi akses lebih lanjut** – Anda dapat menambahkan suatu kondisi ke kebijakan Anda untuk membatasi akses ke tindakan dan sumber daya. Sebagai contoh, Anda dapat menulis kondisi kebijakan untuk menentukan bahwa semua permintaan harus dikirim menggunakan SSL. Anda juga dapat menggunakan ketentuan untuk memberikan akses ke tindakan layanan jika digunakan melalui yang spesifik Layanan AWS, seperti CloudFormation. Untuk informasi selengkapnya, lihat [Elemen kebijakan JSON IAM: Kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dalam *Panduan Pengguna IAM*.
+ **Gunakan IAM Access Analyzer untuk memvalidasi kebijakan IAM Anda untuk memastikan izin yang aman dan fungsional** – IAM Access Analyzer memvalidasi kebijakan baru dan yang sudah ada sehingga kebijakan tersebut mematuhi bahasa kebijakan IAM (JSON) dan praktik terbaik IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan dan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda membuat kebijakan yang aman dan fungsional. Untuk informasi selengkapnya, lihat [Validasi kebijakan dengan IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dalam *Panduan Pengguna IAM*.
+ **Memerlukan otentikasi multi-faktor (MFA)** - Jika Anda memiliki skenario yang mengharuskan pengguna IAM atau pengguna root di Anda, Akun AWS aktifkan MFA untuk keamanan tambahan. Untuk meminta MFA ketika operasi API dipanggil, tambahkan kondisi MFA pada kebijakan Anda. Untuk informasi selengkapnya, lihat [Amankan akses API dengan MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dalam *Panduan Pengguna IAM*.

Untuk informasi selengkapnya tentang praktik terbaik dalam IAM, lihat [Praktik terbaik keamanan di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dalam *Panduan Pengguna IAM*.

## Menggunakan konsol Shield
<a name="shd-security_iam_id-based-policy-examples-console"></a>

Untuk mengakses AWS Shield konsol, Anda harus memiliki set izin minimum. Izin ini harus memungkinkan Anda untuk membuat daftar dan melihat detail tentang sumber daya Shield di Anda Akun AWS. Jika Anda membuat kebijakan berbasis identitas yang lebih ketat daripada izin minimum yang diperlukan, konsol tidak akan berfungsi sebagaimana mestinya untuk entitas (pengguna atau peran) dengan kebijakan tersebut.

Anda tidak perlu mengizinkan izin konsol minimum untuk pengguna yang melakukan panggilan hanya ke AWS CLI atau AWS API. Sebagai gantinya, izinkan akses hanya ke tindakan yang sesuai dengan operasi API yang coba mereka lakukan.

Pengguna yang dapat mengakses dan menggunakan AWS konsol juga dapat mengakses AWS Shield konsol. Tidak diperlukan izin tambahan.

### Hanya konsol APIs
<a name="shd-serucity_iam_id-based-policy-examples-console-ddos"></a>

Anda dapat mengakses informasi serangan Distributed Denial of Service (DDoS) berikut di konsol. Tentukan izin API berikut dalam kebijakan IAM untuk mengizinkan atau menolak tindakan tertentu.


| Tindakan | Deskripsi | 
| --- | --- | 
| DescribeAttackContributors |  Memberikan izin untuk mendapatkan informasi rinci tentang kontributor untuk serangan S tertentu DDo.  | 
| ListMitigations |  Memberikan izin untuk mengambil daftar tindakan mitigasi yang telah diterapkan selama serangan S. DDo  | 
| GetGlobalThreatData |  Memberikan izin untuk mengambil data intelijen ancaman global dan tren dari sistem pemantauan ancaman AWS Shield.  | 

Contoh ini menunjukkan cara membuat kebijakan yang memungkinkan Anda melihat informasi serangan DDo S di konsol.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "shield:DescribeAttackContributors"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "shield:ListMitigations"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "shield:GetGlobalThreatData"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Mengizinkan pengguna melihat izin mereka sendiri
<a name="shd-security_iam_id-based-policy-examples-view-own-permissions"></a>

Contoh ini menunjukkan cara membuat kebijakan yang mengizinkan pengguna IAM melihat kebijakan inline dan terkelola yang dilampirkan ke identitas pengguna mereka. Kebijakan ini mencakup izin untuk menyelesaikan tindakan ini di konsol atau menggunakan API atau secara terprogram. AWS CLI AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Berikan akses baca ke perlindungan Shield Advanced Anda
<a name="shd-example0"></a>

AWS Shield memungkinkan akses sumber daya lintas akun, tetapi tidak memungkinkan Anda membuat perlindungan sumber daya lintas akun. Anda hanya dapat membuat perlindungan untuk sumber daya dari dalam akun yang memiliki sumber daya tersebut. 

Berikut ini adalah contoh kebijakan yang memberikan izin untuk `shield:ListProtections` tindakan pada semua sumber daya. Shield tidak mendukung identifikasi sumber daya tertentu menggunakan sumber daya ARNs (juga disebut sebagai izin tingkat sumber daya) untuk beberapa tindakan API, jadi Anda menentukan karakter wildcard (\$1). Ini hanya memungkinkan akses ke sumber daya yang dapat Anda ambil melalui tindakan. `ListProtections`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListProtections",
            "Effect": "Allow",
            "Action": [
                "shield:ListProtections"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Berikan akses hanya-baca ke Shield,, dan CloudFront CloudWatch
<a name="shd-example1"></a>

Kebijakan berikut memberi pengguna akses hanya-baca ke Shield dan sumber daya terkait, termasuk sumber CloudFront daya Amazon, dan metrik Amazon. CloudWatch Ini berguna bagi pengguna yang memerlukan izin untuk melihat pengaturan di perlindungan dan serangan Shield dan untuk memantau metrik. CloudWatch Pengguna ini tidak dapat membuat, memperbarui, atau menghapus sumber daya Shield.

------
#### [ JSON ]

****  

```
{
        "Version":"2012-10-17",		 	 	 
        "Statement": [
            {
                "Sid": "ProtectedResourcesReadAccess",
                "Effect": "Allow",
                "Action": [
                    "cloudfront:List*",
                    "route53:List*",
                    "cloudfront:Describe*",
                    "elasticloadbalancing:Describe*",
                    "cloudwatch:Describe*",
                    "cloudwatch:Get*",
                    "cloudwatch:List*",
                    "cloudfront:GetDistribution*",
                    "globalaccelerator:ListAccelerators",
                    "globalaccelerator:DescribeAccelerator"
                ],
                "Resource": [
                    "arn:aws:elasticloadbalancing:*:*:*",
                    "arn:aws:cloudfront::*:*",
                    "arn:aws:route53:::hostedzone/*",
                    "arn:aws:cloudwatch:*:*:*:*",
                    "arn:aws:globalaccelerator::*:*"
                ]
            },
            {
                "Sid": "ShieldReadOnly",
                "Effect": "Allow",
                "Action": [
                    "shield:List*",
                    "shield:Describe*",
                    "shield:Get*"
                ],
                "Resource": "*"
            }
     ]
}
```

------

## Berikan akses penuh ke Shield, CloudFront, dan CloudWatch
<a name="shd-example2"></a>

Kebijakan berikut memungkinkan pengguna melakukan operasi Shield apa pun, melakukan operasi apa pun pada distribusi CloudFront web, dan memantau metrik dan contoh permintaan di. CloudWatch Ini berguna untuk pengguna yang merupakan administrator Shield.

------
#### [ JSON ]

****  

```
{
        "Version":"2012-10-17",		 	 	 
        "Statement": [
            {
                "Sid": "ProtectedResourcesReadAccess",
                "Effect": "Allow",
                "Action": [
                    "cloudfront:List*",
                    "route53:List*",
                    "cloudfront:Describe*",
                    "elasticloadbalancing:Describe*",
                    "cloudwatch:Describe*",
                    "cloudwatch:Get*",
                    "cloudwatch:List*",
                    "cloudfront:GetDistribution*",
                    "globalaccelerator:ListAccelerators",
                    "globalaccelerator:DescribeAccelerator"
                ],
                "Resource": [
                    "arn:aws:elasticloadbalancing:*:*:*",
                    "arn:aws:cloudfront::*:*",
                    "arn:aws:route53:::hostedzone/*",
                    "arn:aws:cloudwatch:*:*:*:*",
                    "arn:aws:globalaccelerator::*:*"
                ]
            },
            {
                "Sid": "ShieldFullAccess",
                "Effect": "Allow",
                "Action": [
                    "shield:*"
                ],
                "Resource": "*"
            }
      ]
}
```

------

Kami sangat menyarankan Anda mengonfigurasi otentikasi multi-faktor (MFA) untuk pengguna yang memiliki izin administratif. *Untuk informasi selengkapnya, lihat [Menggunakan Perangkat Multi-Factor Authentication (MFA) dengan Panduan Pengguna IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingMFA.html). AWS* 







# AWS kebijakan terkelola untuk AWS Shield
<a name="shd-security-iam-awsmanpol"></a>

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan [kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat [Kebijakan terkelola AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dalam *Panduan Pengguna IAM*.

## AWS kebijakan terkelola: AWSShield DRTAccess Kebijakan
<a name="shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy"></a>

Bagian ini menjelaskan cara menggunakan kebijakan AWS terkelola untuk Shield.

AWS Shield menggunakan kebijakan terkelola ini ketika Anda memberikan izin kepada Tim Respons Shield (SRT) untuk bertindak atas nama Anda. Kebijakan ini memberikan SRT akses terbatas ke AWS akun Anda, untuk membantu mitigasi serangan DDo S selama peristiwa tingkat keparahan tinggi. Kebijakan ini memungkinkan SRT untuk mengelola AWS WAF aturan dan perlindungan Shield Advanced dan mengakses log Anda AWS WAF . 

Untuk informasi tentang pemberian izin kepada SRT untuk beroperasi atas nama Anda, lihat. [Memberikan akses untuk SRT](ddos-srt-access.md)

Untuk detail tentang kebijakan ini, lihat [AWSShieldDRTAccessKebijakan](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSShieldDRTAccessPolicy) di konsol IAM.

## AWS kebijakan terkelola: AWSShield ServiceRolePolicy
<a name="shd-security-iam-awsmanpol-AWSShieldServiceRolePolicy"></a>

Shield Advanced menggunakan kebijakan terkelola ini saat Anda mengaktifkan mitigasi lapisan DDo S aplikasi otomatis, untuk menetapkan izin yang diperlukan untuk mengelola sumber daya akun Anda. Kebijakan ini memungkinkan Shield Advanced untuk membuat dan menerapkan AWS WAF aturan dan grup aturan di web ACLs yang Anda kaitkan dengan sumber daya yang dilindungi, untuk merespons serangan DDo S secara otomatis. 

Anda tidak dapat melampirkan AWSShield ServiceRolePolicy ke entitas IAM Anda. Shield melampirkan kebijakan ini ke peran terkait layanan untuk `AWSServiceRoleForAWSShield` memungkinkan Shield melakukan tindakan atas nama Anda. 

Shield Advanced memungkinkan penggunaan kebijakan ini saat Anda mengaktifkan mitigasi lapisan DDo S aplikasi otomatis. Untuk informasi selengkapnya tentang penggunaan kebijakan ini, lihat[Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md). 

Untuk informasi tentang peran terkait layanan AWSService RoleFor AWSShield yang menggunakan kebijakan ini, lihat [Menggunakan peran terkait layanan untuk Shield Advanced](shd-using-service-linked-roles.md)

Untuk detail tentang kebijakan ini, lihat [AWSShieldServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSShieldServiceRolePolicy)di konsol IAM.

## Pembaruan Shield ke kebijakan AWS terkelola
<a name="shd-security-iam-awsmanpol-updates"></a>



Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Shield sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat dokumen Shield di. [Riwayat dokumen](doc-history.md)




| Kebijakan | Deskripsi perubahan | Date | 
| --- | --- | --- | 
|  `AWSShieldServiceRolePolicy` Kebijakan ini memungkinkan Shield mengakses dan mengelola AWS sumber daya agar dapat secara otomatis merespons serangan lapisan DDo S aplikasi atas nama Anda.  Detail di konsol IAM: [AWSShieldServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSShieldServiceRolePolicy) Peran terkait layanan `AWSServiceRoleForAWSShield` menggunakan kebijakan ini. Untuk informasi, lihat [Menggunakan peran terkait layanan untuk Shield Advanced](shd-using-service-linked-roles.md).  |  Menambahkan kebijakan ini untuk menyediakan Shield Advanced dengan izin yang diperlukan untuk fungsionalitas mitigasi lapisan aplikasi DDo S otomatis. Untuk informasi tentang fitur ini, lihat[Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md).  | 1 Desember 2021 | 
|  Shield mulai melacak perubahan  |  Shield mulai melacak perubahan untuk kebijakan AWS terkelolanya.  | 3 Maret 2021 | 

# Memecahkan masalah AWS Shield identitas dan akses
<a name="shd-security_iam_troubleshoot"></a>

Gunakan informasi berikut untuk membantu Anda mendiagnosis dan memperbaiki masalah umum yang mungkin Anda temui saat bekerja dengan Shield dan IAM.

**Topics**
+ [Saya tidak berwenang untuk melakukan tindakan di Shield](#shd-security_iam_troubleshoot-no-permissions)
+ [Saya tidak berwenang untuk melakukan iam: PassRole](#shd-security_iam_troubleshoot-passrole)
+ [Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses sumber daya Shield saya](#shd-security_iam_troubleshoot-cross-account-access)

## Saya tidak berwenang untuk melakukan tindakan di Shield
<a name="shd-security_iam_troubleshoot-no-permissions"></a>

Jika Anda menerima pesan kesalahan bahwa Anda tidak memiliki otorisasi untuk melakukan tindakan, kebijakan Anda harus diperbarui agar Anda dapat melakukan tindakan tersebut.

Contoh kesalahan berikut terjadi ketika pengguna IAM `mateojackson` mencoba menggunakan konsol untuk melihat detail tentang suatu sumber daya `my-example-widget` rekaan, tetapi tidak memiliki izin `shield:GetWidget` rekaan.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: shield:GetWidget on resource: my-example-widget
```

Dalam hal ini, kebijakan untuk pengguna `mateojackson` harus diperbarui untuk mengizinkan akses ke sumber daya `my-example-widget` dengan menggunakan tindakan `shield:GetWidget`.

Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

## Saya tidak berwenang untuk melakukan iam: PassRole
<a name="shd-security_iam_troubleshoot-passrole"></a>

Jika Anda menerima kesalahan bahwa Anda tidak diizinkan untuk melakukan `iam:PassRole` tindakan, kebijakan Anda harus diperbarui agar Anda dapat meneruskan peran ke Shield.

Beberapa Layanan AWS memungkinkan Anda untuk meneruskan peran yang ada ke layanan tersebut alih-alih membuat peran layanan baru atau peran terkait layanan. Untuk melakukannya, Anda harus memiliki izin untuk meneruskan peran ke layanan.

Contoh kesalahan berikut terjadi ketika pengguna IAM bernama `marymajor` mencoba menggunakan konsol untuk melakukan tindakan di Shield. Namun, tindakan tersebut memerlukan layanan untuk mendapatkan izin yang diberikan oleh peran layanan. Mary tidak memiliki izin untuk meneruskan peran tersebut pada layanan.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Dalam kasus ini, kebijakan Mary harus diperbarui agar dia mendapatkan izin untuk melakukan tindakan `iam:PassRole` tersebut.

Jika Anda memerlukan bantuan, hubungi AWS administrator Anda. Administrator Anda adalah orang yang memberi Anda kredensial masuk.

## Saya ingin mengizinkan orang di luar saya Akun AWS untuk mengakses sumber daya Shield saya
<a name="shd-security_iam_troubleshoot-cross-account-access"></a>

Anda dapat membuat peran yang dapat digunakan pengguna di akun lain atau orang-orang di luar organisasi Anda untuk mengakses sumber daya Anda. Anda dapat menentukan siapa saja yang dipercaya untuk mengambil peran tersebut. Untuk layanan yang mendukung kebijakan berbasis sumber daya atau daftar kontrol akses (ACLs), Anda dapat menggunakan kebijakan tersebut untuk memberi orang akses ke sumber daya Anda.

Untuk mempelajari selengkapnya, periksa referensi berikut:
+ Untuk mengetahui apakah Shield mendukung fitur ini, lihat[Bagaimana AWS Shield bekerja dengan IAM](shd-security_iam_service-with-iam.md).
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda di seluruh sumber daya Akun AWS yang Anda miliki, lihat [Menyediakan akses ke pengguna IAM di pengguna lain Akun AWS yang Anda miliki](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) di *Panduan Pengguna IAM*.
+ Untuk mempelajari cara menyediakan akses ke sumber daya Anda kepada pihak ketiga Akun AWS, lihat [Menyediakan akses yang Akun AWS dimiliki oleh pihak ketiga](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari cara memberikan akses melalui federasi identitas, lihat [Menyediakan akses ke pengguna terautentikasi eksternal (federasi identitas)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dalam *Panduan Pengguna IAM*.
+ Untuk mempelajari perbedaan antara penggunaan kebijakan peran dan kebijakan berbasis sumber daya untuk akses lintas akun, lihat [Bagaimana peran IAM berbeda dari kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) dalam *Panduan Pengguna IAM*.

# Menggunakan peran terkait layanan untuk Shield Advanced
<a name="shd-using-service-linked-roles"></a>

Bagian ini menjelaskan cara menggunakan peran terkait layanan untuk memberi Shield Advanced akses ke sumber daya di akun Anda AWS .

AWS Shield Advanced menggunakan AWS Identity and Access Management peran [terkait layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke Shield Advanced. Peran terkait layanan telah ditentukan sebelumnya oleh Shield Advanced dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda. 

Peran terkait layanan membuat pengaturan Shield Advanced lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Shield Advanced mendefinisikan izin peran terkait layanan, dan kecuali ditentukan lain, hanya Shield Advanced yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi sumber daya Shield Advanced karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat [Layanan AWS yang bisa digunakan dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dan carilah layanan yang memiliki opsi **Ya** di kolom **Peran Terkait Layanan**. Pilih **Ya** dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

## Izin Peran Tertaut Layanan untuk Shield Advanced
<a name="shd-slr-permissions"></a>

Shield Advanced menggunakan peran terkait layanan bernama. **AWSServiceRoleForAWSShield** Peran ini memungkinkan Shield Advanced untuk mengakses dan mengelola AWS sumber daya agar dapat secara otomatis merespons serangan lapisan DDo S aplikasi atas nama Anda. Untuk informasi selengkapnya tentang fungsi ini, lihat[Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md). 

Peran AWSService RoleFor AWSShield terkait layanan mempercayai layanan berikut untuk mengambil peran:
+ `shield.amazonaws.com`

Kebijakan izin peran yang diberi nama AWSShield ServiceRolePolicy memungkinkan Shield Advanced menyelesaikan tindakan berikut pada semua AWS sumber daya:
+ `wafv2:GetWebACL`
+ `wafv2:UpdateWebACL`
+ `wafv2:GetWebACLForResource`
+ `wafv2:ListResourcesForWebACL`
+ `cloudfront:ListDistributions`
+ `cloudfront:GetDistribution`

Ketika tindakan diizinkan pada semua AWS sumber daya, ini ditunjukkan dalam kebijakan sebagai`"Resource": "*"`. Ini hanya berarti bahwa peran terkait layanan dapat mengambil setiap tindakan yang ditunjukkan pada semua AWS sumber daya *yang didukung tindakan tersebut*. Misalnya, tindakan hanya `wafv2:GetWebACL` didukung untuk sumber daya ACL `wafv2` web. 

Shield Advanced hanya membuat panggilan API tingkat sumber daya untuk sumber daya yang dilindungi yang telah Anda aktifkan fitur perlindungan lapisan aplikasi dan untuk web yang terkait dengan sumber daya ACLs yang dilindungi tersebut. 

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, silakan lihat [Izin Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) di *Panduan Pengguna IAM*.

## Membuat Peran Tertaut Layanan untuk Shield Advanced
<a name="shd-create-slr"></a>

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda mengaktifkan mitigasi lapisan DDo S aplikasi otomatis untuk sumber daya di Konsol Manajemen AWS, the, atau AWS API AWS CLI, Shield Advanced membuat peran terkait layanan untuk Anda. 

Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda mengaktifkan mitigasi lapisan DDo S aplikasi otomatis untuk sumber daya, Shield Advanced akan membuat peran terkait layanan untuk Anda lagi. 

## Mengedit Peran Tertaut Layanan untuk Shield Advanced
<a name="shd-edit-slr"></a>

Shield Advanced tidak mengizinkan Anda mengedit peran AWSService RoleFor AWSShield terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat [Mengedit Peran Tertaut Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dalam *Panduan Pengguna IAM*.

## Menghapus Peran Tertaut Layanan untuk Shield Advanced
<a name="shd-delete-slr"></a>

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.

**catatan**  
Jika Shield Advanced menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

**Untuk menghapus sumber daya Shield Advanced yang digunakan oleh AWSService RoleFor AWSShield**

Untuk semua sumber daya Anda yang memiliki perlindungan lapisan DDo S aplikasi yang dikonfigurasi, nonaktifkan mitigasi lapisan DDo S aplikasi otomatis. Untuk petunjuk konsol, lihat[Konfigurasikan perlindungan lapisan DDo S aplikasi](manage-protection.md#configure-app-layer-protection). 

**Untuk menghapus peran tertaut layanan secara manual menggunakan IAM**

Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSService RoleFor AWSShield terkait layanan. Untuk informasi selengkapnya, silakan lihat [Menghapus Peran Terkait Layanan](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) di *Panduan Pengguna IAM*.

## Wilayah yang Didukung untuk Peran Tertaut Layanan Lanjutan Shield
<a name="shd-slr-regions"></a>

Shield Advanced mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat [Titik akhir dan kuota Shield Advanced](https://docs.aws.amazon.com/general/latest/gr/shield.html).

# Pencatatan dan pemantauan di Shield
<a name="shd-incident-response"></a>

Bagian ini menjelaskan cara menggunakan AWS alat untuk memantau dan menanggapi peristiwa di AWS Shield.

Pemantauan adalah bagian penting dalam menjaga keandalan, ketersediaan, dan kinerja Shield dan AWS solusi Anda. Anda harus mengumpulkan data pemantauan dari semua bagian AWS solusi Anda sehingga Anda dapat lebih mudah men-debug kegagalan multi-titik jika terjadi. AWS menyediakan beberapa alat untuk memantau sumber daya Shield Anda dan menanggapi peristiwa potensial:

** CloudWatch Alarm Amazon**  
Menggunakan CloudWatch alarm, Anda menonton satu metrik selama periode waktu yang Anda tentukan. Jika metrik melebihi ambang batas tertentu, CloudWatch kirimkan pemberitahuan ke topik atau AWS Auto Scaling kebijakan Amazon SNS. Untuk informasi selengkapnya, lihat [Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md).

**AWS CloudTrail Log**  
CloudTrail menyediakan catatan tindakan yang diambil oleh pengguna, peran, atau AWS layanan di Shield. Dengan menggunakan informasi yang dikumpulkan oleh CloudTrail, Anda dapat menentukan permintaan yang dibuat untuk Shield, alamat IP dari mana permintaan itu dibuat, siapa yang membuat permintaan, kapan dibuat, dan detail tambahan. Lihat informasi yang lebih lengkap di [Logging panggilan API dengan AWS CloudTrail](logging-using-cloudtrail.md).

# Memvalidasi kepatuhan di Shield
<a name="shd-security-compliance"></a>

Bagian ini menjelaskan tanggung jawab kepatuhan Anda saat menggunakan AWS Shield.

Untuk mempelajari apakah an Layanan AWS berada dalam lingkup program kepatuhan tertentu, lihat [Layanan AWS di Lingkup oleh Program Kepatuhan Layanan AWS](https://aws.amazon.com/compliance/services-in-scope/) dan pilih program kepatuhan yang Anda minati. Untuk informasi umum, lihat [Program AWS Kepatuhan Program AWS](https://aws.amazon.com/compliance/programs/) .

Anda dapat mengunduh laporan audit pihak ketiga menggunakan AWS Artifact. Untuk informasi selengkapnya, lihat [Mengunduh Laporan di AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS ditentukan oleh sensitivitas data Anda, tujuan kepatuhan perusahaan Anda, dan hukum dan peraturan yang berlaku. Untuk informasi selengkapnya tentang tanggung jawab kepatuhan Anda saat menggunakan Layanan AWS, lihat [Dokumentasi AWS Keamanan](https://docs.aws.amazon.com/security/).

# Membangun ketahanan di Shield
<a name="shd-disaster-recovery-resiliency"></a>

Bagian ini menjelaskan bagaimana AWS arsitektur mendukung redundansi data untuk. AWS Shield

Infrastruktur AWS global dibangun di sekitar Wilayah AWS dan Availability Zones. Wilayah AWS menyediakan beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Dengan Zona Ketersediaan, Anda dapat merancang dan mengoperasikan aplikasi dan basis data yang secara otomatis melakukan failover di antara Zona Ketersediaan tanpa gangguan. Zona Ketersediaan memiliki ketersediaan dan toleransi kesalahan yang lebih baik, dan dapat diskalakan dibandingkan infrastruktur biasa yang terdiri dari satu atau beberapa pusat data. 

Untuk informasi selengkapnya tentang Wilayah AWS dan Availability Zone, lihat [Infrastruktur AWS Global](https://aws.amazon.com/about-aws/global-infrastructure/).

# Keamanan infrastruktur di AWS Shield
<a name="shd-infrastructure-security"></a>

Bagian ini menjelaskan bagaimana AWS Shield mengisolasi lalu lintas layanan.

Sebagai layanan terkelola, AWS Shield dilindungi oleh keamanan jaringan AWS global. Untuk informasi tentang layanan AWS keamanan dan cara AWS melindungi infrastruktur, lihat [Keamanan AWS Cloud](https://aws.amazon.com/security/). Untuk mendesain AWS lingkungan Anda menggunakan praktik terbaik untuk keamanan infrastruktur, lihat [Perlindungan Infrastruktur dalam Kerangka Kerja](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) yang * AWS Diarsiteksikan dengan Baik Pilar Keamanan*.

Anda menggunakan panggilan API yang AWS dipublikasikan untuk mengakses Shield melalui jaringan. Klien harus mendukung hal-hal berikut:
+ Keamanan Lapisan Pengangkutan (TLS). Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.
+ Sandi cocok dengan sistem kerahasiaan maju sempurna (perfect forward secrecy, PFS) seperti DHE (Ephemeral Diffie-Hellman) atau ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Sebagian besar sistem modern seperti Java 7 dan versi lebih baru mendukung mode-mode ini.

# AWS Shield Advanced kuota
<a name="shield-limits"></a>

AWS Shield Advanced memiliki kuota default pada jumlah entitas per Wilayah. Anda dapat [meminta peningkatan](https://console.aws.amazon.com/servicequotas/home/services/shield/quotas) kuota ini.


| Sumber daya | Kuota bawaan | 
| --- | --- | 
|  Jumlah maksimum sumber daya yang dilindungi untuk setiap jenis sumber daya yang AWS Shield Advanced menawarkan perlindungan untuk, per akun.   |  1.000  | 
|  Jumlah maksimum grup perlindungan, per akun.   |  100  | 
|  Jumlah maksimum sumber daya yang dilindungi individu yang dapat Anda sertakan secara khusus dalam grup perlindungan. Di API, ini berlaku untuk `Members` yang Anda tentukan saat Anda menyetel grup `Pattern` perlindungan`ARBITRARY`. Di konsol, ini berlaku untuk sumber daya yang Anda pilih untuk pengelompokan perlindungan **Pilih dari sumber daya yang dilindungi**.  |  1.000  |